Search Results

Le Cert Société Générale vient d’ouvrir un compte Twitter à follower sur>@CertSG . S’il existe déjà des Cert twiteurs, c’est probablement là le premier Cert bancaire à s’ouvrir à cette forme de communication. L’on y trouvera des alertes, des informations diverses allant de la recherche pure au signalement de sources d’information, en passant pas les réactions à l’actualité de la sécurité et les avis d’experts de terrain. De la quintessence d’information car, contrairement à ce petit billet, tout sera limité aux fatidiques 140 caractères.

CPP, un spécialiste de la protection par carte, vient de publier une étude sur le « marché du phishing » en Grande Bretagne. Données édifiantes, puisque, le volume friserait les 3,7 milliards d’emails sur une période d’un an. 26% des sujets de Sa Gracieuse Majesté auraient été victimes des escrocs du net, 48% de cette proportion durant la seule année 2009. Soit un total annuel de 4 millions de victimes, à raison d’une victime toutes les 7 secondes en moyenne. Les pertes « par affaire » sont estimées à près de 285£ par victime, principalement provoquées par des phishing bancaires, des scam Nigérians et des carambouilles à la loterie. Au total, le montant des pertes annuelles estimées serait proche de 1,3 milliard de Livres Sterling. Ces chiffres peuvent sembler excessivement élevés comparés à la situation constatée en France. Mais la Grande Bretagne, pays anglophone par définition et par construction, est victime de l’universalité de sa langue et de l’expérience des « phishers » Américains, Russes et Chinois qui ont, au fil des années, affinés la qualité de leurs courriels douteux.

Cet écart ne doit pourtant pas minimiser l’importance du phénomène dans notre pays. Depuis un peu plus d’une année, l’on voit fleurir des hameçonnages (prétendument de Free, Société Générale…) rédigés dans un Français plus que plausible, et surtout hébergés sur des sites Français peu regardants, sous des enregistrements Whois dont la fantaisie est évidente.

Selon une récente étude du Gartner, les budgets consacrés à la sécurité des départements IT pourraient subir un recul de 3 à 6% en 2011. Très prudente, la société d’analyse de marché précise que ces réductions n’affecteront que les sociétés déjà classées dans la catégorie des « efficient & secure enterprises ».

D’une manière générale, les budgets sécurité devraient en moyenne graviter aux alentours de 5% de l’enveloppe de crédit IT en 2011, contre 6% en moyenne cette année. Globalement, les crédits IT seront en croissance de 2%. En valeur, cela représente près de 525$ d’investissement par an et par employé. Certains secteurs se montrent pourtant plus dispendieux, tels les assurances (886 $), les services professionnels (836$), les services gouvernementaux (671$) et le secteur financier (637$ per capita).

Si l’on considère la ventilation des investissements par secteur, les personnes interrogées mettent en avant, dans 40 % des cas, les IPS, la gestion des correctifs, les DLP, les antivirus et la gestion des identité. Sous un angle géographique, les entreprises américaines sont les plus enclines à investir dans la sécurité (5,5% du budget IT). Les autres parties du monde sont plus économes : 4,8% en Amérique latine, 4,3% en EMEA, 5% en Asie.

Un parcours classique pour Eric Leblond, aujourd’hui CTO d’EdenWall Technologies, avec une formation mathématique et une lente bifurcation au fur et à mesure de ses études vers l’informatique. Puis le premier job arrive avec un poste chez un opérateur qui lui demande des compétences à la fois en réseau et en sécurité. Il est également bercé par une culture opensource dès ses débuts en évoluant au sein d’une SS2L (Société de Services dans le Logiciel Libre) où il y rencontre notamment son futur associé, Vincent Deffontaines. Leur idée de génie : avoir pensé à associer leur savoir en système-réseau à celui de la sécurité en imaginant un parefeu, en l’occurrence Netfilter (filtrage réseau sous Linux), doublé d’une couche « identité ». Sachant que le noyau du pare-feu ne « voit » que des paquets IP, ces derniers sont signés par l’utilisateur grâce à une communication de signalisation via un agent et comme le pare-feu est directement connecté à une base de données le renseignant, les décisions peuvent être directement prises à son niveau. C’est le 1er septembre 2003 qu’à lieu la première publication de la brique d’identification sous la forme d’un moteur sans interface qui donna lieu à la création d’INL. INL dont la vocation était alors de fournir une offre commerciale autour du moteur opensource. Puis c’est en 2006 que l’ensemble des briques de l’offre INL est proposé sous la forme de boîtiers hardware prêts à l’usage, aujourd’hui EdenWall propose une gamme complète d’appliances sécurité basée sur la technologie NuFW. Une version opensource du parefeu identifiant continue sa propre existence aux côtés de la version professionnelle qui propose en sus des fonctions de haute disponibilité, celles classiques d’une couche UTM … Depuis mars dernier, l’interface du moteur devient à son tour opensource facilitant l’installation de ce dernier pour ceux qui le télécharge. Une façon de « pousser » à l’adoption du produit partout dans le monde.

