Sécurité, Réseaux et SI - Orange Business Services

'The Pirate Bay', site connus pour ses activités illicites, vient encore de frapper.

Parmi ses 'offres', Pirate Bay dispose de serveurs Torrent servant à indiquer aux internautes téléchargeant illégalement où sont disponibles les morceaux du logiciel recherché. Cela s'appelle des 'trackers'.

Récemment, Pirate Bay avait nettoyé ses trackers des logiciels anti-piratages déposés intentionnellement afin de perturber le téléchargement illicite. Les chasseurs de pirates utilisent ces trackers pour déterminer quelles adresses IP effectuent du piratage et ainsi pouvoir entamer une action en justice. Malheureusement, ces chasseurs se contentaient de collecter l'adresse sans s'assurer qu'elle faisait effectivement du téléchargement.

Pirate Bay vient de passer à l'étape supérieure en injectant dans ses propres trackers des adresses IP Internet valides d'internautes en ligne, mais qui n'ont rien à se reprocher.

Par conséquent, les chasseurs de pirates se trouveront alors porter plainte contre des personnes honnêtes, ce qui au final débouchera sur un discrédit de ces plaintes des majors qui pratiquent allègrement ce sport.

Le but recherché par Pirate Bay est de démontrer que cette méthode de détection est apocryphe et que la riposte graduée n'est pas non plus l'approche à suivre. Ainsi, Pirate Bay va contraindre les chasseurs de pirates à user de méthodes plus efficaces pour démontrer le comportement illégal d'un internaute plutôt que de tirer au petit bonheur la chance.

Après avoir été rejeté au niveau de la Communauté Européenne, le projet de Loi Hadopi, visant à faire cesser le téléchargement illégal, nous livre son nouveau gag.

Dans la version précédente, sérieusement mise à mal par le Sénat français, l'Hadopi s'était vue interdire la procédure visant à envoyer un mail à l'internaute détecté comme téléchargeant illégalement (ce qui ne constitue pas un moyen légal et valide de notification) puis de couper son accès Internet, au profit d'une procédure judiciaire traditionnelle, autrement dit une amende en première instance.

Mais fort heureusement l'Hadopi est à la pointe de la technologie et de l'humour et a donc rapidement pu faire une nouvelle proposition à la mesure des précédentes.

Le rapport de la Commission des Affaires Culturelles s'exprime en ces termes : « Une solution serait de proposer aux titulaires de l'accès des conditions analogues à celles qui sont actuellement acceptées par les utilisateurs de logiciels de sécurité (antivirus, pare-feu, contrôle parental...) : en effet, certaines licences d'utilisation de ces logiciels prévoient un dialogue à distance automatique et régulier entre le logiciel et le serveur de l'éditeur, pour vérifier l'état des mises à jour. Cela comprend l'envoi, par l'ordinateur de l'utilisateur, de données précisant son identifiant et son état de fonctionnement.

Dans le cas présent, le serveur de l'éditeur du logiciel vérifierait, à chaque connexion, que les dernières mises à jour ont été installées. Les informations recueillies, conservées douze mois, attesteraient de l'activité du logiciel. Le titulaire de l'accès invoquant la cause d'exonération pourrait ainsi, dans l'hypothèse où l'Hadopi lui adresserait une demande de justificatifs, produire le fichier de "logs" qu'il aurait alors demandé à l'éditeur de son logiciel.

Il conviendrait à cet égard de prévoir à la charge des fournisseurs de moyens de sécurisation une obligation d'information, par exemple sous la forme d'une étape dans le processus de désactivation où il serait demandé à l'utilisateur de certifier qu'il a bien pris connaissance des risques encourus en cas de désactivation »,

Et oui, vous ne rêvez pas. C'est bien THX1138.

Hormis l'analyse un peu facile et rapide de la part de la Commission concernant le comportement de logiciels qui enverraient soi-disant des informations privées à des serveurs centraux, alors que nombre se contentent simplement d'envoyer par exemple la date ou le numéro de version de la dernière mise à jour pour obtenir en retour ce qu'il y a de neuf, on ne peut que constater le manque de conscience de la réalité de la part des membres de la Commission.

Combien de logiciels piratés fonctionnent-ils de la manière normale (telle que prévue par le constructeur/éditeur de logiciel) sur l'ordinateur du pirate ? Pour ainsi dire aucun.. Le 'crack' est toujours passé par là auparavant.

Le crack est un programme chargé de faire disparaitre la protection anti-copie ou anti-fonctionnement d'un logiciel par la modification de son code binaire. Il ne faut pas le confondre avec le 'keygen' dont la mission est de générer une fausse clé du logiciel qui sera entrée en lieu et place de la vraie, trompant ainsi le dit logiciel.

Par conséquent, le crack se chargera de faire disparaître la fonction de 'flicage' du logiciel comme il a fait sauter le contrôle d'original, ce qui ne constitue pas en soit une violation de la Loi pire que l'utilisation du logiciel piraté lui-même, ou la modification de son code binaire original ce qui, pour rappel, s'appelle faire une contrefaçon.

