Spécial sécurité : Acta, un problème constitutionnel ?

Sommaire : 
1 - Acta, un problème constitutionnel ?
2 - Les Français ne comprennent rien au spam
3 - Microsoft : 10 trous bouchés hors calendrier
4 - Java, Apple, VMWare, collection de trous de printemps
5 - Hacking des services généraux (second épisode)

1 - Acta, un problème constitutionnel ?
Vives réactions, en ce début de semaine, de la part de plusieurs députés européens, qui s’élèvent contre le manque de transparence des négociations sur l’Acta (Anti-Counterfeiting Trade Agreement) conduites en secret par le commissaire européen au Commerce, Karel de Gucht. Le Monde, la RTBF, le Point, le Nouvel Obs traduisent l’exaspération du Parlement devant l’opacité des décisions de l’exécutif, un exécutif qui s’est cru tenu au silence simplement parce que « les autres parties stipulent que les textes ne peuvent pas être divulgués ». Rappelons que les autres parties en question sont essentiellement des entreprises et des associations de lobbying relevant d’entités de droit privé, voir d’instances non-européennes, et dont les « stipulations » n’ont pas force de loi.

Rappelons qu’Acta est un ensemble de dispositions visant à instaurer au niveau mondial une « riposte graduée » antipiratage autant ou plus répressive que la loi Hadopi française. Le pouvoir de rétorsion de ces textes devraient s’étendre à tout ce qui touche à la contrefaçon, et les répercussions de son éventuelle application frapperaient directement, insistent ses détracteurs, l’accès à certains médicaments génériques. Acta envisage également d’instaurer une responsabilité pénale des intermédiaires (en d’autres termes les fournisseurs d’accès à Internet) si ceux-ci n’agissent pas pour interrompre toute forme de trafic ou toute activité dénoncée comme telle. En cas d’adoption, Acta transformerait donc les FAI en « miliciens du net », capables de couper une source d’information sur simple dénonciation d’un lobby. Une éventualité que les fournisseurs d’accès refusent énergiquement, non pas pour des motifs moraux liés à l’idée de censure ou de dénonciation, mais plus trivialement pour des raisons de coûts d’infrastructure.

Parmi les arguments de défense avancés par Karel De Gucht (dixit nos confrères de la RTBF), on note la riposte suivante : «  la négociation porte sur des infractions de grande échelle aux droits de propriété intellectuelle ayant un impact commercial significatif. Elle ne conduira pas à des restrictions dans les libertés civiles ou au harcèlement des consommateurs ». Si Acta est véritablement un texte visant à poursuivre les grandes filières de la fraude par contrefaçon, on se demande pour quelle raison elle envisage un arsenal associant coupures d’accès à Internet pour des particuliers et riposte graduée. De telles accumulations de contradiction font redouter que cette « chasse aux fichiers MP3 » ne cache d’autres buts.

2 - Les Français ne comprennent rien au spam
Une enquête Ipsos/ MAAWG (Messaging Anti-Abuse Working Group) portant sur les territoires français, canadien francophone, allemand, espagnol et « anglophone » (USA-Canada-UK) montre que si les risques du spam sont connus du public, un sentiment d’impunité pousse tout de même les internautes à prendre quelques risques. 80 % des usagers savent, nous apprend l’enquête, ce qu’est un Bot… mais 46 % des utilisateurs de mail ouvrent les emails non sollicités intentionnellement et parfois (11%) visitent les sites auxquels ces courriels font référence ou ouvrent une pièce attachée (8%). Un tiers seulement des personnes interrogées estiment pouvoir être victimes d’une infection par ce biais. La règle du « ça n’arrive qu’aux autres » semble s’appliquer plus que de coutume dans le secteur de la messagerie. Paradoxalement, plus les utilisateurs sont jeunes, plus ils s’estiment compétents et avertis des dangers, et plus ils ont un comportement à risque.

L’appréhension du danger n’est pas la même dans tous les pays. Lorsque l’on parle de botnet, la proportion la plus forte de personnes ignorant le terme se concentre chez les Français et les Espagnols. Les Allemands et Anglais semblent plus au courant de l’existence des réseaux de bot et des risques liés à la zombification d’une station de travail. En terme d’expertise relative aux choses de la messagerie, les Français sont modestes… seuls 8% d’entre eux pensent connaître les risques quotidiens. A comparer au 33% d’Allemands qui se pensent experts en la matière (20% en Espagne, 16% aux USA et UK).

