Archives

Intégralis fait son show : le 7 juin 2012 au Karé Magik (Porte de St Cloud), démonstration d’outils SIEM et de solutions de gestion des flottes d’appareils mobiles (MDM). Seront également présents d’autres vendeurs tels qu’ActivIdentity, Bluecoat, Check Point, F5, Juniper, LogLogic, MobileIron, Palo-Alto, RSA, Sourcefire, TrendMicro…

Google Drive, le tant attendu, s’est ouvert cette semaine. En faisant abstraction des « détails », ce service ressemble à la plupart de ceux offerts par les concurrents déjà en place : affichage du contenu des fichiers via navigateur web pour plus de 30 formats, partage des fichiers entres membres d’une communauté (les cercles Google+ ou correspondants Gmail)… l’espace libre par défaut, en configuration gratuite, est nettement inférieur à ce que propose Microsoft (qui offre 5 fois plus de capacité), les 25 Go supplémentaires coûtant 25 dollars par an, ou 100 Go pour 50 $, jusqu’à concurrence de 16To pour 800 $. Tout comme beaucoup de ses concurrents, et fidèle à son habitude, l’Eula de Google cache certaines petites phrases assassines qui ont déjà fait réagir avec vivacité une grande partie du public nord-américain et certains blogueurs Français attentifs aux détails

« When you upload or otherwise submit content to our Services, you give Google (and those we work with) a worldwide license to use, host, store, reproduce, modify, create derivative works (such as those resulting from translations, adaptations or other changes we make so that your content works better with our Services), communicate, publish, publicly perform, publicly display and distribute such content. The rights you grant in this license are for the limited purpose of operating, promoting, and improving our Services, and to develop new ones. This license continues even if you stop using our Services (for example, for a business listing you have added to Google Maps). »

Traduction primaire: ce que vous expédiez sur Google Drive vous appartient bien, soyez-en certain. Mais nous, Google, nous nous réservons le droit de prendre lesdites données et d’en faire ce que bon nous semble, y compris les modifier, les reproduire, d’en tirer des contenus dérivés, de les publier, d’en faire la publicité… Su casa es mi casa, ne l’oubliez pas !

Lorsque des entrepreneurs Français brandissent les risques liés à l’extraterritorialité du stockage et du traitement Cloud, les représentants de Google insistent sur le respect du droit Français, sur les garanties de recours auprès du siège Parisien… Attitude très courageuse lorsque l’on sait la détermination avec laquelle la commission Hadopi pourchasse toute personne coupable de « duplication » d’œuvres numériques (piratage en langage gaulois) et la hargne dont font preuve les agents de la force publique chargés de faire respecter la LCEN et la Loppsi. Ou pas.

Faut-il avoir peur de Jonathan Brossard et Florentin Demetrescu ? Ces deux chercheurs ont développé Rakshasa. Et pour qui s’est un peu intéressé au pandémonium Hindouiste, les Rakshasa sont des êtres que l’on n’aime pas trop avoir pour voisin. Et celui de MM Brossard et Demetrescu encore moins que les autres, puisqu’il s’agit d’un Bios forgé pouvant intégrer n’importe quel vecteur d’attaque, y compris un rootkit « pré-boot » (ou bootkit).

D’un point de vue alchimique, Rakshasa est un concentré de bonnes choses, parfaitement innocentes d’ailleurs. Notamment Coreboot et Seabios, des substituts open source de Bios pour machine en architecture X86. De précédents travaux avaient prouvé la possibilité de camoufler dans ces microcodes des charges utiles persistantes (car chargées en NVRam), indétectables aux antivirus, invisibles aux HIPS…

Mais l’équipe Brossard/Demetrescu transforme ce qui pouvait être désagréable en quelque chose de franchement démoniaque, en intégrant dans le patrimoine génétique de Rakshasa un autre procédé tout aussi innocent et très utilisé dans les mondes unixiens et par les anciens utilisateurs de réseaux Novell : l’injection de code via réseau et protocole PXE (ou plus exactement son équivalent open source, iPXE). Inutile de préciser que le nombre de machines compatibles avec ces trois développements est absolument impressionnant. Pour parachever le tableau, l’on peut préciser que

– l’injection de ce bios modifié peut fort bien s’opérer via un lien Wifi, ôtant à l’administrateur tout espoir (ou presque) de conserver une trace de l’intervention sur ses logs réseau

– que la mise à jour systématique du bios de la machine, par mesure de précaution purement chamanique, peut être contrée en installant d’autres instances de l’exploit dans d’autres espaces de stockage. Sur l’espace PXE d’une carte Ethernet par exemple, espace qui n’est utilisé que très rarement de nos jours. D’autres extensions PCI possèdent également des eproms aisément accessibles qui sont autant de nids à infection échappant à tout scanner ou antivirus de la création.