En même temps, INL devenu l’an passé EdenWall Technologies, lance Prelude Pro 1.0, un produit du monde SIEM, Security Information Event Management, racheté par la société pour la gestion des évènements sécurité (agrégation et corrélation pour aboutir de l’information pertinente). Avant cette offre ancienne de dix ans était très peu abordable du fait de sa complexité, aujourd’hui, nul besoin de compétences particulières pour lire les graphiques et pouvoir localiser l’origine d’une attaque …

Pour le Gartner, une nouvelle génération de parefeux est en train de naître dotées non seulement de fonctions IDS-IPS mais aussi celles d’un SIEM, ce qui devrait permettre d’avoir un système d’alertes ou d’actions qui réponde à des problématiques bien spécifiques de luttes défensives selon Eric Leblond. Ainsi une nouvelle histoire à la « Kerviel » pourrait peut-être être évitée à l’avenir …

A noter le coup de pouce financier de RAPID (Régime d’Appui aux PME pour l’Innovation Duale) avec derrière la DGA (Direction Générale de l’Armement) et la DGCIS (Direction Générale de la Compétitivité , de l’industrie et des services) pour EdenWall et son partenaire, Dalibo, spécialiste de la base de données opensource PostgreSQL. Une subvention pour modifier le parefeu de façon à supporter non plus une dizaine de milliers d’utilisateurs mais un million et également faire évoluer le protocole utilisé afin de l’alléger avec comme objectif à terme les systèmes embarqués.

Trois jours durant, du 8 au 10 avril dernier, le cycle de conférences Hackito Ergo Sum (HES) a tenu en haleine une centaine de passionnés du pentesting, de l’analyse de failles, du « development lifecycle », du balayage réseau ou de la sécurité des systèmes Scada. Une manifestation organisée par les membres du tmp/lag, sous la houlette de Philippe Langlois (P1 Security, co-fondateur de Qualys). HES est donc, après l’inévitable grand-messe Rennaise que sont les Sstic et le rendez-vous de Besançon FRHack, la troisième grande manifestation sécurité « pointue » Française, et surtout l’unique événement parisien du genre.

Qu’est-ce qui fait marcher la B-Box de l’opérateur historique Belge ? Une question que se pose Benjamin Henrion (FFII.org). Plus qu’un simple hack de « box » adsl d’opérateur, B. Henrion s’est lancé dans une véritable enquête policière pour retrouver les héritages génétiques « open source » du noyau embarqué dans ce routeur multifonctions. Outre les traces de noyau open source et d’extensions jalousement « propriétarisées », de telles enquêtes servent à cerner rapidement les points de vulnérabilité réels et probables, ainsi que les redoutables trous laissés par des configurations par défaut (telnets d’administration ouverts y compris via les ports WiFi). Ou encore, comme c’est souvent le cas dans les appareils fabriqués en grandes séries, des « oublis » souvent bénéfiques aux chercheurs. Ainsi l’absence de verrouillage en écriture de la mémoire flash du routeur. La B-Box 2 parviendra-t-elle un jour à égaler un Linksys ou un Fonera sous OpenWRT ? Pourra-t-on un jour y injecter un Asterisk ?

Les présentations suivantes ont progressivement atteint de sérieux niveaux techniques, avec notamment deux analyses des vulnérabilités réelles et potentielles des liaisons VoIP. L’un exposant les travaux de Philippe Langlois (P1 Security) sur SS7, l’autre de Sandro Gauci, d’EnableSecurity, sur l’examen approfondi du protocole SIP et la manière de transformer une bonne partie des « softphones » en porte d’entrée vers un monde où les communications internationales deviennent gratuites… mais pas nécessairement pour tout le monde. Une visite sur le site d’EnableSecurity s’impose, ne serait-ce que pour y récupérer SIPVicious (une production de l’auteur) et s’intéresser à d’autres outils tels que le honeypot Artémise ou le crawler VoipHunt.

Autre thème majeur de HES, la sécurité au sein des environnements Microsoft. Généralement, ce genre de conférence technique s’avère relativement « Linux centric » ou « BSD read only ». Hackito 2010 a prouvé le contraire en invitant Tim Burrell (Microsoft), Julien Vanegue (Microsoft) et Laurent Gaffié (Stratsec). Tim Burell a fait voyager l’assistance dans le temps, remontant à l’aube de la « prise de conscience sécuritaire » de MS, période Windows XP, avec /GS, le système de vérification de sécurité de la mémoire tampon, puis en déroulant l’historique (DEP, ASLR et les différentes évolutions) de Vista à Windows 7/2008 R2. Julien Vanegue enchaînait sur une méthode d’analyse automatique facilitant la détection des « heap » de taille 0, et Laurent Gaffié achevait ce tour d’horizon Microsoft avec un exposé sur le fuzzing du protocole SMB. En résumant très rapidement, l’on pourrait dire : première faille découverte après deux minutes de fuzzing, 20 trous révélés en moins de 2 mois de travail, 6 d’entre eux étant considérés comme « universels » (présents sur plusieurs versions de Windows) dont 1 propre à SMB v2. Ce serait sans oublier près d’un an de travail à compulser dans le détail la longue documentation de SMB, dont les origines remontent, il faut s’en rappeler, aux développements de l’OS/2 Lan Server d’IBM. Travail de bénédictin, mais également travail de laboratoire, avec la construction d’une plateforme de test associant tout ce qui a un jour supporté ce protocole… depuis Windows pour Workgroup à l’actuel « Seven », en passant par les intégrations exogènes telles que SaMBa. Le résultat est à la hauteur des efforts. Ce mois-ci ouvrait d’ailleurs le début officiel de cette campagne de toilettage réseau avec la publication de la ms10-020.

