Archives

Apple corrige 52 défauts de sécurité dans IOS 8 et 43 dans OS/X Mavericks v10.9.5.

Microsoft retire 1500 « apps » -ou appliquettes- de son catalogue pour des raisons de sécurité ou de confusion d’usage .

Heartbleed, tu me fends le cœur. J’ai le cœur fendu par toi… Selon le dernier rapport mensuel McAfee (aout 2014) des menaces recensées, plus de 300 000 sites Web seraient encore vulnérables à une attaque Heartbleed.

La toute dernière édition d’Adobe Reader et Acrobat corrige 8 CVE dont 5 qualifiés de critique, aucun n’étant actuellement utilisé « dans la nature ». Une mise à jour du lecteur de fichiers pdf est disponible en version Windows et pour plateforme Apple

Ossir, Heartbleed, l’expérience Française : l’Observatoire de la Sécurité des Systèmes d’Information et des Réseaux organise son prochain « afterwork » le 23 septembre prochain, dans le deuxième arrondissement à Paris. Tous les renseignements sur le site de l’Observatoire .

La Cour Européenne des Droits de l’Homme a condamné la France pour ne pas avoir effacé la fiche stic de renseignement concernant une plainte classée sans suite. Le plaignant s’est vu attribué 3000 euros au titre du dommage moral

De notre correspondant de guerre en Cyberland. Le gouvernement Cameron vient de nommer un « super-représentant des barbouzes » chargé d’établir des liens de collaboration étroits entre les services de Grande Bretagne et les institutions Fédérales et organisations privées des USA. Le Register précise qu’entrent dans la seconde catégorie les fournisseurs de services de services en ligne, qui « amélioreront l’accès aux données ainsi que leur partage, tant à courte échéance que sur le long terme ». C’est à Sir Nigel Sheinwald qu’échoit le très honorable titre de « Monsieur Prism bis » et la tâche de « renforcer les accords passés et assurer un accès fiable ». En d’autres termes, malgré les protestations de pure forme des Microsoft qui trainent à séquestrer des données au profit de la justice US, des Yahoo qui révèlent les pressions de la NSA ou des Apple qui brandissent de façon aussi tapageuse qu’épisodique des « canaris de sécurité », les accords à l’amiable sont à la mode entre les 5 Eyes et les boutiquiers du numérique. Open Data est une expression en langue Anglaise qui semble signifier « données ouvertes à la discrétion entière et exclusive des services de renseignements ».

En France, l’Open Data est d’un tout autre genre, nous apprend le Figaro, puisque le Ministre Fleur Pellerin part en croisade pour que le fond de la Bibliothèque Nationale puisse être accessible sur Data.gouv.fr et que les données personnelles des citoyens ne partent pas dans le giron des Google et Facebook. Est-il nécessaire d’espérer pour entreprendre ? Ce credo est affirmé par une « déclaration universelle des droits de l’homme numérique » qui précise que (dito nos confrères du Figaro) « Nulle entité, publique ou privée, ne doit utiliser des données personnelles aux fins de manipuler l’accès à l’information, la liberté d’opinion ou les procédures démocratiques ». Il y a plus de 10 ans, Jean-Noël Jeanneney, qui fût précisément Président de cette même BNF, tirait à boulets rouge contre ces mêmes Google, accusé de chercher à s’accaparer le patrimoine culturel national (par numérisation intensive des fonds Français notamment), et soupçonné de ne présenter via Internet qu’une vision américano-centrée, une pensée unique libérale… ergo une « manipulation de l’accès à l’information » interférant avec la notion de « liberté d’opinion ». « Trop tard », dirait-on en langage populaire. Cela sans oublier la quasi impunité fiscale dont bénéficient ces entreprises. Le précédent Netflix (tout comme le précédent Google -) montre à quel point les différents qui opposent les membres de l’Union Européenne servent les visées des entreprises étrangères.
Ces discours et hautes considérations culturelles sont à rapprocher de celui tenu il y a moins d’une semaine par le Député Claude Gloasgen en préparation au projet de loi sur le terrorisme. Un discours qui compte six fois le mot « guerre », et dans lequel l’on note des petites phrases telles que « Je crois, même si je le regrette, que la situation va devenir suffisamment grave, et il faudra certainement des lois d’exception » et « En 2005, un social-démocrate anglais qui s’appelle Tony Blair a établi en Angleterre le control orders. En réalité, c’est ce que nous allons devoir faire ». Si la chose se comprend bien en matière de police traditionnelle, elle semble plus douteuse sur le terrain de la défense du territoire numérique. Les lois, d’exception ou non, sont limitées aux frontières d’un pays. Côté défense du territoire numérique, il n’existe guère plus de véritable Ligne Maginot qu’il n’en existe sur le terrain fiscal, culturel ou politique.

