Archives

Sophos vient d’annoncer la reprise de l’éditeur Allemand Dialogs, un spécialiste de la gestion des flottes mobiles. C’est un premier pas dans le domaine du MDM, le « mobile device management ». Le communiqué de l’entreprise Britannique ne précise pas le montant de l’opération.

Selon Hervé Maurey, sénateur centriste de l’Eure et Vice-président de la commission de l’économie, du développement durable et de l’aménagement du territoire, France Télécom manquerait à sa mission d’amélioration des infrastructures sur l’ensemble du territoire au profit du développement des réseaux 4G et fibre. Le drainage des campagnes par ADSL est encore loin d’être achevé, et le sénateur Maurey y voit le signe certain d’un désintérêt pour les régions rurales.

Certains y voient un encouragement au piratage dans le seul but de provoquer un besoin, là où la concentration de population est la plus importante. L’indigence des offres légales de contenus audio-vidéo est telle à l’heure actuelle que cette course au haut débit ne peut avoir d’autre explication. Les opérateurs télécoms lorgnent depuis longtemps le marché prometteur de la diffusion de contenu, sans parvenir réellement à éliminer les grands prestataires déjà en place : majors du disque et du cinéma, chaînes de télévision, marketplaces d’éditeurs etc.

Dans les campagnes, et ce quel que soit l’opérateur ou FAI concerné, le prix des abonnements sont les mêmes qu’en ville. Avec généralement des vitesses d’accès bien plus faibles, une qualité de service VoIP inexploitable, une carte de dégroupage qui traîne en longueur faute de mise à niveau des plateformes ATM, des bouquets de services de base amputés…

Il est passé quasiment inaperçu, cet article du The Atlantic relatant les travaux du professeur Paul Heald de l’Université de l’Illinois. Les propos de ce professeur, ainsi que les chiffres de son étude statistique, sont disponibles sur YouTube

Dans les grandes lignes, et en se basant sur les ventes du catalogue Amazon, il apparaît que les œuvres qui ont dépassé le siècle (autrement dit qui ne sont plus soumises au copyright) se vendent autant sinon plus que les nouveautés publiées en cours d’année. Mieux encore, les livres tombés dans le domaine public sont publiés par deux fois plus d’éditeurs et font l’objet de deux fois plus d’éditions (d’impressions) que des livres nouveaux, ceci pour un prix de vente sensiblement identique. Les trois mousquetaires sont au même tarif qu’une production Beigbeder. Tant que le copyright frappe les possibilités de reproduction d’un livre, ses chances de se faire mieux vendre passées les trois premières années de sortie sont quasi nulles : les chiffres ne mentent pas.

Les raisons de cette situation sont multiples. En premier lieu, la date fraîcheur d’un livre contemporain est très vite dépassée, en raison du déluge marketing des ouvrages tentant de prendre la relève. Au bout d’un an, le volume de vente d’un livre moderne chute de plus du tiers, et les espérances au bout de la troisième année ne sont plus que de 10 % du volume initial, toutes publications confondues. Les droits de reproduction n’encouragent pas trop les « reprint » compte tenu d’une part des frais que cela représente, et d’autre part de la difficulté de refaire du neuf avec du déjà vieux. Enfin, les produits imprimés ont, en volume, atteint une progression telle qu’il sort chaque année ce qui sortait en un siècle entier il n’y a pas 80 ans. L’industrie de l’édition est une forêt qui cache l’arbre en en tuant des millions (des arbres, bien entendu, et des livres par voie de conséquence). Enfin, pourrait-on ajouter, l’industrie du livre se rend coupable des mêmes excès que ceux constatés dans les domaines de l’édition musicale et cinématographique : l’éphémère et le volume de production immédiat l’emportent généralement sur la qualité, et l’on assiste depuis les années 70 à l’émergence d’une littérature de consommation courante, évènementielle, à très brève durée de vie. Il y a aussi de l’effet Britney dans les ouvrages d’hommes politiques, de chevaliers d’industrie, de romanciers-express moderne : aucune aspiration à la postérité dans ce genre d’écriture, seulement une volonté de vendre, vite, beaucoup, rapidement.