Un manque d’intérêt que confirme une autre question portant sur la responsabilité de ces infections par courriel. Si, dans le monde entier, plus de la moitié des consommateurs estiment que les fournisseurs d’accès sont responsables du contenu et de la sécurité du trafic provenant d’Internet, ce sont encore les Français qui pensent le plus n’avoir pas à prendre en main la responsabilité de leur propre sécurité, à comparer à une moyenne internationale montrant que, dans le reste du monde, 48 % des personnes interrogées préfèrent assumer la responsabilité de leur propre protection. Ils ne sont en revanche que 35% à penser que cette lutte est du ressort des instances gouvernementales, à comparer aux 54% de « délégation de responsabilité » en faveur des éditeurs d’antivirus. Il faut dire que certains de ces vendeurs d e logiciels entretiennent à volonté le flou artistique qui les sépare des forces de polices chargées de la chasse aux auteurs d’infections. Est-ce un élément déterminant capable d’influencer les achats en matière d’outils de protection périmétrique ? Toujours est-il que les Allemands (72%) et les Français (69%) sont les plus équipés en matière de filtres anti-spam. Ce sont également les Allemands (60%) et les Français (50%) qui utilisent le plus les fonctions de mise à jour automatique de leurs logiciels de protection. Ce sont toujours les Allemands (45%) et les Français (5%) qui pensent le moins avoir été frappés au moins une fois par un virus… 69% des Espagnols, 68 % des Canadiens estiment avoir été victimes d’une telle attaque. Ces chiffres reflètent les « opinions et croyances » des personnes interrogées, et non les taux réels d’infection lesquels ne font l’objet d’aucune statistique permettant de tirer des conclusions sur les sentiments, véritables ou illusoires, de sécurité.

Face aux faux emails bancaires, en revanche, ce sont les Français qui ont tendance à ne pas prendre au sérieux le contenu de ces pièges. Réaction probablement due à une saturation de spam anglophone qui, durant des années, ont littéralement mithridatisé les internautes. La tendance pourrait bien s’inverser avec la « nouvelle vague » d’emails de phishing émise depuis des hébergeurs français, rédigés en Français, avec un jeu de caractères tout à fait normal.

Comparativement au reste du monde occidental, nos concitoyens portent donc peu d’intérêt aux dangers du Net, mais s’équipent plus pour se protéger et veillent plus attentivement à la solidité de leurs protections. Il n’en demeure pas moins que plus de la moitié des usagers continuent à cliquer sur des liens réputés dangereux, souvent d’ailleurs en connaissance de cause.

3 - Microsoft : 10 trous bouchés hors calendrier
Un seul serait mortel, pour I.E. 6 et 7. Les rustines « out of band » concernent généralement les failles ayant fait l’objet d’une publication d’exploit et d’une utilisation active par des malwares… ce qui est précisément le cas de l’alerte 981374. Alerte qui, par la magie des transmutations des failles en rustine, prend l’immatriculation MS10-018. Comme il s’agit d’un problème affectant Internet Explorer, l’un des maillons les plus prolifiques dans la chaine de production de bugs Microsoft, l’équipe du MSRC prévient ses lecteurs qu’elle en a profité pour caser dans le lot neufs autres correctifs de moindre criticité qui étaient initialement attendus pour la livraison du 13 avril prochain.

Le « bug mortel » ne concerne que les éditions 6 et 7 du navigateur. Cependant, puisque d’autres correctifs colmatent des trous de sécurité I.E.8, MS10-018 concerne absolument tout le monde.

A lire à ce sujet le papier de Craig Schmugar de l’Avert, qui dresse quelques statistiques précisément sur la présence détectée de la CVE-2010-0806, celle-là même qui est colmatée par la rustine en question. Le moins que l’on puisse dire, c’est que le danger n’est pas nul.

4 - Java, Apple, VMWare, collection de trous de printemps
Ce Patch Tuesday hors calendrier pour Microsoft semble avoir déclenché une véritable épidémie. Le Sun Developer Network signale l’existence d’une nouvelle version de Java répondant au nom transparent de 1.6.0_19-b04 (b signifiant « build » nous précise le bulletin).

Chez Apple, le nombre de défauts que corrige Mac OS X v10.6.3 est tel qu’il faudrait un roman pour les décrire tous. Les versions stables sont disponibles sur le site de l’éditeur, et trois articles de la base de connaissance fournissent quelques très maigres informations.

VMware, de son côté, émet trois bulletins d’alertes. L’un d’eux est entièrement nouveau, il s’agit du VMSA-2010-0005 portant sur Virtual Center 2.5 et 2.0.2, VMware Server 2.0.2 et 1.0.10, ainsi que ESX 3.5 et 3.0.3. Deux autres bulletins plus anciens ont été mis à jour, les VMSA-2009-0016.5 et VMSA-2010-0002.1. Bonne semaine pour les responsables de déploiement de patchs.

5 - Hacking des services généraux (second épisode)
Après la démonstration de hack du Dect (oh combien technique et difficilement réalisable sans microscope à balayage), voici un autre type de pêche à l’information, bien plus facile et qui peut rapporter gros : la pêche à la photocopieuse. Article généralement placé en « location bail » ou en location pure, le photocopieur achève souvent ses jours revendu aux enchères, sans toujours passer par les mains expertes et prudentes de professionnels. Si ce détail était relativement secondaire il y a une dizaine d’années, la chose devient de plus en plus critique de nos jours, ces appareils intégrant de plus en plus des disques durs contenant des années d’archives, d’images de documents copiés. C’est un quotidien canadien non spécialisé, le Star de Toronto, qui s’en émeut. Tous les photocopieurs ne finissent pas à la casse, et même les mod&egra ve;les utilisant un mécanisme de chiffrement sont susceptibles de devenir très bavards sous la torture d’un bon hacker. Ceci sans omettre le fait qu’une « Xerox » moderne est aussi généralement un périphérique pouvant être raccordé à un réseau, avec les risques d’intrusion que cela comporte.