Une fois le crack installé, le logiciel fonctionnera aussi bien qu'avant, pourra être mis à jour 'manuellement' (par le téléchargement sur le site de l'éditeur d'un patch), condition nécessaire pour ceux qui n'auraient pas Internet ou à débit insuffisant, et une nouvelle version du 'crack' adaptée à la version construite après la mise à jour se sera sans doute rapidement disponible.

En résumé, au final, le PC de l'internaute de bonne foi se trouverait contenir un logiciel de contrôle alors que celui du pirate resterait sain, si on peut s'exprimer ainsi... Et que se passera t-il si l'utilisateur empêche de communiquer avec le serveur de l'éditeur du logiciel avec un pare-feu personnel, pour ne chercher qu'à protéger sa vie privée? Agira t-il contre les principes édictés?

A méditer...

[ MISE A JOUR 31 Octobre 2008 ]

Les Députés ont finalement enfin tranché officiellement. La ripose graduée est conservée et la coupure Internet acceptée (malgré le rejet au niveau européen) à condition que le mail reste accessible. Encore une fois, on constate ici le manque de conscience de la réalité des politiques car on voit mal comment le FAI pourrait connaitre les différents emails de chaque client, surtout s'ils ne sont pas hébergés chez lui.

Les personnes participant ou organisant des attaques en Déni de service par inondation (DDoS) à l'encontre de sites Internet vont devoir se poser des questions ou revoir leur façon de procéder.

Certains d'entre-vous se rappelleront peut-être des attaques dont le site web de la scientologie a été victime en Janvier de cette année (ComputerWorld, Hackers hit Scientology with online attack, 25 Janvier 2008) . Depuis, c'était un peu le calme plat autour de cet événement...

Dmitriy Guzner, ressortissant américain âgé de 18 ans, est actuellement poursuivi pour avoir activement participé à cette attaque. Celui-ci plaide coupable des charges qui lui sont reprochées. Il risque une peine d'emprisonnement de 10 ans ainsi qu'une amende de 37.500 dollars.
Cette attaque serait le fait d'un petit nombre de personnes se faisant appeler sous le nom de "Anonymous" ("Les Anonymes"). Les articles de TheRegister.co.uk et de Vnunet.com rentrent plus dans les détails du dossier.

L'information est intéressante à deux titres :

1. Les "méchants" (ou du moins certains d'entre-eux) doivent quelque part répondre de leur actes
2. Les groupes d'activistes représentent une source de risque devant être prise en compte

Enoncer une telle affirmation relève probablement de la provocation pour les spécialistes de la sécurité … Tous le monde (enfin presque) connait les faiblesses des LANs radio : usurpation des SSid (fausse borne), man in the middle (écoute), déni de service, capacité à « cracker » le chiffrement des communications.

 Pourtant, malgré (ou à cause) de ces faiblesses, les acteurs du WIFI ont travaillé à combler ces lacunes par une panoplie de dispositifs techniques ou de recommandations de paramétrage. Il n’y a plus qu’a… les mettre en œuvre.

Et c’est bien dans la mise en œuvre que le WIFI a impulsé une dynamique qui devrait faire tache d’huile car contrairement au vieux LAN filaire, il est absolument indispensable de mettre en place de la sécurité pour bénéficier des bienfaits du WIFI. La recette est donc de mobiliser les acteurs autour des avantages du WIFI (cout de la prise, flexibilité de déploiement, capacité à hébergement des personnes externes, geolocalisation, IPConvergence avec « handover », etc.) pour faire passer les mesures de sécurité (authentification, chiffrement, vlan, ségrégation des types d’utilisateurs, usage temporaire, etc.).

Si on ajoute que les outils de centralisation de la gestion de la sécurité du WIFI sont disponibles, que la migration peut se faire simplement au fur et à mesure de la mise en service des zones et que cet effort peut aussi être associé aux projets de nomadisme, alors les conditions sont bien réunies pour faire du wifi et de la sécurité un couple gagnant.

L’entreprise n’est pas à le recherche de la sécurité maximum mais de modes de fonctionnement sécurisés (je vous recommande les échanges sur le sujet sur mydsitv d’Accenture )

Plus de sécurité avec le WIFI ? Oui car tout est affaire de dynamique de projet : WIN-WIN : plus de sécurité pour plus de services.

Crise financière oblige, les chinois sont également touchés par leur modèle économique basé sur l'exportation massive de leurs produits manufacturés vers les grands pays industrialisés qui sont en pleine tourmente financière.

Conséquence logique de cette crise et de ce modèle, les entreprises chinoises commencent à être touchées et certaines ont déjà fermé leurs portes, mettant des milliers de chinois au chômage.

Certaines de ces entreprises ont vite compris qu'Internet pouvait leur permettre d'augmenter leur clientèle et se sont donc mises à faire des envois massifs de mails commerciaux, dans la grande tradition du SPAM.
Pour l'instant, elles s'appuient sur des fournisseurs de messagerie tel Hotmail par exemple, et n'ont pas encours recours aux techniques traditionnelles de mass-mailing. Les mails partent donc bien tous de Webmailers.

