La prochaine et très attendue conférence parisienne Hackito Ergo Sum se tiendra du 7 au 9 avril 2011. L’appel à communications est lancé et s’achèvera le premier mars prochain. Les articles seront visés par un comité de lecture impressionnant, parmi lequel on remarque les noms de Tavis Ormandy, Barnaby Jack, Dino A. Dai Zovi, Raoul Chiesa, David Litchfield, Jonathan Brossard, Nicolas Ruff et bien sûr Matthieu Suiche et Philippe Langlois.
HES n’est pas seulement un cycle de conférences orientées sécurité. C’est aussi un lieu de rencontres et de partages techniques, de vulgarisation des techniques parallèles aux mondes du développement et de l’informatique, un observatoire technologique et sociologique de l’évolution du hacking (au sens « maîtrise technique » du terme). La première édition, qui s’était déroulée l’an passé au cœur du quartier des antiquaires, à Saint Ouen, avait fait salle comble.
Les thèmes abordés iront du monde des réseaux aux vulnérabilités des architectures Scada, sans oublier les traditionnelles conférences sur les failles conceptuelles liées à la programmation, les nouveaux outils d’écoute des réseaux sans fil (dont les évolutions de GnuRadio) etc. Bien sûr, un HES sans concours « capture the flag » ne serait pas un HES… un ctf « réseau » et un concours de crochetage de serrures sont à prévoir.
l’Union des annonceurs (UDA), l’Union des fabricants (UNIFAB), le Syndicat de la presse quotidienne nationale (SPQN), et le Syndicat de la presse magazine (SPM) viennent « à nouveau » précise le communiqué, de protester contre l’ouverture d’un nouveau service Google « qui permet à quiconque d’acheter des marques, en tant que mots-clefs, pour déclencher ses liens commerciaux ».
L’achat de mots capables de déclencher l’affichage d’une publicité ou placer en tête de tri un « lien sponsorisé » est l’une des techniques les plus controversées parmi les mille et une astuces mises en place par Google. Elle permet notamment de s’approprier, pour une période donnée, un terme qui provoquera l’affichage en tête de requête d’un lien conduisant l’internaute vers … n’importe quel site, y compris celui conçu par une marque concurrente ou un site tendancieux. Les partis politiques sont friands de ce genre de choses, et l’on se souvient encore des mots «violence», «émeutes», «banlieue» ou «racaille» achetés en 2005 par l’UMP et incitant l’internaute à consulter (et éventuellement participer à) une pétition soutenant la politique de fermeté du gouvernement. Les autres partis politiques en ont probablement tout autant à leur actif d’ailleurs.
Un achat de mot qui peut également être contourné afin d’obtenir des résultats équivalents, puisque les professionnels du phishing et du scareware (ainsi que certains groupuscules extrémistes) se lancent régulièrement dans des campagnes de SEO (Search Engine Optimisation) visant à faire prendre de faux antivirus pour d’authentiques outils de protection périmétrique, de véritables contrefaçons de montres asiatiques pour des chronographes Helvétiques et des vessies garanties sur facture pour des lanternes grand teint.
… ce qui ne rassure pas franchement les possesseurs de marques, et notamment les signataires de cette lettre ouverte à Eric Schmidt, qui espèrent d’une part montrer leur unité face à cette sorte de « machine à détourner les marques », et d’autre part, inciter le patron de Google à réfléchir à des solutions techniques capables d’assurer un meilleur contrôle quant à la légitimité des « acheteurs de mots ». Revendication d’autant plus justifiée que de telles pratiques n’ont pas cours en Australie ou au Brésil par exemple. Alors, pourquoi inféoder le marché Européen aux pratiques en usage aux Etats-Unis ? Voilà pour la partie purement politique et stratégique de l’affaire.
La partie tactique, de son côté, est déjà bien engagée, puisque plusieurs actions auprès d’instances nationales ont été lancées à l’encontre de Google, nous apprend Gérard Noel, Vice-Président Directeur Général de l’UDA, l’un des signataires de ladite lettre. Il est probable que le verdict des différentes chambres conditionnera la suite à donner à cette lettre. Google est une entreprise qui a tendance à se montrer plus attentive aux demandes de ses clients à partir du moment où celles-ci sont accompagnées de gens de robe.
Reste qu’en attendant Google a tout intérêt à jouer les prolongations, car tant que le business des «adwords » fonctionne, tant que règne en Europe une confusion entre la notion de marque déposée et celle de mots génériques, le business des mots déclencheurs de liens continuera à rapporter.
11 CVE et… trois bouchons seulement. Le prochain « mardi des rustines » sera concentré et légèrement atypique, puisque –une fois n’est pas coutume- ne comprenant pas le moindre « cumulatif I.E. ».
Le bulletin prévisionnel précise qu’une rustine Office est qualifiée de critique, fait relativement rare. Chez Microsoft, il faut généralement deux conditions pour mériter un tel grade : il faut tout d’abord que le trou soit techniquement exploitable, qu’il le soit « à distance » et non seulement depuis la console, et qu’enfin il n’exige pas d’interaction avec l’utilisateur du programme en question. Ce dernier point est assez rare dans la gamme Office. Etaient qualifiées de critique dans le catalogue des produits bureautiques les failles permettant par exemple l’exécution d’une applet depuis l’interpréteur html de Outlook. Cette faille affecte toute la gamme, de Office XP SP3 à 2010 64 bits, et s’avère paradoxalement « importante » sur les anciennes éditions et « critique » sur les versions les plus récentes. A noter que la faille est également présente sur les versions Macintosh d’Office 2011, avec le qualificatif d’important.
Un second bulletin signale l’existence d’un trou de sécurité dans l’outil de développement marketing de 4ème génération, Powerpoint, éditions 2002 et 2003 SP3. La troisième faille affecte Forefront Unified Access Gateway 2010 quel que soit le niveau de mise à jour.
Comme il est de tradition, ce lot de rustines est accompagné d’une mise à jour du Windows Malicious Software Removal Tool.
Rappelons que jeudi dernier, Adobe bouchait 18 CVE et recommandait à ses usagers d’adopter la version 10.1.102.64 de Flash Player
Alerte rouge : La faille CVE-2010-3962 affectant Internet Explorer 6.x à 8.x serait exploitée par au moins un « malware toolkit » nous apprend un billet du blog AVG
Trou Apple=trou Android : Une belle démonstration de fuzzing bien tempéré vient d’être publiée par M.J. Keith d’Alert Logic. Faille inhérente au webkit également utilisé pour Safari
Une rapide histoire de l’informatique d’espionnage, couvrant de 1914 à 1972, rédigée par la NSA, est disponible sur le site Cryptome. A lire, ne serait-ce que pour l’ironie de certains noms de code …