Search Results

Alors que les hordes de vacanciers contestent aux vaches Abondance le droit de brouter ou aux bigorneaux le plaisir de bigorner en paix, les spécialistes et gourous de la sécurité se pressaient dans les salles de conférence de Las Vegas, pour assister à la Mère de toutes les conférences de sécurité : les manifestations jumelles Black Hat/Defcon. Et à lire certains comptes rendus, l’on se dit que côtoyer les vaches Abondance ou les bigorneaux a quelque fois du bon pour la paix de l’esprit. Faire la moitié du tour de la terre pour des choses déjà entendues ou pressenties lors des précédentes conférences Hackito Ergo Sum, SSTIC ou CanSecWest, on ne m’y reprendra plus, résume en substance Cedric Blancher dans un billet à la Edgar Poe : BH, Never more !

D’ailleurs, le « scoop » de cette année, celui qui a remporté la couverture des tabloïds de la sécurité, a plus des airs de règlement de compte gratuit que de POC tiré par les cheveux. Il est signé par un monsieur réputé et sérieux, Tavis Ormandy, qui a souhaité cette année rhabiller de la tête aux pieds l’antivirus de Sophos. Les journaux américains comptent les points et pour une fois, le bouillant Graham Clueley, pourtant réputé pour ses envolées lyriques et ses excès sémantiques, adresse à Ormandy un billet dont le fiel est tout entier contenu dans l’understatement des tournures utilisées. Ces deux textes résument à eux seuls l’âme de ces deux pays qui partagent une langue commune et ne sont pas séparés que par un océan. Rappelons simplement que les propos de Tavis Ormandy ne sont que la transposition sur un thème particulier de l’air que chante chaque année la réunion annuelle Française iAwacs : les antivirus, commerciaux ou non, ne sont pas mieux conçus que des logiciels bureautiques ou des systèmes d’exploitation, loin s’en faut. Des trous, ils en ont, tout autant que les « autres » logiciels. Et certains d’entre eux sont éminemment dangereux car ils se situent dans les couches basses du noyau. Tout au plus peut-on leur reconnaître que la couche d’ingénierie marketing qui les entoure pourrait à elle seule faire l’objet de tests comparatifs édifiants. De tous les messages de Sophos vs celui de Kasperky vs celui de McAfee (ce ne sont là que des exemples), lequel résiste-t-il le mieux aux attaques verbales et aux propos calomnieux de tel ou tel expert ?

Mais est-il nécessaire de parcourir plusieurs milliers de kilomètres pour écouter s’enfoncer de telles portes ouvertes ? Que Nenni ! affirme Security4All, qui nous explique comment tout savoir de la Defcon et de la BH sans quitter ses charentaises. Et de nous offrir une belle brochette de feed Twitter, de fils RSS, de liens Flicker et autres agrégateurs divers qui nous en apprendront bien plus sur ces deux manifestations que ne pourront en savoir ceux qui y participent. Ah, si Fabrice Del Dongo avait connu Facebook, sa vision de Waterloo en eût peut-être été changée.

Sinon, il y a toujours les bonnes vieilles adresses. Celles des blogueurs professionnels, tels que les membres de l’équipe de Kaspersky qui écrivent billets sur billets à peine une conférence est-elle terminée. Ou nos petits copains de Network World, qui reviennent sur les grands marronniers qui sont du bois dont on fait les keynotes : « La leçon des Anonymous : la sécurité des entreprises coince velu »… Tiens, on aurait pourtant crû que la leçon des Anonymous, c’était que la « professionnalisation » de la cyberdélinquance n’avait pas « remplacé » la petite délinquance, mais l’avait simplement occultée momentanément. Jusqu’à ce que l’on se rende compte qu’elle pouvait frapper fort. A force de se défendre contre des malfrats tâcherons de l’attaque ciblée visant des retours sur investissement rapides, on avait presque oublié l’acte revendicatif et gratuit. Mais çà, on n’en a pas parlé, à la Black Hat. Ou du moins pas durant les Keynotes, car cela aurait peut-être provoqué quelques remises en question.

Encore une URL pour Defconiser et BlackHatiser derrière son écran : celle du toujours excellent Security News, dont les comptes rendus neutres et exhaustifs donnent sinon le ton, du moins le contenu. Et une petite dernière pour la route, la vraie, celle qui se prolonge après le « Strip » de Las Vegas, s’enfonce dans le désert et les verticales des Red Rocks ou les berges du lac Tahoe. Celle-ci nous est offerte par Tristan Nitot, de la Fondation Mozilla Europe, qui a tout ignoré de Vegas mais a tout retenu de ses environs, façon Easy Rider.

Un bilan très positif donc : BH et Defcon ne sont plus le centre du monde. Certes, il s’agit là toujours d’une étoile double de grande magnitude, mais qui ne brille pas plus qu’un CCC Camp, qu’un Hackito, qu’un CanSecWest ou qu’un Sstic. Cela ne veut toutefois pas dire « n’y vas pas, j’ai les mêmes à la maison ! ». Car si l’éclat d’une conférence en particulier ternit légèrement, il s’en trouve d’autres, en Amérique du Sud, en Asie, en Allemagne, au Luxembourg qui sont autant de lieux d’échanges et de confrontations nécessaires à la profession. Le déclin d’une étoile ne donne pas toujours un trou noir.

Le 30 septembre prochain, à La Cantine, Philippe Langlois ( P1 Security et tmp/lab ) assisté de son témoin Eric Filliol ( Esiea et Iawacs )et de son avocat, Me Ambroise Soreau sera accusé de divulgation irresponsable dans le cadre d’un pseudo-jugement mais vrai débat qui se déroulera au 151 rue Montmartre, Passage des Panoramas, 12 Galerie Montmartre, 75002 Paris, à partir de 19H30.

