septembre 8th, 2015

Trois plaintes contre X viennent d’être déposées par un groupe de clients d’Ashley Madison dont les noms se sont retrouvés publiés sur Internet. Une plainte visant les intrus ? Que Nenni ! Nous apprend Databreachez.net. Sont menacés Amazon Web Services, l’autorité d’enregistrement et hébergeur GoDaddy et un opportuniste opérateur de services Web ayant ouvert les sites ashleymadisonpowersearch.com, adulterysearch.com, ashleymadisoninvestigations.com et greyhatpro.com. Autant de sites dont l’intérêt est précisément de faciliter la recherche d’un nom en particulier dans la multitude d’identités divulguées par les hackers puritains.

La chose n’est pas courante. Généralement, ceux qui poursuivent les messagers plutôt que les véritables auteurs d’un piratage sont spécialisés dans le commerce de gros systèmes de gestion de bases de données ou d’équipement de routage et de commutation. Faute de véritables coupables, il faut trouver une victime expiatoire située sur le même territoire que les avocats du plaignant, victime capable de verser quelques menues monnaies en guise de dommages et intérêts. Un psychopompe à phynance en quelques sortes.

Comme le fait remarquer notre confrère Databreaches, ce n’est pas le fait d’avoir contribué à la divulgation d’un nom et donc à porter atteinte à sa vie privée qui justifie cette action en justice, mais le fait qu’une telle chose pourrait survenir. L’hypothétique a donc valeur de risque, l’éventuellement possible se transforme en crime.

Toujours à propos du piratage Ashley Madison, quelques statistiques nous enseignent beaucoup sur le profil de la clientèle. L’abonné-type est en majorité masculin (on s’en doutait un peu), principalement citoyen des USA, loin devant le Canada pourtant mère-patrie de ce site de wannabe marivaudage. Tout de suite derrière les USA viennent le Brésil, l’Australie et l’Afrique du Sud (ah, l’impitoyable solitude de l’orpailleur, du chasseur d’opales et des mineurs de diamants).

Nombre d’usagers ce se service amoureux ont utilisé leur messagerie professionnelle, ce qui nous apprend que, par ordre de fréquentation, et dans le secteur des NTIC, viennent en tête les employés d’IBM, HP, Cisco, Apple, Intel, Microsoft, Samsung, SAP, Oracle et Qualcomm. Seuls un esprit chagrin pourrait émettre des propos désobligeants à propos du caractère castrateur du secteur des NTIC.

Peut-on inventer un successeur au mécanisme des certificats ? Depuis que les premiers malwares ont utilisé des certificats volés (Stuxnet fut probablement l’un des premiers, sinon le premier) rares sont les vecteurs d’attaques qui ne possèdent pas leur propre « patte blanche » estampillée officiellement par une autorité de certification authentique, constate le laboratoire de recherche de McAfee. On ne comptait que moins de 3 millions de binaires au premier trimestre 2013, et l’on atteint 19 millions de vecteurs d’infection au second trimestre de cette année, soit une multiplication par 6 de cette pratique en moins de 2 ans et demie. Quelle que soit la rapidité avec laquelle les éditeurs diffusent les répudiations, il en passe toujours un certain nombre entre les mailles des filets de défense périmétrique. A ce rythme, le mot certificat n’aura strictement plus aucune signification et le métier de C.A. devra opérer une sérieuse reconversion.

Traditionnellement, l’équipe sécurité de Dell (émanation du respectable Lurhq) nous abreuve d’analyses très techniques et très fouillées sur telle ou telle édition d’un bootkit Chinois ou d’un super-XSS vicieux. Pas ce mois-ci, ce qui ne signifie pas que l’article soit dénué d’intérêt.

Dave Jones est le très volubile et très enthousiaste animateur d’EEVBlog, un podcast vidéo diffusé sur Youtube que tout électronicien qui se respecte consulte à périodes régulières. Et parmi ses émissions les plus écoutées, celles dénonçant les escroqueries techniques : multimètres Chinois qui explosent bien en deçà des tensions maximales de sécurité, sondes d’oscilloscopes frelatées, faux composants démarqués… les « technologies » sont souvent une aubaine pour les faisants qui exploitent la peur, l’incertitude et le doute, notamment dans le domaine des « zondes qui tuent », des économies quotidiennes, du flicage supposé, de la santé en général.

Récemment, Jones est tombé à bras raccourcis (preuves techniques à l’appui) sur un appareil nommé « Batteriser » soi-disant capable d’accroître la longévité (donc a priori la capacité) d’une pile alcaline de plus de 800%. Ce défi aux lois de la physique (on est au-delà de la découverte du mouvement perpétuel) ne semble pas avoir « mis en alerte » plusieurs de nos confrères journalistes, y compris au sein de la rédaction de PC-World, lesquels ont fidèlement reproduit le communiqué de presse vantant les mérites d’un tel appareil. Sans effectuer la moindre mesure, sans surtout se poser de question ou faire le rapprochement entre cette annonce fracassante et la promesse d’une levée de fonds participative sur l’un des principaux sites de crowfunding … De toute évidence, l’auteur du « booster de piles miracles » avait préparé le terrain par un tir d’artillerie médiatique avant de lancer son assaut contre les économies de quelques milliers de pigeons. Avant de partir avec la caisse …

Dave Jones enfourche donc son Youtube de bataille et part en croisade contre ces exploiteurs de la crédulité humaine en passe de mener à bien l’une des plus grandes escroqueries du genre. La riposte ne se fait pas attendre. Puisque qu’il est quasiment impossible de faire taire l’imprécateur en lançant une attaque en déni de service contre Youtube, il est toujours envisageable de submerger les podcasts de l’auteur par des remarques négatives et autres « dislike », cette forme de dictature participative qui tient à la fois de la loi de Lynch et du DdoO (déni distribué d’opinion). Une telle augmentation des commentaires négatifs provoque un impact direct sur les revenus d’EEVBlog (revenus liés à la publicité notamment). Tu menaces mes rentrées d’argent, je m’attaque aux tiennes, on est dans le droit fil des pratiques mafieuses : intimidation et racket.

Les commentaires négatifs émanant principalement du Vietnam, Dell se demande alors s’il s’agit d’une attaque indirecte utilisant des proxy situés dans ce pays, ou si ce flot de commentaires n’est autre que le résultat d’une offre de service émanant d’un prestataire Vietnamien spécialisé dans ce type de contre-feu. Cela a-t-il la moindre importance ?

L’une des principales failles de sécurité qui affecte Internet est précisément sa capacité à imposer, parfois par la violence, souvent en exploitant l’ignorance, une forme de pensée unique, particulièrement lorsque des intérêts financiers sont en jeu. Car rien ne vient techniquement distinguer un véritable consensus démocratique (la vox populi) d’une calomnie ou d’une doxa techniquement orchestrée par un bot herder ou quelques robots. Et contre ce genre d’attaque, il n’existe aucun autre firewall que celui du bon sens et de l’éducation. Nul bout de ferraille vendu 2,5 dollars ne peut élever une tension résiduelle sans perte de conversion, nulle puissance ne peut s’accroître sans apport extérieur d’énergie, le principe Lavoisier est immuable. Hormis en marketing, seule science capable de transformer du vent en or.