Québec : un vaste réseau de piratage informatique démantelé
La
Sûreté du Québec ne semble pas peu fière de son coup de filet qui a
abouti au démantèlement d'un vaste réseau de piratage informatique; une
première pour le Canada, argue l'organisation policière.
Suite à des centaines de plaintes de particuliers, d'entreprises et
d'institutions gouvernementales, l'enquête initiée à l'été 2006 a
permis d'identifier 17 individus résidant dans la Belle Province. Agés
de 17 à 26 ans (trois mineurs), ils vont devoir répondre devant les
tribunaux des chefs d'inculpation suivants : obtention illégale des
services d'ordinateurs, utilisation d'un ordinateur pour commettre des
méfaits sur des données informatiques et possession de mot de passe
pour commettre ces infractions. La peine maximale encourue est de 10 ans d'emprisonnement mais l'analyse du matériel informatique perquisitionné pourrait l'aggraver.
Via des chevaux de Troie, les pirates ont infecté à l'insu des utilisateurs plus d'un million de machines. Ce vaste réseau d'ordinateurs zombies
sous contrôle, a par la suite trouvé moyen d'expression dans le vol de
données informatiques sur des sites Web ou dans la diffusion de spams.
Plus de 100 pays ont été touchés et les dommages causés aux infrastructures informatiques sont estimés à plus de 45 millions de dollars.
Petit conseil de la Sûreté du Québec en matière de sécurité
informatique : utiliser des pares-feux et des anti-virus mis à jour
régulièrement pour limiter les possibilités d'intrusion.
Source
USA : quatre pirates condamnés à la prison
Aux
États-Unis, deux frères et leurs deux complices viennent d'être
condamnés à purger des peines d'emprisonnement pour piratage
informatique, rapporte l'agence de presse IDG. Entre
2002 et 2005, Maurice Robberson, son frère Thomas et leurs complices
vendaient des logiciels piratés sur les sites Internet
Bestvalueshoppe.com, TheDealDepot.net, CDsalesUSA.com, BuysUSA.com et
AmericanSoftwareSales.com. Les frères Robberson et leurs collaborateurs vendaient à prix réduit
des copies d'apparence légitime de logiciels de différentes entreprises
comme Adobe, Autodesk et Macromedia. Les quatre acolytes fabriquaient
eux-mêmes les pochettes des CD ou des DVD piratés afin qu'elles
ressemblent aux versions officielles des logiciels. Maurice Robberson a été condamné par la Cour de l'État de Virginie à
une peine d'emprisonnement de trois ans et devra restituer près de 856
000 dollars aux consommateurs floués, alors que Thomas Robberson
séjournera trente mois derrière les barreaux et devra rembourser plus
de 150 000 dollars. Leurs complices, Danny Ferrer et Alton Lee Grooms, ont été condamnés
à des peines d'emprisonnement respectives de 72 mois et d'un an. Grooms
a obtenu une peine d'emprisonnement réduite car il a étroitement
collaboré avec la police lors de l'enquête. Les quatre pirates informatiques ont été arrêtés à la fin de 2005
après qu'une plainte eut été formulée contre eux par plusieurs des
entreprises dont les logiciels étaient piratés. Un agent du FBI s'était
ensuite fait passer pour un consommateur et avait acheté quelques
logiciels sur l'un de leurs sites Internet pour confirmer leur
culpabilité.
Le FBI reconnaît des pratiques d’espionnage sur Internet
Depuis quatre ans, l'agence américaine aurait violé ses propres règles à plusieurs reprises.
Le FBI a reconnu avoir violé ses propres règles à plusieurs reprises en espionnant des communications sur Internet. Le directeur du FBI Robert Mueller a confirmé que son agence avait collecté, pour la quatrième année consécutive, des informations sur les e-mails et les habitudes de navigation des citoyens en outrepassant son autorité légale.
