avril, 2012

Thierry Zoller a rédigé une analyse critique approfondie du système de classement de criticité des failles.

Versons une petite larme de nostalgie en lisant cet amusant article de Mark Baggett sur le journal du Sans, article consacré à la création de répertoires sous Windows portant les doux nom de « . » et de «.. » (point-espace et point-point-espace). Le comportement de ces « faux root et sous root » est une astuce de hacker qui remonte quasiment à la création de DOS et peut même être agrémentée de variantes nécessitant l’usage d’éditeurs un peu plus spécifiques. Le répertoire « point-retour arrière » par exemple (ascii 127).

24 heures plus tôt, l’article de Guillaume Champeau aurait pu passer pour un poisson d’Avril de très mauvais goût. Londres, titre notre confrères du Numérama, va surveiller tous les appels et visites de sites Web. Un projet de loi conçu dans le but de profiler les communications des sujets de sa Gracieuse Majesté et ainsi établir une base de données des relations habituelles de chaque personne sur Internet. C’est avec de tels outils, et en vertu des textes Britanniques donnant à la police le droit d’arrêter quelqu’un sous prétexte de « légitime suspicion », que régulièrement des citoyens se font arrêter, emprisonner, spolier de certains de leurs biens.

Un article du Guardian se veut rassurant : le contenu des conversations ne sera pas écouté… seules les identités des correspondants serviront dans cette collecte d’information.

Mettons de côté l’aspect Orwellien d’un tel flicage et passons l’éponge sur cette disparition totale de l’intimité des communications. Et plaçons-nous dans le contexte d’une entreprise Française ou d’un collaborateur envoyé en mission Outre-Manche. Si ce texte est adopté, il faudra oublier toute confidentialité des réseaux d’affaire. La destination, la fréquence, la durée des communications dans des secteurs sensibles constituent des informations importantes, des indices capitaux en matière d’intelligence économique. A l’échelon d’une nation, cela devient de l’espionnage industriel extensif. Lorsque l’on rapproche cet éclairage et le fait que le Royaume Uni fait partie de l’alliance UKUSA, on est en droit de se demander si le rôle du Parlement Européen ne serait pas précisément de règlementer des initiatives aussi extrémistes.

Une page du site du Parlement Européen explique dans les grandes lignes les bases d’un projet de loi « anti hacker » qui risque fort bien de transformer le Net du vieux continent en une sorte de panoptique exposé aux seuls yeux des polices… et des véritables black-hat.

Le projet est présenté comme un texte visant à défendre contre des attaques Scada et rassure en disant que les sanctions prévues ne concerneront pas les « cas mineurs »… une pondération qui n’a bien entendu strictement aucune signification d’un point de vue juridique.

Aux termes de cette loi, la production et la vente de « cyber-attaque » (y compris des logiciels de cassage de mot de passe) sont passibles de poursuites. Le but évident est d’entraver le développement de toute entreprise privée d’écriture d’outils de test de pénétration et d’en interdire l’usage. Ce qui exposera encore plus les entreprises Européennes aux attaques distantes perpétrées par des réseaux mafieux ou des entités nationales impliquées dans des opérations d’intelligence économique. Le pentesting, qu’il soit artisanal (car toutes les PME ne peuvent s’offrir le luxe et l’attention toute particulière des fonctionnaires de l’Anssi) ou professionnel, ainsi que le développement de certains métiers de la sécurité sont donc condamnés à terme. Font également partie des choses condamnables l’IP spoofing (l’usage de Tor ou d’un vpn en font donc nécessairement partie). Le parlement étend d’ailleurs au niveau de l’entreprise le « délit d’incompétence technique » inventé pour Hadopi, en cas de cyber-méfait commis par un intrus qui se serait infiltré sur le réseau de ladite entreprise. Ces dispositions, précise avec un cynisme le communiqué, sont dictées par les précédents des attaques qui ont visé l’Estonie en 2007, la Lituanie en 2008, et le secteur IT de structures publiques et privées dans plus de 103 pays en mars 2009. Dans les trois cas, l’attaque ne provenait pas de l’intérieur des frontières de l’Europe, aucune puissance du concert Européen n’a été capable de déterminer avec précision et certitude l’origine de ces attaques (donc de poursuivre les éventuels « spoofeurs » d’adresses IP) et ont clairement mis en évidence la carence des administrations Européennes ainsi que du secteur privé en matière d’audit et de contrôle des protections périmétriques et des filtrages au niveau des infrastructures nationales.

Le site de l’EFF vient de mettre en ligne une page animée expliquant, littéralement en deux « clics souris », ce que peuvent « voir » les points de possible contrôle tout au long d’une liaison IP. Il s’agit bien entendu d’une vision « simplifiée », qui part du principe que le serveur comme le poste client et les nœuds Tor sont sains et dépourvus de toute vulnérabilité. Doit être pris en compte également le fait qu’une liaison Tor, dans certains pays, est à elle seule considérée comme une activité suspecte ou condamnable. La sécurité des flux n’est pas toujours synonyme de sécurité de l’usager… mais c’est déjà un premier pas.

