Parfois, la lecture des quotidiens donne lieu à d’étranges télescopages. Dans les colonnes de 20 minutes, notre consœur Anabelle Laurent titre Facebook dit avoir «appris» du faux bug du 24 septembre . Et revient sur les modifications des droits d’accès plus ou moins malheureuses que les administrateurs du réseau social avaient cru devoir prendre. «Nous avons pris conscience que l’usager ne pense pas tout à fait comme nous et ne nous comprend pas toujours » dit en substance le directeur des affaires publiques de Facebook en Europe. Et de promettre de s’amender à l’avenir.
Et comme en répond à ce chant des sirènes, nos petits copains de Network World et du HNS titrent respectivement « Facebook to revoke users’ right to vote on policy changes » et « Facebook wants to eliminate user voting on privacy changes ». Cette fois, le vice president of communications, public policy, and marketing déclare peu ou prou « nous avons bien aimé écouter vos avis jusqu’à présent, mais franchement, le mécanisme de consultation que nous avons mis en place devenait ingérable en terme de volume et n’apportait que peu de qualité quant au contenu des commentaires ». En d’autres mots, « merci, on vous promet de penser à vous lorsque nous changerons nos politiques concernant l’usage du réseau et la préservation des données privées.» Et d’annoncer l’intention de mettre fin au système consultation par vote auprès des membres de la communauté Facebook. Une réponse à la « Français, je vous ai compris », une réponse à la « cause toujours, tu m’intéresses ».

En juillet dernier, un scoop du Telegramme breton révélait que le palais de l’Elysée avait été victime d’une intrusion. Comment ? Durant combien de temps ? Avec quelles conséquences ? Silence radio de la part de l’Anssi en général et de son patron Patrick Pailloux en particulier, qui tenait tête aux incessantes questions des journalistes conférence de presse après conférence de presse. Son courage stoïque fut héroïque… mais vain.

Car nos confrères de l’Express sont pourtant parvenus à découvrir une « gorge profonde » et révèlent comment le gouvernement le plus high-tech de de la Vème République s’est fait intruser par une stupide opération de phishing lancée depuis un réseau social grand public, Facebook en l’occurrence. Une fois les mots de passe récupérés, les intrus auraient parsemé ce qui semblerait être une variante de Flame, laissant ainsi planer de sérieux soupçons sur l’origine US de l’attaque. Fermez le ban, rebootez les firewall.
Bien entendu, le cyber-espionnage étant par définition et par construction une activité ou le « plausible deniability » est un art de vivre, le gouvernement US, en la personne du porte-parole de l’Ambassade des Etats-Unis, a nié avec vigueur, avançant comme argument que la France est un allié. Comme si en matière de renseignement ce genre de considération pouvait jouer. Le précédent Président de notre République ne taquinait-il pas le Premier Britannique en lui expliquant qu’il pouvait être sage de mieux chiffrer ses emails ? En matière de barbouzerie, les amitiés ne sont que provisoires.

Paradoxal également le fait que cette mésaventure frappe une équipe qui, lorsqu’elle a pris possession des lieux, prétendait dépoussiérer les usages et mettre un peu de « high tech » dans les rouages de l’Etat. Une geekitude mal digérée qui avait, à l’époque, fait réagir les services de sécurité de la Présidence en déconseillant fortement la profusion de téléphones Blackberry dans les poches des Ministres et la multiplication des connexions Internet. A trop vouloir jouer branché, on finit par se faire p(r)endre.

Mais la véritable morale de cette histoire, c’est que la République possède un véhicule très rare et très complexe : la communication de crise à deux vitesses. En position « route », elle accepte de communiquer à propos des hacks de Bercy ou émet quelques notes désolées sur l’intrusion d’Areva. Net progrès par rapport aux années de plomb des années précédentes. A moins qu’il ne s’agisse d’une prise de conscience du fait que le silence n’arrange pas les choses. En position « tout terrain/Elysée », en revanche, la loi du silence, l’insupportable « raison d’Etat » prévaut. Une omerta (terme d’actualité) qui ne s’explique pas, puisque ce que demande le public, ce qu’exigent les citoyens, ce n’est pas de connaître le détail de ce qui a été volé, mais d’être informé des dysfonctionnements et des mesures de remédiation qui en ont été tirées.

