mai, 2013

Le communiqué précise que « Cassidian CyberSecurity a signé un accord en vue de devenir le principal actionnaire de Arkoon Network Security ». Cette annonce fait écho au « coup médiatique » du rachat de l’autre constructeur français d’outils de protection périmétrique NetAsq en octobre dernier, peu de temps avant l’ouverture des Assises de la Sécurité.

Pour Cassidian, entreprise essentiellement orientée « protection des S.I. de grands comptes », l’acquisition de ses deux concurrents qui, eux, visaient l’entrée et le milieu de gamme des outils de protection informatique (UTM et petits appliances) répond à une double nécessité. D’une part couvrir le mieux possible l’ensemble du marché Français puis Européen en jouant sur un effet de gamme le plus généraliste possible (notamment en termes d’administration centralisée allant de l’agence aux grands centres de calcul) et d’autre part truster le marché des administrations et des entreprises travaillant avec l’Etat, puisque cette opération de croissance extérieure faire de Cassidian l’un des principaux vendeurs d’équipements qualifiés par l’Anssi.

Les lois répressives invoquant indirectement la défense du droit d’auteur refont surface sur les bureaux du Parlement Européen, avec l’ouverture des débats sur la proposition Tafta, (Trans-Atlantic Free Trade Agreement), une proposition qui, à nouveau, va tenter d’utiliser le Parlement comme une simple chambre d’enregistrement des décisions de politique commerciale des Etats Unis. La Quadrature du Net est vent debout contre cette tentative et publie immédiatement un communiqué d’alerte.

Dans les faits, un peu comme dans certains « paquets télécoms », de nouveaux trains de dispositions visant à protéger la propriété intellectuelle (donc indirectement le droit d’auteur) sont glissés dans un melting-pot de propositions visant la facilitation des échanges commerciaux USA/Europe en général et les assouplissements administratifs devant les accompagner. Après avoir été barré tant en Europe qu’aux USA, après une tentative de passage en douce (propositions Acta), ces lois prétendument « antipiratage » refont surface. Prétendument, car derrière cette stigmatisation du manque à gagner des vendeurs de produits de loisir provoqué par les échanges P2P, se cachaient une foultitude d’outils juridiques de flicage plus ou moins antidémocratique et demandé depuis longtemps par les faucons les plus conservateurs du parti Républicain US et soutenu par un grand nombre d’Eurodéputés de droite. Notamment, ce qui avait été violemment dénoncé lors de la tentative Acta, le report de certains droits traditionnellement régaliens (enquêtes de police notamment) vers les fournisseurs d’accès, qui, à la fois juge et parties, auraient dû jouer le rôle de boutiquier du net, de flic, de mouchard et d’exécuteurs-coupeurs d’accès. Notons que le seul argument qu’ont soulevé les FAI à l’époque n’était pas d’ordre moral mais purement financier. Qui donc payera pour les équipements d’écoute et de filtrage ?

Le Parlement Européen, dans le cadre de ces négociations, insiste sur l’importance de la « défense de la vie privée », défense qui, en ces temps de restriction budgétaire et de rôle quasi symbolique de défenseurs tels que le groupe 29A, ne peut véritablement rassurer les citoyens de l’Europe toute entière. Les trop rares instances Européennes ou Nationales n’impressionnent quasiment personne pour le moment. En outre, une très nette montée des mouvements conservateurs dans la majorité des pays membres voit d’un assez bon œil l’instauration d’un « paquet propriété intellectuelle » qui justifierait précisément la mise en place d’outils policiers et un renforcement des contrôles des échanges numériques. La psychose des APT, des cyberguerres, de l’espionnite aigue et autres scénarii improbables de l’Otan risque de jouer en faveur de l’adoption de dispositions musclées. Ce n’est pas la diminution des points de retraite de Britney Spears ou de George Lucas qui inquiète tant les nord-Américains et Européens, c’est la psychose liée à l’impossible maîtrise des échanges privés.

C’est le gouvernement Canadien qui semble avoir été le premier à réagir face aux spéculations de cette non-monnaie fiduciaire qu’est le Bitcoin. Face à la spéculation dont est l’objet cette valeur virtuelle, le Ministère des Finance envisage de taxer tout échange nous apprend CBCNews. Et de rappeler que même si le possesseur de cette cybermonnaie n’effectue pas de conversion en dollars Canadiens (ce qui transforme automatiquement sa conversion en revenu déclarable et imposable), la loi précise que même l’échange de Bitcoins contre des services ou objets est également soumis à une taxe, au même titre que le troc ou que tout payement ou avantage en nature.

