janvier 24th, 2012

La journée du 18 janvier a été marquée, sur la Grande Toile, par un mouvement de protestation US d’une ampleur remarquable. Jamais, jusqu’à présent, autant de sites Web importants n’avaient affiché de page de protestation avec une telle détermination et un tel élan commun. Les blogs orientés « sécurité » ont immédiatement accompagné l’action de Wikipedia, Craigslist de l’EFF ou de Reddit : D’ErrataSec à I-Hacked, en passant par le blog de Bruce Schneier , le site de Steve Bellovin, the Hacker’s Factor et tant d’autres sites orientés « sécurité ».

A l’origine de ce mouvement de protestation virtuel, deux propositions de loi, Sopa et Pipa, acronymes respectifs de Stop Online Piracy Act et de Protect intellectual property Act. Deux texte, l’on s’en doute, qui ne sont pas très favorables au libre échange sur Internet, et qui verraient même d’un très bon œil le développement d’outils de routage moins sécurisés (car ainsi plus facilement « filtrables et blocables ») et d’accessoires de protection moins opaques.

Tellement opaques et tellement orwelliennes que le blog de la Maison Blanche publiait dès le 14 janvier une lettre cosignée par Victoria Espinel, Aneesh Chopra et Howard Schmidt (l’ancien Security Czar) laissant clairement entendre en termes diplomatiquement choisis que ces lois ne passeraient pas. La raison invoquée : les techniques de filtrage suggérées par les boutiquiers de la musique de variétés et autres sociétés de production cinématographiques allaient « inciter à la multiplication de serveurs DNS peu fiables et compromettre le déploiement de DNSSec ». Neal Krawetz, du Hacker’s Factor (voir url plus haut), analyse une à une les incongruités et les abus du camp « pro Sopa ». A commencer par le blocage arbitraire d’adresses ou de groupe d’adresses jugées coupables d’activité illégales. Surtout si lesdites adresses appartiennent à des serveurs situés en dehors du territoire des Etats Unis. On imagine les tracasseries que les conflits de concurrence peuvent ainsi générer : Je veux bloquer le site web de mon adversaire ? Je le dénonce comme honteux pirate sous prétexte que son site héberge une image protégée par un copyright et que sa source n’est pas clairement affichée. Ceci n’est qu’un exemple parmi tant d’autres.

Paradoxalement, fait remarquer Neil Krawetz, on compte parmi les supporters de Sopa des gens comme Ruper Murdoch, pourtant gros diffuseur de contenus vidéos gratuites en streaming sur Youtube, et au rang des protestataires, des entreprises comme Google qui pourtant n’apprécie pas toujours la liberté d’expression lorsque celle-ci va à l’encontre de ses propres intérêts.

Qui va gagner ? Les industriels du divertissement qui cherchent à limiter la puissance d’un médium ? Les utilisateurs d’Internet, industriels, associations ou particuliers, qui imaginent sans trop d’effort comment de telles armes de flicage, sous prétexte de protection des auteurs (et surtout des ayants droits) peuvent se transformer en armes de surveillance policière et mettre à mal les libertés fondamentales ? En termes moins exaltés et plus réalistes, la question peut se poser d’une toute autre manière : dans quelle mesure les limitations et le flicage souhaités par les industriels du divertissement et les inventeurs de la notion de « propriété intellectuelle » ne risquent-ils pas soit de s’opposer aux intérêts financiers d’autres industriels (notamment des opérateurs, des FAI, des prestataires de service « Cloud », des cybermarchands du secteur « brick and mortar » etc.), soit de convenir aux volontés de contrôle et de surveillance policière qu’espèrent quelques gouvernements. C’est donc là une partie de billard à trois bandes, dans laquelle s’opposent politiques (mais avec prudence), ennemis des médias en ligne et vendeurs d’infrastructures et de médias en ligne. Il y a peu de chances que la voix des internautes soit prise en considération dans une telle lutte pour le pouvoir et pour l’argent.

Le site Zero Day Initiative de Tipping Point publie deux alertes concernant une possibilité d’exploitation distante sur du matériel et logiciel HP. La première concerne HP Diagnostics server et la seconde une baie de stockage. Il y a près d’un mois, les imprimantes HP avaient eu les honneurs d’une démonstration de hack par des chercheurs de l’Université de Columbia. Il semble que les consoles d’administration des appliances HP soient particulièrement appréciées par la gente hackeuse ces derniers temps.

La publication d’alertes en mode « full disclosure » est un fait relativement rare de la part du ZDI. Comme le précise le bulletin, cet avertissement public a été rédigé en raison de l’absence de correctif de la part de l’éditeur-équipementier, et ce malgré « l’assurance de publication d’un bouchon promis à brève échéance ». La « brève échéance » (traduction du « soon » du communiqué HP) semble donc légèrement moins brève que les 180 jours de silence que s’impose le ZDI après la notification d’une faille à son auteur. En l’attende de solution plus efficace, Tipping Point conseille de restreindre l’accès du port 80 aux seuls serveurs officiellement recensés, et d’interdire le port 23472 à toute personne non autorisée.