mars, 2011

Social engineering pour les nuls ou, sur la liste FD, comment pirater des comptes Twitter à la pelle à l’aide d’un script minimaliste. Un mécanisme sans grande imagination qui peut être étendu à la plupart des applications web intégrant une fonction d’initialisation du mot de passe. Dans certains cas, un simple Captcha peut être utile… ou une « question secrète » réellement secrète.

Quelques jours après l’enterrement « officiel » d’I.E. 6, voici que paraît Internet Explorer 9 : nouvelle interface, nouvelles fonctions d’optimisation… et un casse-tête supplémentaire pour les RSSI et responsables de déploiement

Insomniack 2011 vu par ses organisateurs, ses participants et intervenants : Bruno Kerouanton, Pascal Junod et surtout le compte rendu très complet d’Emilien Giraud

Nouvelle édition de Metasploit, 3.6, de disponible pour toutes les versions (pro, express et framework). Entre autres perfectionnements, un nouveau crible de conformité PCI

Ron Miller, journaliste aussi Américain que blogueur, revient sur l’idée de « droit à l’oubli » sauce Européenne ou tel que prôné par Nathalie Kosciusko-Morizet. « et pour parler franchement, le journaliste que je suis a la frousse devant une telle notion. Imaginez qu’un Richard Nixon puisse éliminer a posteriori toute trace de son implication dans l’affaire du Watergate ». Argument qu’il oppose immédiatement aux excès d’une « mémoire internet » qui exposerait en permanence la moindre incartade d’un adolescent, les propos haineux tenus par un lecteur répondant à un article de presse, les multiples stigmatisations, petites (ou grosses) calomnies et atteintes à la vie privée, à l’intimité des personnes. Même s’il pouvait exister une procédure légale ou morale qui facilite la suppression de certains détails gênants affectant un internaute, les caches Google, les « reprises » totales ou partielles de l’information par d’autres sites ou blogs, la propagation des propos par les réseaux sociaux rendraient vain tout espoir de véritable amnésie technique. Le droit à l’oubli est souvent juste et souhaitable, mais totalement irréaliste, conclut Miller.

Impossibilité technique, nécessité de mémoire historique, comportements naïfs ou imprudents de certains internautes, impunité quasi absolue des propagateurs de calomnie, agissant sous le couvert de l’anonymat… le « droit à l’oubli » soulève une multitude de vrais problèmes et un faux débat. Une solution politique ne pourrait que justifier l’instauration de nouvelles mesures de flicage, de nouvelles « bonnes idées » de la part du législateur qui, sous prétexte de protection de la vie privée, justifierait de nouveaux dispositifs d’identification encore plus intrusifs, de procédures de censure à action immédiate (si possible sans la moindre intervention d’un juge sous prétexte de ne pas encombrer les tribunaux). Ron Miller lève un lièvre, et toute une armée de rongeurs en profite pour s’échapper.

Car aux questions de préservation de la vie privée et du droit à l’oubli, se greffe celle de l’anonymat. Une question toute aussi épineuse que pose Christopher Poole, 23 ans, créateur de 4chan, et que développent nos confrères du Monde : d’un côté l’école Zuckerberg qui milite en faveur d’une identification de chaque usager de Facebook, de l’autre la réaction opposée de Poole qui, en raison précisément de la surexposition de la vie privée qu’occasionnent les outils de l’Internet 2.0, milite en faveur d’un « droit à l’anonymat » (qui éviterait de se poser plus tard la question du droit à l’oubli).

