AlternBlog !

Bonjour tout le monde!

Je viens de tomber sur un nouveau blog particulièrement intéressant qui traite des sujets tel que la programmation, les google API, la sécurité informatique, FreeBSD, et son how to d'installation et enfin des applications indispensables pour iTunes.

Bref que de la bonne lecture !

A bientôt ;)

 

Par Marc Olanié

Londres, InfoSec : « Ce sont les données qu'il faut protéger avant tout », martèle Phil Dunkelberger, CEO de PGP Corp. « Toute les tentatives qui ont consisté à consacrer la totalité des efforts à sécuriser l'infrastructure se sont soldés par des échecs. Il y a toujours, quelque part, une faille, une erreur humaine, un problème de configuration ou de conception qui sera exploité par un malware ou un intrus, depuis l'intérieur même du périmètre ou à distance. Si les données sont protégées, quelque soit la faille que l'on découvre dans les défenses périmétriques, le mal sera moindre ». Plaidoyer pro domo, sans doute, mais que confirme la mode des DLP « Data Leak Prevention », outils « anti-fuite » d'information.

Dunkelberger reconnait que la frontière entre l'infrastructure et les données devient de plus en plus floue. Dans une machine virtuelle, qui elle-même n'est jamais constituée que d'un programme et d'un fichier disque -rarement chiffré d'ailleurs-, qu'est-ce qui relève du domaine de la donnée ? Et le mimétisme fonctionnel pousse-t-il les administrateurs à ne considérer que la partie « machine » au détriment de l'aspect « fichier », les conduisant à négliger certains aspects liés à la protection des données ? « Je n'annonce pas un « nouveau produit », encore moins une version alpha d'une quelconque solution de sécurisation du poste de travail, virtuel ou non... mais je dois préciser que nous travaillons sur cet aspect des choses, sur cette cartographie complexe des « zones de données ». Ces temps ci, par exemple, nous étudions tout particulièrement les récentes « attaques contre la mémoire vive » (voir CSO du 18/04 ) et envisageons les différentes manière de chiffrer certaines portions du processus de traitement ou d'accès... ». Certaines de ces vulnérabilités d'accès mémoire, de l'avis même des chercheurs ayant développé ces thèses et méthodes d'attaque, pourraient être évitées à l'aide d'un chiffrement complet du disque. Chiffrement qui est, depuis la récente sortie de Vista et de Windows 2008 Server, une fonction intégrée au noyau.

Cette fonction nouvelle fera -t-elle disparaitre les dangers de ce type ? « C'est peu probable » reprend Phil Dunkelberger. « Et ce, principalement pour des raisons de souplesse d'administration et de gestion des clefs. Pour l'instant, les responsables de parc n'ont pas encore assimilé ces techniques... et l'on en revient à une question d'infrastructure. En outre, il faut admettre que certaines bonnes pratiques, tel le chiffrement complet des unités de stockage, se heurte à deux problèmes. L'un lié à l'administration pure. Tout d'abord, doit-on « tout chiffrer » au risque de ralentir les programmes, ou chiffrer selon la fonction, au risque de se tromper sur la véritable sensibilité des données, au risque d'alourdir l'administration de ce puzzle de permission ? Ensuite, comment persuader les sphères dirigeantes d'édicter des lois et cadres normatifs rendant obligatoire la protection de ces données ? cela commence à être le cas dans la plupart des états des USA. La Grande Bretagne suit plus ou moins. C'est très loin d'être le cas en Europe, qui, pour l'heure, n'oblige pas les organismes financiers et commerçants responsables de fuites d'informations de rendre public les accidents dont elle auraient été victimes ». Il est parfois plus simple de chiffre un disque que de décrypter les intensions d'un consortium bancaire.

SearchMe fait parti de cette nouvelle génération de moteurs de recherche. Vous saisissez un mot clef et il affiche un visuel des sites internet qu'il trouve, tout en surlignant les mots clefs.
A voir.

lien (avec un exemple: marseille) :

http://beta.searchme.com/Initial.html#/1/&...C7FA27983C2157/

 

Lire

Question qui reviens de moins en moins, car nous savons tous que l’année 2007 fut pour Intel l’année de tout les record !