C’est là que réside toute la différence entre un Royaume Uni qui s’allie et s’intègre totalement dans la géopolitique du « Grand Large », et une Europe qui affirme son identité culturelle et son indépendance numérique en utilisant un arsenal 100% « made in USA » et dont le contrôle est également 100% « made in USA ».

La discrète collusion entre les services de renseignement US et les principaux acteurs des TIC a lourdement plombé sinon le chiffre d’affaires, du moins la confiance que la clientèle pouvait leur accorder. Les révélations Snowden collent à la peau d’Apple, Microsoft, Google et assimilés, qui n’ont de cesse de publier annonce sur annonce pour tenter de rétablir une virginité douteuse. Chez Apple, la grande muette de la sécurité mobile, plus jamais, c’est juré, l’entreprise ne fournira la moindre information sur le contenu des terminaux de ses clients. Non pas en opposant une armée d’avocats à chaque commission rogatoire présentée par la police, mais tout simplement parce que le mécanisme de chiffrement d’IOS 8.x est tel que seul le propriétaire de l’appareil et possesseur de la clef pourra y accéder, explique Craig Timberg du Washington Post. Si le système de chiffrement peut résister-croit-on- aux outils de la NSA, en est-il autant de la résistance physique du possesseur de l’appareil ?

D’autant plus qu’une information contradictoire vient ternir cette annonce triomphante : la disparition du « canari de garde » dans les rapports de transparence Apple. Ce « canari de garde », ou indicateur de compromission, émaillait les tous premiers rapports et garantissaient qu’Apple n’avait jamais reçu de demandes invoquant le « Patriot Act », contraignant l’entreprise à communiquer des données client aux autorités fédérales. Or, remarque Jeff John Roberts de GigaOM, cette mention a totalement disparu du dernier rapport.

Toujours selon Craig Timberg, toujours dans les colonnes du Post, l’on peut constater que Google, grand collecteur et collectionneur de données personnelles devant l’éternel numérique, promet une offre semblable sur la prochaine édition d’Android : chiffrement et politique de sécurité à tous les étages.

Cette annonce semble avoir secoué le landernau Android car, dans la foulée, Samsung annonce la diffusion gratuite de la version d’entrée de gamme de son MDM sous Android baptisé Knox (gestion des partitions sécurisées, signature des programmes…). Les fonctions évoluées, telle que l’intégration aux ADS de Microsoft, demeurent payantes, mais l’outil de supervision « de base » peut amplement suffire aux besoins de toute TPE ou structure artisanale.

Il ne faut pourtant pas perdre de vue que cette guerre des communiqués n’aborde pas la question des défauts principaux de la téléphonie mobile. A commencer par les failles et instabilité des noyaux eux-mêmes, la fragilité des applications disponibles sur les différentes places de marché, le fait même que ce qui garantit la sécurité des données sur la plateforme N n’est pas nécessairement compatible avec la version N-1… et en matière de smartphones, le poids de l’hétérogénéité des modèles « hérités » grève lourdement la protection des données contenues. Enfin, chiffrement et MDM sont totalement incapables de verrouiller la fuite d’information des métadonnées, le profilage des habitudes d’usage, les logs de connexion sur des serveurs extérieurs, voir le contenu même expédié sur lesdits serveurs. La seule téléphonie sécurisée possible est une téléphonie autiste, qui n’utiliserait qu’un seul réseau sécurisé et isolé des autres opérateurs, reposant sur force chiffrements, et ce durant une durée limitée dans le temps correspondant à l’espérance de vie de ce même système de chiffrement. Tout le contraire de ce qu’attend le monde de la téléphonie grand public.

Un groupe de chercheurs sino-américains chapeautés par l’Université Viterbi (Californie du Sud) a développé un protocole mettant en œuvre ce que l’on pourrait appeler un « multiplexage de polarisations tournantes » capable d’assurer un débit de plus de 30 gigabits par seconde. Le procédé, baptisé orbital angular momentum (OAM), utilise une fréquence millimétrique unique (28 GHz) et joue sur deux antennes polarisées permettant de travailler avec 4 polarisations différentes. Ce procédé fait l’objet de travaux depuis plus de 3 ans, études conduites par des chercheurs d’universités différentes.

Pour l’heure, ces travaux sont purement expérimentaux et ne présument pas d’une exploitation commerciale. Les tests ayant permis la rédaction de cette communication ont été effectués sur une distance de 2 mètres. On est encore loin d’un backbone pour « super 5G ». En outre, le sérieux de certaines études sur la « vorticité des faisceaux hyperfréquences » provoque encore des débats houleux et affecte les recherches de l’ensemble de la communauté scientifique radio.