Chez Microsoft, deux vulnérabilités référencées MS12-026 et 028 sont, de l’avis de beaucoup d’experts, à colmater rapidement. Et malgré une quasi absence d’exploitation connue « dans la nature » (exception faite de la MS12-027 qui serait sporadiquement utilisée), ce bulletin est tout de même tâché de rouge vif. De Black Tuesday, on passe au Red Tuesday comptant donc 6 rustines et 11 vulnérabilités. Le rapport rustine/trou le plus élevé est détenu une fois de plus par le célèbre cumulatif I.E. (MS12-023) qui accapare 5 CVE à lui tout seul. Pourtant, aucun « Patch Now ! » péremptoire ne vient entacher l’écho que le Sans rédige chaque mois sur ce sujet.

De ces petits trous Microsoft sautons dans un trou Flash un peu plus gros, immatriculé CVE-2012-0769 et corrigé par Adobe comme en témoigne le bulletin 12-05. Une méthode d’exploitation (par évitement ASLR) a été envisagée par Fermin Serna du Google Security Team, code source à l’appui et PoC sur demande.

Reader et Acrobat sont également affectés par 4 autres vulnérabilités corrigées

Sophos vient d’annoncer la reprise de l’éditeur Allemand Dialogs, un spécialiste de la gestion des flottes mobiles. C’est un premier pas dans le domaine du MDM, le « mobile device management ». Le communiqué de l’entreprise Britannique ne précise pas le montant de l’opération.

Selon Hervé Maurey, sénateur centriste de l’Eure et Vice-président de la commission de l’économie, du développement durable et de l’aménagement du territoire, France Télécom manquerait à sa mission d’amélioration des infrastructures sur l’ensemble du territoire au profit du développement des réseaux 4G et fibre. Le drainage des campagnes par ADSL est encore loin d’être achevé, et le sénateur Maurey y voit le signe certain d’un désintérêt pour les régions rurales.

Certains y voient un encouragement au piratage dans le seul but de provoquer un besoin, là où la concentration de population est la plus importante. L’indigence des offres légales de contenus audio-vidéo est telle à l’heure actuelle que cette course au haut débit ne peut avoir d’autre explication. Les opérateurs télécoms lorgnent depuis longtemps le marché prometteur de la diffusion de contenu, sans parvenir réellement à éliminer les grands prestataires déjà en place : majors du disque et du cinéma, chaînes de télévision, marketplaces d’éditeurs etc.

Dans les campagnes, et ce quel que soit l’opérateur ou FAI concerné, le prix des abonnements sont les mêmes qu’en ville. Avec généralement des vitesses d’accès bien plus faibles, une qualité de service VoIP inexploitable, une carte de dégroupage qui traîne en longueur faute de mise à niveau des plateformes ATM, des bouquets de services de base amputés…

Il est passé quasiment inaperçu, cet article du The Atlantic relatant les travaux du professeur Paul Heald de l’Université de l’Illinois. Les propos de ce professeur, ainsi que les chiffres de son étude statistique, sont disponibles sur YouTube

Dans les grandes lignes, et en se basant sur les ventes du catalogue Amazon, il apparaît que les œuvres qui ont dépassé le siècle (autrement dit qui ne sont plus soumises au copyright) se vendent autant sinon plus que les nouveautés publiées en cours d’année. Mieux encore, les livres tombés dans le domaine public sont publiés par deux fois plus d’éditeurs et font l’objet de deux fois plus d’éditions (d’impressions) que des livres nouveaux, ceci pour un prix de vente sensiblement identique. Les trois mousquetaires sont au même tarif qu’une production Beigbeder. Tant que le copyright frappe les possibilités de reproduction d’un livre, ses chances de se faire mieux vendre passées les trois premières années de sortie sont quasi nulles : les chiffres ne mentent pas.

Les raisons de cette situation sont multiples. En premier lieu, la date fraîcheur d’un livre contemporain est très vite dépassée, en raison du déluge marketing des ouvrages tentant de prendre la relève. Au bout d’un an, le volume de vente d’un livre moderne chute de plus du tiers, et les espérances au bout de la troisième année ne sont plus que de 10 % du volume initial, toutes publications confondues. Les droits de reproduction n’encouragent pas trop les « reprint » compte tenu d’une part des frais que cela représente, et d’autre part de la difficulté de refaire du neuf avec du déjà vieux. Enfin, les produits imprimés ont, en volume, atteint une progression telle qu’il sort chaque année ce qui sortait en un siècle entier il n’y a pas 80 ans. L’industrie de l’édition est une forêt qui cache l’arbre en en tuant des millions (des arbres, bien entendu, et des livres par voie de conséquence). Enfin, pourrait-on ajouter, l’industrie du livre se rend coupable des mêmes excès que ceux constatés dans les domaines de l’édition musicale et cinématographique : l’éphémère et le volume de production immédiat l’emportent généralement sur la qualité, et l’on assiste depuis les années 70 à l’émergence d’une littérature de consommation courante, évènementielle, à très brève durée de vie. Il y a aussi de l’effet Britney dans les ouvrages d’hommes politiques, de chevaliers d’industrie, de romanciers-express moderne : aucune aspiration à la postérité dans ce genre d’écriture, seulement une volonté de vendre, vite, beaucoup, rapidement.

