février, 2016

La guerre des bloqueurs de publicité résumée par Neal Krawetz. Depuis fin 2015, le nombre de sites qui bannissent les usagers d’AdBlock et autres outils du genre est en constante croissance, invoquant la « perte de revenu publicitaire qui implique la disparition du modèle de diffusion gratuite ».

Pour Krawetz, ce mode de chantage et, par extension, les pratiques de plus en plus agressives des annonceurs, non seulement commencent à se confondre avec les techniques des diffuseurs d’Adware, ces quasi-virus publicitaires, mais encore frisent les pratiques illégales telles que l’injection de véritables malwares. Pour l’usager, entre un insert vantant les mérites de telle ou telle automobile et l’annonce d’un faux antivirus, il n’existe pratiquement plus de différence, les attitudes quasi mafieuses de contrainte et d’intimidation sont tout à fait comparables.

Le parallèle avec le spam et le lent pourrissement des services de messagerie s’impose. De simple message publicitaire occasionnel dans les années 80, le pourriel s’est transformé en une déferlante d’annonces fortement dominées par les vendeurs de produits de contrefaçon. A tel point que plus de 80% du trafic smtp, dans les années 90/2000, servait à vanter les mérites de pilules bleues de contrebande ou d’agences de mariage promettant des épouses aussi belles que soumises. Les outils antispam ont peu à peu assaini la situation. Deux raisons majeures à ce succès. L’un, purement tactique, initié par le monde des affaires, qui a très vite compris qu’il n’y a pas de bon business sans cet outil qu’est la messagerie, et qu’il était temps d’arrêter de tuer la poule aux œufs d’or. L’autre, strictement technique, puisqu’il est impossible de supprimer la réception de tous les courriels d’un usager sous prétexte qu’il utilise un logiciel antispam. Or, en verrouillant l’accès à divers sites d’information sous prétexte qu’un utilisateur a installé une copie d’AdBlock, c’est très exactement ce que font les média tels que Forbes, Wired, Newquest, Voetbal, Yahoo!Mail ou les publications du groupe Axel Springer. Ils conditionnent l’usage d’Internet au respect d’un comportement favorable au bénéfice de Google.

Autre ombre au tableau, les grandes agences et les annonceurs ne contribuent en rien à l’entretien et au développement des infrastructures Internet, ne versent strictement aucune contribution au prorata de la bande passante consommée ni ne se sentent concernés par l’alourdissement du bilan carbone occasionné (souvent près de 95 % d’une page de journal est constitué de publicités, scripts et autres codes étrangers au contenu informatif… à rapprocher des statistiques du spam). Les médias qui véhiculent ces réclament sont pris en otage, contraints de conduire une guerre qui n’est malheureusement pas la leur.

« Il est temps d’évoluer ou de périr » conclut Neil Krawetz. Soit les annonceurs et leurs grandes agences, Google en tête, exploitent le filon jusqu’à son épuisement, jusqu’à ce qu’il soit gâté à la racine et ne rapporte plus un liard, soit elles en reviennent à des pratiques moins intrusives, plus légères d’un point de vue écologique, plus respectueuses de l’usager et surtout moins dangereuses d’un strict point de vue de la sécurité des systèmes d’information.

Facebook, Google, Microsoft, Twitter et Apple s’exprimant d’une même voix, combattant côte à côte dans une formidable embrassade juridique : il n’y a que dans la peine que l’on reconnaît ses véritables amis. Inquiétés par les conséquences incalculables d’une victoire du clan « FBI/DoJ » dans l’affaire qui oppose Apple et la justice US, les ténors des NTIC d’Outre Atlantique annoncent qu’ils envisagent de déposer une « Amicus Brief » (un complément d’information auprès du tribunal) soutenant les arguments de Tim Cook relatifs au refus de collaborer à la fragilisation du chiffrement d’IOS 9. Cette décision collective intervient le même jour où Apple a fait appel devant la Cour de Californie, demandant l’abandon de ses exigences techniques, expliquent deux journalistes de Recode.

