blog search

Showing posts with label internet. Show all posts
Showing posts with label internet. Show all posts

ALGORITHM - Computer hacker breaks into secret government contractor

Published on Dec 7, 2014 A freelance computer hacker breaks into secret government contractor and downloads a program. He must choose between his own curiosity and the lives of his friends. Movie project (#JonSchiefer)

Space data highway (via 01net)

Communication laser longue distance : l'Internet haut débit de l'espace est né... http://t.01net.com/ar634491

Ray Kurzweil

En 2030 une capacité de calcul d'un dollar aura la même performance que celle du cerveau humain indiquait déjà le futurologue américain Ray Kurzweil, spécialiste en intelligence artificielle dans une interview au journal allemand Die Zeit (01/2002). En scannant le cerveau humain ou via d'autres méthodes de reproduction de ce modèle, nous développerons des progiciels qui illustreront par ordinateur toutes les facettes de ce cerveau, y compris la faculté de comprendre et de ressentir des relations et des émotions complexes. La technologie rendue de plus en plus intelligente voire même consciente entrera alors en compétition directe avec les hommes. Des progrès qui nous permettront même, sinon de devenir immortels, du moins de nous refabriquer avant la fin du XXIème siècle. voir le site singularity.com

Facebook memory

A lire sur slate.fr un reportage palpitant Jennifer Golbeck
Traduit par Bérengère Viennot

Extrait : "Facebook Timeline Cleaner est l’option la plus nuancée. Il permet d’effacer des publications avant ou après un moment donné. Mais il n’a pas très bien marché pour moi. J’ai passé une semaine à essayer de le faire fonctionner sous Firefox et Chrome. Il s’exécutait pendant huit à dix heures, supprimait quelques trucs, et puis le navigateur plantait. Je l’ai ensuite essayé uniquement sur de très vieux posts, sans plus de succès. Je pense que c’est peut-être parce que mon activité était vraiment intense et que la puissance informatique nécessaire pour faire fonctionner le script dépassait les capacités de mon navigateur".


(ndlr. pas facile en effet de purger son compte sur FB)



http://www.slate.fr/life/81987/facebook-effacer-passe

CNIL : Prix de thèse Informatique et Libertés

Francesca Musiani
Le jury du Prix de thèse Informatique et Libertés, présidé par M. Jean-Marie Cotteret, membre de la CNIL, a attribué le 5ème prix Informatique et Libertés à Francesca Musiani, postdoctorante au centre de Sociologie de l'Innovation à MINES ParisTech, et affiliée au Berkman Center for Internet and Society de l’Université de Harvard (Etats-Unis) pour sa thèse intitulée « Nains sans géants. Architecture décentralisée et services Internet ». Le Prix de thèse "informatique et libertés" incite au développement des recherches universitaires concernant la protection de la vie privée et des données personnelles. Ce prix s'adresse à de très nombreuses disciplines telles que les sciences humaines, le droit, les sciences politiques, l'économie mais aussi les disciplines technologiques, de l’innovation et du design.

Phishing

On appelle cela le filoutage ou au Québec le "hameçonnage". Les opérations de phishing se multiplient. Et ce malgré les alertes émises par les administrateurs gérant les transactions de leurs clients. 

Des internautes même avertis se laissent encore prendre au piège. Les banques ne sont pas les seules concernées par ce phénomène. Dans tous les secteurs, les pays à fort taux de connexions sont touchés par les agissements de circuits mafieux

Hoax oups avec hoaxkiller

On ne compte plus les messages non sourcés qui circulent sur le Net. Certains sont des hoax tranférés et retransférés par des collègues de travail, clients, amis, amis d'amis. La plupart de ces hoax présentent les caractéristiques de messages bien construits, argumentés, dont la crédibilité ne semble faire aucun doute...

