The Internets

flux & contenux

Archive pour ‘Sécurité informatique’ tag

[->] I’M DDOS : Service d’attaques DDoS à la demande

Laissez un commentaire

A lire sur : Détails en direct du helpdesk de IMDDOS (Le blog sécurité – Orange)
Et sur : Tracking the IMDDOS Botnet (Dampalla)

Par Astrid Girardeau

19 septembre 2010 à 6:03

[ExPress] Le gouvernement veut renforcer la lutte contre « l’atteinte à la vie privée et au secret des correspondances » en ligne

Laissez un commentaire

Ce matin, le Conseil des ministres a adopté un projet de loi, dont l’article 11 sur les communications électroniques habilite le gouvernement à transposer en droit français le Paquet Telecom par ordonnances.

Cette réglementation adoptée par le Parlement Européen en novembre 2009, doit avoir été transposée et publiée par les États membres au plus tard le 25 mai 2011. Utiliser des ordonnances permet au gouvernement de prendre des mesures relevant du législatif sans débat parlementaire, sur simple ratification. « Certes, le paquet télécom est très technique et, sur bien des points, estime Autheuil, mais (…) il est quand même question de service universel, de protection des données personnelles, de droits du consommateur. Ces sujets, bien que contraints par le cadre de la directive, méritent un débat politique ! »

Authueil s’inquiète particulièrement du point 4° portant sur toutes les dispositions de nature à « renforcer la lutte contre les faits susceptibles de porter atteinte à la vie privée et au secret des correspondances dans le domaine des communications électroniques, notamment en ce qui concerne la recherche, la constatation et la répression des infractions«  et à « répondre aux menaces et prévenir et réparer les atteintes à la sécurité des systèmes d’information des autorités publiques ainsi que des opérateurs ».

« Je suis d’autant plus inquiet que l’étude d’impact (pdf) est absolument muette sur ce 4° » écrit-il. « Qu’est-ce qui va bien encore nous tomber sur la gueule ? Je me prépare au pire…. »

Pourtant l’étude d’impact du projet de loi en parle bien. Ainsi, elle dit que « les mesures proposées ont pour objectif de renforcer la sécurité et le contrôle des équipements mis en œuvre par les opérateurs qui sont directement impliqués dans les interceptions des communications électroniques prévues par la loi. Ces équipements étant installés au cœur des réseaux des opérateurs, ils jouent un rôle majeur dans la sécurité des communications des abonnés. (…). C’est d’ailleurs en raison de leur très forte sensibilité, que ces équipements sont soumis à une procédure d’autorisation assortie de sanctions pénales – qui a été instaurée par l’ article 226-3 du code pénal.« 

Selon cet article, sont punis d’un an d’emprisonnement et de 45000 euros d’amende, la « fabrication, l’importation, la détention, l’exposition, l’offre, la location ou la vente en l’absence d’autorisation ministérielle, dont les conditions d’octroi sont fixées par décret en Conseil d’Etat,«  d’appareils conçus pour :
- réaliser les opérations permettant « d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications (article 226-15)
- la détection à distance des conversations, au moyen d’un procédé quelconque, permettant volontairement de porter atteinte à l’intimité de la vie privée d’autrui« . (article 226-1)

Selon l’étude, il apparaît aujourd’hui nécessaire et urgent de « renforcer ce dispositif d’autorisation compte tenu de « l’augmentation constatée et de l’ampleur des risques liés à l’utilisation de ces équipements«  et de « préciser et de renforcer les infractions pénales du dispositif et de permettre un vrai contrôle (…) du respect des règles de sécurité par les entreprises fournissant les matériels et de l’absence de danger lié à l’utilisation de ces appareils pour la sécurité des réseaux ». Dans cet but, il est proposé d’augmenter les peines pour défaut d’autorisation ministérielle, de créer une sanction pénale pour le non-respect des conditions fixées par ces autorisations, et d’habiliter l’ANSSI (Agence nationale de la sécurité des systèmes) à contrôler l’application de ces dispositions.

Ces mesures de renforcement s’inscrivent dans la transposition de la directive 2009/140/CE, et plus précisément du 1. de l’article 13 bis. Un article très général sur la sécurité et à l’intégrité des réseaux et services, qui n’aborde pas la question des interceptions par les opérateurs et du régime de ces équipements. Justement indique l’étude, « il est apparu souhaitable de prévoir explicitement l’habilitation du gouvernement sur cette question ».

