Les gouvernements sont dépassés par l’internet

C’est de pire en pire : les gouvernements, les autorités sont d’une maladresse dramatique vis à vis d’internet.
Les décisions qui devraient servir à structurer la société sont régies par les règles de la politique-spectacle.

Florilège :

• Suède, procès The Pirate Bay : Le juge était membre d’une association pro-majors, le conflit d’intérêt est patent. Le policier qui a réalisé l’enquête a été ensuite embauché par Warner Bros – on croit rêver cauchemarder. Bref, le procès a toutes les chances d’être annulé, c’est en tout cas le seul moyen pour la justice de redresser la tête.
• HADOPI, France : après la fausse liste d’artistes, le Ministère de la Culture fait licencier un salarié de TF1 pour délit d’opinion.
• HADOPI, France : Le Ministère de la Culture trafique l’encyclopédie Wikipédia pour faire taire les critiques.
• Divers Ministères et hommes politiques tentent de supprimer les passages dérangeants de leur biographie publiée dans Wikipédia.

Bref les décideurs ont des conseillers internet “qui s’y connaissent vachement” vu qu’ils ont “internetexploreure” sur leur bureau un compte sur fessebouc.

Ont-ils souffert de manque d’iode durant leur jeunesse ?

______
François, dépité par tant de bêtise.

C’est la fête à La poste

Le filtre de messagerie du boulot a intercepté depuis ce matin une quantité industrielle de messages contenat une pièce jointe douteuse : Laposte.zip , qui contient un “Laposte.exe”, lui même doté du peu sympathique X.W32\Laposte.ZBot, sans doute un cousin du patibulaire Zbot.EBA

Comme quoi,  interdire la transmission des .exe dans la messagerie est vraiment utile… Je ne sais pas si les anti-virus déjà au point pour intercepter le truc.

_______
François, tranquille

Poste à pourvoir

Grande banque française recherche Responsable Sécurité du Système d’information.

Mission : s’assurer que les mesures de gouvernances et de contrôle ne seront pas malencontreusement court-circuitées par une sombre histoire de code d’accès usurpés

Incroyable cette histoire à la Société Générale, tout bonnement incroyable !

Le rapport de la banque parle d’usurpation d’accès: Le gars bossait à la surveillance des traders de 2000 à 2005, puis en 2005 il devient trader, et en 2008 il dispose de codes d’accès valides pour bricoler la surveillance ?

Attendez un peut… c’est quoi cette boutique ?

Je ne travaille pas dans la finance, on ne met pas en jeu des transactions financières de 48 milliards d’euro, et pourtant les commissaires aux comptes demandent tous les 6 mois des détails sur la politique des droits d’accès et la gestion des mots de passe.
Même la gestion des congés de ma boite est plus sure : le gars que change de service ne va pas continuer de gérer les congés de ses anciens subalternes.

Un truc comme ça, sur un forum, on dirait comme pour un troll: “trop gros, passera pas”.

La sécurité informatique à bon dos, mais là ils poussent fort.
C’est vrai que le trader est très fort pour faire des macro dans Excel !   Arf ! Tout s’explique.

Avouez que ça sent bizarre cette histoire. M’enfin, c’était Gaston Lagaffe à la Sécurité ?

• Le mécano de la Générale Gestion de la crise – version officielle, très clean
• Le rapport de la banque Des détails sur la méthode – selon la banque
• La banque avertie en novembre ? De pire en pire
• La hiérarchie était au courant et la pratique est courante comme quoi il faut toujours écouter les 2 sons de cloche

En tous cas, bon courage aux employés de la Société Générale, et en particulier au Service Informatique  …

______
François

Libérez votre iphone !

Allo, Cupertino ? Nous avons un problème…

Un peut partout, on voit fleurir une étrange suite de code hexadécimaux :

18 84 58 A6 D1
50 34 DF E3 86
F2 3B 61 D4 37 74

La question: à quoi servent ces chiffres ?

Non, aucun rapport avec jailbrake ou autre désimlockage d’opérateur de téléphonie.