Médias sociaux : les chiffres


Twitter et Facebook s'imposeraient parmi les premières sources d'information, tant pour les professionnels que pour le grand public. Les tweets remplaceraient peu à peu les dépêches pour les journalistes, Facebook remplacerait progressivement l'email pour les particuliers. Pour Novius, il serait donc essentiel de diffuser sur les médiaux sociaux "les actualités et autres informations" et de l'illustrer par une animation chiffrée à la powerpoint (Agence Novius).



presshightech: Charte « confiance en ligne »

Rappel : c'était en 2004, et c’est Nicolas Sarkozy alors ministre d'État, ministre de l'Intérieur et Philippe Bas, ministre délégué à la Famille, qui décidaient de confier à une commission collégiale la gestion d’un label « confiance en ligne ». Cette charte avait été présentée par Franck Louvrier, l'omniprésent conseiller pour la communication et la presse à l'Elysée.

Réseaux sociaux : pression des pouvoirs publics

Le décret est paru au Journal Officiel (n° 2011-219 du 25 février 2011). Il traite de "la conservation et la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne". L'outil rentre dans le cadre de la LCEN (Loi pour la Confiance dans l'Economie Numérique). Il officialise l'obligation pour les hébergeurs de contenu (sites et services...) et FAI (fournisseurs d'accès Internet) de conserver bon nombre de données personnelles comme les mots de passe, pseudos, email, etc. D''abord concernés par cette loi, les fournisseurs d'accès à internet Free, Orange, SFR et Bouygues. En conséquence, les hébergeurs de contenus devront se plier au décret. Il englobe sites internet, blogs, forums, réseaux sociaux, services en ligne. Facebook, Viadeo, Linkedin, mais aussi Youtube, Dailymotion, Kewego... sans oublier les sites bancaires, les forums de discussions et les plateformes de blogs (wordpress, overblog, blogger, etc). Le décret en intégral.

Antivirus : payer plus pour protéger moins...

Angoissé qu’il est par la crainte d’une contamination potentielle, l’utilisateur lambda télécharge volontiers des programmes anti-viraux additionnels, même si leur installation constitue une surcouche parasitaire sur une protection déjà existante...

Pour preuve les récentes déclarations de Neil MacDonald, Vice-président du Gartner Group, lors de la conférence IT Security Summit organisée à Londres. « Pourquoi payer davantage chaque année pour des antivirus qui en donnent moins ?". Soulignant de fait que dans le domaine de la sécurité, les logiciels perdent souvent de leur efficacité alors qu'apparaissent de nouvelles menaces. Cet analyste estimant que les logiciels (d'un prix assez élevé) sont trop souvent destinés à effectuer une tâche unique, comme empêcher les intrusions ou protéger un point d'accès. Du coup, cela conduit les utilisateurs à multiplier des outils dédiés à telle ou telle tâche. Selon Neil MacDonald, les logiciels devraient plutôt apporter une réponse globale, chaque module coopérant avec les autres, comme un véritable système immunitaire. "Les éditeurs proposent trop de produits ponctuels, induisant trop de complexité", conclue-t'il.

Utile de rappeler l'anecdote que nous relevions voici quelques mois à l'écoute d'une émission sur France Inter, où un auditeur agacé donnait la réplique à un représentant de Symantec venu défendre Norton Internet Security (suite à de mauvaises notes obtenues par cet outil dans divers comparatifs. Et de pointer les difficultés rencontrées avec ce kit qui bloquait son système de façon intempestive (impossible à désinstaller puis réinstaller correctement, vous connaissez...). L'auditeur donnant l’exemple d’un proche, informaticien de surcroît, qui n’utilisait plus aucun outil anti-viral depuis deux ans, sans problème apparent...

Déjà pointé dans les colonnes de Presshightech et ce sujet devient un marronnier, les éditeurs de logiciels méritant quelques (virtuelles) châtaignes... de fait, l'utilisateur doit savoir que le pare-feu intégré au système d'exploitation des PC est suffisant pour protéger l'internaute lambda. Une surcouche de protection risquant d'annihiler tout bonnement le fonctionnement du tout. Il vaut donc mieux fermer les pop-ups ou autres publicités qui enjoignent de télécharger un module pour mieux protéger votre chère bécane... car c'est souvent là que commencent... les problèmes :-)

Claude A.Frison (source Gartner Group, IDG News Services).

Malwares malveillants

L'industrie des malwares se développe de façon exponentielle. Elle empoisonne le développement du web. La vente de codes "malveillants" devient un commerce à l'instar de simples kits anti-virus...