A contrario, les livres tombés dans le domaine public ne sont plus entravés par les coûts dus aux ayant-droits (aux USA, principalement des auteurs et descendants). Ils ont, de plus, franchi l’épreuve du temps, et ne sont rééditées que les valeurs sûres… les imprimeurs et grands librairies jouent sur du velour. En outre, la pérennité d’une réédition d’ancien est plus longue… d’une année sur l’autre, une édition de livre considéré comme classique ne perd que quelques pourcents de sa diffusion, et il faut attendre plus de 4 ou 5 ans pour que les ventes chutent de moitié. On est loin de la rapide obsolescence de l’écrit moderne.
Il faut préciser que cette étude porte essentiellement sur un thésaurus d’ouvrages de langue anglaise et de livres audio (qui n’ont que très peu de succès en Europe). Mais la tendance générale s’applique également au marché européen pour ce qui concerne l’édition papier.

Il y a fort à parier que ces statistiques sont connues depuis très longtemps par les éditeurs eux-mêmes. Pour preuve, certaines maisons d’édition tentent de « se refaire » en numérisant, puis en vendant et en protégeant avec des DRM, des œuvres françaises appartenant au domaine public. Racket pour certains, préservation de la mission d’éditeur pour d’autres, la position est difficilement défendable puisque ces œuvres numériques ne coûtent rien en termes de diffusion.

En outre, l’on voit apparaître depuis quelques temps des lobbys d’éditeurs qui militent en faveur d’une appropriation des œuvres « anciennes mais non encore tombées dans le domaine public », dites Œuvres Orphelines. Si l’on se rapporte au graphique ci-dessus fourni par l’étude du professeur Heald, il s’agit ni plus ni moins de « décaler vers la gauche » les ventes de livres encore protégés par les droits de reproduction, qui ne coûteraient rien en terme de réédition (faute d’ayant droit déclarés) mais qui pourraient rapporter autant qu’une rosière de l’année. L’appât du gain est tel que des mouvements de pression agissent au niveau Européen pour organiser ce que certains (dont l’Aful) considèrent comme une forme de vol organisé au profit d’un quarteron d’entreprises financières.

Nous nous trouvons aujourd’hui à l’aube d’une évolution des usages, qui pourrait bien changer une nouvelle fois les statistiques des grands ( du grand) marchands de livres : le livre électronique. Plus aucun circuit de diffusion physique n’est nécessaire entre l’éditeur et le lecteur. Sans oublier un détail qui a son importance : l’écriture ne se démode pas. Si l’on peut sourire aux accents larmoyants de Tino Rossi ou de Léo Dassary, les mots et les idées de Lucrèce, de Dumas, de Plutarque, de Balzac, voire de Pierre Dac ou de Michel Audiard ne prennent pas une ride. Ce qui veut dire que plus se développera le livre électronique, plus l’industrie de l’édition sera en concurrence directe avec un mastodonte indestructible, le thésaurus des œuvres du domaine public, celui-là même qui se « vend » autant que les productions de l’année lorsqu’il est réédité en format papier, et qui risque bien de battre tous les records s’il est disponible et diffusé gratuitement sur le marché des tablettes tactiles et liseuses.

Tout comme dans les domaines de la musique et de la vidéo, la seule parade que pourront trouver les éditeurs consistera à augmenter la proportion d’œuvres de qualité dans la soupe générale de la production de consommation. Dans le cas contraire, il faudra s’attendre à ce que se reproduisent les mêmes erreurs, les mêmes fausses études, les mêmes cris d’orfraie, les mêmes rudutexelisations d’une industrie qui est nettement moins bien portante que celle de la musique de distraction ou des blockbusters Hollywoodiens.

