septembre, 2009

Cela n’aura échappé à personne, Microsoft vient officiellement de lancer son Windows Security Essential, ex Morro, l’antivirus maison. Le HNS, Network World, Slashdot et quelques milliers d’autres se font l’écho de cette nouvelle, soulignant généralement que ce n’est là qu’un “faux lancement” puisque cela fait déjà plus de 3 mois que la bêta marketing du produit pouvait être téléchargée sur bon nombre de serveurs autres que le MS Download Center.

Comme il fallait s’y attendre, les réactions des vendeurs d’antivirus concurrents sont d’une amabilité toute relative. Tant que les « gratuits » se limitaient à un petit clan d’outsiders inoffensifs (AVG, ClamAV, quelques « en ligne » genre Trend Micro…), cela était supportable. Mais avec un « grand nom » dans l’arène qui vient brader la marchandise, les choses prennent un autre tour. Surtout lorsque ce grand nom, après avoir essuyé un échec cuisant en tentant de sortir un OneCare trop lourd, trop gourmand, trop cher, trop voyant et trop mal écrit, revient avec une solution « décapée », guère plus mauvaise qu’une autre, et pouvant satisfaire l’immense majorité des informatisés qui ne renouvellent jamais leur « gabelle antivirus », autrement dit leur licence.

Security Essential est le dernier d’une longue série d’antivirus Microsoft à destination grand public, série qui débuta avec une édition sous DOS initialement conçue par l’éditeur McAfee. Officiellement, ce désintérêt pour les logiciels de défense périmétrique grand public était dû tantôt à la crainte d’attirer les foudres du DoJ et le coût d’un nouveau procès antitrust, tantôt au fait que le marché était « déjà occupé par des tierces parties donc la compétence ne faisait aucun doute ». Peu à peu et dans la plus grande discrétion, Microsoft a intégré à son noyau toute une panoplie de systèmes de protection gratuits : un firewall (dont la version Windows 7 aurait fait pâlir de jalousie les auteurs des premier BlackIce), un antispyware (Windows Defender), un utilitaire de détection de failles (MBSA), des accessoires antispam dans les outils de messagerie, des filtres antiphishing sous Internet Explorer et, depuis cette semaine, un antivirus-antispyware. Ecrire, comme le Sans, qu’Essential est un outil minimaliste car restreint à la seule détection et élimination des virus, c’est oublier tous les satellites de la panoplie déjà intégrés dans Windows, et tous aussi gratuits.

C’est donc à la fois une bonne et une mauvaise nouvelle. Une bonne nouvelle car en proposant un outil gratuit, la Windows Company contribue à améliorer la propreté générale d’Internet et participe à la diminution du nombre de postes zombies susceptibles de menacer les entreprises commerciales « en ligne » ou à inonder les serveurs de messagerie de courriers non sollicités. Car ces zombies, infectent principalement les stations de travail des particuliers pas ou mal protégés. Stations qui serviront ensuite à attaquer, d’une manière ou d’une autre, les stations de travail et les réseaux des entreprises, même si celles-ci sont puissamment sécurisées.

C’est une très mauvaise nouvelle à moyen terme pour le principal vecteur financier des organisations cybermafieuses, à savoir le commerce de « scarewares », ces faux antivirus prenant les couleurs d’un produit Microsoft, Symantec, Kaspersky ou McAfee… surtout si le lancement de cette série « essential » est accompagné d’une installation systématique sur tous les noyaux nouvellement commercialisés. C’est une moins bonne nouvelle pour les principaux concurrents commerciaux du « endpoint security », qui devront trouver un terrain d’accord et de nouveaux arguments marketing pour convaincre les usagers de désinstaller le « petit A.V. Microsoft » et le remplacer par un « super A.V. de marque X ou Y ». Si, dans le monde professionnel, les impératifs techniques (administration centralisée notamment, intégration aux « politiques » NAC) peuvent justifier ce choix, cela risque de ne pas être le cas auprès des particuliers. Pour quelle raison en effet dépenser entre 30 et 60 euros chaque année pour bénéficier d’une protection généralement très consommatrice de ressources CPU et ayant montré ces derniers temps d’inquiétantes carences face à Zeus notamment. Ce Security Essential aurait très bien pu s’appeler « celui-là ou un autre, quelle importance ? »

