juillet, 2011

Statistiquement, le prochain « mardi des rustines » signé Microsoft sera l’un des moins importants de l’année : 4 bulletins seulement… une peccadille. Mais si l’on y regarde de plus près, cette fournée risque d’être la plus « massive » jamais livrée depuis la création de l’entreprise : 22 CVE corrigés, soit une moyenne de 5,2 trous par bulletin. Du cumulatif au concentré d’extrait d’essence de vulnérabilité, fait d’autant plus rare que juillet est un mois impair, généralement plus « léger » en termes de volume que les mois pairs (juin : 16 bulletins, 34 CVE). Il faut préciser, à la décharge de Microsoft, que bon nombre de ces failles ne sont que des « variations sur un thème », en l’occurrence la continuation des colmatages des risques de « DLL hijacking », ou détournement de dll selon l’emplacement de celles-ci et la priorité de lecture qu’autorise le système.

Chez Apple, les affaires ne vont pas pour le mieux côté correctifs. La politique de «fermeture du noyau pousse la communauté du hack à multiplier les efforts pour « jailbreaker » les appareils de l’éditeur-constructeur-revendeur-maître à penser, outils destinés à circonvenir l’intégrité du système à des fins honorables… mais potentiellement exploitables dans des buts nettement moins honnêtes. Ce qui, paradoxalement, fait en sorte qu’à la fois les auteurs des outils de jailbreak ainsi que les ingénieurs d’Apple cherchent à publier le plus vite possible des correctifs de sécurité. Chacun ayant quelques légères divergences d’opinion sur l’art de concevoir un bouchon : les uns dans le but de sécuriser sans porter atteinte au jailbreak, les autres dans l’espoir de sécuriser et de recapturer l’usager et son système. Devançant donc l’édition de la prochaine rustine Apple, les auteurs du dernier outil de déplombage à la mode, JailbreakeMe, conseillent à leurs usagers d’installer un correctif du lecteur de fichiers PDF… une vulnérabilité qui visait jusqu’à présent aussi bien les possesseurs de téléphones iPhones que les propriétaires d’iPad et autres appareils sous iOS 4.3.3. A noter que précisément, Jailbreakme utilise ladite faille pdf pour contourner les protections Apple. Le message peut donc être lu comme un conseil : fermez la porte que vous venez d’emprunter.

Pour les autres (ceux qui n’ont pas « libéré » leurs appareils), il ne leur reste plus qu’à espérer ne pas tomber sur un fichier pdf forgé au cours de leurs navigations. Le risque est faible mais l’ironie est forte.

Les polices Helvétiques et Italiennes auraient, nous apprend World Radio Switzerland (101,7 MHz sur les pentes du Salève) que 15 membres présumés du mouvement « Anonymous » auraient été arrêtés pour avoir porté atteinte à des infrastructures gouvernementales, d’entreprises ou de médias Italiens. Le chef du groupe serait âgé de 26 ans, mais 5 des suspects seraient mineurs de 16 ans. Les arrestations auraient eu lieu de part et d’autre de la frontière.
Nos confrères de WRS laissent entendre que 30 autres personnes feraient l’objet de recherches et seraient suspectées d’avoir aidé les supposés coupables.
La RAI, de son côté, fait état de seulement 5 arrestations (http://www.tg1.rai.it/dl/tg1/2010/articoli/ContentItem-dd5fbd8e-d835-4979-9b8b-39e25375e922.html), mais confirme l’âge et le lieu de résidence du « chef » présumé. Probablement une histoire de comptage aussi complexe que celui des gypaètes barbus (http://fr.wikipedia.org/wiki/Gypa%C3%A8te_barbu) qui survolent les frontières et opposent les ornithologues des deux pays.

Le blog de Sophos a amoureusement conservé le détournement graphique dont a été victime le compte Twitter de Paypal UK. C’est là manifestement l’œuvre d’un client mécontent des services de l’intermédiaire de payement, client qui en a profité pour remplacer le logo de l’entreprise par un dessin aussi imagé qu’imaginairement odorant. Le tout accompagné d’un message comparant le niveau de sécurité dudit Paypal à l’illustration ci-avant mentionnée. En bref, un déçu de Paypal a fait son « Anonymous » à lui tout seul.