Pour la seule année 2007, de nombreuses pages de sites web auraient été modifiées grâce à quelques simples lignes de codes redirigeant les visiteurs vers des sites pirates (ndr : voir les articles de presshightech.com sur le phénomène du "phishing"). Un code de redirection ou d' « iFrame » se présentant sous la forme d'un cadre d'un pixel contenant une double programmation vers le site du pirate. Le premier étant un "piégeur" d'infiltration de pages Web. Le second étant un « downloader » permettant d'implanter un programme que le pirate souhaite utiliser (porte "dérobée", keylogger, robot, etc). Autre "moyen", les "bots" qui sont des malwares permettant la prise de contrôle à distance de machines vulnérables afin de former un réseau d'attaque caché (ndr : "botnet" typiques des attaques de phishers). Le tout permettant de "spammer" ou bien de faire des attaques en "déni de service distribué".

Selon François Paget (photo), chercheur en sécurité chez Mc Afee, ces outils d'attaque seraient en vente sur le Net sous la forme de petites annonces sur des forums spécialisés. De quelques centaines d'euros aux plus performants à 3000 dollars, ainsi MPack et WebAttacker (inet-lux.com), IcePack, d'origine russe... Limbo, MPack (DreamCoders Team), Nuclear Grabber (Corpse), Pinch (Coban), Power Grabber (privat.inattack.ru), etc.

Derrière ces outils d'attaque, les "têtes pensantes" seraient concentrées aux Etats-Unis, dans les pays de l'Est et en Chine. Avec dans chacun de ces pays, des groupes très hiérarchisés qui vendent à la fois l'outil et le service, et en cas de réaction, retournent la responsabilité de l'acte sur l'acheteur... un commerce comme un autre. Certains groupes sont maintenant connus : Cult of the Dead Cow, Russian Business Network (casinos virtuels et de la pédo-pornographie), Network Crack Program Hacker (connu pour avoir conçu le rootkit GinWui avec des membres spécialisés dans la suite Microsoft Office dont ils diffusent les vulnérabilités), Honker Union of China (avec 20 000 hackers estimés, connu pour ses attaques régulières de sites gouvernementaux et industriels aux Etats Unis, en Australie et en Nouvelle Zélande).

Lors du 2ème forum international de la cybercriminalité qui s'est tenu à Lille le 20 mars dernier, des participants ont parlé de 100 à 150 millions de machines infectées au niveau mondial, dont 60 000 PC infectés chaque jour en France...

Claude A.Frison (sources : Mc Afee / ITNews / Réseaux et Télécoms)

Charte « confiance en ligne »

Face aux multiples dérives sur la Toile, le gouvernement tente d'imposer aux opérateurs de télécom et aux prestataires internet (fournisseurs d'accès et éditeurs de contenus), la signature, d'ici le 10 juin 2008, d'une charte dite sur la « confiance en ligne »...

Le document publié en exclusivité par le site PCInpact émane du ministère de l'Intérieur. A la lecture, il s'avère de fait lourd de conséquences pratiques pour les fournisseurs d'accès à l'Internet. Il s'inscrit dans le cheminement de la charte sur les "contenus odieux" de 2004 et les travaux du Forum des Droits de l'Internet afin de construire un internet "civilisé et sécurisé". C’est Nicolas Sarkozy alors ministre d'État, ministre de l'Intérieur et Philippe Bas, ministre délégué à la Famille, qui avaient décidé de confier à une commission collégiale la gestion d’un label « confiance en ligne ». Cette charte a été présentée par Franck Louvrier (photo Le Figaro), l'omniprésent conseiller pour la communication et la presse à la Présidence de la République. Pour ses lecteurs au fait des derniers développements relatifs à l'évolution des pratiques sur le Net, Presshightech reproduit ici le texte de cette charte dans son intégralité.


