Hack



Wikileaks, un roi du scoop sous la menace

[Les Echos - 18/03/2010]
Le site met en ligne de façon anonyme des documents sensibles et confidentiels. L’armée américaine aurait envisagé de le bloquer, alors qu’il est à la recherche de fonds pour survivre.

"Wikileaks a probablement sorti plus de scoops dans sa courte vie que le "Washington Post" ces trente dernières années". La formule du journal américain "The National" résume bien l’histoire de ce site collaboratif spécialisé dans la publication de dossiers confidentiels. Lancé en janvier 2007, Wikileaks affiche déjà un impressionnant palmarès : des documents qui suggèrent que la banque suisse Julius Baer aurait aidé ses clients à blanchir de l’argent et à pratiquer l’évasion fiscale aux Iles Caïman, le manuel des procédures de l’US Army à Guantanamo, une affaire de corruption dans l’entourage de l’ancien président kényan Daniel Arap Moi, des documents de travail sur les négociations secrètes de l’ Anti-Counterfeiting Trade Agreement (ACTA) sur les droits d’auteur, des détails sur le fonctionnement de l’Eglise de Scientologie, etc.

Le site a également diffusé de nombreuses informations concernant le krach bancaire islandais de 2008 : une liste de prêts et de lignes de dettes effacées au profit de certains dirigeants de la Kaupthing Bank peu de temps avant son effondrement, les négociations entre les gouvernements islandais, britannique et néerlandais sur le remboursement des victimes de la banque Icesave ( http://file.wikileaks.org/files/icesave1.pdf et http://file.wikileaks.org/files/icesave2.pdf)…

Les sources de ces révélations proviennent de "whistleblowers" (lanceurs d’alerte en anglais), des avocats, fonctionnaires, employés ou simples citoyens en possession de documents confidentiels, désireux de rendre publiques des informations sensibles et auxquels Wikileaks assure un total anonymat grâce à un système de cryptage des données. Une communauté de 800 journalistes, informaticiens, mathématiciens et militants s’efforce de vérifier l’authenticité et la validité des informations avant de les publier sur le site.

Attaqués une centaine de fois en justice, ses éditeurs se battent en faveur d’une nouvelle législation sur la liberté d’expression. Ils ont ainsi créé un collectif international et poussé à la rédaction d’une proposition de loi examinée actuellement par le parlement islandais. Ce texte, qui compile différentes lois à travers le monde, ferait de l’île, choisie pour son environnement légal favorable, un cyber paradis de l’information garantissant la protection des communications et des sources et interdisant le filtrage du Web.

Mais le succès de Wikileaks est en train de causer sa perte. Submergés par le nombre de connexions et de documents à stocker – plusieurs millions de pages -, les responsables ont temporairement ralenti son activité pour se consacrer à la recherche de fonds. Car le site, avec un budget annuel de 600.000 dollars, ne vit que de dons de particuliers, refusant tout soutien d’entreprise ou de collectivités. "Nous avons reçu plusieurs centaines de milliers de documents relatifs à des banques corrompues, au système de détention des Etats-Unis, à la guerre en Irak, à la Chine, aux Nations Unies et bien d’autres que nous ne sommes techniquement pas en mesure de publier", promet la page d’accueil du site, soutenu par de nombreux médias "traditionnels".

Une autre menace pèserait également sur Wikileaks. Celui-ci a publié lundi un document classé secret provenant d’une agence du département de la Défense américain et qui présente le site comme une "menace pour l’US Army". Daté de mars 2008, ce rapport de 32 pages indique que certaines informations peuvent avoir "une valeur pour les services de renseignements étrangers, les forces militaires étrangères, les insurgés étrangers et les groupes terroristes afin de collecter des informations ou planifier des attaques contre les forces américaines". Les auteurs du rapport suggèrent d’identifier et de poursuivre en justice les éventuels informateurs du site au sein de l’administration américaine afin de dissuader la population d’y avoir recours, brisant ainsi la confiance dans le système de cryptage de Wikileaks.

"Nous avons déjà été confrontés à toute sorte de gouvernements et d’agence de renseignements privés, affirme Julian Assange, l’un des responsables du site. Heureusement, nous comptons aussi beaucoup d’amis qui nous veulent du bien. Nous sommes en train d’enquêter sur ce problème et, quand le moment sera venu, nous aurons d’autres informations à révéler sur les agissements de l’armée américaine." Selon lui, jusqu’à présent, aucune source n’a été révélée depuis la création du site.

http://www.lesechos.fr/info/hightec/300418379-wikileaks-un-roi-du-scoop-sous-la-menace.htm


Un journaliste condamné pour avoir signalé une faille de sécurité informatique

[LE MONDE.FR | 23.09.09]

"J’en ai plein le cul de voir les policiers débarquer chez moi pour X raisons." Damien Bancal est journaliste, spécialisé dans la sécurité informatique ; il édite notamment le site Zataz.com, qui traite principalement des failles de sécurité dans les logiciels et les sites. Aujourd’hui, il songe à arrêter son site, après avoir été condamné par la cour d’appel de Paris pour "trouble illicite".

L’affaire remonte à l’an dernier. Un lecteur du site signale à Damien Bancal que des documents confidentiels sont librement accessibles sur le serveur de l’entreprise Forever living products, spécialisée dans la production d’aloe vera : l’entreprise a simplement oublié de sécuriser la "porte d’entrée" d’un de ses serveurs, qui est de ce fait accessible à tous. Après avoir vérifié l’existence de la faille, il la signale à l’entreprise, qui corrige l’erreur, et lui envoie un e-mail pour le remercier. Une fois la faille corrigée, Zataz.com publie un article décrivant l’origine du problème, sans publier les documents ni révéler la méthode exacte qui permettait d’y accéder, mais en illustrant l’article de captures d’écran qui attestent que le serveur informatique de l’entreprise était librement accessible.

DOUBLE PROCÈS

La procédure est classique dans le milieu de la sécurité informatique : lorsqu’on découvre une faille, on la signale, puis, une fois celle-ci corrigée, on publie une brève note décrivant le problème pour le bénéfice de la communauté, afin d’éviter que l’erreur se reproduise sur d’autres sites. Mais Forever living products ne l’entend pas ainsi : elle assigne Damien Bancal en justice, au civil et au pénal, l’accusant de s’être introduit illégalement dans son serveur et d’avoir diffamé l’entreprise.

Sur l’aspect diffamatoire de l’article écrit par Damien Bancal, le tribunal l’a relaxé en première instance, estimant que le journaliste avait agi "de bonne foi" et avec la légitimité "d’un double but d’information et de sensibilisation du public". Forever living products a fait appel de cette décision. Au civil, en revanche, Damien Bancal est condamné pour "trouble manifestement illicite" : en clair, le tribunal juge qu’il s’est introduit illégalement dans le serveur de la société. Il fait lui aussi appel, début septembre, et est de nouveau condamné : il doit détruire toutes les données concernant Forever living products en sa possession, et verser 3 500 euros à l’entreprise en remboursement des frais de justice.

"Le tribunal a considéré qu’il s’agissait de piratage parce qu’il avait utilisé un moteur de recherche spécialisé", explique Murielle Cahen, l’avocate de Damien Bancal, qui conteste cette interprétation. "Il a bien utilisé un moteur de recherche spécialisé pour accéder à ces données, mais c’est un outil accessible à n’importe quel internaute. Si les données avaient été protégées, jamais il n’y aurait eu accès."

RENVERSEMENT DE JURISPRUDENCE

Ce jugement constitue un renversement par rapport à la jurisprudence en vigueur, dite "jurisprudence Kitetoa". En 2002, le site Kitetoa, lui aussi spécialisé dans la sécurité informatique, avait été poursuivi par le groupe Tati pour avoir révélé que le site de l’entreprise n’était pas sécurisé. Après avoir été condamné en première instance, le site avait été relaxé en appel. Le parquet avait alors estimé qu’il était "inenvisageable d’instaurer une jurisprudence répressive (…) pour les internautes, certes avisés, mais de bonne foi, qui découvrent les failles de systèmes informatiques manifestement non sécurisés". Le risque étant que les internautes cessent de signaler aux responsables des sites les failles découvertes par hasard, par peur de poursuites judiciaires. Les sites mal protégés resteraient alors plus longtemps vulnérables face à des internautes mal intentionnés.

En attendant l’appel du procès en diffamation, Damien Bancal a lancé un appel aux dons pour régler la note du procès civil, et envisage de fermer son site. "Je ne gagne pas d’argent avec Zataz", explique-t-il. "C’est un site que j’alimente en plus de mon travail ; depuis sa création, j’ai contribué à aider 8 000 entreprises et administrations à corriger des failles dans leurs systèmes informatiques. A quoi bon, si c’est pour qu’au final ça me coûte un bras ?" S’il se dit "confiant" pour l’appel du procès en diffamation, "parce que j’ai toutes les preuves de ma bonne foi", il est également las des procédures. Il s’est donné une semaine de réflexion avant de décider de la fermeture du site ou de son maintien.

http://www.lemonde.fr/technologies/article/2009/09/23/un-journaliste-condamne-pour-avoir-signale-une-faille-de-securite-informatique_1244238_651865.html


L’indiscipline des managers est à l’origine des principales menaces contre la sécurité des données.

[Bertrand Lemaire - CIO Online - 16/03/2010]

Le vol d’ordinateurs portables est un incident fréquent. Or un tel vol implique celui des données contenues sur les disques durs. Lorsque le propriétaire était le PDG ou même un commercial, la sensibilité des données peut être très élevée.
Une méthode de sécurisation consiste bien entendu à ne disposer d’aucune donnée sur les disques durs, celles-ci n’étant accessibles que sur le SI de l’entreprise en mode web et qu’au travers qu’un tunnel VPN avec identification de l’utilisateur et non seulement de la machine. Une autre méthode est de crypter le contenu du disque dur.


Or, selon une étude de Ponemon Industrie, « Human Factor in Laptop Encryption », sponsorisée par Absolute Software, 60% des managers américains, 53% des Anglais, 52% des Canadiens et 50% des Français contournent les mesures de sécurité mises en place par les DSI sur leurs ordinateurs mobiles. A l’inverse, en Europe du Nord, la discipline reste la règle : 15% des Allemands et 13% des Suédois agissent sans respect des procédures de sécurité. Il s’agit en particulier pour les utilisateurs de contourner les processus de cryptage des données. La relative indiscipline plus forte dans tel ou tel pays serait en fait, toujours selon la même étude, liée au cryptage plus ou moins généralisé : plus les DSI décident de crypter systématiquement, plus les utilisateurs contournent ce qui est vécu comme une gêne.

Il en résulte que le vol d’un portable n’aboutit pas nécessairement à une violation de données. Une telle corrélation, toujours selon la même étude, n’a été admise que par 28% des Français interrogés, mais par 72% des Américains, 61% des Britanniques, 50% des Canadiens, 49% des Suédois et 46% des Allemands. Une telle différence peut être aussi due, sur du déclaratif, à une sensibilité aux données perdues.

L’absence totale de données sur le poste portable reste donc la solution la plus sure, comme cela a déjà été signalé en cas de voyage à l’étranger.

http://www.cio-online.com/actualites/lire-la-principale-menace-pour-la-securite-se-situe-entre-le-clavier-et-le-siege-2783.html


[Glenn Fleishman - TidBits - 08/03/2010 - Trad. Gregoire Seither]
J’ai été frappé par deux caricatures publiées récemment et qui expriment bien une frustation courante vis à vis des oeuvres numériques protétées par DRM: il est tellement fastidieux d’utiliser l’interface maladroite et délibérément frustrante que vous imposent les éditeurs, qu’il est souvent plus rapide et simple de télécharger et utiliser la version piratée… même si vous avez payé pour la version légale.

Ainsi, Geekologie présente la succession frustrante d’écrans qui s’affiche quand vous insérez un DVD légal dans un lecteur – au point de vous gacher le plaisir.

Pourquoi les DRM font chier le monde plus qu'autre chose....

http://www.geekologie.com/2010/02/piracy_the_benefit_of_not_payi.php

J’ai acheté ou loué des DVD récemment que j’ai eu envie de mettre dans le four à micro-ondes avant même de réussir à atteindre la première séquence du film, tellement la succession d’écrans est frustrante. C’est totalement inutile et contreproductif: les avertissements du FBI, Interpol, et autres agences de copyright n’ont jamais empéché quiconque de pirater un film, et de fait ils ne cassent les pieds qu’aux usagers légaux. De plus en plus de DVD incluent des séquences de publicités qu’on ne peut sauter ou passer en mode avance rapide, nous piégeant comme dans les salles de cinéma.

Quelle est l’alternative ? Téléchargez, rippez et gravez un fichier depuis le réseau – ou ouvrez-la sur votre ordinateur – et regardez confortablement le film, sans préliminaires fastidieux.

Le deuxième dessin nous parle encore plus: il raconte les péripéties de Brad D. tentant de louer, télécharger et écouter un livre audio depuis le site de sa bibliothèque municipale. A la fin, bien qu’ayant payé pour le livre, Brad finit par le télécharger sur un site BitTorrent, cela va plus vite et au moins ça marche.

Même quand on veut payer, c'est plus simple et rapide de pirater que d'achether

http://www.bradcolbow.com/archive.php/?p=205

Dans les deux cas, la morale de l’histoire n’est bien sûr pas, "Hé, allez voler les contenus et ne payez rien au propriétaire du droit d’auteur !" L’humour repose dans le mal que se donnent les éditeurs à rendre le contenu difficilement accessible pour les personnes qui ont payé pour le consutler. Les groupes médias semblent prendre un malin plaisir à compliquer les choses, ce qui ne fait que renforcer le ‘facteur cool’ du piratage et à présenter la copie illégale comme une sorte de "résistance civique".

http://www.tidbits-com


C’est bon de la savoir… mais ce n’est pas nouveau. En 1990, les admins de l’Université de Cornell se baladaient déjà avec un T-Shirt "I read your mail"… si on a accès aux bases de données, on peut faire ce que l’on veut.

Ce qui serait curieux de voir ce que vaudrait une "preuve par Facebook" devant la justice. Parce que n’importe quel admin pourrait envoyer un message de la part d’un utilisateur qui provoquerait une panique boursière, ou bien poster une photo pedo-nazo sur le profil de quelqu’un…  est-ce que Facebook a un garde-fou contre les admins. Pour parler comme les pages roses du Larousse : Quis Custodiet Ipsos Custodes? – qui surveille les surveillants ?

La possibilité pour un admin véreux de "spoofer" un compte d’utilisateur Facebook ouvre la porte à une infinité de variations manipulatoires…

[ Benjamin Sonntag - 12/01/2010]

Facebook & vie privée, alerte générale !

Alors comme ça vous avez un profil facebook, vous l’avez tout bien fermé pour que seuls vos amis puissent accéder à vos photos de vacances, état d’esprit, groupes, que vous pouvez ainsi partager en toute confiance ? …

Confiance vous avez dit ?

Mauvaise nouvelle :

À lire pour les anglophones : http://therumpus.net/2010/01/conver…

Donc, sur le site The Rumpus, blog collectif littéraire américain de bonne facture (que je classerais, pour le comparer à quelque francophones, entre Cultural Gang-Bang et The Stalker), ce 11 janvier, un article a été publié, qui risque bien de faire beaucoup de bruit : les révélations d’un employé de Facebook vont probablement (c’est tout le mal qu’on peut leur souhaiter) enfin faire comprendre à ses utilisateurs et fan de ce réseau social ce qu’il en est de la vie privée !

The Rumpus nous fait la joie d’interviewer un (une ?) employé de Facebook, apparemment une de leurs amies.

"Though forthcoming, my friend was anxious to preserve her anonymity ; Facebook employees, after all, know better than most the value of privacy"

"Prudente, mon amie a souhaitée vivement conserver son anonymat ; les salariés de Facebook sont, somme toute, plus au courant que quiconque de la valeur de la vie privée."

Facebook conserve tout

Que nous apprend donc cette interview ? Tout d’abord que Facebook conserve tout, y compris les choses que l’on efface, dresse des profils très détaillés de ce que vous faites (toute interaction avec un autre membre est enregistrée et comptabilise dans le fait que cette autre personne vous est plus ou moins proche etc.)

Ensuite, on y apprend de nombreux détails techniques intéressants (sur le nombre de serveurs, leurs emplacement, leur contenu, le fait que chaque image soit stockée dans 6 tailles différentes etc.) mais cela ne nous intéresse pas particulièrement ici …

Un mot de passe universel

Ensuite, on apprend qu’un mot de passe universel, du genre "Ch !_ !ck |\|0Rr1s" permettait, depuis les bureaux de Facebook, aux ingénieurs de Facebook, (mais aussi à tout employé qui savait où chercher ce mot de passe …) d’accéder à n’importe quel profil à tout instant, et à toutes les données le composant.

Cela aurait provoqué le licenciement de 2 personnes ayant abusé de cette possibilité…

Désormais remplacé par un système avec archivage…

Désormais, ce mot de passe universel a été remplacé par un système qui permet à tout ingénieur de chez Facebook de "devenir" un utilisateur, donc de se connecter à son profile. Mais pour cela, il doit saisir une justification.