Cette clé (par que c’en est une) revêt un autre intéret : elle permet de signer une application qui sera dès lors reconnue comme authentique et acceptée par itune/iphone pour être installée sur le précieux iphone.

Et donc, avant la sortie du SDK d’Apple, il va y avoir des applications iphone.

Apple cherchait à accroitre ses ventes en entreprises, pour le coup ça ouvre des possibilités…

______
François

Savoir tenir compte de ses erreurs

Vous vous souvenez des débuts de l’ADSL ?

Il y avait les modem USB et pour faire routeur : le PéCé du quidam, sous Windows Me ou 98…

Aie, Aie, Aie, quelle galère: Windows n’était pas fait pour faire office de routeur, et lorsque les failles de sécurités ont été massivement et automatiquement exploitées, ça a fait du dégât: Il ne fallait que 5 minutes pour se faire infecter, et 30 minutes pour télécharger le correctif sur Windows Update. Combien ont pleuré en se faisant ré-infecter la machine tout juste re-formatée et ré-installée.

Les choses se sont calmées, parce que les utilisateurs ont maintenant un modem-routeur, qui masque le PC (ou le réseau) domestique du monde sauvage du net… Le Nat est une bonne protection de base, et les routeurs-firewall sont bien plus sécurisés que Windows. (ils font également moins de choses, mais leur boulot est assuré correctement).

Et bien, on se prépare à revivre les mêmes tracas, enfin, pas moi, mais les utilisateurs de Windows Home Serveur.

Benjamin Gauthey spécialiste en expériences numériques chez Microsoft explique aux néophites sur son blog comment configurer leurs routeur (freebox & co) pour que le serveur hébergeant TOUTES les données d’un particulier devienne accessible depuis le monde extérieur.

Bien sur, Windows 2003 serveur est plus fiable que Windows 98, mais les menaces aussi ont évoluées.
Bien sur, le partage web est sécurisé, mais cette notion est relative. Dès qu’une vulnérabilité sera découverte dans WHS ce ne sera pas juste quelque photos qui seront dispo, mais les fichiers ms money de Monsieur Toulemonde qui s’imagine derrière un rempart parce qu’il a mis le nom de son chien comme mot de passe !
Ce n’est pas pour rien que les entreprises mettent en place une DMZ pour isoler les applications accessibles du réseau interne. Qu’un serveur web tombe aux mains d’un pirate, ce n’est déjà pas la joie, mais qui ferait tourner sa compta ou la paye du personnel sur un site web public ?
C’est ce qui est fait chez Microsoft ? Non, pourtant c’est ce qu’on recommande.

Bien entendu, l’utilisateur y trouve son compte: il peut depuis son bureau ou chez sa “tantine” regarder ses photos de vacances enregistrées chez lui, mais dès qu’il y aura défaillance, il devra faire le compte des dégats.
Et s’il se connecte depuis un cybercafé avec un PC doté d’un keylogger ? elle sera où la sécurité ?

Franchement, c’est de la folie.

______
François, pas du tout tenté par l’expérience

WHS se ridiculise

J’ai déjà eu l’occasion ici de dire tout ce que je pensais de Windows Home Server :

• énergie dépensée en pure perte
• administrer un serveur à la maison, beurk, surtout un truc basé sur Windows – même pas drôle
• gâcher de la bande passante pour télécharger des correctifs et des mises à jour d’anti-virus
• payer des licences pour des outils existant facilement dans le monde du libre

Et bien maintenant, c’est Microsoft qui tire directement une balle en plein dans le tout neuf Windows Home Server : ce truc n’est pas fichu d’enregistrer des fichiers sans perte de donnée !

Mais si, je vous assure, j’ai fait des sauvegardes tous les jours, ça m’a pris assez de temps… hein, quoi, mon beau Serveur Windows  m’a tout perdu… mais il est crétin ce truc !

Super : le serveur de sauvegarde n’est pas fiable. En plus, bonjour la pub, c’est basé sur Windows Server 2003.

Enfin, si vraiment vous voulez un stockeur de fichier, utilisez un vrai NAS.

