juillet, 2015

Thomas Pontiroli, de Clubic, a déniché, au détour d’un article de la loi sur la Transition Energétique un article 22 rendant illégal l’obsolescence programmée. Et de citer l’exemple d’Apple, contraint par une « class action » d’ouvrir un service de maintenance destiné à changer les accumulateurs intégrés de ses baladeurs numériques. Réparer plutôt que de changer, la différence est sensible pour le porte-monnaie de l’usager.

Mais hormis quelques exceptions qui relèvent manifestement de l’abus de position dominante, l’obsolescence programmée non seulement est consubstantielle à la loi du marché et quasiment impossible à prouver. Si une telle loi devait, un jour, être mise en application, il serait difficile d’établir la culpabilité du vendeur, à moins de transformer les prétoires en laboratoire de test mille fois plus tatillon et technique que celui de 50 Millions de Consommateurs.

L’on peut prendre à titre d’exemple le composant le plus commun qui soit dans l’alimentation d’un appareil. Un condensateur chimique 100 uF/10V vendu par n’importe quel grossiste professionnel en Europe est caractérisé par un MTBF (temps moyen de bon fonctionnement) qui excède rarement 1000 heures, soit, en continu, 500 jours, moins de 2 ans. Longévité qui peut être facilement divisée par deux si ledit composant est situé à côté d’une surface chauffante… à tout hasard le dissipateur de chaleur d’un régulateur de tension. Cette « fragilité » est intrinsèque à la technologie utilisée, et remplacer cette pièce par un autre composant offrant une meilleure tenue dans le temps (condensateur au tantale par exemple) s’avère dix fois plus coûteuse et cent fois plus polluante (http://www.consoglobe.com/coltan-metal-sanglant-dans-telephones-cg). L’argument « coût de production » peut-il être assimilé à de l’obsolescence programmée ? Ce genre de question risque de plus enrichir les avocats que les consommateurs.

Ce choix technique se retrouve à tous les stades de production d’un matériel ou d’un logiciel, le second étant généralement lié aux capacités du premier. Qui, de l’œuf ou de la poule, est alors frappé d’obsolescence programmée ? Le logiciel qui n’est plus adapté à la machine qui le supporte et dont les frais de maintenance pèsent plus lourd que sa valeur vénale, ou, par exemple, le processeur qui a entraîné cette course à la technologie ? L’obsolescence programmée n’est pas toujours liée à une panne, de moins en moins souvent d’ailleurs. A contrario, peut-on soutenir ce « droit à la longévité » lorsque l’on sait qu’un ordinateur de bureau des années 90 peut consommer plus de 400 W et ne développer que le quart de la puissance d’une machine portable contemporaine ? Idem pour les téléviseurs à tube cathodique ou plasma, les automobiles, une grande partie des appareils électroménagers… La course à la technologie, aussi insupportable soit-elle en termes de gaspillage, peut être défendue avec des arguments étayés. Là est le paradoxe de cette loi très technique, qui utilise comme véhicule un texte tout empreint d’écologie : parfois, le « durable » est écologiquement plus dévastateur que le « jetable », et les fabricants ne se gênent pas pour transformer leur recherche du profit pour une juste croisade sous la bannière du respect de l’environnement. Vous avez dit sophisme ?

Le seul juge capable de faire obstacle à cette frénésie de changement de modèle et cette course au « toujours plus » ne travaille pas dans les prétoires et ignore tout du Code Civil ou du Journal Officiel. Ce juge, c’est le consommateur, celui qui reste accroché à son Windows XP « parce qu’il fonctionne », celui qui conserve son Nokia 7110 « parce que c’est celui de Matrix », celui qui envisage sérieusement le fait que sa prochaine voiture n’aura pas d’ordinateur de bord, vecteur de panne, de captivité aux réseaux de concessionnaires mais également d’optimisation des niveaux d’injection de carburant. Mais pour que ce juge puisse, en son âme et conscience, prendre une décision équitable, il lui faut un dossier, des informations et des témoignages. Et l’on en revient à la notion d’acquisition de l’information, de tests, de compétences polytechniques. Le combat n’est pas perdu d’avance, mais le consommateur et la justice ont affaire à des adversaires coriaces.