Selon Robert Mueller, ces pratiques sont en partie imputables aux opérateurs de télécommunications qui ont fourni au FBI "trop d’informations". "Nous nous engageons non seulement à agir correctement, mais également à maintenir la confiance vitale du peuple américain", a-t-il déclaré.
Le problème est né de l’utilisation des lettres de demande d’informations par le FBI, considérablement simplifiée depuis le vote de la loi Patriot Act. "Tout le monde veut stopper les terroristes. Mais les américains croient dans le respect de la vie privée et nous souhaitons qu’elle soit protégée", a déclaré le responsable de la justice au Sénat Patrick Leahy. "Il doit y avoir une meilleure ligne de commande pour tout ça. Vous ne pouvez pas admettre qu’un agent du FBI décide tout à coup d’obtenir des informations sur un citoyen, ses informations bancaires ou quoi que ce soit d’autre juste parce qu’il le décide."
Patrick Leahy a précisé que le FBI avait modifié ses pratiques depuis mars 2007 et qu’il ne se mettrait plus hors-la-loi.
Le secret du succès des bons responsables sécurité
Forrester Research décrit le RSSI idéal. Celui-ci doit afficher un solide sens moral qui servira d'exemple à toute l'entreprise. Plutôt qu'un technicien hors pair, il doit comprendre les enjeux techniques et évoluer vers la gestion des risques de l'entreprise.
En témoigne la crise récente de la Société Générale, le rôle d'un responsable de la sécurité devient de plus en plus complexe, qu'il s'agisse d'empêcher la fuite de données ou de maîtriser les problématiques de conformité réglementaire. Face à ces défis permanents, certains RSSI (Responsable de la Sécurité des Systèmes d'Information) réussissent mieux que d'autres, selon une étude récente de Forrester Research. Le cabinet d'analystes a identifié sept caractéristiques qui font que certains RSSI réussissent mieux que d'autres. Au-delà des conseils auxquels on pouvait s'attendre (avoir une relation étroite avec son employeur, faire de la sécurité une question omniprésente à l'échelle de l'organisation toute entière), plusieurs caractéristiques inattendues sont apparues lors de l'enquête menée par Forrester.
Une boussole morale est la clé du succès
La découverte majeure est que les responsables sécurité réellement
efficaces doivent avoir une solide boussole morale qui leur permette de
susciter l'adhésion autant par l'exemple que par le respect qu'inspire
leur mandat. « On s'attend à ce qu'un RSSI ait une certaine expertise technique, mais c'est sa personnalité qui fait la réussite, déclare Khalid Kark, analyste chez Forrester et rédacteur de l'étude. « Avoir
l'intégrité, la visibilité, et faire en sorte que les gens sachent
qu'en tant que personne vous ferez toujours ce qu'il faut faire, est
d'une grande importance quand on vous fait confiance pour protéger une
grande quantité d'informations sensibles ».
Savoir instinctivement ce qu'il faut faire
D'autres responsables peuvent peut-être se permettre d'agir dans le dos
de certaines personnes afin d'accomplir leur tâche, mais les RSSI qui
veulent gagner le respect nécessaire afin de mener leur travail le plus
efficacement possible, doivent diffuser l'image d'une personne à
l'indéniable fiabilité. « C'est
la caractéristique que beaucoup de gens valorisent vraiment dans un
RSSI. Or, un des problèmes des RSSI est que cela prend du temps de
bâtir la confiance, mais si vous avez la bonne boussole morale, et que
vous savez instinctivement ce qu'il faut faire, vous irez plus vite, affirme Khalid Kark
Savoir équilibrer les rôles
Afin de gagner cette confiance, il faut aussi travailler avec la «
psyché de l'entreprise » tout en équilibrant ses rôles de gendarme et
de politique. Autres points clés pour réussir, avoir la flexibilité
suffisante pour chercher des solutions créatives, et aller vite d'un
projet à l'autre, tout en restant aussi patient que possible, et
diriger la sécurité comme si c'était une unité d'affaires. Ce dernier
talent réclame la capacité de réunir beaucoup de données sur la
sécurité et les réglementations, ainsi que de savoir comment les
utiliser afin de défendre les budgets et les projets correspondants.