Ces justifications sont lues et encadrées par Chris Kelly, le chef de la vie privée à Facebook, en liaison direct avec le parquet de Californie … Cela peut sembler rassurant …

Mais bon… les bases de données sont là…

Cela dit, l’employée nous rappelle quelque chose de très important : les bases de données situées derrière tout cela sont belles et bien accessibles à de nombreux ingénieurs sans aucun contrôle : tout message, toute trace de message effacé mais conservé par Facebook, tous les messages privés échangés entre utilisateurs… Tout cela leur est accessible en quelques clics.

"Rumpus : So the master password is basically irrelevant.
Employee : Yeah.
Rumpus : It’s just for style."

"Rumpus : Are your managers really on your ass about it every time you log in as someone else ?
Employee : No, but if it comes up, you’d better be able to justify it. Or you will be fired."

Rumpus : Donc le mot de passe magique, en gros il ne sert à rien ?
L’employée : Mouaip.
Rumpus : C’est classe !
Rumpus : Et vos responsables sont toujours sur votre dos dès que vous vous connectez sur le compte de quelqu’un d’autre ?
L’employée : Non, mais si cela arrive, vous avez intérêt à avoir une bonne raison, sinon vous êtes viré.

Rassurant non ? ;)

Rien de nouveau…

Cela dit, si on creuse un peu, tout cela reste évident, et rien de nouveau sous le soleil, si vous me connaissez un peu, vous savez bien que je passe mon temps à vous expliquer que tout ce que vous dites sur Internet devrait être considéré comme public ;)

Enfin, je vous propose 2 petits liens pour terminer ces considérations de base sur la vie privée :

- Le jeune créateur de Facebook, Mark Zuckerberg, expliqua récemment que Facebook étant avant tout un lieu pour s’exposer, "divulguer toutes ses infos devrait être la norme". Le ton est donné.

- Dans la même veine, Jean-Marc Manach, aka Bugbrother, sur son blog du monde.fr, nous a concocté récemment un article de belle plume, "Les petits cons parlent aux vieux cons" qui lève le voile de la relation entre les principes de vie privée et la nouvelle génération d’internautes … Intriguant, intéressant, bien écrit, une lecture vivement conseillée ;)

http://benjamin.sonntag.fr/Facebook-vie-privee-alerte-generale


[Philou sur TrackerNews - 2/01/2010]

Pour les handicappés de la technologie parmi nous, il existe également un tutoriel vidéo très simple et très bien fait, qui explique comment installer un VPN. Cela pèse 450 Mo et se trouve sur la quasi totalité des serveurs bittorrent.

Anti-Hadopi.VPN.Video.Tutorial.XP-Win7.FR-NzB.zip – http://isohunt.com/torrent_details/148969293/?tab=summary

LES SOLUTIONS POUR CONTRER HADOPI
Bonjour à tous et à toutes,
Énième rebondissement dans la saga tragicomique de la loi Hadopi.
Alors que les premiers courriels ne seraient envoyés qu’en Avril prochain (dans le meilleur des cas), voici quand même quelques points IMPORTANTS à savoir sur le sujet:
- "La mule" (Réseau ED2K) a été confirmée comme étant la cible prioritaire.
- HADOPI sera géré par une poignée d’employé(e)s uniquement.
- Il y a des techniques déjà en place, pour éviter de recevoir des "pourriels" en provenance d’HADOPI.

Maintenant, tous ceux et celles concernés, veuillez prendre une grande respiration et arrêtez de paniquer!
HADOPI ne pourra ABSOLUMENT rien contre ceux qui se protègeront… Si un jour HADOPI voit son ombre…

Malgré tout, voici tel que promis dans le billet précédent, comment vous protéger:

  • 1- Location d’une Seedbox HORS FRANCE.
  • 2- Location d’un serveur VPN HORS FRANCE.
  • 3- Utilisation d’accès réseau sans-fil (WIFI) non-protégé ou publique
  • 4- Déménager HORS FRANCE. ;-) (suite…)

[Backchich 01/01/2010]

Joli cadeau de nouvelle année. Un hacker allemand a dévoilé les clés de cryptage du GSM. En fait, comment sont codées les conversations sur téléphones portables. Au grand dam des opérateurs…et des agences gouvernementales.

Lundi 28 décembre, afin de démontrer les lacunes en matière de sécurité des systèmes globaux sans fil, un ingénieur informatique allemand a déclaré qu’il avait décodé et publié le code secret utilisé pour crypter la plupart des communications sur les téléphones mobiles digitaux.

L’expert en question, un certain Karsten Nohl, a affirmé avoir pour seul objectif de démontrer l’inefficacité de l’algorithme GSM de cryptage vieux de 21 ans. Un code élaboré en 1988 et toujours en vigueur aujourd’hui pour protéger la confidentialité d’environ 80% des communications mondiales passées sur les mobiles.

Un cryptage vieux de 21 ans dégommé sur le web

« Ca démontre simplement que la sécurité GSM est inadéquate », a affirmé Nohl, 28 ans, devant les 600 participants du Congrès du Chaos des Communications, une conférence de 4 jours qui a pris fin le mercredi 30 décembre à Berlin, et qui réunit la crème des hackers : «  Nous essayons de convaincre les opérateurs d’améliorer les mesures de sécurité des communications sur les mobiles », a-t-il martelé à plusieurs reprises sous les applaudissements au cours de son intervention.

L’association GSM basée à Londres qui regroupe les opérateurs et est à l’origine de l’algorithme visé, a rapidement fait savoir que les actions menées par Nohl étaient illégales et qu’en plus, il surestimait considérablement les menaces pesant sur la sécurité des communications sans fil. On peut certainement leur faire confiance…

Pour toute réponse, le hacker a indiqué que le code de l’algorithme était disponible sur le Web, notamment par l’intermédiaire de fournisseurs comme Bit Torrentt, très prisé de ceux qui téléchargent de grosses quantités de données comme des films et de la musique. Il s’est toutefois refusé à indiquer un lien vers ledit code, de crainte des conséquences juridiques d’une telle confidence, même faite en guise de cadeau de Noël. Il a d’ailleurs laissé entendre que les références du site concerné s’étaient rapidement répandues de bouche à oreille au sein de la communauté des hackers.

Ecoutez qui vous voulez

Simon Bransfield-Garth, directeur général de CellCrypt, également basée à Londres et fort mécontent de la nouvelle, y est bien entendu allé de son coup de griffe en indiquant que tout ce que Nohl allait réussir à faire, c’est de mettre la technologie sophistiquée d’interception des communications mobiles – jusqu’ici réservée aux gouvernements et aux agences de renseignement – à la portée de toute organisation criminelle disposant des ressources financières suffisantes : «  Cela va réduire de quelques semaines à quelques heures, le temps nécessaire pour déchiffrer une communication GSM. Au train où vont les choses ça pourrait même se chiffrer rapidement en minutes » a-t-il affirmé au cours d’un entretien accordé à des journalistes qui l’interrogeaient sur la portée de la « découverte » de « l’expert » teuton.

Il a indiqué sur un ton qui dissimulait mal une grosse inquiétude pour l’avenir de son business, que les progrès dans la technologie de la surveillance mettaient aujourd’hui à disposition du public, notamment en Inde, des systèmes de surveillance des communications sans fil au prix ridicule de 1500 dollars.

Grincheux, il a ajouté : «  des clients nous ont indiqué avoir perdu des affaires se chiffrant en dizaines de millions de dollars à cause de fuites au bénéfices de leurs concurrents, intervenues à la suite d’interception de communications ». Il a conclu en indiquant que «  les interceptions de communications téléphoniques mobiles étaient beaucoup plus fréquentes que ce que l’on croit ». On s’en doutait. A ce prix là, c’est vrai que c’est simple comme un coup de fil…

http://www.bakchich.info/Espionner-c-est-simple-comme-un,09691.html


[ZDNET  _  26/11/2009]

Considéré comme le plus gros moteur de recherche de liens BitTorrent, Minova.org était poursuivi aux Pays-Bas où il risquait 5 millions d’euros d’amende. Le site a préféré fermer son service pour se consacrer au développement d’une offre légale de contenu.

Mininova.org, le site incontournable pour la recherche de liens BitTorrent, a annoncé qu’il abandonnait ce service afin de se conformer à la décision de la justice néerlandaise saisie en 2008 par l’association de défense des droits d’auteur BREIN. Mininova est accusé de permettre le téléchargement de millions de contenus (films, musique, logiciels…) protégés.

Créé fin 2004 sur les restes de Suprnova par cinq étudiants hollandais, Mininova s’est hissé dans le top 100 des sites les plus visités dans le monde avec 50 millions de visiteurs uniques. Il y a une semaine, le site franchissait la barre des 10 milliards de téléchargements générés par son intermédiaire. Un succès que les créateurs de Mininova n’ont pas manqué de rentabiliser grâce à la publicité qui aurait rapporté quelques millions d’euros.

Pas de filtrage efficace possible

Le 26 août dernier, Mininova était sommé d’identifier et de supprimer tous les liens vers les contenus protégés dans un délai de 3 mois sous peine de payer 5 millions d’euros d’amende. Pour sa défense, le site a expliqué qu’il retirait déjà tout lien suspicieux à la demande des ayants droit et avait cherché à collaborer avec des associations comme la BREIN.

La justice a admis que le site n’était pas directement coupable de violation de droits d’auteur, tout en exigeant un filtrage totalement efficace. Infaisable expliquait hier Mininova, estimant qu’il n’est « ni techniquement ni opérationnellement possible d’implanter un filtrage fiable à 100% ».

En conséquence, le site a préféré suspendre ses activités. Il va laisser un grand vide qui ne tardera sans doute pas à être comblé. Mininova va désormais se consacrer au développement d’une offre légale avec sa plateforme, qui permettra aux artistes et aux producteurs de diffuser leur création.

Mininova.org réfléchit toutefois à faire appel de la décision du tribunal.

http://www.zdnet.fr/actualites/internet/0,39020774,39711109,00.htm


Passez sur Apple Mac… ce n’est pas la panacée, mais le nombre de virus et troyens qui les affectent est quasiment nul. Et installez un filtre de sortie, du genre Little Snitch (http://www.obdev.at/products/index.html)

Pourquoi les antivirus sont inefficaces pour votre ordinateur

[Augustin Scalbert | Rue89 | 30/10/2009]

L’ESIEA, une école d’ingénieurs française, peut se vanter d’avoir semé une belle pagaille dans le petit monde des éditeurs d’antivirus. Sur son campus de Laval, elle a organisé le week-end dernier un test des logiciels de protection les plus répandus. Les résultats sont accablants, puisque six des sept antivirus testés ont été désactivés en moins de 40 minutes (et deux minutes pour le moins performant). En clair, à la seconde où vous connectez votre ordinateur à Internet, voici en combien de temps il peut être pénétré, en fonction de la marque de votre antivirus :

  • McAfee : 1 min 56
  • Norton : 4 min
  • GDATA : 5 min
  • AVG : 15 min
  • NOD32 : 33 min
  • Kaspersky : 40 min
  • Dr Web : non contourné dans le temps imparti, mais « suffisamment affaibli » pour conclure qu’il l’aurait été en « plus d’une heure ».

Très vite, l’un des éditeurs, GDATA, a dénoncé sur LePoint.fr un « protocole de test spécifique » passant par des « manipulations physiques sur la machine ».

Le directeur de la recherche de l’ESIEA, Eric Filiol, qui est aussi à la tête du « laboratoire de cryptologie et virologie opérationnelles », répond que le test a consisté à vérifier « scrupuleusement que ce qui était fait correspondait strictement à la réalité, tout en respectant la loi, bien sûr » :

« Ces réponses sont intellectuellement malhonnêtes. Depuis une dizaine d’années, il existe des virus qui attaquent et désactivent les antivirus. Il faut donc se placer dans la vision de l’attaquant. Ceux qui critiquent notre test auraient pu venir y participer. »

L’école souligne d’ailleurs que des représentants d’un autre éditeur, AVG, étaient présents à Laval :

« Ils ont particulièrement apprécié cette approche. Lorsque leur antivirus est tombé devant leurs yeux, ils ont appelé en direct leurs développeurs en République tchèque pour relayer les informations techniques récupérées. »

Le « compromis » des éditeurs : plus d’argent à moindre coût

Pourquoi ces logiciels de protection, dont le rôle est uniquement de protéger le mieux possible les ordinateurs, sont-ils si inefficaces ? Eric Filiol a une petite idée :

« Il existe des moyens de faire des antivirus efficaces, mais c’est à la fois plus cher en recherche et développement, et plus lourd pour le système d’exploitation de l’ordinateur. La plupart des éditeurs choisissent donc le compromis qui leur permet de gagner plus d’argent à moindre coût. »

Selon lui, les résultats du test réalisé par l’ESIEA reflètent très exactement les rapports entre les budgets de recherche et développement et ceux du marketing chez les différents éditeurs.

Eric Filiol considère que « notre vie privée est exposée », et appelle à l’adoption d’une réglementation pour « des seuils minimum de protection ».

Selon un organisme américain cité dans un colloque consacré à la sécurité informatique, le temps d’infection moyen d’un PC sous Windows, directement connecté à Internet sans antivirus à jour et sans firewall personnel, serait en 2009 de quatre minutes. Sans antivirus ! En 2004, ce temps était de 20 minutes, et de 40 minutes en 2003.

http://eco.rue89.com/2009/10/30/pourquoi-les-antivirus-sont-inefficaces-pour-votre-ordinateur-124032


FORGOT YOUR PASSWORD ?

[Stéphanie Bruhière - Mediashift - 28/05/2009]

Vous croyez votre compte bancaire ou votre boîte e-mail parfaitement protégée par un mot de passe ultra-confidentiel et une question secrète dont la réponse ne serait connue que de vous ? Vous pensiez qu’en mettant deux majuscules, trois chiffres et un dièse dans votre mot de passe, personne ne pourrait pirater vos comptes sur internet ?

Grosse erreur d’après Herbert H. Thompson, journaliste au Scientific American. En effet, celui-ci a souhaité montrer à quel point il était facile et à la portée de tous de pirater le compte d’une tierce personne en passant simplement par le lien « mot de passe oublié ». Pour appuyer ses arguments, il a donc tenté d’accéder au compte bancaire d’une victime de son choix en utilisant la fonction de récupération de mot de passe. Pour cela, il a donc pris pour cible une amie de sa femme au sujet de laquelle il ne connaissait que des informations relativement basiques : son nom, l’Etat où elle résidait, son âge, son lieu de travail et le nom de sa banque. Une première recherche Google à partir du nom de famille de lui dévoile un blog et un vieux CV. Le blog notamment, s’avère extrêmement utile : il y obtient des informations sur sa famille et sur son enfance, ainsi que son adresse e-mail du collège et son adresse G-Mail actuelle.

Il se connecte ensuite sur le site bancaire de l’amie de sa femme. Le lien du fameux « mot de passe oublié ? » le renvoie à la consultation de G-Mail. En effet, un courriel y a été envoyé afin de cliquer sur un lien pour réinitialiser le mot de passe. Il s’agit donc alors d’accéder à la boîte email.

La démarche est la même : G-Mail renvoie le journaliste vers une autre adresse email, renseignée lors de la création du compte. Dans le cas présent, il s’agit de celle que la victime avait au collège, information obtenue auparavant grâce à la recherche Google.

C’est sur ce compte qu’Herbert Thompson va pouvoir agir en cliquant sur le « mot de passe oublié ». Il doit alors répondre à une « question secrète » personnelle afin de changer le mot de passe. Or avec à sa disposition le blog et l’ancien CV, le journaliste a toutes les informations nécessaires pour y répondre. La suite est particulièrement aisée : il accède ainsi au compte G-Mail de l’amie de sa femme à partir duquel il aura accès à l’e-mail envoyé par la banque.

L’expérience est troublante. En effet, depuis quelques temps, les questions secrètes se sont sophistiquées. En plus du traditionnel nom de jeune fille de notre mère, on nous demande également de choisir entre notre héros d’enfance ou notre animal préféré par exemple. Il ne nous viendrait pas à l’esprit qu’un « hacker » puisse connaître ces informations en apparence très personnelles. Or à l’ère des blogs, des curriculum vitae en ligne et des réseaux sociaux sur lesquels l’on n’hésite plus à parler de Doudou, le hamster de notre enfance, il est désormais aisé pour les pirates de découvrir la réponse à ces questions destinées à protéger nos comptes sur internet.

Aux Etats-Unis, il est même possible d’acheter clandestinement des répertoires de renseignements personnels du type « nom de votre animal préféré » pour environ 15 dollars par lot. Si l’on ne dispose pas encore de statistiques précises, cette stratégie est soupçonnée dans de nombreux cas de piratage à l’heure actuelle.

Cet exemple met une fois encore l’accent sur les dangers qu’il peut y avoir à trop dévoiler sa vie sur le net. Les données divulguées restent sur la toile, souvent longtemps après leur diffusion. Cela constitue une véritable mine d’or pour les pirates, d’autant plus que cela ne requiert aucune compétence informatique particulière. La solution se situe alors entre la maîtrise des informations personnelles que l’on diffuse et des changements de mots de passe régulier.