A contrario, les livres tombés dans le domaine public ne sont plus entravés par les coûts dus aux ayant-droits (aux USA, principalement des auteurs et descendants). Ils ont, de plus, franchi l’épreuve du temps, et ne sont rééditées que les valeurs sûres… les imprimeurs et grands librairies jouent sur du velour. En outre, la pérennité d’une réédition d’ancien est plus longue… d’une année sur l’autre, une édition de livre considéré comme classique ne perd que quelques pourcents de sa diffusion, et il faut attendre plus de 4 ou 5 ans pour que les ventes chutent de moitié. On est loin de la rapide obsolescence de l’écrit moderne.
Il faut préciser que cette étude porte essentiellement sur un thésaurus d’ouvrages de langue anglaise et de livres audio (qui n’ont que très peu de succès en Europe). Mais la tendance générale s’applique également au marché européen pour ce qui concerne l’édition papier.

Il y a fort à parier que ces statistiques sont connues depuis très longtemps par les éditeurs eux-mêmes. Pour preuve, certaines maisons d’édition tentent de « se refaire » en numérisant, puis en vendant et en protégeant avec des DRM, des œuvres françaises appartenant au domaine public. Racket pour certains, préservation de la mission d’éditeur pour d’autres, la position est difficilement défendable puisque ces œuvres numériques ne coûtent rien en termes de diffusion.

En outre, l’on voit apparaître depuis quelques temps des lobbys d’éditeurs qui militent en faveur d’une appropriation des œuvres « anciennes mais non encore tombées dans le domaine public », dites Œuvres Orphelines. Si l’on se rapporte au graphique ci-dessus fourni par l’étude du professeur Heald, il s’agit ni plus ni moins de « décaler vers la gauche » les ventes de livres encore protégés par les droits de reproduction, qui ne coûteraient rien en terme de réédition (faute d’ayant droit déclarés) mais qui pourraient rapporter autant qu’une rosière de l’année. L’appât du gain est tel que des mouvements de pression agissent au niveau Européen pour organiser ce que certains (dont l’Aful) considèrent comme une forme de vol organisé au profit d’un quarteron d’entreprises financières.

Nous nous trouvons aujourd’hui à l’aube d’une évolution des usages, qui pourrait bien changer une nouvelle fois les statistiques des grands ( du grand) marchands de livres : le livre électronique. Plus aucun circuit de diffusion physique n’est nécessaire entre l’éditeur et le lecteur. Sans oublier un détail qui a son importance : l’écriture ne se démode pas. Si l’on peut sourire aux accents larmoyants de Tino Rossi ou de Léo Dassary, les mots et les idées de Lucrèce, de Dumas, de Plutarque, de Balzac, voire de Pierre Dac ou de Michel Audiard ne prennent pas une ride. Ce qui veut dire que plus se développera le livre électronique, plus l’industrie de l’édition sera en concurrence directe avec un mastodonte indestructible, le thésaurus des œuvres du domaine public, celui-là même qui se « vend » autant que les productions de l’année lorsqu’il est réédité en format papier, et qui risque bien de battre tous les records s’il est disponible et diffusé gratuitement sur le marché des tablettes tactiles et liseuses.

Tout comme dans les domaines de la musique et de la vidéo, la seule parade que pourront trouver les éditeurs consistera à augmenter la proportion d’œuvres de qualité dans la soupe générale de la production de consommation. Dans le cas contraire, il faudra s’attendre à ce que se reproduisent les mêmes erreurs, les mêmes fausses études, les mêmes cris d’orfraie, les mêmes rudutexelisations d’une industrie qui est nettement moins bien portante que celle de la musique de distraction ou des blockbusters Hollywoodiens.

Selon une analyse du cabinet Mediametrie, rapportée par nos confrères de Tom’s Guide, les quelques 30% de chute du trafic Internet provoqués par la fermeture de Megaupload et de ses satellites (et de de l’effet domino sur des sites comme Torrific et consorts) s’est traduit par une augmentation des consultations des sites de streaming. Pendant ce temps, les tarifs des films proposés en offre légale qui se développent, dépassent souvent le prix d’un DVD ou d’une place de cinéma. Ceci indique clairement soit que les sociétés de production ont un intérêt à voir se développer le piratage des œuvres et la cyberdélinquance, soit qu’elles sont dirigées par des personnes n’ayant strictement aucune notion d’économie et de stratégie… ce qui serait tout de même relativement surprenant.