juin, 2010

Provocation ou idée à creuser ? Le Français Laurent Oudot (Tehtri Sec, ex CEA), lors de la dernière Syscan de Singapour, donnait un discours légèrement à contre-courant par rapport à ce que l’on a l’habitude d’entendre : et si l’on envisageait sérieusement de contre-attaquer les « intrus » qui viennent jusque dans nos bras, égorger nos machines et nos programmes ? Et de donner ainsi l’exemple de 13 ZDE visant non pas la dernière édition d’Acrobat Reader ou d’Internet Explorer, mais de « packs d’exploits » utilisés par quelques malwares les plus en vue. Liste d’ailleurs donnée sur la ML Full Disclosure. « C’est une manière de dire que vous pouvez réagir en cas d’attaque » précise le bulletin. La presse Britannique a immédiatement réagi. La BBC et El Reg notamment.

Inutile de préciser que ce genre de sport est réservé aux gens du métier et infrastructures fortement pourvues. Tenter d’attaquer les cybertruands, c’est s’exposer immanquablement à des représailles (dénis de service, attaques différentes…). Il est donc souhaitable de disposer d’un arsenal conséquent et d’une infrastructure musclée, puisqu’à ce petit jeu, le dernier mot reviendra à celui qui saura le mieux encaisser et tenir la distance en termes de diversité offensive. D’un point de vue déontologique, cette proposition repose une fois de plus la question des méthodes et de l’éthique de la profession : a-t-on le droit d’utiliser les mêmes outils que les truands, peut-on justifier l’usage de procédés que nous réprouvons nous-mêmes ? A ces questions, la réponse des gens du métier a toujours été la même : jamais. L’aspect légal, enfin. Car si publier une faille, décrocher un numéro CVE pour un exploit n’a pas beaucoup de chance de provoquer une réaction des avocats de la Causa Nostra du bit et de l’octet, ces contre-feux sont bel et bien des outils destinés à « compromettre un système d’information »… La détention, la diffusion, l’usage de ce genre d’arme est interdit par plusieurs lois, dont la LCEN en France.

Cela veut-il dire que l’on risque de voir un juge Français poursuivre une entreprise Française de sécurité pour publication d’Exploit ? Cela s’est déjà vu. Mais ce n’est probablement pas pour ce motif que l’équipe d’Oudot est demeurée relativement évasive sur la nature même des failles découvertes. Un autre risque, très palpable quant à lui, serait de voir ce genre d’information exploité par des « bandes rivales » ou des francs-tireurs isolés qui verraient ainsi un moyen très simple soit d’accroître, par « croissance externe », la taille de leur propre botnet. Rien n’interdit également de considérer, comme l’expliquait d’ailleurs Rsnake dans un récent billet, le code d’exploitation d’une machine zombifiée comme un moyen très pratique pour pénétrer dans une entreprise et y dérober des informations. Sans divulgation, les victimes sont infectées par un et un seul groupe de cyber-truands qui contaminent les machines un peu à l’aveuglette. Après divulgation, toute machine « rootée » devient potentiellement un self-service pour script-kiddies, spécialistes du « targeted attack » et du « spear phishing/leaking ». Et généralement, cette seconde catégorie de mafiosi numériques est bien plus dangereuse que les bot-herders de base. Mais revenons-en à l’idée de militarisation des vulnérabilités et de contre-attaque numérique émise par Laurent Oudot.

Les esprits évoluent et les interdits s’effondrent. Pour quelle raison la sécurité « informatique » n’aurait-elle pas le droit de recourir à des outils d’infiltration, à des contre-feux offensifs, à des systèmes d’intoxication comme le pratiquent les polices et les armées –secrètes ou non- du monde entier ? La réponse est simple : ce sont précisément des corps constitués, des polices et des armées dépendant d’un pouvoir exécutif, dans le cadre de lois locales. Un « civil » qui contre-attaque avec des armes de truands devient ipso-facto un truand lui-même, par simple effet mécanique.