Aider les autres à prendre des responsabilités
Un des traits les plus importants de n'importe quel RSSI, déclare
Khalid Kark, est de se comporter en « faiseur de roi », quelqu'un qui
aide les autres à améliorer leurs propres compétences en agissant en
mentor, plutôt qu'en régulateur draconien qui donne simplement des
ordres et qui s'attend à ce qu'ils soient exécutés. « Les
RSSI ont besoin d'aider d'autres personnes à réussir et à prendre des
responsabilités. Cela devrait faire partie de leur stratégie de
sécurité globale ». Un talent associé consiste à ne pas jouer au jeu de la de critique. « Les
RSSI doivent être prêts à assumer une grande partie du blâme lorsque
les choses tournent mal, même si c'est la faute de quelqu'un d'autre.
Il ne faut pas tout accepter, mais si vous pouvez prendre le blâme sur
vous et utiliser cela pour travailler sur des questions qui améliorent
la situation globale de l'organisation, c'est une chose à faire ».
Des compétences techniques très évoluées remises en question
Un aspect que Forrester ne cite pas comme critique est d'avoir un niveau élevé de compétences techniques. "Certains
ont dit oui, et d'autres ont dit non. Il s'agit là d'un vieux débat. La
clé, je crois, est qu'il faut absolument avoir la capacité de
comprendre des données techniques, mais vous n'avez pas forcément
besoin des compétences pratiques, résume Khalid Kark. Beaucoup de
RSSI qui réussissent dans leurs fonctions, ne se concentrent pas sur
des questions opérationnelles telles que la gestion des pare-feu, mais
ils ont besoin d'être prêts à définir une politique de sécurité et à
élaborer la position de leur société vis-à-vis des risques.
Une approche du haut vers le bas
"En fait, de
nombreux RSSI qui ont des compétences techniques soutiennent que leurs
connaissances les conduisent souvent à s'embourber dans trop de
décisions opérationnelles et de projets ». Indépendamment des
capacités techniques d'un RSSI, Khalid Kark estime qu'il va devenir de
plus en plus important pour les responsables sécurité de s'éloigner
d'une approche « du bas vers le haut » de la sécurité, où l'accent est
mis sur les outils à utiliser, pour aller vers une approche « du haut
vers le bas » menée par la gestion des risques et les concepts de
gouvernance. "Ces cadres doivent évoluer depuis l'expertise
opérationnelle vers un rôle de penseur stratégique, du rôle de policier
à celui d'un conseiller digne de confiance». «Ils doivent se
considérer davantage comme un consultant, par opposition à un auditeur,
et évoluer de spécialiste de la sécurité informatique à généraliste des
risques de l'entreprise."
EXCLUSIF - Riposte graduée : les pirates recevront une lettre recommandée
Législation - Selon l’ébauche du projet de loi destiné à lutter contre le téléchargement illégal que s’est procuré ZDNet.fr, le gouvernement a fait évoluer son dispositif de riposte graduée contre les pirates : ils recevront un email d’avertissement, une lettre recommandée d’avertissement, puis leur abonnement sera suspendu.
Le gouvernement est en train de peaufiner sa riposte graduée, un dispositif censé mettre en garde puis punir les internautes qui téléchargent illégalement des fichiers sur les réseaux peer-to-peer. ZDNet.fr s'est procuré une des versions les plus récentes de « l'avant-projet de loi relatif à la Haute Autorité pour la diffusion des oeuvres et la protection des droits sur internet » (Hadopi).
Le texte déroule le dispositif prévu par les accords Olivennes, signés en novembre dernier. Une Haute Autorité sera créée, avec pour mission de mettre en oeuvre cette riposte graduée : elle ne pourra agir que sur saisine des ayants droit, qui auront repéré des internautes s'adonnant à des pratiques de téléchargement illicites. Elle disposera d'agents publics, chargés de vérifier les informations transmises par les plaignants.