Débat manichéen, débat biaisé. Car combien sont hypocrites les propos de Zuckerberg sur l’obligation « morale d’une identification des personnes qui entraînerait une prise de conscience sur la responsabilité des propos tenus sur le Web ». Quand on fait fortune sur une industrie qui exploite le nombrilisme et le voyeurisme, plaider en faveur d’une rectitude morale frise le paradoxe. Et combien est tout aussi intenable la position de Chris Poole, qui oublie, dans la balance, le risque d’absence de frontières morales que pourrait entraîner un anonymat complet. Le masque qui éliminerait le sur-moi, en quelques sortes « pas de transparence et d’indépendance de l’information si l’informateur peut être personnellement identifié ; il ne peut y avoir d’information ou de communication fiable sans un anonymat protecteur de la source ou du créateur » dit en substance Poole. Les propos de Poole se défendent d’autant plus que 4Chan est plus un espace de happening et de manifestations parfois humoristiques et contestataires. Et ce qui touche au monde de l’expression graphique est indissociable de la notion de « nom d’artiste ». Le pseudonyme devient une marque de fabrique, une identité à part entière, qui accompagne l’œuvre ou l’expression. Mais l’anonymat possède également un côté moins artistique, plus obscur, celui des règlements de compte, des opérations de chantage ou de diffamation. Anonymat, identification systématique, droit à l’oubli ou obligation de souvenir, il n’existe pas de réponse tranchée. Et toute tentative de solution politique ou juridique cherchant à « résoudre ce grave problème » ne pourrait être que suspecte, ou naïve, ou les deux à la fois.

Un groupe de chercheurs de l’Université de Concordia a mis au point une méthode d’identification des courriels anonymes en se basant sur l’analyse des « combinaisons uniques de particularités récurrentes dans les courriels d’un suspect ». En gros, les tics stylistiques, les champs sémantiques, les fautes d’orthographe fréquemment commises, les barbarismes, les habitudes typographiques sont comptabilisés en engrangeant les courriers de toute une population. Cette base de connaissance une fois constituée, il suffit de trier les « coupables potentiels », la combinaison des différents critères finissant toujours par extraire un « profil stylistique » précis, une sorte d’empreinte digitale de l’écriture. La chasse au corbeau. Le communiqué précise « Afin de tester la précision de leur technique, le professeur Fung et ses collègues ont examiné le Enron Email Dataset, un ensemble de données de plus de 200 000 courriels réellement rédigés par 158 employés d’Enron Corporation. En analysant un échantillon de 10 courriels par sujet (avec 10 sujets au total, soit 100 courriels en tout) ils ont ainsi pu identifier leurs auteurs avec une précision allant de 80 % à 90 % ».

D’un point de vue technique, tout cela rappelle les outils d’analyse de documents ou de conversation mis au point par les « agences à trois lettres » d’outre atlantique, ainsi que, par certains aspects, aux algorithmes bayesiens utilisés par les logiciels antispam… en un peu plus perfectionné. La réelle valeur de la recherche, explique Benjamin Fung, coauteur de l’étude, professeur en ingénierie des systèmes d’information, se situe non pas au niveau des techniques de détermination des points remarquables ou dans le système de tri, mais dans la méthode utilisée tout au long du processus. C’est cette méthode et sa rigueur qui permet d’affirmer que la « preuve » ainsi constituée est recevable juridiquement parlant (du moins selon le cadre légal Canadien).

« Le 21 mars, promis, ce sera le 21 mars » affirme le communiqué d’Adobe. La récente découverte d’une exploitation « active » d’une faille Acrobat et Flash force donc l’éditeur à « pousser » un correctif hors calendrier et émettre une alerte « monoCVE ». L’exploitation serait, aux dires de l’éditeur, relativement peu fréquente, mais toucherait également les plateformes Windows, Mac, Linux et Solaris pour ce qui concerne Flashplayer 10.2.152.33, et Android pour flashplayer 10.2.154.13. Aucune information technique n’est fournie quant à l’origine de l’alerte, tout au plus soupçonne-t-on un problème dans authplay.dll, dll commune aux deux programmes affectés.