Mais cette frontière entre le droit régalien d’un état et le no man’s land du mercenariat binaire tend à s’estomper de plus en plus. Dans la « vraie vie », les Halliburton vont faire le coup de feu sous contrat, les polices et gendarmeries reculent devant la généralisation de milices locales et les entreprises commerciales (Sony BMG, Orange…) trempent dans la fabrication de « presque malwares ». Ceci sous l’œil complaisant des politiques ? Des politiques, qui, semblerait-t-il, acceptent ces « coups de canif à la morale et aux institutions ». Le prétexte de faire respecter la loi par tous les moyens, pourrait-il être suffisant pour justifier ces entorses à des règles établies a priori pour tous ? Des Microsoft, des éditeurs d’antivirus clament parfois haut et fort avoir tantôt éradiqué un botnet de la surface de la planète, tantôt « logé » un baron du phishing, un roi du spam, le cerveau d’un virus. Actions conduites bien sûr en collaboration avec les polices, mais sans que la part d’activités respectives des forces en présence ne soit réellement précisées. Et si l’on en croit certains communiqués triomphants, c’est tout juste si ces derniers ne sont là que pour être présents sur la photo de famille finale … Du coup, Internet pourrait bien lui aussi tourner au Far West. D’un côté les « outlaws » avec leurs spywares masqués, de l’autre les chasseurs de primes mandatés par la Loi, qui utilisent des procédés expéditifs. Alors, pourquoi ne pas imaginer que puissent se constituer des sortes de « milices d’auto-défense », sorte de remake des « Sept Mercenaires » sur fond de musique binaire, faisant Fort Chabrol derrière un empilement de ZDE à la Tehtris ?

Pris entre les feux de ces « supplétifs » légaux et de ces éventuels « redresseurs de torts privés », les usagers-péons-internautes pourraient bien écoper de quelques balles perdues. Accès coupés par des tempêtes de dénis de services, machines quadruplement infectées par les spywares, les exploits d’exploits, les Albaniciels divers, les exploits d’Albaniciels, les chausse-trappes des campagnes de phishing et mines Claymore à la sauce virale, le cyber-surfeur de demain aura la peau dure ou ne sera plus…

L’acharnement des revendeurs de musique de variétés et autres industriels du divertissement audiovisuel commence à porter ses fruits : en réprimant les réseaux Peer to Peer sans proposer de solution de remplacement, les professionnels du divertissement s’aperçoivent que la « clientèle » se tourne désormais vers des fournisseurs de contenu tout aussi illégaux mais désormais payants… et inaccessibles. Un article de Yahoo Movies désigne, sans les nommer, ces infrastructures WarEZ et autres centres de « Méga » téléchargement. Des sites qui, outre le support financier de leurs abonnés, reçoivent également un pactole parfois non négligeable de la part d’annonceurs ayant pignon sur rue : chaînes de malbouffe, vendeurs d’ordinateurs grand public, professionnels de l’automobile, du jeu en ligne ou de publications « légères »…

Des sites qui, surtout, sont souvent situés au-delà de la portée des commissions rogatoires internationales, à des centaines de lieu des griffes des Hautes Autorités Hadopesques ou des serres du RIAA. Et nos confrères de citer la Russie, l’Ukraine, la Colombie et, histoire de faire bonne mesure, la Suisse et l’Allemagne. Les poursuites officielles et les tentatives de fermeture de ces serveurs n’ont donc pratiquement plus la moindre chance d’aboutir. Hébergées de plus en plus sur ces fameux « bullet proof hosting providers » qui ont beaucoup appris avec le business du spam et du scareware, les fourgues de vidéos situés dans les pays de l’ancien bloc soviétique savent désormais disparaître puis renaître en moins d’une semaine, parfois même dans un autre pays, une autre « république ».

Sans surprise également, le second message que tentent d’instiller les boutiquiers du divertissement porte sur l’absence de fiabilité des règlements par carte de crédit. « Qui donc accepterait de donner un numéro de compte à ces truands ? » disent-ils en substance, ne dérogeant pas d’un iota de leur discours anxiogène. Las, le passé (une fois de plus) ne leur donne pas raison. Si cela était vrai, le marché engendré par le spam serait mort depuis belle lurette. Car même les truands ont besoin de la confiance de leurs acheteurs s’ils veulent voir leurs affaires fructifier et perdurer. L’on peut douter de la qualité des marchandises de ces vendeurs de fausses montres de luxe, de cigarettes de contrebande ou de Viagra d’opérette, on peut être à peu près certain que leur mécanisme de payement est fiable, au grand dam des professionnels de la sécurité informatique.

