mars, 2013

Beaucoup de médias ont glosé sur le sujet, l’article de Daily Dot résume parfaitement les évènements : le Parlement Européen a sérieusement revu la copie d’un projet visant à condamner la pornographie en général et la pornographie sur Internet en particulier.

Que des haut fonctionnaires passent leur temps à s’interroger sur des questions morales en ces temps de plus en plus pudibond et réactionnaire est un fait sociologique qui n’étonnera personne. Ils ne font là que reproduire les tendances des mouvements politiques populistes qui jouent sur une propagande simpliste visant à dénoncer des « vecteurs de décadence » à l’origine des maux de notre société. Que les parlementaires aient eu la sagesse de limiter ces dérives est quelque peu rassurant. Car il ne faut pas perdre de vue que le mot « pornographie » est généralement le premier utilisé par les dictatures et les régimes autoritaristes pour condamner, au nom d’une prétendue règle morale non écrite, les piliers d’une pensée orthodoxe. Des procès Staliniens et Hitlériens aux Fatwa intégristes toutes religions confondues (souvenons-nous de l’Inquisition Espagnole*), le terme de pornographie a été et est encore invoqué chaque fois qu’une censure difficilement justifiable est imposée.

Pour la communauté sécurité, la question est d’autant plus importante qu’elle a déjà eu, par le passé, des rebondissements politiques assez graves, ainsi le fameux « porno gate » Helvétique. C’est également sous de fallacieux prétextes de contenu pornographique qu’Apple a, à plusieurs reprises, interdit de son catalogue des ouvrages jugés licencieux, nonobstant leur caractère quasi historique et littéraire (le Kâma-Sûtra en fit les frais notamment, ainsi que l’ensemble des publications classiques de la collection Gutenberg). Amazon, pour sa part, a dû plusieurs fois essuyer les foudres et les tentatives de procès de quelques mouvements de pression puritains d’Amérique du Nord, lesquels demandaient le retrait de certaines publications « osées ». Pour l’heure, l’administrateur réseau n’a pas encore trop le devoir de surveiller les contenus roses qui circulent sur son infrastructure : seule la notion d’abus de bien social dicte raisonnablement ses obligations métier. Quant aux diffuseurs de contenu, le choix d’éditer, de publier, de diffuser une œuvre licencieuse relève des seules règles morales de l’éditeur et de son réseau de distribution. Graver ces limites dans l’airain des lois serait, tant pour la liberté de la presse que pour la démocratie elle-même, le signe d’une régression notable et marquerait une victoire dans le camp des pères-la-pudeur et adversaires des penseurs libertins. Penseurs libertins, rappelons-le, qui sont intimement liés à la naissance même de la démocratie et à l’histoire du siècle des Lumières.

*NdlC Note de la correctrice : Celle que personne n’attend, comme aurait précisé le Cardinal Fang.

La Députée Sandrine Doucet (PS, Gironde) rapporte notre éminent confrère Xavier Berne de PC-Inpact, pose une question relative à la complexité des mots de passe utilisés par nos concitoyens. Que, comme le prétend notre confrère, l’idée ait germée après la lecture du dernier rapport de Deloitte ou d’une de ces centaines d’alertes sur la récurrence du fameux 123456 et autres AZERTY, n’a en soi que très peu d’importance. Ce qui ressort de cette question de Sénateur, c’est qu’une fois de plus, un politique prend conscience d’un problème technique excessivement parcellaire et tend à en faire une question de priorité.

Certes, qu’un grand commis de l’Etat s’inquiète du manque de sensibilisation en matière de sécurité informatique est une chose louable. Mais en général, ces attentions relèveraient plus du « coup médiatique » que d’un réel souci d’efficacité. L’on a ainsi entendu, au fil des deux dernières décennies, maints Ministres et Députés s’interroger sur la nécessité du chiffrement des correspondances numériques, sur l’importance d’alertes liées à des vagues de spam/scam et autres escroqueries « électronico-épistolaires », ou encore sur l’impérieuse urgence de vendre auprès de tous l’idée de la sacro-sainte trinité « firewall-antivirus-contrôle parental », seules armes capables de protéger la famille des hordes de cyberpédophiles-violeurs-poseurs de bombes chevauchant le far-west de l’Internet. Séries de dispositions qui, rappelons-le, ont eu pour conséquence un empilement de dispositions juridiques (lopsi, loppsi, LCEN…) souvent considérées comme plus liberticides qu’efficaces. Ceci sans oublier la création de la loi et de la commission Hadopi, qui au lieu de juguler le piratage des œuvres de l’esprit, n’arrivent au final qu’à condamner les particuliers pour « défaut de sécurisation »… autrement dit de le punir pour « délit d’incompétence informatique ».

