Ok

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies. Ces derniers assurent le bon fonctionnement de nos services. En savoir plus.

18/10/2008

La Grand Maître virtuel (00)

Le Grand Maître virtuel_00.jpg

Ecrit par Guy Foiréan

(00) Préface

L’informatique, tout le monde en parle. Certains en usent et en abusent. Aucun secteur d’activité humaine ne peut plus travailler sans cet outil du modernisme.

On sait qu’elle peut apporter le meilleur dans la vie de chacun, mais aussi la pire des surprises au coin d’un abandon de garde.

On a entendu parlé de piratage aux noms plus au moins sensibles mais qui passent dans le langage de tous les jours: virus, spams, phishing … et j’en passe que l’histoire inventera, plus tard.

Oui, il existe des outils “anti-” pour chaque type de pirate ou de piratage. Le commerce de la protection n’existe pas uniquement dans les pharmacies. Le 1er décembre, c’est une journée mondiale du SIDA et, donc, du condom. Alors, pourquoi pas de cela en plus ?

Actions, réactions. Une véritable « ligne Maginot informatique » s’est installée sur la majorité des ordinateurs du monde.

Vivre caché est devenu impossible sur la toile. Ouvrir son soi aux yeux de tous sans protection relèverait de la plus condamnable des légèretés.

Rester étranger à toutes interactions frauduleuses avec l’extérieure, serait la panacée. « Offline », comme disent les anglophones.

C’est se condamner à perdre le plus grand intérêt d’un ordinateur : être connecté avec le monde.

Le terme de « ligne Maginot » n’est pas innocente. Se mettre à l'abri? L’adversaire a toujours une longueur d’avance. Le piratage n’est pas seulement financier. Souvent, il s’agit de prestige de recherche à percer les secrets d’autrui. Ce qu’on en fera après n’est parfois pas l'intérêt principal.

Cet “essai”, car il ne s’agit que d’un roman, n’est pas là pour effrayer. C’est de la fiction pure. enfin presque car la fiction est parfois supplantée par les réalités. Un informaticien déterminera très vite les limites de l’impossible.

La Bourse va plâner au dessus de ce nid de vipères.

Les guerres sur Internet, comme en Bourse, auront des armes suivies par des contres armes. Des parades, on y mettra le prix, mais elles perdront tôt ou tard le poil de la bête en ingéniosités. Les utilisateurs, eux, attentistes et victimes, resteront les dindons de la farce et assumeront de bonne ou de mauvaise grâce ce grand jeu de la finance et de l’arnaque.

Dans l’originalité des attaques, c'est là que l'on trouve des gagnants. Casser l’incassable est la motivation principale. L’attrait de gains faciles ensuite.

Un thriller fait ouvrir les yeux et les consciences endormies par l’habitude. Les avantages d’Internet resteront supérieurs aux déconvenues.

Une nouvelle technologie est apparue pour révolutionner l’usage d’Internet: le Web 2.0. MySpace, Quicktime, Facebook en font partie et tentent de personnaliser encore plus les clients internautes. Sérialiser pour mieux appréhender. Cela entraîne cookies et mémorisation des informations. Le partage de séquences vidéo permet de surfer tout azimut avec la confiance innocente de l’internaute, endormie par l’envie d’être mieux servi et mieux cerné. Boîte de Pandorre dans le domaine de l’arnaque. Les sociétés n’intéressent plus vraiment. Les particuliers, par contre, à cause de leur isolement sont des proies favorites. Les PC zombies s’ignorent et sont parfois contrôlé par des organisations mafieuses à l’insu de l’utilisateur perdu dans son espoir de trouver le meilleur du savoir d’Internet. Seul le coût élevé de la pollution des SMS par les spams les libèrent encore.

Une véritable guerre virtuelle, voilà ce que je concocte sans prétention. Le cinéma s’est mis dans cet imaginaire aussi. Le« Die Hard 4.0 », “Retour en enfer”, est un exemple. Très hollywoodien de voir les choses dans ce cas. Pas de femme dans mon histoire. Seulement, un homme comme tout le monde avec une double vie à la recherche de son destin. Pas de passion, pas de sentiments, de la technique pure et dure. Beaucoup d’intelligence au service d’un brin de paranoïa par un gourou informaticien.

Le virtuel ne se joue jamais au grand jour. On y reste seul. Vive les pseudos et les passe-murailles dans ce monde clos où tous les coups sont permis. La Toile, même si ses mailles seront de plus en plus fines, reste perméable. Sans la liberté d’expression d’Internet, ce serait sa mort naturelle.

L’ennemi est fait partie de la peur qu'elle crée.

