février 21st, 2012

Les virus, ça n’existe pas, ou si peu, chez Apple, que l’utilisation d’un logiciel de protection est sinon superfétatoire, du moins assimilable à une béquille psychologique. C’est du moins ce que nous affirment les différents « statements » de Cupertino aux fils des ans.

Mais voilà , depuis la multiplication des jailbreaks (mot élégant désignant une énorme faille de sécurité exploitée à des fins honnêtes) et depuis surtout l’ouverture de marchés en ligne parallèles d’appliquettes et d’applications, l’on voit Apple agiter l’étendard du « risque ». Ce qui ne vient pas de chez nous est nécessairement suspicieux, semble affirmer le programme Gatekeeper de l’éditeur-constructeur-sélectionneur-censeur. Précisons tout de suite que Gatekeeper ne concerne pour l’heure que les logiciels concernant les ordinateurs sous OSX.

Sean, du Blog F-Secure, a immédiatement mis le doigt là où ce programme démangeait : en insinuant qu’un logiciel « non diffusé par AppleStore et ses mécanismes de filtrage » puisse être suspect et dangereux, et ajoutant à son catalogue une sorte d’étiquette de traçabilité comme on le ferait d’un morceau de macreuse ou d’un steak taillé dans le filet, Apple pousse ses clients à n’acquérir d’application qu’auprès de ses seuls canaux de diffusion. Ce n’est pas de la constitution de monopole, mais çà en aurait l’odeur …

Tristan Nitot, du Standblog (et accessoirement fondateur de Mozilla Europe) soulève lui-aussi un sourcil suspicieux et dénonce ce genre de pratique. Gatekeeper, au nom d’une prétendue disposition de sécurité, donne à l’usager le choix entre trois possibilités de téléchargement :

– App Store

– App Store et les développeurs identifiés (la fameuse option de traçabilité)

– N’importe où

Notons au passage qu’il manque une option relativement importante : « nul part » ou « purement local ». Une sorte de barrière baissée par défaut qui pourrait plaire à tout spécialiste des proxys et firewalls, et qui s’avèrerait fort utile pour tous ceux qui opteraient pour un autocontrôle de leur propre configuration. La chose est moins pratique sur un ordinateur sous OSX mais peut être envisageable dans l’univers IOS.

D’un point de vue stratégie, Gatekeeper se situe dans le droit fil de la politique d’Apple, qui consiste à déresponsabiliser l’usager sous prétexte de l’assister à chaque instant de la vie du bien de consommation. C’est là une technique mise en œuvre par les constructeurs automobiles depuis les années 50, et qui a abouti à une mosaïque de monopoles de fait : obligation de recourir à un réseau de concessionnaires, interdiction d’acquérir des pièces détachées provenant d’un fournisseur tiers, évocation d’un risque (donc désengagement de la responsabilité du constructeur) en cas de refus de ces oukases…

Gatekeeper n’est pas uniquement un outil de sécurité. Ce pourrait être également une tactique visant à rendre un marché encore plus captif qu’il ne l’est, un premier « ballon d’essais » qui pourrait être étendu au marché des appareils mobiles en cas de concurrence soudaine.

Car pour l’heure, il n’existe que 4 « marketplace » d’envergure mondiale se partageant le business en ligne des contenus et logiciels : les places de vente des trois grands, Apple, Google, Microsoft, et un joueur « hors catégorie », Amazon. Se bousculent au portillon quelques centaines d’opérateurs, dont certains possèdent une puissance financière largement aussi importante que celle de la « bande des 4 ». Une puissance de feu qui ne cesse d’inquiéter ladite bande des 4, qui, bien qu’ennemis irréductibles, sont prêts à toute forme d’alliance objective pour conserver leur pré-carré. Tout çà n’est pas sans rappeler la glorieuse époque où IBM régnait sur le monde informatique, entouré par ses « sept nains » (Burroughs, Sperry, CDC, RCA, NCR etc.). Cette tentation monopolistique est logique, peut-être même normale dans l’évolution d’une entreprise de cette taille. Mais l’histoire de l’industrie nous apprend également que c’est précisément cette tentation du monopole qui accélère la chute desdits monopoles, en vertu du principe qu’une grosse cible est toujours plus facile à atteindre du côté des francs-tireurs, et difficile à protéger et à faire réagir du côté des défenseurs.

Achevons ce fait divers en parlant réellement de sécurité appliquée à la sphère de développement OSX, en signalant un billet signé Johannes Ullrich, du Sans, qui dresse une courte liste des URL à connaître pour programmer proprement sur plateforme Apple.

Elle est émaillée de rappels et de messages subliminaux, la page de garde consacrée à la prochaine « Nuit du Hack », l’une des plus anciennes manifestations « sécurité » de Paris et de sa région. Cela risque d’être, comme le rappelle le bandeau, l’une des dernières chances de croiser un hacker avant l’apocalypse prévu par les calendriers Maya, les poivrières à steak et autres pythies sans pitié. Ce sera également l’occasion d’évoquer le souvenir de CrashFr, qui était bien trop jeune pour nous quitter. C’est surtout le moment de se retourner et de compter les exploits (à tous les sens du terme) accomplis ou publiés au fil de ces 10 ans d’activité. De la « péniche » à DisneyLand Paris, d’un simple CTF nocturne réunissant une vingtaine de geeks bronzés à la lueur des tubes cathodiques à un cycle de conférences s’étalant sur 5 jours (et une nuit) bien du chemin a été parcouru. L’équipe organisatrice du Hackerzvoice, qui écume les concours du même genre un peu de partout en Europe, a raflé au passage quelques titres de gloire, ce qui n’a cessé de consolider le prestige et l’image de sérieux de cette manifestation.

Bref, c’est un évènement à ne pas manquer, les manifestations du genre étant relativement rares en France (Il n’en existe que 3). Les détails techniques concernant les soumissions aux « appels à communication » sont fournis sur le site de Hack In Paris. Rappelons que les soumissions seront closes le 20 avril et que les conférences se tiendront du 18 au 23 juin. Le CTF est traditionnellement organisé en clôture d’évènement, dans la nuit du 23 au 24. Le droit d’entrée s’élève à 36 euros (à ce prix, un T-Shirt est même fourni, et c’est un collector). Il est conseillé de réserver dès ce mois-ci, car il existe toujours un risque de plus pouvoir trouver de place, malgré une infrastructure capable d’accueillir plus de 1200 participants.

Il était déjà gratuit, il passe Open Source. Il, c’est le très populaire logiciel de diagnostic HiJackThis, conçu par Trend Micro, et désormais récupérable, sources et exécutables, sur SourceForge.

ISO 27001 pour les nuls : la série télévisée. C’est sur le site IS & CBA, 13 vidéos louées une soixantaine de dollars par mois (ou 15 $ par séquence).