La charte Confiance en ligne traduit la volonté du gouvernement de faire de l'internet un environnement le plus sûr possible pour tous les citoyens. Elle s'appuie sur une démarche volontaire des prestataires à prendre part au projet de construire la "civilité et la sécurité de l'Internet". Dans le prolongement de la charte contre les produits odieux signée le 14 juin 2004, et les travaux au sein du Forum des droits sur internet, les signataires (fournisseurs d'accès, et opérateurs mobiles, fournisseurs de services en ligne et éditeurs) se conforment aux présents engagements sans que ceux-ci n'influent sur le statut juridique de chacun des acteurs de l'lnternet, au regard, notamment, de la loi pour la confiance dans l'économie numérique. Ces engagements s'inscrivent dans un cadre législatif et réglementaire existant en définissant les conditions de bonne application de ces textes par les acteurs de l'internet et les autorités publiques, en tenant compte des évolutions technologiques récentes. Les engagements présentés se conforment également aux récentes recommandations du Conseil de l'Europe adoptées lors de la conférence annuelle OCTOPUS 2008 en avril 2008.

Améliorer la sécurité de l'utilisateur

Mise en avant par les signataires sur leurs produits, home page et via des liens, d'informations et de contenus portant sur : les risques existants en matière de sécurité des données et des équipements (Virus, spywares, logiciels de connexion vers des numéros surtaxés, piratage de connexion, sécurisation Wifi...) ; les moyens techniques à la disposition des internautes pour s'en prémunir et la nécessité de les mettre à jour ; les conseils et bonnes pratiques existants afin d'éviter et de lutter contre le spam (ex. lien vers Signal Spam) ; une information sur les escroqueries et les risques émergents en modéré de délinquance économique sur internet (spam, phishing, captation du numéro de carte bancaire) ainsi que sur les outils permettant de lutter contre ces pratiques et les précautions à prendre en cas de saisie des informations bancaires.


Veiller à la sécurisation de l'équipement


Procéder à une démarche de veille active, sur les risques techniques émergents pour l'utilisateur ; mettre en place une démarche proactive de sécurisation des équipements par des mesures adaptées (ex : information, suspension, résiliation, blocage de certains ports...) auprès des clients mettant en jeu la sécurité du réseau. Préconfigurer les équipements fournis aux utilisateurs afin qu'ils atteignent un niveau de sécurité par défaut optimal selon l'état de l'art. Lutter contre le spam à travers une politique adaptée (filtrage, lien de signalement, application de quotas d'envoi...), en créant une adresse de type « abuse@ » et en participant activement au programme Signal Spam.


Apporter une information générale


Avec la mise en avant par les signataires sur leurs produits, home page et via des liens, de contenus portant sur : les risques d'exposition à des contenus préjudiciables et la procédure de signalement en mettant à dispositiorn les liens d'accès à l'ensemble des plates-formes de signalement existantes ; les enjeux liés à la sauvegarde des données personnelles ; les moyens techniques à la disposition des internautes pour s'en prémunir ; un descriptif des logiciels de contrôle parental et de leurs évaluations (logiciels FAI et en vente dans le commerce) ainsi qu'une aide à leur installation et configuration ; des conseils de vigilance (ex : guide).


Encadrer l'usage des services à travers une charte de l'utilisateur


Avec l'élaboration et la mise en avant par le signataire d'une charte de l'utilisateur reprenant : les règles de droit que tout auteur de contenu doit respecter ; les comportements et contenus autorisés ou interdits sur le service et rappelant les responsabilités en jeu, notamment pour les mineurs ; une sensibilisation et un encouragement à modérer les contenus pour les internautes créateurs de forums, blogs... ainsi qu'une information sur les moyens techniques adéquats. Avec obligation pour les internautes producteurs de contenus d'empêcher les mineurs d'accéder a tout contenu entrant dans le cadre de l'article 227-24 du Code pénal. La possibilité de prévoir contractuellement une modalité de suspension de la possibilité de publier, par des personnes autres que le créateur de l'espace, en l'absence de toute mise à jour, modification, intervention ou modération d'un contenu depuis trois mois; ainsi que l'existence de mesures de suspension ou de suppression de l'espace.

Engagements du signataire sur sa politique éditoriale...