Il est à noter que Microsoft Security Essential est « compatible » Windows 7 édition 64 bits, ce que ne peuvent prétendre tous ses concurrents, et ce dont a été longtemps incapable son ancêtre Windows Live OneCare, incompatible Vista 64 dès son lancement commercial.

Recette pour détourner l’attention ou tentative philosophale destinée à transformer du plomb en or et des failles de sécurité en business « gagnant-gagnant » ? Adobe publie une annonce conjointe avec McAfee, dans laquelle on apprend le lancement d’une « solution » DRM (gestion des droits numériques, autrement dit système anti-copie) couplée à un DLP (détection/prévention des fuites d’information). A ceci viennent s’ajouter les outils gratuits d’analyse antivirale offerts par McAfee à toute personne souhaitant installer Adobe Reader et Adobe Flash Player.

Il faut lire, sur le blog de Nono, ce papier aussi fouillé que drôle traitant précisément de la sécurité très relative des fichiers (pardon, des outils de lecture) PDF. Il faut également voir à quel point l’usage de ce format (dans les bannières publicitaires notamment) peut transformer une campagne de publicité en un croquignolet botnet… ou presque. Les chercheurs de ScanSafe ont détecté une attaque utilisant des bannières de réclame affichées sur des sites Web, bandeau intégrant un vecteur d’attaque cherchant à exploiter les failles Adobe Reader et DirectShow sur les machines des internautes-visiteurs. Des failles effectivement corrigées, mais dont le correctif n’est pas toujours déployé.

Le Prince Mohammed ben Nayef, Ministre de l’Intérieur Saoudien, aurait, nous apprennent quelques 39 000 coupures de presse en ligne échappé à un attentat-suicide. Jusque là, rien de très anormal dans le quotidien d’un grand commis de l’Etat. Madame Rachida Dati elle-même pourrait-elle siéger au Parlement Européen sans la protection de son garde du corps ? Les truands et malfaisants se retrouvent de partout.

Ce qui, en revanche, sort quelque peu de l’ordinaire, c’est la manière dont le terroriste a su franchir les cordons de sécurité avec ses explosifs, en cachant le matériel en question dans son fondement. Passons sur l’horreur d’une pareille décision et le conditionnement psychologique qui peut conduire une personne à commettre un tel acte. Les intégrismes religieux, de tous temps, ont montré combien ils s’accommodaient fort bien de ces contradictions liées à l’idée de respect de la vie. Le Prince-Ministre en a réchappé, le terroriste a fini ses jours « éparpillé façon puzzle » sous l’action de son suppositoire détonnant, sans gloire et sans résultat. Fermez le ban.
Le Sunday Time australien apporte toutefois à ce triste fait-divers un éclairage inattendu en posant la question suivante : comment vont réagir les compagnies aériennes ? Car il y va du chiffre d’affaires d’un certain nombre d’entreprises qui verront là, sans coup férir, matière à ajouter un point de contrôle vital à la liste déjà longue des procédures de « screening ». Parce que des cutters ont été utilisés par les terroristes des vols du 11 septembre, les couteaux (à bouts ronds et coupant très mal) fournis avec les repas sont bannis des avions. Parce qu’un certain Richard Reid a tenté de faire sauter un appareil avec un explosif caché dans ses chaussures, les briquets sont interdits de vol et les « spécialistes » du filtrage d’aéroport font se déchausser plusieurs millions de personnes par jour. Parce qu’il existe un risque –excessivement faible- de bombe chimique à base de liquide, les bouteilles d’eau, les crèmes de beauté sont strictement interdites à bord. Avec l’invention de ce combattant-suicide, on frémit à l’idée de ce que vont devenir les contrôles de sécurité aéroportuaires, dont le moindre serait l’administration obligatoire d’une dose de laxatif une heure avant de monter à bord.

