avril, 2013

Si la bataille de Poitiers (1356) ne traumatise plus tellement les écoliers, les grandes annonces catastrophistes des « études de risque et sinistralité » (qui fleurissent traditionnellement fin avril), pourraient bien tenter de faire peur aux responsables sécurité. On attend de pied ferme le prochain rapport Verizon, qui, nous pseudo-dévoile son service de presse, mettra l’accent sur l’importance croissante du cyber-espionnage dans le domaine des nouvelles technologies. Le rapport Mandiant avait, en son temps, déjà coupé l’herbe sous le pied de bien des prévisionnistes en mal d’originalité, il fallait bien trouver un éclairage nouveau en matière de cyber-activité offensive d’Etat à Etat.

Chez Symantec, l’Internet Security Threat Report 2013 vient de paraître. Un pavé de 58 pages truffé de graphiques et de tableaux. Cette année, c’est le marché des « petites entreprises » qui est visé : les « SMB » sont les cibles privilégiées. « les PME étaient plus ou moins à l’abri jusqu’à présent. Mais les cyber-truands se sont aperçus qu’elles représentaient pratiquement autant de probabilités de gains que les grandes structures et surtout s’avéraient bien plus faciles à pirater » explique l’un des rapporteurs. Une vulnérabilité qui semble proportionnelle à l’ouverture des PME sur le commerce Web, et, par voie de conséquence, aux vulnérabilités applicatives Web qui accompagnent ce genre de développement. Cette augmentation des attaques Web aurait été en hausse de 33% en 2012 par rapport à l’année précédente. Quelques autres chiffres signés Symantec : hausse des attaques « Zero day », de 8 constatées en 2011 à 14 l’an passé, perfectionnement et généralisation des boîtes à outil de malwares, notamment du toolkit Sakura qui totaliserait 22 % de attaques Web actuelles, détrônant ainsi Blackhole, accroissement notable de attaques contre le navigateur Safari et Chrome, qui distancent ainsi nettement I.E. et Firefox et nette augmentation des fuites d’information sur le créneau de l’informatique mobile et des « portables » dans leur ensemble, même si l’appellation « malware » semble très difficile à distinguer de ce que l’on pourrait nommer une « appliquette écrite en dépit du bon sens ».

Une récente étude du Gartner estime que 10 % de l’offre sécurité destinée aux entreprises passera par la filière Cloud. Une évolution liée au manque croissant de compétences internes, au souci de réduction des coûts de fonctionnement et aux nécessités de répondre aux obligations légales de conformité. C’est d’ailleurs ce dernier point qui semble le plus moteur, puisque 27 % des personnes interrogées (tant en Amérique du Nord qu’en Europe) mettent ce point particulier en avant pour ce qui concerne les décisions d’adoption.

D’un point de vue économique, ce marché de la sécurité en ligne devrait atteindre 4,2 milliards à échéance 2016, estiment les analystes du Gartner. Les secteurs les plus porteurs et les plus demandés sont le SIEM, les passerelles messagerie (74% des demandes) et Web sécurisées, les outils/services de détection de vulnérabilité à distance et l’IAM, la gestion des identités.

128, une belle puissance de 2 :c’est le nombre de trous colmatés par Oracle au cours de sa toute dernière CPU (Critical Patch Update) d’avril. Dans ce déferlement de liège virtuel, on compte 29 correctifs pour Oracle Fusion Middleware dont 22 exploitables à distance, 6 pour la suite E-Business, 25 pour MySQL (1 seul remote officiellement reconnu). Le JRE a droit, lui aussi, à une mise à niveau salvatrice. Ce correctif pantagruélique consolide également divers composants du CRM Siebel, des produits Peoplesoft, du Supply Chain, de Oracle Financial Services Software, de Primavera et des « outils de support ». Le week-end sera long et pénible pour certains administrateurs.

L’offre légale de films et de séries TV n’est pas à la hauteur en France titrent nos confrères de l’Expansion, en se basant sur une récente étude de la commission Hadopi. Rappelons que le budget de la Rue du Texel était estimé à 10,3 millions d’Euros en 2012, et qu’il a été fixé à 9 millions d’Euros pour cette année. Budget qui a notamment servi à financer l’étude Harris susmentionnée, dont on hésite à qualifier le résultat : truisme ou tautologie ?

Le site TorrenFreak publie très régulièrement de passionnantes statistiques sur les téléchargements de films et de musiques via les réseaux P2P.Au début de ce mois, l’un de ses principaux rédacteurs s’est intéressé à la gente qui porte soutane en général et aux habitudes cinématographiques du Saint Siège en particulier.