La partie adverse ainsi que le Président et ses assesseurs auront fort à faire pour convaincre une assistance qui compte un nombre impressionnant d’ennemis de la sécurité par l’obscurantisme. Le détail du scénario et la liste des spectateurs-jurés sont à découvrir sur le site de la Cantine. Voilà qui promet d’être aussi passionné que le Procès de Philippe Egalité ou du Duc d’Enghien par les nostalgiques du Tribunal de l’Histoire, avec Alain Decaux, André Castelot et Jean-François Chiappe. Quelques connaissances en informatique générale et en histoire de la sécurité sont nécessaires pour saisir les tenants de l’affaire.

NSS Labs publie une étude sur l’(in)efficacité des principaux antivirus, commentée par Brian Krebs : temps de mise à jour, pourcentage de détection… une mise en garde proche des conclusions de l’iAwacs 2010

La campagne de hargne, de grogne et de rogne qui vise actuellement Facebook et son sens très particulier de la vie privée s’étend désormais à tous les médias. Initialement entamée par quelques blogueurs à cheval sur les principes, cette bataille contre l’exploitation abusive des contenus gagne désormais la « grande presse » tant Américaine qu’Européenne. Nos confrères de Rue 89 titraient la semaine passée « 2005-2010 : comment Facebook a bradé notre vie privée ». Plus technique, le New York Times démontrait, à l’aide d’un organigramme, comment les maîtres du Web 2.0 rendaient quasiment impossible toute possibilité de contrôle des informations personnelles en multipliant les points de contrôle et les options « à cocher ». 50 paramètres, 170 options, une politique de sécurité de près de 6000 mots (pondus dans un vocabulaire d’Avocat parfois incompréhensible ou trompeur). Paradoxalement, plus se multiplient ces « options facilitant la maîtrise des données personnelles », plus Facebook étend, parfois sans en avertir clairement ses usagers, le champ des informations accessibles sur Internet. Sur ce point précis, les graphiques publiés par mattmckeon.com sont édifiants.

Ce sont d’ailleurs ces constants changements de « politique concernant la vie privée des internautes » qui vaut à FaceBook l’honneur de se faire épingler par le très Européen, très critique et très vigilant Article 29 Working Party. « Il est inacceptable qu’une compagnie change fondamentalement les paramètres par défaut de sa plateforme de réseau social au détriment des utilisateurs ». La lettre est sèche est sans ambages.

Et même si certaines initiatives peuvent paraître louables, telle cette console d’administration capable d’autoriser ou non certains périphériques mobiles, l’on se rend bien compte que c’est là une « solution » qui ne concernera qu’une frange infinitésimale des abonnés capables de comprendre ce qu’est cette sorte de « NAC pour monsieur Toutlemonde ». Au fil du temps, la gestion des droits d’accès aux informations Facebook ressemble de plus en plus aux barèmes de facturation d’un opérateur de téléphonie mobile : conçu spécialement pour que jamais un utilisateur puisse s’y retrouver.

Situation d’autant plus paradoxale qu’à côté de ces outils d’administration fine, des trous de confidentialité sont encore béants, ainsi le démontre Stephan Tanase de Kaspersky. Un Stephan Tanase qui achève son billet par une série de « ne faites pas ci, ne faites pas çà… » que les lecteurs les plus « facebook addict » ne liront ou ne comprendront pas. C’est là une réaction naturelle et propre à cette génération des « Transparents vs parents » que dénonçait notre confrère Jean Marc Manach lors de la dernière conférence iAwacs. D’autres adoptent une position bien plus radicale, à commencer, bien sûr, par le boycott pur et simple de Facebook, en expliquant comment désactiver les pages d’annonce ou se désinscrire de ce « service ». Méthode Groovipost ou The Consumerist, l’opération est presque aussi simple que de comprendre l’administration d’un profil. Les brûlots dénonçant l’attitude de l’équipe de Mark Zuckerberg se multiplient, comme en témoigne Richi Jennings, rédacteur du BlogWatch de Computerworld. Même Wired y va de sa campagne en écrivant noir sur blanc « Facebook déborde d’arrogance, il est temps de recourir à un service alternatif ». Le service alternatif sera-t-il Diaspora ? Ce projet d’universitaires a fait les gros titres du New York Times (http://www.nytimes.com/2010/05/12/nyregion/12about.htm) et les « hits » sur le site du projet (http://www.joindiaspora.com/project.html) se comptent par millions, tandis que les financiers se battent presque pour commanditer ces « jeunes qui ont du talent ». IM, VoIP, simili Twitter, dazibao informatique, outils de backup chiffré réparti (une résurgence du projet Ocean Store ?), identifiant « open »… Diaspora fera tout et même plus que ce que propose FaceBook… si les dieux lares de l’informatique leur prêtent longue vie.

Face à cette campagne, le comité de direction a pris une mesure exceptionnelle : une grande concertation générale interne nous informe nos confrères de ComputerWorld.

Comment vont réagir les usagers de Facebook ? Pour l’heure, seuls les plus « politisés » abandonnent ce réseau social, le bruit médiatique fait autour de cette affaire ne touchant pratiquement que le macrocosme du milieu informatico-webo-communiquant. L’impact sur l’image de marque ne se traduira pas nécessairement par une fermeture en masse des comptes, et comme nul ne peut avoir accès aux statistiques réelles de fréquentation du site, il sera bien difficile de constater un hypothétique phénomène des vases communicants capable de bénéficier à un Diaspora ou proche parent.