– Que l’injection elle-même (le flashage du bios en quelques sortes) est totalement indépendante du système d’exploitation choisi. Seule la charge utile devra être adaptée…

Une fois le tout refondu en un unique vecteur d’attaque, Rakshasa peut s’installer et travaille un peu comme la douve du mouton : du centre névralgique de la machine, en un point situé en deçà du système d’exploitation, le méphistoBios peut embarquer trappes, outils de contournement ou de blocage destinés à compromettre la machine cible.

Hackito Virtuoso ?
Le développement de Rakshasa est-il seulement une preuve de virtuosité technique ? Pour l’heure, oui, indiscutablement. Peut-on considérer cet outil comme utilisable à grande échelle ? C’est tout à fait envisageable… c’est même, compte tenu de la quasi impossibilité de mettre à niveau l’intégralité du parc informatique matériel mondial, une véritable aubaine pour les armuriers spécialisés dans la cyber-guerre. Rooter via liaison Wifi, cinq ou six machines dans un ministère stratégique peut faire bien plus de dégâts, bien plus discrètement, que le plus tenace des Conficker. Mais s’attaquer, en mode furtif, aux millions d’ordinateurs d’une nation, c’est s’offrir le plus joli des botnet, aussi difficile à tuer que le canard de Robert Lamoureux. Il y a dans Rakshasa de la véritable graine d’APT et de techno-espionnage pas trop difficile à mettre en œuvre. Ce ne sera certes pas la principale menace des années 2012 et suivantes, mais son scénario d’exploitation est assez réaliste pour perturber le sommeil de quelques responsables informatiques dans quelques secteurs Scada par exemple. Si l’on se souvient de la fameuse « intrusion longue durée » qui avait frappé Areva avec des moyens traditionnels, on peut aisément imaginer ce que cela pourrait donner avec un bootkit aussi vicieux.

Au Tibet, les Rakshasa sont gentils
Mais il n’y a pas que du mauvais, dans cet exploit. Une trappe « ante-kernel land » que l’on peut télécharger, qui accepte de contenir des charges utiles dans le « domaine utilisateur », et que l’on peut tout aussi aisément faire disparaître sans que le moindre log ou le moindre scanner ne puisse en témoigner, cela peut être très utile à des entreprises dont le personnel itinérant souhaiterait se protéger de l’inquisition d’un Patriot Act par exemple. Ce pourrait également être la voie d’une nouvelle génération d’applications «dans le cloud » (cloud interne s’entend) qui expédie vers des clients légers non plus seulement une instance d’un système et de ses applications, mais également d’un firmware que l’on sait certifié et fiable. Toujours sur ce même thème, le déploiement forcé de bios Open Source précisément tels que ceux de Coreboot, pourrait mettre fin aux soupçons de « rootkits chinois dans les ordinateurs Lenovo ». Soupçon qui avait, à une époque, donné au Sénat Américain l’occasion d’émettre une recommandation à l’encontre de cette marque, ancien satellite d’IBM et qui était largement utilisé dans les administrations US.

Rakshasa pourrait également servir de base de travail à une extension des services de déploiement de patch « bas niveau ». Sans aller jusqu’à envisager des attaques reposant sur les failles bios (Joanna Rutkowska n’est pas la seule à en avoir parlé), un outil de mise à jour de ce type permettrait de débloquer des fonctions ou en limiter d’autres sans que l’administrateur n’ait à sortir de son bureau, et sans faire appel à des outils propriétaires généralement peu administrables et incompatibles avec les consoles de supervision les plus utilisées. L’idée est d’ailleurs exploitée depuis fort longtemps dans la gestion des terminaux mobiles ou des clients-fins, mais avec des solutions propriétaires.