On ce souvient de nos bon vieux Intel Pentium 4, ensuite pour beaucoup d’entre nous, le passage sous AMD x2 fut un grand pas (niveau jeu, core etc)… Viens le jour ou Intel sortit son Core 2 Duo, et la… BOUM grosse remise en question sur la puissance d’amd !

Néant moins, a l’heure actuel, tellement de processeurs différent sont en vente sur la marcher, que cela prête a confusion, c’est par c’est quelques schémas, que je vais tenté d’éclaircir tout ca et peut être vous aider pour un choix futur.

Lire la suite de l'article

Jusqu'ici confiné aux composants, le matériel libre pourrait devenir une notion adoptée par le grand public. Les projets ne manquent pas. La réussite en revanche n'est pas encore au rendez-vous.

Hardware Open Source, où en est on ? Cette antienne souffre de l'explosion ces dernières années du logiciel libre, popularisé tant au niveau du grand public que des entreprises. Alors que le modèle économique des logiciels libres peut sembler sur la voie de la pérennisation, celui du hardware libre ne rencontre pas le même entrain médiatique.

Richard Stallman, apôtre du Libre, voyait dès 1999 dans le hardware libre un exemple frappant de la différence que beaucoup ont du mal à faire encore aujourd'hui entre le Libre et le gratuit. "Un matériel libre est un matériel dont il est légalement possible de reproduire le design et la conception sans que des licences payantes d'utilisation s'appliquent", expliquait alors Stallman. En revanche, la construction d'un tel objet, d'un point de vue physique, aura toujours un coût. "Si ce n'est celui de la main d'œuvre, au moins celui des matériaux physiques", concluait Stallman. D'où la gratuité impossible d'un matériel libre.

G. Seaman, le webmaster d'Opencollector.Org, donne lui sa définition du matériel libre comme suit : L'interface du matériel doit être rendue publique, et ce de manière à rendre libre son utilisation. Le design du matériel doit être rendu public. Les outils utilisés pour créer le design devraient être libres, de manière à permettre à d'autres de développer et améliorer le design.

Documentation ouverte  

L'idée d'une documentation ouverte a pourtant provoqué par le passé quelques initiatives. Les processeurs Sparc de Sun ont une documentation libre depuis longtemps, mais la demande pour une telle technologie reste faible. On citera également le projet Simputer, alternative indienne au PC, une sorte de PDA qui n'a jamais connu le succès escompté. Pour favoriser sa diffusion, ses concepteurs ont placé les spécifications matérielles sous Simputer General Public Licence (SGPL), une licence inspirée par la licence GPL.

Neuros Technology International (NTI) pourrait peut être changer la donne et mettre le matériel libre au premier plan avec le lancement récent du Neuros OSD (pour Open Source Device), un enregistreur multimédia qui permet le transit de flux numériques en provenance de différentes origines et donne également la possibilité de diffuser ce flux sur divers appareils, du PC au téléviseur.

"Pour le côté hardware, on vous fournit les schémas électroniques pour refaire la carte (à base de composants standards du commerce), Ce qui revient à l'idée de départ d'Openhardware.net ", explique Patrick Kadionik, Maître de Conférences à l'ENSEIRB.

De fait, la société donne toute la documentation technique de ce produit à tout développeur la demandant, afin d'ajouter des fonctionnalités supplémentaires, bien entendu à condition de livrer les modifications à la communauté. C'est le même modèle que celui des logiciels libres.

"C'est confidentiel parce qu'il s'agit d'un travail invisible pour le public"

Pour environ 200 euros, le prix de la machine, il est possible la modifier à sa convenance. L'entreprise basée à Chicago souhaite ensuite que les modifications effectuées sur la machine soient également documentées de manière à ce que ces modifications soient accessibles au plus grand nombre.

