juin 3rd, 2010

La semaine passée, Apple a fait deux fois la une d’un grand quotidien US. L’une est reprise en cœur par l’ensemble de la blogosphère et de la presse en ligne, l’autre semble pudiquement oubliée.

Personne n’aura manqué ce scoop du NY Times : la capitalisation boursière de la Job’s Company vient de dépasser d’une courte tête celle de Microsoft. 222 milliards de dollars contre 219. Chiffre sans grande signification ne fait que refléter la « confiance » que la bourse éprouve envers une entreprise. Il s’agit donc d’une valeur virtuelle purement spéculative dont le principal effet est de faire fluctuer le cours de l’action et occasionnellement de provoquer des « éclatements de bulles » à périodes régulières. Les données factuelles (disponibilité du « trésor de guerre », bénéfices nets etc), place toujours Microsoft légèrement devant Apple. Ce qui, en revanche, semble passionner les foules d’investisseurs, c’est l’évolution du marché de la fourniture de contenu et de la prestation de service massive. D’un côté, Microsoft qui vise le secteur de l’industrie et parie sur le développement du « cloud computing », de l’autre Apple qui compte sur le marché de la téléphonie pour principalement vendre de l’information et de l’application grand public.

Toujours sur le NY Times, ce même Apple serait sur le point de subir un procès antitrust, précisément à propos de sa position jugée dominante sur le secteur de la vente de contenus musicaux en ligne. Position qui n’est pas du goût de son concurrent Amazon, lequel cherchait à obtenir des droits de diffusion exclusifs sur les nouveautés musicales des principaux labels. Le DoJ (Department of Justice) Américain enquêterait donc sur les éventuelles pressions qu’Apple aurait fait subir aux éditeurs afin qu’un tel projet capote. S’ajoute également le différent qui oppose Adobe et Apple à propos de l’adoption de Flash sur Iphone, ainsi que les soupçons de pratiques illégales dans la politique de recrutement du personnel d’Apple. Si un tel procès antitrust est jamais intenté par le DoJ, ses conclusions ne seront pas connues avant plusieurs années.

Aza Raskin, designer réputé et gourou (tout comme son père) des interfaces homme-machine, vient de signer un billet aussi redoutable qu’amusant : il y traite de l’art de conduire une attaque en phishing par simple exécution d’un script hébergé, lui-même capable de singer la page de « login » d’un site fréquemment visité. Tous les détails et sa preuve de faisabilité sont disponibles sur le site de l’auteur.

L’attaque se déroule en plusieurs étapes. En premier lieu, l’attaquant peut fouiller dans l’historique des réseaux sociaux (un autre hack de l’auteur) ou s’intéresser aux journaux des navigateurs. Une fois les « pièges » déterminés, il suffit à l’attaquant d’insérer le script malicieux qui « chargera » à son tour une fausse page d’ouverture de crédence et modifiera par la même occasion l’onglet de la page web. Pour peu que la victime ait l’habitude d’ouvrir plusieurs onglets simultanément, le changement s’effectuera dans la plus grande discrétion, sans que l’usager le remarque. Charge à l’attaquant de prévoir les outils de récupération de mot de passe puis, éventuellement, de retransmettre lesdits sésames au site légitime pour ne pas éveiller les soupçons de la victime.

L’auteur donne par ailleurs quelques conseils judicieux aux hameçonneurs débutants. « Préférez plutôt les pages de confirmation de crédence provoquées par les « time out » plutôt que les demandes de login … cela fera plus réaliste si vous optez pour un phishing bancaire »… propos bien entendu plus ironiques que sérieux.

Pour l’heure, l’attaque est difficilement parable, car elle repose essentiellement sur le facteur humain. Si la preuve de faisabilité de l’auteur peut aisément être bloquée avec un simple « noscript » ou toute autre solution équivalente, rien ne permet de dire si des techniques autres qu’un exploit java ne pourraient être également utilisées pour aboutir à un résultat analogue.