Ah, pour les plus paranoïaques de nos lecteurs : rappelons que la majorité des Bios de nos machines utilisent non plus d’antiques eproms 27C512, mais des mémoires programmables en mode série, lesquelles ne passent en écriture que sur validation d’un signal Write Enable sur une broche du circuit. Et jusqu’à présent, on n’a encore jamais vu de rootkit capable de modifier la position d’un strap ou de dessouder une résistance de pull-up. Parfois, le bonheur, c’est simple comme un coup de cutter sur une piste ou un usage adroit du fer à souder.

Apple colmate deux failles importantes dans Webkit et une dans Safari. Que les participants du prochain p0wn20wn se le disent !

Apple encore, qui commence à battre un certain nombre de records ces temps-ci. Après son demi-million de machines infectées en raison d’une certaine « lenteur » dans la correction d’une faille Java, voici qu’est révélée l’existence d’une très probable distraction lors de la compilation de FileVault, le mécanisme de chiffrement de son système OSX Lion. Selon David Emery, chercheur Bostonien et titulaire de l’indicatif N1PRE, un « debug switch » aurait été laissé au sein du programme et aurait pour conséquence de conserver le mot de passe de l’utilisateur inscrit en clair dans un fichier de log. Du coup, les parties du disque protégé par FileVault (dont le déblocage nécessite la saisie du dit mot de passe) est ouvert aux quatre vents. Rien de grave, ce ne sont pas les données d’Apple qui sont en danger. Seulement celles de ses usagers.

Le très habituel correctif Microsoft colmate 23 failles, dont 8 considérées comme critiques et 3 ZDE… Au passage, on peut remarquer l’existence de la MS12-034, qui fermerait, nous explique l’éditeur, la porte au vecteur d’infection du botnet Duqu, et qui bouche au passage 10 failles portant un numéro CVE. Pour une fois, ce n’est pas Internet Explorer qui rafle la palme du plus gros cumulatif, mais la suite Microsoft Office, Windows, .NET Framework et Silverlight. D’ailleurs, les défauts corrigés visent, ce mois-ci, essentiellement des applications : MS12-029 met fin à un danger d’attaque distante via Word, MS12-030 résout également un risque d’attaque distante utilisant des fichiers Office forgés, MS12- MS12-031 bouche une fuite de l’afficheur de fichiers Visio, la MS12-035 ajoute une rustine sur .Net… reste deux risques d’élévation de privilège sur des défauts touchant TCP/IP (MS12-032) et le gestionnaire de partitions (MS12-033), deux problèmes considérés comme mineurs car nécessitant un accès console et un compte déjà authentifié.

Adobe,de son côté, bouche un ZDE exploitable -CVE-2012-0779- dans Flash player. La mise à jour 11.2.202.235 (torpilleur coulé) peut être téléchargée sur le site de l’éditeur.

Simultanément, ce même Adobe demande aux usagers de Shockwave Player 11.6.4.634 (escorteur touché) de passer rapidement à l’édition 11.6.5.635… Shockwave et Flash sont des « pâtes mères » fort appréciées des marmitons développeurs d’exploits en raison de leurs bugs relativement nombreux. En conservant une immatriculation des versions quasi unixienne, très adaptée au grand public, on comprend la raison pour laquelle les botnets apprécient particulièrement Adobe.

Gardons le meilleur pour la fin : Oracle émet un bulletin d’alerte prévenant la possibilité d’une attaque distante baptisée « TNS Listener Poison Attack » et qui concerne les éditions 11g et 10g de la base de données. Par le plus grand des hasards, cette alerte est émise peu de temps après qu’un chercheur Espagnol, Joxean Koret, ait osé publier quelques détails sur ce défaut exploitable à distance. Cet irresponsable hacker a manifestement forcé la main de l’éditeur de bases de données, ne lui donnant qu’à peine le temps de réagir. En effet, ce chercheur avait signalé l’existence de ce défaut il y a à peine 4 ans. Son inconsciente et hâtive publication sur la liste Full Disclosure précise que le défaut pourrait être qualifié d’endémique, puisqu’il semblerait être âgé de plus de 13 ans. La datation au carbone 14 ne pouvant s’appliquer aux failles, une estimation plus précise n’est hélas pas envisageable.

C’est avec sa rapidité de réaction légendaire que la société Oracle a donc été contrainte de publier une mesure de contournement (non, il ne s’agit pas d’un véritable « bug fixing »… le temps était bien trop court). Quelques esprits mal tournés s’interrogent sur le nombre exact de trous de sécurité connus de l’éditeur et laissés béants pour les besoins d’une cause ou d’une intelligence inconnue.