Par ailleurs, les logiciels utilisés dans la machine sont tous Open Source, basés sur Linux. Ces logiciels sont également modifiables et adaptables. Un utilisateur a dans ce contexte développé un programme qui permet de regarder les vidéos du site en ligne ou directement sur une télévision.

"On parle beaucoup de logiciel libre, mais je préfère parler du Libre au sens large, qui recoupe les cours libres, et le matériel libre également ", explique Patrick Kadionik.

Ce chercheur qui travaille sur les systèmes embarqués trouve pourtant pour sa part des applications quotidiennes du matériel libre dans son activité. "Le matériel libre est utilisé dans les systèmes embarqués. Dans ce secteur, on utilise beaucoup les composants programmables, les composants FPGA. Au lieu d'avoir un port série, un port USB, on intègre tout dans un composant programmable où des blocs représentent des fonctionnalité, développées en langage textuel, du VHDL en Europe et du Verilog aux Etats-Unis ".

Un domaine des plus "underground" qui attire peu le public et les médias favorables aux logiciels libres. "C'est confidentiel parce qu'il s'agit d'un travail invisible pour le public. C'est un travail assez ingrat de ce point de vue là. Mais on trouve des FPGA dans les Playstation par exemple, sous la forme d'accélérateur matériels ", précise le chercheur. Et de conclure en précisant que les personnes intéressées par ce type de projet peuvent se rapprocher d'une petite communauté active sur des sites tels que fpgacpu.org, opencollector.org, opencores.org, ou encore openhardware.net.
 

Après un certain temps d'intégration, les réactions se multiplient suite à l'annonce du Ministre de l'Intérieur relative au projet de lutte contre la cyber-délinquance. Le Parti Pirate, tout d'abord, qui jette un brûlot aussi fougueux que dénué de contre-arguments solides. Certains experts également, qui, bien que plus nuancés dans leurs propos, craignent certaines dérives.

Ainsi Guillaume Lovet, responsable de l'équipe anti-menaces chez Fortinet. Précisons avant toute chose, que Fortinet est un équipementier spécialisé dans la fabrication d'Appliance de sécurité et de filtrage. De ce fait, tout gouvernement souhaitant généraliser des techniques de filtrage de contenu et de rétention d'information sur des réseaux IP ne peut, en toute logique, que servir les intérêts de cette entreprise. C'est pourtant un tout autre discours que nous tient le patron de l'antenne française anti-menaces. Selon G. Lovet, le projet possède de bons et de mauvais cotés. « Les bons aspects tout d'abord. Car on ne peut nier qu'une action gouvernementale visant à sensibiliser la population sur les problèmes de cyberdélinquance soit totalement négative...

Mais c'est dans les détails que se cache le démon. « Pour ce qui concerne les écoutes, le projet envisage d'instaurer un appareil de surveillance encore plus intrusif qu'un autre projet mis en chantier en Allemagne, et qui a été débouté par l'équivalent des sénateurs d'Outre Rhin. Et il est question d'en faire une loi européenne, afin de ne pas être entravé par les arcanes des dispositifs législatifs des différents pays membre de l'Union. D'autre part, les outils évoqués dans le projet ne sont ni plus ni moins que des instruments de perquisition à distance. Dans la vie de tous les jours, un acte semblable ne peut se faire sans une commission rogatoire délivrée par un juge, et se déroule en toute connaissance de cause de la part de l'intéressé qui, avant tout jugement, est présumé innocent. Rien, dans l'actuel projet, ne laisse entendre que la personne surveillée soit prévenue... tout laisse même penser le contraire. Même pour son bien, on ne peut exécuter un programme sur la machine d'une personne sans son consentement.

Sur la question même de l'usage d'outils intrusifs, et indépendamment du risque non négligeable de « détournement » de ce spyware policier par des gens mal intentionnés, on ne peut manquer de se poser la question suivante : qu'en est-il de la recevabilité des preuves contenues sur le disque dur de l'individu suspecté ? Si, de facto, ce composant a fait l'objet de modifications volontaire AVANT toute saisie et inculpation, rien n'interdit d'imaginer que d'autres éléments y aient été également introduits. La question se pose déjà à l'heure actuelle : peut-on accuser quelqu'un sur la seule preuve des éléments contenus sur un disque, sachant que les fichiers et journaux peuvent avoir été modifiés ou refléter l'activité d'une toute autre personne ayant utilisé l'ordinateur de manière illégale.

