septembre, 2014

L’article de Todd Bishop dans Geek’s Wire a fait l’effet d’une bombe : Microsoft supprime la branche Trustworthy Computing initiée par Bill Gates, et dilue ses effectifs et ses moyens d’action dans la division Cloud & Enterprise ainsi que dans le groupe Legal & Corporate Affairs.

Cette évolution paraît assez logique si l’on se reporte au leitmotiv de Satya Nadella, l’actuel patron de Microsoft : Cloud first, Mobile first. Or, tout dans Trustworthy Computing était orienté Windows first. L’on y parlait d’intégration de processeurs d’authentification et certification des processus et des échanges, de TPM (donc de matériel), de diffusion de correctifs (patch Tuesday, silent releases etc.), de chiffrement, de préservation de la vie privée dans le cadre des services Hotmail ou Skype (donc de logiciel et de communications)… une auberge espagnole de la sécurité reposant sur un seul pivot : le système d’exploitation. Même si parfois la logique de cette cartographie pouvait sembler ténébreuse.

En cloudifiant TWC, Nadella envoie une fois de plus un message fort. Plutôt tôt que tard, Windows est appelé à disparaître (noyaux serveurs mis à part, du moins dans un premier temps). La station de travail file à vitesse grand V vers la bureautique « tout virtuel » et le service « tout en ligne »… sécurité des plateformes et certification des échanges y compris. Ce n’est pas seulement la fin de TWC qui vient d’être annoncée, mais également celle de l’informatique « 100% personnelle ».

Bilan moins catastrophique que prévu pour Home Depot, qui avoue la fuite d’environ 56 millions d’identités bancaires. L’hypothèse la plus probable expliquant cette relativement « faible » perte serait due au fait que l’attaque n’a porté que sur les caisses automatiques de la chaine de magasins, estime Brian Krebs.

Apple corrige 52 défauts de sécurité dans IOS 8 et 43 dans OS/X Mavericks v10.9.5.

Microsoft retire 1500 « apps » -ou appliquettes- de son catalogue pour des raisons de sécurité ou de confusion d’usage .

Heartbleed, tu me fends le cœur. J’ai le cœur fendu par toi… Selon le dernier rapport mensuel McAfee (aout 2014) des menaces recensées, plus de 300 000 sites Web seraient encore vulnérables à une attaque Heartbleed.

La toute dernière édition d’Adobe Reader et Acrobat corrige 8 CVE dont 5 qualifiés de critique, aucun n’étant actuellement utilisé « dans la nature ». Une mise à jour du lecteur de fichiers pdf est disponible en version Windows et pour plateforme Apple

Ossir, Heartbleed, l’expérience Française : l’Observatoire de la Sécurité des Systèmes d’Information et des Réseaux organise son prochain « afterwork » le 23 septembre prochain, dans le deuxième arrondissement à Paris. Tous les renseignements sur le site de l’Observatoire .

La Cour Européenne des Droits de l’Homme a condamné la France pour ne pas avoir effacé la fiche stic de renseignement concernant une plainte classée sans suite. Le plaignant s’est vu attribué 3000 euros au titre du dommage moral

De notre correspondant de guerre en Cyberland. Le gouvernement Cameron vient de nommer un « super-représentant des barbouzes » chargé d’établir des liens de collaboration étroits entre les services de Grande Bretagne et les institutions Fédérales et organisations privées des USA. Le Register précise qu’entrent dans la seconde catégorie les fournisseurs de services de services en ligne, qui « amélioreront l’accès aux données ainsi que leur partage, tant à courte échéance que sur le long terme ». C’est à Sir Nigel Sheinwald qu’échoit le très honorable titre de « Monsieur Prism bis » et la tâche de « renforcer les accords passés et assurer un accès fiable ». En d’autres termes, malgré les protestations de pure forme des Microsoft qui trainent à séquestrer des données au profit de la justice US, des Yahoo qui révèlent les pressions de la NSA ou des Apple qui brandissent de façon aussi tapageuse qu’épisodique des « canaris de sécurité », les accords à l’amiable sont à la mode entre les 5 Eyes et les boutiquiers du numérique. Open Data est une expression en langue Anglaise qui semble signifier « données ouvertes à la discrétion entière et exclusive des services de renseignements ».

