avril 2014



Faille de sécurité sur Internet Explorer : oui, c’est grave. Et si vous lâchiez enfin IE ?

[Jean-Philippe Louis – Nouvel Observateur – 29/04/2014]

En novembre 2013, Windows en avait plus qu’assez qu’on se moque de son navigateur Internet avec cette célèbre vanne :  – À quoi sert Internet Explorer ?  – À télécharger Mozilla Firefox ! Hu hu…

Lourd.

Du coup, la firme de Redmond allait mettre une torgnole aux haterz en tentant de reconstruire la marque Internet Explorer et montrer que, non, le navigateur n’est pas si fragile.

Le bouclier d’Explorer est une passoire

Ainsi, une publicité lancée par la marque sous forme de manga – parce qu’on parle aux geeks quand même hein – symbolisait cette volonté. On y voyait une fille poursuivie par des robots, s’enfuir puis se rebeller, avant de défoncer les méchants grâce à un bouclier magique. Je pense qu’ici, la symbolique est assez claire. Méchant = hackers. Fille = Internet Explorer. Subtil.

Certes, c’était assez bien dessiné et ça nous rappelait les glorieuses heures de « Sailor Moon ». Mais dans la réalité, le bouclier de cette fille ressemblerait plus à une passoire. Le week-end dernier, on apprenait en effet qu’Internet Explorer était victime d’une énorme faille de sécurité. Encore.

 Grâce à cette faille, un hacker peut prendre le contrôle de votre système et installer des virus, effacer des données etc. Le site The Wire explique :

« C’est en fait comme si vous laissiez la porte de votre maison ouverte, vous ne savez pas qui entre, ce qu’il veut, ce qu’il a pris ».

En clair, cette faille est dangereuse, d’autant que la version d’Internet Explorer 6, fonctionnant sous Windows XP, n’est plus mise à jour depuis le 8 avril dernier. Du coup, il n’y a aucune chance de voir un patch de sécurité être développé.  

(suite…)

Publicités

internet_rage


Ils sont noirs, ils sont musulmans et ils vivent dans un pays dont on en a rien à foutre… c’est vraiment pas de bol pour eux !  Parlons plutôt du dernier match Madrid-Barça…

Ce que les charniers nous ont appris

[ Salil Shetty, secrétaire général d’Amnesty International – Mediapart – 22/04/2014]

C’est le genre de découverte qui vous hante : une fillette de 11 ans terrifiée, tapie dans un coin d’une maison mise à sac, trois jours après que son village eut été attaqué lors d’une abominable opération de nettoyage ethnique. Ses parents avaient été tués et dans les rues autour de chez elle, des chiens se nourrissaient des corps en décomposition de ses voisins.  Cette scène, dont des délégués d’Amnesty International ont été témoins, pourrait rappeler le génocide rwandais. Mais la fillette était musulmane, pas tutsi. Le village en question se trouve en République centrafricaine, pas au Rwanda. Et cela s’est passé en février dernier, pas il y a 20 ans. 

En 2004, à l’occasion du 10e anniversaire du génocide rwandais, Kofi Annan, alors secrétaire général des Nations unies, avait déploré l’échec collectif de la communauté internationale, qui avait manqué à son devoir de protéger les 800 000 personnes ayant péri. « De tels crimes sont irréversibles. De telles erreurs ne peuvent être réparées. Les morts ne peuvent être ramenés à la vie. Alors que pouvons-nous faire? » Cela n’avait rien d’une question rhétorique ; Kofi Annan soulevait le principal problème auquel sont confrontés tous ceux qui essaient de prévenir les génocides, les crimes de guerre et les crimes contre l’humanité.

Depuis le génocide rwandais, les instances régionales et internationales ont élaboré de nouveaux mécanismes et normes visant à apporter des réponses à la question de Kofi Annan. La Cour pénale internationale et d’autres tribunaux bénéficiant de l’assistance des Nations unies, notamment le Tribunal pénal international pour le Rwanda, essaient de veiller à ce que ceux qui commettent des atrocités soient amenés à rendre des comptes. En vertu du principe de la « responsabilité de protéger », les États sont par ailleurs tenus de protéger leurs populations des crimes contre l’humanité.

