septembre 2014



[Jacques Cheminat – Silicon.fr – 26/09/2014]

5 questions sur la faille Shell Shock visant Bash

Le monde du web tremble avec l’annonce d’une faille baptisée Shell Shock qui touche l’interpréteur de commande Bash présent dans plusieurs systèmes. Plusieurs questions se posent sur cette menace, sa définition, son exploitation, son impact, etc.

A en croire les spécialistes de la sécurité, la faille Shell Shock est pire que la vulnérabilité Heartbleed qui avait touché la librairie de chiffrement Open Source, OpenSSL. En visant l’interpréteur de commande Bash dans les systèmes Linux ou certains OS, elle ouvre la boîte de Pandore des risques et des menaces. Nous avons posé 5 questions à des spécialistes de la sécurité informatique pour en savoir plus sur cette vulnérabilité.

1-Comment a été découvert Shell Shock ?

La faille a été découverte par un français, Stéphane Chazelas, qui travaille actuellement en Angleterre pour le fournisseur de CDN Akamai. Spécialiste du monde Linux/Unix et des télécoms comme l’indique sa page personnelle, il a trouvé un bug dans Bash (Bourne-Again shell) qui est un interpréteur de lignes de commande via des scripts. Il existe depuis plus d’une vingtaine d’années années (1993) et est devenu l’interprète standard de plusieurs systèmes Unix et distributions Linux, mais aussi des systèmes d’exploitation comme Mac OS X, Android et de manière plus limitée Windows avec le projet Cygwin.

Dans un entretien accordé à FairFax Media, Stéphane Chazelas précise que la découverte s’est déroulée il y a deux semaines. Il a aussitôt alerté Chet Ramey, en charge du support du code source Bash. En parallèle, il a aussi averti des fournisseurs d’infrastructures web et des éditeurs de distribution Linux comme Debian, Red Hat,Ubuntu, SuSE et Mandriva. Le problème est que « cette découverte a été débattue rapidement sur des forums réduisant ainsi le temps pour trouver une réponse de la part de l’ensemble des acteurs », explique Thierry Karsenty, directeur technique Europe chez CheckPoint.

Concrètement, la faille Shell Shock permet de modifier des variables d’environnement et d’exécuter du code à distance par le biais de scripts Apache CGI, des options DHCP et OpenSSH en s’appuyant sur Bash. Shell Shock est souvent comparée à Heartbleed. Loïc Guezo, directeur Europe du Sud chez Trend Micro, écarte néanmoins cette analogie. « Shell Shock n’est pas une faille traditionnelle. Dans le cas de Heartbleed, la vulnérabilité concernait la collecte de données, dans le cas de Bash, il s’agit d’une prise de contrôle d’un système ou d’un équipement. » (suite…)

Publicités

[Cécile Allegra – Delphine Deloget – Le Monde – 01/09/2014]

« Ils ont ouvert la porte de la prison. J’ai vu dix personnes enchaînées, debout, face contre le mur. Par terre, il y avait un garçon qui n’arrivait plus à se relever. Son dos n’était que chair et os à vif. Et cette odeur de sang, d’excréments… Une odeur de mort. » En mars 2013, Germay Berhane est jeté pour la première fois dans une maison de torture du désert du nord du Sinaï. Il va passer trois mois aux mains d’Abu Omar, l’un des trois tortionnaires les plus redoutés de la péninsule. Supplicié chaque jour, plusieurs fois par jour, sans répit.

Germay Berhane est un jeune homme mince et souriant. Il se cache désormais au Caire, dans le quartier de Fesal. Pour raconter son histoire, il lui faut du courage. Parmi les Erythréens réfugiés dans la capitale égyptienne, rares sont ceux qui acceptent de témoigner. Les blessures sont trop récentes, la peur reste omniprésente. « Rien n’a changé depuis que je suis sorti », glisse-t-il. Rien, c’est-à-dire l’exode massif des Erythréens, leur fuite éperdue par le désert, leur rapt, la séquestration dans des maisons vouées à la torture, les menaces de mort et le chantage aux parents des victimes pour leur extorquer des rançons exorbitantes.