Rappel :  “Quand Microsoft sortira un truc qui ne plante pas, ce sera surement un clou !”

_____
François, MDR comme ils disent les gamins

Après le rootkit sony, voici la root-mania de Samsung

A croire qu’il est trop difficile de perdre les mauvaises habitudes acquises sous Windows… Un logiciel mal conçu (ou à la sauce Windows 95), qui nécessite d’être “administrateur” pour être simplement utilisé, c’est fréquent, trop fréquent.

Cette fois c’est Samsung qui se fait remarquer en reproduisant ce schéma sous Linux avec un pilote d’imprimante multifonction: le script d’installation, à défaut de gérer correctement les droits d’accès, met toute la sécurité du système à plat en faisant fonctionner les logiciels sous le compte “root”.

Toutes les infos sur linux fr…

La personne qui a fait cela dans son coin chez Samsung va se faire taper sur les doigts (à juste titre).
_______
François

ça chauffe sur tous les fronts

Je ne parle pas ici du problème du réchauffement climatique, pour lequel je vous invite juste à agir (planter des arbres, réduire ses émissions de CO²), mais d’autres sujets “brulants” :

1. Les DRM ont de plus en plus de plomb dans l’aile, et le plomb est mauvais pour la santé.
   La révolte gronde sur DIGG, ou des milliers publient dans des articles de Blog ou dans des commentaires les 16 chiffres Hexadécimaux suivants
   Et ces 16 chiffres font trembler Digg qui s’évertue à modérer la vague, avant de renoncer face au tsunami. Kevin Rose, fondateur du site explique que maintenant, ils laissent ces codes en lignes sont prêt a en subir les conséquences. En fait, à cause du DMCA américain (ils ont leur DADVSI), le site Digg pourrait très bien être fermé par voie de justice, parce qu’il y aurait un rapport entre ces chiffres et la clé de décryptage des DVD-HD.
   Totalement crétins pose la question : comment arrêter la diffusion d’un truc aussi court, aussi simple ?
   Clubic propose une belle image de la technologie utilisée.

   Allez, encore un effort et on va avoir la peau des DRM…

2. Dell défie Microsoft ?
   Suite à la vague de demandes d’utilisateurs, ça y est: Dell a annoncé qu’ils vont proposer leurs machines avec autre chose que Windows. C’est Ubuntu qui remporte la préférence de Dell, ce qui est plutôt logique.
   Bon, c’est clair que Dell propose du Redhat depuis des années sur ses serveurs, mais là, ce sont des configs grand public qui sont concernées, d’abord aux USA puis en Europe.
   Reste à savoir si les clients joueront le jeux en achetant du Dell/Ubuntu.
   HP a déjà tenté l’expérience avec des machines sous Mandriva, mais ça fait peu de bruit, en tout cas en Europe.
   Ami lecteur, pense y pour ton prochain PC !
3. Les nouvelles méthodes de développement de Vista montrent leurs faiblesse : pourquoi SDL a laissé passé la faille ANI dans Vista ?
   Michael Howard explique : “La SDL n’est pas parfaite, et elle ne le sera probablement jamais. La découverte de ce bogue montre que nous avons encore beaucoup de travail devant nous”.
   Quelques commentaires sur le blog SDL sont intéressants en particulier celui de Xepol reproduit et traduit ci-après:

If you don’t bolt security in from the moment you type main(, you don’t have any.

Dropping functions like strcpy and memcpy make it easier to avoid bad patterns, but the problem starts even earlier – you MUST check the data you accepting to see if it is valid. Does it fit into a buffer? Does the size value provided match the size of the data provided? What is the extra bit of data hanging off the end? Is a 200K URL reasonable? How many headers does an HTTP request really need?

Should an app really have to crash and burn just because data arrives that can easily be identified as bogus instead of tossing it out, and possibly disconnecting a session it is involved with?

Security has to be written right into the code, you can’t add it in later with a bit of compiler magic.

Pretending you can “fix” old code with a few compiler flags is going to result in problems like this repeating endlessly. At some point, you have to stop, go back and FIX the foundation, or you might as well be building on quicksand.

