septembre, 2014

L’actualité parfois n’a aucun rapport avec une fuite massive de données des serveurs d’une grande chaîne de distribution ou avec un super correctif logiciel sauvant l’informatique occidentale d’une horde de virus étrangers. Non. Les médias, la semaine passée, se sont enflammés pour deux énormes canulars. Le premier des deux, singeant le lettrage et les publicités Apple, dévoilait tout sur une nouvelle « technologie « Wave » propre au tout nouvel IOS8 : le chargement des batteries du téléphone par microonde ». Fausse réclame, faux accident déclarés par de faux crédules.

Le second attrape-nigaud a été lancé par un journal satirique connu, le National Report, un proche cousin du regretté National Lampoon, en plus « politiquement correct ». Selon ce noble organe de presse, Facebook envisagerait de facturer les pages de ses abonnés 3$ par Mo de données, et ce à partir du 1er novembre. Et l’auteur de l’article de recueillir les protestations indignées du groupe Chrétien anti-masturbatoire (sic). Là, en revanche, quelques âmes sensibles ont lu l’information au premier degré et se sont inquiétées, sur Twitter notamment.

Voilà qui n’est pas sans rappeler, en pleine bulle NTIC des années 2000, le lancement de Jesux, une distribution Linux christique qui souleva un raz de marée médiatique.

Dans tous ces cas, les techniques sont comparables : associer une notion plus ou moins technique avec un outil à la mode. Le dernier téléphone mobile et le chargement sans fil (qui, précisons au passage, ne pourrait en aucun cas dépendre d’IOS8, un logiciel, mais d’un capteur inductif, du matériel), ou un réseau social en vue et la notion de microfacturation, sorte de monstre du loch-ness qui apparaît à périodes régulières dans le monde internet.

Peut-on rire de la crédulité des personnes qui se seraient laissées prendre ? Pas plus que l’on ne peut s’amuser des victimes d’une campagne de phishing, laquelle exploite strictement les mêmes ficelles psychologiques. Pas plus que l’on ne peut se gausser des clients de services totalement utopiques. Ainsi les entreprises qui garantissent (moyennant facturation) un véritable anonymat sur Internet, ou ce tout nouveau service protégé par Tor, le routeur chiffré, que nous décrit Joseph Cox, de Motherboard. Une sorte de cyber-sécurité d’homme-mort qui garantit la publication sur Internet de tout document en cas de décès de son auteur-wanabe-snowden.

Qui se cache derrière un tel service ? Nul ne sait. Détail paradoxal pour un tiers de confiance. Quelles sont les infrastructures en place et les mécanismes de préservation de l’information ? Mystère. Ajoutons que le fait d’annoncer qu’une personne a confié à ce service des documents sensibles pourrait bien déclencher une sinistre chasse à l’homme histoire de précipiter la parution des révélations.

Linux et autres Unix-like sont menacés par une faille du Bourne Shell (faiblesse dans la gestion des variables d’environnement référencée CVE-2014-6271). L’alerte qualifie le problème de critique. Red Hat détaille les différents aspects techniques du problème. Lequel semble si préoccupant qu’il a attisé la verve de Robert Graham et provoqué la rédaction de trois articles : Le Bug Bash aussi grave que Heartbleed, Inventaire du bug bash sur Internet (un instantané limité de l’étendue des dégâts potentiels) et enfin Le bug bash ShellShock peut servir de vecteur à un virus-vers. Le Sans signale la faille avec un avertissement clair : it’s time to patch et la National Vulnerability Database du NIST attribue à ce défaut une note d’exploitabilité de 10 … la plus haute de l’échelle.

Dans quelques cas, le problème pourra être résolu à l’aide d’un rapide « sudo apt-get upgrade bash ». Mais ce bug baptisé ShellShock risque de faire parler de lui durant encore quelques mois. En effet, bash est un shell que l’on retrouve sur une multitude d’équipements plus ou moins autonomes, plus ou moins communicants, plutôt moins faciles à corriger qu’un ordinateur (appliances, routeurs Wifi, matériel embarqué communiquant, Internet des Trucs et des Machins, box ADSL…). Heartbleed risque donc de faire figure de gadget face à ce trou béant qui affecte la totalité des dérivés d’Unix.

Les politiques de sécurité Byod s’assoupissent, voire sombrent dans un défaitisme abyssal, semble prouver une étude commanditée par TekSystem, pourtant un acteur de la partie. Les détails de l’étude montrent pourtant bien que 62 % des directions techniques s’inquiètent du fait que des données d’entreprise sont accessibles de façon anarchique par les collaborateurs. Mais les deux tiers des sondés avouent ne pas avoir appliqué de politique sécurité propre au Byod.