Il faut donc être encore plus vigilant car seul le contenu du message permet d'identifier sa nature de SPAM et de ce côté, certains filtres sont mis à mal par..la traduction du message dans la langue du récepteur.

En effet, les chinois utilisent des traducteurs en ligne qui ne sont pas très efficaces et cela produit un micmac de français anglais 'petit nègre'...comme le montre l'exemple ci-après (fautes de charset incluses) :

Monsieur / Madame: 
S'il vous pla?t, pardonne-nous de perturber la valeur de votre temps. C'est une
grande entreprise de gros en Chine, de vendre des produits électroniques dans le
monde entier, comme un ordinateur portable, appareil photo, téléphone et ainsi de
suite. Nous pouvons offrir un faible prix et de haute qualité pour vous. Si vous
avez du temps libre, s'il vous pla?t prendre un peu de visiter notre site officiel:
www.[unsite].com. Ensuite, tout scrupule, s'il vous pla?t nous contacter librement.

[snip]

Depuis que l'informatique existe, il est possible de 'sniffer' les émanations électromagnétiques émises par les divers équipements (ordinateur, ...), tant par leurs composants électroniques que celles émises par les flux électriques en transit dans des câbles.

Récemment, des étudiants de l'Université Polytechnique de Lausanne se sont amusés à démontrer les principes de cette pratique. Ils se sont appuyés sur une ou plusieurs de quatre techniques différentes, et écouter avec des moyens finalement à la portée de tout un chacun et jusqu'à une distance de 20 mètres de l'équipement 'écouté'.

Ils ont pu ainsi capturer pour 11 claviers différents (PS/2, USB ou de portable) vendus de 2001 à 2008 tout ou partie des caractères tapés par l'utilisateur.

Ils en concluent que les claviers vendus à ce jour, pour diverses raisons tel le coût, restent inadaptés pour une utilisation confidentielle. 

    L'actualité remet les CAPTCHAs ("Completely Automated Public Turing test to Tell Computers and Humans Apart") sur le devant de la scène en annonçant que ceux utilisés par Google venaient d'être cassés. La dernière version de Xrumer met également en avant d'autres innovations dans le domaine, comme la possibilité de discriminer "le chat le plus mignon" (autre type de test utilisé dans les CAPTCHAs).

Le niveau de prise en compte de la sécurité dans les entreprises est très disparate. D'un coté, nous retrouvons les grandes structures dont certaines sont à la pointe dans le domaine (Banques, Assurances, industries sensibles, ...) et de l'autre les petites structures comme les PME/PMI pour qui le sujet est très souvent éludé ou tout simplement méconnu.

Afin de mieux comprendre comment les petites entreprises approchent la sécurité de l'information et quelles sont leurs préoccupations, nous avons choisi d'interviewer Mr. Philippe VACHER d'Orange Business Services. Les experts des équipes de Philippe interviennent sur l'ensemble du territoire national et réalisent quotidiennement des audits pour des structures de type PME/PMI.

En continuité du bulletin du 8 octobre intitulé "Le "Clickjacking" : Détournement d'actions depuis votre navigateur", Adobe vient d'annoncer la disponibilité d'une nouvelle version de son logiciel phare "FlashPlayer". Cette nouvelle mouture intègre notamment les mesures nécessaires afin de bloquer toute tentative de manipulation du centre de configuration à l'insu de l'utilisateur.

Avec cette nouvelle version du player Flash, il ne sera plus possible de détourner les clics de l'utilisateur dans le but d'activer la caméra ou le micro au nez et à la barbe de celui-ci.

Suite aux derniers bulletins que Philippe et moi-même avons pu poster ces derniers jours, vous avez pu vous rendre compte par vous même que pour protéger un poste de travail de façon efficace, un éventail de mesures est requis. Il n'est en effet pas suffisant de se limiter à la dernière version de la suite de sécurité "à la mode" ni de ne limiter aux fonctions de type "Host Intrusion Prevention System".

Pour rester basique et au risque d'être considéré comme "vieux jeu", les correctifs se sécurité (les fameux patchs) sont essentiels. Ceux-ci doivent être déployés uniformément et ne doivent pas se limiter aux système d'exploitation ou à une application.

Vous aller me dire, "c'est un travail de fou" ou "infaisable en pratique" : Sans un outil comme Personal Software Inspector de Secunia, c'est vrai cela est très compliqué ou alors c'est un travail de psychopathe sécurité à tendance chronique...

Je vais prendre pour exemple une mise à jour de l'unique machine personnelle de la maison qui tourne sous Windows XP (et oui, la conversion à Linux n'est pas encore complète). Comme vous pouvez le voir dans le screenshot suivant, une synthèse "type manager" me donne une vision high-level d'où j'en suis coté patchs sur ladite machine. La semaine actuelle est "pas top" (en jaune) par contre sur les 3 semaines précédentes c'était le top (les 3 barres de couleur verte).