Ce passage à la clandestinité était non seulement prévisible, mais encore quasiment certain… à croire qu’il était même souhaité par les promoteurs des lois « antipiratage ». Lois-prétextes s’appuyant sur les cris d’orfraies d’un quarteron d’industriels qui n’ont su « feindre d’être les instigateurs de ce mouvement, faute d’en maîtriser les commandes * ». Le plus important, pour les politiques, était de mettre l’Internet sous contrôle. Cela est en train de se faire. Quand à l’industrie du disque et de la vidéo, Vae Victis. Elle a servi avec complaisance, elle n’est désormais plus d’aucune utilité.

NdlC Note de la Correctrice : D’après Charles-Maurice de Talleyrand-Périgord. Un pareil nom à rallonges et à tiroirs le prédestinait à des pensers tortueux.

Chez Opera, le nouvel opus est numéroté 10.54 et colmate, vivace, quelques vacuités pouvant offrir le flanc aux attaques en cross site scripting. Les grands traits des améliorations sont publiées mezzo voce par l’équipe de sécurité. A noter que, par deux fois, piano, les failles en question sont qualifiées « d’extremely severe » et de « moderately severe » sans la moindre précision. Les utilisateurs d’Opera sont bien sûr extremely inquiétés et moderately apeurés par ce souci poussé de l’information.

Chez Mozilla, la 3.6.4 de Firefox bouche 7 perforations majeures. Mais exceptionnellement, la mise à niveau pour des raisons de sécurité n’est rien comparée aux améliorations fonctionnelles du programme. Et notamment pour ce qui concerne la gestion des fenêtres ouvertes sur une page provoquant un crash Flash, Quicktime ou Silverlight. Une fois n’est pas coutume, l’on peut trouver le « changelog » passionnant à lire.

La mode est au DLP, les gourous de la sécurité cherchent de plus en plus à sécuriser « l’information »… parfois au détriment de l’infrastructure. Il existe pourtant un outil simplissime qui, à la fois, facilite les « politiques d’accès » et, indirectement, résout les questions de fuite ou de modification d’informations.
Userlock d’IS Décisions en quelques mots ? Un logiciel de gestion des accès destiné à toute la gamme des serveurs Windows actuellement en service (nos essais se sont déroulés sous 2008 Server). Mais surtout un logiciel capable d’appliquer à des groupes entiers (d’utilisateurs, de stations, ou les deux associés) des restrictions ou autorisations d’accès à des ressources, des plages temporelles d’utilisation, le moyen de forcer un verrouillage ou une déconnexion à distance d’un utilisateur en particulier… le tout accompagné d’un solide outil de reporting. En termes plus simples …

… les trois avantages principaux de Userlock

– l’interdiction de login d’un utilisateur ou groupe sur deux consoles simultanées (ou en dehors de stations préalablement définies),
– l’application de règle « par groupe » (par défaut, les restrictions sous Windows s’appliquent fastidieusement « user par user ») et
– la possibilité de « jeter » rapidement un intrus d’un simple mouvement de souris depuis la console d’administration. Le tout avec un niveau de complexité proche de celui nécessaire à la maîtrise de Powerpoint. C’est dire.

A qui s’adresse-t-il ?

 Aux administrateurs souhaitant renforcer les politiques de logon sans avoir à écrire le moindre script ni modifier le plus petit service en place : Administrations, établissements hospitaliers, Lycées ou Universités, et entreprises constituées de plusieurs départements ou filiales exigeant un niveau minimum de cloisonnement entre fonctions et emplacements géographiques. Il n’existe strictement aucune limite haute ou basse du nombre d’administrés pris en compte. Si historiquement ce logiciel se destine surtout aux infrastructures de plusieurs milliers de postes, rien n’interdit de l’installer sur un petit système SBS appartenant à une entreprise « à données sensibles » et haute valeur ajoutée. Le tarif le plus élevé (configuration de 10 à 19 postes) ne dépasse pas 8 euros par station et chute à moins de 5 euros entre 100 et 200 postes.