C’est probablement le Homeland Security Watch qui détient une parcelle de vérité. En créant une brèche dans le système routinier de la fouille au corps, expliquent nos confrères, ce terroriste a probablement ouvert une voie royale à certains appareils jusqu’à présents recalés, tel les radars millimétriques qui dénudent littéralement les personnes passant dans son faisceau. A moins que l’on ne rende obligatoire l’échographie avant embarquement… il ne faut surtout pas sous-estimer l’imagination kafkaïenne des fonctionnaires du TSA ou du Iata.

Au début de la semaine passée, la députée UMP Valérie Boyer a lancé l’idée qu’il faudrait apposer la mention « Photographie retouchée afin de modifier l’apparence corporelle d’une personne » sur toute image publicitaire ou de presse magazine « shoppée », comme dit-on dans le milieu. A ce rythme-là, il se pourrait bien que l’usage des logiciels de retouche photo, The Gimp y compris, ne soient disponibles que sur ordonnance et après inscription dans un des nombreux fichiers tenus par le Ministère de l’Intérieur.

A la minute même où cette information a commencé à courir sur les ondes et les réseaux câblés, la rédaction de CNIS Mag s’est mise à surveiller avec une attention redoublée le blog de Neil Krawetz. Et çà n’a pas loupé, l’expert en imagerie numérique et en fraudes au pixel nous gratifie d’un billet intitulé « French Connection » au fil duquel les mangeurs de grenouilles en prennent un peu pour leur grade. Krawetz lutte depuis déjà quelques années contre cette forme de beauté éthérée et parfaite que peut fabriquer la photographie numérique et les logiciels de retouche d’image. Les ravages de l’anorexie par imitation ou par transfert méritent que la question soit largement débattue au sein des rédactions et des directions artistiques des magazines de mode ou agences publicitaires. Mais de là à en faire une loi, il y a un pas difficile à franchir. Car derrière cette disposition bourrée de bons sentiments et d’intentions louables se cachent autant de chausse-trappes que n’en compte une plage de débarquement.

Passons tout d’abord sur le travail artistique lui-même. Une photographie n’atteint le stade d’œuvre qu’après un important travail de retouches, de recadrage, de traitements divers… et ce depuis son invention par Nicéphore Niepce et Jacques Daguerre. Entre le cliché d’un Man Ray ou d’un Brasaï et le résultat tiré sur Ilford Gallery, il y a parfois des heures de travail. Cela va du choix de l’objectif de l’agrandisseur à la diminution ou l’éclaircissement des zones par des caches, en passant par d’éventuels tours de main (solarisation, contre-masques etc). Qui donc n’est jamais tombé en arrêt sur les planches « aviation » ou « automobile » d’une l’Encyclopédie Larousse de l’entre-deux guerres ? Magnifiques collections iconographiques truffées de pneumatiques brillants, de carrosseries reflétant un soleil toujours fixe (35° Nord-Ouest de la page) ou de machines lissées par la dextérité d’un aérographe ? La retouche n’est pas toujours synonyme de mensonge.

Est-ce ce même aérographe qui faisait à Mao Tse Toung, à Joseph Staline, à Adolphe Hitler, à Kim Jong Il un personnage au teint vif, toujours entouré des « bonnes personnes » au « bon moment » ? On ne compte plus les Nicolai Yezhov ou les Léon Trotski qui se sont évaporés d’un coup de compresseur, dans un premier temps, avant de finir fusillés ou assassinés à coups de pic à glace. Photoshop n’a rien inventé, sauf peut-être quelques grosses bévues provoquées par l’abus de masques.