Le fisc de la majorité des pays occidentaux (France y comprise) dispose de textes équivalents, et la prétendue immunité fiscale dont bénéficierait le Bitcoin ne semble pas franchement émouvoir les percepteurs de quelque nation que ce soit. Ce qui ne fait que confirmer la véracité de l’aphorisme de Benjamin Franklin : en ce monde rien n’est certain, à part la mort et les impôts.

Un communiqué du Ministère Public des Pays Bas officialise l’arrestation en Espagne d’un citoyen Hollandais soupçonné d’avoir conduit l’attaque en déni de service contre les serveurs de Spamhaus. En mars dernier, les spécialistes de la chasse au spam et gestionnaires d’une liste noire des sites à bannir ont essuyé une des plus fortes attaques jamais enregistrée, avec des pics de trafic dépassant les 300 Gbs. De nombreux observateurs soupçonnent fortement ce Hollandais-mystère d’être Sven Kamphuis, porte-parole du mouvement « Stophaus » de défense des entreprises et hébergeurs « injustement blacklistés par Spamhaus et victimes d’un abus de pouvoir ». Kamphuis était également le patron de CB3ROB, fournisseur d’accès qui précisément avait pour principal client un hébergeur « bulletproof », Cyberbunker.com. Cet hébergeur, ainsi nommé pour avoir installé ses machines dans un ancien bunker de l’Otan, était particulièrement apprécié de ses clients vendeurs de fortifiants sexuels et autres offres miraculeuses. Brian Krebs rapporte que, dans sa mégalomanie, Kamphuis signait ses courriers « Prince of Cyberbunker Republic » et estimait le territoire de son entreprise politiquement et juridiquement indépendant du royaume des Pays Bas. Le mandat délivré par la justice de son pays et diffusé dans toute l’Europe via le réseau Eurojust semble avoir mis fin à ces prétentions sécessionnistes.

Cet article du Houston Chronicle est le plus proche équivalent d’un roman d’horreur pour un commercial Microsoft. Il nous apprend que chez Conroe, spécialiste de filtres industriels et de boîtes à graisse, maison de qualité, on utilise encore un IBM 402, une vénérable antiquité à cartes perforées et traitement mécanographique, capable, depuis la fin des années 40, de travailler au rythme infernal de 150 cartes à la minute dans le silence très relatif d’une tabulatrice et de sa perfo modèle 026. La madeleine de Proust prend des allures de kugelhof pavlovien, tandis que le bruit des moteurs d’entraînement fait résonner de sinistres accords aux oreilles de tout commercial Microsoft, Oracle ou SAP. Pensez donc. Un ensemble logiciel-matériel qui fonctionne sans patch ni mise à jour (si ce n’est un peu d’huile de vaseline et des bacs cartonnés) depuis plus de 60 ans, sans le moindre add-on à refourguer, sans même la plus petite nécessité d’y installer un firewall (SNA n’existait pas encore lorsque naquit le 402) ou y ajouter un antivirus. On imagine mal la mafia Pétersbourgeoise ou le haut commandement Pékinois publier une petite annonce « Recherche programmeur-mécanographe, H/F, pour portage Slammer sur carte Fortran. Ecrire à la Loubianka qui transmettra ». Vision dantesque de ce qui pourrait advenir si ce genre d’habitude venait à se répandre : du Windows XP encore opérationnel en 2061, de l’IBM PC 64 k de ram frais comme un gardon à l’horizon 2040, tandis que Raspberry et Arduino égrèneraient à un train de sénateur leurs codes sur les tables de TP des premières années Epitec promo 2073. Les auteurs de malwares, virus, APT, techniques dDoS auraient depuis belle lurette désassemblé l’intégralité du parc logiciel existant (ça en fait, des longues soirées d’hivers derrière IDA Pro, 60 années de fuzzing et de désassemblage) et n’auraient, faute de faille à découvrir, plus écrit le moindre exécutable pervers depuis 10 ans. Les spécialistes de la chasse aux virus n’ayant plus rien à apprendre ou à contrer, de guerre lasse, auraient fini pas mettre la clef sous la porte, faute de nouveaux clients. Enfin, l’antivirus aurait atteint son but : bloquer l’intégralité des attaques passées, présentes et à venir. Le second mardi de chaque mois serait désormais consacré au nettoyage des rouages et à la lubrification des cames, certains préférant utiliser l’huile Kaspersky tandis que d’autres ne jureraient que par la brosse Symantec à nettoyer dans les coins.