Installation/configuration… R.A.S. et RAS

La procédure d’installation ne pose pratiquement qu’une seule question : quelle est l’étendue sur laquelle s’étendra le contrôle des utilisateur ? L’intégralité du domaine ou de la forêt, ou simplement une des « unités organisationnelles » de l’entreprise. Quelques secondes plus tard, au lancement de la console principale, l’on est prêt à définir les groupes de machines et d’usagers qui seront soumis aux autorisations/restrictions d’accès. Une sélection là encore effectuée sans le moindre effort, puisque se limitant à aller piocher utilisateurs, groupes et machines dans la base de données des ADS. Rien à Signaler donc. Peut-être est-ce à ce moment-là que l’on se rend compte des incohérences de certains choix passés lors de la définition des groupes. Userlock peut être un révélateur de « fouillis organisationnel »… pour ne pas utiliser un autre mot.

Les groupes une fois définis ou sélectionnés, il suffit de cocher des cases d’autorisations d’accès définissant le nombre de sessions possibles, que celles-ci soit « locales » ou via une connexion distante de quelque nature que ce soit (TSE, RAS etc). Les liaisons Remote Access Services ne présentant pas d’adresse IP dès l’initialisation de la session, de très légères différences de comportement les distinguent des ouvertures de session normale, mais ce n’est là qu’un détail. Si les groupes définis dans une OU (unité organisationnelle) ne nécessitent pas d’ajustements particuliers, il faut moins d’une heure pour dresser un premier jet de « logon policy » portant sur une centaine de postes. D’un coup de souris l’on définit les horaires d’accès autorisés, l’association des logins et des stations accessibles par telle ou telle personne ou groupe. Une définition des « heures de travail » et des « jours ouvrables » s’appliquant à tout un groupe s’opère en 5 minutes. Sans Userlock, en étant très rapide, il faut compter 3 minutes par compte, soit, pour une centaine d’utilisateurs… quelques week-ends en perspective.

Les réels problèmes commencent avec la définition des types de restriction à imposer aux comptes avec pouvoir, à appliquer sans froisser les susceptibilités de chacun. Il est des « droits de mamamouchi » qui ont la vie dure… particulièrement chez les administrateurs, et qui doivent disparaître pour d’évidentes raisons de sécurité. En revanche, trop de « parano » peut entraver la liberté d’action des collaborateurs d’une entreprise. Comme pour toute définition de politique, le juste milieu est parfois difficile à situer. Ceci étant dit, certaines caractéristiques du programme permettent l’assouplissement de certaines contraintes. Ainsi, un utilisateur limité à 3 sessions peut, si le droit lui en est donné, clore à distance l’une de ses sessions sans avoir à se déplacer sur la console « fautive ». A l’administrateur tout de même le soin de sensibiliser ses ouailles sur les conséquences d’un logout brutal lorsque des documents sont en cours d’édition.

Les politiques une fois définies, il ne reste plus qu’à déployer l’agent Userlock sur les différentes stations de travail supervisées par le programme. Là encore, l’opération est totalement automatique (le serveur utilisé lors de nos essais était à la fois contrôleur de domaine ET DNS principal). Cette distribution nécessite d’activer sur chaque station les « remote registry services » (registres distants) sur les systèmes à administrer. Ce genre de détail est d’ailleurs documenté très clairement dans les FAQ de l’éditeur.

La suppression d’une machine du cercle des systèmes administrés s’effectue de la même manière, via l’interface de déploiement d’agents… détail à ne pas oublier, car l’élimination de ce code « à la main » est un peu plus fastidieuse.