Dès lors, si vous croyiez être le seul à connaître le surnom que vous donnaient vos parents quand vous aviez six ans, il est possible qu’une dizaine de « hackers » soient désormais au courant. Au-delà de l’embarras personnel que cela peut vous causer, c’est surtout tout vos comptes sur le web qui sont menacés.

http://blog.mediashift.fr/2009/05/28/forgot-your-password/


[DegenereScience, août 2009]

Devant l’évidence de la catastrophe, il y a ceux qui s’indignent et ceux qui prennent acte, ceux qui dénoncent et ceux qui s’organisent. Nous sommes du côté de ceux qui s’organisent. (Anonyme, Appel "L’insurrection qui vient" -  Comité Invisible)

En pratique, le Contre-Net et la TAZ peuvent être considérés comme des fins en soi – mais, en théorie, ils peuvent aussi être perçus comme des formes de lutte pour une réalité différente.  (Hakim Bey, TAZ : zone d’autonomie temporaire, 1991)

I – La contre-culture hacker

Il n’a jamais été question d’être méchants ou destructeurs, même quand nous combattions les contre-vérités diffusées par les média de masse. Nous formions un ensemble de gens bizarres, qui exploraient un univers nouveau et partageaient leurs découvertes avec qui voulait bien l’entendre. Nous étions dangereux.  (Emmanuel Goldstein, The Best of 2600: A Hacker Oddyssey, 2008)

Oui, je suis un criminel. Mon crime est celui de la curiosité. Mon crime est celui de juger les gens par ce qu’ils pensent et disent, pas selon leur apparence. Mon crime est de vous surpasser, quelque chose que vous ne me pardonnerez jamais. (The Mentor, The Conscience of a Hacker, 1986, paru dans le numéro 7 du magazine électronique Phrack)

Les préjugés sur le mouvement hacker sont si profondément ancrés dans l’inconscient collectif qu’ils se suffisent à eux-mêmes. Le grand public oscille entre d’une part l’image terroriste véhiculée par le complexe médiatico-policier, etd’autre part celle d’un explorateur des frontières du cyber-espace transmise par la mauvaise science-fiction. À tel point que très peu connaissent le sens réel du mot hacker, et moins encore ont une vue globale de ce dont il s’agit. (suite…)


[Bruno Kerouanton - 28/05/2009]

La crise financière à mis en lumière les risques encourus par le non respect de la réglementation existante ou par les effets pervers d’une réglementation inadaptée. Il est aussi un domaine totalement anarchique sur lequel les politiques ne se sont posé que très peu de questions et qui pourrait provoquer un séisme bien plus grand encore s’il venait à s’écrouler : il s’agit de l’informatique en général et d’Internet en particulier.

Qui se préoccupe encore de s’assurer que le réseau Internet, par exemple, restera disponible en toute occasion, que les données transmises resteront fiables et que leur confidentialité sera assurée ? En vérité, peu de choses sont prévues et un sentiment d’impuissance règne au regard de cette nébuleuse.

Face à une informatique mondiale aujourd’hui dépendante de sociétés multinationales privées, dont l’objectif légitime est la rentabilité de leurs propres opérations, il manque les règles issues d’un consensus mondial ayant prééminence sur celles-ci, dont le défaut est d’être souvent à géométrie variable.

Nous faisons désormais aveuglément confiance en la fée informatique, puisque les autres le font également, mais nous ferions bien de nous poser les bonnes questions : le bel édifice est-il si solide qu’on le prétend ? Repose-t-il sur des bases saines ?

Nombreux sont les exemples démontrant que l’on croit maîtriser le tout, alors qu’il n’en est rien. (suite…)


[Marc Mayor - MoneyWeek - 12/08/2009]

Le 4 juillet 1776, le roi George III écrivait dans son journal : "Rien d’important ne s’est passé aujourd’hui." Le même jour, les Etats-Unis proclamaient leur indépendance. Une future superpuissance était née, et l’homme le mieux informé du monde ne le savait pas.

Le 4 juillet 2009, Sergey Aleynikov fut amené devant un juge. La veille, ce programmeur avait été arrêté par des agents de la police fédérale américaine à l’aéroport de Newark, suspecté d’avoir volé des algorithmes top secrets à son ancien employeur, la banque Goldman Sachs. Les médias généralistes n’ayant pas couvert la nouvelle, le grand public en sait aussi peu à propos de cette affaire que le roi d’Angleterre sur la déclaration d’indépendance, deux cent trente-trois années plus tôt. Pourtant, il n’est pas impossible que cette affaire marque la fin d’une ère pour la finance mondiale.

Le Groupe de travail sur les marchés financiers avait été créé par le président Ronald Reagan moins de six mois après le krach du 19 octobre 1987, qui avait fait perdre aux Bourses mondiales un quart de leur valeur en un seul jour. Sous la présidence du secrétaire du Trésor, il réunit le patron de la Réserve fédérale ainsi que les responsables du marché des actions et des marchés à terme. Goldman Sachs assiste ce groupe dans ses interventions sur le marché et se tient à la disposition de la Bourse de New York pour fournir de la liquidité dans des cas particuliers. Pour cette raison, l’établissement a accès à certains codes de sécurité, notamment sur le réseau du New York Stock Exchange.

Le système le plus complexe sur lequel a travaillé Sergey Aleynikov permet d’installer des logiciels capables de capturer des flux de texte passant par des serveurs informatiques. Sur le Nyse, de telles informations contiennent des indications d’intérêt pour un achat ou une vente, des prix de titres ainsi que des notifications d’exécution de transactions. Quiconque disposant de ces informations avant le public serait comparable à un joueur de poker seul capable de voir les cartes de ses adversaires ; cette affaire pourrait donc être liée aux prix fantômes dont je vous parlais en mai.

L’assistant du procureur Joseph Facciponti a déclaré : "La banque [Goldman Sachs] a soulevé la possibilité qu’il y ait un danger que quelqu’un qui sache comment utiliser ce logiciel puisse s’en servir pour manipuler le marché d’une manière injuste." Si tel est le cas, cela signifie que, avant la prétendue malversation, Goldman Sachs disposait d’un outil qui lui permettait de manipuler les marchés.

Le vendredi 3 juillet, le Nyse livrait les derniers chiffres de program trading, qui donne le nombre d’actions achetées et vendues par des algorithmes, le tout classé par établissement. Goldman Sachs, qui auparavant disposait d’une part de marché de 60%, avait subitement disparu de la liste d’une semaine à l’autre. C’est d’autant plus surprenant que le groupe avait déclaré, en mai, avoir gagné plus de 100 millions de dollars par jour de trading au cours de 34 jours (sur un total de 63) sur le premier trimestre dernier.

Dans ce cas, pourquoi arrêter ? Il n’en faut pas davantage pour échafauder des théories : le groupe bancaire a peut-être accès avant les autres, en raison des services rendus au gouvernement et à la Bourse de New York, à des informations liées au marché des actions et contrats à terme. Il est possible que la banque ait engagé Sergey Aleynikov pour installer son application sur les serveurs du Nyse, de manière à disposer d’un avantage comparable à celui du joueur de poker mentionné ci-dessus. Armée de cet outil, il lui aurait été quasiment impossible de perdre. La banque pourrait ainsi avoir raflé une centaine de millions par jour ouvrable en toute impunité. En admettant ce scénario, cette affaire est-elle vraiment susceptible de changer les marchés à jamais ? C’est possible.

Selon l’assistant du procureur, "le programme se trouve quelque part sur un serveur allemand, et nous ne savons pas actuellement qui d’autre y a accès et ce qu’il adviendra de ce logiciel". Sans vouloir faire dans le profilage, le fait est que Sergey Aleynikov est originaire de Russie. Lequel pays est la patrie des hackers les plus doués de la planète : selon Alex Spillius, du Telegraph, une cyber-attaque venue de Russie et visant les systèmes du Pentagone en novembre avait eu tellement d’impact que le président Bush et le secrétaire à la Défense Robert Gates avaient dû en être avertis. Si l’algorithme en question tombait entre les mains de tels pirates, cela pourrait provoquer des dégâts importants sur les Bourses mondiales.

En 2006, Steve Knopper, du magazine Wired, avait tenté une expérience amusante : acheter un ordinateur tout neuf, puis l’exposer au pire de l’Internet, après avoir désactivé pare-feu et logiciel d’antivirus. Le journaliste avait alors ouvert des pourriels, puis téléchargé quantité de pornographies, de musique piratée et autres jeux informatiques sur la Toile. Résultat : après dix-huit jours de ce régime, il fut contraint d’amener sa machine, qui ne démarrait plus, au support technique. Moins de quatre heures plus tard, le technicien l’informait que toute tentative de réparation était futile. Espérons que l’arme de destruction massive issue de Goldman Sachs n’ait pas le même impact sur les Bourses mondiales.

http://www.moneyweek.fr/conseils/01325/logiciel-informatique-goldman-sachs-actions.html


Et encore, la STASI de l’Allemagne de l’Est avec leurs fiches et leurs classeurs, c’était des petites mains comparé à la puissance des systèmes informatiques d’aujourd’hui. Mais on va encore nous dire qu’on est des conspirationistes, paranos et pas cool…

Quand on sait le nombre de "retraités de l’Armée" qui pantouflent dans les "directions sécurité" des entreprises françaises, qu’est ce qui vous garantit que ces messieurs (voir l’Affaire Canal Plus) ne profiteront pas de leurs contacts pour consulter le fichier sur vous, à l’occasion d’un entretien d’embauche ? Et votre CV finira à la poubelle parce que, il y a 10 ans, quand vous étiez lycéen, vous avez écrit "Sarko facho" sur votre Skyblog.

Alors… toujours cool ?

(Note de copinage : on adore tout ce qu’écrit Jean-Marc Manach et son blog BugBrother vaut largement l’abonnement RSS)

[BugBrother - 19/08/2009]

Cybersurveillance : la DGA nie, mais ment

L’armée française, et ses services de renseignement, disposeront, en 2010, d’un système de surveillance des télécommunications leur permettant d’identifier très précisément toutes les fois où, dans une vingtaine de langues et par exemple, « Nicolas Sarkozy » aura été cité, à la radio, la TV ou sur l’internet, qu’il ait été qualifié de « le nouveau président français », « Monsieur Sarkozy », « le Président », « il », « celui-ci », ou « Sarko », ainsi que toutes les photos et vidéos où il apparaîtra (y compris caricaturé). Mais à en croire les ministères de la Défense et de l’Intérieur, il ne s’agit aucunement d’un système espion de surveillance.

En juillet 2008, un internaute anonyme postait, en commentaire d’un billet que j’avais consacré aux problèmes posés par les fichiers des services de renseignement, une information que je regrette de n’avoir pu alors recouper :

On peut également se demander ce qu’il adviendra des innombrables données collectées par le HERISSON (Habile Extraction du Renseignement d’Intérêt Stratégique à partir de Sources Ouvertes Numérisées), un outil informatique commandé par le Ministère de la Défense et la DGA (Délégation Générale pour l’Armement) afin de “pomper” tout média imaginable (des émissions de télévision aux transferts P2P en passant par les réseaux sociaux, les moteurs de recherche ou les tracts sur papier), en extraire les informations pertinentes (identification photographique et vocale de personnes, traduction automatisée…) et les croiser.

Suivait un lien vers l’appel d’offres. Faute de pouvoir accéder au cahier des charges du projet, je n’en faisais rien.

Mars 2009, mon (excellent) confrère Marc Rees met la main dessus, et publie sur PC Inpact un article truculent, qui “laisse entrevoir un système de collecte automatisée, de recherche d’informations et de surveillance de tout ce qui transite sur les réseaux” (radio, TV et internet), et fait le parallèle avec le système de surveillance anglo-saxon Echelon des télécommunications :

Exemple piquant, « Le système offre la possibilité de reconnaître l’entité elle-même de plusieurs manières différentes: Soit par mention explicite. Exemple : « Nicolas Sarkozy », Par mention relative (« le nouveau président français »), par mention partielle (« Monsieur Sarkozy », « le Président »), par anaphore (« il », « celui-ci »), par surnom (« Sarko ») ».

Le cahier des clauses techniques particulières (CCTP) détaille ainsi comment Herisson doit être capable de glaner à peu près tout ce qui passe sur les réseaux, qu’ils transitent sur les chats IRC, mailings listes, forums, réseaux sociaux, newsgroups, flux RSS, blogs, podcasts, flux vidéo, systèmes P2P, FTP… Il doit également être “calibré pour accéder à n’importe quel contenu (texte, image, son et vidéo), quels que soient les langages utilisés (HTML, PHP, ASP, javascript, Flash…), et en prenant en compte la problématique des liens cachés“. (suite…)


[KNOWCKERS - 31/07/2009]
Dans le cadre de la loi HADOPI, un prestataire technique du groupe La Poste a été désigné pour implémenter la loi. Or, son identité est connue depuis une semaine sur le net. Des hacktivistes ont d’ailleurs publié des appels aux attaques informatiques contre ce prestataire ici.

Or un commentaire curieux a été publié par un internaute, qui prend la défense de la société visée. Le problème, c’est que l’administrateur du blog a déterminé que ce message provenait d’un cabinet de communication d’influence (voir ici et ici).

Il est absolument aberrant que des sociétés dont le métier est d’influencer discrètement dans le cadre de situations fortement conflictuelles ne prennent même pas la peine de masquer leur identité et leur adresse IP, lorsqu’elles interviennent sur des sujets aussi brûlants… Qui plus est en postant des messages sur des forums d’hacktivistes.

http://www.knowckers.org/2009/07/les-erreurs-a-ne-pas-commettre-en-communication-d%e2%80%99influence


Notre mépris de la plèbe journaleuse nous fait pencher pour la deuxième hypothèse… en tout cas, le Powerpoint est excellent !

[Tarik Mousselmal - Blog IE - 12/08/2009]

Twitter – Cyxymu – Russie – OSS117 – Cybersécurité – DoS – Etc

Mon bon ami, si tu passes régulièrement par ici, tu sais que le sommeil n’est pas mon ami et que les nuits blanches sont mes maîtresses… Je mets parfois tout ce temps à contribution pour ce blog. Ça a été notamment le cas entre vendredi et lundi!

Le sujet, en allant droit au but: jeudi dernier, Twitter était down et Facebook ralenti. On apprenais le lendemain… plein de "belles" choses au sujet de ces événements, que je te laisse (re?)découvrir dans le doc.

J’ai donc essayé de te raconter tout cela dans un ‘tit .ppt, qui je l’espère sera agréable à parcourir. Comme souvent ici, derrière le côté décalé, des questions sérieuses qui m’intéressent au plus haut point. Dans le désordre, il sera donc question : d’attaques informatiques, de cyberdissidents, de médias, de médias sociaux, d’outils de buzz monitoring, d’information et de désinformation, de russes, de mafieux, d’effet Streisand, de DDoS et de mimi-siku ;)

http://blogsetie.blogspot.com/2009/08/twitter-cyxymu-russie-oss117.html


Mise à jour Octobre 2013 : pour les manchots qui inondent la section Commentaires avec des questions du genre "je veux savoir comment craquer le réseau WIFI de mon voisin, allez voir ici le tutoriel détaillé (ou bien faites une recherche sur le Net/Youtube) :

http://lifehacker.com/5953047/how-to-crack-wep-and-wpa-wi+fi-passwords

 

[LifeHacker - 01/07/2009 - Trad. Gregor Seither]

Vous savez déjà que si vous voulez verrouiller votre réseau WI-FI, vous devez opter pour une clé WPA, vu que le WEP est vraiment trop facile à craquer. Mais est-ce vous saviez à quel point il est facile à craquer ?

Aujourd’hui nous allons vous expliquer pas-à-pas comment craquer le mot de passe WEP d’un réseau WI-FI à l’aide des outils logiciels contenus sur le CD BackTrack Live.

Il existe des douzaines de tutoriels sur Internet qui expliquent cette méthode. Là n’est pas la nouveauté. Ce qui est surprenant, c’est que même une personne comme moi, sans quasiment la moindre connaissance technique, peut réaliser ceci avec une suite de logiciels libres et un adaptateur WI-FI bon marché.
Voici comment procéder.
http://lifehacker.com/5305094/how-to-crack-a-wi+fi-networks-wep-password-with-backtrack


[BugBrother - 26/02/2009]

Le billet intitulé “La durée de vie d’un ordinateur non protégé est de… 4 minutes” a suscité beaucoup de commentaires. Lorna Hutcheson, l’auteur de l’étude que je citais, qui collabore au très respectable SANS Institute après avoir travaillé dans l’armée et les services de renseignements américains, l’écrivait pourtant elle-même :

“On me demande souvent si les statistiques du temps de survie des nouveaux ordinateurs connectés à l’internet sont correctes. La réponse est oui pour la majeure partie des utilisateurs et systèmes. Ca peut être plus long en fonction de votre système, de son utilisateur et de ce à quoi il sert. Mais la durée de survie est d’à peu près 4 minutes pour les ordinateurs non mis à jour”.

Bruno KerouantonJ’ai voulu avoir le point de vue d’un professionnel de la sécurité informatique. Désigné par le gouvernement suisse au poste de responsable de la sécurité des systèmes d’information de la République et du Canton du Jura, Bruno Kerouanton est par ailleurs l’un des rares professionnels du genre à être par ailleurs blogueur (bruno.kerouanton.net/blog/).