Plus surprenant encore de la part d’un « vendeur de solution », les constats dépressifs suivants. La moitié des personnes interrogées affirment que l’accès permanent aux documents de travail (fichiers, courriel…) grâce à un terminal mobile accroissent leur état de stress, précisément parce qu’il leur est impossible de « décrocher ». Seuls 28% sont indifférents à cet état, et 22% de WANoholics ne se sentent absolument pas stressés. Les deux-tiers des personnes sondées avouent que si elles avaient le choix, elles retourneraient aux méthodes d’antan qui leur permettait d’être véritablement absents en dehors des heures de travail.

Paradoxalement, 60% estiment que les outils de mobilité leur offrent un meilleur contrôle de leur « vie de travail », 28 % pensent a contrario que c’est leur employeur qui hérite de ce pouvoir. Pour preuve, cette implication dans la vie technique des réseaux : 42% alertent, dans l’heure, les services informatiques lorsqu’une coupure de service est détectée… quand bien même cette interruption de service surviendrait en dehors des heures de travail.

L’impact sur les habitudes d’usage est tout aussi important. Le temps passé à travailler sur de tels outils, durant une journée de travail normale, est de 67% sur un ordinateur portable, 25% sur un téléphone intelligent, 8 % sur une tablette. Ces chiffres sont très proches de ceux constatés durant les périodes de loisir (ordinateur portable 61%, smartphone 31%, tablettes 8%).

Selon le Washington Post, la faille iCloud d’Apple aurait été connue depuis le mois de mars . L’inventeur du défaut s’appelle Ibrahim Balic, chercheur en sécurité Londonien

216 des sandwicheries Jimmy John, aux USA, ont été victimes d’un piratage suivi d’un vol d’identités bancaires. De forts soupçons planaient depuis juillet dernier, la chose a été confirmée par la direction de la chaine.

Sévère régression du dernier correctif IOS 8.0.1. Le dernier correctif désactiverait le TouchID ainsi que l’accès aux services cellulaires sur les iPhones 6 et 6 plus. Le retour à une version antérieure du système est assez laborieux et nécessite parfois le passage en mode DFU. Une version 8.0.2 d’urgence sera disponible dans quelques jours affirme Cupertino

Générateur de virus pour non-informaticien : le lab McAfee se penche sur les performances ergonomiques de Spygate , un RAT (remote access tool) développé par un auteur de malware du moyen orient. Même les malwares jouent à la pré-annonce marketing

« N’appliquez surtout pas la mise à jour de FreeDome sur IOS8 » prévient F-Secure. La suite d’anonymisation 2.0.1 de l’éditeur Finlandais destinée aux terminaux mobiles est entachée d’un bug affectant son VPN. Une mise à jour 2.0.2, disponible sur l’Appstore, remplace l’édition fautive.

La chasse aux failles, chez Microsoft, s’adapte au « Cloud first, mobile first ». Une annonce du MSRC précise que désormais, les chasseurs de faille pourront travailler sur les défauts des services en ligne , la « prime au bug » de départ s’élevant à 500 $. XSS, CRSF, failles d’injection, drive by download, élévation de privilège… toute faille est éligible… déni de service excepté

Le hack de Viator, site de réservation et de critiques consommateur dépendant de TripAdvisor, a été piraté, provoquant la fuite de 880 000 identités bancaires complètes et email, ainsi que de 560 000 identifiants/mot de passe/pseudonymes supplémentaires, ces derniers risquant d’être utilisés sur d’autres sites de e-commerce.

Le bulletin d’alerte publié par Viator précise que certains comptes ont déjà fait l’objet d’opérations frauduleuses. L’opérateur demande à ses clients de vérifier attentivement toutes les transactions effectuées sur leurs comptes et recommande de changer d’identifiant et de mot de passe le plus vite possible.

Au lire du communiqué, les informations bancaires ne semblaient pas chiffrées, et rien n’indique qu’il n’en était pas de même quant aux créances d’accès. Nulle information ne transpire également sur le « depuis quand », « durant quelle période » et le « comment » de ce hack. Cette opacité laisse présager le pire quant aux mauvaises pratiques sécurité d’un prestataire pourtant réputé. TripAdvisor est une spin-off du group Expédia fondé originellement par Microsoft.