Et la sécurité ?

Si l’on considère les implications d’une telle loi du point de vue de la SSI, les mêmes dilemmes cornéliens se posent. Entretenir un source dont l’héritage, les principes et les méthodes de conception sont, depuis, considérés comme de véritables nids de bugs, peut être à juste titre assimilé à une inutile dépense d’énergie et d’argent. Idem pour le matériel, et plus particulièrement pour les équipements (routeurs, caméras IP, outils de mobilité) dont la gestion et la maintenance des firmwares et des logiciels deviennent rapidement un casse-tête en raison de la limitation en mémoire et en performance des appareils anciens. Entre essuyer les plâtres d’une nouvelle version et subir les lourdeurs d’un programme à 70% constitué de rustines et de correctifs de sécurité, la question ne se pose jamais. Soit la DSI tente, au mieux de son budget, de moderniser son parc, soit elle se cantonne dans un « if ain’t broken, don’t fix it ». En général, ce genre d’attitude finit toujours par faire la une des journaux : TJ Maxx, Heartland, TJX…

L’idéalserait alors le système informatique « pas trop vieux », que l’on connaît et que l’on maîtrise, qui ne souffre pas trop des multiples opérations de remédiation, mais « pas trop jeune » non plus et qui ne force pas à une plongée vers l’inconnu. Le « ni neuf, ni tombé en obsolescence » programmée ou non. Mais cette logique du « ni ni » devrait, pour fonctionner, s’étendre à la totalité des éléments constitutif du S.I. … ce qui est évidemment impensable.

Une étude commanditée par HP et portant sur la sécurité des « montres intelligentes » laisse un petit goût amer qui rappelle fortement les débuts du Web : croissance débridée, sécurité illusoire. Et pourtant, cette étude utilise comme socle de référence ce que l’on pourrait appeler le « minimum minimorum » des règles à respecter, celle de l’Owasp IoT.

Et les reproches sont nombreux :

– mécanismes d’authentification et d’identification insuffisants. 30 % des appareils sont vulnérables à des attaques en « moissonnage de compte », beaucoup d’entre eux offrant une faible politique de mots de passe, pas ou peu de système de limitation du nombre de tentatives d’entrées, pas ou peu de mesures de protection du login.

– absence fréquence de chiffrement des données transmises. Le sujet a été abordé de nombreuses fois, notamment par Axelle Apvrille à l’occasion de Hack in Paris.

– Interfaces dénuées de procédures de sécurité, détail fâcheux lorsque l’on sait que la majorité de ces appareils utilisent des interfaces Web dans le cloud

– Logiciels et firmwares peu fiables, qu’il s’agisse des méthodes de mise à niveau desdits logiciels, ou des processus de validation et de conformité de l’écriture du code.
– Fréquente absence de mécanismes de protection des données privées contenues dans lesdites montres. Cela va de l’identité de l’usager à l’accès à ses données (emails, appels téléphoniques, annuaires) auxquels la montre intelligente peut accéder. Ces manquements élémentaires aux règles de sécurité informatique prennent une tournure particulièrement préoccupante lorsque ce genre d’accessoire est connecté à un réseau d’entreprise.

Le rapport recommande des mesures qui ne sont probablement pas aisément applicables à des produits somme toute très « grand public ». Authentification à double facteur, politique de mot de passe administrable et pouvant être renforcée (sur une montre !), contrôle des droits d’accès… la vision d’une sécurité professionnelle sur un équipement mobile qui n’a jamais été conçu pour ça repose une fois de plus les problèmes du Byod… mais à la puissance 10.

Un concurrent au réseau Tor ? Quatre universitaires Helvètes et un Britannique ont publié un mémoire décrivant > un réseau « onion routing » capable de très hauts débits , plus de 93 Gb/s. Baptisé Hornet, ce réseau utilise un système de cryptographie symétrique qui ne subit plus les ralentissements liés aux segmentations internes de la structure de Tor.