A partir de ce moment précis, toute ouverture de session est soumise au « bon vouloir » de Userlock, sans ajout de composant additionnel, sans opération shamanique dans la bdr ni torture des «group policy ». Une connexion en dehors des horaires ou jours ouvrables ou depuis une console « non autorisée » sera impossible. Toute tentative de connexion non conforme à la politique génère une alerte sur l’écran de la station (une réprimande très vite comprise par les usagers un peu trop fantaisistes), sur le log de la console, et émet éventuellement un email à l’attention de l’administrateur concerné. Chacun de ces messages est d’ailleurs totalement paramétrable. Détail amusant, nous avons été surpris de constater que lesdits messages étaient tous rédigés par défaut en anglais. Userlock détecte en effet la « localisation » du serveur et adapte son vocabulaire à la langue « native » du serveur (et non celle installée par configuration ou via d’éventuels « Language Pack »). Comme nos tests, par prudence et habitude, sont systématiquement effectués sur des serveurs US et des stations FR, cette configuration a déclenché ce « vrai-faux bug ». Un choix de la localisation des alertes mériterait d’être ajouté lors de l’installation, les bugs de « localisation de Service-Pack » et de rustines de sécurité ayant poussé bon nombre d’administrateurs à ne plus jamais acheter des serveurs Français.

… 2 mois plus tard

En deux mois d’utilisation, un serveur et une trentaine de stations, dont 8 « physiques » sur LAN, 5 VM sous HyperV et Virtual PC et 6 « distantes » via RAS, pas une seule fois Userlock n’a failli à sa tâche ni entravé l’usage du réseau avec des comportements non prévus. Les statistiques d’usage, les logs d’alerte sont clairs, simples à interpréter… même pour un journaliste. Certes, il y a un monde entre une petite « config de test » et une exploitation dans la « vraie vie ». Mais le mariage avec les ADS est si transparent que l’extrapolation à une organisation comptant plusieurs centaines de postes et comptes d’utilisateurs ne paraît pas poser le moindre problème.
Les défauts de Userlock ? Ceux de tous les outils de gestion : c’est un formidable révélateur de pagaille. A titre d’exemple, notre configuration de base comportait deux serveurs Linux (Un partage de fichier SMB, une base de données), dont les ACL étaient indépendants et calqués sur les comptes déjà créés sur le 2008 Server. Situation échappant bien entendu totalement à Userlock, qui ne pouvait prendre la main sur ces serveurs autonomes. Il a fallu rapidement plonger dans la documentation de SaMBa pour paramétrer correctement ces machines, synchroniser et inféoder l’accès à leurs ressources aux ADS de 2008 et non plus aux systèmes d’authentification locaux.

Editeur : isdecision
Version installée : Userlock 5.5
Configuration nécessaire : Serveur Windows 2000 à 2008 R2, IIS et ADS installés
Prix : 4,63 € (HT) par poste pour 100 à 200 licences

Dans un rapport d’une dizaine de pages, le Département de la Sécurité Intérieure (DHS) des Etats-Unis critique vertement le manque d’efficacité du Cert US, entité dépendante du DHS faut-il préciser. Une critique qui met en regard l’activité du « response team » national et l’état des systèmes informatiques de l’Administration Fédérale.

Reste que le Cert US –comme la majorité des Cert dans le monde, France y comprise-, n’a qu’un pouvoir d’information et de sensibilisation. Rien ne peut contraindre une administration de respecter à la lettre les recommandations du Cert, et rien ne permet au Cert de disposer de métriques précises sur le suivi effectif des mesures qu’il préconise (de telles mesures sont effectuées a posteriori, sur des périodes relativement longues). En outre, admet le rapport, le Cert US est en sous-effectif de manière chronique, et tourne actuellement avec deux fois moins de personnel que nécessaire. De cette pénurie de chercheurs qualifiés, il en résulte une désorganisation certaine, et notamment une absence totale de définition des buts à atteindre et des priorités à respecter.

Ce rapport arrive deux mois avant le déclenchement des grandes manœuvres CyberStorm III destinées à tester la réactivité des infrastructures IT nationales des USA, cyber-manœuvres qui, cette année, s’étendront à d’autres pays, notamment aux états du Commonwealth et 9 nations européennes dont la France. Ce sera, pour les Cert impliqués, l’épreuve du feu qui donnera ou non raison au DHS.

