novembre 18th, 2011

et … Cachez ce sein que je ne saurais voir : une attaque massive a visé le réseau social Facebook et remplacé nombre de photos de famille par des clichés un peu plus représentatifs des Œuvres Complètes (et non censurées) de Russ Meyer illustrant les contes de Boccace. Information qui aurait très bien pu couler dans le niveau et le caniveau de bruit ambiant du réseau en question si son exploitation n’était pas un peu sortie de l’ordinaire. Pour être « victime », l’utilisateur de Facebook devait, explique l’équipe sécurité du site via Mashable, copier et coller lui-même un Javascript dans la barre d’adresse de son propre navigateur.

Cette invitation au suicide (prenez cette bombe et déclenchez-la vous-même) est une première en matière d’ingénierie sociale. Car elle consiste à persuader une personne de créer elle-même les conditions du cross-site scripting qui permettra de compromettre sa machines puis son compte Facebook. Cette démonstration de hack, tant technique que psychologique, prouve une fois de plus que le premier facteur d’erreur ne se situe pas entre la chaise et le clavier, mais dans la confiance (totalement injustifiée) que certains éditeurs d’outils (tel Java) et gestionnaires de sites Internet ont su inspirer au grand public. Il n’y a guère de différences entre un message du genre « pour voir si vous avez remporté le gros lot, coupez-collez le texte ci-dessous dans la barre d’adresse de votre navigateur » et « si ce courrier ne s’affiche pas correctement, cliquez sur le lien ci-après » que l’on rencontre quasi systématiquement dans les courriers commerciaux.

Las, dans cette débauche d’image de débauche ont également été glissées des photographies de scènes de violence ou excessivement morbides, qui ont choqué bon nombre d’abonnés au réseau en question. Sans cette déplorable dérive, ce « hackening » aurait pu passer pour un remake des exploits sexuels publics d’un certain Diogène de Sinope sur l’Agora d’ Athènes. Les « defacers » n’ont rien inventé.

Hasard du calendrier, cette même semaine, le W3C publie le premier brouillon d’un futur RFC baptisé « do not track » (DNT), auquel collaborent les principaux éditeurs de navigateurs… dont Google. Ce RFC devrait définir des standards de codification et de blocage des outils de « suivi à la trace d’internautes », cookies indiscrets et autres accessoires. Chaque éditeur tente de camoufler ses usagers à sa manière, certains avec des plugins d’isolation, d’autres avec des listes opt-out (Google notamment), tandis que Microsoft dresse une liste blanche de sites à bannir, car réputés abuser en matière de flicage d’usagers. Chez Mozilla, la fonction est offerte aux usagers depuis le début de l’année.

Cette divergence d’opinions techniques montre à quel point il est difficile pour certains, selon leur degré d’implication dans le business de la publicité en ligne, de combiner le métier de prospection du consommateur et de gardien des libertés individuelles.