S’il fallait résumer Hackito Ergo Sum en 5 lignes, une fois n’est pas coutume, l’affaire serait simple : Renaud Lifchitz (BT) a exposé sur la place publique que les banques, dans le monde entier, étaient en train de diffuser une nouvelle génération de cartes de crédit dont l’usage peut s’avérer ruineux (au sens propre) pour leur clients, et le couple Jonathan Brossard / Florentin Demetrescu a expliqué comment sous-mariner n’importe quel ordinateur « Wintel » de manière permanente, à distance, et sans que la chose puisse être détectable (voir article suivant). Les autres présentations, plus techniques, plus verticales, étaient plutôt destinées à un public de spécialistes, et reprenaient en général des travaux souvent exposés au fil d’autres conférences sécurité.

…. Et malgré un contenu d’une gravité et d’une importance incontestable (car touchant soit aux données personnelles de tout informatisé, soit à son portefeuille), pas un seul médium grand public n’est sorti du traitement « convenu » de l’évènement : les hackers sont des spécialistes qui se réunissent de temps en temps… probablement dans le but de se reproduire. Une race qui n’appartient qu’à deux familles : celle des dangereux cyber-terroristes qu’il faut surveiller, museler, condamner à des peines de prison, et celle des gentils nerds dépassés par les réalités quotidiennes, professeurs Nimbus des temps modernes. Il y a là indiscutablement un problème de communication, de vulgarisation et de pédagogie qui concerne l’ensemble des professions de la sécurité informatique, et dont les conséquences sont bien plus graves qu’une simple histoire d’image de marque ou de couverture média d’un évènement en particulier.

Mais revenons sur le hack de Renaud Lifchitz, British Telecom. Sa présentation, Hacking the NFC Credit Card for Fun and debit, explique que la nouvelle génération de cartes de crédit “sans contact” (en gros, utilisant la même technique que les RFID pour la traçabilité de la viande bovine et la gestion des forfaits de ski) permet d’extraire, à plusieurs mètres de distance, les informations non chiffrées suivantes :

Sexe

Nom

Prénom

PAN (numéro de compte primaire)

Date d’expiration

Données contenues sur la piste magnétique

Historique des dernières transactions

Ainsi qu’un code CVV à usage unique ne servant qu’à des transactions de faible valeur

Excusez du peu. Ces cartes sont systématiquement distribuées depuis le début de l’année 2012.

Comme si cela ne suffisait pas, Renaud Lifchitz précise que cette absence de chiffrement pose plusieurs autres problèmes secondaires : sans protection des données bancaires et nominatives, la transaction financière (et pas voie de conséquence le département de la banque chargée de l’opération), n’est plus conforme aux normes PCI-DSS. La Cnil, quant à elle, s’inquiète du possible pillage de centaines de milliers d’identités à l’heure (un simple portique d’interrogation camouflé dans un couloir du métro par exemple). La gendarmerie, pour sa part, y voit un excellent moyen pour déclencher une bombe à distance à proximité d’une personne précise et spécifiquement visée… Cela ne suffit pas ? Lifchitz continue « les données peuvent être directement accessibles via des attaques MIM pour effectuer des achats plafonnés à 20 euros, somme limite autorisée pour les NFC. Voir pour fabriquer d’autres cartes clonées sur le marché du carding, cartes qui seront acceptées dans la majorité des pays d’Outre Atlantique notamment, lesquelles n’exigent ni « puce », ni contrôle du CVV. Les données peuvent également être utilisées sans le moindre support physique, pour effectuer des achats sans plafond, sur des sites de vente en ligne. Une rapide vérification des mécanismes de payement sur Internet nous prouve que la majorité des sites de vente dans le monde n’utilise pas le code CVV « véritable » pour authentifier la transaction, et lorsque ce code est demandé, il est souvent possible de fournir n’importe quel suite de 3 chiffres… il n’y a aucune vérification ».