Selon une analyse du cabinet Mediametrie, rapportée par nos confrères de Tom’s Guide, les quelques 30% de chute du trafic Internet provoqués par la fermeture de Megaupload et de ses satellites (et de de l’effet domino sur des sites comme Torrific et consorts) s’est traduit par une augmentation des consultations des sites de streaming. Pendant ce temps, les tarifs des films proposés en offre légale qui se développent, dépassent souvent le prix d’un DVD ou d’une place de cinéma. Ceci indique clairement soit que les sociétés de production ont un intérêt à voir se développer le piratage des œuvres et la cyberdélinquance, soit qu’elles sont dirigées par des personnes n’ayant strictement aucune notion d’économie et de stratégie… ce qui serait tout de même relativement surprenant.

La polémique a plus ou moins débuté sur la liste Daily Dave, lorsque Dave Aitel, patron d’Immunity Sec et vendeur d’un redoutable outil de pentesting, signale l’existence d’un article d’Andy Greenberg dans les colonnes de Forbes. Il relate notamment la performance de l’équipe Vupen lors du challenge P0wn20wn. En un temps record, le groupe de Français éparpille façon puzzle les tripes du navigateur Google, mais refuse, au moment de la remise des prix, de fournir la recette de son exploit.

Consternation

Dévoiler les secrets de fabrique est une quasi-tradition lors de ces concours. L’esprit du jeu s’inscrit dans la droite ligne des CTF Defcon ou des courses au cassage de clefs de chiffrement. Des concours généralement remportés par des gourous du code venus soigner leur image de marque ou par des instituts de recherche disposant de réseaux de machines massivement parallèles dressées à détecter des « collisions » aussi hermétiques tortueuses et abstruses que les pensées cachées d’un homme politique en période pré-électorale.

L’histoire aurait pu toutefois s’arrêter là. Un discret « Nous réfléchissons aux modalités liées aux nécessités de remédiation éventuelle de ce genre de vulnérabilité, mais il est encore un peu trop tôt pour en fixer les étapes définitives » aurait noyé le p0ney avec tout au plus quelques remarques acides dans certains blogs de la côte Ouest. Une non-présence au dit concours aurait même été bien plus efficace… ou, en admettant que la participation de Vupen à cette épreuve soit d’une importance marketing certaine, une troisième place ou l’usage d’un exploit moins sensible serait passé comme un courriel au MTA*.

Mais le patron de Vupen, très probablement emporté par l’ivresse de la victoire et la pression des journalistes sur place, manque de diplomatie, et déclare que « même contre un million de dollars nous ne partagerons cette connaissance avec Google/…/ Nous conservons cette découverte pour nos propres clients ». 3pic F4il diplomatique : Vupen n’a fait qu’énoncer très haut ce que ses concurrents pensent tout bas… la discrétion est mère de la porcelaine, dans le business de la cyber-armurerie.

Il n’en faut pas plus pour que le papier de Greenberg fasse réagir l’EFF (Electronic Frontier Foundation). On sait très bien à qui Vupen et les sociétés de ce type vendent leurs exploits, écrivent en substance Marcia Hofmann et Trevor Timm : aux pays membres de l’Otan, dont font partie des pays peu réputés pour leur sens aigu de la démocratie : Russie, Ukraine, Azerbaïdjan, Bello-Russie… et de conclure « tout chercheur en sécurité qui vend un exploit zéro day à ceux qui l’utilise autrement que pour réparer le logiciel incriminé porte la responsabilité de contribuer à un Internet moins sûr pour ses usagers » (any security researcher selling zero-day exploits to those who take advantage of vulnerabilities rather than fixing the software is responsible for making the Internet less secure for users).

Greenberg récidive avec un second papier « faire son marché de ZDE » : tous les tarifs des exploits secrets qu’utilisent les hackers. Un barème que reprennent d’ailleurs nos confrères de ZD Net. La liste de prix en question semble un peu fantaisiste (la valeur de l’exploit Flash dans la vraie vie, par exemple, est située bien en dessous de 100 000$, et encore, s’il est payé) mais ce tableau donne au grand public une information qui, jusqu’à présent, ne dépassait pas les discussions entre gens du milieu : on vend du trou logiciel, et il existe un business de ce qui peut en résulter, à savoir un programme d’espionnage.

