C’est un dialogue d’outre-tombe, entre deux récents disparus.
D’un côté, Paul Allen, emporté par un cancer en ce début de semaine, l’un des fondateurs de Microsoft, grand collectionneur de guitares électriques, mécène, startupeur en série, et surtout principal pourvoyeur financier du projet Seti ( Search for extraterrestrial intelligence). Pour que les équipes du Seti puissent construire leur grand réseau de radiotélescopes et participer notamment aux mesures des jets astrophysiques à haute énergie, il signa un chèque de 25 millions de dollars.
De l’autre, le cosmologiste Stephen Hawking, qui a quitté le monde des sciences en mars dernier. Son livre postume « Brief Answers to the Big Questions », également sorti cette semaine, tente de répondre aux questions existentielles que se posent les habitants de la terre : l’avenir de l’homme dans un monde dominé par l’I.A., le transhumanisme, l’absence de déité dirigeant l’univers… et ce clin d’œil au Seti : « Il existe des formes de vie intelligentes dans l’univers. Nous devons nous garder de répondre jusqu’à ce que nous disposions d’un peu plus d’informations » (« There are forms of intelligent life out there. We need to be wary of answering back until we have developed a bit further »).
Après 4 ans d’existence discrète, une faille affectant libssh 0.8.4 et 0.7.6 vient d’être colmatée. Le problème n’affecte que les serveurs, ce qui provoque une certaine fébrilité dans les rangs de certains éditeurs. Cisco, mais également Red Hat, Suse, Canonical et consorts alertent leurs administrateurs et les poussent à boucher le trou CVE-2018-10933.
L’exploitation de la faille semble excessivement simple. Il suffit à un poste client d’envoyer un message de d’approbation d’authentification (SSH2_MSG_USERAUTH_SUCCESS) en lieu et place d’une demande (SSH2_MSG_USERAUTH_REQUEST). En d’autres termes, le requérant utilise un message que seul le serveur serait en droit d’émettre. Une « cuti-réaction » logicielle est disponible sur Github.
50 000 USD d’amende, l’obligation de restituer les gains mal acquis et 8 mois d’assignation à résidence. Tel est le verdict condamnant Sudhakar Reddy Bonthu, l’un des patrons d’Equifax qui avait vendu des actions de l’entreprise avant que l’annonce de la fuite de 143 millions d’identités ait été rendue publique. Jun Ying, CIO d’une branche de l’entreprise à l’époque, avait été inculpé pour des motifs comparables et avait plaidé coupable.
Plus que quelques jours pour enfiler une polaire et se précipiter à Yverdon les Bain, sur les rivages du lac de Neuchatel pour assister à Black Alps du 8 au 9 novembre. Deux jours d’ateliers et de conférences InfoSec animées par quelques célébrités : Axelle Apvrille, Renaud Lifchitz, Paul Rascagnères…
Suivre ensuite l’autoroute en direction de Lausanne, Genève, Annecy et cap sur Grenoble, ou se déroulera, le 16 novembre, l’édition 2018 de GreHack qui accueillera notamment Marius Muench venu parler des Screaming Channels, Mathieu Cunche et Leonardo Cardoso, explorateurs de l’inaudible, Charles Guillemet, entre open source et électronique sécurisée… l’équipe de Cnis Mag sera heureuse de vous y rencontrer.
Une traversée de massif central plus tard, BotConf, sixième édition, se tiendra à Toulouse du 4 au 7 décembre prochain (le premier jour étant réservé aux «ateliers »). Les inscriptions sont encore ouverte, la liste des interventions arrêtée.
20 jours plus tard, il faut cingler vers Leipzig où se déroulera le traditionnel 35C3 du 27 au 30 décembre. La date d’achat des tickets d’entrée « officielle » est fixée au 8 novembre… si tout n’est pas déjà parti durant la période de prévente.
Les dépenses mondiales « I.T. » en 2019, estime le cabinet Gartner, devraient croître de 3.2 points pour atteindre 3800 milliards de dollars, dont 22% pour le seul secteur du Cloud
Nouvelle inculpation aux USA pour interférence dans le processus électoral, annonce le Département de la Justice US . Elena Alekseevna Khusyaynova, ressortissante Russe, est accusée d’avoir été la « banquière » des cellules de cyber-déstabilisation
Talos alerte sur les dangers de CVE-2018-4013 affectant la bibliothèque LIVE555, laquelle est utilisée notamment par VLC et Mplayer .
Truquées, les Présidentielles ? Certes non. Mais « au cas où », il n’est pas inutile de prendre des mesures de protection. Surtout à l’approche des élections à mi-mandat, si importantes dans les 50 Etats de l’Union.