Mais il y a pire encore. Contrairement à ce que Renaud Lifchitz explique (par prudence scientifique) nul n’est besoin de dépenser 2000 euros d’amplificateur et 1000 euros d’antenne pour lire ces cartes de crédit NFC à plus de 1 à 15 mètres : un bon radioélectronicien un peu compétent dans le domaine des ondes courtes fabriquera son outil à pirater les cartes Visa « NFC » pour la modique somme de 100 euros (allez, poussons à 300 Euros si l’on ajoute un petit amplificateur HF de 50W PEP réalisé à coup de transistors FET sérieux). Mais ce n’est là encore qu’un aspect technique de la question. Le véritable problème vient des organismes qui ont mis au point un système de payement sans contact non chiffré, imposé sans demander l’assentiment des clients, sans la moindre information technique ou éclairage des risques encourus, technologie enfin sur lequel le légitime propriétaire n’a strictement aucun contrôle du genre « marche/arrêt ». Des constructeurs d’automobiles ont été contraints de rappeler des milliers de véhicules pour bien moins que çà, avec en prime une place de choix sur la première page des journaux. Pourtant, dans ce cas précis, aucun contre-pouvoir, aucune voix ne s’est élevée, contraignant ainsi les banque à retirer immédiatement leurs nouvelles cartes de crédit.

Pas une ligne en dehors de la presse spécialisée. Le lobby des organismes financiers et leurs avocats fait-il si peur à nos confrères ? Le message était-il formulé de manière trop « geekesque » pour être compris ? La crainte d’une annonce jugée catastrophiste aurait-elle soudainement préoccupé la conscience des reporters des quotidiens nationaux qui, il n’y a pas un an, rédigeaient des titres sur 5 colonnes alertant la population du très improbable danger Stuxnet ? Il se creuse là indiscutablement un « digital divide » entre ce qui pourrait réellement préoccuper les consommateurs Français et les grands canaux d’information. Si la presse généraliste ne peut pas transmettre de tels messages, il faudrait alors que soit remise sur le tapis la question de la création d’un véritable CERT grand public, un cyber-Ombudsman à la Suédoise comme en possèdent déjà la Grande Bretagne et l’Allemagne. Un travail que ne peuvent remplir les autres Cert nationaux, ni le « A », ni le « Renater », ni le « IST » pour d’évidentes raisons historiques et fonctionnelles… encore moins les Cert bancaires qui seraient, dans de tels cas, juges et parties, pas plus que des structures telles que l’Anssi, qui atteint ici les limites de sa compétence (le mot compétence désignant ici périmètre de mission, et certainement pas ses capacités techniques).

Sans l’autorité indépendante que serait ce Cert grand public, il est impensable que les banques elles-mêmes acceptent de perdre de l’argent en retirant du marché ces centaines de milliers de cartes déjà en service, et surtout divulguent elles-mêmes une information pouvant porter atteinte à leur bien le plus précieux : la confiance. Un Cert possède un pouvoir bien plus grand qu’une Cnil. Un seul de ses communiqués fait immédiatement réagir un Microsoft ou un Google. Les banques y seraient également sensibles. Etre accusé de spéculation sur les edge fund, passe encore, l’activité est jugée très virtuelle. Mais jouer au loto avec la sécurité des particuliers, il y a fort à parier que la pilule ne passe pas.

Il apparaît également qu’au cours des travaux de Mr Lifchitz, une remarque a été formulée par différents intervenants, revenant comme un leitmotiv : il ne faut pas affoler la population. Ignorance is a bless diraient les anglo-saxons. L’homme de la rue*se voit demander son avis sur l’avenir politique de l’Europe ou sur le choix du prochain Chef d’Etat, mais il est jugé incapable de déterminer si oui ou non le risque de lecture de ses coordonnées bancaires est un fait important.

En attendant, la Cnil est sur les dents, les fabricants de carte planchent sur la conception d’une solution chiffrée dont la date de disponibilité est inscrite dans les fumées éthérées de la pythie de Delphes, la gendarmerie ne rit pas (ce hack est vraiment à la portée d’un enfant de 10 ans), et la grande majorité des porteurs de cartes de crédit NFC dorment en paix. Quant aux rares personnes informées, elles se sont prises d’une passion soudaine pour les feuilles de mu-métal.

*NdlC Note de la Correctrice : L’homme de la rue est composé en moyenne par 50 % de femmes soit, sous un angle sociologique, 84% des personnes responsables de l’équilibre du budget des ménages.

Du 31 mai au 1 juin prochain, dans la ville du Havre, se dérouleront les rencontres Seagital qui seront placées sous le signe de la « marétique ». Ce néologisme désigne toute activité du monde maritime et fluvial en matière de technologies numériques. Ce serait nouveau, ce serait tendance… et de grands acteurs tels qu’IBM et EADS possèderaient déjà une offre appétissante en matière de numérisation batelière.