Bref, les politiques tentent, à périodes régulières, d’apporter une réponse technique à une question technique. Lesquelles questions et réponses, comme tout ce qui touche à la technique, sont rapidement frappées d’obsolescence. Alors pourquoi ne pas prendre le problème par le bon bout et envisager tout simplement de proposer une réponse politique (et donc pérenne) à la question de la cyber-sécurité des cyber-citoyens ?

A commencer, peut-être, par la création d’un CERT grand public, comme cela se fait au sein des principaux pays européens voisins. Ou peut-être en tentant de diffuser des outils simples d’emploi, gratuits et non-obligatoires, adaptés aux besoins du citoyen non technicien. Dispositions d’autant plus nécessaires puisque le « citoyen techno-incompétent » conspué par l’Hadopi, incapable de choisir un mot de passe solide ou un antivirus gratuit et efficace, devient, durant les heures de travail, qui un fonctionnaire, qui un employé de bureau, qui un artisan, qui un chef d’entreprise de grande ou moyenne envergure utilisant généralement force outils informatiques. La fonction créerait-elle une « intelligence de la cyber-sécurité » uniquement durant les heures ouvrables ? Cela est peu probable, et l’on peut, sans trop se tromper, estimer qu’à de très rares exceptions sectorielles (armée, police, justice, corps de métier pour qui la sécurité est un réflexe), le manquement persistant des Gouvernements successifs à traiter le risque à la racine, c’est-à-dire au niveau citoyen, a contribué à la fragilisation des infrastructures d’Etat et de notre Industrie. Avec un Cert Grand Public efficace, un « hack de l’Elysée » via une page Facebook aurait eu considérablement moins de chance de survenir…

Il est grand temps que chaque Français puisse avoir droit à une information non biaisée, objective, dénuée de toute influence commerciale et autres statistiques douteuses. Ce n’est que par une éducation constante et dégagée de toute influence liée à l’actualité que pourront, par voie de conséquence, être consolidés les systèmes d’information des secteurs industriels et des collectivités territoriales. Mais attention, il faut avoir un certain courage politique pour oser se lancer dans une telle aventure sans gloire ni promesse de récompense, pour refuser les succès faciles offerts par les annonces « FUD » (peur-incertitude-doute) qui attirent, le temps d’un 20 Heure, l’attention de quelques médias.

A la mode et gratuit : une nouvelle version de SSL Audit, le scanner SSL/TLS écrit par Thierry Zoller. A télécharger sur le site de l’auteur.

Virus caché et persistant : pourquoi faut-il systématiquement formater un disque dur après une attaque virale importante ? A lire sur le site du Sans l’article rédigé par Mark Baggett (sujet d’une présentation à Schmoocon 2013).

La vente des tickets « early birds » pour la conférence sécurité parisienne NoSuchCon#1 est ouverte depuis le début de cette semaine (http://www.nosuchcon.org/#registration)

Le bal a été ouvert par Oracle qui a émis successivement trois correctifs Java en moins d’un mois, la dernière en date portant l’immatriculation CVE-2013-1493. Cette rustine, précise un billet du blog du Response Team Oracle, n’avait pas pu être conçu à temps pour être intégrée dans la traditionnelle CPU trimestrielle. Cette succession de correctifs « out of band » concernant des produits très généralistes et très éloignés des outils de développement et SGBD ne semble pourtant pas militer dans le sens d’une augmentation du rythme de publication des lots de correctifs. Ce qui se comprend pour des outils serveurs devient toutefois plus discutable lorsqu’il s’agit d’une extension quasi grand public telle que Java. Malgré ces publications de correctifs hors calendrier se pose une fois de plus la question de la nécessité et du rapport risque/avantage des extensions Java en général.

Plus traditionnel, le mardi des rustines de Microsoft s’est soldé par un bilan assez moyen : 20 CVE, dont 11 offrant des possibilités d’exploitation à distance, 6 élévations de privilèges et trois risques de fuites d’information. Le tout colmaté en seulement 7 rustines dont 4 qualifiées de critiques. A noter, dans le lot, un risque d’exploitation via des périphériques USB qui a su attirer l’œil de beaucoup de médias et d’encore plus de « hackers hardware ».