La Commission africaine des droits de l’homme et des peuples est habilitée à enquêter sur les violations des droits humains de grande ampleur, tandis que l’Union africaine a le droit d’intervenir dans les États membres lorsque des génocides, des crimes contre l’humanité et des crimes de guerre sont commis.

Et pourtant, malgré ces changements institutionnels, l’engagement renouvelé en faveur des principes de justice internationale n’a pas suffisamment été suivi d’actes concrets sur le terrain. Les événements récents en République centrafricaine et au Soudan du Sud soulignent l’échec persistant des organes régionaux et internationaux, qui n’ont pas agi de manière assez ferme, décisive et rapide pour prévenir les atrocités. (suite…)


L’article date de 2006 mais n’a rien perdu de son actualité…. 

EN PUBLIANT LES DONNÉES « ANONYMES », AOL NOUS OFFRE UN APERÇU TROUBLANT DE LA VIE DE SES UTILISATEURS

[Declan McCullagh – C/Net – 7 Août, 2006 – Trad. Gregor Seither ]

La publication par AOL des historiques de recherche de plus de 650 000 de ses utilisateurs est bien plus qu’un des plus gros scandales de l’année en matière de défense de la vie privée.  Les 21 millions de requêtes de recherche publiées ont également révélé au grand jour un nombre incalculable de tranches de vie allant de la plus banale jusqu’à l’illicite et la bizarre. 

De son côté AOL a présenté ses excuses en affirmant qu’il s’agissait au départ d’une initiative à des fins scientifique et a retiré la gigantesque base de données de son site Web. Il était trop tard: La base de données avait déjà été copiée et hébergée sur des sites mirroirs.

Bien sûr, les autorités ont vite tenté de rassurer les gens en disant que toutes ces données étaient « anonymes » et qu’on n’y trouvait ni identifiant utilisateur, ni noms d’internautes. Au lieu de cela, chaque requête est associé à un numéro d’identification unique attribué à chaque utilisateur. Ceci signifie que vous pouvez trier la base par numéro d’utilisateur et ainsi voir quels sont les recherches que cet utilisateur « anonyme » a fait via AOL Search au cours des trois derniers mois. (Google, Yahoo, et MSN Search ne sont pas inclus dans la base de requêtes publiée par AOL). Et même « anonymes » (on verra plus loin que ce n’est pas très difficile d’identifier avec précision des personnes, sur la base de ce qu’ils recherchent), ces données en disent beaucoup sur chaque utilisateur.

En se basant sur les informations ainsi extraites de la liste massive de termes de recherche, il est par exemple possible de deviner que l’utilisateur AOL 710794 est un golfeur, qu’il est en surpoids, qu’il est l’heureux propriétaire d’une Porsche 944 modèle 1986 et d’une Cadillac SLS modèle 1998 et qu’il est un fan de l’équipe universitaire masculine de basketball du Tennessee. Ce même utilisateur, # 710794, est intéressé par le district scolaire du comté de Cherokee à Canton, en Géorgie, et s’intéresse à la Suwanee Sports Academy à Suwanee, Géorgie, qui propose des cours aux jeunes espoirs de la région, mais aussi à la branche Géorgienne de « Youth Basketball of America ».

Jusque là, rien d’extraordinaire. Les choses se corsent quand on découvre que l’utilisateur 710794 fait également régulièrement des recherches avec le mot clé «lolitas», un terme couramment utilisé pour décrire les photos et vidéos de mineurs dévettus ou engagés dans des actes sexuels.
Vous voyez où je veux en venir ? Vous trouverez ci-dessous des extraits de termes de recherche triés par utilisateur, compilés à partir des logs publiés par AOL. Les logs sont dans l’ordre chronologique. (suite…)


J’ai le sentiment depuis quelques semaines que Washington veut acculer Moscou à une riposte telle que je viens de l’exposer, ce qui déboucherait sur un processus inflationniste de moyen terme (désendettant mécaniquement les économies occidentales), via une flambée des matières premières