Et pour vous mettre dans l’ambiance, voici son compte-rendu détonnant, et que je vous incite vivement à lire jusqu’au bout, de LA conférence sécurité de l’année, organisée par le Chaos Computer Club allemand (ou CCC pour les intimes), qui fêtait pour le coup sa vingt-cinquième édition, en décembre dernier :

25C3 : La conférence sécurité où l’on pirate tout !

Ce billet se veut pour une fois à caractère pédagogique pour les non initiés à la sécurité des systèmes d’information. Que les puristes me pardonnent certains raccourcis et simplifications pour la bonne cause…

Je ne citerai pas toutes les présentations (sur quatre jours, il y a eu de quoi raconter beaucoup de choses), mais celles qui (d’après les échos que j’en ai eus par quelques chanceux qui ont pu y participer, et en allant lire les présentations et annonces mentionnées sur le site de l’évènement) m’ont parues les plus intéressantes.

J’ai pris la liberté de redécouper ainsi les thèmes :

  1. PREMIERE PARTIE : Tout se pirate… même grand-mère, si si !
  2. SECONDE PARTIE : Les questions de fond et existentielles que tout le monde se pose
  3. TROISIEME PARTIE : Maman, y’a un monsieur qui me regarde… Big Brother is watching

En gros, je remarque que les attaques électroniques se développent à grande vitesse, j’en suis content car c’est quelque chose que je trouve intéressant, et l’on parle de plus en plus de l’omniprésence de la surveillance qui nous entoure et de la perte progressive des libertés de chacun. Bonne lecture, ne tremblez pas trop ! (suite…)


Pas qu’en Chine d’ailleurs… L’article date de l’an dernier et la solution préconisée pour le contournement des yeux curieux de la douane chinoise n’est pas top. Plutôt que de mettre ses dossiers sensibles sur Google, c’est bien plus simple de les mettre sur une clé USB cryptée qu’on cache sur soi. Pour l’instant, ils ne font pas encore de fouilles au corps systématiques, dans les aéroports chinois.

Et si vraiment on a peur… alors une carte MicroSD HD de 8 Gigas est facile à cacher dans un autre objet qui n’éveillera pas les soupçons. Voire, l’avaler , nouée dans une capote… mais je pense que seuls les avocats des tibétains font ce genre de truc…

[Réseaux - Télécoms - Mauro Israel - 05/06/2008]

Lors de mes voyages à l’étranger je me suis fait contrôler à plusieurs reprises mon ordinateur portable à la douane; Hasard ? Nécessité ? Pourquoi les douaniers contrôlent-ils de plus en plus les ordinateurs qui rentrent dans leur pays et comment réagir ?

« Shanghai 8h50 – poste de douane de l’aéroport de Pudong »
- Can I see your laptop sir ?
- Yes certainly
- We need to proceed to a deep investigation, this is a routine control. Can you wait in this room for 15 minutes ?
- Sure I wait (le douanier n’a pas encore tamponné le visa d’entrée)
25 minutes plus tard, le douanier revient, embarrassé :
- Can you unlock your computer Sir ?
- Sure (si vous refusez vous risquez de ne pas rentrer dans le pays, je n’ai pas essayé…)
- Je glisse le doigt sur le lecteur biométrique et le douanier repart avec mon PC satisfait…
Quelques minutes plus tard il revient, radieux :
- No problem Sir you can proceed…

Démarrage du PC avec une clé USB Linux
Que s’est-il passé en coulisse ? Le douanier a démarré le portable avec une clef USB contenant une version de Linux de type Ubuntu, qui permet d’éviter le boot Windows, et donc le mot de passe qui va avec. Il visualise ensuite tous les fichiers dans « Mes documents » et les copie sur la clef USB. Il éteint ensuite le PC et vous le restitue. Variante : Il « ghoste » tout le disque dur, ce qui prend un peu plus longtemps, de l’ordre de 20 minutes pour 60 Go. L’avantage de faire une copie de tout le disque est de trouver des documents dans le cache Windows, ou bien des mots de passe ou des cookies, ainsi que l’historique de tous les sites explorés par l’utilisateur.

Pourquoi le douanier m’a-t-il demandé de déverrouiller mon ordinateur ? Parce qu’il n’a pas pu booter la clef USB avec Linux et n’a pas pu accéder au disque dur, celui-ci étant chiffré et protégé par biométrie. J’avais deux options : soit refuser de déverrouiller le portable auquel cas j’aurais pu être refoulé, ou arrêté, soit accepter et donner accès à mon disque. Ont-ils récupéré des informations sensibles, comme des audits sécurité de clients, ou bien d’autres informations économiquement intéressantes ?

Quelle parade ?
La réponse au passage de douane en Chine est double : soit vous chiffrez le disque dur, avec la possibilité de vous faire refouler, si les autorités n’ont pas accès au disque (c’est le cas dans de nombreux pays pour lutter contre le terrorisme et les fraudes financières), soit vous arrivez avec un ordinateur « vide », et vous vous connectez en extranet en utilisant un canal chiffré (SSL). Ainsi, la plupart des consultants internationaux et avocats préconisent de passer toute douane avec un ordinateur ne contenant aucun fichier sensible, et de se connecter à distance à leur bureau ou à un dispositif de type « Google docs » et Gmail.

Un utilitaire comme Truecrypt
Bruce Schneier, grand guru de la sécurité, préconise l’utilisation de la stéganographie, notamment en créant une partition chiffrée cachée sur le disque à l’aide d’un utilitaire dédié comme Truecrypt. C’est une bonne idée, mais si la douane se rend compte de la tactique, il se peut que les ennuis soient bien pires que le remède.

http://securite.reseaux-telecoms.net/actualites/lire-passer-la-douane-avec-un-ordinateur-portable-18287-page-2.html


[Gregor Seither - IES News Service - 25/04/2009]
Il y a moins de trois semaines, le 9 Avril 2009, une ville de 50 000 habitants aux Etats-Unis a été la victime d’une cyberattaque d’envergure, qui l’a totalement coupée du reste du "monde-réseau". Etonamment, la presse tant U.S. qu’internationale n’a pas parlé de cet évènement, qui est pourtant riche en enseignements.

LES FAITS : Dans la nuit du jeudi au vendredi, un groupe non identifié a soulevé quatre couvercles de bouches d’égout dans la ville de Morgan-Hill, dans le Nord de la Californie. Ils sont descendus dans les conduits et – à l’aide d’un  sécateur, ont sectionné huit cables en fibre de verre, déclenchant par ce simple geste une cyber-attaque aux conséquences énormes.

Cette attaque a apporté la preuve de l’extrême fragilité des infrastructures modernes de communication, et ce pour une raison très simple : pour des raisons de coûts et de non-coordination des différents acteurs technologiques, cette infrastructure est extrêmement centralisée.

Comme tout le monde utilise les mêmes "tuyaux", un seul coup de sécateur a privé, en un instant, la ville de Morgan Hill ainsi qu’une partie des contés avoisinants de toute une gamme de services vitaux : les services d’appel d’urgence, le réseau de téléphones portables, le réseau de téléphonie filaire, l’accès Internet DSL ainsi que des réseaux privés, les services d’alerte pompiers et de télésurveillance, les distributeurs de billets, les terminaux de paiement par carte de crédit, les pompes à essence automatiques… ainsi que les systèmes de surveillance d’équipements sensibles. Par ailleurs, certaines ressources qui auraient du ne pas être affectés – comme par exemple le réseau informatique interne du centre hospitalier – se sont avérés avoir besoin d’un accès à des ressources distantes pour pouvoir fonctionner. A l’hôpital il a fallu basculer sur un système papier pendant plusieurs jours et les médecins n’avaient plus accès aux dossiers des malades.

Dans un rayon de 80 Km autour de la commune, les activités commerciales ont été perturbées. Les distributeurs de billets et les cartes de crédit ne fonctionnant plus, seuls les paiement en liquide étaient possibles, handicapant les acheteurs qui n’avaient pas assez de liquide dans leur portefeuille. Les nombreuses entreprises de la zone – notamment dans le domaine des services, des TIC ainsi que celles utilisant des systèmes informatiques pour leur travail quotidien – ont préféré renvoyer leurs employés chez eux. Techniquement, ce simple coup de sécateur avait tout simplement coupé la connexion entre cette zone, où vivent 50 000 personnes, et le reste du réseau Internet.

Quel était le but poursuivi par ces saboteurs ? La police se perd en conjectures. Des voleurs ? En coupant les fils, les alarmes ne fonctionnaient plus. Des manipulateurs des cours de la bourse ? La région abrite une population aisée et de nombreux cabinets de courtage ou encore des fonds d’investissement. En leur coupant la communication, on les empêchait de faire leur travail. Des terroristes ? Des saboteurs ? Mais rien ne s’est produit et aucune revendication n’a été rendu publique. Certains se demandent s’il ne s’agit pas de l’oeuvre d’un employé des télécommunications qui aurait un compte à régler. L’auteur de cet attentat connait apparemment bien la carte du réseau et savait ou frapper.
Ou bien s’agissait-il de grandes manoeuvres, en taille réelle, de la lutte antiterroriste.

Ou alors, peut-être que les saboteurs ont simplement voulu nous donner une leçon ? Car – malgré le silence de la presse et des autorités – il y a beaucoup de choses à apprendre dans l’affaire Morgan Hill et on espère que tous ceux qui sont chargés des services d’urgence, dans les entreprises comme au gouvernement, retiennent les enseignements de cette histoire.

LES ENSEIGNEMENTS - Première question à se poser : qu’est ce qui reste quand tout s’arrête de fonctionner ? La réponse est : la radio-amateur… et c’est à peu près tout. Les téléphones cellulaires ne fonctionnaient plus. Les antennes relais ne peuvent pas, d’une manière générale, établir une connexion d’elles-même, même si les deux téléphones sont dans la même zone. Elles communiquent avec un ordinateur distant qui établit la commutation. Si l’ordinateur ne répond plus, les antennes relais ne servent plus à rien. La police et les pompiers par contre, arrivaient encore à communiquer par le biais des émetteurs-récepteurs radio.

Réalisant qu’ils allaient avoir besoin de plus de radios pour faire face, les autorités locales sont allé réveiller le président du club de radio-amateur CiBi local et lui ont demandé de rameuter son réseau d’adhérents. Des Cibistes sont venus s’installer en différents points de la ville avec leur matériel (centres hospitaliers, ambulances, cabinets médicaux, centres d’approvisionnement) et faisaient le lien avec le monde extérieur, là où les téléphones et Internet fonctionnaient encore. Cela a permis d’éviter une catastrophe sanitaire.

L’effondrement du réseau informatique du centre hospitalier local est la conséquence d’une trop forte dépendance des services centralisés. Si le protocole Internet – développé par l’armée en prévision d’une guerre nucléaire – est conçu pour résister à ce genre de coupures dans la réseau, cela ne dispense pas les techniciens IT d’implémenter un réseau robuste au niveau local. Mais la plupart des entreprises se satisfont d’un système tant que celui fonctionne et ne se sont jamais posés la question de ce qu’il fallait faire le jour où cela ne fonctionnerait pas.

Les réseaux institutionnels, même ceux des services d’urgence, sont rarement testés pour voir comment ils se comportent en cas de coupure avec le monde extérieur. De nombreux réseau locaux nécessitent néanmoins un accès à des services distants, par exemple pour résoudre des adresses DNS. Si la ligne est coupée, ils ne fonctionnement plus, même en local. Et même si votre réseau local reste en place, certains services cruciaux comme le courrier ou les serveurs de fichiers sont souvent hébergés ailleurs, de l’autre côté de la coupure. De nombreux logiciels serveurs doivent valider leur licence auprès d’un serveur distant pour pouvoir fonctionner. La même chose vaut pour les communications VoIP. Si les systèmes sont correctement configurés, la VoIP devrait pouvoir fonctionner en local… mais 99% des systèmes grand public ne sont pas configurés en conséquence.

Morgan Hill devrait inciter les administrateurs réseaux à se poser la question de leur dépendance vis à vis des services en réseau. C’est très pratique d’utiliser Google pour le mail, et cela vous évite d’avoir à vous en occuper. Mais le jour où votre connexion Internet est morte, votre courrier n’est plus accessible. La même chose vaut pour n’importe quel service Web – par exemple les dossiers médicaux centralisés. Et une pareille fragilité n’est pas acceptable pour un hôpital ou un fournisseur de services d’urgence, voire pour n’importe quelle structure censée continuer à fonctionner même en cas de catastrophe affectant l’infrastructure. Couler sa boite parce qu’on a pas pu accéder à ses mails et ses fichiers, c’est impardonnable.

Que faire ? La réponse est de mettre en place une infrastructure locale. Les services vitaux pour votre activité, le courrier électronique et les applications utilisées quotidiennement doivent fonctionner en local. Elles doivent pouvoir fonctionner sans requérir d’accès à des bases de données distantes. Un système de resynchronisation répercute les éventuels changements quand la connexion est rétablie. Bien sùr, cela implique une équipe IT locale et coutera plus cher qu’une gestion distante… mais au moins vous ne vous retrouverez pas le bec dans l’eau le jour où survient la panne.

En cas d’urgence, la communication sera un facteur crucial. Les émetteurs-récepteurs radio des systèmes d’urgence ont été petit à petit remplacés par des "talkie-walkie" cellulaires – mais ceux ci ne fonctionneront pas en case de panne de l’infrastructure. Le gouvernement, l’armée et la protection civile disposent (on l’espère) encore des vrais systèmes CiBi et radio ainsi que des répétiteurs permettant de couvrir des grandes distances. Si votre entreprise aura besoin de communiquer pour survivre dans une catastrophe, il serait bien que vous investissiez également dans ce genre de système et que vous le testiez régulièrement. La même chose vaut pour les autorités locales (mairies, communes(…).

Si les téléphones satellite continueront probablement à fonctionner, ils dépendent eux-aussi d’antennes au sol, qui peuvent être désactivées. Ces téléphones sont chers et ne sont souvent pas disponibles au moment où survient l’urgence car leurs utilisateurs (qui ne sont pas des techniciens) oublient d’en assurer la maintenance et le rechargement.

(…) Il faut aussi se poser la question de la sécurité physqique de nos installations. Ainsi, la plupart des couvercles de bouches d’égout ne sont pas verrouillés. Une simple clé d’égoutier permet de les ouvrir, et les réseaux sont équipés d’alarmes en cas d’inondation, mais pas en cas d’intrusion. Les boitiers installés sur des poteaux sont encore plus facilement accessible. La même chose vaut pour les armoires électriques/réseau et autres conduits en surface. Il suffit généralement d’un tournevis pour les ouvrir. (…)


[Zataz.com - 26/01/2009]
300 euros de dommages et intérêts, 4 mois de prison avec sursis.

Octobre 2007, un manifestant électronique <http://www.zataz.com/news/15408/site-front-national-pirate.html>  passait sur le site Internet  de la Fédération du Rhône du Front National (fn69.fr). L’hacktiviste indiquait alors sur la page index de cet espace appartenant à ce parti politique Français d’extrême droite "Une Action Citoyenne – Pour un net plus propre (…) Contre le racisme, et le fascisme !".

Le taggeur numérique avait affiché un logo anti FN et avait diffusé une chanson des Berurier Noir titrée "La jeunesse emmerde le Front National". HuGe sera arrêté le 9 mai 2007 par la BEFTI, la Brigade d’enquêtes sur les fraudes aux technologies de l’information.

Le site Legalis.net vient de diffuser la décision de justice <http://www.zataz.com/news/17207/Second-jugement-pour-le-pirate-Huge.html>  à l’encontre de cet hacktiviste français. Nous vous parlions de cette décision, en mair dernier, rendue par le tribunal correctionnel de Lyon en Mai.

Legalis confirme <http://www.legalis.net/jurisprudence-decision.php3?id_article=2538>  donc les informations de ZATAZ.COM : Les juges ont retenu les actes délictueux et ont condamné le jeune homme pour accès frauduleux à un traitement automatisé de données et modification de données [Loi Godfrain]. Quatre mois de prison avec sursis, 300 euros de dommages-intérêts pour le FN et 500 euros de remboursement de frais.

En octobre 2006, ce manifestant électronique avait fait fermer un site néo nazi <http://www.zataz.com/news/12435/Un-pirate-informatique-français-passe-sur-un-site-nazi-et-fait-le-ménage.html> .