Facebook,par exemple, promet de bannir toutes fausses informations durant une campagne, notamment celles ayant défrayé la chronique durant la dernière consultation Nationale d’Outre Atlantique : bureaux de votes prétendument saturés par d’interminables files de votants, rumeurs d’émeutes ou d’attentats et autres contenus pouvant retenir les électeurs chez eux. Le message émis depuis Menlo Park a été relayé par l’agence Reuter. Il est dans l’intérêt de Facebook de jouer la carte de la probité et de la crédibilité, d’une nouvelle virginité pourrait-on dire, surtout peu de temps après la révélation d’une série de failles de sécurité menaçant quelques dizaines de millions d’abonnés. C’est surtout l’aveu d’avoir, par le passé, joué les caisses de résonance aux « fake news » électorales.
C’est d’ailleurs cette même semaine que vient d’être condamné à 6 mois de prison et 6 mois d’assignation à résidence Richard Pinedo, pour vol d’identité et achat d’identités sur le marché noir, contournement des mesures de sécurité protégeant des organismes de crédit, ouverture de comptes en banque illégaux ou pour le compte de tierces personnes résidant aux USA et à l’étranger, et notamment au profit de l’Internet Research Agency Russe qui fut à l’origine de nombreuses opérations de manipulation d’opinion via Facebook durant les dernières élections Présidentielles US. L’homme de paille aurait ainsi ouvert des centaines de comptes en banque, facilité des transferts de fonds inter-états et collecté des dizaines de milliers de dollars par le biais de ces comptes douteux. Ses aveux et sa collaboration auprès du DoJ aurait permis l’inculpation de 13 ressortissants Russes impliqués dans ces opérations frauduleuses.
Des Etats Unis ,encore, une étude du Center for Internet & Society (CIS) de l’Université de Stanford , qui revient sur une consultation publique lancée il y a un an par l’autorité de régulation des télécoms, la FCC, et qui portait sur la neutralité du Net. Un raz de marée libéral l’emportait haut la main, semblant prouver que les citoyens US étaient favorables à une proportionnalité bande passante/origine de la source d’information, donnant aux grands acteurs tels que les Gafam, un « droit d’usage » supérieur à celui que pourrait détenir des concurrents plus petits ou des organisations moins riches. Insistons sur le fait qu’une consultation est un élément de réflexion et n’a pas force de loi.
Et ce que nous apprend l’étude de Stanford, c’est que sur environ 22 millions de réponses, 21 millions d’entre elles étaient générées par des Bots, des duplicatas, provenaient d’identités falsifiées ou volées, voire de personnes décédées, le tout grâce à une armée d’ordinateurs et une poignée de personnes pudiquement baptisées lobbyistes et qu’en d’autres circonstances l’on appellerait « Bot Herders ». Les seuls « vrais humains » ayant répondu à la consultation (près de 800 000 personnes) sont favorables à 99,7% à cette fameuse neutralité du Net et à la conservation des mesures de protection des acteurs quelle que soit leur taille respective. Le billet de blog de Ryan Singel, rapporteur de l’étude, insiste même sur le fait que les répondants avaient une bonne connaissance du dossier, tant d’un point de vue économique que législatif. Singel dénonce au passage l’inertie de la FCC qui n’a semble-t-il pas chercher à filtrer ces avalanches de fausses opinions et qui serait même allée jusqu’à faire obstruction aux journalistes, au public, au acteurs politiques, leur empêchant de travailler sur les réponses et ainsi comprendre ce que désiraient réellement les citoyens.
Une consultation n’est pas un vote (bis), mais en général les décisions organiques des grandes administrations sont prises à comité restreint et ne sont soumises qu’au vote d’un cénacle de haut-fonctionnaires (qu’il s’agisse de la FCC ou de ses équivalents Européens). Dans ces conditions, toute consultation a quasiment valeur de scrutin… mais un scrutin sans observateurs officiels, sans contrôle anti-fraude, sans la moindre transparence, et qui accepte sans broncher l’opinion affirmée par un botnet.
lun | mar | mer | jeu | ven | sam | dim |
---|---|---|---|---|---|---|
« Déc | ||||||
1 | 2 | 3 | ||||
4 | 5 | 6 | 7 | 8 | 9 | 10 |
11 | 12 | 13 | 14 | 15 | 16 | 17 |
18 | 19 | 20 | 21 | 22 | 23 | 24 |
25 | 26 | 27 | 28 | 29 | 30 |