Ce rapide survol de HES 2010 ne serait pas complet si l’on oubliait les travaux de Matthieu Suiche qui, après s’être penché ces dernières années sur les « memory dump » sous Windows 32 et 64 bits, se lance dans la découverte de l’espace mémoire d’OSX. Rappelons que Matthieu Suiche a créé il y a peu de temps la société MoonSol, et diffuse des programmes commerciaux et communautaires destinés entre autres choses à fouiller dans les fichiers d’hibernation ou la mémoire vive d’une machine. Egalement très suivi, l’intervention de Gloire Gwendal sur le « piratage du GSM ». Les différents exploits de l’équipe Shamir, du Hacker’s Choice, du team de Karsten Nohl, ont souvent provoqué des titres plus qu’alarmistes dans les colonnes de la presse grand public. La réalité est toute autre, explique Gwendal. Non seulement le cassage du A5 n’est pas une opération réalisable sur un « coin de table », mais encore, même si le système de chiffrement a sérieusement été mis à mal, les outils de contournement sont loin de pouvoir être utilisés simplement, rapidement et dès les premières secondes de communication. La séquence vidéo de cet exposé est à suivre sur le site LiveStream. C’est probablement la première fois qu’un homme de la technique consent à vulgariser clairement, sans verbiage abstrus, les principes de base du hacking du GSM et surtout à dégager la notion de risque réel.

« Etes-vous partant pour un HES 2011 ? » à cette question, tous les participants interrogés ont répondu « oui » sans même réfléchir. Et compte tenu du succès de cette première édition parisienne, il y a fort à parier qu’elle se déroulera dans un amphithéâtre encore plus vaste.

D’ici peu le salon AstriEurop ouvrira ses portes à l’Espace Champerret, Paris. Plus exactement, les 14, 15 et 16 avril prochains, les organisateurs de la première manifestation européenne autour d’Asterisk proposent près de 21workshops et 16 conférences. Des débuts ambitieux pour cet opensource …Mais qui a-t-il derrière Asterisk ? Qu’est-ce qui a fait d’une solution opensource un tel succès ? Mark Spencer répondent tous en cœur les intéressés du domaine, ceux-là même qui ont cru en ce logiciel et ont décidé de baser leur business professionnel dessus. Mais qui est Mark Spencer ? Tout simplement l’auteur du code qui réunira tout l’écosystème fondé autour mi-avril à Paris. Interview avec l’enfant prodige de la téléphonie opensource qui nous raconte son histoire, ses réalisations, ses vœux et ses espérances avec Asterisk.

CNIS. Comment êtes-vous devenu un développeur ? Avez-vous appris à “coder” tout seul ou plus traditionnellement à l’école ? Comment avez-vous débarqué dans le milieu de l’opensource ?

M.S. J’ai commencé à programmer en Basic à l’âge de 10 ans. À l’époque, ce genre d’activité était quelque peu inhabituel, mais aujourd’hui, c’est probablement plus fréquent. Écrire un logiciel, c’est un peu comme composer de la musique. Vous pouvez aller à l’école pour apprendre à affiner vos compétences, mais l’inspiration prévaut, une réalité qui permet de différencier rapidement les meilleurs développeurs de la moyenne. Cette passion qui anime de l’intérieur est quelque chose qu’il est difficile d’apprendre à l’école, mais c’est quelque chose que l’école peut certainement exploiter pour tirer le meilleur de quelqu’un.
J’ai commencé à utiliser Linux en 1994 après avoir passé quelque temps sur un programme d’été appelé «Science Research Institute» qui s’est tenu au MIT. Là, j’ai utilisé Unix et j’ai rapidement apprécié la puissance de ce système d’exploitation. C’est encore là que je me suis rendu compte qu’il me permettrait également d’utiliser un tel système à la maison.

CNIS. Pourriez-vous raconter à nos lecteurs comment l’idée d’écrire un un IP BX opensource a germé dans votre esprit ? Combien de temps cela vous a pris d’en écrire le noyau ?

M.S. J’aimerais pouvoir vous raconter qu’Asterisk était une création d’une vision de l’avenir de la téléphonie, mais en fait, j’ai écrit Asterisk parce que les systèmes téléphoniques de l’époque étaient trop chers pour moi. Et j’ai ressenti le besoin d’une solution entreprise s’appuyant techniquement sur Linux, milieu dans lequel je me lançais professionnellement activement. En tant que tel, j’ai décidé d’en réaliser un au lieu d’en acheter un. Mais ce ne fut que quelques années plus tard que j’ai compris que le système téléphonique que j’avais réalisé correspondait parfaitement aux attentes et aux besoins des entreprises, en tout cas plus que le support technique autour de Linux. La première version ne m’a coûté que quelques semaines de programmation, mais était très limitée. J’ai rapidement continué mes efforts de développement et comme vous le savez, Asterisk évolue depuis plus de dix ans maintenant.