Les espaces interactifs destinés aux mineurs sont contrôlés a priori. Les services et contenus manifestement destinés aux mineurs ne contiennent pas de publicités faisant la promotion de biens ou services inappropriés (ex. services de rencontres adultes, tabac, alcool) ou contraires à la recommandation « enfant » du BVP (bureau de vérification de la publicité). La publicité pour les contenus relatifs à l'article 227-24 du Code pénal ne sont diffusés que dans des zones « adultes » où l'accès des mineurs est fortement contrôlé par un dispositif efficace en fonction de
l'état de l'art. Les contenus entrant dans le cadre de l'article 227-24 du Code pénal ainsi que les liens hypertextes pointant vers de tels contenus ne sont diffusés que dans des zones « adultes n où l'accès des mineurs est fortement contrôlé par un dispositif efficace en fonction de l'état de l'art. Les espaces interactifs destinés aux adultes font l'objet d'un contrôle par un dispositif efficace en fonction de l'état de l'art.

Permettre un meilleur signalement de la part des internautes

Avec l'amélioration des procédures de signalement, mettre en avant une procédure de signalement claire, facilement accessible et compréhensible par l'internaute portant sur les contenus produits, diffusés ou hébergés par le signataire. Apporter une réponse rapide aux sollicitations reçues par ce biais et informer l'internaute sur l'existence du point de contact de l'AFA et la plateforme de signalement du Ministère de l'Intérieur. Se doter de procédures internes permettant de réagir correctement et en relation avec les autorités compétentes en cas de signalement de contenus ou de comportements illicites (avec objectif de labélisation...).

Participer à la politique de signalement...

Avec engagements du signataire sur sa politique de signalement : il signale aux autorités les contenus et comportements qui lui ont été notifiés susceptibles de relever des infractions visées aux cinquième et huitième alinéas de l'article 24 de la loi du 29 juillet 1881 sur la liberté de la presse (1) et à l'article 22723 (2) du Code pénal. NDLR : (1) Apologie des crimes visés au premier alinéa, des crimes de guerre, des crimes contre l'humanité ou des crimes et délits de collaboration avec l'ennemi. Provocation à la discrimination, à la haine ou à la violence à l'éqard d'une personne ou d'un groupe de personnes à raison de leur origine ou de leur appartenance ou de leur non-appartenance à une ethnie, une nation, une race ou une religion déterminée. (2) Représentation d'un mineur présentant un caractère pornographique.
Le signataire de la Charte signale également, dans les mêmes conditions, les contenus et comportements faisant apparaître un risque immédiat pour la sécurité des personnes et des biens. Dans ce dernier cas, et lorsqu'il dispose des données pouvant contribuer à l'identification de l'auteur du contenu concerné, le prestataire accompagne le signalement de ces informations afin de pouvoir empêcher l'atteinte à l'intégrité physique de la personne qui lui a été signalée.

Le signataire s'engage à déférer dans les meilleurs délais aux réquisitions judiciaires...

Il s'efforce de permettre l'identification du titulaire d'une adresse de courrier électronique après réception d'une réquisition et de celui d'une adresse IP auprès du fournisseur d'accès à l'internet suivant la réception du document. Il s'efforce, pour les réquisitions et demandes officielles non standard, à apporter une première réponse (accusé de réception, indication du délai estimé de réponse à la demande, etc). Il s'engage à mettre en place un « service d'obligations légales » performant ou, en cas d'impossibilité, à désigner une personne responsable du traitement des réponses aux réquisitions judiciaires et capable, en cas d'urgence, d'initier le traitement de ces réponses. Ces données sont régulièrement mises à jour et communiquées aux "guichets uniques" mis en place par les services de police et de gendarmerie en liaison avec la délégation des interceptions judiciaires. Ces autorités s'engagent à assurer une mise à jour des coordonnées de ces "guichets uniques".

Mieux participer au travail des autorités publiques en conservant et en transmettant certaines données...

Le signataire met en place, en application des dispositions législatives et réglementaires, une procédure de conservation et de transmission des données : ainsi il conserve toutes les données de connexion lorsque celles-ci sont nécessaires pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales. Il détient et conserve les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont il est prestataire. Ces données sont conservées un an. Dans le cadre de la communication des données de connexion, le prestataire communique tous les éléments d'identification en sa possession, conformément à la loi, permettant aux autorités de déterminer l'identité de l'internaute.