Paypal UK réagit immédiatement. Après avoir repris la main sur son compte Twitter, l’entreprise fait publier un communiqué de disculpation dans les colonnes du Blog Sophos : « There is no link between customer systems and our Twitter account ». « No link »… Comment doit-on l’interpréter ? En France, l’explication serait claire : les ordinateurs utilisés pour Twitter ne sont pas reliés, de quelque manière que ce soit, à ceux chargés des transactions en ligne. Mais nous sommes au pays de l’understatement, du non-dit subtil qui en dit plus long que ce qu’il semble raconter. Ce No Link pourrait alors revêtir plusieurs significations.

Soit le compte Twitter en question n’est pas et n’a jamais été tenu par un représentant de Paypal. Soit le compte Twitter n’a reçu l’aval d’aucun responsable du service informatique en général et des spécialistes en sécurité en particulier… ce qui impliquerait que le pouvoir de consultation desdits responsables sécurité est pratiquement nul. Ou plus simplement que le personnel Paypal chargé de « twitter » agit en franc-tireur et n’a effectivement aucune relation avec l’organisme de payement.

L’autre « point exquis » de cette fracture informatique, c’est celui de la banalisation du règlement de compte. Les Anonymes, tout comme les autres mouvements hacktivistes, ont tenté avec un certain succès de légitimer une certaine forme d’auto-justice expéditive, qui ne tient compte d’aucune proportionnalité des peines, qui nie toute possibilité de défense ou de justification, qui élimine tout parti indépendant –juge ou tribunal- qui viendrait apporter un semblant d’équité. La moindre cyber-escalope filandreuse ou le plus petit techno-yaourt pas frais pourrait bien provoquer une riposte d’une violence toute nucléaire contre les online-boucher-charcutiers ou les crémiers-branchés.

Samantha Murphy, du New Scientist, consacre deux pages du magazine à l’interview d’un membre présumé du mouvement LulzSec. Entrevue toute en finesse, parsemée de questions en apparence anodine, mais qui dressent un portrait sans concession d’un être qui se fond dans l’idéologie et la phraséologie de la « meute », sans s’émouvoir des conséquences de ses actes –bien au contraire- sans même se poser la moindre question sur la causalité ou l’éthique du mouvement. Un subtil mélange entre « j’avais des ordres » et « le parti a toujours raison ». L’un des passages les plus étonnants étant celui où l’interrogé estime qu’il est quasiment préférable pour un particulier d’être victime d’une « exposition » publique de ses données personnelles par le clan LulzSec que par des organisations mafieuses. La frontière entre le « pouvoir d’indignation » et le « coup de main de milicien » n’existe plus. C’est d’ailleurs sur cette absence d’analyse et de mesure témoignée par les attaquants qu’exploitent à plaisir les « victimes » qui, malgré l’impéritie de leurs politiques de sécurité, ne se gênent pas pour jouer les victimes et demander des lois et des sanctions.

Cette « double culpabilité » qui caractérise chacun des deux camps, Cédric Blancher la décrit avec une méticulosité désabusée. Le Lulz est le pendant démoniaque du délabrement –ou du j’menfoutisme- de certaines directions informatiques, voire de certaines directions « tout court ». Mais à quoi est dû ce lent pourrissement des défenses des S.I. du secteur industriel ? Les coûts d’équipements ? La quête d’économies à tous prix ? L’âpreté de la compétition des marchés ? Peu probable. Lorsque la patrie-entreprise est réellement en danger, les crédits mettent peu de temps à être débloqués. Et si le monde du commerce est une guerre économique perpétuelle, il est logique que les boucliers constituent une première ligne de défense.

Il y aurait bien une explication, pourtant. L’interventionnisme constant des Etats-Providence qui volent en permanence au secours des rouages de l’économie libérale. Si Sony en appelle à un durcissement des lois contre la cyberdélinquance, c’est probablement parce que cette entreprise est habituée à ce que les politiques réagissent en ce sens, par instinct populiste, pour des raisons électoralistes… Un Etat qui « cocoone » les plus beaux fleurons de son économie, qui semble se substituer à leurs défenses naturelles, mais qui en fait ne vise que sa propre survivance politique. Une telle hypothèse ne peut plaire à personne, car tous les membres de ce ménage à trois sont également –et à la fois- dupes et coupables.