CNIS. Combien de temps vous a-t-il fallu pour obtenir un tel succès avec Asterisk? Vous attendiez-vous à celui-ci ?

M.S. Cela n’a pas été un succès immédiat, et je crois que la réussite signifie différentes choses pour différentes personnes. Au lieu de cela, il y a eu de nombreuses, petites comme grandes, étapes dont chacune était un succès en soi. Je me souviens en 2003 ou 2004, avoir été présenté à un vice-président de MCI comme cela « C’est Mark Spencer. Celui-là même qui a développé Asterisk. En avez-vous déjà entendu parler? » Question à laquelle le vice-président s’est empressé de répondre par «En ai-je entendu parler? Bien sûr que j’ai entendu parler d’Asterisk ! Qui n’en a pas entendu parler? » Ce qui a été pour moi, à cette époque, un très grand moment de gloire! Egalement, en 2006, Forbes a fait un article sur Asterisk, ce qui a été un important évènement pour moi. Pour la première fois, je voyais l’importance d’Asterisk à l’extérieur de notre milieu, la reconnaissance en dehors du monde IT.

CNIS. Combien de temps vous a-t-il fallu pour créer l’importante communauté que vous avez autour d’Asterisk aujourd’hui ?

M.S. Comme le logiciel lui-même, le développement de la communauté autour d’Asterisk est un phénomène en perpétuelle évolution. Celle-ci a surtout commencé lorsque nombre de développeurs se sont intéressés de près à la programmation de logiciels de télécommunications. Ceux qui ont écrit autour d’Asterisk ne l’ont pas fait à l’époque parce qu’ils en avaient besoin mais uniquement parce qu’ils en avaient la capacité. Une grande partie de ces développements a été motivée plus pour des raisons de passion personnelle … Aujourd’hui, la communauté est beaucoup plus grande, mais est généralement davantage poussée par le besoin. La plupart des gens aujourd’hui développent autour d’Asterisk pour répondre aux manques des solutions actuelles qu’ils ressentent. Les milieux d’affaires autour d’Asterisk se sont également développés au fil du temps. Au début, il n’y avait vraiment que Digium en termes de business dont la seule source de revenus provenait d’Asterisk. A l’époque, chaque entreprise qui utilisait des produits Asterisk achetait Digium parce qu’elle se sentait étroitement liée à que nous représentions alors : Asterisk et sa communauté. Aujourd’hui, il existe d’innombrables sociétés qui gagnent leur vie avec Asterisk, dont beaucoup fonctionnent de manière complémentaire à Digium alors que d’autres sont en concurrence directe avec nous. Au lieu d’avoir une base de clientèle limitée à des utilisateurs finaux techniquement très pointus, de nombreux utilisateurs d’Asterisk n’ont aucune idée de ce qu’est Asterisk et la plupart du temps, ils ne savent même pas qu’ils l’utilisent. Tout ceci est bien sûr un signe positif montrant « l’ampleur » qu’a pris aujourd’hui l’IP BX Asterisk.

CNIS. Pourriez-vous nous donner une idée de la pénétration d’Asterisk au sein des entreprises américaines ? Européennes ?

M.S. L’Europe et dans une certaine mesure l’Asie ont certainement été moteur dans la politique de déploiement géographique d’Asterisk. Je crois que le marché européen accorde une plus grande valeur à des solutions open source par rapport au marché américain. Environ la moitié des revenus de Digium provient de l’extérieur des États-Unis.

CNIS. Comment voyez-vous l’avenir d’Asterisk face à de nombreuses et traditionnelles solutions propriétaires ?

M.S. Parmi les solutions nord-américaines déployées, le déploiement d’Asterisk a été le plus important face à tout autre fournisseur unique, mis à part la solution de Nortel et ce, en 2008. En fait, si vous additionnez ne serait-ce que tous les autres projets open source à Asterisk, alors le milieu open source dans son ensemble aurait été Numéro Un. Je pense qu’il y aura probablement toujours un équilibre entre les marchés, open source et modèles propriétaires (pour les leaders), mais dans le monde des télécoms, je soupçonne que l’ouverture des solutions open source pour des marchés de masse est en bonne voie , alors que les solutions propriétaires seraient poussées vers des segments verticaux plus étroits. Je ne pense pas que ce soit un changement très rapide, cela se évoluera sur plusieurs années.

CNIS. Dans quelles directions pourraient évoluer les produits dans les mois à venir?

M.S. La progression d’Asterisk aujourd’hui n’est plus seulement menée par le développement du noyau, mais surtout et également par le développement des solutions construites autour. Au fil du temps, je pense que ce sera la combinaison et le rapprochement d’Asterisk avec d’autres technologies qui fournira une grande partie de ce que les gens remarqueront, plutôt que les technologies de base sur lesquelles nous travaillons de façon à appuyer ce qui sera effectivement remarqué. En effet une grande partie du travail que nous faisons à Digium aujourd’hui correspond à soutenir les technologies du futur, l’évolutivité et l’intégration avec d’autres produits.

Un nouveau site Web, une reconnaissance officielle : le Cert de la Société Générale fait désormais partie des membres du First.