Pour rappel, s’introduire dans un serveur informatique , s’y maintenir et le modifier est puni par la loi. L’alinéa 2 de l’article 323-1 du nouveau Code pénal prévoit des sanctions « lorsqu’il en résulte soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système ». La défiguration de sites Web peut coûter jusqu’à trois ans d’emprisonnement et 350 000 euros d’amende.

http://www.zataz.com/news/18421/jugement–defacage–loi–godfrain–piratage.html


[O1Net - 31/01/09]
Le créateur de Zataz vient d’être condamné par le tribunal de grande instance de Paris. La justice a obligé le magazine d’informations en ligne consacré à la sécurité informatique à retirer un article qui dévoilait l’existence d’une faille de sécurité dans le système informatique d’une société. Le journaliste doit également supprimer tous les documents liés à cette affaire, comme les données ou fichiers auxquels l’équipe de Zataz a pu accéder pour vérifier la réalité de cette brèche.
Selon le fondateur du site, les avocats de la partie adverse ont démontré que le piratage des serveurs de la société avait été nécessaire à l’écriture de l’article. Les minutes du procès ainsi que le jugement ne sont pas encore disponibles.
Le site d’informations rappelle : « Nous n’avons jamais rien téléchargé et ne diffusons jamais aucun élément qui puisse mettre en danger qui que ce soit. » Les données contenues dans les captures avaient été rendues floues, et la procédure pour atteindre les serveurs de la société n’avait aucunement été dévoilée.

http://www.01net.com/editorial/402114/zataz-condamne-apres-avoir-devoile-une-faille-de-securite


[Blog Affordance - 23/10/2008]

Le 11 Avril 2008 sur son blog Webmaster Central, Google annonçait qu’il allait désormais se donner les moyens d’indexer certaines données disponibles "derrière" un formulaire, faisant ainsi reculer encore un peu le périmètre du web invisible. Comme je l’avais souligné au moment de cette annonce, un certain nombre de paramètres restaient encore dans le flou (quels formulaires ? sur quels sites ? comment ?). Six mois plus tard, sur le même blog, Google vient d’annoncer sa solution partielle au problème : cela s’appelle le First Click Free.

Et comme souvent avec Google, c’est une très bonne idée, une idée par ailleurs très simple … mais une idée que lui seul est en mesure de proposer et d’implémenter de manière significative du fait de sa situation quasi-monopolistique, une idée qui met également en péril une certaine conception du Net.

Mais revenons au First Click Free.

De quoi s’agit-il ? (suite…)


[Malware Analysis & Diagnostic - 16/03/2009]

Waledac "intoxique" l’agence de presse internationale Reuters en diffusant des rumeurs d’attaques terroristes. La technique de social engineering habituelle est combinée à des progrès techniques. Une page spécialement conçue est générée en fonction de la géolocalisation des visiteurs. Le fait que ces rumeurs soient plus personnalisées incitent le lecteur à la faute, télécharger le faux "Flash player".

Le code ressemble à ceci :

<TITLE>Reuters-%COUNTRY%: Terror attack in %TOWN%</TITLE>Powerful explosion burst in %TOWN% this morning.

At least 12 people have been killed and more than 40 wounded in a
bomb blast near market in %TOWN%. Authorities suggested that
explosion was caused by "dirty" bomb. Police said the bomb was
detonated from close by using electric cables. "It was awful" said the
eyewitness about blast that he heard from his shop. "It made the
floor shake. So many people were running"
Until now there has been no claim of responsibility.

You need the latest Flash player to view video content. Click here to download.

Related Links:

http://en.wikipedia.org/wiki/Dirty_bomb

http://www.google.com/search?q=%TOWN%+terror+attack

L’ébauche de la page correspond à peu près à ceci.

(suite…)


On collecte toutes les données qu’on veut sur vos activités sur le Net et – si on l’estime nécessaire – on coupe les accès… et il y a encore des naïfs pour croire à la fable de "Internet, espace de liberté"… Quoi qu’en dise Morpheus, dans la Matrix… le réseau n’est pas le Waziristan !

UN PROJET DE LOI AUTORISERAIT OBAMA À COUPER DES PANS ENTIERS D’INTERNET
[Antonin Sabot - Le Monde - 07.04.09]
Lors de la campagne présidentielle, Barack Obama avait annoncé qu’il ferait de la cybersécurité une de ses priorités. Il vient d’ailleurs de lancer un grand audit des politiques de sécurité informatique des organes gouvernementaux dont le budget 2010 s’élève à 355 millions de dollars (267 millions d’euros). Mais un projet de loi proposé au Sénat pourrait aller encore plus loin, et attribuer au président des Etats-Unis des pouvoirs sans précédent sur le contrôle du réseau des réseaux.

Le projet est porté par deux sénateurs, John Rockefeller (démocrate) et Olympia Snowe (républicaine), qui entendent prévenir ni plus ni moins qu’un possible "cyber-Katrina", du nom de l’ouragan qui a ravagé la région de La Nouvelle-Orléans en 2005. Le projet de loi, intitulé Cybersecurity Act of 2009, promet de mettre à jour les défenses américaines face aux menaces cybernétiques. L’enjeu est de taille puisqu’il pourrait permettre au président des Etats-Unis de décider de coupures de pans entiers du Web.

Certaines mesures du Cybersecurity Act of 2009 sont plutôt accueillies positivement par les spécialistes d’Internet aux Etats-Unis. La loi créerait de nombreuses bourses et programmes de recherche visant à former des experts de la cybercriminalité. Les législateurs veulent aussi rassembler les différents organes qui sont actuellement chargés de superviser les questions de sécurité des réseaux informatiques, pour l’instant divisés entre réseaux civils privés et infrastructures publiques et militaires.

COUPER INTERNET
La mesure la plus discutée du projet de loi est aussi la plus floue : en cas de menaces sur les "infrastructures sensibles", le projet de loi prévoit que le président des Etats-Unis pourrait décréter "l’état d’urgence informatique" et couper les accès Internet mettant en cause la sécurité de ces infrastructures. Pour le moment, la loi ne définit ni ce que sont les "infrastructures sensibles" ni l’ampleur des possibles coupures. John Rockefeller a donné une description très large de ce terme, qui va des données relatives "à l’eau jusqu’à l’électricité, en passant par les banques, les feux de circulation et les données médicales – et la liste est encore plus longue".

Sur tous ces secteurs, l’administration pourra aussi recueillir toutes les données qu’elle estime nécessaires, aussi personnelles qu’elle soient et ce "sans qu’aucune restriction prévue par la loi s’applique". Enfin, pour chapeauter le tout, l’administration prévoit la création d’une autorité centrale de régulation chargée de définir des normes communes de sécurité devant s’appliquer à toutes les infrastructures sensibles, et à tous les logiciels qui y seront utilisés, que l’infrastructure en question soit publique ou privée. L’administration est aussi invitée à mener des négociations internationales pour que ces normes soient appliquées par d’autres pays.

Le projet de loi n’est pas encore adopté. Cependant, l’administration dit craindre la possibilité d’un "11-Septembre informatique" et entend bien s’en prémunir. Mais les représentants de la société civile, comme le Center for Democracy and Technology (CDT), estiment d’ores et déjà que le prix à payer en matière de protection des données personnelles est trop élevé. D’autant plus que selon Leslie Harris, présidente du CDT, "des interventions aussi drastiques dans les systèmes et réseaux de communication privés pourraient mettre en danger à la fois leur sécurité et les données privées".

http://www.lemonde.fr/technologies/article/2009/04/07/un-projet-de-loi-autoriserait-obama-a-couper-des-pans-entiers-d-internet_1177880_651865.html


HADOPI : INTERVIEW D’UN CHASSEUR D’ADRESSES IP
[Guillaume Champeau - Numérama - Mercredi 01 Avril 2009]
La loi Création et Internet prévoit d’avertir de sanctionner automatiquement les internautes dont l’adresse IP est collectée sur les réseaux P2P. Mais qu’en pensent les spécialistes de la chasse aux infractions ? Nous avons interrogé Frédéric Aidouni, l’auteur du logiciel LogP2P utilisé par la gendarmerie et des services de police dans plusieurs pays pour détecter les échanges de contenus pédophiles. Il n’est pas tendre avec le projet de loi…

Numerama : Comment fonctionne concrètement la détection des adresses IP utilisées pour pirater des contenus sur Internet ?

Frédéric Aidouni : Tout dépend du protocole utilisé. Par exemple sur eDonkey, les fichiers sont reférencés par une clé, presque unique. Dans le cas de recherches massives, c’est elle qui est utilisée. On commence donc par créer une liste des clés que l’on recherche, puis on recherche les potentiels diffuseurs des fichiers associés à ces clés. Partant de cette liste de potentiels diffuseurs, il convient de vérifier auprès de chacun d’eux s’ils diffusent réellement les fichiers recherchés, c’est-à-dire qu’il faut les télécharger. Puis il faut les valider, les écouter ou les visionner, selon le type de média.

Il existe des technique de "validation automatique" mais j’ignore leur valeur juridique.

Dans le cas d’une hypothétique mise en oeuvre de l’Hadopi, il y a fort à parier que les enquêteurs se concentreront sur les diffuseurs massifs, car valider l’ensemble des fichiers potentiellement diffusés à un instant est l’affaire de plusieurs années… Et le système évolue à chaque minute.

L’Université de Washington est parvenue l’an dernier à faire accuser des imprimantes en réseau en injectant leur adresses IP dans des trackers BitTorrent. The Pirate Bay a également menacé d’injecter des adresses au hasard sur ses trackers. N’y a-t-il pas un risque de faux positifs sur les outils de détection utilisés par les ayants droit ?

Les risque de faux positifs sont faibles si les contenus sont récupérés (c’est-à-dire téléchargés, ndlr) et validés. J’insiste sur le fait qu’établir une liste de diffuseurs potentiel n’est pas suffisant. Je pense que le téléchargement lui même ne constituant qu’un commencement de preuve, la simple liste apparait comme un commencement de commencement de preuve… pas grand chose en fait.

S’agissant des injections de faux positifs, cela ne constitue que le début de la riposte. Qui peut être décisif si la loi indique qu’une liste de diffuseurs est suffisante. Il serait amusant que les utilisateurs de systèmes d’échanges pair-à-pair mettent en oeuvre des techniques que les ayants droit ont tenté d’utiliser il y a quelques années…

Quel impact peut avoir l’exigence de télécharger le contenu sur chacune des adresses IP pour éviter les faux positifs, en terme de coût et/ou de volume d’interception des adresses IP ?

C’est colossal. Tout dépend du mode opératoire utilisé par les enquêteurs, mais de toutes les façons il convient de télécharger des contenus pour valider le constat d’infraction. Or comme je l’ai dit, tenter de télécharger tout ce qui semble être diffusé est hypothétique, et de toute façon il n’en reste pas moins qu’au final, il faudrait saisir et analyser les disques (pour être certain de la culpabilité, ndlr).

Au moment où une adresse IP est interceptée, l’utilisateur peut-il avoir la certitude que le contenu qu’il télécharge est bien le contenu qu’il souhaite, ou peut-il télécharger un contenu contrefait en pensant télécharger autre chose ?

Cela arrive tous les jours. Il existe meme des sociétés qui possèdent des batteries de clients eMule/eDonkey qui diffusent des fichiers au nom "alléchant" dont le contenu n’est en fait qu’une publicité pour des services payants.

Le seul moyen d’éviter les faux-positifs est de valider à la fois la source et le contenu. En l’occurence, c’est ce que fait LogP2P depuis décembre 2002…

En cas de faux positif, le ministère de la Culture propose aux internautes de fournir leur disque dur comme preuve de leur bonne foi. Que pensez-vous de cette proposition ?

C’est absurde. A la fois parce-qu’elle est contraire aux usages puisque l’utilisateur n’a pas à prouver qu’il est innocent, mais plutôt qu’il n’est pas coupable. Ensuite parce qu’une infime fraction des utilisateurs d’ordinateurs sait ce qu’est un disque dur. Le reste des utilisateurs sait ou connait quelqu’un qui sait effacer toute trace.

Logp2p est-il déjà utilisé directement ou indirectement par des ayants droit, ou pourrait-il l’être dans la mise en oeuvre de la riposte graduée ?

Non, et oui. Mais non, ce ne sera pas le cas dans l’avenir. LogP2P vit sa vie depuis quelques années déjà, dans le cadre strictement de la lutte contre la diffusion de contenus à caractère pédo-pornographiques. Il vaudrait mieux demander à ceux qui l’ont financé et en détiennent les droits de diffusion, Action-Innocence, une ONG … Suisse. Car en France, on prefère financer la protection des majors.

C’est d’ailleurs amusant que le financement d’un développeur pour réaliser ce type d’outil a coûté beaucoup moins cher que la campagne de communication du projet Hadopi. CQFD

En substance, tout cela ne tient pas debout. On ne voit jamais passer dans les motivations chiffrées des ayants droit qu’un seul nombre, la baisse globale. Jamais la ventilation par genres musicaux, par réalisateur ou producteur. Est-ce que tout cette masquarade ne ressemble pas furieusement à un caprice d’épicier incompétent ? Ces épiciers au bras long se sont tirés dans le pied dans les années 1980, en sortant le premier lecteur de CD connectable à un ordinateur, sans envisager une seule minute les conséquences. J’ai ouvert des huitres hier soir qui étaient sacrement plus visionnaires ! N’importe quel observateur appellerait cela une erreur de gestion.

Alors il va y avoir des contre-mesures. Peut-être contournées. Jusqu’au moment où n’importe quel utilisateur de système d’échange de fichiers pair-à-pair sera anonyme. Les surcoûts en terme d’anonymisation seront gentiment absorbés par les infrastructure de transport comme la fibre optique. Les diffuseurs de vidéos de viols de bébés seront désormais sereins, et qui sait, peut-être cet anonymat permettra-t-il à des réalisateurs en herbe de laisser libre court à leur envie de "films à la maison". Merci l’Hadopi.

http://www.numerama.com/magazine/12503-Hadopi-interview-d-un-chasseur-d-adresses-IP.html


Ce qui est quand même incroyable, c’est que le ver est signalé depuis Septembre, que la faille est bouchée depuis Octobre et qu’il y a encore des millions d’utilisateurs neu-neu qui n’ont toujours pas cliqué sur l’alerte "Mettez à jour votre système"… mais le plus inquiétant c’est d’apprendre qu’une immense partie de ces utilisateurs neu-neus sont dans l’Armée

[Silicon.fr - 15/02/2009]

Pour retrouver celui qui a diffusé le virus Conficker/downadup, les "shérifs" de la sécurité mettent les grands moyens. Une récompense de 250.000 dollars sera offerte à celui qui le retrouvera. Wanted !

Un peu comme une série à épisodes, le ver Downadup, aussi appelé Conficker, continue de faire des ravages. Pire, il est en passe de devenir le vecteur de la plus grosse attaque contre les PC Windows depuis des années. Avec plus de 10 millions de postes impactés selon les éditeurs de sécurité, la propagation de ce malware se poursuit à grande vitesse alors que la faille qu’il exploite est corrigée depuis octobre…

Les majors de l’industrie ont donc décidé de réagir en formant une alliance pour retrouver celui (ou celle) par qui le scandale est arrivé. Microsoft, Symantec, mais aussi l’Icann, Verisign, F-Secure ou les chercheurs de l’Université Georgia Tech ont décidé d’agir de concert.

La firme de Redmond a même décidé de faire justice elle-même en proposant une récompense de 250.000 dollars pour celui qui fournira des informations permettant d’arrêter et de traduire en justice le responsable de la diffusion du ver. "La prime est valable dans le monde entier" précise Microsoft.

Un prime relativement courante chez l’Oncle Sam même si elle peut faire sourire de l’autre côté de l’Atlantique. D’autant que le talon d’Achille du ver semble être sa manière de diffusion. Il doit recevoir des ordres d’un serveur présent sur la Toile. Dès lors, une liste de 250 noms de domaines différents toutes les minutes sont à vérifier. Harassant mais faisable.

Les éditeurs de sécurité ont décidé de prendre le parti d’enregistrer les noms de domaines utilisés par le malware afin de pouvoir recouper les informations et enquêter sur son "propriétaire".

Rappel, Downadup exploite une vulnérabilité dans le service Serveur de Windows qui permet l’exécution de code à distance si un système affecté recevait une requête RPC (Remote Procedure Call) spécialement conçue. Downadup continue également de s’attaquer aux postes en passant par les ports USB mais aussi en utilisant divers moyens de propagation. Il devine les mots de passe réseau et infecte les supports externes.

http://www.silicon.fr/fr/news/2009/02/13/le_monde_de_la_securite_recherche_le_ver_conficker___mort_ou_vif


[Intelligence Online - 05/02/2009]
Depuis deux semaines, les réseaux informatiques du ministère de la défense sont infectés par un virus qui a immobilisé certains systèmes d’armes, à l’instar des Rafale de l’Aéronavale – L’origine et les caractéristiques exactes de ce virus restent encore inconnues, mais la crise – dont Intelligence Online révèle l’ampleur – pose de sérieuses questions sur la sécurité des réseaux militaires français et leur capacité à faire face à une cyber-attaque d’envergure.

http://www.intelligenceonline.fr


De l’indépendance d’Indymedia
[Indymedia London le 9 novembre -  Yossarian - traduction : Borogove]

Je me présente. je vis à Londres. Je suis programmateur de profession, et je suis impliqué dans Indymedia depuis l’automne 2000. Comme beaucoup de gens, j’ai réfléchi sur la question des plateformes techniques d’Indymedia.

Quelques problèmes
Je pense que nous sommes dans une situation difficile si l’on nous compare avec les sites d’entreprises vers lesquels les militants politiques se tournent le plus souvent. On ne passe plus ses videos sur Indymedia, mais sur Youtube. Les photos sont exposées sur Flickr. Il y a eu une explosion du bon matériel militant publié sur la toile, mais pas sur nos sites, parce que souvent il est plus facile de créer un compte sur Blogger et de l’y mettre. Les mouvements politiques n’annoncent plus leurs évènements sur Indymedia, il montent un groupe MySpace. De la même manière, beaucoup de militants n’inscrivent plus leur adresse e-mail sur riseup.net ou aktivix.org (sites militants londoniens) ; ils ouvrent plutôt un compte gmail ou hotmail. Ceci est un problème général qui dépasse les cas d’Indymedia ou du militantisme de gauche, et il nous faut le confronter.