C’est un cri poussé par un membre de l’IEEE (Tekla Perry) en faveur d’une règlementation de l’IoT en termes de sécurité. « Après moult cogitations, il nous a semblé nécessaire de voir se créer un Cyber-Underwriters Laboratory » écrit en substance Perry. L’Underwriters Laboratory (UL) est un laboratoire indépendant US qui attribue des labels de conformité aux biens de consommation (électroménager, textiles, équipements de l’habitat etc.). C’est un proche cousin de la qualification CE Européenne qui garantit que l’appareil acheté ne présente aucun danger dans le cadre de son usage courant.

Et Perry d’argumenter en prenant çà et là des exemples de la vie quotidienne, notamment l’affaire Apple vs FBI, ou en mentionnant les conséquences du hack de la chambre froide d’un restaurant, une opération de racket suite à la compromission d’un système informatique ou la mort de cinq personnes dans un accident de voiture sans chauffeur (information non sourcée et sujette à caution). Il faut, insiste-t-il, sécuriser l’IoT comme l’UL sécurise des moulins à café ou des grille-pain, avec la collaboration active des fabricants, lesquels assureraient une maintenance de leurs appareils par le biais de correctifs de firmware distribués automatiquement.

Si l’intention est louable, elle semble cependant assez peu réaliste. En raison de l’ampleur d’une telle tâche tout d’abord. Tester l’intégralité des logiciels et firmwares liés à l’IoT est d’ores et déjà une tâche pharaonique. Mais également une vision techniquement irréaliste. Quel Cyber-UL serait en mesure de tester, puis détecter l’intégralité des failles d’un noyau Android ou d’un réseau Sigfox, quand bien même ledit laboratoire possèderait les codes sources en intégralité ? Enfin, quel fabricant accepterait de suspendre la commercialisation de ses produits à la décision d’un laboratoire alors que tout le secteur IoT n’est qu’une course au « time to market ». Quel constructeur serait prêt à inventer un réseau complexe de mise à jour alors que le business-model de l’IoT repose sur une rapide obsolescence des appareils, laquelle joue en faveur d’un marché en perpétuel renouvellement ?

Le véritable Underwriters Laboratory, tout comme le comité d’agrémentation CE, ne s’y est pas trompé : mettre les doigts dans l’engrenage de la certification logicielle d’un point de vue sécurité est un tonneau des Danaïdes dans lequel il serait vain d’y verser la moindre once de ressource, car ni le résultat, ni les efforts déployés n’amélioreraient grandement le paysage IoT en général, et ce, quels que soient les efforts financiers et humains que l’on y consacrerait.

En revanche, il ne serait pas vain d’encourager (par un label quelconque) lesdits fabricants à respecter des recommandations telles que celles de l’ Owasp IoT Project. Et encore faudra-t-il beaucoup de patience. Près de 15 ans après leur édiction, les recommandations Owasp dans le domaine de l’écriture des applications Web ne sont respectées que par une très faible minorité des développeurs. Il faudra bien le double de ce laps de temps pour que les professionnels de l’Internet des Objets adoptent une démarche vertueuse comparable.

Côté Apple tout d’abord, avec cette information du NYT laissant entendre que ses ingénieurs seraient en train de renforcer les mécanismes de chiffrement de leurs téléphones afin qu’il soit « impossible au gouvernement de débloquer un iPhone en utilisant des méthodes comparables à celles utilisées durant cet affrontement à la cour de Californie ».

Face à cette réaction , le procureur du comté de Maricopa (AZ) rend coup pour coup et décide d’interdire la fourniture de nouveaux téléphones Apple à son personnel nous apprennent nos confrères de NetworkWorld. « Le refus, de la part d’Apple, de coopérer avec les autorités dans le cadre d’une enquête liée au terrorisme place Apple du côté du terrorisme ».