Le First, ou Forum of Incident Response and Security Teams, est une sorte de club international fondé en 1990, chargé de réunir les différents groupes de recherche en sécurité informatique (Cert et Csirt du monde entier). Ces Cert (Computer Security Incident Response Team), pour leur part, sont chargés de détecter les dangers informatiques et d’informer leurs usagers sur les remèdes à utiliser. Ce sont, généralement, des organismes corporatifs qui ne communiquent qu’auprès de leurs obédiences. En France, les forces armées possèdent leurs Cert, le réseau Universitaire également (Cert Renater), l’Administration (Cert A) ainsi que l’industrie au sens large, avec le Cert Ist, de loin le plus connu puisque ses avis sont publics. Contrairement à la France, d’autres pays européens –dont la Grande Bretagne et l’Allemagne- ont investi dans un « Cert Grand Public » destiné à l’immense majorité des personnes informatisées et des TPE/artisans qui bien souvent ignorent l’existence des Cert Ist.

Qu’une entreprise du secteur bancaire voie son propre centre sécurité intronisé au sein du First n’est pas nouveau. L’Allemagne compte plus d’une quinzaine de Cert, dont une bonne partie relevant du secteur privé, le Royaume Uni presque autant… la France, bien que comptant parmi les pays fondateurs du First, n’en possède que très peu. Plus exactement 6 en comptant tous les affiliés du First ou de la TF-Csirt : Apogée, les Cert A, Renater, Ist, le Cert Lexsi et bien sûr, celui de la Société Générale.

L’arrivée officielle d’une grande banque dans le cénacle des gardiens du monde binaire est d’autant plus intéressante que les malversations visant ce secteur s’accroissent fortement. Depuis ces trois dernières années, les troyens voleurs d’identités bancaires, les grandes campagnes de phishing ou de « spear phishing », les attaques des gangs spécialisés dans le skimming ou le carding ne font que se multiplier. A l’inverse, plus ces attaques sont virulentes et perfectionnées, plus les Directions de la Communication tentent d’étouffer ces affaires, estimant que la « confiance » envers les établissements financiers pourrait pâtir de ces révélations. Or, à l’heure où les cyberguerres sino-américaines et autres affaires HSBC ou Heartland font la manchette des journaux, cette politique de la « sécurité par l’obscurantisme » commence par provoquer des effets contraires. Le Cert SG pourrait bien amorcer à la fois un début d’ouverture et de transparence et surtout devenir un vecteur d’informations et de prévention qui manque cruellement dans notre pays.

Cette nomination est également un témoignage de reconnaissance, un hommage officiel fait à une équipe de chercheurs qui, depuis des années, effectuent un travail d’analyse et de communication technique discret.

Pierre Carron, du Cert Lexsi, nous offre en ce début d’année l’un des articles les plus intéressants de la blogosphère : Pourquoi Facebook a crucifié la sécurité (sans point d’interrogation). Billet passionnant car il met en perspective, sous l’angle de la sécurité, l’état des réseaux sociaux en général et de Facebook en particulier. Parce qu’également, même si l’on peut ne pas partager tous les points de vue exprimés, cet article soulève une multitude de sujets de discussion et de réflexion.

De l’anonymat. Le premier charme de Facebook, explique Pierre Carron, c’est l’incertitude des identités : tantôt véritable curriculum vitae, tantôt identité totalement forgée, plus rarement usurpée, c’est grâce à ce possible masque que le membre d’un réseau social peut trouver le courage de s’exprimer librement, sans risque de représailles autres que, dans de très rares cas, la fermeture d’un compte. Une fermeture qui d’ailleurs est souvent ressentie comme une forme de violence et un anonymat qui est déclaré comme une « nouvelle forme d’une ancienne pratique ». Alors, Facebook, le nouveau « Radio Londres » des résistants clandestins du Net ? Une forme de « prise de parole/prise de pouvoir » populaire jusqu’à présent réservée à une élite socio-technique ? Et d’argumenter « signer un article sous un pseudonyme, par exemple, est une pratique extrêmement répandue dans la presse et qui ne choque personne ; de même qu’adopter un surnom fantaisiste est à la racine même de tous les systèmes de messagerie instantanée, à commencer par les systèmes de radio amateur, des décennies avant la généralisation d’Internet ». Ce à quoi les gratte-papiers que sont les journalistes de la rédaction de CNIS Mag rétorqueront que le pseudonyme d’un journaliste est inscrit sur sa carte de presse et est connu généralement, sinon du lecteur, du moins des services de la Préfecture. En outre, l’usage d’un nom de plume engage la responsabilité juridique de l’éditeur. Quand à l’idée d’anonymat des radioamateurs, elle est très relative : l’activité n’est autorisée qu’après passage d’un examen d’Etat supervisé par l’Autorité des Télécoms, passage d’examen lui-même soumis aux conclusions d’une enquête de moralité effectuée par la DST, le tout assorti des obligations de description des équipements techniques mis en œuvre notamment auprès des services de l’ANFr, conservation des logs de chaque communication, déclaration à la gendarmerie du moindre changement d’adresse et d’une connaissance et d’un respect absolu des textes de loi (art. L88, 89 et suivants du codes des P&T traduisant les directives de l’UIT). Ajoutons que les propos que s’échangent les radioamateurs ne peuvent en aucun cas, de par la loi et l’éthique, aborder le moindre sujet personnel, et que les indicatifs utilisés (les identités donc) sont octroyés par l’Administration des Télécoms et ne peuvent être changés sous peine d’une amende de 30 000 euros et d’une peine de prison pouvant aller jusqu’à 3 ans… vous avez dit anonymat et tradition séculaire ?