En fait de nouveau domaine d’activité, il n’y a strictement rien de particulièrement révolutionnaire. Les infrastructures de communication et de traitement des données dans le transport maritime et fluvial font partie des infrastructures dites Scada, de celles qui ne datent pas d’hier. Les marins ont été parmi les premiers à utiliser des outils de communication sans fil dès les années 1910/1915. La transmission de l’inventaire de chargement (le « connaissement » disent ceux qui aiment faire des phrases), les routes maritimes empruntées, les rôles d’équipages et autres documents précèdent l’arrivée du bâtiment au port depuis les années 50-60, via des réseaux de télex et de transmission Tor (protocole radio sans rapport avec l’onion router). Passons sur les Tabarly, Pageot, Kersauson ou Riguidel (tadadaaaa) qui ont popularisé l’usage de la téléphonie par satellite, de la géolocalisation GPS et balise Argos, de l’analyse météorologique basée sur la réception directe du réseau NOAA… Celui qui tient bon la barre et tient bon le vent, de nos jours, a plus souvent l’œil fixé sur son écran plat 20 pouces que le « nez dans la plume » bref, les TIC chez les marins, c’est un peu comme les inaugurations de chrysanthèmes pour les hommes politiques : une question d’habitude et une seconde nature.

Reste que les choses changent. Car lorsque l’on invente un terme marketing pour vanter les mérites d’une informatisation unifiée, l’on sous-entend très souvent le mariage d’une multitude de métiers via un réseau unique pas toujours étudié pour. Des moteurs au calcul de cap, en passant par la gestion/optimisation du fret, la coordination des logistiques terre/mer, le suivi de flotte etc., tout pourra être interconnecté nous promet-on afin de simplifier la transmission des flux entre métiers. Et c’est dans les détails que se cachent généralement les défauts les plus diaboliques. Les inquiétudes relatives aux récentes attaques et accidents «involontaires » ayant affecté des infrastructures Scada ont montré que le danger se situait toujours au niveau des jointures logicielles plus ou moins calfatées, des passerelles d’interopérabilités sabordées, des changements de technologies lof pour lof. Sans parler de l’arrivée d’équipements plus modernes censés à la fois faire économiser beaucoup d’argent et améliorer l’ergonomie générale des commandes de processus complexes. C’est ainsi que l’on a pu découvrir la présence de virus sur des architectures Wintel installées dans des complexes nucléaires, et que l’on est esbaudi des fournisseurs d’énergie ou de traitement des eaux qui ont eu le bonheur de retrouver les descriptions de leurs installations sur Pastebin… Sans oublier le jour où la Marine Française (nous savons ce qu’elle nous dit, la Mârine Frangsaiseu) a écopé d’une homérique invasion de Conficker en octobre 2009. A4-B9, Charles de Gaule touché-coulé. Depuis, les marins marris se marrent lorsqu’ils entendent parler de navigation et d’électronique. C’est plus l’homme qui prend la mer, c’est l’amer qui prend l’Ohm.

L’arrivée de la Marétique est donc une excellente nouvelle pour la profession de chasseur de failles, RSSI ou CSO en quête d’un bel uniforme. Ce terrain de jeu aux richesses insoupçonnées sera un très probable vecteur de fuites d’informations personnelles et industrielles. Car quelle que soit la méticulosité dont feront preuve les équipementiers, quelle que soit l’attention et le professionnalisme des intégrateurs, ce Scada marin prendra l’eau « par construction et par définition » pourrait-on dire. Espérons simplement que les « patch Tuesday » y seront appliqués avec célérité, et que l’on pourra sans état d’âme continuer, dans cette noble profession, à saluer tout ce qui bouge et repeindre tout le reste.

Roland Moreno nous a quitté cette semaine, bien trop tôt (il n’avait que 66 ans), laissant dans son sillage un cortège d’hommages tirés de Wikipedia, d’éditos pensifs et poussifs sur « le génie qui inventa la carte à puce », ou sur l’auteur de la « Théorie du Bordel Ambiant » qui apprit à la gente geekesque ce qu’était un sophisme 2300 ans après Socrate*.