Une première réponse doit être pédagogique (‘education’). Des militants qui n’accepteraient jamais de manger de la viande ou de forcer un piquet de grève n’ont pas peur de confier toute leur infrastructure de communication dans les mains de Google, Yahoo, Microsoft et de Robert Murdoch (l’équivalent de Dassault ou de Lagardère, ici). Cela soulève d’énormes problèmes en termes de sécurité des communications, de propriété des données, de confidentialité, de censure des contenus, et de gestion des données par de grosses entreprises ou des organismes policiers. Il me semble que tout le monde, depuis les ONG progressistes aux écologistes, aux syndicats, sans parler des groupes anarchistes ou communistes, tous ont la même attitude : pas de problème. Ne t’embête pas. Calme-toi, tu es parano.

Nous devons soulever ces problèmes d’une manière consistante et efficace. Peut-être en expliquant que cela revient à organiser une réunion politique au Mac Do, en s’assurant que la police y sera et qu’elle pourra vous filmer à l’occasion ; c’est peut-être une solution. (suite…)


[Arrêt sur images - 19/12/2008]

Pour lui, il ne s’agissait que d’une blague de potache entre collègues. Mais aujourd’hui, l’ouvrier de Michelin qui a été licencié pour avoir critiqué son entreprise et son travail sur internet ne comprend pas ce qui lui arrive. D’autant plus que l’affaire trouve son origine sur un CV en ligne que l’intéressé…n’avait même pas rempli lui-même.

L’affaire soulève de nouvelles questions sur la maîtrise des données personnelles confiées aux réseaux sociaux.

Le 8 décembre, un salarié de l’usine Michelin de Cholet a été licencié et un autre mis à pied pour avoir critiqué leurs conditions de travail sur un site internet. Qu’est-ce qui a pu pousser l’employeur à de telles sanctions ?

Pour l’ouvrier licencié, que nous appellerons Jackie, il s’agit en fait de cette page, que l’on trouve encore en cache dans Google. Selon un représentant CGT, le "Journal du Net-Réseau" était cité nommément dans la lettre de licenciement. On peut lire, dans son parcours professionnel : Boulot de bagnard !! et encore je parle pas des lèche-culs de merdes avec qui on bosse !!! mdr. Michelin EXPLOITATEUR !!!! :-D

Journal du Net réseau, aussi appelé JDN-réseau, est un réseau social à vocation professionnelle. C’est très utile aux personnes qui cherchent du travail ou qui veulent recruter : on peut y retrouver facilement une personne par branche d’activité ou par entreprise. Il en existe d’autres comme Linkedin ou Viadeo.

Mais quelle idée est donc passée par la tête de cet employé de Michelin, pour aller écrire sur un CV en ligne qu’il fait un "boulot de bagnard" ?

En fait, ce n’est pas si simple. Cet employé n’avait aucune idée de ce qu’il faisait. Il a été pris au piège du fonctionnement du site en question et de Google. Explications.

Au départ, Jackie s’inscrit sur le site copainsdavant.com pour y retrouver des collègues de travail, "pour délirer entre nous", confie-t-il à @si.

Copainsdavant est l’un des premiers réseaux sociaux mis en place en France. L’idée de départ est de retrouver ses copains d’école maternelle ou de lycée, perdus de vue depuis 10 ans en s’inscrivant sur le site (s’ils sont inscrits aussi, bien entendu). Jusqu’en octobre 2007, le site permettait de consulter la "fiche" de ses anciens camarades inscrits, mais il fallait payer pour pouvoir les contacter. Face à la concurrence des autres réseaux et notamment Facebook, Copainsdavant est passé au tout gratuit il y a un an. Les services se sont enrichis : comme sur tout réseau social, on peut préciser à l’intention de ses amis quel sont ses goûts, ses hobbies, mais aussi son activité professionnelle.

Copainsdavant appartient au groupe Benchmark, également éditeur de L’Internaute et… du Journal du Net , à la base ce réseau social professionnel JDN-réseau, sur lequel l’on a pu lire la prose désobligeante pour Michelin.

Du "délire entre copains" au CV, une passerelle directe…

Benchmark a choisi d’établir des passerelles entre ces deux réseaux. Conséquence : quand un utilisateur de Copainsdavant indique ses informations professionnelles, celles-ci sont automatiquement transmises à JDN-réseau. Mais ce sera plus clair avec un exemple.

@si s’est inscrit sur Copainsdavant sous le nom de Jean Bleuzen. Jean Bleuzen travaille dans la même entreprise que Jackie. Pour rigoler avec ses potes et ses collègues, il donne dans le champ "détails de votre fonction" une idée plutôt négative de son travail.

Jean-Bleuzen-Michelin-Copainsdavant

Nous étions bien ici sur une page de copainsdavant, destinée à retrouver d’anciens amis et rester en contact avec d’autres. Mais dès ce moment, notre employé à Michelin a, automatiquement, sans même l’avoir demandé, un CV en ligne sur JDN-réseau, où l’on retrouve évidemment son avis sur la boîte qui l’emploie :

http://www.arretsurimages.net/media/article/s15/id1482/original.10191.plein.jpg

S’il n’est pas possible de refuser cette option "passerelle" à l’inscription (selon les constatations d’@si), il est possible par la suite d’y renoncer. En bas de sa "fiche personnelle", on peut lire "Si vous ne souhaitez pas apparaître sur JDN Réseau, cliquez ici". Problème: si vous n’avez aucune idée de ce qu’est JDN Réseau et que vous êtes là pour trouver vos anciens amis, vous risquez fort de passer à côté, et d’emprunter la fameuse passerelle à votre insu.

Contacté par @si, l’employé licencié a expliqué avoir été conscient que d’autres personnes de Michelin étaient sur le réseau Copainsdavant, puisqu’il correspondait avec elles. Il est d’ailleurs possible que l’une d’elles ait prévenu la direction, selon lui. Mais avait-il conscience que ce qu’il avait écrit était visible aux yeux de tous ? "Non. On ne se pose même pas la question", avoue-t-il.

Contacté par @si, Benchmark confirme que remplir son profil sur Copains d’avant revient à se voir créer une fiche "JDN Réseau", "où l’on trouve exclusivement le parcours professionnel", précise Julien Barras, directeur associé. N’est-il pas anormal que l’on n’en soit pas informé lors de son inscription ? "Si on donnait tous les mécanismes du site, ce serait rébarbatif", explique-t-il. Il ajoute : "l’utilisateur reçoit des mails pour découvrir les services et lui indiquer la façon de procéder", avant de concéder : "C’est quelque chose qu’on peut améliorer".

La CGT a saisi le Conseil des Prud’hommes. Elle demandera la réintégration de la personne licenciée ainsi que l’annulation de la mise à pied. Le syndicat revendique le droit à la liberté d’expression des salariés. De son côté, Michelin évoque une "obligation de loyauté" envers l’entreprise.

http://www.arretsurimages.net/contenu.php?id=1482


Même éteint, un mobile peut servir de micro ambiant. Le point sur les questions techniques liées à la pratique des écoutes.

Ce n’est rien de le dire: la question de savoir comment on peut écouter des téléphones portables vous passionne. Surtout lorsqu’on apprend qu’un mobile peut être transformé en micro ambiant, même s’il est fermé et en veille. L’information a de quoi aviver bien des fantasmes orwelliens!

L’article de Philippe Madelin [1] a déclenché une avalanche de réactions irritées. Irritées par le ton "blogueur" de son auteur, alors que celui-ci faisait preuve d’une grande prudence dans les informations rapportées par sa source anonyme. Nous avons donc décidé d’approfondir l’enquête [2].

Commençons par faire le point sur les questions techniques liées à la pratique des écoutes, puis nous reviendrons, dans un second article, sur l’usage de ces écoutes, véritable enjeu pour les libertés publiques.

Téléphone ouvert, en communication

L’écoute est bien sûr possible. Comment ça marche? A l’ère du numérique, fini le bon vieux branchement avec des pinces crocodiles et un magnétophone. Pour faire simple: une communication de portable passe par des ondes, de différents types (GSM, satellite, Wifi…), qu’il s’agit d’intercepter. (suite…)


[Gregor Seither - IES Media Cooperative - 15/12/2008]

Si vous achetez un ordinateur chez Dell (fourni par défaut avec Windows Vista) et que – comme de nombreux clients – vous préférez disposer d’une installation Windows XP Pro, vous allez devoir raquer. La licence actuelle autorise les constructeurs à installer XP Pro à la place de Vista Business ou Vista Ultimate; mais Dell a décidé de facturer cette option 150 US$ plus cher que le prix de Vista.

Pour l’analyste technologique Rob Enderle ces frais de "downgrade" (le remplacement d’un OS récent par une version plus ancienne) risque d’avoir des conséquences catastrophiques pour Microsoft : ‘Au lieu de se poser la question pourquoi le grand public est si lent à adopter Vista, Microsoft préfère forcer la main aux consommateurs en les frappant au porte-monnaie," explique Enderle. ‘Obliger les clients à prendre une décision commerciale en augmentant les prix de l’option qu’on ne veut pas qu’ils prennent est un cadeau de Noël déposé au pied du sapin de Apple et de ceux qui militent pour le développement de Linus"


[CNIS Mag - 17/11/2008]

Après la France, l’Allemagne, l’Italie, c’est au tour le la Grande Bretagne d’adopter une série de lois visant à réprimer sévèrement tout possesseur « d’outils de hacking » signale Out Law. Sont ainsi confondus dans un melting-pot fort pratique, à la fois les programmes de test de pénétration et les logiciels capables de provoquer des attaques en déni de service. Les textes, renforçant le Computer Misuse Act, portent à 10 années d’emprisonnement toute attaque d’un système d’information « sans autorisation ».

De prime abord, il s’agit bien là d’une loi salvatrice visant à renforcer la protection des honnêtes internautes, particuliers comme professionnels. Il reste que tout viol d’un S.I. faisait déjà l’objet de mesures répressives relativement sévères. Mais, précisent nos confrères Britanniques, les nouveaux textes visent quiconque « fabrique, adapte, fournit ou offre de fournir (sic) quelque article que ce soit qui pourrait être susceptible de commettre ou de concourir un méfait [du genre hacking, modification non autorisée de données ou attaque en déni de service]. » Une fois de plus, la loi établit une confusion entre l’outil et l’usage de l’outil, et étend la culpabilité au diffuseur de l’outil. En osant une parabole fort inexacte, et si l’on étendait l’esprit des lois au secteur automobile, les constructeurs de voiture et équipementiers seraient tous fichés au grand banditisme pour meurtre aggravé, les concessionnaires automobiles auraient un casier digne de Mesrine, et les derniers cascadeurs finiraient leurs jours dans les geôles de Guantanamo. Dans toute démocratie, c’est la nature de l’acte qui définit l’accusation, et non l’intention de l’acte ou l’information relative à l’acte.

Bien sûr, il s’agit, tout comme c’est actuellement le cas en nos contrées, d’une loi légèrement liberticide (mais pas trop), entravant légèrement (mais pas trop) le travail des spécialistes et chercheurs en sécurité, et dont l’application la plus rigoureuses est laissée à la seule appréciation des juges. Bien sûr, il s’agit, tout comme c’est actuellement le cas en nos contrées, d’une loi strictement nationale, dont les rodomontades et les moulinets n’inquiètent pas particulièrement les industriels de la fabrication de malwares établis en Chine, en Russie, au Brésil. Bien sûr, il s’agit, tout comme c’est actuellement le cas en nos contrées, d’un texte qui favorisera grandement le travail des cyber-délinquants. En dissuadant, par excès de paperasseries et arguties juridiques, la pratique saine des tests de pénétration réguliers et des audits intrusifs. En opacifiant un peu plus les marchés « underground » sur lesquels l’on trouve kits de malwares et plateformes de « Piracy as a Service ».

A l’heure où nous rédigeons ces lignes, il n’existe pratiquement plus qu’un seul pays en Europe où la liberté de conduire et de publier des recherches n’attire pas systématiquement les foudres de la justice. Ce pays, défenderesse de la liberté d’expression depuis le Siècle des Lumières, terre d’accueil du THC, c’est la Hollande. Une contrée qui, depuis ces 5 dernières années, est l’un des centres de communication scientifique les plus prolifique qui soit dans le domaine de la recherche sécurité. Tant en termes de fuzzing appliqué au « safe programming », que de préservation de la vie privée ou de dénonciations des mauvaises pratiques institutionnelles (dans le secteur des RFID notamment). Peu étonnant donc que les principales entreprises de « managed services » et d’audits à distance y installent systématiquement leurs NOC.

http://www.cnis-mag.com/londres-ses-bobbies-ses-cameras-ses-lois-anti-pentest.html


[Internet Actu - Hubert Guillaud le 02/10/08]

En introduction de ce très riche atelier sur l’internet des objets à Picnic, Oliver Christ, directeur de SAP Research en Suisse a détaillé pourquoi cet internet des objets est désormais possible. La miniaturisation des capteurs et des outils de communication, la chute de leurs coûts de production permettent d’aller toujours plus avant dans l’intégration des objets : on est passé de l’intégration de puissance de calcul dans les ordinateurs aux mobiles, et demain, dans les objets du quotidien. Ensuite, le coût de la collecte des données à chuter en s’automatisant : on est passé des données saisies à la main, aux cartes à puces et aux codes-barres qu’il fallait manipuler, aux étiquettes Rfid et aux systèmes embarqués qui renseignent automatiquement les bases de données, en passant sous un capteur.

Pour Oliver Christ, l’internet des objets, c’est des communications de voiture à voiture (on parle de communications car2car, voire car2X, pour évoquer les voitures qui communiquent avec tout leur environnement comme les téléphones mobiles des piétons ou la signalétique), c’est de la surveillance des conduites d’eau, qui, via des capteurs, permet de repérer les fuites, d’alerter les techniciens, et même de délivrer de l’information sur les rues que l’on ferme directement aux véhicules en attente. Autre exemple, les systèmes d’assurances qui se branchent sur votre voiture pour vous faire payer une assurance proportionnellement aux kilomètres que vous effectuez (“Pay as you Drive insurance”). Et de terminer en nous montrant un magasin en Allemagne où tous les produits sont connectés. Qui ne permet pas seulement de payer sans passer à la caisse, mais qui permet aussi de reproduire le magasin et vos achats dans Second Life, comme si cette projection de soi était un aboutissement. Autant dire qu’Oliver Christ nous a donné une vision un peu froide et industrielle de l’internet des objets. Une vision très descendante, des industriels vers les consommateurs. (suite…)


[Gregor Seither - 20/11/2008]

Les services informatiques de l’Armée US sont attaqués depuis plus d’une semaine par un ver informatique, qui se propage très rapidement sur les différents serveurs du Pentagone et du DoD ainsi que les unités opérationnelles, y compris dans les bases en Irak, à Doha ou dans l’Océan Indien.

Afin d’endiguer la propagation de ce ver, l’état major de l’armée US a formellement interdit l’utilisation de clés-USB, de CD-R, de cartes mémoire et de tout autre support de stockage externe… "depuis le disque dur externe et les CD jusqu’aux disquettes (sic) et cartes compact-flash". Des scripts sont activés toutes les deux heures sur les systèmes centraux afin de détecter une éventuelle nouvelle infection.

Une note a été diffusée à l’ensemble du personnel, lui ordonnant de cesser immédiatement toute utilisation de supports de stockage USB, tant que ce support n’aura pas été examiné de manière appropriée et déterminé comme étant libre de tout programme néfaste (malware). La note précise que, dans certains cas exceptionnels, pour des raisons de service, certains supports seront à nouveau autorisés à se connecter. “Mais à partir de maintenant tout appareil personnel ou non authorisé sera strictement interdit en connexion sur n’importe quel appareil appartenant au parc informatique de l’armée" précise la note.

La menace d’infection virale via des supports amovibles avait reculé ces dernières années, remplacée par des programmes néfastes utilisant Internet pour leur diffusion. Mais avec la prolifération des supports externes comme les clés-USB, les statistiques montrent que les infections par le biais de ces supports sont en augmentation constante. En 2008, le nombre de détection de ces infections a augmenté de 10%.


[Hamza  Security Blog - 01/10/2008]
Le THC (The Hacker Choice )ont publié un outil et une vidéo sur la façon de cloner et de modifier un passeport électronique à puce RFID. L’utilisation d’une autorité de certification (CA ) pourrait résoudre l’attaque, mais en même temps introduire une nouvelle série de vecteurs d’attaque:

http://freeworld.thc.org/thc-epassport/

1. La CA est un point de défaillance unique.elle devient une cible d’attaque juteuse / d’une grande valeur et concentre ainsi Un seul point d’échecs et un objectif Attrayant ce qui n’est pas bon du toutToute personne ayant accès à la clé CA pourrait créer de faux passeport indétectables. Attaques directes, virus, égarer la clé par accident Ou les actes de corruption ne sont que quelques moyens d’obtenir la clé CA.

2. La clé CA devra être approuvé par tous les gouvernements. Ce n’est pas pratique, cela signifie que les passeports ne seraient plus une affaire nationale.