Et d’ailleurs, qu’est-ce que l’anonymat sur Internet et quelles en sont ses limites ? A l’exception d’un quarteron de geeks et de techniciens amoureux des proxys et des vpn, l’Internautus vulgaris n’est pas anonyme vis-à-vis de son fournisseur, vis-à-vis des autorités, vis-à-vis des hébergeurs de services et vis-à-vis des prospecteurs marketing en tous genres qui écument les « http Get » à grands renforts de « spywares marketing qui ne sont pas des spywares ». Certes, l’on peut se cacher derrière un pseudonyme… mais il est beaucoup plus difficile de se camoufler derrière un profil bidonné. Facebook, tout comme Twitter, MSN et autres outils IP « modernes », sont des usines à discrétiser l’individu, des machines à portraiturer le « surfer » dans ses moindres détails. Peut importe qu’il se nomme Nabuchodonosor ou L3z0rc13rduR3z0, le principal est qu’il affiche des opinions politiques de tel ou tel bord, qu’il achète volontiers ses livres sur Amazon et que ses intensions les plus secrètes puissent se lire sur un compte Google, Yahoo ou MS-Live. Qu’est-ce qu’un anonymat qui ignore (parfois) un patronyme, mais qui connaît au détail près une adresse IP, MAC, des habitudes de consommation, une adresse email, la liste complètes des amis, connaissances ou relations de travail ?

.
Sur la « liberté d’expression », là encore, il serait bien téméraire de voir en Facebook l’exutoire de la vox populi. Certes, l’on cite çà et là l’usage des réseaux sociaux comme source d’information en provenance d’Iran, les blogs comme « thermomètre social » depuis le début de la guerre d’Irak, les « chat rooms » dans les milieux activistes Chinois… Mais bien souvent, trop souvent, cette parole retombe dans l’indifférence générale ou se noie dans un bruit de fond toujours croissant, après quelques jours ou quelques minutes de gloire Warholienne. Le moindre dérapage décrédibilise une « source » et son abandon constitue un bâillon parfois bien plus efficace qu’une descente de police. L’Internet aime toujours l’éphémère, souvent l’absence de recul, rarement la Référence. C’est ce qui entrave, voir supprime ce « pendant libertaire de sociétés de plus en plus sous contrôle » car sur Internet, les passions peuvent être vives, mais elles sont de courtes durées. Du moins si on les compare aux « vieux » procédés d’expression clandestine : les cahiers manuscrits transmis sous le manteau d’un Soljenitsyne, les dazibaos sous forme de palindrome que l’on lisait dans les rues de Pékin, les pamphlets publiés à compte d’auteur en Hollande par les philosophes des Lumières… Sans martyr affiché, sans exergue de la censure, et surtout sans possibilité de distinguer sa voix de la multitude, il ne peut y avoir de véritable écoute d’une parole contestataire. Un principe que même les plus réactionnaires, les plus bigots, les plus conservateurs des penseurs ont su respecter, à commencer par Voltaire, dont les exils et les pillages relevaient bien souvent de la manœuvre politique et de l’intérêt de l’audimat.

Le filtrage –ou la modération- des contenus WebDeuxZéro, même s’il était automatisable, serait un mal plus grand que son laisser-aller. Car c’est en filtrant que l’on stigmatise et que l’on obtient généralement l’effet inverse que celui escompté. Sur Internet plus qu’ailleurs, semble-t-il, où le moindre incident de serveur est immédiatement pris pour le résultat d’une conspiration occulte et néanmoins mondiale. Il n’est pas dans l’intérêt des Twitters et autres grands socialisateurs de fabriquer des stars, de grands concentrateurs d’attention, car ce serait ôter à chaque participant son espoir d’être entendu, son illusion d’originalité. Pas de Voltaire, de Meslier ou de d’Holbach sur Facebook. Ce serait mauvais pour le commerce, ce serait transformer officiellement la majorité des inscrits en « followers ».

Si Facebook n’a aucun intérêt à authentifier ses usagers, c’est aussi parce que ce service voit dans l’absence de contrôle un ersatz de conspiration, un succédané d’illusion de « contre-pouvoir d’une contre-culture ». C’est une recette vieille comme le monde, dont la recette était donnée en 1872 par Charles Lecocq :

Quand on conspire,

Et collet noir…*

Pierre Caron achève son billet par une réflexion que n’auraient pas renié les Monthy Pythons : « Facebook, a complete waste of time »? Si cela est pratiqué durant les heures de bureau, sans le moindre doute ! Tout comme l’est théoriquement le temps perdu à trier le spam ou à disserter devant une machine à café, les heures passées à consulter les sites Web –professionnels ou non-, les minutes évaporées par la consultation des blogs ou les éons écoulés à « faire de la veille technologique » sur la grande toile, de mailing list en newsgroups afin de trouver 25 000 bits de pur diamant dans des téraoctets de bruit. Le premier danger de Facebook (et consorts), explique à juste titre notre expert Lexissien, ce n’est pas la fuite d’information, c’est la perte de productivité. Ce qui ramène bien le Nouveau Web à sa juste mesure : une vanité, une futilité, mais un business-model tout de même, dont les entreprises doivent assumer, en partie du moins, le soutien financier.

