juillet, 2010

Le Cert Société Générale vient d’ouvrir un compte Twitter à follower sur>@CertSG . S’il existe déjà des Cert twiteurs, c’est probablement là le premier Cert bancaire à s’ouvrir à cette forme de communication. L’on y trouvera des alertes, des informations diverses allant de la recherche pure au signalement de sources d’information, en passant pas les réactions à l’actualité de la sécurité et les avis d’experts de terrain. De la quintessence d’information car, contrairement à ce petit billet, tout sera limité aux fatidiques 140 caractères.

Dans une note publiée sur un blog consacré aux affaires Européennes, Google jure ses grands dieux qu’après avoir suspendu la totalité de ses opérations de cartographie terrestre à l’aide des « GoogleCars », toute la flotte s’est vue retirer le moindre appareil de sniffing WiFi, que les données collectées jusqu’à présent ont été expurgées des bases, et que la grande aventure Google Street View reprendra timidement dans 4 pays : Irlande, Norvège, Suède et … Afrique du Sud. Ce qui dénote d’ailleurs d’une vision très étendue des limites de l’Europe. Cette cartographie sera enrichie, grâce à une série d’outils de télémesure laser, d’images 3D

L’affaire du « WiFi snooping » continue toutefois à retourner la planète, et certains hommes politiques, parfois ceux-là même qui prônent ou approuvent des lois sécuritaires quasi-Bigbrotheristes, continuent de vitupérer contre cette « inadmissible opération de flicage perpétrée par Google ». Le très conciliant « Privacy Commissionner » Australien, nous rapportent nos confrères d’El Reg, vont même jusqu’à qualifier cet acte de totalement illégal. L’Australie dont les lois autorisent les écoutes les plus permissives à l’encontre des internautes, sous les prétextes les plus divers, allant du terrorisme à la chasse aux cyber-pédophiles, en passant par la défense des producteurs de « musique industrielle ». Google, face à une telle attaque officielle, tend son rouge tablier et présente ses plus plates excuses….

Relevé par Boing Boing, cette information relative à une loi récemment adoptée au Brésil, et qui rendrait légal le fait de faire « sauter » une protection DRM si celle-ci « protège » une œuvre tombée dans le domaine public. Si ce genre de mesure a peu de chance de toucher les secteurs de la musique (car l’interprète est un ayant-droit) ou du septième art (pour d’évidents raisons de jeunesse technologique), elle pourrait bien chambouler le monde de l’édition. Une telle disposition supprime en effet les rentes de situation que s’octroient les éditeurs des grands classiques de la littérature mondiale, qui accaparent numériquement des titres qui ne leurs appartiennent en rien. Sans frais de papier et d’impression, sans frais de routage non plus, la diffusion de ce thésaurus d’œuvres anciennes ne peut justifier le payement du moindre impôt de la part d’une entreprise privée.

Cela ne va certainement pas plaire aux Apple, Amazon et autres industriels du livre électronique, qui tentent, entre autres stratégies, d’imposer leurs « solutions » auprès des établissements scolaires afin de voir se perpétuer la rente de situation constituée par la vente des œuvres classiques. En dépénalisant le « crack » des DRM apposés sur les œuvres du domaine public, le Brésil milite également en faveur d’une diffusion gratuite des véritables œuvres artistiques.

Rappelons qu’en France, outre les scan élitistes de Gallica, il existe quelques initiatives de qualité, telle la totalité de l’édition Furne de Balzac, en téléchargement gratuit sur le site de la ville de Paris, celle de Dumas Père *, soit au format html soit sous forme de fichiers pdf… Sans oublier le projet Gutenberg la très internationale initiative d’un universitaire américain.

*Ndlc Note de la correctrice : celui qui, dans la tradition de Luc Etienne, « montre à nos gens l’heure au trou ».