Remerciements:

* À mon épouse qui a dû endurer des moments d’absence dans mes rêveries.
* À certains amis qui ont commencé à lire et m’ont fait retourner à mes écritures sans ménagement.

Mise à jour 07 juillet 2009 il y est dit:

Une nouvelle faille sur Internet Explorer

mardi 07 juillet 2009, 15:20

Le groupe informatique américain Microsoft a averti qu’une nouvelle faille de sécurité détectée sur son logiciel de navigation sur internet, Internet Explorer, pouvait permettre à des personnes mal intentionnées de prendre à distance le contrôle d’un ordinateur.

La faille réside dans le module ActiveX Video Control, qui permet de lire des contenus audio et vidéo, sur les systèmes d’exploitation Windows XP et Windows Server 2003, a précisé le groupe dans une note de sécurité mise en ligne à l’intention de ses usagers.

« Un pirate informatique capable d’exploiter cette faille avec succès serait susceptible de s’octroyer les mêmes droits que l’utilisateur principal. Nous avons été mis au courant d’attaques visant à tirer profit de ce défaut », a indiqué Microsoft. Les pirates peuvent notamment utiliser ce défaut de conception lorsque les internautes visitent des sites au préalable piégés. Une fois en mesure de prendre le contrôle d’un ordinateur, un pirate peut y consulter ou supprimer des données, y installer des programmes, ou même créer de nouveaux comptes utilisateurs, explique Microsoft.

Le groupe américain a annoncé qu’ » il travaillait actuellement à développer une mise à jour pour Windows pour remédier à la faille » du module ActiveX, qui est également un composant principal de Windows Media Center.

Par mesure de précaution, Microsoft demande cependant aux usagers d’Internet Explorer sur Windows XP et 2003 de désactiver la fonction ActiveX Video Control jusqu’à ce qu’une résolution puisse être apportée au problème.

0.jpg

12:50 Publié dans Livre | Lien permanent | Commentaires (2)

Commentaires

Heartbleed et la faille de OpenSSL

Depuis le début de la semaine, c'est l'agitation sur le web. Une vulnérabilité critique a en effet repérée dans OpenSSL, une implémentation open-source des protocoles SSL et TLS, qui permettent de sécuriser les communications, notamment pour les transactions bancaires.

Baptisée "Heartbleed" et découverte par un employé de Google, cette faille est jugée très grave car elle peut affecter la sécurité des communications sur certains services en ligne. Cependant, tous les sites ne sont pas concernés, tandis que d'autres ont annoncé des mesures pour neutraliser les éventuels méfaits du bug.

Qu'est-ce que Heartbleed ?

"Le bug Heartbleed est une faille sérieuse dans la bibliothèque logicielle de cryptographie OpenSSL. Cette faiblesse permet de dérober des informations protégées [...] par le chiffrement SSL/TLS utilisé pour sécuriser l'Internet. Le SSL/TLS fournit une sécurité et une confidentialité des communications sur Internet pour des applications comme le web, le mail, la messagerie instantanée et le VPN", explique un site dédié.

Celui-ci ajoute que "le bug Heartbleed permet à n'importe qui sur Internet de lire la mémoire des systèmes protégés par une version vulnérable du logiciel OpenSSL". Selon l'avis de sécurité publié sur le site d'OpenSSL, jusqu'à 64 Ko de données sont récupérables sur un client ou un serveur.Ce qui permet de collecter des échantillons de données et d'y découvrir parfois au hasard des informations exploitables.

Par exemple, le bug Heartbleed "compromet les clés secrètes utilisées pour identifier les fournisseurs de service à chiffrer le trafic, les identifiants et les mots de passe des utilisateurs et le contenu concerné", poursuit le site dédié. Si un attaquant parvient à obtenir ces informations, il peut par exemple se connecter à la place d'un autre utilisateur... ou les utiliser à la place de ce dernier.

Comment gérer le bug Heartbleed ?

S'il concerne OpenSSL, qui est largement répandu, Heartbleed ne touche que certaines versions de la boîte à outils. Sont concernées les moutures 1.0.1 et 1.0.2-beta, ainsi que les versions 1.0.1f et 1.0.2-beta1. Il convient donc de mettre à jour vers la version 1.0.1g d'OpenSSL. Concernant la version 1.0.2, la faille sera traitée avec la la mouture 1.0.2-beta2.

De son côté, le centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERTA) a publié un bulletin d'alerte qui prévient que cette faille "permet à un attaquant de provoquer un contournement de la politique de sécurité et une atteinte à la confidentialité des données". Il convient dont de procéder à une mise à jour des "installations d'OpenSSL vulnérables".