Chez Adobe, la moisson est maigre ce mois-ci : seulement 4 CVE bouchés dans Flash Player, offrant un risque tant sur plateforme Windows que OS/X. Il ne faut pas perdre de vue que tous les navigateurs ne sont pas systématiquement paramétrés pour effectuer ces mises à jour Flash. Ce point de détail revêt une importance toute particulière pour les usagers utilisant plusieurs navigateurs et devant, de ce fait, vérifier que la bonne version de Flash est installée sur chacun de ces logiciels.

Notre confrère Peter Sayer, correspondant parisien d’IDG News Services , nous apprend que l’autorité de régulation Française fait pression sur Skype, filiale de Microsoft, afin que l’entreprise s’inscrive auprès de l’Administration comme opérateur télécom. Des histoires de redevance ou d’évasion fiscale ? Que Nenni ! Une simple considération sécuritaire.

Car, explique Sayer, la création du service « skype out » qui permet à tout utilisateur du réseau VoIP de pouvoir joindre un correspondant utilisant le réseau commuté échappe à quelques devoirs que doivent remplir les autres opérateurs conventionnels. A commencer par la possibilité d’assurer en permanence des appels d’urgence. Cette question ressurgit à périodes régulières, tel le monstre du Loch Ness : avec un téléphone classique, cellulaire ou fixe, il est toujours possible de joindre le 15, le 17, le 112, et ceci gratuitement, même en l’absence de service d’abonné actif. En outre, les outils de goniométrie/triangulation permettent facilement de localiser la position d’un téléphone mobile si celui-ci est situé dans une zone de couverture. Deux caractéristiques que n’assurent actuellement pas la plupart des réseaux VoIP bien que cela soit techniquement possible.
Mais ce prétexte lié à la « sécurité des foyers » masque une autre exigence, fait remarquer Peter Sayer : il n’est pas prévu de possibilité de « mise sur écoute » d’un correspondant dans le cas d’une demande du Parquet. Un détail qui n’a d’ailleurs pas franchement échappé à bon nombre de cyber-délinquants. En exigeant de Skype un statut d’opérateur telco « plein », l’Arcep espère donc ouvrir une brèche dans le système trop confidentiel des communications VoIP. Ce genre de « droit de regard » ou « droit d’espionnage » exigé par les états n’est pas franchement nouveau. La question avait déjà été soulevée en Belgique notamment et fait l’objet d’une question posée devant le Sénat. En outre, dès 2009, la maison mère, Microsoft, avait déjà déposé des brevets portant précisément sur des techniques d’écoute des réseaux VoIP afin que sa filiale puisse répondre aux exigences à la fois du Patriot Act et du CALEA (Communications Assistance for Law Enforcement Act). Plusieurs fois également, et ce depuis 2009, Eurojust, l’unité de coopération judiciaire Européenne, avait soulevé la question des écoutes Skype.

Techniquement parlant, il est quasi certain que Skype peut se conformer aux exigences de l’Arcep du jour au lendemain. Mais d’un point de vue politique et marketing, il en va tout autrement. Cela nuirait à l’image de « garantie de confidentialité » qui a, depuis la création du réseau, constitué l’un des principaux arguments d’incitation à l’usage de ce softphone. Mais Skype (et Microsoft) peuvent-ils naviguer à contre-courant ? La soudaine simultanéité des demandes Belges et Françaises pourrait bien déboucher sur une demande encore plus pressante et un peu plus insistante de la part de l’Europe. Ce serait alors l’équivalent de 27 demandes de droit d’écoute qu’il serait pratiquement impossible d’ignorer au risque d’attirer sur l’entreprise US une foultitude de tracasseries administratives et de pressions politiques.

Encore une alerte signée Eric Romang, encore une applet Java compromise et portant haut et fier, un prétendu certificat officiel et valide (en fait, certificat volé chez ClearResult Consulting). Reste que ce certificat, pourtant révoqué depuis la fin de l’année passée, est encore considéré comme digne de confiance par Java, précise Romang. Même si les niveaux de sécurité par défaut de Java sont poussés au maximum. Une affaire de plus, qui vient effriter l’image de marque des autorités de certification.