Jouant les arbitres, The Grugq déconstruit la « théorie du complot » ourdie, selon lui, par le FBI et les milieux politiques tant Californien que Fédéral. Un couple paumé de terroristes amateurs, des scénarii d’attaques avancés par le FBI et surtout des demandes totalement injustifiables concernant Apple. Non seulement il ne s’agit pas du téléphone personnel de l’assassin (qui a été détruit) mais de son portable de travail, mais en outre la somme d’informations accumulées par le FBI dans le cadre de cette enquête ne justifie absolument pas ce genre de demande (propos également tenus la semaine passée par Edward Snowden via Twitter). Les services de renseignement intérieurs, conclut The Grugq, sont donc bel et bien en train de mener un combat purement politique, très éloigné de leur fonction régalienne.

Palo Alto publie un quadruple bulletin d’alerte. L’une des failles (PAN-SA-2016-0005) est considérée comme critique et ouvrirait la porte à des attaques distantes et à des dénis de service.

Tor serait-il en train de subir une attaque médiatique en règle ? Déjà accusé par les médias télévisés d’être le Darknet à lui seul (que les usagers d’I2P, GnuNet et consorts dorment rassurés), voilà que le réseau chiffré se transforme en pestiféré.

Avec une première étude, signée par de doctes universitaires de Cambridge (U.K.), Berkeley et Londres intitulée « Vous voyez ce que je vois ? Ou de la différentiation de traitement des utilisateurs anonymes ». Selon cette étude, Facebook en .onion serait un épiphénomène. Ils sont de plus en plus nombreux, ces sites qui refusent toute connexion à partir du moment où leur adresse IP est celle d’un nœud de sortie appartenant à l’Onion Router. En balayant le monde Web, les chercheurs ont compté pas moins de 1,3 million de serveurs bloquant une requête anonyme. D’ores et déjà, 3,7 % des services Web classés au « top 100 » Alexa se refusent aux utilisateurs Tor. Du coup, des usagers longtemps considérés comme « techniquement plus avertis que la moyenne » sont relégués au rang de cyber-citoyens de seconde zone. Car Tor n’est pas utilisé que par des journalistes nourris au sein de Reporter Sans Frontière . On y trouve également (majoritairement d’ailleurs) une faune peu recommandable, dont certains assez toxiques pour faire peur au plus placide des Webmestres et aux plus confiants des RSSI.

Craintes injustifiées ? Que nenni ! Affirme une seconde étude conduite par Daniel Moore et Thomas Rid, lesquels ont tenté de séparer et quantifier le bon grain de l’ivraie. Sous le titre de « Politique de chiffrement et le Darknet », les deux chercheurs concluent sans l’ombre d’un doute que la grande majorité des services et échanges sur le réseau .onion relève d’activités considérées comme illégales dans la plupart des pays. Sur un recensement de 5205 sites et 2723 serveurs réellement actifs, 1547 étaient liés à des activités douteuses : trafic de drogue, vente d’armes, pédopornographie, extrémisme, assassinat, piratage etc. Certains passages de l’étude sont particulièrement pénibles à lire. La méthodologie est disponible sur (il fallait oser) un serveur Tor ainsi qu’une rapide introduction et présentation de l’étude.

AlienVault,vendeur de consoles d’administration de sécurité, lance une alerte concernant une nouvelle forme de fausses mises à jour Flash. Cette attaque virale, baptisée OceanLotus, vise les systèmes Apple sous OSX, particulièrement sur territoire Chinois

Vive la télé-déclaration et l’internetisation des impôts. Aux USA, l’US Internal Revenue Service (IRS) alertes ses « happy taxpayers » que les emails de phishing prétendument émis par l’administration fiscale sont en hausse de 400%

Hackés durant le Week-end dernier, les serveurs de Linux Mint ont été « farcis » par des fichiers ISO truffés de portes dérobées. L’équipe en charge de cette distribution demande aux personnes l’ayant téléchargée de détruire instamment la moindre trace de cette version

Des « micro-plantages » de l’ordinateur de bord affectent les Volvo S60 et V70 modèles 2016, supprimant brutalement toute assistance au freinage ou à la direction. Dans un formidable « patch Tuesday », le constructeur rappelle 59000 véhicules