[Philippe Béchade – Editions Agora – 22 avril 2014]

Les marchés pensent à tort qu’ils assistent aux premiers coups de mise en place alors que la partie est lancée depuis plusieurs mois — il y a plus d’un an même, début 2013.  Souvenons-nous de l’épisode chypriote et de la mise en faillite des banques locales — notamment la Laïki et la Bank of Cyprus avec, comme corollaire, la confiscation des avoirs supérieurs à 100 000 euros. Elle fut décidée par Bruxelles et la BCE au prétexte que cela pénalisait essentiellement les oligarques russes qui « cachaient » là-bas plusieurs dizaines de milliards d’euros, des sommes réputées de provenance douteuse. Le contrôle des changes n’étant toujours pas levé à Chypre, les titulaires de gros comptes russes ne peuvent, encore aujourd’hui, rapatrier leur argent qu’au compte-goutte.

Ajoutons que l’avis d’Angela Merkel pesa très lourd début 2013 : elle fit pression pour que Chypre ne bénéficie pas d’un plan de sauvetage coûteux à la mode grecque. Elle prit le pari risqué (et perdu) que Moscou volerait au secours de Nicosie afin de préserver une chance de revoir ses billes. Mais devinez dans quels pays, Grèce exceptée, les banques chypriotes avaient le plus investi ?  Il s’agit de la Russie et de… l’Ukraine. La mise en faillite des banques chypriotes a donc porté un coup très rude à la manne financière dont disposait Kiev, car l’Europe — en pleine crise des PIGS — n’était plus d’aucun secours pour l’ancienne république soviétique. (suite…)


LA PREMIÈRE LECON A RETENIR DE HEARTBLEED C’EST LA FAIBLESSE DU OPEN SOURCE  : Si la saga Heartbleed est loin de se refermer, ses premiers développements sont déjà riches d’enseignements. Sur certaines faiblesses du développement open source d’abord. « On prend ainsi conscience qu’une large part du chiffrement dans le monde dépend de quelques développeurs à temps partiel, remarque Arnaud Bidou. Le code incriminé a été validé et enregistré le 31 décembre 2011… à 23 heures ! Et les équipes de OpenSSL se sont affranchies des vérifications de conditions d’allocation mémoire (la source du bogue, NDLR). La fondation OpenSSL a expliqué avoir besoin de 6 personnes à plein temps pour travailler plus sereinement. Aujourd’hui, leur équipe est bien plus restreinte. Il serait peut-être temps de se pencher sur le financement d’une des principales infrastructures de sécurité du Web ».

[Reynald Fléchaux – SILICON – 18/04/2014]

Résolue la faille Heartbleed ? Loin de là. La librairie OpenSSL à l’origine de la vulnérabilité est embarquée dans de multiples équipements logiciels et matériels employés par quasiment toutes les DSI. Equipements qui devront être mis à jour. Et la seule application des patches est insuffisante.

Depuis le 7 avril, un nom et un logo, jusqu’alors inconnus, ont fait le tour du Web : Heartbleed, un cœur qui saigne. L’importance de cette faille de sécurité affectant la librairie de chiffrement SSL/TLS OpenSSL explique cet embrasement sur le sujet. Si les acteurs du Web ont très rapidement mis à jour leur librairie (vers la version 1.0.1g expurgée de Heartbleed), le problème est loin – très loin même – d’avoir été réglé. Et il ne se limite pas aux seuls acteurs du Web : toutes les DSI sont, de près ou de loin, concernées par Heartbleed en raison de l’emploi très courant de la librairie OpenSSL dans des logiciels et matériels du marché.

En 5 points, Silicon.fr vous livre une première check-list pour évaluer les risques et prendre les premières contre-mesures.