* NdlC Note de la Correctrice : « De Madame Angot, je suis la fille, je suis la fille … »

Consensuel. Le choix d’Howard Schmidt au poste de « coordinateur cybersécurité » de la Maison Blanche rassurera aussi bien les Républicains que les Démocrates. Les uns parce que Schmidt fut déjà le conseiller cybersécurité de l’administration Bush, les seconds parce qu’il a été nommé par Obama. L’on pourrait ajouter que son expérience passée, tant dans l’administration qu’aux différents postes qu’il a assuré dans l’industrie (notamment chez Microsoft et eBay) font de lui le candidat « politiquement le plus apte ». Security News consacre deux articles à l’ événement, le Focus publie sa bio, même F-Secure se fend d’un « bonne chance au nouveau Tzar de la sécurité ».

Schmidt devra avant tout coordonner les initiatives visant à sécuriser les différentes infrastructures télécom modernes des Etats-Unis, notamment les architectures Scada (réseaux énergie, transports, télécoms, eau…). Depuis plusieurs mois déjà de nombreux rapports et études préparent les esprits à la nécessité de structuration d’une « défense passive » des artères informationnelles des USA : états sur les cybermenaces militaires d’origines Russe et Chinoise, statistiques souvent alarmistes sur l’influence des activités mafieuses sur Internet, chiffres réellement inquiétants sur le montant parfois impressionnant des fuites de données affectant l’Administration ou les infrastructures universitaires et médicales. Un grand chantier fondamental qui n’a rien à voir avec les gesticulations d’autres « superflics de l’Internet » qui devront chasser les voleurs de poules du téléchargement illégal.

Le travail d’Howard Schmidt sera-t-il couronné de succès ? rien n’est moins sûr. Jusqu’à présent, les multiples « Tzars de la cybersécurité » qui se sont succédés à la Maison Blanche n’ont été à l’origine que de « mesurettes » timides et peu efficaces, faute de moyens financiers importants, faute surtout de véritable pouvoir exécutif.

Mais cette crainte ne semble pas partagée par tous. A peine la nomination de Schmidt officialisée que Melissa Hattaway milite pour la création d’une sorte d’Otan de la cyberdéfense. Cette ex-conseillère de l’Administration Bush et Acting Senior Director for Cyberspace sous l’Administration Obama, généralement très écoutée par toutes les tendances politiques US, publie un long texte sur Executive Biz expliquant pourquoi il est nécessaire de créer une Task Force internationale pour lutter contre le crime organisé. Les motivations sont, sans le moindre doute, louables, mais très souvent c’est dans la traduction de ces grandes idées en textes de loi et en organisation administrative que ces grandes initiatives de défense tournent rapidement en déconfiture aussi kafkaienne qu’inefficace. S’il est indiscutable qu’un dialogue inter-polices doive s’établir afin de mieux lutter contre les opérations cybermafieuses, il est avant tout nécessaire que chaque pays commence par légiférer sérieusement sur certains fondamentaux. A commencer par des législations antispam non permissives, une responsabilisation directe des registrars et des hébergeurs, et un strict refus par les états d’utiliser des méthodes de voyous. Que cela concerne l’usage de spywares « officiels » ou l’exploitation de fichiers que l’on sait volés. Avant que de telles dispositions soient observées, l’initiative de Melissa Hattaway risque de ne donner naissance qu’à un organisme de plus, aussi efficace que le fut la Société des Nations.

Depuis une semaine, les discussions s’enflamment dans les forums spécialisés. Un récent arrêté de la cour de cassation condamne le responsable d’une entreprise de sécurité pour avoir publié l’existence d’une faille. A la lecture de l’arrêt, la LCEN, loi qui, à l’origine devait défendre les systèmes informatiques nationaux en boutant les « black hats » hors de France, a été employée pour poursuivre une société du Sud Ouest de la France.

Certes, l’amende ne s’élève qu’à 1000 euros « presque » symboliques. Certes, l’arrêt reconnaît l’absence de volonté d’incitation aux actes malveillants, mais refuse au prévenu la possibilité de « valablement arguer d’un motif légitime tiré de la volonté d’information ». Informer, c’est prendre le risque de trouver auprès du public des oreilles déviantes.