En cas d'infraction constatée, on savait déjà que la première étape de la riposte graduée sera l'envoi d'un e-mail d'avertissement au titulaire du compte internet identifié, par l'intermédiaire de son fournisseur d'accès.
L'abonné face à une "transaction"
Ce qui est nouveau, c'est l'ajout d'une disposition en cas de récidive dans un délai de six mois. Cette deuxième étape de la riposte graduée prévoit l'envoi par la Haute Autorité d'une lettre recommandée avec accusé de réception, rappelant au titulaire du compte internet ses obligations de sécurisation de son accès pour empêcher le téléchargement illégal et lui rappelant les sanctions en cas de nouveau manquement. « Il convient de réintroduire ici le volet pédagogique, ainsi que la gradation figurant dans [les accords Olivennes] (avertissements et messages répétés avant sanction) », justifie le commentaire accolé au texte.
Si une nouvelle récidive est constatée, la Haute Autorité « peut proposer une transaction à l'abonné ». Ce dernier est placé devant l'alternative suivante : voir son accès suspendu pour une durée d'un mois ou six mois, avec interdiction de souscrire à l'offre d'un opérateur concurrent pendant cette durée. Soit il est cité à comparaître devant un tribunal. L'acceptation de la transaction devra être homologué par un procureur.
Le texte ne mentionne plus la résiliation définitive du contrat ordonnée par la Haute Autorité, une idée à laquelle s'opposaient fortement les fournisseurs d'accès internet. En revanche, l'utilisateur devra continuer à payer son abonnement pendant sa suspension. Et s'il est client d'une offre triple play (internet, téléphonie illimitée et télévision), il risque de perdre la totalité de ces services pendant cette période, « en fonction des contraintes du fournisseur du service ».
Un fichier pour les délits de téléchargement illégal ?
Si l'on en reste à la version actuelle du texte, il est prévu que les pirates soient doublement fichés : la Haute Autorité créera tout d'abord « un répertoire national des personnes dont l'accès [internet] a été suspendu ». Et ce pour permettre aux FAI de vérifier, à chaque nouvelle demande d'abonnement, que le nouveau client n'est pas actuellement sur la liste noire.
Ensuite, la Haute Autorité pourra créer « un traitement automatisé de données à caractère personnel, portant sur les personnes responsables de manquements » à leur obligation. Le texte ne dit pas clairement qui cela vise : tous les signalements remontés par les ayants droit, ou bien les internautes pour qui le dispositif de riposte graduée a été enclenché. Un décret en Conseil d'Etat fixera les catégories de données conservées, leur durée de conservation et les personnes habilitées à recevoir ces informations.
Le bogue de Windows Home Server pas corrigé avant juin
Le bogue affectant Windows Home Server, le serveur domestique de Microsoft, sera bien corrigé par l'éditeur. Mais les utilisateurs devront patienter au minimum jusqu'au mois de juin avant de pouvoir appliquer le précieux correctif. Heureusement, précise le groupe de Redmond sur un blog, « nous croyons que [peu d'entre eux] sont susceptibles d'être affectés » par la défaillance.
Celle-ci, révélée en décembre 2007,
provoque la corruption de certaines données stockées sur le serveur.
L'éditeur précise désormais que le bogue est lié à une mauvaise gestion
des mécanismes de redirection de fichiers des postes clients vers le
serveur, lorsque ce dernier est équipé de plus d'un disque dur. Un
obstacle délicat à contourner, reconnaît Microsoft : « au stade actuel,
nous comprenons très bien le problème, il se situe à un niveau très bas
du système d'exploitation et nécessite des tests approfondis pour
parvenir à un correctif fonctionnel ». Dans les prochains mois,
l'éditeur sortira une rustine en version bêta, qui sera éprouvée par
une batterie de testeurs. Puis, en juin, la version définitive du patch
pourrait être mise en ligne, même si cette échéance est susceptible
d'être modifiée.
