octobre 24th, 2014

Apple sort la version OS X 10.10 Yosemite de son système d’exploitation, qui intègre elle aussi le correctif « Poodle » SSLv3 (déjà disponible sur les autres systèmes antérieurs jusqu’à la version Montain Lion 10.8.5)

Cisco publie un complément d’information et une extension de correctif « post Poodle » visant à colmater la faille SSL v3 sur certains de ses équipements

Deux chercheurs de Checkpoint affirment avoir mis le doigt sur une vulnérabilité affectant Binder, l’outil de communication entre processus (IPC) des plateformes Android. Un exploit pourrait intercepter tout échange de cette manière. Recherche publiée durant la BH Europe

Dans un précédent article, Cnis-mag rapportait la position de l’ancienne Secrétaire d’Etat Hillary Clinton qui affirmait la quasi absence de pression de la part du Gouvernement Fédéral envers les grandes entreprises du secteur High-Tech. Lorsque l’on se souvient des affaires de salles d’écoute réservées aux services de renseignement que les principaux opérateurs télécom bâtissaient et équipaient aux frais de leurs abonnés, après que la planète entière ait pris connaissance des Powerpoint de présentation du réseau Prism, ce plaidoyer peut dénoter une franche obstination, voir un dogmatique certain.

Et l’actualité de prendre sa revanche dès le 9 septembre, avec cette procédure d’appel de Microsoft, confronté à la demande d’un juge exigeant la communication de données concernant un particulier, données… situées à l’étranger. Cet appel est à la fois une forme de résistance de la part des « grandes entreprises » (résistance d’autant plus importante que ces entreprises ont été plus ou moins impliquées dans le scandale Prism), et la preuve que, dans l’esprit de la justice US, les données d’entreprise US peuvent être réquisitionnées sans la moindre considération ni pour l’intégrité de l’entreprise « collaboratrice, ni surtout pour la souveraineté des Etats sur lesquels sont situés les sites d’hébergement desdites données. Pas d’Eurojuge au-delà de l’Atlantique, plus de commission rogatoire internationale… la belle vie du Far West, quoi. L’on savait que ce genre de pratique était déjà courant lorsqu’était invoqué le Patriot Act (lui-même dépendant de soupçons d’activité terroristes). Désormais un simple trafic de drogue justifie une cyber-réquisition.

Deux jours plus tard, le 11 septembre, date anniversaire du début de l’ère de la cybersurveillance totale, Ron Bell, l’avocat principal de Yahoo, fait son coming out et révèle qu’en 2007-2008, le gouvernement US, dans le cadre d’une instruction confidentielle et classifiée, a exigé des fournisseurs de services en ligne des informations sur leurs abonnés. Refus de la part de Yahoo, insistance du côté du gouvernement, qui assortit sa demande d’une astreinte de 250 000$ par jour de retard d’exécution, soit, sur un an, près du cinquième du chiffre d’affaires de l’entreprise. Devant l’obstination de Yahoo, la question est alors portée devant la Foreign Intelligence Surveillance Court (FISC), qui réaffirme le bon droit de la demande, oblige Yahoo à obtempérer et classifie l’affaire pour qu’aucune publicité ne vienne entraver le bon fonctionnement des écoutes de la NSA.

Cette mise au secret s’achevant en 2013, Yahoo a entrepris de demander l’ouverture publique du dossier, et obtenu la déclassification de 1500 pages… une partie importante demeurant confidentielle.

Pas de pression sur les grandes entreprises du secteur des nouvelles technologies ? Rappelons que Madame Clinton était Sénatrice de 2001 à 2009, Secrétaire d’Etat de décembre 2008 à 2013, et ne pouvait par conséquent pas avoir une parfaite connaissance du dossier.
Yahoo est probablement le premier d’une longue liste qui tentera de jouer les lanceurs d’alerte en se posant comme « victime » de l’autocratique NSA. Dans le très prévisible chœur des martyrs que quelques fournisseurs de services entonneront dans les mois à venir, certains auront des accents sincères, d’autres risquent d’être moins convaincants. Le patriotisme, dans le secteur des services numériques, n’est que rarement apprécié lorsque l’entreprise qui en fait état lorgne sur le marché international.

Une récente étude d’ABI prévoit que le volume d’affaires du marché Wearable devrait friser les 18 milliards de dollars d’ici 2019. Le mot wearable désigne les objets électroniques ou informatiques intégrés aux vêtements ou fournis sous forme d’accessoires. Cela va de la montre-télé-agenda-ordinateur en passant par les Google-glass, les bagues d’authentification/identification n’intégrant qu’un composant one wire de chiffrement/stockage ou les «ceintures-ordinateurs » qui équipent déjà certains travailleurs spécialisés (plongeurs, lignards, personnel militaire en terrain opérationnel etc.). Connectés ou non, ces équipements sont d’ores et déjà en cours de conception, conception elle-même déjà contrainte par des calendriers de mise sur le marché relativement drastiques. Ergo, l’on peut s’attendre à quelques concessions en matière de sécurité, de faille « by design », d’erreurs d’intégration, de problèmes de compatibilité ou d’adaptation avec les réseaux existants. Certains spécialistes du monde de la sécurité jouent déjà les Cassandre en nous promettant des réveils pénibles et des nervousse brèkdone dans la techno-fripe, des bugs de toquantes-Internet, des Bsod de smart-godasses, des rootages de cyber-binocles, des crashs de techno-costards et des plantages de software-defined-underwears. D’autres se frottent les mains en espérant des avalanches virales qui, prophétisent-ils, ne pourront être contrés que grâce à une nouvelle génération d’antivirus-firewall adaptés au monde du Wearable.

Certes, le monde de la téléphonie mobile (et de la défense périmétrique « mobile ») nous prouve qu’il n’est pas toujours nécessaire de réussir pour persévérer. Le smartphonisé contemporain se moque généralement du tiers comme du quart des spywares qui encombrent ses « apps » et se méfie des « ralentissements » (ou pire encore, des blocages) que pourrait provoquer un anti-virus pour appareils mobiles. Les journalistes que nous sommes attendent tout de même avec une certaine impatience le jour où ils pourront titrer « Une bande de hackers pirate 6 millions de boutons de Blue-Jeans et exige une rançon payable en bitcoins pour débloquer la situation » ou « Les hacktivistes du mouvement indépendantiste du bas-Larzac revendiquent le defacement de 25 millions de Google-glass qui n’affichent plus depuis deux mois que des tableaux de Puvis de Chavannes ». Les magasins Zara afficheront sur leurs cyber-chemisiers l’étiquette « protected by McAfee » ou « Kaspersky Inside », le port de chaussettes Ted Lapidus à mémoire de forme fera l’objet d’avenant au contrat de travail sous l’intitulé «BYOF (bring you own fumantes), restriction d’usage », et le Clusif publiera un nouveau « livrable » intitulé « Mehari, une réponse concrète à la gestion des déploiements de correctifs dans la garde-robe moderne. Chapitre 1 : les uniformes de la fonction publique ».