Il est tout à fait secondaire de savoir si oui ou non l’attaque provient des USA. La preuve par « la présence d’une probable mutation de Flame » n’en est pas une. Même les virus se font « reverser ». Le raisonnement inverse est également vrai : en se servant d’un outil connu, donc trop identifiant pour être utilisable de manière discrète, les espions d’Outre Atlantique se disculpent : une telle erreur, une telle signature constituerait une erreur de débutant totalement improbable. Ainsi disculpés, ces modestes agents Fédéraux peuvent donc utiliser leurs vieux techno-chassepots. Bref, la « signature » d’un virus est aussi significative qu’une adresse IP aux yeux du monde (exception faite de l’Hadopi).

Des « avis défavorables » émis par différents Etats (principalement l’Australie, mais également la France, la Grande Bretagne, le Mali ou l’Allemagne) ont été communiqués et publiés par l’Icann, ou plus exactement par le GAC, conseillers de l’Icann pour tout ce qui concerne les questions de droit international.

A l’origine de cette grogne, la volonté de l’Icann de varier les noms des « top level domain » et sortir du carcan des .Com, .Net ou .Org. Carcan, il est à noter au passage, qui a été encouragé par bien des instances chargées de la gestion des TlD nationaux. Comme cela a notamment été longtemps le cas en France, les domaine nationaux (.fr) étaient vendus à des prix tellement dissuasifs qu’ils ont renforcé la prédominance des .com et napalmisé toute idée d’un internet national.

Ainsi donc sont nés les gTlD, ou noms de domaine de nouvelle génération. Immédiatement, les idées les plus folles ont germé dans les esprits féconds de la gente marketing du monde entier. Et l’on vit fleurir du « .pizza » et du « .Porn » comme bouton de rose et d’acné lorsque vient le printemps, accompagnés de tout ce que le monde pouvait compter comme marque déposée au Nasdaq et au Stock Exchange. Verra-t-on du .microsoft et du .cocacola côtoyer du .target ou .sanzot ? Constatant que, derrière ce déchainement d’idées toutes aussi mercantilistes les unes que les autres, se cachaient quelques belles occasions d’escroqueries, l’Icann a sagement reculé la date de mise en œuvre de ces gTlD.

Et à raison semble-t-il, si l’on en juge par les réclamations des différents pays. « pas de .roma sans l’approbation des édiles de la capitale » vitupèrent les italiens. « Le gTlD .sarl risque de prêter à confusion et son attribution ne peut être possible qu’à partir du moment où chaque demandeur serait en mesure de fournir les pièces justificatives de la société en question » tempêtent Messieurs les Ronds de Cuir. « Les gTlD .health frisent l’exercice illégal de la médecine » « Le nom Swiss n’appartient pas à la compagnie aérienne homonyme mais relève de l’image de marque d’un pays tout entier »… et ainsi de suite.

La nature des réclamations est un problème vieux comme Internet : celui qui propose le nom de domaine peut-il, doit-il en être le gestionnaire de facto ? Et de manière plus extensive, la généralisation des noms de domaine, outre les problèmes certains que tout cela va poser en termes d’homonymie, de droit des marques ou de dépôt de nom, ouvre une sérieuse voie d’eau dans le navire des autorités d’enregistrement en général. Il y a là une question de partage de pouvoir (donc de partage d’argent) avec certaines instances régulatrices qui estiment avoir un droit de regard légitime.