Que l’on pourrait traduire par :

Si tu ne prend pas en compte la sécurité dès le moment ou tu tapes main( , tu n’as aucune sécurité.

Abandonner des fonctions comme strcpy et memcpy permettrait plus facilement d’éviter ces problèmes, mais le problème commence avant – tu DOIS vérifier les données que tu accepte pour contrôler quelles sont valides. Tiendront-elles dans le buffer ? La taille des données reçues correspond-elle avec ce qui est annoncé ? Quel est ce bit supplémentaire à la fin ? Est-il raisonnable d’avoir des URL de 200 ko ? Combien d’entêtes sont réellement nécessaires en HTTP ?

Est-ce qu’une application doit vraiment planter et être tuée simplement à cause de données externes qui pourraient facilement être identifiées comme défectueuses plutôt que de les jeter et de fermer la session concernée ?

La sécurité doit être vraiment prise en compte dans le code, on ne peut l’ajouter après coup en ajoutant un paramètre de compilation.

Prétendre que l’on peut corriger du code avec juste quelques changement de paramètres de compilation va produire perpétuellement des problèmes de ce genre. A un certain moment tu dois t’arrêter, revenir en arrière, et CORRIGER la fondation, ou alors tu peut continuer de bâtir sur du sable.

 

Si vous avez achetés Vista pour sa sécurité, c’est bien dommage pour vous.
Vous voulez un seau pour faire des pâtés ?:-D

 

 

 

______

François

Accès Wifi ouvert au public: Le législateur bloque le progrès

Pour faciliter l’accès internet dans des salles de réunion, nous avons installés quelques bornes wifi (sur un réseau distinct de l’entreprise). L’accès passe par un vieux pc équippé de chillispot pour faire un portail captif, avec sur la page de connexion le login et mot de passe. La page de connexion sert juste à dire “on vous offre un accès internet, ne cassez pas tout”.
Pratique, facile, on a ouvert l’accès, limité le débit, et on en entend quasiment plus parler…sauf que…

Sauf que le législateur est passé par là, et, menace terroriste aidant, nous a concocté une belle pagaille.

Quelques lectures explicatives:

• Données de communication: quel traitement
• Appréhender la conservation des logs en entreprise

Au final, voilà le topo :
Flicage en règle obligatoire: il faut conserver les fichiers log de tout ce qui est fait sur l’internet. Il faut pouvoir dire “cet accès web a été effectué par Mr Machin habitant à telle adresse” ou “C’est Monsieur Tartenpion qui à envoyé ce mel”.

Exeption faite des salariés protégés par la cnil, sauf si un juge en décide autrement. Donc, à-priori, il faut archiver aussi le surf des collègues.
Au bout d’un an il faut anonymiser les logs , ou les effacer.

Au fait, que faut-il archiver ? Même la cnil trouve le texte confus, c’est dire que tout ce la n’est pas clair.

Tout ça pour quoi ?

• Est-ce que ces mesures arrêtent les vrais pirates méchants ? Non
• Est-ce que ces mesures réduisent le spam ? hélas non !

Par contre, comme d’habitude, les gens “normaux” sont pénalisés.
Problème 1: alors, pour les salariés, on archive les logs ou pas ?
Problème 2: j’ai des utilisateurs mobiles, en dhcp… je vais devoir faire des réservations sur tous les sites et ne plus réutiliser les adresses réservées qui sont libres – super ! Ou alors, il faut garder l’historique des affectation d’IP, pour retrouver les adresses MAC et identifier les machines – j’aime.
Problème 3: Comment faire avec les visiteurs ? On leur loue une salle, ils se branchent en éthernet ou wifi, mais je n’ai aucune info sur eux.

J’ai donc 3 solutions pour les visiteurs:

1. Demander une pièce d’identité, créer des comptes utilisateurs pour chaque visiteur, gérer les pertes d’identifiants, archiver l’association identité-login-ip, et garder le tout 1 an.
2. Fermer l’accès wifi et tout accès public.
3. Rester dans l’illégalité au risque que si par malheur un facheux vient se plaindre, je risque gros.