« Faites-vous bigbroser, c’est pour votre bien » semble répéter Google : la chasse aux derniers partisans de l’anonymat sur Internet prend un tournant un peu plus radical en ce début de mois avec la décision de Google de supprimer d’ici 30 jours les profils privés et imposer la publication du sexe et du nom complet des Googlenautes inscrits en ses fichiers.

Or, devenir Googlenaute, c’est comme mettre le pied gauche dans un carré de Psilocybe semilanceata : c’est quasi invisible, totalement imprévisible, hautement automatique. Que l’on ouvre un compte Gmail ou que l’on souhaite consulter une liste de discussion, suivre les inutilités diffusées par Youtube, bloguer ou naviguer sur le web à l’aide de Chrome, Google indexe, classe, enregistre, répertorie et vend à des publicitaires le résultat de cette bienveillante attention.

Les plus anxieux de nos lecteurs chercheront donc à éditer ce fameux profil pour en réduire un peu plus la surface d’attaque. Ils risquent d’aller de surprises en surprises. A commencer par la découverte soit de nouveaux champs activés par défaut ( Utilisez les informations de mon compte pour me présenter des publicités pertinentes) ou des procédures de déléature d’information étrangement absentes. Ainsi le lien « Désactiver l’historique de recherches de Google» aboutit sur une page débutant par un très encourageant « Les informations demandées ne sont pas disponibles dans votre langue », suivi d’une procédure expliquant précisément comment « Enable search history » et non l’inverse.

Le tout parsemé d’incitations à l’enregistrement de nouvelles informations, telles que les numéros de téléphone portable. Comment extorquer une telle donnée personnelle ? En jouant sur la peur, l’incertitude et le doute, bien sûr. Armes qui ont fait leurs preuves dans bien des domaines, et plus particulièrement dans celui des « scarewares ». « N’attendez pas qu’il soit trop tard. Les utilisateurs ne possédant pas d’options de récupération sont neuf fois plus susceptibles de perdre l’accès à leur compte. Protégez votre compte en vous assurant que vos options de récupération de mot de passe sont à jour ». Ladite information de récupération de mot de passe s’avère être… le numéro de téléphone portable de l’intéressant intéressé, car c’est, nous dit-on, le meilleur moyen d’expédier une information textuelle de manière fiable, sécurisée, personnalisée et xxxxx (ajouter ici le terme sécuritaire qui flattera le mieux vos angoisses existentielles).

Glissons sur l’enregistrement de l’historique Web « in the cloud »systématique et activé par défaut dont pratiquement aucun usager n’a connaissance (1 spécialiste sécurité averti sur un panel de 25 « sondés » proches de la rédaction et donc théoriquement au fait des pratiques Google, encore doit-on préciser que ledit spécialiste averti se pique d’analyse forensique). Ne mentionnons pas plus l’apparente impossibilité de supprimer (ou peut-être est-ce camouflé dans un sous-sous-menu ésotérique) l’historique de la section « ma bibliothèque ». Dis-moi ce que tu lis, je te dirais qui tu es, proverbe bien connu des boutiquiers du html. Arriveront-ils à effectuer une corrélation entre la vente d’un technogadget et la lecture de « Essai sur les mœurs et l’esprit des nations » écrit par un certain François-Marie Arouet, défenseur de l’esclavagisme et des cultes mythologiques ? Serions-nous client pour une paire de menottes vendu par « S.M.-Boutique, le Web marchand de tous vos fantasmes » ou lecteurs potentiels de « l’Introduction à la vie dévote », édition expurgée à l’usage des jeunes filles ? De quoi se perdre en conjectures …

Un jeune délinquant d’Irlande du Nord âgé de 13 ans a dû, sur décision du Juge pour enfants, accepter la confiscation de sa console de jeu en guise de peine. Arrêté pour de multiples affaires de vol, expliquent nos confrères de la RTE, l’enfant a avoué que son bien le plus cher était une Xbox, bien dont la suppression provisoire, espère le magistrat, sera plus marquante qu’une réprimande. Des interdictions de toucher à un ordinateur ou de se connecter à Internet ont souvent été requises contre des hackers notoires. Cette gradation de la « proportionnalité des peines par limitation du bien-être» pourrait donner lieu à un code pénal d’un genre nouveau destiné à frapper les ados là où ça leur fait mal, en plein cœur du plexus de la geekitude. Traverser en dehors des clous : privé d’Arduino pendant un mois. Absence de port de casque sur vélomoteur : gel de l’abonnement SMS illimité. Manque de respect envers un enseignant : bannissement de Facebook durant 3 mois. Piratage d’une œuvre cinématographique : suspension de l’abonnement Internet…