Le CERTA a par ailleurs invité les utilisateurs, "en cas de suspicion de compromission, de révoquer les certificats utilisés et de générer de nouvelles clés de chiffrement". Un conseil également donné ce mardi par Benjamin Sonntag, membre de la Quadrature du Net et spécialiste en administration système et réseau. Mieux vaut prévenir que guérir.

Heartbleed ne touche pas tout le monde

Suite à la découverte de Heartbleed, des sites spéciaux ont vu le jour pour tester la sécurité des sites web. Si des plateformes comme Google, Facebook ou Twitter ne semblent pas affectées, Yahoo est en revanche concerné. Ce qui n'est évidemment pas de chance pour le portail américain, lui qui essaie de démontrer que la sécurité de ses utilisateurs et la confidentialité de leurs données sont au cœur de son action.

La découverte de cette faille a mobilisé de nombreuses entreprises. Selon le New York Times, Yahoo, Amazon et PayPal ont pris contact avec leurs utilisateurs pour leur expliquer comment ils comptent contrer les méfaits de Heartbleed. Certains sites ont déclaré par ailleurs avoir patché OpenSSL : c'est le cas de Tumblr, CloudFlare ou Gandi.

Même constat du côté des distributions Linux. Sur le site Debian, la mise à jour est disponible pour toutes les versions de la distribution sauf la "oldstable", qui n'est pas concernée par Heartbleed. Plus généralement, Heartbleed nécessite d'effectuer la mise à jour OpenSSL dès que possible pour éviter une quelconque mauvaise surprise.

http://www.numerama.com/magazine/29026-heartbleed-que-faut-il-craindre-de-cette-faille-openssl.html

Écrit par : L'enfoiré | 09/04/2014

Pourquoi les escroqueries par email provenant de pays d'Afrique sont-elles aussi grotesques?

Probablement avez-vous déjà reçu ces emails provenant de l’autre bout du monde, prétendument rédigés par des personnes requérant l’aide d’une personne honnête pour les aider à effectuer des mouvements de fonds. Souvent, ces emails loufoques frappent par leur « énormité » qui permet de détecter immédiatement que l’on a affaire à une arnaque.

Voici un exemple de ces emails :
"Gaddafi entrusted Millions of Dollars to me for safe keeping for him abroad, he called it "COMMANDER'S RESERVE" now that he is dead i need someone very reliable to act as the beneficiary of the funds, and as the lawyer in charge i will arrange all the legal documents making you the beneficiary/heir to the funds. I need you to also know that this transaction is highly confidential since nobody else knows about the funds aside me. Please treat this matter with the confidence it deserves. My intentions is to invest the funds in Real Estate/Motel/Hotel and Resort. Or in any other business/investment's interest's and concerns you may advice or suggest".
(L'expéditeur explique qu'il est avocat au Royaume Uni et qu'il conseillait le dictateur Mouammar Kadhaffi qui lui aurait confié "des millions de dollars" afin de les mettre à l'abri à l'étranger. Il sollicite l'aide d'une personne de confiance, le destinataire, qui pourrait se présenter comme le bénéficiaire des fonds, afin qu'il puisse lui-même établir les documents nécessaires à leur transfert. L'auteur demande que le secret le plus absolu soit maintenu sur cette transaction).

Pourquoi les escrocs qui en sont les auteurs ne comprennent pas que leur manque de subtilité risque de faire échouer leur manœuvre à coup sûr ? Parce que c’est précisément ce qui est recherché, expliquent les chercheurs de Microsoft.
Après avoir modélisé ce type d’arnaques par email mettant souvent en scène des Princes du Nigeria qui ont besoin de l’aide d’une personne honnête, ou de versions alternatives de ce type de mise en scène improbable, ils en sont venus à la conclusion que cette approche permet aux truands qui adressent ces emails d’éviter les déceptions, en ne ciblant que les personnes les plus « désespérément » crédules:

Les histoires tirées par les cheveux de riches Africains de l’Ouest semblent comiques pour la plupart d’entre nous. Notre analyse suggère que c’est un avantage pour l’attaquant, et non un désavantage. Comme l’attaque ne permettra de toucher qu’une faible densité de victimes, l’arnaqueur nigérian a un besoin impérieux d’éliminer les fausses joies. En envoyant un email qui dissuade tout le monde, hormis les plus crédules, l’arnaqueur obtient les scores les plus prometteurs de sélection, et renverse le ratio de vraie touche contre fausse joie en sa faveur"

Source: http://www.express.be/joker/?action=view&cat=platdujour&item=pourquoi-les-escroqueries-par-email-provenant-de-pays-dafrique-sont-elles-aussi-grotesques&language=fr&utm_source=newsletter&utm_medium=email&utm_campaign=

Écrit par : L'enfoiré | 02/01/2015

Les commentaires sont fermés.