Prenons l’exemple du .sarl . Les registrars Français et Luxembourgeois sont-ils prêts à partager leur gâteau avec les chambres de commerce ou le Ministère de l’Industrie ? Ou peut-on imaginer l’Icann élargir les règles définissant une autorité d’enregistrement afin que n’importe quelle organisation gouvernementale ou associative puisse délivrer des noms de domaine ? Dans les deux cas, la réponse est négative. Non seulement le business est trop lucratif pour qu’il soit partagé, mais en outre il ne nécessite pour l’heure d’aucun effort et d’aucune règle bien définie en matière de politique de sécurité. Pourquoi en ajouter ? Certes, il existe des registrars scrupuleux et attentifs. Mais ils sont encore trop minoritaires, preuve en est, le nombre de « Creditlyonnais.truc » et autres « Banquemachin.com » qui se déposent chaque jour et viennent gonfler les portefeuilles des cyber-mafiosi. Ceci sans évoquer les batailles rangées auxquelles se livrent des foultitudes d’entreprises, les unes pour cybersquatting, les autres pour usurpation… lorsque l’on se souvient de l’affaire Milka, qui a opposé une petite couturière lyonnaise et le géant de l’agroalimentaire alors que le conflit ne portait que sur le nom de domaine, on frémit à l’idée que les gTlD engendreront en combats homériques.
La question se pose surtout autour des « noms génériques » qui ont fait l’objet d’un dépôt : .Hotel soulève la ire des vendeurs de nuitées industriels ou de luxe, Amazon ne devrait pas avoir le droit de se réclamer seul et unique gestionnaire du nom d’un des plus grands fleuves du monde, et il ne peut être accordé à Loréal le monopole exclusif du domaine « beauty ». Saluons au passage le courage inconscient de la United TLD Holdco Ltd qui a déposé comme un seul homme les domaines Navy, Army et Airforce. Et ce n’est pas le Gouvernement Fédéral US ni la société de production de Donald Bellisario qui en a pris ombrage, mais le gouvernement Indien.

Fort heureusement, il n’y a pas que de vains ergotages au sein de ces multiples contestations. Parfois les choses deviennent sérieuses. Ainsi le Royaume Uni s’oppose de manière véhémente à ce que le TlD « Rugby » soit supprimé, car le prétendant à son dépôt ne peut être considéré comme un digne porte-drapeau des véritables amoureux de ce brutal sport de gentlemen. Heureux retour aux choses fondamentales qui font le quotidien de L’homo-canapus-televisiensis. On peut déplorer, en revanche, que personne n’ait eu l’audace de déposer les TlD .phishing, .scam et .scareware.

Diffusé par Brian Krebs sur Youtube, une séquence vidéo signée par un membre Egyptien du forum Darkode cybercrime. Ladite vidéo montre comment, et ce quel que soit le navigateur utilisé détourner un compte de messagerie Yahoo en incitant la victime à cliquer sur un lien légèrement empoisonné. Un classique de l’attaque XSS. « C’est un exploit qui va chercher dans les 1000 à 1500 $ » affirme l’inventeur (effectivement dans les prix si son exploit est fonctionnel) « je le brade à 700$ si je trouve un acheteur sérieux, car je ne souhaite pas que cette faille soit colmatée de sitôt ». Les pirates parlent aux pirates.

Cette publicité, supprimant l’effet de surprise de cette attaque, a très probablement fait revoir les tarifs à la baisse. Peut-être qu’une proposition au ZDI aurait été un peu plus gratifiante, tant pour l’ego que pour le portefeuille de l’inventeur …

Une utilisatrice de Pirate Bay âgée de 9 ans provoque une descente de la police scandinave et la mise sous séquestre de son ordinateur « Winnie l’ourson » nous apprend BGR.com

13 décembre 2012, Rendez-vous à l’Intercontinental Paris Avenue Marceau

Administrer la sécu du SI : FW NG , IPS NG, gestion des identités, gestion des risques, tablettes, PDAs … Comment ne rien oublier ? Comment optimiser ? Conseils et Solutions