A noter que l’amorce de cette évolution vers le dématérialisé et l’ebook se traduit déjà par l’apparition d’une filière de piratage. Certes encore timide, mais proportionnelle à la place encore réduite que tient le livre électronique dans notre société. Une tendance qui pourrait bien s’amplifier en raison d’une massification des acteurs en présence. Car en éliminant, par suppression des réseaux de libraires de quartier, les petites maisons d’édition, le business du livre risque de succomber à la tentation du formatage, de la production adaptée au marché… et donc à la paupérisation du contenu. Tout comme dans le monde de la variété, la chute de la valeur intrinsèque artistique et culturelle des productions, donc sa dépréciation aux yeux des consommateurs, pourrait bien accélérer son foisonnement sur les réseaux P2P ou les sites de Direct Download. Et selon cette même logique, il y sera plus facile de retrouver du Desforges que du Pennac, des collections de l’Equipe que le dernier Onfray.

Tous les ingrédients sont déjà réunis pour que se mijote une Hadopi 3 ou 4 prenant comme prétexte cette fois le piratage des livres, ce qui pourrait être une occasion supplémentaire pour renforcer les dispositifs de surveillance IP sur des points que le législateur aurait, par mégarde, oublié. L’on parlera alors d’œuvres littéraires en péril, du sabordage du Patrimoine de la Pensée Moderne par des pirates irresponsables, et l’on fera témoigner le dernier Goncourt ou un postulant du Femina qui voudra bien clamer sa misère et la perte de son âme dans le maelstrom du réseau de réseaux.

L’autre écueil que devra éviter la nouvelle industrie du livre, c’est l’usage irréfléchi des outils de limitation d’usage, autrement dit les DRM (dispositifs anti-copie). Si l’industrie succombe à cette tentation sécuritaire, ce pourrait bien être la dernière balle qu’elle se tirera dans le pied avant son formatage par quelque grand groupe américain supportant des syndicats d’auteurs payés à la commande. Car, en tentant d’interdire l’échange et la copie d’ouvrages mêmes commerciaux, les boutiquiers de l’édition rendront illégal ce qui fait le plaisir de lire : découvrir un auteur et partager la passion qu’il peut susciter, transmettre ce bloc d’encre et de papier à un membre de sa famille, à un ami, à un proche, en lui disant « tiens, celui-là te plaira ». Le livre est avant tout un outil de communication. Non pas seulement entre son auteur et le lecteur, mais entre lecteurs dans une communauté d’esprit. C’est précisément de cette évangélisation par les amoureux des lettres que se constitue la chose la plus précieuse qui soit pour un éditeur : le lectorat. Une idée incompatible avec toute notion de sécurité informatique.

Tout comme sur le créneau des logiciels et des systèmes d’exploitation, les partisans du « Libre » ont leur rôle à jouer. Rôle d’autant plus important que déjà, quelques institutions ont ouvert la voie. Le projet Gutemberg notamment, les centaines de sites diffusant des ebook gratuits, la Bibliothèque Nationale aussi, sans oublier les auteurs qui placent leurs œuvres en Creative Commons. Contrairement au secteur du logiciel libre, qui a dû se constituer un catalogue au prix d’efforts considérables, l’édition du livre libre possède déjà un formidable thésaurus vieux de quelques millénaires et riche de milliards d’écrits. D’un point de vue technique, rien ne devrait à terme distinguer un ebook gratuit de son équivalent commercial… si ce n’est le fait que ce dernier sera ipso facto une œuvre contemporaine.

Cette histoire du « brick and mortar » succombant sous les coups de boutoir du « On Line », d’autres l’ont déjà subie. La presse papier, notamment, qui tente péniblement de se convertir au En Ligne . L’industrie de l’édition phonographique et cinématographique aussi. Rappelons-nous l’exemple Français : face à cette totale incompréhension de ce que devait être une véritable « offre en ligne », les éditeurs de musique de variétés se sont immédiatement retournés vers le politique. Lequel a imaginé un arsenal de mesures censées freiner cette descente aux enfers de la profession : taxes sur les supports, TVA sur l’accès Internet « vidéo » pour ne citer que les plus contestées. En contrepartie, les éditeurs ont joué le rôle de victime-alibi auprès de ces mêmes politiques, ceci justifiant la mise en place d’outils de surveillance sur Internet allant bien au-delà des mécanismes nécessaires à la poursuite du piratage d’œuvres, qu’elles soient de premier ou de second degré. La victimisation était inespérée et fut exploitée, en France notamment, jusque dans les derniers retranchements avec notamment les dispositions Hadopi première et seconde version.