Parmi les applications risquant de générer des données corruptibles par
WHS, Microsoft cite Office OneNote 2003 et 2007, Outlook 2007, Money
2007 ou uTorrent.
Mac OS X 10.5 et sécurité : Apple doit revoir sa copie ?
Parmi les 300 nouveautés annoncées pour Mac OS X 10.5, un petit nombre est orienté sécurité.
Plusieurs experts en la matière se sont donc jetés sur le Leopard dès
sa sortie pour savoir de quoi il en retournait exactement. Apparemment,
ils ont été déçus par la réalité des faits et la firme à la pomme
d'être parfois vertement critiquée.
Thomas Ptacek de Matasano Security, concède par exemple volontiers que la fonctionnalité de bac à sable et l'intégration de la technologie ASLR sont deux très bonnes idées mais elles sont malheureusement appliquées de manière imparfaite.
La raison d'être du bac à sable ou sandbox,
est de faire fonctionner une application dans un environnement protégé,
offrant pour les applications soumises à ce régime un accès restreint
aux fichiers autorisés, au réseau, ..., ce afin d'éviter qu'elles ne
fassent office de vecteurs d'attaques. Gros problème selon Ptacek, les
applications justement les plus susceptibles de servir de vecteurs d'attaques
à l'instar du navigateur Web Safari, du client mail ou du client de
messagerie instantanée iChat ne peuvent prétendre à ce fonctionnement
en mode protégé.
La technologie ASLR
de randomisation de l'espace d'adressage quant à elle, souffre
également d'une mauvaise intégration pour Ptacek et son objectif de
prémunir efficacement le système contre les attaques de type buffer
overflow n'est pas correctement rempli. La configuration aléatoire des
processus en assignant aux éléments de base un emplacement mémoire
différent à chaque démarrage, ne s'applique ainsi pas à toutes les
composantes du système (dynamic linker library
en l'occurrence) et certains malwares peuvent donc retrouver leurs
billes en disposant de l'information recherchée à un emplacement précis.
Parmi d'autres problèmes mineurs évoqués, s'il est bien un qui stigmatise les critiques, c'est le pare-feu de Mac OS X 10.5. Heise Security
a notamment réalisé un test dont les conclusions sont sans appel. Outre
son austérité pour l'utilisateur lambda, le site allemand reproche au
pare-feu de Leopard de ne pas être activé par défaut
et pire, de ne pas se comporter comme il devrait lorsque il est activé.
En mode restreint, les connexions réseaux à des services non autorisés
peuvent toujours être établies alors que le paramètre bloquer toutes les connexions entrantes est purement factice puisque sans effet.
Certes, le premier bilan semble plutôt contrasté pour Mac OS X 10.5 en
termes de sécurité mais il faut bien garder à l'esprit que
l'intégration de ces nouvelles fonctionnalités constituent une avancée
dans la politique d' Apple en la matière, d'autant que Mac OS X est un
système qui fait rarement la une pour des cas avérés de virus et vers.
Source
La France se dote d'un portail de la sécurité informatique
Avec
l'avènement et la démocratisation d'Internet, la cause sécuritaire
devient à juste titre cause nationale, et personne ne s'en plaindra, le
gouvernement français à décidé d'éduquer et de sensibiliser ses concitoyens à cette problématique. Un portail de la sécurité informatique vient ainsi d'ouvrir ses portes.
Ce projet d'un budget de 400 000 euros a été mené par le Secrétariat
Général de la Défense Nationale (SGDN) qui s'est entouré de divers
partenaires publics et privés. Parmi ces derniers, plusieurs
associations à l'instar de l'association des fournisseurs d'accès à
Internet ou encore l'APRIL, oeuvrant pour la promotion du logiciel
libre, la CNIL, des initiatives comme Signal Spam, le géant du logiciel
Microsoft.