Hors, le maquignonnage de la faille avec exploit est un sujet tabou. Tabou car il recouvre une foultitude de cas de conscience.

A commencer par celui soulevé depuis des années par le mouvement « full disclosure », qui milite pour une divulgation publique du défaut en vertu du principe qu’une faille connue est une faille à laquelle on fait attention et que l’on soigne, soit par application d’un correctif, soit par mise en œuvre d’une mesure de contournement. Face à eux, les défenseurs de la sécurité par l’obscurantisme, qui prônent la discrétion : faille inavouée n’est pas à corriger, et coûte donc rien au contribuable. « A condition que les blackhats ne découvrent pas cette faille à leur tour » rétorquent les premiers. La querelle dure depuis quelque 20 ans.

Vient ensuite la question de la rétribution des inventeurs de failles. Une revendication qui date de l’époque des multiples « Month of XXX Bug » et de la campagne « No more free bug » lancée en mars 2009 par trois grands noms de la découverte de faille : Dino Dai Zovi, Charlie Miller et Alex Sotirov. Le message est simple : La découverte d’une faille et de sa méthode d’exploitation (donc de son indice de dangerosité) est le fruit d’un travail important. Nous ne voulons plus travailler « pour la gloire et pour des prunes », les failles devront pouvoir être monnayées, et non pas être le prétexte de la part des éditeurs de menaces de poursuite en justice (rappelons que la loi Française peut être sujette à interprétation lorsque l’inventeur n’est pas un professionnel patenté).

Cette peur de l’avocat a d’ailleurs profité à des organismes pilotés par d’autres éditeurs, notamment le ZDI ( Zero Day Initiative ) qui joue le rôle de tampon entre inventeur et éditeur, et rétribue au passage le chercheur en fonction de l’indice de gravité de sa trouvaille. Dans la foulée, Google, la Mozilla Foundation et quelques autres éditeurs ont accepté de publier des tarifs officiels de rétribution en cas de découverte de faille. Mais la « L33t Prime » de Google, si l’on en juge par l’aventure Vupen, n’est pas assez bien payée pour être incitative.

Mais alors, pourquoi la vivacité de la réaction de l’EFF ?

Parce qu’avec le fil du temps, la liste « Full Disclosure » a vu ses principaux ténors quitter la scène. Certains par peur des représailles des éditeurs, d’autres sans motifs réel. Comment un « couple » comme http-equiv et Liu Die Yu, habitués à publier au minimum une faille exploitable par semaine, a-t-il littéralement disparu du jour au lendemain du paysage de la recherche en sécurité ? Pour certains, la raison se résume en trois lettres. NSA, CIA, FBI… Les fantasmes et les preuves indirectes des opérations de cyber-guerre, notamment les vagues d’intrusion « qui ne sont pas d’origine Chinoise de manière certaine » ont rapidement fait grimper les grilles de salaires dans la fonction publique. L’inventeur de faille ne travaille plus pour un Internet plus sûr et des logiciels plus sains, il œuvre à la défense de son pays. Jusque-là, rien de franchement critiquable, même si la moralité et l’amour de la paix en prennent un coup. Glissons au passage une remarque sur le vieux mythe de la «trappe NSA » contenue dans les sources Unixiens : à l’époque de cette rumeur, les noyaux en service étaient tous bien plus truffés d’imperfection qu’ils ne le sont à l’heure actuelle. Se fabriquer une trappe ne nécessitait aucun développement particulier.