Cliquer ici pour : S’inscrire en ligne aux matinées de CNISevent

La sécurité devient un marché mature et toutes les entreprises ont d’ores et déjà toute une armada de produits et technologies pour se protéger. Les questions qui se posent souvent sont « comment gérer ces différents produits et technologies de façon la plus aisée possible ? Les produits Nouvelles Génération qu’apportent-ils en termes de gestion de sécurité ? » ou encore « Comment optimiser ? Centraliser est-ce possible ? », voire « comment récupérer les informations nécessaires et suffisantes dans mon SI pour prévenir les prochaines attaques ou fuites de données, internes comme externes ? ». Autant d’interrogations qui vont de comment administrer la sécurité à comment l’optimiser grâce à l’administration, des interrogations auxquelles de nombreux experts viendront répondre le jeudi 13 décembre prochain.
Des experts, de tous bords, associations dans le domaine de la sécurité, cabinets de conseil ou acteurs du domaine viendront donner des conseils et répondre aux questions. Des avocats de différents cabinets juridiques seront également là pour conseiller les personnes présentes sur le plan juridique. Le débat se tiendra aussi autour d’une table ronde qui sera encore un moyen mis à disposition des personnes présentes (patrons, DSI, RSSI, personnel IT ou non mais concernés par la sécurité) pour les informer et répondre à leurs questions

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).
InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL (Correspondant Informatique & Liberté), les avocats et juristes de l’entreprise, les consultants également. Tous sont concernés par et confrontés à l’administration de la sécurité. Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour :

S’inscrire en ligne aux matinées de CNISevent

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 –Quoi administrer ? Les risques d’une mauvaise administration de la sécurité, tour d’horizon par Hervé Schauer, Clusif,
• 9H20 –  Expert terrain, point de vue d’un acteur du secteur,
• 9H40 – Conseils, guide et expertise, par Gérome Billois, Directeur Sécurité chez Solucom,
• 10H00 – Expert terrain, point de vue de Yann Leborgne, Sorucefire,
• 10H20 – Minute Juridique : les impacts juridiques sur les entreprises du manque de maîtrise de la sécurité d’un SI, avec Maîtres Olivier Itéanu et Garance Mathias répondent à toutes vos questions,
• 10H40 – PAUSE Networking
• 11H00 – Marché, Tendance et Evolutions de la gestion des identités, par un expert d’Atheos/RIAM,
• 11H20 – Témoignage d’un RSSI,
• 11H40 – Panel sur « Administrer la sécurité du SI : Comment ne rien oublier ? Comment centraliser ? Conseils et Solutions» avec un avocat, un consultant qui donnera quelques conseils sur la question de l’administration des SI, Gérard Gaudin, Président du Club R2GS qui donnera son retour terrain et des conseils en la matière et Meydéric Leborgne, Directeur technique RIM qui parlera plateforme d’administration centralisée pour PDAs/tablettes. Animé par un analyste IT, Bertrand Garé.
• 12H 25– Tirage au sort de Noël, Champagne & Clôture de la dernière conférence 2012

Si, en France, il faut attendre après les publications de Cryptome ou se plonger dans l’indigeste lecture du Rapport annuel de la cour des comptes pour connaître les tarifs des écoutes téléphoniques … en Allemagne, il semble en revanche assez simple de se faire une idée du prix de l’ensemble des techno-gadgets utilisés tant par la police que par les services de renseignements (BSI). Un rapport qui serait pratiquement passé inaperçu si la journaliste bloggeuse Anne Roth n’avait fait état d’une version de ce document traduite en anglais