Car on apprécie les véhicules numériques, chez les sacerdotaux, du curé de campagne au sous-pape… et peut-être même plus haut. Ainsi ce vidéoclub monastique irlandais qui organise chaque semaine sa séquence du jeûne-spectateur. Mais c’est grâce à une persévérance de jésuite et un travail de bénédictin que l’équipe de TorrentFreak est parvenue à déterrer des « seeders » encore plus discrets, ceux qui piratent du blockbuster à l’ombre de la Cité de Saint Pierre. Etude d’autant plus difficile que l’empreinte numérique de ce micro-état est trop faible pour attirer l’attention des radars habituellement utilisés.

Et que téléchargent donc les pontifiants prélats ? Dialogue de Carmélite d’Agostini, le Jeanne d’Arc de Besson ou le François d’Assise de Cavani ? Que Nenni ! TorrentFreack fait ressortir deux tendances : l’un des plus gros téléchargeurs pontificaux se passionne pour les séries B américaines, peut-être en raison d’une quête œcuménique quasi bouddhiste à la recherche du vide absolu. Les voies valétudinaires des védas vidéo.
Son voisin de chambrée, en revanche, apprécie plus particulièrement les productions roses, avec menottes, cordes et lanières de fouet. Genre « seules les voies du Seigneur sont impénétrables », « le share est faible » et le « pour le meilleur et le peer to peer ». On ne dira jamais assez l’influence de l’Inquisition Espagnole sur les héritiers spirituels de Torquemada. A moins que ces consultations purement documentaires ne soient le fruit d’un Garde Suisse ayant trouvé refuge à Rome après l’affaire du Pornogate. Pas de doute, c’est encore un coup des séculiers. Car peut-on réellement soupçonner de trop curieux curés, de calmes camerlingues, des carmes, de futurs saints incarnés, des curies incarnates et des cardinaux coupables d’incurie ou de concupiscents computes* (en un seul mot svp) ? Y’aurait de quoi rester coi.

Faut-il sévir ou fermer les yeux ? Doit-on préférer qu’un amène Amen mène ces pécheurs à imiter les humeurs modérées des pudiques Minimes ? Ou entendra-t-on résonner sous les ors de la Basilique des « Laurent, serrez ma haire avec ma discipline! »

Avant que n’éclate une bulle Papale (De sanctum downloadum) et qu’une Sainte Inquisition Dominus Hadopicum ne vienne remettre dans le droit chemin ces brebis vidéo-intoxiquées, ayons une pensée émue et confraternelle envers le RSSI chargé du tld « .VA ». Car en vérité je vous le dis, celui qui tamise ses trames et préserve par une docte scolastique la pureté morale de ses ouailles, celui-là gagnera sa place à la droite du RIAA, de la Sacem et de ses centaines d’organismes collecteurs. Ite articlum est.

NdlC Note de la Correctrice : le compute radical du mot « computer » désigne le calcul des dates religieuses mobiles. Synonyme de calcul, tombé en désuétude.

Game over pour Ubisoft, qui doit fermer momentanément son service Uplay après un piratage de leur système d’information et le vol d’un jeu sur le point d’être commercialisé.

Faut-il « pentester »l’entreprise à l’aide de fausses attaques de phishing ? Une étude (orientée) de Wombat pense que oui. Quelques éléments de méditation sur la notion de sensibilisation …

L’art de perturber les mesures des polygraphes (détecteurs de mensonge) : un « must read » pour les 007 et les hackers amoureux des contre-mesures physiques

16 CVE chez Microsoft, dont deux considérés comme critiques (MS13-028 et MS13-029). Au total, sont ainsi écartés par les 9 correctifs cumulatifs trois risques de « remote », huit élévations de privilèges, deux dénis de service et une fuite d’information. On notera au passage que le résumé publié sur le blog du MSRC débute par le « moto » du mois chez Microsoft : le support de XP n’a plus qu’un an à vivre. Après ça… il faudra acheter une licence Windows 8 ou passer sous Linux. Devant la violence d’une telle alternative, il y a fort à parier qu’une grande partie des usagers conservateurs opteront pour une troisième voie, dite du « Windows 98 style ».

Chez Adobe, on élimine 10 CVE : 2 sur Coldfusion, 4 sur Flash Player et AIR (critiques) et 4 sur Shockwave player, également critiques. Les détails succins et l’accès aux rustines sont à consulter sur le site de l’éditeur.

Dell Secureworks publie une analyse fonctionnelle détaillée (et légèrement inquiétante) d’un cheval de Troie visant les systèmes Android.