Mais l’histoire récente a prouvé que l’usage de ces cyber-armes ne servait pas seulement à combattre des Etats-Nation en état de se défendre ou des hordes de terroristes. Ce que l’on pourrait appeler le « complexe Amesys » (voir l’ouvrage de notre confrère Jean Marc Manach sur le sujet ) frappe également ces fournisseurs d’exploits. Des outils pour se défendre, certes, mais des outils qui se banalisent et sont employés de plus en plus contre des citoyens « normaux ». L’exploit est à la cyberculture ce que l’écoute téléphonique était aux politiques il n’y a pas si longtemps : une technique de très basse police qui peut viser des journalistes, des acteurs, des syndicalistes… y compris dans des pays qui ne présentent pas les signes extérieurs d’une dictature. Le prétexte du terrorisme favorise les dérives et les actions populistes. Le danger de l’exploit ne réside pas dans sa fabrication mais dans son usage. Il en est de même pour tout autre engin de mort : canon de 155, automobile, couteau de cuisine…

Ce que l’EFF exprime, avec son communiqué, c’est que les vendeurs d’exploits doivent être conscients de leur responsabilité et de l’usage de leurs outils. Ils sont la source, pas coupables mais responsables indirects. Il ne peut y avoir d’amoralité (d’absence de problème moral) en vertu d’une logique d’entreprise : le marchand d’armes a autant de sang sur les mains que celui qui les utilise extrapole l’EFF.

La critique vise d’ailleurs moins Vupen (et concurrents) que les gouvernements clients de ces entreprises de vente d’exploit. Il faudrait que ces armes logicielles ne soient jamais banalisées, qu’elles ne franchissent jamais la frontière d’usage très précise qui sépare d’un côté l’armée (cyber ou non) et les services spéciaux (qui, puisqu’ils sont « spéciaux », utilisent des méthodes hors de tout cadre légal) et les forces régaliennes civiles, la police, la justice, qui se doivent de ne jamais dépasser les limites de la constitution. Aux politiques de ne pas déplacer ces limites ni rendre cette frontière trop élastique. Que les exploits servent à la défense de la nation, utilisés par des espions ou des militaires, passe encore, qu’ils soient utilisés contre les citoyens, à l’intérieur de nos frontières, cela devient insupportable. Un débat houleux qui n’est pas prêt de se calmer.

*NDLC Note de la correctrice : la Commission de la Langue Française s’interroge encore sur cette formulation moderne d’une expression fort ancienne. La quasi disparition des lettres-papier et des bureaux de poste ruraux aidant, certains dires doivent nécessairement évoluer ou périr.

Alors que l’on entend grincer chaque jour un peu plus le ressort du siège éjectable qui menace les locataires de la Rue du Texel, de nouveaux chiffres, de nouveaux éclairages laissent entendre des vérités nouvelles, ou plus exactement des faits que peu de personnes veulent entendre.

A commencer par cette étonnante frénésie pré-électorale qui frappe la Haute Autorité, qui, coup sur coup, lance les premières procédures qui conduiront aux poursuites de contrevenants supposés et vante à qui veut bien l’entendre son efficacité au fil d’un rapport de 14 pages au contenu discutable… et discuté, notamment par nos confrères du, Figaro, journal que l’on peut difficilement taxer d’antigouvernemental. Dans les grandes lignes, le mécanisme de délation mis en place par la Haute Autorité et assuré par des entreprises privées prétend à des victoires (la baisse du téléchargement de fichiers de musique et de vidéo numérique) en utilisant des statistiques expurgées. Certes, la peur du gendarme a fait brutalement baisser la fréquentation des sites d’échange P2P, cela ne fait aucun doute. Mais la brusque montée en puissance des sites de streaming a volontairement été sous-évaluée dans cette étude, explique l’article du « Fig.com ». L’article en profite d’ailleurs pour revenir sur un sujet qui fâche, l’indigence de l’offre légale en matière de produits de divertissement sur support numérique (et ce, malgré les tentatives de maquillage d’échelle effectuées sur les graphiques du rapport Hadopi). S’ajoute à cette pauvreté de l’offre les freins que les éditeurs imposent aux produits ainsi diffusés (verticalité des plateformes, catalogue peu étoffé, application de mécanismes anti-copie allant à l’encontre du principe de l’écoute « mobile »…).