Mettre en place une démarche efficiente de retrait et de suspension ou de blocage de certains contenus...

Le signataire met en place une procédure de retrait et de suspension adéquate : ainsi il s'engage à retirer ou à suspendre promptement les contenus sur réquisition des autorités ou sur demande judiciaire. Lorsqu'il procède au retrait d'un contenu et le signale aux autorités, le signataire procède à la transmission d'une copie intégrale des données retirées et la conserve dans le format d'origine. Le signataire s'engage à restituer ou à rétablir les données dans le format dans lesquelles elles s'affichaient avant retrait ou suspension. Dans le cas des sites à caractères pédopornographiques, qui lui sont signalés par le ministère de l'Intérieur, les FAI s'engagent à bloquer l'accès à ces sites par les moyens techniques qu'ils estiment les plus appropriés.

Cryptage des données numériques

Les processeurs mis en cause

De quoi inquiéter les centraux bancaires et les officines d’e-commerce, des articles publiés dans la presse spécialisée suscitent quelques interrogations sur la fiabilité des processeurs de nos chères (...) bécanes...

Suite aux révélations de l’équipe conduite par le cryptologue allemand Jean-Pierre Seifert (ex-Intel, enseignant dans les universités d'Haïfa et d'Innsbruck), les fabricants de microprocesseurs seraient sur les dents. En cause, une technique d'espionnage au niveau du code machine qui reposerait sur un logiciel capable de récupérer la clé de cryptage SSL au cours même de la phase de calcul… les spécialistes apprécieront. Qu'il s'agisse de crypter, de signer ou de garantir l'intégrité de données numériques, d’après les expériences conduites par l’équipe de JPS, les processeurs de la quasi-totalité du parc informatique mondial seraient vulnérables et le commerce en ligne serait selon lui menacé, ainsi que tout ce qui permet la dématérialisation des échanges, fondée sur des applications faisant appel aux codes asymétriques (procédé utilisant une clé publique codant les données et une clé secrète pour les restituer). Il s’agirait même de la fin des algorithmes RSA et des clefs de chiffrement couramment utilisées (RSA, acronyme formé à partir des noms de ses créateurs : Rivest, Shamir et Adleman).
Pour de plus amples détails, nos lecteurs peuvent se reporter au research group ``Mathematical Computer Science'', de la Johann Wolfgang Goethe-University (docs en allemand).

Dans le détail cette menace qui porte le nom d’analyse de prédiction de branche (BPA), nécessitait jusqu’à maintenant de très nombreux essais pour déduire de façon statistique la clé de cryptage (ce qui la rendait de fait impraticable). Dans une étude encore assez confidentielle, JPS décrit la façon dont il a pu (selon lui en une seule tentative) récupérer la quasi-intégralité d'une clé de cryptage de 512 bits (NDR : rappelons que ce type de cryptage consiste en une suite d'autant de 0 ou de 1 permettant de « brouiller » les données transitant par le Net afin de les rendre illisibles ; elle est donc couramment utilisée pour les transactions cryptées ; sachant que la plus grande clé publique faisait 640 bits ; sa décomposition en 2005, avait nécessité pendant trois mois, l’utilisation de 80 microprocesseurs cadencés à 2,2 GHz). Cette découverte fait figure de bombe, puisqu’elle ne ferait appel qu’à une seule lecture de code ; sa force résidant dans le fait que le processus de prédiction, fondamental pour accélérer les performances du processeur, ne serait pas vraiment protégé. Selon lui, le mode de fonctionnement même de la puce, optimisé pour accélérer les calculs, la rendrait vulnérable. « La sécurité a été sacrifiée au bénéfice de la performance », estime le chercheur. Une « taupe » (logiciel) pourrait donc « écouter » la puce en toute discrétion, et renvoyer la clé par exemple à des hackers, voire à des services de renseignement ou à des concurrents potentiels. Sous couvert d'anonymat, des spécialistes de cryptographie confirment le sérieux de la menace sur les systèmes à clé publique : « La solution réelle serait de revoir la conception même de nos microprocesseurs… une solution de court terme serait de ne pas permettre que des applications sensibles tournent en parallèle avec des opérations standards sur un même ordinateur, ce qui est plus facile à dire qu'à faire dans un environnement de travail classique… il reste des remèdes partiels, mais ils impliquent de ralentir considérablement le fonctionnement des PC ».