Se prépare-t-il la même chose avec l’enterrement de première classe de l’industrie du livre et de ses réseaux de distribution ? On peut le craindre. Car, outre la concurrence des réseaux transnationaux comme Amazon, le Livre va devoir compter sans son coussin d’affaires que constituaient, dans la vieille Europe, les Classiques. Schiller, Hugo, Platon, Molière ? Tous sont dans le domaine public… et il n’existe plus aucun «possesseur de droits voisins », le temps des moines copistes étant légèrement révolu. Pourquoi payer du papier si l’on peut, en moins de 200 grammes d’électronique, disposer gratuitement de la bibliothèque de l’honnête homme et de ses milliers de volumes ? Les promoteurs du « cartable électronique » l’ont pressenti. Tout comme les spécialistes des « intégrales de Dumas » et des « best of Jules Vernes » imprimés sur papier-buvard à bas coûts sur des presses Chinoises et vendus par cyber-correspondance : pas de fond, pas de droit à payer, pas d’infrastructure, pas de réseau. Même les éditeurs peuvent se virtualiser.

Bien sûr, l’ouvrage de bibliophile, l’amoureux de La Pléiade ou de « l’in quarto nervuré et doré sur tranche » existera toujours, réservé à une élite, aux amateurs de belles choses, à ceux qui ont compris dès à présent qu’un véritable patrimoine culturel familial ne peut sérieusement reposer sur du dématérialisé. Mais la majorité des lecteurs optera pour l’édition « ebook », pour peu que les supports de lecture s’améliorent dans les années à venir. Quant aux ouvrages de « consommation courante » (roman, ouvrages techniques ou de vie pratique) ils deviendront de plus en plus une chasse gardée des sites marchands.

Il y a trois semaines, le Gouvernement actuel émettait une proposition de loi imposant le prix unique sur les livres et un abaissement du taux de TVA des ouvrages dématérialisés identiques à celui frappant les éditions papier (5,5%). La question du prix unique va au-delà des clivages politiques, et a autant d’adversaires que de partisans. Les motifs invoqués par nos députés lors des débats dépassent les simples considérations de taxation d’un nouveau type de media. Certains y voient une évolution logique du métier de l’édition, d’autres, très « confiants », y espèrent une existence parallèle, indépendante des circuits de distribution classique (librairies vs vente en ligne). Certains vont même jusqu’à espérer la naissance d’une industrie de services offrant de la « lecture on demand » à partir de bibliothèques situées dans le cloud, industrie dont l’existence n’aurait aucun impact sur les réseaux traditionnels. Ce sont, soit dit en passant, les mêmes qui militent en faveur d’une dépossession de l’ouvrage par l’usager et voient dans le modèle libéral Apple ou Amazon-Kindle un idéal de cyberlibrairie.

Il est coutume de dire qu’en termes d’évolution technologique, de développement industriel, d’évolution positive ou négative d’un marché, les Etats-Unis sont systématiquement en avance de 6 à 12 mois par rapport à l’Europe. Dans le secteur des librairies, le choc entre ouvrages traditionnels et livres numériques se traduit déjà par des situations assez préoccupantes.