Un groupe d’Anonymous revendique le vol des identités (identifiant, adresse email, numéro de téléphone bureau) d’environ 4200 employés du bureau de recensement US. Le but étant de protester contre les dispositions TPP et TTIP (accords d’échanges maritimes internationaux)

Plus de 7 mois pour corriger un bug dans Internet Explorer ? Vous avez réagi plus vite pour corriger la faille « Hacking Team », semble dire le Zero Day Initiative qui divulgue (sans trop de détails toutefois) l’existence de trois « zero day » I.E., immatriculées ZDI-15-359, 360, 361, et 362.

L’on peut se gausser du manque de sécurité qui a entouré les serveurs de l’Italien Hacking Team, mais il faut bien admettre que certains des outils qu’ils ont développé relèvent du Grand Art. C’est le cas surtout de leur RCSAndroid, RCS pour Remote Control System. Ce malware, qui est opérationnel sur toutes les versions d’Android, de Ice Creams à Jelly Beans, a été décortiqué par l’équipe de Trend Micro. Et ses performances sont impressionnantes : capture et expédition d’écran, surveillance du « presse-papier », récupération des mots de passe WiFi et de tout ce qui ressemble à un réseau social ou à un outil de communication en ligne (Skype, Facebook, Twitter, Google, WhatsApp, Mail, LinkedIn, Facebook Messenger, WhatsApp, Viber, Line, WeChat, Hangouts, Telegram, BlackBerry Messenger), utilisation du microphone pour « espionner » les conversations à distance, récupération des courriels Gmail, des SMS et MMS, géolocalisation de la cible, activation à distance de l’appareil photo/caméra (objectifs avant et arrière)…

Indémodable, RCSAndroid a été opérationnel depuis 2012, et n’a, pas une seule fois, été détecté. Il aurait été activé grâce à l’envoi d’un SMS depuis un serveur situé en république Tchèque, et un C&C (centre de commande) aurait été actif durant plusieurs années au cœur même des USA.

Compte tenu des caractéristiques plus « qu’intéressantes » de cet outil d’espionnage mobile, il y a fort à parier que des pans entiers de code soient un jour réutilisés et intégrés dans d’autres exploits « dans la nature ». Le fameux virus universel pour mobiles qu’agitent, tel un épouvantail, les vendeurs d’antivirus (lesquels se sont bien montrés incapables de soupçonner l’existence de RCSAndroid) pourrait bien voir le jour prochainement. Tout ça grâce aux efforts non pas d’une organisation mafieuse, mais de Hacking Team, un « professionnel de la sécurité ». Internet et le monde de la mobilité est devenu une zone de non-droit du fait même des agissements de ceux qui prétendent y faire régner « la loi et l’ordre ».

Annoncé en grandes pompes en mai dernier, et accompagnée d’une préversion publique, le Microsoft Advanced Threat Analytics (MS-ATA) voit sa sortie confirmée pour le mois d’août par Alex Simons en personne, le Directeur des « prog man » de la division « Identity and Security Services ». ATA est un outil de détection d’intrusion (un concurrent direct des FireEye, Palo Alto Networks, GateWatcher), sorte d’hybride de DPI (deep packet inspection) et d’outil d’analyse comportementale utilisant des fichiers de profils d’utilisateurs. Ce serveur de sécurité est l’évolution de la gamme d’Aorato, entreprise Israélienne absorbée par Microsoft en novembre 2013. Aorato, à l’époque, était plus orienté « vérification/authentification » des usagers référencés dans les ADS.

C’est devenu aujourd’hui, précise Simons, un outil véritablement destiné à protéger les infrastructures matérielles internes à l’entreprise (les installations « on premise », par opposition aux infrastructures « cloud »).