Dès que s’étale un bout de , au moindre poil frisant sur une charnue ou bien une belle paire de rebondies, il se trouve un senseur prêt à combattre ces preuves de turpitude au nom de la morale et de la préservation de la pureté de la race (chevaline, enfantine etc). Ainsi Apple qui, comme à son habitude, tente de réécrire le manuel de bienséance mondial en interdisant de diffusion une édition d’Ulysse de James Joyce. Roman déjà qualifié d’obscène lors de sa première parution, mais qui, depuis, ne choque tellement plus qu’il est souvent inscrit au programme du second cycle. Ce n’est pas le texte, cette fois, qui a provoqué cette brusque poussée de pudibonderie de la part des Gardiens de l’Ordre Moral de Cupertino, mais les illustrations de Robert Berry , nous apprennent nos confrères du Monde. La pointe d’un aurait-elle dû être floutée ? Que nenni ! Totalement supprimée ! « Cachez ce que je ne saurais voir ». A ce rythme et à ces raisons, les ouvrages traitant d’art statuaire se limiteront sur l’AppleStore à la publication des monuments néo constructivistes, long défilé de héros musculo-lombaires asexués et musclés marchant le regard droit et fier vers un avenir radieux.

Est-il utile de préciser que, face au tollé général, Apple a dû revenir sur sa décision et accepter d’assurer la diffusion sans réserve de cette édition d’Ulysse, paires de et bouts de y compris. Anastasie frappe souvent, chez ce constructeur-éditeur-diffuseur-penseur. Les auteurs de plus 5000 appliquettes, le caricaturiste Mark Fiores, les contenus osés de la bibliothèque classique Gutenberg ont déjà fait, par le passé, les frais de cette révision artistique.

Mais les histoires de ne frappent pas qu’Apple. Nos confrères du New Yorker nous apprennent que le dernier succès du monde Web Deuzéro, le déjà célèbre ChatRoulette, serait pratiquement obligé d’adjoindre un logiciel de détection de à l’air. ChatRoulette est une sorte de messagerie audio-vidéo instantanée qui met en relation des correspondants de manière totalement aléatoire. Une jeune Taiwanaise peut se retrouver face à face avec un vieux Corrézien, un Hippie Californien avec un rebel Ouzbèke caché dans sa yourte cabloalimentée… le but du jeu étant d’amorcer le dialogue avec une personne qui n’a statistiquement aucune chance de se trouver parmi les connaissances de chaque correspondant. Si le système peut favoriser l’apprentissage des langues vivantes, à l’écrit comme à l’oral, et surtout éviter d’entamer de véritable discussion avec de tout aussi véritables voisins, il encourage également certains exhibitionnistes. Lesquels profitent de ce nouveau médium pour afficher leurs flamboyants tout en se à l’aide d’un dépassant d’un (nos lecteurs sensibles excuseront certainement la crudité de nos propos hélas dictés par la nature même de cet article).

L’histoire ne dit pas quelle est la proportion de « rencontres malencontreuses » qu’un usager de Chatroulette est statistiquement susceptible de faire. Elle est très probablement moins élevée que le nombre d’images pornographiques qu’un adolescent doit visionner lorsqu’il tente de télécharger le dernier tube de Shakira sur l’un des principaux sites de WarEZ ou l’interface d’un site de référencement P2P. Là, les , les et les s’affichent au grand jour, de manière statique ou animée, sans que cela n’ait provoqué le moindre article dans les colonnes du New Yorker. Serait-ce parce que la société estime que le crime de téléchargement qui a motivé la fréquentation de ce genre de site est bien plus condamnable que tout ce qui gravite autour du business de la pornographie ?

André Wojciechowski, député UMP, vole au secours de l’étonnante proposition d’un autre député UMP, Jean-Louis Masson, lequel, on s’en souvient, souhaitait faire disparaître tout anonymat dans la blogosphère. Dans une question écrite fait à « Mme la secrétaire d’État chargée de la prospective et du développement de l’économie numérique » – alias NKM-, André Wojciechowski brandit à nouveau le spectre de la diffamation, mais cette fois-ci à propos des « sites de discussion ». En d’autres termes des forums.