Nos confrères de PCInpact rappellent à ce sujet une vieille étude de 2012 qui laissait clairement entendre que le « piratage » était un vecteur favorisant la consommation de produits légaux : plus je consomme, plus je suis victime d’accoutumance, plus je suis accoutumé, plus je cherche à enrichir les canaux d’addiction, donc plus j’achète de disques et de DVD. Cette logique qui règle depuis toujours le business de l’édition musicale, littéraire et cinématographique (voir également des logiciels) pourrait pourtant constituer la nouvelle voie qu’une Hadopi pourrait exploiter avec profit.

Mais pour y parvenir, il faudrait qu’un certain nombre de choses change. A commencer par la « motivation » des actions de la Haute Autorité. Interrogé lors d’un débat public sur les raisons des dispositions et sanctions, le patron même de l’Hadopi déclarait « parce qu’il fallait bien faire quelque chose ». Une politique de l’action à tout prix qui manquerait malencontreusement de réflexion étayée.

Si motivation il fallait trouver, ce serait déjà en abandonnant le langage amphigourique tenu jusqu’à présent. Ne plus parler d’œuvres, de mise en danger de la création artistique, de dols qui contraignent les artistes au chômage … L’art réel n’est que ce qui résiste au temps, quant au terme générique d’ayant-droit , il désigne financièrement essentiellement les sociétés de production, et quasiment pas les auteurs-interprètes. Une Hadopi qui clamerait franchement qu’elle défend avant tout les intérêts d’un système de fabrication de produits formatés, industriels, pourrait enfin justifier le fait que la duplication d’un produit (et non son vol au sens technique du terme) constitue un manque à gagner pour un business de produits de variétés et de divertissement (et ne voyons pas la moindre connotation péjorative dans cette formulation). Il n’y a dans cette vision aucune prétention artistique, aucun pseudo héritage créatif, seulement une logique de l’argent.
Si justification à la répression il fallait trouver, ce serait à la seule condition que les contrevenants les plus « coupables » soient punis proportionnellement à leurs méfaits. On appelle ça la « proportionnalité de la peine », notion absente de l’actuelle loi régissant le cadre de la Haute Autorité. Un adolescent accro à David Guetta peut fort bien fauter 3 fois de suite… sans pour autant mériter le titre de Serial Downloader. Techniquement parlant, c’est une victime du consumérisme de variétés. Il est en revanche assez étrange que l’Hadopi n’ait elle-même engagé aucune poursuite sur des IP qui ne téléchargent jamais mais qui « font télécharger », adresses pourtant généralement situées au sein de l’espace européen. EZTV par exemple et à tout hasard. Ou lorsqu’une organisation politique, une institution officielle ou qu’un élu quelconque se rend ouvertement coupable de violation de la loi et ne déclenche strictement aucun début d’enquête. La notion d’exemplarité et de responsabilité est pourtant bien présente dans le droit Français. Cette inertie, aux yeux du public, est rapidement assimilée à une coupable cécité, voir intelligence. Vae victis, malheur aux faibles. Passons sur l’impossible poursuite judiciaire des « incitations et culpabilités par intention » des opérateurs télécom et fournisseurs d’accès qui, bien que conscients de la quasi inexistence d’offre légale, continuent à argumenter à coup de « mégabits/seconde » et de « téléchargement rapide ». Las, ces intermédiaires sont difficiles à prendre sur le fait. Toute menace d’imposition directe ou indirecte se répercuterait d’ailleurs sur le montant des abonnements. Ces promoteurs du piratage sont totalement inattaquables. D’ailleurs, ne faut-il pas leur « acheter » le service consistant à fournir les noms de leurs clients ayant utilisé les adresses IP capturées par les services de délation de l’Hadopi ? Il y a là un pouvoir politico-financier absolument intouchable, contre qui la moindre menace se retournera vers l’internaute-citoyen, que celui-ci soit coupable… ou pas.
Si adhésion à sa politique il fallait inventer, ce serait enfin que l’Hadopi puisse reconvertir une partie de son budget dans l’aide à la création individuelle et de petites structures (les labels indépendants par exemple) et non dans la consolidation financière d’entreprises de production et de diffusion de grandes envergures qui, elles, ne se sont jamais aussi bien portées. Ce serait là faire preuve de parti-pris, sans le moindre doute. Mais les gestes politiques les plus forts sont précisément ceux qui vont à l’encontre de la logique financière. On ne peut éternellement parler d’exception culturelle sans parfois tenter de jouer ces cartes de l’exception… et de la culture.