A noter également deux partenaires d'importance puisqu'il s'agit de
deux centres d'alerte et de réaction aux attaques informatiques (les
fameux CERT), le Cert-IST et le CERT Renater qui sont respectivement dédiés au secteur de l'industrie et à celui de l'enseignement et de la recherche.
Le tout nouveau portail offre du contenu pédagogique mais également technique avec le souci revendiqué de rester accessible au plus grand nombre.
Au programme, des guides de configuration, des questions / réponses
pratiques, des modules d'auto-formation, des fiches d'information, un
glossaire et des informations sur les menaces actuelles, d'où l'utilité du partenariat avec les CERT.
Au registre de la pédagogie par exemple, le portail énumère les bonnes
pratiques en matière de sécurité informatique pour le commun des
internautes. Dix commandements
à connaître et respecter pour surfer sereinement sur la Toile, allant
de l'équipement indispensable du poste de l'utilisateur modèle
(anti-virus, pare-feu, ...), au choix d'un mot de passe robuste, en
passant par le rappel de quelques règles de sécurité élémentaires comme
faire preuve de vigilance avant d'ouvrir les pièces jointes d'un mail,
le recours à un compte utilisateur pour naviguer ou prendre soin de
contrôler la diffusion d'informations personnelles.
Le
portail est maintenu par la Direction centrale de la sécurité des
systèmes d'information (DCSSI) qui tient également à jour un catalogue de produits
matériels et logiciels de sécurité qualifiés. Par ailleurs, et pour le
coup uniquement orienté grand public, la Direction du développement des
médias (DDM) a mis en ligne le site Web, Surfez intelligent : les indispensables.
Un effort en faveur de la sécurité informatique à saluer mais encore faut-il qu'il rencontre son public.
Source
Iphone : 1er virus
Disponible en France depuis fin novembre 2007, l'outil trois en un
d'Apple à la fois téléphone mobile, baladeur multimédia et appareil de
communication sur Internet, devrait recevoir très prochainement une
mise à jour estampillée 1.1.3. Des pirates n'ont pas tardé à tirer
parti de ce qui reste encore du domaine de la rumeur pour mettre en
ligne le premier cheval de Troie ciblant l'iPhone.
Les éditeurs de solutions anti-virus F-Secure et Symantec ont ainsi émis des alertes au sujet d'un malware dissimulé sous l'identité d'un package iPhone firmware 1.1.3 prep,
à télécharger sur certains sites Web heureusement désormais fermés pour
la plupart. Afin de mieux leurrer les utilisateurs, ce package est présenté comme un préambule important à la mise à jour 1.1.3 évoquée précédemment.
Pour le commun des possesseurs d'iPhone piégés par cette astucieuse
technique de social engineering, le cheval de Troie ne présente aucun
danger. Par contre, les utilisateurs qui ont débloqué leur iPhone pour pouvoir y installer des applications tierces,
seront un peu plus ennuyés et non pas tant à l'installation, mais
plutôt lors d'une tentative de désinstallation du programme incriminé.
Symantec avertit ainsi qu'ils encourent le risque de supprimer des
applications également tierces comme des utilitaires développés par Erica Sadun et OpenSSH (un moindre mal cependant).
" Techniquement,
il s'agit du premier cheval de Troie identifié pour l'iPhone.
Toutefois, il faut plus parler de plaisanterie que de menace réelle et
les conséquences liées à sa désinstallation sembleraient être un effet
secondaire non prémédité ", commente Symantec tout en recommandant
la prudence des utilisateurs d'iPhone qui ont fait le nécessaire pour y
pouvoir installer des applications optionnelles.
Attention cependant, en février l'iPhone s'ouvrira officiellement aux
applications tierces avec fourniture d'un SDK ( Software Development
Kit ). La menace malware devrait alors monter d'un cran même s'il est
évident qu'Apple aura tout mis en oeuvre pour proposer une plate-forme
sécurisée.