La polémique avait même fait rage entre observateurs. Selon l’hebdomadaire Le Monde Informatique (LMI, publication d’International Data Group, éditeur de Computer World), le quotidien le Monde « faisait saigner la tomate » à propos d'une technique potentielle qui permet de récupérer les clés de cryptage au cœur des processeurs. Pour cet hebdomadaire spécialisé « il est hautement regrettable que la sécurité des systèmes d'information, qui concerne effectivement l'ensemble des citoyens des pays industrialisés, soit encore traitée sur un ton alarmiste et superficiel, entretenant une défiance diffuse et, plus grave encore, le fatalisme ambiant et l'apathie juridique qui en découle, le tout garantissant l'impunité des responsables des causes réelles et sérieuses des milliards d'euros ou de dollars volés chaque année, en particulier les banques et les détenteurs d'informations personnelles qui ne sont toujours pas tenus, en France, d'alerter les victimes potentielles à la suite d'une effraction de leur système d'information, et l’on ne s’y prendrait pas autrement si l'on voulait, sciemment, désinformer une population tout entière pour lui faire supporter les frais d'une dématérialisation des échanges conduite au seul profit des intermédiaires financiers ». Les résultats des travaux de Jean-Pierre Seifert avaient été publiés lors de la conférence RSA, début 2007. CaF

La méthode de l'épuisette

Trop méconnue des internautes

Ce type de cybercriminalité est maintenant classique. Le procédé est parfaitement connu des spécialistes, enquêteurs et experts en sécurité informatique. Mais il est bien difficile de lutter contre l’ampleur du problème, car le tableau est à entrées multiples.


Les conséquences du phishing n’inquiètent pas que les banques. Le phénomène touche les achats et les jeux en ligne, voire des guichets administratifs. La recette est simple. A l’instar des méthodes de recrutement utilisées en matière de trafic de stupéfiants, les escrocs utilisent des mules pour brouiller les pistes et ne pas indiquer leur propre identité bancaire. L'objectif est d’empêcher la police de remonter toute la filière. Pour les « mules », le travail demandé n'est pas bien compliqué. Il suffit de consulter plusieurs fois par jour sa messagerie électronique. Dès qu'un mail lui signale qu'un virement a été fait sur son compte, il effectue un transfert vers un compte de la société en question. En échange de ce service, selon le Club de la sécurité des systèmes d'information français (Clusif), il toucherait 5 à 10 % des sommes transférées. Malgré tout, les montants unitaires seraient assez faibles, à cause notamment des plafonds instaurés par les banques en matière d’opérations en ligne. Mais selon le Clusif, ce business rapporterait quand même jusqu'à 3 K€ par mois à certains internautes.

L’arnaque repose donc essentiellement sur l’imprudence d’internautes pas toujours aguerris aux pratiques en vogue sur la toile ; on pense notamment aux retraités qui depuis quelques années boursicotent sur le Net pour arrondir leurs pensions, ou bien encore aux ados qui surfent le soir du fond de leur lit sur leurs sites favoris, et achètent en ligne (musique, VOD, vêtements à la mode, gadgets…) accrochés par tel ou tel pop-up les enjoignant de se rendre ici ou là pour vérif. Au bureau, dans le feu de leur journée passée devant la bécane, les internautes peuvent de plus en plus difficilement faire la différence entre le site qu’ils visitent régulièrement et une page d’accueil vers laquelle ils sont redirectionnés à leur insu, dans la plupart des cas par le biais d’un mail anodin. Qui donc peut affirmer examiner chaque mail à la loupe. Même s’ils sont des surfers avertis, une page d’accueil reconstituée quasi à l’identique par des mauvais farceurs (logos, copyright, popups publicitaires, nom du client en en-tête…) peut échapper à leur attention. Surtout en situation de stress au travail. Prudence donc, surtout lorsque l’on reçoit dans sa messagerie un formulaire en apparence tout à fait officiel.