Ouvrons ici une parenthèse pour rappeler une jurisprudence Britannique qui a relaxé un accusé, la défense ayant argué du fait que les accès WiFi du présumé coupable étaient aisément piratables, reflétant en fait l'activité d'une personne inconnue. Il serait dangereux de confondre la machine et son propriétaire. Il serait également tout aussi dangereux et considérablement plus injuste de considérer comme responsable un utilisateur informatisé sous prétexte qu'il « devrait savoir se protéger » ou qu'il « a été largement averti ». La sensibilisation est la vache à lait de bien des consultants en informatique, d'autant plus intarissable qu'elle est réputée ne pas être efficace.

Guillaume Lovet continue : Les statistiques que nous établissons régulièrement et qui mesurent l'activité des botnet sont la preuve indiscutable que cette hypothèse du « troisième homme » est très courante et que la sensibilisation de l'usager est une notion très fluctuante : les postes zombie sont une réalité du monde internet, et il semblerait qu'il y ait pratiquement autant de « victimes » dans le milieu professionnel que dans le parc grand public (ndlr : pour être recevable, le « spyware MAM » devrait donc paradoxalement être capable, avant toute chose, de « désinfecter » le disque cible avant de débuter son travail d'investigation)

Il faut également, pour que ces outils de surveillance et d'intervention à distance soient efficaces, que les développeurs travaillant pour le compte des organismes policiers puissent obtenir le secours des professionnels de la sécurité. En d'autre terme, que le programme implanté à distance soit rendu invisible et non détecté par les principales passerelles de sécurité du commerce. Un point qui pose de sérieux problèmes déontologiques aux spécialistes du milieu. Passons également sur la technicité de l'opération, sur la compétence du juge en matière d'outils intrusifs, même sui celui-ci se fait seconder par des experts.

Sur la question du filtrage du contenu par les fournisseurs d'accès, le précédent du site négationniste Aaargh prouve combien de telles mesures sont illusoires. La procédure de banissement s'est avérée longue et difficile. Et une fois décrétée par jugement, ses effets ont été nuls, puisqu'il a suffit aux administrateurs de déplacer l'ébergement du site en dehors de la juridiction Française. Ceci sans présumer du fait que ces mesures sont contournables par les usagers eux-mêmes (ndlr, en utilisant des proxy chiffrés notamment). Et puis, peut-on entendre de telles propositions sans instinctivement penser à ce qui se passe en Chine ou en Birmanie ? En fin de compte, quel type d'internaute ces mesures sont-elles censées protéger ? »

Viennent ensuite les exemples de la « vraie vie », celle qui prouve à quel point il y a loin entre la loi et son application. A commencer par l'inévitable bévue technique, telle que celle rapportée par l'Electronic Frontier Foundation et commentée par Steve Bellovin : en demandant l'aiguillage des emails d'un suspect, le FAI chargé de l'opération a expédié au FBI la totalité du courrier électronique ayant transité sur le domaine . Une pierre dans le jardin de tous les chantres qui psalmodient le mantra « ca n'arrivera jamais ». Bellovin revient d'ailleurs sur certains problèmes épineux posés par le système d'espionnage Carnivore. Lorsque l'annonce officielle de cet outil avait été faite, les principaux éditeurs de logiciels anti-virus américains avaient officiellement annoncés qu'ils sauraient diplomatiquement ignorer la présence de cet outil s'il venait à être détecté. Une déclaration qui, à l'époque, avait provoqué une très nette réaction des entreprises européennes à l'égard de Symantec notamment. Il semble tout à fait logique qu'un « spyware MAM » nécessite, pour qu'il soit efficace, une « collaboration » (au sens sinistrement historique du terme) des principaux éditeurs et équipementiers du monde de la sécurité. Est-ce pensable ? Pas sur. Car cela équivaudrait à forer un trou béant dans l'intégrité des architectures de défense périmétriques. Qu'un pirate parvienne à retrouver la trace de ce genre de code, et il disposera d'une arme formidable : un passe-partout donnant accès au réseau local de toute machine protégée avec un firewall « MAM Aware ». Le business d'un éditeur d'antivirus, d'un fournisseur d'UTM, c'est avant tout de vendre de la confiance. En obligeant l'industrie à collaborer à des opérations de basse police, le Ministre de l'Intérieur demande implicitement à ces entreprise de se décrédibiliser elles-mêmes. Est-ce concevable ?