Marc Rees nous offre, comme à son habitude, un petit bijou de précision et d’objectivité, article intitulé « Hadopi : le streaming, le direct download, les NG et le FTP… Collaboration vers le filtrage ? ». La majeure partie de l’article relate les propos de Christophe Alleaume, professeur à la faculté de Droit et des Sciences Politiques de Caen et chef d’orchestre du « Lab de l’Hadopi » qui planche sur le thème « propriété intellectuelle et internet ». Propos publiés initialement par nos confrères du Nouvel Obs qui ont interviewé le Professeur.

Dans les grandes lignes, ledit comité est chargé de « soulever » des questions sans avoir le pouvoir de les résoudre (Questions notamment sur la technique virale d’incitation au piratage des principaux fournisseurs d’accès, de leur responsabilité, de celle des « fournisseurs de contenu illégal » etc.), charge aux autorités supérieures, respectivement l’Hadopi, le Ministère de la Culture puis le Parlement, de choisir le « point exquis » qui justifiera une nouvelle campagne de surveillance et de filtrage des données transmises par les particuliers et les entreprises. Une sorte de comité de sélection du casus belli. Sont d’ores et déjà en ligne de mire le streaming (technique dans laquelle entrent les communications VoIP/ToIP/Vidéo IP), les transmissions de fichiers en direct et tout autre procédé (attachements morcelés via nntp, ftp etc.). Le tout, il faut s’en souvenir, sans qu’il soit nécessaire d’obtenir la moindre commission rogatoire ou la plus petite signature d’un juge d’instruction. A noter, quelques lapsus très révélateurs publiés par nos confrères du Nouvel Obs, qui, après un titre clair qui indique que ce n’est pas le protocole qui crée la culpabilité, mais l’usage qu’on en fait ( « Le streaming n’est pas illégal »), l’interviewé déclare « Avec le peer-to-peer, tous les internautes de bonne foi étaient conscients de l’illégalité de la chose. Mais cela est beaucoup moins évident avec le streaming» qui exprime exactement le contraire. Le protocole redevient illégal, et non l’usage, ouvrant ainsi la porte à tout type de surveillance de contenu sous prétexte de protection de la « propriété intellectuelle ». Des propos tenus par un professeur de droit dont la portée est lourde de conséquences. Entre les barbouzes de la NSA et celles des services Français, chaque application IP possède son propre canal de fuite.

« Microsoft étant une entreprise des Etats-Unis, elle se doit d’obéir aux lois de son pays tout comme à celles des pays dans lesquels sont situées ses filiales. Mais si le « patriot Act » était invoqué pour des raisons de sécurité nationale, même les données Européennes hébergées dans des datacenters Européens pourraient être communiquées aux autorités américaines… les entreprises ayant signé un contrat avec l’hébergeur pourraient même ne jamais en être averties. Microsoft, pas plus que n’importe quelle autre entreprise US ne peut garantir le contraire » déclarait en substance Gordon Frazer, l’un des patrons de Microsoft UK à l’occasion du lancement d’Office 365, la suite bureautique hébergée « dans le cloud » et officiellement opérationnelle depuis le milieu de cette semaine.
L’article dévoilant ces révélations, signé Zack Whittaker de ZD net (http://www.zdnet.com/blog/igeneration/microsoft-admits-patriot-act-can-access-eu-based-cloud-data/11225), s’inscrit dans la droite ligne des propos tenus par d’autres responsables d’entreprises US (souvenons-nous de Symantec et de sa « cécité sélective » en cas de détection du spyware du FBI Magic Lantern). La conclusion de Whittaker est limpide : « Any data which is housed, stored or processed by a company, which is a U.S. based company or is wholly owned by a U.S. parent company, is vulnerable to interception and inspection by U.S. authorities » ( Toute donnée hébergée, stockée ou traitée par une entreprise US ou filliale détenue par une entreprise US est susceptible d’être interceptée et analysée par les autorités US). Et dire que l’on craignait les conséquences d’une attaque Titan Rain, Night Dragon ou Aurora. C’est toujours çà que les Chinois n’auront pas…