3. Des CA Multiple ne pourrait pas fonctionner non plus. Tout pays pourrait utiliser sa propre autorité de certification pour créer un passeport valide de tout autre pays.

Alors, quelle est la solution? Nous savons que les humains connaissent bien le contrôle des frontières. Âpres tout, ils nous ont bien protégé ces 120 dernières années. Ne laissez jamais un ordinateur faire un travail qui peut être fait par un être humain.

Parmi les perspectives des E’Passeport :

Le ePassports aident au vol de données: La barrière de 3 mètres a récemment été rompue pour la lecture de données RFID (par exemple, vos données du ePassport ) . Les attaques sont toujours meilleurs. Le prochain obstacle sera de 5, 10 et 20 mètres.

Un attaquant peut lire les données de votre ePassport (alors que vous marchez dans la rue!) Et peut utiliser vos informations d’identification pour revendre vos données personnelles ou Cloner votre passeport .

Le ePassports aident Le terrorisme: Merci au ePassports il est maintenant possible de construire des Smart-IED (Bombe).Une Smart-IED attend que une personne spécifique passe pour déclencher la détonation ou disons jusqu’à ce que il ya plus de 10  Américains dans la chambre. Boom.

Ne vous méprenez pas. au THC ils aiment la technologie, mais ils ne lui font pas confiance.

http://www.hamza.ma/?p=125


[Jean Marc Manach - Le Monde Diplomatique - Octobre 2008]
Défendre les citoyens contre les technologies menaçant leur vie privée, ou protéger la sécurité de systèmes informatiques pour le compte des militaires ? Dans un monde chaque jour plus technique, les compétences des hackers restent rarement inemployées…

En 2005, deux électroniciens découvrirent, stupéfaits, que les données confidentielles contenues dans la carte Vitale n’étaient pas protégées : on pouvait les lire, mais aussi les modifier. Pour d’obscures raisons, le mécanisme de sécurité n’avait pas été activé. L’affaire aurait pu faire scandale ; elle ne suscita que quelques articles de presse, et fut rapidement oubliée après que les responsables de la carte Vitale, tout en reconnaissant le problème, eurent déclaré qu’il serait corrigé.

Quelques mois plus tard, l’un des deux électroniciens remonta au créneau en faisant remarquer que rien n’avait été fait. Aucun journaliste, aucun syndicat, aucune association de patients ne s’en inquiéta. Et ni la Commission nationale de l’informatique et des libertés (CNIL), censée garantir la protection de la vie privée, ni la direction centrale de la sécurité des systèmes d’information (DCSSI), autorité nationale de régulation chargée de la sécurité informatique, ne se saisirent du problème.

La sensibilité aux questions de vie privée, d’informatique et de libertés est autrement plus vive dans d’autres pays. Ainsi, en janvier dernier, des chercheurs américains associés à des hackers allemands ont révélé l’existence d’une faille de sécurité dans l’une des cartes de paiement sans contact les plus vendues dans le monde. Le système Mifare Classic, commercialisé par la société NXP à plus de deux milliards d’exemplaires, est utilisé dans la carte (de type Navigo) des transports publics londoniens, mais aussi comme système de paiement à Hongkong et aux Pays-Bas, ou encore pour sécuriser l’accès à certains bâtiments gouvernementaux. Des universitaires néerlandais ont publié dans la foulée une méthode de clonage de ce type de carte. NXP a cherché à interdire cette publication, mais la justice néerlandaise a tranché : « Les dommages potentiels encourus par NXP ne sont pas le résultat de la publication de l’article, mais de la production et de la vente de la puce défectueuse. »

Cette décision de justice tout comme la médiatisation internationale de cette affaire témoignent assez bien du poids politique acquis par les hackers dans ces pays. (suite…)


[Forum ATENA - 08/11/2008]
Web 2.0, e-commerce, encyclopédies en ligne, réseaux sociaux : nous sommes entrés dans l’économie de l’immatériel ! Mais quelles sont les bases de cette économie ?

Chacun a expérimenté la volatilité des données informatiques, un clic malheureux et ce sont toutes les photos des dernières vacances qui se sont envolées.

On en parle peu, mais il se produit des choses similaires sur le web, et ce n’est pas toujours par accident : suppressions de comptes Facebook, censure de données sur Wikipedia, non publication d’avis sur Amazon, commentaires effacés des blogs …

Ainsi des pages disparaissent sur l’encyclopédie, sans que l’auteur en soit informé, et avec des arguments discutables. De même, sur les réseaux sociaux, des pages personnelles sont purement censurées, sans alerte, sans explication … et sans que la victime n’ait commis d’acte répréhensible. Des vidéos sont supprimées alors que l’auteur en détient les droits et que les paroles et images n’enfreignent aucune loi.

Face à ces situations, nous sommes impuissants : pas d’interlocuteurs, ou une adresse anonyme qui ne répond que ce qu’elle veut bien communiquer, des codes de conduite obscurs ou donnant tous pouvoirs aux gestionnaires de sites, etc.. Ce forum est là pour rassembler les expériences et partager l’information pour faire avancer la démocratie du web participatif … à défaut de pouvoir y remédier.

Alors, comme Erik Satie, peut être devrions nous faire notre sa phrase "Bien que nos renseignements soient faux, nous ne les garantissons pas".

http://forumatena.org/?q=node/139#web2


[Rémi Leroux | Rue89 | 19/09/2008]
François Nadiras, de la Ligue des Droits de l’Homme à Toulon, anime un site internet dédié aux questions de libertés publiques. Il revient sur les risques pour une démocratie de voir se multiplier les fichiers informatiques, alors que Michèle Alliot-Marie vient de remettre au Premier ministre une nouvelle mouture du projet « Edvige ».

« Si on veut confier aux machines des choses qui devraient être faites par des hommes avec leur conscience, de respect des uns des autres, il y a un risque. Le risque de faire de ces fichiers le pire des usages. »

Selon lui, le débat né autour du projet « Edvige » a permis de sensibiliser l’opinion publique. Mais, il s’interroge sur la suite, une fois le fichier remanié et mis en place  :

« La contestation d’Edvige a pris une ampleur que l’on n’espérait pas. C’est vrai que c’est un moyen très fort de pression sur le gouvernement et sur l’administration. Entre parenthèse, on dit souvent le gouvernement, mais l’administration y est aussi pour beaucoup.

Ce que l’on peut espérer, c’est que les politiques prennent conscience des dangers. Mais, je suis un peu pessimiste de ce côté-là. De manière générale, je pense qu’ils cèdent à la facilité et à la volonté présidentielle de ficher les Français. Et, pour moi, elle est indéniable. En revanche, j’espère que l’opinion va rester mobiliser. »

Xavier Darcos  : « Base élèves  ? Un document profondément liberticide »

Mobilisation contre « Edvige », mais également contre « Base élèves », autre fichier sensible. François Nadiras revient sur la lutte menée depuis deux ans par certains parents d’élèves et certains enseignants qui avaient très tôt mesuré le risque que représentait ce fichier scolaire. Un combat qui, selon lui n’est pas terminé.

Le 17 juin dernier, face à la Commission des finances, de l’économie générale et du plan et à la Commission des affaires culturelles, familiales et sociales, réunies sous la présidence de Didier Migaud, Xavier Darcos a en effet reconnu que Base Elèves était un document « profondément liberticide ». Avant de préciser  :

« L’origine sociale des familles, la langue des parents, etc., ne nous intéressent pas. Le fait de les indiquer est inutile et n’est pas conforme à la tradition républicaine de l’école de Jules Ferry, qui doit accueillir les enfants quels qu’ils soient pourvu qu’ils soient d’âge scolaire. »

« En attendant, poursuit François Nadiras, tant que le nouvel arrêté d’application n’est pas publié, certains Inspecteurs d’académie continueront à exercer des pressions sur les directeurs d’école pour qu’ils acceptent de rentrer les données dans la base. Comme cela a été le cas en Isère ces derniers jours. Or, cela ne me semble pas tout à fait compatible avec ce qu’a déclaré Xavier Darcos ».

La Cnil affaiblie…

Mais selon lui, l’un des fichiers les plus « redoutables » reste le fichier national automatisé des empreintes génétiques (FNAEG), initialement limité aux auteurs de crimes ou de délits sexuels et dont l’application a été étendue en 2003.

Le militant des libertés publiques regrette que, face à la multiplication de ces « outils de contrôle », la Commission nationale de l’informatique et des libertés (CNIL) ne dispose plus aujourd’hui d’autant de prérogatives qu’il y a quelques années. « En ce qui concerne la création de nouveaux fichiers d’Etat, en particulier de sécurité », estime-t-il, elle a perdu « le droit de s’opposer ».

Multiplication des fichiers informatiques, outils de régulation vidés de leurs attributions et risques d’usages abusifs, pour François Nadiras, « les moyens que met en place le gouvernement actuel donneraient des outils extraordinaires à un gouvernement dictatorial ».(Voir la vidéo) 

http://www.rue89.com/marseille/2008/09/19/une-indeniable-volonte-du-president-de-ficher-les-francais


[VNU Net - Anne Confolant 26-09-2008]
La navigation sur le Net par les employés entraînerait des failles dans la sécurité Web de leurs entreprises, encore mal protégées.

Et si les employés surfant sur Internet, faute de mesures appropriées, étaient responsables des failles de sécurité Web dans leur entreprise ? Selon une étude publiée par Webroot, éditeur de logiciels de sécurité, 85% des malwares sont maintenant disséminés par le Web, et non plus plus seulement à travers les e-mails. Problème : aujourd’hui les entreprises "prennent des mesures pour se protéger des menaces liées aux courriels, mais elles ne sont pas encore exercées à la plus grande menace d’aujourd’hui : les menaces provoquées par l’utilisation du Web par l’employé".

Ainsi, virus, logiciels espions et vers prolifèrent sur la Toile et les cybercriminels en profitent pour attaqués les employés qui naviguent sur Internet à leur travail. Trois entreprises sur dix ont affirmé lors de l’étude que la sécurité de leur organisation était compromise par les employés qui utilisent au bureau leur boîte e-mail personnelle, ou qui sont adeptes des réseaux sociaux, des sites communautaires et du téléchargement de vidéos.

Mieux éduquer les salariés aux dangers du Web 2.0

Le Web 2.0 représente en effet une menace particulière : les blogs et les encyclopédies en ligne (type Wikipedia) sont de véritables nids pour les malwares et les pirates informatiques. En effet, ces contenus sont générés par plusieurs personnes anonymes (qui peuvent aussi être des cyber-criminels…), ce qui multiplie les possibilités de failles de sécurité.

Il est donc nécessaire pour les entreprises de mettre en place des solutions de sécurité dédiées au Web capables de protéger au mieux l’ensemble de leur réseau. Mais il convient aussi de mieux éduquer les salariés aux dangers que peut représenter le Web 2.0.

Ce qui est encore bien loin d’être le cas. 15% seulement des entreprises interrogées ont effectivement renforcé les procédures d’utilisation d’Internet, quand environ une sur deux permet à ses employés d’accéder librement et sans contrôle ou filtrage à des réseaux sociaux susceptibles d’héberger des malwares.

http://www.vnunet.fr/news/les_employes_menacent_la_securite_web_de_leur_entreprise-2028787


[Nick Farrell - traduit et adapté par Cyril Fussy - Mercredi 15 octobre 2008]
(…)Le gouvernement australien a mis en place un système de filtrage sans demander l’accord de ses citoyens. (…) Le gouvernement australien a réservé 125,8 millions de dollars (américains) pour son Plan for Cyber-Safety. Deux listes noires ont été établies en fonction de l’intention de l’internaute de bloquer le contenu inaproprié pour les enfants ou le contenu "illégal".

Le gouvernement australien y voit l’oportunité de bloquer l’accès à des sites jugés mauvais pour la santé de la nation. Apparemment la pornographie pourra toujours circuler, mais les sites sujets à controverse, comme ceux prêchant la légalisation de la vente de Marijuana ou l’euthanasie, seront sous contrôle. Les sites de protestataires n’étant pas forcément d’accord avec les décisions du gouvernement risquent aussi de passer à la trappe.

Tim Marshall, porte-parole du gouvernement, dit que les FAI devront fournir un service Internet propre aux foyers, aux écoles et aux points d’accès publics pour protéger l’enfance.

Les FAI ont prévenu que ce système ralentira l’Internet australien (…) Des essais préliminaires ont montré que 10 000 pages web sur un million seront bloquées par erreur. La communauté d’internautes risque de s’échauffer mais au moins les enfants seront à l’abri.

http://www.theinquirer.fr/2008/10/15/laustralie-censure-officiellement-lacces-a-internet.html


C’est comme pour la "délinquance", les "actes d’incivilité", le "niveau des jeunes qui baisse" et autres lieux communs… ils ne s’embarrassent jamais de sources factuelles quand ils vous balancent des chiffres… plus c’est gros, plus ça passe.

A LA RECHERCHE DU MILLIARD DE FICHIERS PIRATÉS
[Ecrans.fr - Astrid Girardeau -12/11/2008]
« Nous devons pour cela lever le principal obstacle : le piratage des œuvres sur internet, commis sur une très grande échelle dans notre pays, qui détient une sorte de record mondial puisqu’un milliard de fichiers ont en effet été piratés en France en 2006. Ce véritable désastre économique et industriel auquel nous assistons se traduit également sur le terrain du renouvellement et de la diversité de la création. » Ce cri d’alerte était lancé au Sénat, le 29 octobre dernier, par Christine Albanel, le ministre de la Culture, dans le cadre des débats autour de la loi Création et Internet. Et cet impressionnant, voire obscène, « 1 milliard de fichiers » d’être rapidement repris par de nombreux médias, et comme l’un des slogans du site lancé la semaine dernière par le gouvernement, j’aimelesartistes.

Mais au fait, il sort d’où ce milliard ? Le Monde nous apprend qu’il vient d’une étude réalisée par le cabinet GfK auprès de 2 000 internautes pour le compte de ses clients (maisons de disques, d’édition de vidéos, etc.). Selon ce sondage, en 2007, les internautes français auraient ainsi téléchargé 833 280 000 fichiers de musique, et 235 200 000 fichiers vidéo protégés par le droit d’auteur. Si ces chiffres sont énormes, le commentaire de Laurent Donzel, responsable de GfK, l’est au moins tout autant. Il explique ainsi à nos confrères que leur processus de calcul comporte « des failles » car, dit-il, « on fait appel à la mémoire de l’intéressé, et les interviewés minimisent souvent le poids réel du téléchargement. Ils ne veulent pas l’avouer ». Et donc ? Et bien « pour compenser, on extrapole et on multiplie les résultats par douze [pour obtenir un chiffre sur l’année ndlr] »….

Difficile de croire que c’est sur de tels arguments, et de telles données, que se basent aujourd’hui le Sénat, et demain le Parlement français, pour décider d’une loi qui va permettre à une autorité administrative de couper l’accès à Internet à des centaines de milliers de foyers. Tout ça dans l’espoir de faire remonter le chiffre d’affaires de l’industrie du disque et du cinéma. Ce n’est pas autre chose que soulignait, dès avril dernier, la Cnil dans son avis, révélé la semaine dernière, sur le projet de loi Création et Internet.

Ce chiffre n’est pas sans rappeler les 450 000 films récents téléchargés chaque jour illégalement en France annoncés à grand tambour en août dernier par l’ALPA, par l’Association de lutte contre la piraterie audiovisuelle. Une étude bâclée, un powerpoint de 11 pages commandé aux sociétés Thomson et Advestigo. L’association avait voulu faire croire (jusque sur Variety) qu’il ne s’agissait que du premier jet d’une version plus détaillée à paraître en septembre.

Depuis on attend toujours d’en savoir plus sur cette saturation des serveurs (qui empêcherait 60% des pirates français à télécharger. Mais aussi pourquoi malgré « ce phénomène majeur qui peut mettre en péril l’industrie du cinéma et de l’audiovisuel » (Frédéric Delacroix, directeur général de l’ALPA), le nombre d’entrées en salles en France à augmenté de 2,5 % en un an et que la vente des DVD de films a augmenté de 2,1% entre les premiers semestres 2007 et 2008 (selon le CNC).

La France n’est bien sûr pas la seule à s’adonner au jeu des chiffres. Toujours dans le domaine du piratage, début octobre, Wired s’interrogeait sur le chiffre cité, dit, redit à toute occasion (et finalement assimilé) selon lequel le piratage de la propriété intellectuelle aurait fait perdre l’emploi de 750 000 citoyens américains (soit 8% du nombre de chômeurs aux Etats-Unis). Quelques jours plus tard, Ars Technica se penchait à son tour sur ce chiffre et sur celui des 200 à 250 milliards de dollars de perte répétés lui aussi à l’envi. Et après avoir tenté de remonter à leurs sources, Julian Sanchez de conclure : « vue la provenance douteuse des données, la seule chose dont nous pouvons être certains c’est que nous ne sommes certains de rien. Et nous construisons une politique sur la base de cette ignorance. » 

http://www.ecrans.fr/A-la-recherche-du-milliard-de,5643.html


[Zataz - Damien Bancal - 08/09/2008]

Les Etats-Unis viennent de mettre sur orbite un satellite baptisée GeoEye-1. Une longue vue avec de gros morceaux d’espionites US à l’intérieur.