Jan Korte, homme politique du mouvement Die Linke (gauche), a posé une question écrite au Ministère de l’Intérieur portant sur les outils de surveillance actuellement en service. La réponse partielle (certains services ayant invoqué la sacrosainte « discrétion pour raison d’Etat ») a été publiée par le Bundestag et rendue publique. Système par système, entreprise sous-traitante par service acheteur, les détails de cette comptabilité de la cybersurveillance font état d’un budget de près de 2 millions d’Euros sur les 5 dernières années. 4 lignes de crédit sont allouées à la surveillance de Skype, 6 à l’écoute et l’interception de communications radio dont GSM, deux autres sur les GPS, sans oublier plusieurs marchés portant sur des véhicules d’écoute à large spectre. De tous les sous-traitants, Digitask est l’un des plus cités, avec une trentaine d’occurrences. Cette entreprise s’était faite épinglée il y a un an par le Chaos Computer Club qui avait récupéré et analysé un cheval de Troie destiné aux cyber-écoutes de la police Fédérale. Il n’y a pas qu’en France que les officines sous-traitantes, même les plus faillibles, conservent la confiance de leurs apporteurs d’affaires.

Scanner le patrimoine écrit de l’humanité relève de la mission divine (et un peu commerciale) pour Google, et de l’hérésie pour bon nombre d’éditeurs. Histoire de fausser un peu plus le jeu en sa faveur, Google a décidé de rendre publique et sous licence open (modèle Apache 2.0 ) les plans d’un scanner de livres automatique à défilement linéaire. Une mécanique relativement simple (guère plus complexe qu’une Reprap) qui devrait permettre de faire de la duplication d’ouvrages imprimés un sport international et un vecteur d’enrichissement des réseaux P2P.

On entend déjà le lamentoso des Ayants Droits qui, tels les cœurs antiques, vont faire écho aux déclamations des quémandeurs de taxe anti-piratage, mélodie bordée par le rythme contrapunctique des éditeurs de DRM, accompagnée par la basse des officines de délation spécialisées dans le suivi des partages de contenu et, en sourdine, le plain-chant des diffuseurs de contenu (légaux) geignant l’agonie d’un catalogue aussi mince que leur propre légitimité. Le tout rythmant la danse des grands businessmen de l’industrie du partage de documents publics, opérateurs cloudifiés et insaisissables mais capables de transformer n’importe quel fichier pdf en or et n’importe quel MP3 ou MKV en platine.
Le mythe du scanner DIY va-t-il relancer la chimère du livre tué par la généralisation des photocopieuses et réveiller quelque député en mal d’une proposition de loi portant son nom ? Peu importe. Google s’amuse, probablement au détriment de ce qui est réellement important : la mise à disposition pour tous d’une véritable bibliothèque numérique regroupant le thésaurus classique, de manière libre de droit et indépendante de toute entreprise.

A peine sorti et déjà p0wné : Windows Phone 8, le noyau « mobile » de Microsoft reposant sur le code Windows NT, pourrait être victime d’un « malware de démonstration » conçu par le chercheur Shantanu Gawde, et devant faire l’objet d’une présentation à la conférence Malcom de New Dehli

Il y a presque un an jour pour jour, Luigi Auriema, l’un des plus grands chasseurs de failles à la surface des terres émergées, publiait une série d’alertes concernant des logiciels de commande de processus industriel d’origine 3S (Smart Software Solution).

Il semblerait que les automates programmes d’ABB soient eux aussi malades, atteints d’une lèpre assez semblable, fait remarquer le chercheur Italien. Dans les deux cas, les vulnérabilités (par débordement de buffer) ont été découvertes dans le serveur http intégré au logiciel/firmware des entreprises respectivement citées.

Cette sorte de loi des série rappelle bien entendu une autre épidémie de peste, celle des failles des serveurs web de console d’administration intégrés systématiquement dans le moindre routeur, la plus petite caméra en réseau, ou le plus anodin des firewalls. Il a fallu plus de 15 ans pour que l’on puisse constater un net fléchissement des bulletins d’alertes intitulés « httpd vulnerability in module xxxx », et l’on entend encore parfois quelques échos résonner à l’occasion du lancement d’un nouveau produit. Ce qui nous laisse augurer une décennie très animée dans le secteur scada.