La Cnil vient de rendre public son bilan d’activité 2012. Bilan marqué par une certaine continuité dans son recours très modéré aux moyens répressifs (43 mises en demeure, 9 avertissements, 4 sanctions financières… et 2 relaxes) malgré un accroissement notable des plaintes (plus de 6000 sur l’année écoulée) en augmentation de 5% l’an et 3682 demandes de droit d’accès indirect soit +75% par rapport à 2011. Un bilan qui s’accompagne d’un constat de semi-échec lorsque les plaintes visent des organismes étrangers, et qui doivent passer par l’autorité de Cnil nationale. Bilan également mitigé pour ce qui concerne l’augmentation exponentielle des systèmes de flicage par caméra et autres moyens de contrôle, chiffre à comparer aux « 300 plaintes reçues en 2012 qui ont pour objet la vidéosurveillance au travail » : 8946 déclarations relatives à des systèmes de vidéosurveillance (+49,3%), 795 autorisations de systèmes biométriques (+6,8%), 5483 déclarations relatives à des dispositifs de géolocalisation (+ 22,3%). Pour être plus qu’une chambre d’enregistrement, la Cnil souhaite jouer un rôle majeur à l’échelon Européen, et plus particulièrement dans le cadre du groupe 29A. Rappelons que l’un des principaux regrets d’Alex Türk, ex-président de la Cnil et qui a présidé durant 2 ans aux destinées du groupe de travail Européen, portait précisément sur l’absence totale de budget pouvant garantir un minimum d’autonomie.

Sur le plan de la politique intérieure, la Cnil a tout de même additionné quelques actions positives, notamment en renforçant ses audits et sa surveillance autour des Gafa (Google, Amazon, Facebook et Apple). Le mot Google est répertorié 30 fois au fil du rapport (notamment lorsque sont mentionnés les audits de sa politique de confidentialité), Apple 2 fois et Facebook 15 fois (dont deux fois pour signaler la présence d’un compte au nom de la Cnil).

Schmidt, tête pensante de Google, l’une des plus formidables usines à collecter de la donnée privée, et qui lui-même niait il n’y a pas si longtemps l’importance de la préservation de la vie privée, part en guerre contre les drones privés dans le secteur civil, nous apprend un article de la BBC. Il faut dire que, depuis quelques années, divers hackerspaces, tant aux USA qu’en France, s’intéressent à la question. Une concurrence qui a de quoi inquiéter le patron de la flottille de GoogleCars qui constitue l’un des plus importants vecteurs de collecte d’informations photographiques géolocalisées … Les arguments de Schmidt en faveur de sa croisade sont aussi peu sérieux qu’anxiogènes : emploi de drones dans les querelles de voisinage (le patron de Google passe pudiquement sur les milices de Neighbors Watch qui sévissent aux Etats-Unis depuis des décennies) et, pire encore, risque de favoriser les moyens exploitables par des terroristes… comme si une interdiction légale pouvait encore intimider un poseur de bombe, comme si la reconnaissance photographique de Google Street ne constituait pas déjà un formidable outil de repérage. Les drones privés sont utilisés depuis des années dans le domaine civil. Notamment par des archéologues, pour qui la photogrammétrie et la mise en évidence des disparités végétales constituent des indices de recherche d’une grande importance. Les agriculteurs s’en servent de plus en plus pour détecter la présence de maladies cryptogamiques à l’aide de photographies infrarouges, les géomètres en font un usage de plus en plus fréquent, sans parler des cinéastes pour qui l’heure de film aérien à l’aide de drones coûte entre 50 à 150 fois moins cher que son équivalent sur avion piloté ou sur hélicoptère. Et l’on ne parle pas des usages que l’on peut attendre des drones par les ONG dans des zones difficiles d’accès …

HD Moore publie un billet amusant sur une « vulnérabilité par omission » relativement courante : la présence sur Internet de serveurs de ports série , en majorité de fabrication Digi.

Initialement destinés à piloter des batteries de modems ou de télécopieurs, voire de distribuer des signaux vers des terminaux passifs connectés à une machine Unix, Prologue ou Pick (qui se souvient encore de con et de tty ?), ces concentrateurs de ports série sont depuis quelques années associés à des passerelles IP donnant à l’administrateur le droit de contrôler à distance ces extensions. Extensions qui, par ailleurs, sont toujours utilisées dans le monde de l’automatisme, là où règne en maîtresse absolue la boucle V24 et les couples TxD/RxD. Au total, un scan rapide nous apprend, explique HD Moore, que l’on peut ainsi accéder à plus de 144 000 « serveurs série », dont plus de 95 000 via des fournisseurs d’accès mobiles. Un parc exploitable qui connaît rarement la supervision d’un IDS ou d’un firewall, lorsque ce n’est pas la totale absence du moindre mot de passe. Vannes de contrôle d’alimentation en eau d’une grande ville Française, systèmes de commande de serrures centralisées etc.

Pour faciliter le travail d’exhumation de ces ports indiscrets, Moore a développé un module Metasploit, qui ira dénicher les cartes Digi cachées dans un réseau… et au-delà. Les hack des vieilles technos désespérantes sont les hacks les plus beaux.