En France, l’Open Data est d’un tout autre genre, nous apprend le Figaro, puisque le Ministre Fleur Pellerin part en croisade pour que le fond de la Bibliothèque Nationale puisse être accessible sur Data.gouv.fr et que les données personnelles des citoyens ne partent pas dans le giron des Google et Facebook. Est-il nécessaire d’espérer pour entreprendre ? Ce credo est affirmé par une « déclaration universelle des droits de l’homme numérique » qui précise que (dito nos confrères du Figaro) « Nulle entité, publique ou privée, ne doit utiliser des données personnelles aux fins de manipuler l’accès à l’information, la liberté d’opinion ou les procédures démocratiques ». Il y a plus de 10 ans, Jean-Noël Jeanneney, qui fût précisément Président de cette même BNF, tirait à boulets rouge contre ces mêmes Google, accusé de chercher à s’accaparer le patrimoine culturel national (par numérisation intensive des fonds Français notamment), et soupçonné de ne présenter via Internet qu’une vision américano-centrée, une pensée unique libérale… ergo une « manipulation de l’accès à l’information » interférant avec la notion de « liberté d’opinion ». « Trop tard », dirait-on en langage populaire. Cela sans oublier la quasi impunité fiscale dont bénéficient ces entreprises. Le précédent Netflix (tout comme le précédent Google -) montre à quel point les différents qui opposent les membres de l’Union Européenne servent les visées des entreprises étrangères.
Ces discours et hautes considérations culturelles sont à rapprocher de celui tenu il y a moins d’une semaine par le Député Claude Gloasgen en préparation au projet de loi sur le terrorisme. Un discours qui compte six fois le mot « guerre », et dans lequel l’on note des petites phrases telles que « Je crois, même si je le regrette, que la situation va devenir suffisamment grave, et il faudra certainement des lois d’exception » et « En 2005, un social-démocrate anglais qui s’appelle Tony Blair a établi en Angleterre le control orders. En réalité, c’est ce que nous allons devoir faire ». Si la chose se comprend bien en matière de police traditionnelle, elle semble plus douteuse sur le terrain de la défense du territoire numérique. Les lois, d’exception ou non, sont limitées aux frontières d’un pays. Côté défense du territoire numérique, il n’existe guère plus de véritable Ligne Maginot qu’il n’en existe sur le terrain fiscal, culturel ou politique.

C’est là que réside toute la différence entre un Royaume Uni qui s’allie et s’intègre totalement dans la géopolitique du « Grand Large », et une Europe qui affirme son identité culturelle et son indépendance numérique en utilisant un arsenal 100% « made in USA » et dont le contrôle est également 100% « made in USA ».

La discrète collusion entre les services de renseignement US et les principaux acteurs des TIC a lourdement plombé sinon le chiffre d’affaires, du moins la confiance que la clientèle pouvait leur accorder. Les révélations Snowden collent à la peau d’Apple, Microsoft, Google et assimilés, qui n’ont de cesse de publier annonce sur annonce pour tenter de rétablir une virginité douteuse. Chez Apple, la grande muette de la sécurité mobile, plus jamais, c’est juré, l’entreprise ne fournira la moindre information sur le contenu des terminaux de ses clients. Non pas en opposant une armée d’avocats à chaque commission rogatoire présentée par la police, mais tout simplement parce que le mécanisme de chiffrement d’IOS 8.x est tel que seul le propriétaire de l’appareil et possesseur de la clef pourra y accéder, explique Craig Timberg du Washington Post. Si le système de chiffrement peut résister-croit-on- aux outils de la NSA, en est-il autant de la résistance physique du possesseur de l’appareil ?

D’autant plus qu’une information contradictoire vient ternir cette annonce triomphante : la disparition du « canari de garde » dans les rapports de transparence Apple. Ce « canari de garde », ou indicateur de compromission, émaillait les tous premiers rapports et garantissaient qu’Apple n’avait jamais reçu de demandes invoquant le « Patriot Act », contraignant l’entreprise à communiquer des données client aux autorités fédérales. Or, remarque Jeff John Roberts de GigaOM, cette mention a totalement disparu du dernier rapport.

Toujours selon Craig Timberg, toujours dans les colonnes du Post, l’on peut constater que Google, grand collecteur et collectionneur de données personnelles devant l’éternel numérique, promet une offre semblable sur la prochaine édition d’Android : chiffrement et politique de sécurité à tous les étages.

Cette annonce semble avoir secoué le landernau Android car, dans la foulée, Samsung annonce la diffusion gratuite de la version d’entrée de gamme de son MDM sous Android baptisé Knox (gestion des partitions sécurisées, signature des programmes…). Les fonctions évoluées, telle que l’intégration aux ADS de Microsoft, demeurent payantes, mais l’outil de supervision « de base » peut amplement suffire aux besoins de toute TPE ou structure artisanale.

Il ne faut pourtant pas perdre de vue que cette guerre des communiqués n’aborde pas la question des défauts principaux de la téléphonie mobile. A commencer par les failles et instabilité des noyaux eux-mêmes, la fragilité des applications disponibles sur les différentes places de marché, le fait même que ce qui garantit la sécurité des données sur la plateforme N n’est pas nécessairement compatible avec la version N-1… et en matière de smartphones, le poids de l’hétérogénéité des modèles « hérités » grève lourdement la protection des données contenues. Enfin, chiffrement et MDM sont totalement incapables de verrouiller la fuite d’information des métadonnées, le profilage des habitudes d’usage, les logs de connexion sur des serveurs extérieurs, voir le contenu même expédié sur lesdits serveurs. La seule téléphonie sécurisée possible est une téléphonie autiste, qui n’utiliserait qu’un seul réseau sécurisé et isolé des autres opérateurs, reposant sur force chiffrements, et ce durant une durée limitée dans le temps correspondant à l’espérance de vie de ce même système de chiffrement. Tout le contraire de ce qu’attend le monde de la téléphonie grand public.