Pour l’équipe de CNIS Mag, Roland Moreno fut un véritable catalyseur, l’origine d’une vocation. Cela nous ramène au début des années 90, à l’époque où la plupart des lecteurs de la presse micro « grand public » étaient généralement capable de lire la ROM désassemblée de leurs propres machines, et n’attendaient pas de leurs journaux favoris le énième article sur l’utilité d’une appliquette récupérée sur un Market quelconque. Internet n’existait que pour quelques universitaires et entreprises du monde Unixien, et les geek, nerds, dorks et autres mordus se plongeaient à claviers perdus dans l’univers virtuel des BBS, alias les « microserveurs »… qui n’étaient absolument pas l’ancêtre d’Internet. Gufi, Ouf, Suptel, Lil’s BBS, le savoir en ligne s’échangeait au prix de la minute de communication, le plus souvent en 300 ou 1200 bauds grâce à des modems frisant généralement un demi-salaire mensuel.

Flashback.

Roland Moreno, en ces temps anciens, commercialise des modems, et notamment le fameux Tristan (tri-standard : V21/V22/V23), lequel peut être associé à un logiciel BBS tournant sur plateforme Apple II. Ce logiciel est né d’une francisation et d’une « légère » modification d’un programme originaire du domaine public venu d’Outre Atlantique, puis revendu par l’entreprise de Roland Moreno, Hello Informatique. Toujours à cette époque, l’un de ces BBS tourne en permanence dans les bureaux de l’Ordinateur Individuel (NdlC : l’auteur de cet hommage y a sévi quelques temps …). Un soir de bouclage particulièrement pénible, le DuoDrive, lecteur de disquettes de notre « II+ », émet son ractacktaktak caractéristique. Deux heure du matin… les téléchargeurs-fous des « Jeux de l’OI » sont-ils insomniaques ? Par curiosité, nous jetons un œil sur l’écran de la machine, histoire de comprendre de quoi peut bien se nourrir un primo-informatisé noctambule. La curiosité fait rapidement place à l’inquiétude lorsque le « client » parvient à sortir de l’environnement BBS en activant une backdoor, et commence à farfouiller dans la mémoire de stockage de l’ordinateur (128 Ko tout de même !). Blocage de l’intrus, intervention au clavier pour demander à ce quidam ce qui motive sa cyber-perquisition : Roland Moreno (car c’est lui) nous avoue qu’il chasse ainsi les copies pirates de son logiciel, lequel ne peut être activé qu’après échange d’un « magic number » délivré seulement par les modems de la marque Hello Informatique.

Il faut préciser qu’à l’époque, r00ter une machine sans l’autorisation de son propriétaire n’appartenait pas au domaine du pensable : chaque usager était un hacker, mais un hacker responsable et respectueux du bien d’autrui.

C’est donc grâce à Roland Moreno (et à ses explications techniques qui furent données par la suite avec gentillesse et humour) que nous pûmes sortir notre premier titre sur un « remote exploit » qui n’était pas franchement à l’avantage de la société Hello. Ce qui plus tard nous a conduits à nous passionner pour ces usages hors norme des réseaux de machines. Moreno, en jouant la carte de la transparence et du « full disclo », avait compris que faute avouée et corrigée est rapidement pardonnée. A la fois hacker, chef d’entreprise, agitateur d’idée, un peu pirate, littéraire à tendance technoïde adorant les jeux de mots Oulipistes et les blague Goscinnyennes, on se souviendra de Roland Moreno comme d’un Pic de la Mirandole moderne… et d’un précurseur dans la catégorie hippisme à la mode de Troie.

NdlC Note de la Correctrice : La connotation péjorative de l’appellation « sophiste » est un héritage de la dialectique socratique/platonicienne : diaboliser et discréditer son adversaire lorsque l’on est à court d’arguments logiques. Les sophistes étaient pourtant des gens très biens, parmi lesquels on trouve pas mal d’épicuriens.

Pour ceux qui n’ont pas eu le plaisir de passer une semaine de tourisme à Singapour, les transparents des principales conférences de SyScan 2012

Virus Flashback, le canard est toujours vivant ! Selon les statisticiens de Dr Web, le botnet Flashback qui a frappé près de 600 000 Macintosh ne parviendrait pas à se résorber, contrairement à ce qu’auraient annoncé des concurrents

A noter : l’article de Sonia Faure dans Libération sur la multiplication des fichiers de police, leur usage abusif, leurs contenus erronés et dans un cas sur deux, leur illégalité …