Comment font les point d’accès publics gratuits ? Ils sont hors la loi.

Sinon la solution c’est de se contenter d’un accord avec un opérateur qui installe son point d’accès dans nos locaux… mais là, ce n’est plus gratuit pour les utilisateurs (70€ HT pour 20h/mois chez Orange). Encore plus rageant, l’opérateur se fait de l’argent sur le dos de nos visiteurs avec une chose qui ne coute rien (1 vieux pc avec chillispot et une borne).

Les solutions collaboratives gratuites comme Fon et les réseaux mech ont le même problème: le titulaire de l’accès internet est responsable de l’usage qui en est fait.

Bref, les politiciens parlent de démocratiser l’accès internet, que 100% du territoire soit couvert, que tous aient un accès.
Mais lorsque les solutions techniques existent, ce sont les lois votées par les mêmes politiciens qui bloquent tout.

Bref, ça pourrait être simple, mais non, ils ont fait du compliqué.

François, sans fils et sans flicage, mais pour combien de temps ?

Les DRM dans Vista: vrai problème ou tempète dans un verre d’eau ?

Pas mal de bruit ces temps ci au sujet d’un article consacré à l’impact dans Windows Vista de l’implémentation de mécanisme de protection de contenu (HDCP).

Ceci concerne en particulier la lecture de contenus HD (hd-dvd, bleu-ray, sacd et trucs de ce genre présents ou à venir).

Pour ma part, je pense que ces produits sont inutiles: un dvd actuel, correctement reproduit, même avec des connexions analogiques, est d’une qualité largement suffisante.
Beaucoup de gogos dépensent des fortunes pour un écran HD, pour finalement lire des divx mal encodés de qualité cradoc. Je vous assure qu’un bon dvd, bien lu, et bien affiché est déjà une expérience très plaisante dont bien peu bénéficient.

Le vrai besoin pour la HD vient uniquement des producteurs de contenus. Pour eux, tant qu’il y a de l’analogique, un utilisateur peut le capturer pour le reproduire, d’où la migration forcée qui s’annonce (ou la tentative) pour avoir une chaine numérique de bout en bout leur permettant de chiffrer toutes les données avec HDCP. Ce qu’explique l’article, c’est que ces protections ont un impact non négligeable sur les performances. De plus, la dangerosité de la possibilité pour l’éditeur de révoquer des certicats pour les pilotes graphiques ou audio est mise en évidence: on ne sais qui peut décider que les pilotes machin de telles versions peuvent, chez tous les utilisateurs, être interdits de HD, et passer en mode dégradé, ou même cesser de fonctionner.

Certains crient au catastrophisme et déclarent que le risque de voir un système pénalisé à cause de la révocation d’un certificat de pilote est minime.

A ceux là, je voudrait rappeler un épisode déjà vieux de quelques mois, mais pourtant riche d’enseignements sous ce rapport:

Le 27 juillet 2005, subitement, de nombreux serveurs sous windows qui utilisaient un onduleur APC et le logiciels PowerChute ont été paralysés (cpu à 100%).
La cause: les logiciels (sous java) étaient “sécurisés” avec une signature numérique qui avait une date d’expiration.
Après cette date, non seulement le logiciels ne fonctionnait plus, mais en plus un bug entrainait le blocage du serveur. Un comble pour un logiciel destiner à assurer un fonctionnement continu !

Dans ce cas, la révocation n’était pas due à une demande de l’éditeur, mais juste à une expiration. C’est juste révélateur de la réalité des dégâts possibles. Dans mon cas, un serveur de production a cesser de fonctionner, et des échanges EDI ont été paralysés.

Donc, oui, les DRM sont une plaie qu’il est encore temps de refuser : le pouvoir du portefeuille existe.
Si les clients n’achêtent pas de contenu DRMisé, la loi du marché imposera l’abandon des DRM. C’est déjà en marche avec la musique en ligne.

François, qui a encore un peu de mémoire.

Sécurité Informatique: la semaine de tous les dangers ?

FUD, vous connaissez ?