La question du député est importante au moins sur deux points : En premier lieu, il semblerait que le fait de « communiquer ouvertement » constitue une dérive liée à l’évolution technologique, (l’on reprochait déjà cela à une autre invention diabolique, l’imprimerie), dérive qui « laisse s’installer un régime de liberté de parole qui va à l’encontre du droit » (sic). Les disciples d’Aristote apprécieront. Vient ensuite une demande de « personnalisation des messageries Internet par l’obligation de déclarer sa véritable identité ». Monsieur Wojciechowski André ignore probablement que, quelque soit le pseudonyme utilisé, tout « internaute » Français est identifiable par son numéro IP (cf le principe de fonctionnement de Hadopi), par son adresse email nécessairement liée à son pseudonyme, lequel alias email «primaire » ne peut être obtenu sans délivrance d’une identité réelle auprès d’un FAI. Certes, Internet fait peur, surtout aux personnes qui n’en maîtrisent pas toujours la réalité technique ou les fondements juridiques… voire les deux.

Mais plus que l’inutilité mécanique de cette proposition, ce sont les arguments invoqués qui laissent songeur. Selon la logique simpliste du « ceux qui n’ont rien à se reprocher n’ont rien à cacher », Mr le député Wojciechowski utilise une vieille ficelle qui a, par le passé, mis en péril plus d’une fois l’industrie Française, facilité les vols d’identité et considérablement aidé le développement de l’espionnage industriel en nos contrées. Car c’était avec ce même raisonnement que la France, tout comme la Chine, la Corée du Nord et quelques autres pays fleurant bon les démocraties populaires, que les clefs de chiffrement de plus de 40 bits ont été interdites par la DCSSI de l’époque. Plus loin encore, ce fut grâce à de tels raisonnement que les grands penseurs du Siècle des Lumières ont dû fuir leurs pénates ou imprimer leurs œuvres en Hollande ou en Angleterre, havres de liberté de la parole et de la pensée.

En instaurant un climat où la liberté de blâmer cède le pas à l’obligation d’éloges flatteurs, où la polémique est systématiquement supprimée sous prétexte de moralité ou de respect des convenances, les pourfendeurs de diffamation pourraient bien pousser les internautes les plus virulents à expatrier leurs comptes email au Kamchatka, leurs proxys aux USA et leurs blogs sur des serveurs localisés en Antarctique. D’autres se tournent vers La Barbade, le Lichtenstein ou les Iles Marshall pour des motifs moins avouables et ne soulèvent pas de tels assauts indignés.

Comment les serveurs d’AT&T ont-ils laissé fuir les données personnelles des premiers possesseurs d’iPad, et quelle « faille Owasp » les pirates ont-ils exploité ? Une analyse d’une bonne dizaine de pages par Robert Graham d’Errata Sec.

Fermer les Botnets est une tâche impossible : Sur Security News, un compte rendu de la toute dernière conférence First 2010, où a été évoqué une fois de plus l’usage contestable des « virus de désinfection ».

CPP, un spécialiste de la protection par carte, vient de publier une étude sur le « marché du phishing » en Grande Bretagne. Données édifiantes, puisque, le volume friserait les 3,7 milliards d’emails sur une période d’un an. 26% des sujets de Sa Gracieuse Majesté auraient été victimes des escrocs du net, 48% de cette proportion durant la seule année 2009. Soit un total annuel de 4 millions de victimes, à raison d’une victime toutes les 7 secondes en moyenne. Les pertes « par affaire » sont estimées à près de 285£ par victime, principalement provoquées par des phishing bancaires, des scam Nigérians et des carambouilles à la loterie. Au total, le montant des pertes annuelles estimées serait proche de 1,3 milliard de Livres Sterling. Ces chiffres peuvent sembler excessivement élevés comparés à la situation constatée en France. Mais la Grande Bretagne, pays anglophone par définition et par construction, est victime de l’universalité de sa langue et de l’expérience des « phishers » Américains, Russes et Chinois qui ont, au fil des années, affinés la qualité de leurs courriels douteux.

Cet écart ne doit pourtant pas minimiser l’importance du phénomène dans notre pays. Depuis un peu plus d’une année, l’on voit fleurir des hameçonnages (prétendument de Free, Société Générale…) rédigés dans un Français plus que plausible, et surtout hébergés sur des sites Français peu regardants, sous des enregistrements Whois dont la fantaisie est évidente.