En attendant le prochain « patch Tuesday » et ses quatre bugs, dont le bouchon Ormandy, les administrateurs désœuvrés (s’il en existe) peuvent s’occuper en colmatant une vulnérabilité affectant les commutateurs « Industrial Ethernet 3000 » (IE 3000). Il s’agit en fait d’un défaut touchant le protocole snmp, et plus exactement deux « communautés » ayant pour nom « public » et « private » qui sont codées en dur, et par conséquent « permanentes ». Ce défaut n’affecte que les IOS 12.2(52)SE et 12.2(52)SE1. Une mesure de contournement est proposée, consistant à désactiver lesdites communautés à chaque démarrage de l’appareil, opération pouvant être automatisée via une politique de sécurité.

Les administrateurs de base de données, en revanche, se préparent quelques nuits blanches en raison de la préannonce du prochain lot Oracle : 59 failles, dont 21 touchant les produits Solaris et 13 bouchons pour la base Oracle. Quelques rares détails sont fournis dans le bulletin préparatoire de cette semaine.

« Facebook n’a pas amélioré sa politique de préservation de la vie privée, elle l’a simplement modifiée ». Propos tenus par Chester Wisniewski de Sophos.

Un nouveau journal en ligne pour les professionnels de sa sécurité et de la recherche de preuves : Digital Forensics Magazine

Qube, le « système à VM kleenex » de Rutkowska, attaque sa seconde phase alpha. Des captures qui donnent envie, des améliorations dans les domaines graphiques, sonores et réplication/backup

Nettoyeur de BDR pour machine grand public : il s’appelle F-Secure PC Booster Beta. C’est là un produit signé F-secure… et c’est une préversion avec ses risques potentiels

Roger Thomson, le Chief Research Officer d’AVG, publie sur le blog de l’entreprise un article d’un niveau technique relativement insignifiant, mais d’une profondeur insondable d’un point de vue humain. En fouillant dans le marais des messages Facebook, Thomson est tombé sur l’une de ces nombreuses alertes incitatives invitant à visualiser une séquence vidéo. Peu importe la « charge utile » ou l’escroquerie sous-jacente. C’est surtout le contenu du message d’incitation qui est étonnant, puisqu’il demande à la « victime » d’effectuer un couper-coller d’un texte vers le champ de saisie d’adresse de son navigateur. Un texte qui n’est rien d’autre qu’un javascript.

Sur les quelques 600 000 personnes ayant visité cette page –et qui, par le truchement d’un automatisme, se sont vues déclarer « aimer cette vidéo »- combien ont réellement effectué ce couper-coller ? Combien de temps encore pourra-t-on lire des bulletins d’alertes émis par les différents éditeurs expliquant que telle ou telle faille ne mérite nullement le qualificatif de « critique » compte tenu du fait qu’elle demande une « strong user interaction » ? la dissociation –voir la totale ignorance- de l’élément humain dans l’appréciation technique de l’exploitation d’une faille est encore le dernier rempart de certains fonctionnaires-comptables de la sinistralité logicielle dont le rôle est de maintenir les statistiques en deçà d’un certain seuil. Avec deux doigts de psychologie, l’on peut tout exiger d’une victime : saborder son propre ordinateur ou adopter n’importe quel comportement à risque. Mais contre çà, il n’existe aucun « patch ».

Brian Krebs nous apprend que les identités d’inscription de près de 4 millions d’utilisateurs de Pirate Bay  –notamment nom d’utilisateur et adresse email- auraient été accessibles via plusieurs attaques par injection SQL conduites par un hacker Argentin du nom de Ch Russo. Les données en question n’ont fait l’objet d’aucune modification ou communication à un industriel du divertissement, affirme le chercheur. Lequel n’aurait publié le résultat de son hack que pour sensibiliser les administrateurs de Pirate Bay et de ses usagers des carences de sécurité du site.
Bien sûr, aucun des lecteurs de CNIS Mag n’a pu être identifié au fil de ce fichier, exception faite de quelques chercheurs s’étant inscrits à des fins de pure analyse et intérêt professionnel …