Le FUD, c’est l’ennemi de l’intelligence et de la compréhension.
En semant la Peur, l’Incertitude et le Doute, les mauvais utilisent cette arme pour déstabiliser.

Et en une semaine, on a eu droit à beaucoup de déclarations fracassantes concernant la Sécurité Informatique. Certaines relèvent clairement de l’intox ou sont montées en épingle, alors que des choses plus sérieuses sont passées plus inaperçues.

Et si on triait tout cela:

Select * from DECLARATIONS where rubrique=’Sécurité’ order by FUDLEVEL

1. Le gagnant de la semaine est incontestablement l’incroyable Steve.
   D’après lui, Linux vole la propriété intellectuelle de Microsoft...
   Ah oui, c’est vrai, SCO coule, il faut un successeur au troll de la décénie…
   Passez par nous ou notre allié Suse pour éviter d’éventuelles poursuites (mais pour rien de précis). Vachement crédible le Steve, ouais, même que. Népèche que ces propos sont relayés ici ou là, et heureusement, parfois justement recadrés.
2. Tout le monde tremble, la cryptographie à clés asymétriques est faillible, RSA cracké.
   Bon, faut pas exagérer tout de même. Il faut avoir accès à la machine qui génère la clé privée. Donc, la clé privée d’une machine compromise n’est pas fiable. Mais dans ce cas, si on a accès à la machine, pas besoin de découvrir la clé, les informations non chiffrées s’y trouvent.
   La méthode intéresse les spécialiste, mais la sécurité SSL ou IPSEC n’est pas compromise pour autant.
   Heureusement, certains ne tombent pas dans le panneau.
   .
   Passons maintenant dans le domaine du réel:
   .
3. Alerte: il y a une faille dans Firefox.
   Un site malveillant peut récupérer les mots de passe enregistrés.
   La fiche bugzilla est intéressante.
   On verra dans combien de temps le correctif sera dispo. Déclenchons le chrono !
   Tient, au fait, IE est concerné aussi, mais moins gravement, car il faut l’intervention de l’utilisateur. Mais les habitutés du click-click sans comprendre devraient se méfier…
4. Des distributeurs de billets anglais envoyent les données des clients non chiffrées.
   Hein ? en 2006 il y a des GAB sans sécurité et on laisse faire cela ?
5. Des transferts internationaux de transaction issues de distributeurs de billet sont déchiffrée puis rechiffrées par des passerelles diverses et variées en cours de route.
   Et s’il y a un maillon faible ? alors tout est faible, la chaine casse.
6. La sécurité des passeports biométriques britaniques en question:
   Après l’écoute des transmission RFID, voici maintenant la super clé secrête cassable en quelques jours…
   Vu le temps de déployement requis pour un tel projet, une conclusion s’impose : ça craint !

Au final, certain professionnels de l’informatique devraient arrêter d’employer la technique marketing minable consistant à faire peur, et les médias devraient se méfier du sensationnalisme à bas prix. D’un autre côté, les vrais problèmes doivent être corrigés: des communications financières non chiffrées sur le réseau téléphonique, c’est grave, et des passeports qui ne garantissent pas l’identité, c’est très grave.

Et bien, quelle semaine !

En tout cas, toutes mes félicitations à Marc Oliané de reseaux-telecoms.net et à la correctrice qui truffe les billets de notes d’humour.

J’attends la suite.

François.

Les décideurs devraient éviter de confondre cinéma et réalité

Le mythe de la sécurité par un gadget technologique à encore frappé !
Il a frappé fort et pour longtemps.

Garantir la sécurité et la non-falsification des passeports est un bel objectif, et un sacré défi.
Malheureusement, il semble qu’on soit loin de l’avoir atteint, et comme les nouveaux passeport biométriques sont en marche, c’est déjà trop tard.

Alors, que ce passe t-il avec ces passeports biométriques ?

Un groupe d’expert tire la sonnette d’alarme sur les dangers présents dans le système mis en place, et vous invite à considéré ces problèmes graves dans la Déclaration de Budapest.

Lisez la suite de cette entrée »