Doit-on légiférer sur le travail des photographes sous prétexte d’objectivité de l’information ? Et sur quels critères établir une limite ? Faut-il apposer une mention « Photographie retouchée afin de modifier l’apparence corporelle d’une personne » lorsque disparaît un petit bourrelet présidentiel, que surgit une troisième jambe ou que s’efface une bague de Ministre ? Et peut-on comparer l’odieuse malhonnêteté d’une censure photographique perpétrée sous un régime totalitariste et des « détails de coquetterie » censurés par les scrupules flagorneurs d’un magazine cherchant à plaire avant que d’informer ?

A la proposition que soulève Madame la Député Valérie Boyer, il n’existe probablement aucune réponse définitive, si ce n’est celle qu’apporte l’éthique professionnelle. Le trucage et la manipulation font partie intégrante de la photographie. Sans retouche, Claudia Schiffer aurait des grains de beauté (quelle horreur !) et notre Président quelques kilos en trop (quelle importance ?). Mais les photos Harcourt de Gérard Philippe, la blancheur de peau de Kiki de Montparnasse et de Nusch Éluard seraient moins troublantes. Les missiles Iraniens feraient moins peur.

En obligeant les médias à apposer une mention « photo truquée » sur chaque cliché montrant un « petit 36 », Madame Boyer pourrait peut-être manquer sa cible et ceci pour deux raisons. La première, c’est que l’apposition d’une mention, tout comme celles concernant l’abus d’alcool ou la tabagie, a peu de chances d’avoir un impact réel sur l’esprit d’adolescentes en mal de sublime. La seconde, c’est qu’une telle mention risque d’être considérée comme ayant une portée générale. Si quelque chose d’aussi futile qu’un mannequin sur la couverture d’un magazine mérite un sceau de véracité, ergo tout ce qui ne porte pas ce sceau et qui revêt une importance plus grande peut être considéré comme étant parfaitement crédible. Or, qui peut, à moins d’une longue analyse d’expert, certifier que tel ou tel document de provenance étrangère est, où non, l’œuvre d’un retoucheur ?

La solution, c’est peut-être tout simplement Adobe qui la détient. Car quelle belle opération marketing que d’offrir à tous les collèges de France une version –limitée- de Photoshop pour que nos chers rejetons apprennent par la pratique à quel point il est aisé de travestir la vérité. Sait-on jamais, sur les quelques centaines de milliers d’écoliers évangélisés, il se pourrait bien que l’on y trouve des clients potentiels.

Le YouTube de la sécurité, SecurityTube, regroupe toutes les vidéos relatives à la sécurité. On y trouve beaucoup de présentations effectuées à l’occasion des conférences et salon sécurité (Defcon notamment).

Lieutenant Uhura, est-ce que votre oreillette Bluetooth est filtrée contre les virus ? Un regard comique sur l’évolution de la sécurité vue par RSnake au travers des épisodes de Star Treck. Beam my firewall up, Scotty

Outil d’inventaire de failles gratuit : Health Check 2.0 Beta, de F-Secure, est disponible en téléchargement. Son interface et sa simplicité d’utilisation sont en très net progrès par rapport à l’ancienne version

« Guidelines for Secure Use of Social Media by Federal Departments and Agencies » est un document émis par le « CIO Council » de l’Administration US, et qui définit les grandes lignes d’une politique de sécurisation des infrastructures informatiques gouvernementales contre les dangers provoqués par les réseaux sociaux. Du phishing ciblé aux fuites d’information, en passant par l’ingénierie sociale ou l’attaque en drive by download, ces nouveaux médias sont de plus en plus exploités. Mais ignorer ces nouveaux modes de communication peut également entraver la bonne marche d’un service, ou fermer à une entreprise de nouveaux débouchés promotionnels par exemple.

Ce document d’une vingtaine de pages passe en revue les points les plus sensibles, les actions à entamer pour limiter les risques, tant à l’échelon humain qu’au niveau des dispositions techniques ( (réseau, infrastructure, poste de travail, filtrage etc). Cette méthode est bien entendu parfaitement adaptable à toute entreprise et n’a strictement rien de spécifique aux rouages de l’Administration Américaine.