Car si incitation à la consommation il fallait créer, ce serait avant tout en redonnant au monde du show-business une apparence de valeur par la richesse et de diversité, diversité issue précisément des productions des labels indépendants et des auteurs travaillant hors de tout sérail. Il ne s’agit pas là de rêver la mort des grandes usines à tubes et à séries B, mais d’espérer se voir instituer un mécénat d’Etat alimenté par les débordements de l’économie numérique. C’est cet apport de qualité qui diminuera la dépréciation générale des productions aux yeux des consommateurs. On pirate bien souvent parce que l’on considère que le produit ne mérite pas son coût affiché (surtout au tarif des offres en ligne, voir l’article de Cedric Blancher à ce sujet). En rendant à ces productions de divertissement au moins un vernis de prétention réellement artistique et créateur, l’on commencerait très probablement à culpabiliser ou responsabiliser les internautes qualifiés de « pirates »… alors qu’ils ne sont généralement que consommateurs de productions sans valeur.

Non, les lecteurs de CNIS ne sont pas frappés d’amnésie : la faille CVE-2012-0507 a bien été immatriculée le premier janvier dernier, puis colmatée par le ban et l’arrière-ban de l’industrie logicielle. En premier lieu par Oracle, mais également par Microsoft dont le correctif date de plus de 6 semaines et qui a notamment publié une intéressante analyse d’exploitation. Car exploit il y a, et même intégration dans au moins un « kit de fabrication de malware » baptisé Blackhole. Plusieurs éditeurs d’antivirus ont prévenu de l’existence d’un exploit visant spécifiquement les Macintosh, notamment F-Secure et Dr Web, ce dernier estimant que le nombre de machines Apple infectées à ce jour frise le demi-million. Information à classer dans la catégorie « choses improbables » par le département marketing « anti-antivirus » de Cupertino.

Le niveau de risque ayant donc dépassé le onzième barreau sur une échelle de Richter en comptant 10, Apple a décidé de publier un bouchon adapté pour deux versions de ses noyaux. Dire que l’application dudit patch est urgente et nécessaire est un doux euphémisme.
Rappelons que la semaine passée, une série de 6 failles avait été colmatée dans le navigateur Opera pour OSX. Les 6 trous de sécurité sont détaillés dans le « changelog » d’Opera 11.62 (http://www.opera.com/docs/changelogs/mac/1162/), lequel corrige ces erreurs.

Si l’on en croit la liste publiée sur Pastebin, des hacktivistes se réclamant d’Anonymous (donc appartenant de facto aux Anonymous) se seraient livrés à une campagne de « defacement » sur un peu moins de 500 serveurs web de l’Empire du Milieu, dont une part non négligeable de sites gouvernementaux Chinois. Le hack est accompagné d’un appel à la révolte adressé au peuple, vision radicalement occidentale et conseils de courageux dactylographistes éloignés des fusils de l’Armée Populaire. Opération d’autant plus inutile et dangereuse que le sentiment d’identité nationale est tel en ce pays que les « conseils » en provenance de l’étranger sont assimilés à une forme d’ingérence. Cette réaction est d’autant plus probable que la majorité des cyber-graffitis ont été (comme en témoigne l’illustration d’un article du TG Daily) rédigés en Britannique idiome. Lorsqu’un admin Français (ou à plus forte raison Américain), ou encore le simple visiteur du site touché découvre que la home page est couverte de caractères Chinois, Hébreux, Cyrilliques ou Arabes, il y a là de fortes chances que le message lui échappe et qu’il assimile l’acte à une pure opération de vandalisme gratuit. Par quel miracle cette réaction ne serait-elle pas valable sur les rives du Yang-Tse-Kiang ? Anon 0, Chine 1.