Google a signé les droits exclusifs sur les images que va prendre, dans les 10 prochaines années, le satellite commercial, avec de gros bouts de Pentagone dedans, GeoEye-1. Le satellite GeoEye-1 est un appareil photo haute résolution situé en ce moment à 676 kilomètres au-dessus de nos têtes. Un satellite commercial ordinaire ? Pas vraiment, même si Google a signé les droits exclusifs pour les images, GeoEye-1 est contrôlé par l’agence de renseignements nationale américaine du Ministère de la défense. C’est d’ailleurs noté, dans un petit paragraphe, du document mis en ligne au sujet de ce satellite, GeoEye-1 Mission Book : "GeoEye-1 will serve a wide array of applications for defense, national and homeland security, air and marine transportation, oil and gas, mining, mapping and location-based services, state and local government planning, insurance and risk management, agriculture, and environmental monitoring."

GeoEye-1 : Larry Page et Sergey Brin, les fondateurs/patrons de Google pourront mettre la main sur les images pour Google Earth, Google Maps et leur GPS "visuel" en préparation, dans leurs cartons. L’appareil photo de GeoEye-1 peut distinguer un objets de petite taille. Boeing parle d’une précision de 41 centimetres. Autant dire qu’ils pourront voir la couleur de votre short !

Les dollars de Google et l’administration américaine vivent une belle histoire d’amour. Il y a un an, jour pour jour, la NASA offrait la possibilité aux deux big boss du moteur de recherche Google de garer leur Boeing sur une de ses bases. Alors que la plupart des pistes et bases de la NASA, l’agence spatiale américaine, sont fermées aux public, Google s’était vu offrir un passe droit notable. Larry et Sergey peuvent faire atterrir leur "gros n’avion" privé sur la bases de Moffett Field. Un partenariat assez étonnant, les deux compères en avaient marre des bouchons… dans le ciel de San Francisco. Bilan, ils garent leur Boeing à sept minutes du bureau ! Coût de cette "déviation" de luxe : 1.3 million de dollars. UPS et FedEx avaient apprécié l’humour de la NASA, les deux géants du transport s’étaient vus refuser la même possibilité, quelques mois auparavant. Mais eux, ils n’ont pas offert des dollars pour lancer un joli appareil photo dans l’espace. Radin !

http://www.zataz.com/news/17769/GeoEye-1.html


Putain ! Ca c’est un bizness model où y a du fric à s’faire : "En Chine, il faut savoir que lorsqu’un annonceur signe un contrat publicitaire avec un site, il n’est pas rare que celui-ci propose comme service l’effacement manuel des informations négatives pour la société. Avec 253 millions d’usagers Internet, le marketing et les relations publiques en ligne sont d’une importance considérable pour toutes les entreprises", estime Liu Ning, analyste pour le consultant BDA, spécialisé dans les nouvelles technologies à Pékin.

[Brice Pedroletti - LE MONDE | 22.09.08]
Premier moteur de recherche chinois avec plus de 60 % du marché local (contre 25 % pour Google), Baidu a-t-il fourni à l’entreprise Sanlu, le fabricant de la poudre de lait frelatée, une sorte de censure "sur mesure", permettant d’expurger de ses résultats de recherche toute information négative sur la marque ?

Les internautes chinois en sont convaincus : début septembre, quelques jours après que le scandale du lait frelaté a éclaté, des sites d’information chinois font état d’un échange de lettre entre Sanlu et une supposée agence de relations publiques, début août.

A l’époque, la contamination est encore secrète. L’agence conseille à son client de recourir à un service proposé par Baidu, pour 3 millions de yuans (303 000 euros), afin de "gérer et contrôler les informations" à son sujet.

Les internautes font des tests : en tapant plusieurs phrases relatives à Sanlu (associé à "enfant", ou bien "calculs rénaux"), ils obtiennent cent, voire mille fois moins de résultats sur Baidu que sur Google en chinois.

Le site Tianya, qui héberge des forums de discussion très populaires, lance même un sondage : 57 % des 4 100 participants au vote déclarent, entre autres, qu’ils n’utiliseront plus Baidu. La firme aura tôt fait de démentir et de lancer une contre-attaque en règle dans les médias : la lettre serait un faux et Baidu ne s’est jamais livré à de tels écarts déontologiques.

Le mélange des genres entre une recherche censée être relativement objective et les impératifs commerciaux a toujours rendu certains moteurs de recherche suspects. Mais en Chine, les sites Internet chinois, dont les moteurs de recherche pratiquent une autocensure avérée, peuvent être forcés de supprimer des contenus "sensibles" pour des raisons politiques.

Baidu est depuis longtemps critiqué pour incorporer massivement les résultats payants dans ses recherches – identifiés depuis peu par un sigle discret – alors que Google les place à part.

"En Chine, il faut savoir que lorsqu’un annonceur signe un contrat publicitaire avec un site, il n’est pas rare que celui-ci propose comme service l’effacement manuel des informations négatives pour la société. Avec 253 millions d’usagers Internet, le marketing et les relations publiques en ligne sont d’une importance considérable pour toutes les entreprises", estime Liu Ning, analyste pour le consultant BDA, spécialisé dans les nouvelles technologies à Pékin.

Début septembre, The Register, un site anglais, publiait un long rapport sur l’un des services de recherche de Baidu, le "MP3 Search Service", qui guide directement l’usager vers des sites de téléchargement de musique en format MP3. L’enquête révèle qu’une écrasante proportion des recherches est aiguillée vers des sites pirates, au détriment des sites légitimes. Et qu’en outre, tout un système de contournements empêche que s’affichent les avertissements de violation de droits d’auteur.
http://www.lemonde.fr/opinions/article/2008/09/22/censure-sur-mesure-sur-le-net-par-brice-pedroletti_1098099_3232.html#ens_id=629165


C’est encore mieux avec les iPod d’occasion vendus sur eBay ! Un grand nombre contient encore l’agenda iCal et les données Carnet d’adresses (avec des mots de passe de connexion !!!) , toues informations synchronisées depuis l’ordi de l’ancien propriétaire, qui n’a effacé que la musique…

DES DONNÉES SENSIBLES TRAÎNENT DANS LES MOBILES D’OCCASION !
[Atelier.fr - 07/11/2008]
Salaires, compte rendus de réunions, détails médicaux etc. Un téléphone portable de seconde main sur cinq conserve en mémoire des informations confidentielles sur des sociétés ou des personnes.

Publié le 16 Octobre 2008 Smart phone Le smart phone que vous avez racheté d’occasion sur eBay contient peut-être des données confidentielles sur l’entreprise de son ancien propriétaire. Selon les résultats d’une étude menée par l’opérateur britannique BT ainsi que les universités de Glamorgan et Edith Cowan, un grand nombre de mobiles dont la carte SIM a été enlevée conservent malgré cela des données de natures diverses : salaires, santé économique d’une entreprise, projets confidentiels, comptes en banque, compte-rendu de réunions, détails médicaux sur l’état de santé des personnes etc. Un mobile de seconde main sur cinq contient au moins suffisamment de données pour que les personnes sachant le faire puissent identifier son ancien utilisateur mais également l’employeur de ce dernier. Selon les chercheurs, cette étude fournit une nouvelle preuve – si besoin était – de l’intégration de plus en plus répandue des téléphones intelligents aux systèmes d’organisation, de gestion et de communication des entreprises.

Téléphones Blackberry en tête
De tous les périphériques examinés, ce sont les Blackberry qui se sont révélés les plus vulnérables. Des informations qui n’auraient pas dû y être ont été retrouvées sur près de la moitié d’entre eux. La dissection de l’un de ces Blackberry, ayant appartenu au directeur des ventes d’une grande entreprise japonaise, a été particulièrement féconde puisqu’on y a retrouvé l’historique des appels, l’annuaire, l’agenda et la messagerie. Ces applications contenaient le modèle d’affaires de la société pour les années à venir, la liste de ses principaux clients et la nature de leurs transactions, la nature des relations entre le directeur en question et ses employés, sans oublier ses numéros de comptes en banque ou des détails très personnels : statut marital, nombre d’enfants, adresse personnelle, adresses de ses médecins etc.

Œuvres de charité
"De nombreuses entreprises disposant de périphériques devenus obsolètes les donnent à des œuvres de charité, notamment à l’intention des pays en voie de développement", explique le professeur Ian Sutherland, qui a dirigé l’étude. "L’enfer étant souvent pavé de bonnes intentions, elles ne réalisent pas que – ce faisant – elles courent des risques au niveau de la sécurité de leurs informations". Pour réduire les risques de fuite ou d’espionnage industriel, les chercheurs expliquent que les sociétés doivent mettre en place des procédures adéquates pour s’assurer que les données de leurs terminaux usagés soient effectivement détruites. Dans un grand nombre de cas, les informations contenues dans les mobiles n’avaient tout simplement pas été effacées ! 
http://www.atelier.fr/securite/10/16102008/mobiles-ordinateurs-occasion-seconde-main-donnees-sensibles-37304-.html


<!–Web 2.0 : gare à la surcharge d’informations
[Silicon.fr - 06/11/2008]
Lors du Web 2.0 Summit de San Francisco, des experts ont regretté l’encombrement de plus en plus important de la Toile avec des données souvent inutiles. Les experts sur l’utilisation des contenus générés par les internautes (user generated content) et des projets Web 2.0 craignent que cette tendance mène à inonder le Web de données inutiles.

A l’occasion d’une conférence au Web 2.0 Summit de San Francisco, des experts ont déclaré que cette pléthore de nouvelles informations représente à la fois un avantage et un sérieux danger, susceptible d’entraîner la confusion chez les internautes.

"La Loi de Moore est à la fois un avantage et un inconvénient", a déclaré James Powel, directeur technique chez Thomson Reuters. "Toutes sortes d’informations sont ajoutées à une fréquence très élevée. C’est aux acteurs de l’industrie que revient la tâche de gérer ce gigantesque flux d’informations."

Quel danger ? James Powel prend comme exemple le cas de la crise financière actuelle. Jamais autant d’informations n’avaient été mises à disposition de l’industrie. Mais c’est cet excès de données qui leur a empêché de voir les signes avant-coureurs de la crise, estime-t-il.

En guise de boutade, James Powel raconte qu’un de ses collègues lui a suggéré que "le Web 3.0 devrait nettoyer le grand nombre de déchets laissés par les projets Web 2.0".

D’autres participants ont reconnu que l’un des problèmes majeurs des projets Web 2.0 était le filtrage des informations inutiles, en affirmant que le résultat final en vaudrait la peine.

"Nous allons évoluer et devenir autre chose que de simples chercheurs/collecteurs d’informations", a déclaré David Marks, directeur technique de Loomia, qui exploite un moteur de recherche pour les podcasts audio et vidéo. "Nous allons assister au développement de médias qui ne se contenteront plus de simplement livrer des informations. Les sources d’informations vont devenir interactives."

http://www.silicon.fr/fr/news/2008/11/06/web_2_0___gare_a_la_surcharge_d_information


Froid dans le dos. A parcourir l’ouvrage des activistes grenoblois de Pièce et Mains d’Œuvre (PMO), Terreur et Possession, enquête sur la police des populations à l’ère technologique, on se dit qu’Orwell était un peu léger avec son 1984 et que le totalitarisme technologique n’est plus de la science-fiction… Alors, on a voulu approfondir. Un entretien aussi glaçant qu’instructif.

[Article 11 - samedi 1er novembre 2008]

« Quand l’histoire pour l’essentiel est devenue l’histoire des sciences et techniques, et plus précisément, celle de l’accélération technologique, la moindre des choses est d’examiner en quoi celle-ci affecte la marche des sociétés et leurs rapports de force. »

Voilà telle qu’énoncée en introduction la démarche intellectuelle à l’œuvre dans Terreur et Possession dernière production des agitateurs d’idées de Pièce et Mains d’Œuvre. Pour ce collectif activiste qui avance masqué (ils refusent par exemple de communiquer sur le nombre et l’identité des auteurs de l’ouvrage), il s’agit d’interroger les mutations technologique à l’œuvre en ce début de XXIe siècle, de montrer à quel point le facteur technologique est tout sauf « neutre ». Au fil des pages, on ne tarde pas à comprendre combien cette question est fondamentale et son importance sous estimée.

Le constat ? Les avancées technologiques, habilement encouragées par un État obsédé par le sécuritaire, renforcent notre servitude et envahissent notre quotidien à une vitesse alarmante. Mais en douce… Technologies de contrôle qui peu à peu s’immiscent partout, des corps aux cerveaux, des cartes bleues aux lieux publics, des passes Navigo aux voitures. Un état des lieux alarmant dressé par les activistes de PMO, dans cet ouvrage comme sur le site du collectif : pièces et mains d’Œuvre. Éclairage . (suite…)


[XMCOPARTENERS - 1/11/2008]
Les Federal Trojans : les écoutes et les perquisitions numériques

Lors de la grande messe BlackHat qui s’est tenue à Las Vegas cet été, un vieux sujet a refait surface : les Chevaux de Troie gouvernementaux. Derrière ce concept se cache un enjeu crucial pour les forces de l’ordre : les perquisitions numériques, le renseignement, les infiltrations et les écoutes de la téléphonie sur Internet à l’heure du web 2.0. (…)

Et la France dans tout ça? Un fédéral Trojan hexagonal ?
Nous en arrivons à la question sous-jacente de cet article. Est-ce que le gouvernement pourrait utiliser, dans un futur proche, un fédéral Trojan à la française ? Nous n’avons aucune confirmation (dans un sens comme dans l’autre) sur l’existence d’un tel logiciel. Cependant, quelques informations méritent d’être mises en perspective.
(suite…)


[Astrid Girardeau - Ecrans.fr - 04/11/2008]
En juin dernier, Nadine Morano, secrétaire d’Etat en charge de la Famille, confiait une étude de faisabilité technique sur le filtrage des sites pédo-pornographiques au Forum des droits sur l’Internet (FDI). Intitulée « Les enfants du Net III » (PDF), l’étude, réalisée en collaboration avec des fournisseurs d’accès Internet (FAI), opérateurs téléphoniques, associations de protection des enfants, experts en informatique, et représentants des administrations concernées, a été rendue publique ce matin.

Pour rappel, le filtrage du réseau et la mise en place d’une « police internationale de la Toile » pour lutter contre la pédo-pornographie en ligne sont les deux principaux cyber-fantasmes partagés par Nadine Morano et la ministre de l’Intérieur, Michèle Alliot-Marie. Le 10 juin dernier, celle-ci rappelait qu’« il ne s’agit pas de créer un “big brother” de l’Internet », juste d’installer un système de surveillance qui ouvrirait grand une porte. Mais surtout un système pour lequel aucune technologie n’a aujourd’hui prouvé son efficacité, ni sa faisabilité de manière généralisée.
(suite…)


[Ecrans.fr - 04/11/2008]
Des internautes innocents poursuivis pour le téléchargement illégal d’un jeu vidéo, et donc condamnables à des amendes, c’est le nouveau scandale révélé par le magazine de consommation anglais Which ? Computing.

Le journal raconte avoir été contacté par Gill et Ken Murdoch, 54 et 66 ans, poursuivi par la société Atari pour avoir téléchargé illégalement le jeu Race 07. Ils ont ainsi reçu une lettre du cabinet d’avocats Davenport Lyons, mandaté par Atari, leur expliquant que leur adresse IP (identifiant unique de connexion pour chaque machine sur Internet) avait été identifié et leur proposant de payer 500 livres sterling de compensation avec la menace que la somme soit plus élevée si cela finit au tribunal. L’accusation ne porte pas directement sur l’acte de téléchargement, mais sur le fait de ne pas avoir sécurisé suffisamment leur connexion Internet. Ce que prévoit également le projet de loi Création et Internet. Problème, le couple dit n’avoir jamais joué à un jeu vidéo de sa vie.

Suite à l’intervention de Which ? Computing, l’affaire a été abandonnée, mais des centaines d’internautes anglais seraient dans la même situation. Leur adresse IP a été repérée par Logistep, une société suisse spécialisée dans la collecte sur les réseaux de p2p (BitTorrent, eDonkey, etc.), particulièrement connue pour avoir été au au centre de l’affaire française Techland. A partir de ces adresses, les ayants droit peuvent entamer une action pour obtenir des fournisseurs d’accès l’identification des abonnés.

Interrogé par la BBC, Michael Coyle, un avocat spécialisé dans la propriété intellectuelle, explique actuellement traiter les dossiers de soixante-dix internautes également attaqués par Atari, et avoir discuté avec des centaines d’autres. Il rejette l’accusation selon laquelle les utilisateurs sont tenus par la loi de sécuriser leur ligne : « Il n’y a pas de chapitre dans la Loi sur le droit d’auteur qui vous dit de sécuriser votre réseau, même si c’est du bon sens de le faire ». D’autant que dans le cas de M. et Mme Murdoch, ils n’ont pas d’accès wi-fi.

Et cela ne risque pas de s’arranger avec l’annonce de The Pirate Bay de truffer ses trackers de fausses adresses IP. En France, une collecte automatique similaire est prévue dans le cadre du projet de loi Création et Internet.

http://www.ecrans.fr/Accuse,5573.html

« Page précédentePage suivante »

Suivre

Recevez les nouvelles publications par mail.

Joignez-vous à 121 followers