Germay est né il y a vingt-trois ans dans la banlieue d’Asmara, capitale de l’Erythrée, un des pays les plus pauvres et les plus répressifs de la planète. Depuis l’indépendance en 1993, le président Issayas Afeworki a transformé son pays en prison à ciel ouvert et semble n’avoir qu’une obsession : lever des troupes pour préparer une nouvelle guerre contre l’Ethiopie. Quitte à imposer à son peuple un service militaire à durée indéterminée, lequel ressemble plutôt à un gigantesque camp de travail forcé. Son bac en poche, Germay intègre donc la marine et apprend à obéir sans discuter. Un jour de janvier 2013, des papiers administratifs disparaissent de la caserne. Le soupçon se porte sur son unité. Il craint le pire. « J’ai posé mon AK et marché tout droit vers la frontière. »

« UN VÉRITABLE EXODE »

Comme lui, ils sont désormais chaque mois entre 3 000 et 4 000 à fuir l’Erythrée, en direction du Soudan. La plupart sont très jeunes. « Un véritable exode, le pays se vide de sa population », selon la rapporteure spéciale des Nations unies pour l’Erythrée, Sheila B. Keetharuth. Les Erythréens représentent d’ailleurs un tiers des clandestins arrivés en Italie depuis janvier. Mais entre les chiffres de départ et ceux de l’arrivée en Europe ou en Ethiopie, au Soudan, à Djibouti, en Libye et en Egypte, il y a une différence qui a été longtemps inexpliquée. On découvre aujourd’hui qu’elle résulte d’un trafic monstrueux d’êtres humains. Une étude saisissante publiée en Belgique (The Human Trafficking Cycle, Sinai and Beyond, Myriam Van Reisen, Meron Estefanos et Conny Rijken, éditions Wolfpublishers, 2013) estime que 50 000 Erythréens seraient passés par le Sinaï ces cinq dernières années. Plus de 10 000 n’en sont jamais revenus. (suite…)


[AFP – 15/09/2014]

«Chaque mesure, qu’elle soit d’ordre social, fiscal et parfois très sectorielle, est quantifiée en termes de créations d’emplois attendues», précise le quotidien économique sur son site internet. Le document doit être présenté mercredi au cours d’une conférence de presse.

Dans une réaction à l’AFP, un porte-parole du Medef a toutefois tenu à préciser qu’il s’agissait d’«éléments de travail» qui «ne correspondent pas exactement aux propositions que fera le Medef dans les prochains jours». Pour créer 1% de croissance et 100 000 emplois, le Medef propose de supprimer deux jours fériés sur 11, selon Les Echos. Il espère aussi de 50 000 à 100 000 emplois sur cinq ans en dérogeant au Smic pour certaines catégories de demandeurs d’emploi, et sur trois ans en remontant les seuils sociaux.

Autoriser les commerces à ouvrir le soir et le dimanche permettrait par ailleurs d’engendrer à terme entre 50 000 et 200 000 emplois nouveaux dans le tourisme, et entre 40 000 et 100 000 dans le commerce et la distribution, estime-t-il.

Ces propositions «apparaîtront certainement agressives ou caricaturales à certains», reconnaît le Medef en conclusion de son document, cité par le quotidien.«Ils ont tort. Il s’agit avant tout d’animer un débat […]. Notre conviction est que nous n’avons pas « tout essayé contre le chômage », nous avons juste essayé ce qui n’a marché nulle part et oublié ce qui a fonctionné partout .»

http://www.liberation.fr/economie/2014/09/15/pour-l-emploi-le-medef-veut-supprimer-deux-jours-feries_1100680


Thomas Thévenoud n’est pas un exception, il est la règle ! C’est pour cela qu’il pensait ne pas se faire prendre…

[Emmanuel Ratier – Faits & Document – N° 382 – Septembre 2014]

Le nouveau ministre de l’Économie Emmanuel Macron réussit l’exploit de ne pas payer l’ISF alors même que :

  • il est marié à une femme (de 56 ans) héritière d’une des grandes familles bourgeoises d’Amiens,
  • il détient une villa huppée au Touquet (résidence secondaire ne bénéficiant pas d’un abattement de 30 % pour résidence principale),
  • il a été payé durant ses études à l’ENA,
  • il est inspecteur des Finances depuis 2004 (revenu minimal : 12 000 euros par mois)
  • il a été secrétaire général adjoint de l’Élysée de 2012 à 2014 (14 910 € par mois, plus tous les avantages évidents qui en découlent),
  • il a entre-temps rejoint la banque d’affaires Rothschild & Cie en 2008, successivement comme banquier d’affaires (2008-2011) puis associé gérant (2011-2012).
  • À ce titre, il a reconnu avoir touché 2 millions d’euros brut, soit au moins 1 million net, pour la seule période allant de décembre 2010 et mai 2012

(Question : comment faire confiance à un ministre de l’Économie, sans enfant, fils de deux médecins, marié à l’héritière d’une grande famille bourgeoise provinciale, membre du groupe de Bilderberg, Young Leader de la French American Foundation, disposant d’énormes avantages professionnels, qui n’a pas réussi en dix ans à accumuler 1,3 million d’euros tout en gagnant chaque année entre 200 000 et 1 million d’euros brut ?).

http://www.faits-et-documents.com