*NDLC Note de la Correctrice : Tiens, un contrepet S.M. Etant de bonne composition aujourd’hui, je le « laisse passer ». D’autant plus qu’il ne figure pas dans les grands classiques de Luc Etienne.

Alors que le tout récent « rapport sur la criminalité 2011 » de Verizon accusait les hacktivistes d’être responsables de plus de 58 % des vols d’information durant l’année passée, le Ponemon Intitute, organisme dont le sérieux est classé AAA au palmarès de la confiance statistique, raconte tout le contraire. La faute en revient aux milliers de Gaston Lagaffe, aux « employés négligents » dont les bévues représentent 25% des pertes de données, soit le quart des 5,5 millions de dollars qu’ont coûté de telles pertes l’an passé.

La présence d’un CISO, estime l’étude du Ponemon, peut réduire les pertes de près de 50 % en valeur. Le coût moyen d’une fuite de données personnelle est estimé aux environs de 80 dollars, coût qui ne dépasse pas 41 dollars par enregistrement lorsqu’un CSO parvient à minimise les risques en appliquant une politique de sécurité de groupe.

MegaUpload une fois fermé, que faire des données (entre 25 et 28 petaoctets) qui sont contenues sur ses disques ? Et la question est loin d’être rhétorique, explique Jeremy Kirk, d’IDG News Service. Car Megaupload n’est plus une entité commerciale. Plus un cent ne rentre dans ses caisses depuis que le FBI a placé l’entreprise et ses installations sous séquestres. Chaque jour, l’entretien, l’alimentation et les frais de location d’un peu plus d’un millier de serveurs coûte 9 000 $.

Les avocats de la partie plaignante, MPAA et consorts, on déjà prélevé les preuves de « culpabilité » qui les intéressaient mais aimeraient que les preuves originales soient conservées en l’état. Le contenu général des données stockées pourrait également servir à l’équipe de Megaupload pour sa défense. Sans parler de l’obligation morale du prestataire de services de rendre à ses clients le contenu des données stockées dans le nuage, certains clients estimant que leurs partages de fichiers étaient légitimes. Avis que partage l’Electronic Frontier Foundation. Dans une telle situation, l’ensemble des parties en présence devraient assumer les frais du maintien. Des frais qui, explique notre confrère, devraient s’accroître avec l’arrivée de nouvelles dépenses, notamment un coûteux déménagement de machines en raison d’une expiration de bail immobilier. La cour de justice US, de son côté, ne l’entend pas de cette oreille. Elle dispose d’assez d’éléments pour ne pas avoir à conserver les données…

Il est arrivé, par le passé, et dans des circonstances différentes, que les conséquences de jugement de faillite aient fait de l’Etat Fédéral le propriétaire de reliques d’entreprises assez inhabituelles, reliques dont la présence choquait l’aile conservatrice de l’électorat. Ce fut notamment le cas d’une maison close située dans les environs de Las Vegas et dont l’Etat était actionnaire, mise aux enchères sous la pression d’associations de contribuables (la prostitution est légale dans une grande partie du Nevada). Si d’aventure le gouvernement des USA devait subvenir financièrement à l’entretien du plus grand site pirate de l’Amérique du Nord, site dont une grande partie des installations sont d’ailleurs situées au Canada, il y aurait fort à parier que la pilule ne passerait pas auprès des Sénateurs conservateurs.