Toujours selon Simons, la prochaine édition intègrera une foultitude d’améliorations :

– détection des multiples méthodes d’attaque Pass-the-Ticket, Pass-the-Hash, Overpass-the-Hash, exécutions à distance, attaques brute force

– Prise en compte des multi-domaines

– Support des SLT (dénomination de domaines sans suffixe ou préfixe)

– Amélioration du support de systèmes non-Windows

– Détection automatique des équipements « NATés »

– Continuité de service en cas de disparition du contrôleur de domaine

– Monitoring de l’état de santé des systèmes (y compris modification des configurations, pertes de connectivité etc.)

– Processus de résolution automatique des noms de machines et numéro IP pour simplifier le travail d’analyse des activités suspectes

Difficile de garder son sérieux à l’écoute du journal télévisé d’Outre Quiévrain diffusé par VTM Nieuws. Afin de sensibiliser les employés travaillant dans la Fonction Publique, la communauté Fédérale Flamande a adressé à plus de 20 000 de ses fonctionnaires un email de « faux phishing » pour le moins inquiétant. Il s’agissait d’une prétendue facture de 19 750,50 Euros en règlement d’un voyage organisé à Paris, train et hôtel tout confort compris, facture établie sur papier à en-tête Thalys. Et, comme il est de coutume dans ce genre de relation épistolaire, il était demandé de communiquer les coordonnées bancaires et personnelles en cas d’annulation du voyage.

Le Phishing était plus vrai que nature, puisque même la compagnie de TGV n’avait été mise au courant de l’opération. Du moins jusqu’au jour fatidique car, plutôt que d’en référer aux services informatiques de l’Administration, les prétendues victimes se sont précipitées à grande vitesse sur leurs téléphones et ont fait exploser les standards de la compagnie de transport ferroviaire.
Après des excuses publiques, les spécialistes Flamands de la sensibilisation, honteuxzéconfus, jurent, mais un peu tard, qu’on ne les prendrait plus.

Madame quel est votre mot

Ecrivait l’Abbé de Lattaignant, qui sur le mot et sur la chose en savait sûrement quelque chose.

Mais, depuis l’affaire des fuites Ashley Madison, un site qui met en avant la chose en assurant que l’on taira le mot, les propos des uns dépassent la mesure des choses. C’est probablement encore un coup de « l’attachée de presse diabolique » ou du « DirCom démoniaque ». Car Avid Life Media (ALM), le groupe à la tête du site piraté, vient de publier un communiqué considérablement plus étonnant que le hack en question où les conséquences vaudevillesques de son hack. Passons discrètement sur les traductions hasardeuses des premières phrases mentionnant l’existence de « parties non autorisées qui auraient eu accès… » le vocabulaire du monde de la pénétration de système échappe certainement aux porte-paroles du cyber-marivaudage.

Non. Ce qui plongera le lecteur dans des abîmes de perplexité, c’est plutôt la phrase suivante : « Any and all parties responsible for this act of cyber–terrorism will be held responsible ». Cyber-terrorisme, le mot est lâché et ça nous laisse tout chose. L’on imagine immédiatement les hordes de censeurs sanguinaires regroupés sous le blason « à deux porte-jarretelles de gueule au pal de carnation », se ruant dans les entrailles des serveurs d’ALM. Cyber-terrorisme… le mot désigne-t-il la chose ?

Tout aussi remarquable est la première sentence de ce même chapitre « At this time, we have been able to secure our sites, and close the unauthorized access points ». En moins de 4 jours, sur une série de serveurs gérant plus de 47 millions de comptes, les gourous de la Communication de Groupe sont parvenus à auditer, analyser, découvrir les parades et déployer celles-ci. Voilà qui est encore bien plus fort que le hack Areva.

Mais quel est donc le mot qui désigne tant la chose qui consiste à prélever une commission en numéraire (sous prétexte d’abonnement) afin de mettre en relation deux personnes qui veulent faire la chose ? Sur ce point, le communiqué ne pipe mot.

Les plus courtes sont les meilleures : Stephan Esser publie un PoC visant OS X 10.10 qui autorise une élévation de privilège (donc la prise de contrôle d’un système) avec un code de moins de 150 caractères.