Il n'y a pas de bon code intrusif. En confondant la motivation et les mécanismes techniques, un « gentil virus » ou un « spyware sympa » peut provoquer d'importantes dérives. Car, bon ou mauvais, un logiciel d'espionnage est avant tout un logiciel, une oeuvre humaine, susceptible d'erreurs, erreurs qui sont potentiellement exploitables. Par le plus grand des hasards, c'est le New Scientist qui remet ce sujet sur le tapis en rapportant une hypothèse de travail qui aurait été émise par un chercheur de Microsoft travaillant à Cambridge : il ne peut exister de meilleur remplaçant à Microsoft Update ou à SUS Server qu'une rustine à propagation automatique. Autrement dit, le virus guérisseur. Security Focus se lance dans l'historique de cette fausse-bonne idée : Dave Aitel en 2006, les labos de Hewlett Packard en 2004, Vesselin Bontchev, dans le cadre de la chasse aux virus, en 1994, jusqu'au premier « raté » de l'histoire des correctifs automatiques qui tournent à la catastrophe, la fameuse mise à jour de pilote commentée par mm John Shoch et Jon Hupp du Parc, en 1982. Le tableau ne serait pas complet si l'on oubliait Welchia, l'anti-MS-Blast, qui généra plus d'encre journalistique et de trafic IP qu'il ne nettoya réellement Internet, ou le rootkit gratuitement diffusé par Sony, là encore un « gentil outil d'attaque militant pour le mieux-être sécuritaire » des éditeurs, un rootkit dont le reverse engineering a mis en évidence de nombreuses possibilités d'exploitation. Qu'il soit auto-propagé ou installé « à la demande », un outil intrusif est une faille. Tout comme est une faille le VPN « secret » installé par une société de maintenance qui ne souhaite pas s'enquiquiner avec des procédures complexes. Ce que l'on ne peut accepter d'une SSCI un peu indélicate sur le respect des règles de sécurité, peut-on l'admettre de la part d'un gouvernement ?

par Jeremy Amiot - source Reseaux-Telecoms

C'est ce qu'il ressort des dernières statistiques mensuelles de Kaspersky Lab. Pour la première fois dans l'histoire des statistiques dressées par cet éditeur, le malware le plus diffusé et le plus présent est un spyware, connu depuis fort longtemps d'ailleurs, puisqu'il s'agit de Virtumonde. C'est d'ailleurs encore un spyware qui décroche la quatrième place, encadrant dans un mouchoir de poche celui qui domina longtemps les champs de course infectieux, Bagle-le-ver (à ne pas confondre avec Bagle le Dropper), lui-même menant d'une courte encolure devant un Dialer très à l'aise sur le terrain lourd des surfacturations téléphoniques. La différence subtile entre un virus -autoreproductible,auto-propagateur- et un spyware, généralement injecté via un site infecté ou déposé à l'aide d'un « dropper », est une discussion totalement byzantine dictée par des considérations marketing. Il serait peut-être temps que hors du champ sémantique des experts et des chasseurs de codes dangereux, l'on cherche à ne plus dissocier ces multiples formes d'agression pour ne plus employer qu'un seul vocable -pourquoi pas Virus, après tout- et un seul outil générique. Le reste n'est qu'affaire de cuisine technique.

par Marc Olanié (securite.reseaux-telecoms.net)