Lorsque l’équipe de CNIS-Mag se déplace à San Francisco (comme ce fut le cas à l’occasion de la dernière édition de la RSA Conference), elle se rue traditionnellement et comme un seul homme chez « Borders », > LA librairie située sur Market, l’avenue la plus commerçante de la ville. Un temple de l’édition papier, où la philosophie côtoie le nouveau roman américain d’inspiration « SoCal », et où le rayon Electronique rivalise avec l’œnologie Californienne. Mais finies, les descentes chez Borders. Sur les 19 magasins en activité dans la « Bay », 11 ont été placés en liquidation… dont l’établissement de prestige sur Market. La chaîne, qui compte presque 650 boutiques aux USA, en a fermé 200. Et ce n’est pas fini. Un peu moins d’une centaine de succursales devraient encore disparaître cette année. La même maladie frappe pratiquement tous les concurrents. La faute à la crise ? La faute, affirment les libraires, à l’arrivée des livres électroniques et à la concurrence du On Line, autrement dit de la vente par correspondance proposée par les grands sites marchands. Pourquoi perdre du temps dans une boutique alors que choisir un livre sur Internet est plus reposant, quasiment aussi rapide, bénéficiant d’un fond bien plus large d’ouvrages, et souvent à des prix inférieurs à ceux de la distribution ? Car il n’y a pas de prix unique en Amérique du Nord. Il n’y a pas de prix unique non plus sur la Toile, et ce, dans le monde entier.

De toutes les grandes librairies traditionnelles du nouveau continent, pas une n’a vu son chiffre d’affaires augmenter entre 2009 et le dernier exercice, la plupart accusant même des pertes records. Seule exception : Barnes & Nobles, qui a su limiter la casse, explique un article du SF Chronicle. Et ce n’est pas un hasard. C’est l’un des rares « indépendants » qui commercialise son propre eBook et qui possède un site de vente en ligne performant. La librairie de quartier vit, en Amérique, tant aux USA qu’au Canada, ses dernières heures de gloire, et le livre papier devient peu à peu une chasse gardée maîtrisée par quelques grands cybermarchands, et plus particulièrement Amazon. Le livre électronique, quant à lui, se résume de plus en plus à deux plateformes : Kindle et iPad. Unité de réseau de distribution, unité de plateforme, unité de format de fichier : A côté de ce qui se prépare dans le monde de l’édition, même la fameuse hégémonie logicielle de Microsoft fait figure de cas de conscience pour élève d’école primaire.

Outre le double effet Internet, le livre américain souffre d’un formatage sociétal un peu particulier. Les ouvrages de « référence » constituent un coussin d’affaires assez peu prisé en Europe mais indispensable là-bas : livres miracles pour perdre du poids, pour devenir millionnaire, pour rafler le titre de meilleur vendeur du mois, pour choisir un avocat, pour réparer une canalisation, une automobile ou une installation électrique (les USA sont le royaume du do it yourself compte tenu du prix des industries de service)… De la tarte aux pommes à la réparation des ordinateurs, des citations d’hommes célèbres au « compendium » de la littérature américaine façon Reader’s Digest, on vend du prédigéré factuel par paquet de 500 pages. Or, cette littérature se consomme sur n’importe quel support : papier bien sûr, mais également sur ebook, téléphone, ordinateur portable… du pur contenu acculturel, c’est le lot des ouvrages qui n’ont strictement aucune valeur bibliophilique ou littéraire. Et c’est là que le marché du On Line (dématérialisé ou par correspondance) marque des points. En outre, la chute des ventes s’accompagne d’une baisse conjoncturelle des ouvrages plus classiques, du roman notamment, les nord-américains étant également relativement peu consommateurs d’essais au sens Français du terme.

Economiquement parlant, les éditeurs eux-mêmes se préparent à souffrir. Car la première conséquence de cette série de dépôts de bilan des libraires (ou plus exactement de « chapitre 11 » et du gel des dettes qui l’accompagne) va se traduire par une cascade d’impayés ou d’ouvrages envoyés au pilon. Quand un thésaurus repose sur des contenus conjoncturels, à courte durée de vie, le livre perd très rapidement toute valeur marchande et doit être envoyé dans les usines de pâte à papier après un ou deux mois. Lorsqu’un réseau de distribution s’écroule, les fournisseurs sont généralement les seconds à essuyer les plâtres. Surtout les plus petits, ceux qui ne peuvent accepter les conditions de vente des nouveaux réseaux « en ligne », que ce soit en termes de remise consentie qu’en matière de volume à fournir.