A la fois outil promotionnel et marketing viral pour mieux vendre sa suite « Safeguard Private Crypto », Sophos offre en téléchargement un outil de chiffrement compatible Mapi (clients Windows Mail, Outlook, Notes…). Le destinataire n’a besoin d’aucun programme particulier –le contenu est auto-extractible-, et l’agent de chiffrement est certifié compatible des plateformes XP/2000 à Windows 7/2008 (32 et 64 bits, détail important). Si le développement est purement propriétaire, il repose sur des outils de chiffrement standards –AES 256 et hash SHA 1 et 2-. Les clients pour plateformes mobiles (Symbian et Windows Mobile) sont vendus, et il n’existe pas de logiciels fonctionnant sous noyaux Macintosh ou Linux. Si ces détails peuvent faire sourciller un responsable de parc d’entreprise un peu hétérogène, ils devraient en revanche être parfaitement éludés par les particuliers et artisans en quête d’un logiciel simple à utiliser. Ce « gratuiciel » est disponible en Français, et pourrait intéresser tous les internautes « non techniciens » soucieux de la préservation du secret de la correspondance, pratiquement devenu lettre morte depuis l’adoption d’Hadopi 2.

Un fait-divers révélateur sur les vieilles pratiques de sécurité par obscurantisme qui frappe encore les officines bancaires Etats-uniennes, à la source deux papiers, l’un publié par Wired, l’autre par MediaPost.

Un employé de la Rocky Mountain Bank of Wyoming aurait, par erreur, expédié sur une adresse Gmail une liste de plus de 1300 noms de clients et données sensibles. Après s’être aperçu de sa malheureuse distraction, l’employé gaffeur a demandé à son correspondant de bien vouloir effacer le courriel en question « immédiatement et sans l’avoir lu au préalable » (sic). Ce qui implique donc que la Rocky Mountain Bank of Wyoming soit expédie ses courriels sous enveloppe légèrement transparente, soit possède un double service de correspondance client-établissement, l’un destiné à l’expédition du contenu, utilisant les voies parfois impénétrables du routage smtp, l’autre, purement psychique et très probablement télépathique, qui servira à indiquer aux destinataires les emails qui, au sein de leur boîte de réception, sont à lire ou à ignorer. Devant une telle technologie, même les plus perfectionnés des algorithmes Bayesiens peuvent aller se rhabiller.

Obéissant probablement à cette injonction par transmission de pensée, le propriétaire du compte n’a semble-t-il ouvert ni l’un ni l’autre (probablement assailli par un doute) et n’a donc pu répondre ni au premier, ni au second.

Devant un tel mutisme, le service juridique ou informatique bancaire tente donc de savoir si le compte Gmail est actif ou non. Ce à quoi les princes de la Recherche Web et empereurs de l’email cloudifié répondent que non, sans décision d’un juge, ce genre d’information ne serait pas divulgué. Un détail qui ne dérange guère les Beurriers du Wyoming, qui se font fort de dénicher un juge assez complaisant non seulement pour désactiver (temporairement est-il précisé) le compte en question, mais en plus pour adresser à Google une injonction visant à rendre publique l’identité du possesseur du compte.

Si nos confrères de Wired et de Mediapost s’émeuvent de cette décision, qui montre à quel point la justice Américaine est prompte à servir sans hésiter les intérêts des banques, personne, en revanche, ne s’étonne du fait que le contenu en question n’ai pas été chiffré à la source ou que les cotes d’alertes des outils de DLP –dont ne saurait se passer un organisme financier- n’ont pas une seule fois crié « au loup ». Un juge serait-il, de l’autre côté de l’Atlantique, moins cher qu’une remise à niveau des défenses périmétriques ?
En France, bien entendu, ce genre de mésaventure n’arrive jamais …