Un outil de test gratuit pour mesurer la vulnérabilité de vos serveurs et domaines est proposé par Qualys –  disponible sur : https://www.ssllabs.com/ssltest/index.html

1) Mesurer les risques

C’est évidemment la première question qui se pose aux DSI : quelles sont les informations que Heartbleed a pu permettre de dérober ? La réponse est simple : on n’en sait rien. Et c’est bien tout le problème. « A ce jour, on n’a aucune idée des dommages réels que va causer Heartbleed. Il est impossible de savoir quelles sont les données qui ont été exposées, surtout à posteriori, et qui les a récupérées. D’où les questions qui se posent sur son éventuelle utilisation par la NSA», remarque Renaud Bidou, le directeur technique de l’éditeur DenyAll. Concrètement, Heartbleed est un bogue (un classique problème d’allocation de mémoire) dans l’implémentation d’un protocole appelé Heartbeat, ajouté à OpenSSL en février 2012 afin d’améliorer les performances. La faille permet de récupérer 64 000 octets de mémoire. « Et cela concerne toutes les implémentations des versions infectées de OpenSSL : serveurs Web, VPN, reverse proxy… Dans ces 64 000 octets peuvent figurer des login et mots de passe mais aussi la clef privée du serveur, présente notamment lors d’un redémarrage de la machine », ajoute Renaud Bidou.

Bref, beaucoup d’informations extrêmement intéressantes pour des cybercriminels. Les couples login/mots de passe leur permettent d’effectuer des opérations illégitimes. La récupération de la clef privée ouvre encore davantage le champ des possibles. « C’est extrêmement sérieux : car, une fois en possession de ce sésame, un assaillant peut se faire passer pour le serveur légitime, via une attaque de type Man-in-the-middle », note Arnaud Soullié, auditeur sénior chez Solucom. « Nous sommes dans une phase de gestion de crise, après ce qu’il faut bien qualifier de dysfonctionnement majeur », résume Marc Cierpisz, manager du centre d’excellence Team Risk & Security de Devoteam. Gourou de la cybersécurité, Bruce Schneier avait d’ailleurs réagi en assurant que, sur une échelle de 1 à 10, Heartbleed valait un 11. (suite…)


[JOSEPH CONFAVREUX – MEDIAPART – 09 FÉVRIER 2014]

Les chercheurs français sont mobilisés pour écrire au plus près l’histoire du génocide rwandais. C’est une réponse au récit officiel tissé de mensonges et de vides qu’a construit l’État français pour dissimuler son implication auprès du pouvoir hutu.

Conscients que le génocide de plus de 800 000 Tutsi au printemps 1994 fait aussi partie de l’histoire française, plusieurs chercheurs et historiens tentent d’établir et de comprendre ce qui s’est passé. Et ce, en dépit des zones d’ombre et des mensonges entretenus par de nombreux acteurs de l’administration et de la politique française.

Pour Rafaëlle Maison, professeur de droit à l’Université Paris Sud, qui s’est plongée dans les archives de l’Élysée et la jurisprudence du Tribunal pénal international pour le Rwanda« ce génocide nous interroge tous en tant que participants de la famille humaine, mais encore plus en tant que citoyens français, dans la mesure où la politique étrangère française a eu une incidence au Rwanda, avec une intervention militaire avant et pendant le génocide, et un soutien diplomatique au pouvoir hutu qui apparaît bien dans les comptes-rendus d’audience du conseil de sécurité de l’ONU. Au-delà de l’exigence morale de regarder ce qu’ont fait les acteurs français de cette histoire, dont certains sont encore en activité aujourd’hui, il y a une exigence de connaissance qui doit mobiliser l’histoire du contemporain, l’anthropologie des violences de masse et les études post-coloniales ».

Dans un colloque à Sciences-Po organisé avecIbuka France le 24 janvier dernier, intitulé« Génocide des Tutsis : justice et vérité vingt ans après » ; dans celui organisé deux jours plus tard à l’ESG Management School, titré« 20 ans après : dire le génocide des Tutsi » ; dans la revue Histoire qui consacre son numéro de février au génocide, ou encore dans le numéro à venir de la revue Vingtième siècle, on retrouve ainsi plusieurs contributions d’historiens.

(suite…)

Page suivante »