Le cyberjihadiste, allié objectif du cyberpédophile ? Pour le législateur, qu’importe le « coupable potentiel », pourvu que l’on puisse instaurer un régime visant à le faire taire. C’est là l’esprit général du projet de loi renforçant les dispositions relatives à la lutte contre le terrorisme défendu jeudi 18 septembre par l’actuel Ministre de l’Intérieur Bernard Cazeneuve.

Cette censure sera-t-elle efficace vis-à-vis des cibles prétextées ? La chose est très peu probable. Désormais, même la presse grand public (et en partie l’opinion du même métal) commence à comprendre que ces méthodes n’entravent en rien la diffusion de ces contenus illégaux. Un récent article de l’Express explique comment, de manière artisanale, les apprentis propagandistes islamistes passent d’une page Facebook à une autre après chaque suspension de compte… Que l’on ajoute encore un peu de pression légale, et il y a fort à parier que tout ce qui touche au cyber-jihad, à l’incitation à la haine raciale, à l’apologie du crime adopte rapidement les techniques des « spam king » et autres « bot herders » des réseaux mafieux : hébergement de serveurs à l’étranger, proxys et aiguillage en « round robin » vers de multiples occurrences d’un même site… ce que peut faire un vendeur de pilules bleu, un extrémiste politique ne le pourrait-il pas ?

En accroissant cette pression sur Internet, non seulement l’actuel gouvernement encourage la furtivité de sites que l’on aurait considérablement plus de chances de maîtriser s’ils demeuraient sur le territoire Européen, à portée d’action d’Eurojuge et d’Interpol, mais encore fait le lit répressif qu’utilisera sans hésitation un futur gouvernement totalitariste. Du genre de ceux que connaît la France tous les 70 ou 100 ans, à périodes régulières depuis 1789. Sur ce même thème, notre confrère Jean Marc Manach démonte pièce par pièce la logique de ce projet de loi et dénonce ses effets pervers prévisibles. Le rôle d’un politique est-il de tenter de gérer le présent au jour le jour comme un technicien de salle informatique, ou de conserver une vision historique du pays ?

Ajoutons enfin que, que ce type de loi , pourrait faciliter les actions à l’encontre de blogueurs et organes d’information pour peu que leurs dires ne soient pas conformes à ce que certains aimeraient lire …

Nos confrères du Point, quant à eux, s’étonnent du revirement de Bernard Cazeneuve, ardant défenseur d’un contrôle musclé de la Toile, alors qu’en d’autres temps il luttait vent debout contre la Loppsi, (celle avec deux « p », dite « seconde loi Sarkozy »). C’était il y a moins de 4 ans. Et on a pu le constater, ces lois Loppsi, censées protéger le citoyen des hordes barbares de pirates a engoncé les administrateurs de sites Web, les hébergeurs, des chefs d’entreprises dans un carcan légal d’une incroyable complexité. En chassant le jihadiste numérique, les détails de la loi ont un peu mieux trucidé l’évolution du tissu Internet Français et encouragé l’installation des Google Netflix et consorts en des terres Européennes plus accueillantes. Gouvernements différents, mêmes politiques ? Mêmes erreurs économiques ?

Certains, pourtant, prodiguent de louables efforts. Le mois dernier déjà, les multiples amendements apportés à la Loi Godfrain laissaient présager un brutal comblement du trou de la sécurité sociale. Ce texte antique, qui remonte à la préhistoire de l’informatique mini, mainframe et Minitel (ou presque) visait à pourchasser le pirate tentant « d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données ». Lorsque le système appartenait aux rouages de l’Etat, il en coûtait 45 000 euros d’amende, somme réévaluée en 2012 à 75 000€ et 5 ans de prison, et plus récemment à 500 000 €. Soit, selon les peines, entre 700 et 900 % d’augmentation en deux ans. Espérons que l’Anssi tient attentivement la liste des intrusions imputées aux fonctionnaires du GCHQ Britannique, de la NSA Etats-Unienne et du Diaochabu Pékinois. Bercy va peut-être enfin pouvoir se faire rembourser les coûts de mise à niveau de son infrastructure réseau infectée par quelques pdf. Il faut dire qu’avec les restrictions budgétaires de l’Administration Fédérale US et le déficit commercial de la Grande Bretagne, cette ferme initiative du député Jean-Jacques Urvoas va mettre fin à ces incessantes intrusions et maintiens frauduleux dans toute ou partie d’un système de traitement automatisé de données.

De mauvaises langues pourraient croire que cette soudaine inflation des amendes, particulièrement celles sanctionnant une intrusion sur un serveur d’Etat, serait justifiée par le « précédent Snowden », et pourrait dissuader d’éventuels lanceurs d’alertes Périgourdins ou Savoyards.