On peut légitimement s’inquiéter de la montée en puissance des cyber-lobbies agissant sur la toile. Les mafias, russes ou autres, qui en tirent souvent les ficelles, notamment par le biais d’anodins messages provenant de pays africains et latino-américains. Des réseaux mafieux chinois aussi, particulièrement par le biais de sites destinés à des parieurs en ligne : bookmakers sportifs, paris sur des championnats de football en Europe, paris hippiques, casinos en ligne. Les plus naïfs se laissent attirer vers d’autres lieux, voire commencent à trop dévoiler leurs penchants, avouables ou non, auprès d’avatars communiquant sur des serveurs de messagerie instantanée intégrés aux sites.La piraterie par phishing ne concerne donc plus seulement le simple quidam consultant son compte en ligne. Ce type d’escroqueries concerne aussi les passionnés de divertissements en ligne. Notamment avec le développement de sites de réalité virtuelle en 3D (type second life) avec la banalisation de la communication par avatars interposés aux comportements réalistes. Rappelons que la source des problèmes ne vient pas des créateurs et animateurs de ces sites, mais des escrocs qui s’y introduisent. Claude A.Frison

Passwords harvesting fishing

Pêche aux mots de passe
Étymologiquement, le terme de « phishing » vient de l'expression anglaise « passwords harvesting fishing » (pêche aux mots de passe), utilisée à l’époque des premières attaques de ce type sur les serveurs d’America Online. En français, il est communément traduit par « hameçonnage ». La technique consiste à faire croire aux internautes qu'ils reçoivent un mail de la part d’un site de confiance qu’ils consultent fréquemment. Une page parfaitement imitée les enjoint à compléter une simple case d’identification par mot de passe, pour authentification. Une fois entré et validé, le tour est joué. A l’insu du particulier, en un éclair, l’attaquant peut se connecter sur la page du client et obtenir des renseignements personnels.

Plus grave est la situation quand le pirate, flanqué de ses cyber-acolytes parvient à installer sur le poste client un virus de type troyen (exemple haxdoor.ki). A noter qu’un simple cookie peut contenir ce type de programme. Il s’ajoutera à la base du registre au démarrage du système d’exploitation, se propageant là où il est sensé aller. Une manip d’autant plus facile que beaucoup d’internautes modifient les paramétrages de leurs pare-feux, voire désactivent les contrôles de cookies et de scripts à l’accès, ceci afin d’accélérer la rapidité de leur système, excédés qu’ils sont par les ralentissements que leur fait subir leur programme antiviral. Claude A.Frison

E-learning : la seconde vie de Big Blue

De l'e-learning à l'échelle planétaire. Depuis que Big Blue s'est recentré sur les services, l'irruption de la firme de White Plains dans Second Life est somme toute logique. IBM voit grand et utilise déjà Second Life comme outil de formation pour un millier de ses salariés éparpillés sur la planète. IBM ne fait pas les choses à la légère en matière de BSD (business system development). La jeune équipe de Philip Rosedale du Linden Lab a d'emblée bénéficié de prestations à forte valeur ajoutée (offertes pour certaines en guise de bons procédés). Notamment un système avancé de traduction en temps réel et des outils de visio-conférence, indispensables pour mettre en relation les internautes du monde entier (IBM France est de l'aventure aussi). Les choses sont allées grand train depuis que The Register annonçait les plans "secrets" de la firme en 2006. Pour info, les bases de déploiement furent lancées sous la houlette du boss des développeurs Ian Hughes, pour la circonstance parachuté Metaverse Evangelist entouré d'une escouade de beta-testeur dans un modeste chalet situé en plein centre du Monde SL. Les ingénieurs maisons s'en sont donnés à coeur joie en matière de modélisation. Des expérimentations dont le Linden Lab devrait continuer à bénéficier pour tenter de maintenir sa croissance. Claude A.Frison

Interview with Bill Gates on Channel 9

www.HighT3c.com Bill Gates talks about MIX06, IE, DHTML, AJAX, Compatibility, Office 12, and also he says where he surfs the net ! (more)

Formulaire de contact

Name

Email *

Message *