L’origine de cette décision est la conséquence d’une incroyable suite de péripéties et de rebondissements judiciaires que décrit fort précisément Cédric Blancher sur sa petite parcelle d’Internet : publication d’une information relative à une faille sur le site Web de la société en question, enquêtes de l’Oclctic et de la DST, procès, relaxe, appel, condamnation, cassation, confirmation de la condamnation, sous prétexte que le condamné ne pouvait ignorer, compte tenu de son métier, la dangerosité de l’information diffusée (laquelle, dans les semaines qui suivront, fera l’objet d’une impressionnante série d’exploits bien plus efficaces et bien moins poursuivis). Que l’éditeur du logiciel imparfait ait été prévenu n’est pas pris en compte. En revanche, le fait que ce même éditeur (Microsoft en l’occurrence) n’ait pas eu le temps de réagir et de publier un correctif avant la divulgation de l’information est une circonstance aggravante. *

Et Cédric Blancher de poser la question « à supposer que notre condamné n’ait pas publié cet exploit, peut-on affirmer que cela aurait changé l’état de la menace qui pesait alors sur les internautes ? » et de soulever le très épineux problème de la justification des exploits. Sans aucun doute, un exploit constitue un danger. Mais en interdire la publication n’empêchera pas qu’un autre chercheur, peut-être moins scrupuleux, de rédiger une information équivalente, voir encore plus indiscrète. Ceci, bien sûr, dans les colonnes d’un site qui pourra juridiquement échapper aux foudres de la justice Française. Sans parler du fait que, sans exploit réellement efficace, il est souvent impossible de vérifier l’efficacité des correctifs proposés par les éditeurs. S’ajoute à cela un dernier argument avancé par les défenseurs d’une divulgation rapide : sans l’aiguillon de la stigmatisation, les éditeurs ne feraient rien. Il y a eu « avant Internet », âge d’or durant lequel les trous de sécurité ne relevaient que d’une querelle byzantine opposant des Unixiens barbus à des pionniers de l’industrie logicielle, et « après Internet », révélateur du manque de qualité apporté aux développements en tous genre.

Dave Aitel, patron d’Immunity Sec et vendeur de l’outil de pentest Canvas (autrement dit d’un « automate à exploit ») y voit une autre explication : le souhait occulte des gouvernements à ne voir diffuser ce genre d’informations et d’outils qu’auprès des services de police et de renseignements. Propos ironiquement extrémistes et caricaturaux, mais qui montrent bien à quel point l’attitude pudibonde d’une pensée conservatrice ne peut admettre les porteurs de « mauvaises nouvelles ». « Cet arrêt marque, explique un « confrère » du prévenu, l’arrêt formel du Full Disclosure en France, voir de toute information relative à une faille de sécurité, à tel point que nos avocats nous ont conseillé de censurer les bulletins d’alerte que nous publions nous-mêmes sur notre site ».

L’arrêt du Full Disclosure en France. Une formule qui, une fois de plus, en réjouit plus d’un, qui expliquent à qui veut bien entendre que museler ces sauvageons de la sécurité informatique, c’est empêcher les pirates de lire ce genre d’informations susceptibles de servir à écrire virus et troyens. Comme tout raisonnement simpliste, cette affirmation ne résiste pas aux faits. Depuis la promulgation de la LCEN, la majorité des chercheurs français soit vont chercher du travail en des pays moins policés, soit publient leurs découvertes par le biais protecteur d’un intermédiaire tel que Zero Day Initiative, soit expédient leurs écrits aux gestionnaires de Milw0rm, du Bugtraq et autres listes de sécurité. Quand à l’influence d’une Lcen sur la diminution des attaques informatiques, elle est plus que douteuse, si l’on se réfère aux statistiques publiées par les Symantec, Owasp, Avert, Apwg et autres Kaspersky labs. On aurait même l’impression du contraire.

Les conséquences incalculables de cet arrêt, c’est encore Cédric Blancher qui les résume –dires que confirment l’attitude et les propos de Dave Aitel. Car, l’entreprise condamnée pour des faits relativement anciens s’est transformée depuis en « jeune pousse » spécialisée dans le développement d’exploits totalement commerciaux. Des exploits nécessaires aux tests de solidité des grandes structures informatiques pensent certains. Or, encore plus que dans l’affaire ayant servie de catalyseur à cette affaire, on peut craindre une nouvelle vague de condamnation. Un exploit commercial, c’est un outil perfectionné, dangereux, capable bien souvent de traverser les défenses périmétriques classiques. Bien plus qu’une publication, c’est un programme qui entre parfaitement dans la définition de la LCEN, qui pourchasse quiconque pourrait « importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 ». Seraient alors non seulement susceptibles de poursuite l’entreprise qui fait sont « business des exploits », mais également les importateurs des différents programmes concurrents, les clients desdits programmes, les journaux affichant la moindre mention ou publicité des logiciels, les blogueurs y faisant allusion, etc. Si la condamnation de « X » réjouit quelques personnes, les motifs invoqués pour le condamner pourraient bien un jour se retourner contre eux et contre tous ceux qui, un jour, ont osé signaler qu’un « hack » était publiquement disponible sur une URL quelconque.

*NdlR : La notion de temporalité entre publication d’une faille et son exploitation est une vue de l’esprit qui n’a pas de réalité dans le domaine informatique. Il serait préférable de parler de « fenêtre de vulnérabilité » établie entre le moment de la divulgation et un état de « correction généralement appliquée ». Mais cette notion de fenêtre de vulnérabilité, associée à la « mode » grandissante du reverse engineering des rustines par les auteurs de malware, ferait de chaque éditeur un « diffuseur d’informations irresponsable ». Le législateur n’a aucun intérêt à s’engager dans une telle voie.