A la lecture de ce document on peut s’interroger sur les intentions réelles du gouvernement derrière ce texte. S’il s’agit de « protection des infrastructures vitales », ou s’il pourrait avoir un impact, et si oui dans quelle mesure, en matière de surveillance des réseaux au nom de la sécurité intérieure ou de la lutte anti-terroriste. On peut également y voir des dispositions qui vont vers davantage d’encadrement et de contrôle de certaines pratiques. Par exemple de l’utilisation du Deep Packet Inspection (DPI) ou autres technologies à des fins d’inspection et d’analyse des paquets sur les réseaux publics. Certains dans le but de filtrer des contenus, d’autres de discriminer certains trafics, et d’autres encore d’intercepter des communications.

[->] Le scandale des sites gouvernementaux qui se négligent

Laissez un commentaire

Par Astrid Girardeau

13 septembre 2010 à 8:17

[->] Avant la rentrée

Laissez un commentaire

Fin de pause. Et petit retour non-exhaustif sur l’actualité (news, tribunes, études, etc.) de ces deux dernières semaines.

HADOPI/PIRATAGE/…
- Piratage sur Internet: les réponses du patron d’Hadopi (La Tribune)
- La pédagogie d’Hadopi commence dans les péages autoroutiers (PC Inpact) et L’Hadopi au péage est légale (Clubic)
- Hadopi : toujours aucun accord avec les fournisseurs d’accès Internet (La Tribune) et Coûts de l’Hadopi : la lettre envoyée par les FAI au ministère (PC Inpact)
- Peter Sunde : « The Pirate Bay devrait mourir » (01 Net)
- Anti-Piracy Campaigns Fail, People Keep Downloading (TorrentFreak)
- RIAA: U.S. copyright law ‘isn’t working’ (CNET)
- Music industry questions Google on piracy (The Hill)
- Piratage ou usage commun ? (®om’s blog)
- La musique en streaming fait baisser le piratage, selon une étude (Numérama)
- Supreme Court told P2P users can be « innocent infringers » (Ars Technica)
- Private CEO Says Porn Piracy Is Promotion (NewTeeVee)
- Viacom’s billion-dollar lawsuit lives on (Ars Technica)
- 5 Ways To Download Torrents Anonymously (TorrentFreak)
- Iranian Government Runs Public Warez Server (Torrent Freak)

CREATION/PROPRIETE INTELLECTUELLE/CREATIVE COMMONS…
- The Insanity Of Music Licensing: In One Single Graphic (Tech Dirt)
- Is the Sky Falling on the Content Industries? (SSRN)
- Copycats vs. Copyrights (Newsweek)
- How to save the music industry (GQ)
- Rocker John Mellencamp likens Internet to A-bomb (Reuters)
- The Copyright Sheriff Strikes Again (Jason Robert Brown)
- Does Posting Your Work Online Give Others the Right to Copy? (Plagiarism Today)
- Musopen Wants to Give Classical Music to the Public Domain (EFF)
- The High Cost of Copyright: (The Volokh Conspiracy)
- The Individual Edition CD (Music Think Tank)
- Brazil: how to make a profit by giving music away (Global Post)
- Anti-Piracy Failure Takes Down Creative Commons Videos (TorrentFreak)
- Czech Gov’t Drafting Copyright Bill to Legally Gut Creative Commons, Chop Creators Royalties By Nearly Half (Zero Paid)
- Rapport entre propriété intellectuelle, transfert de technologie et développement (IP Watch)
- Did weak copyright laws help Germany outpace the British Empire? (Ars Technica)
- Propriété intellectuelle et croissance : la remise en question ? (Numérama)
- Aug. 19, 1839: Photography Goes Open Source (Wired)
- The copyright cops (Inside Story)
- How to Teach “Generation Plagiarism” About Plagiarism (Plagiarism Today)
- If I were a record label and you were an artist, would you marry me anyways, would you have my baby? (Music Think Tank)
- Microsoft Co-Founder Launches Patent War (The Wall Street Journal)
- Sorry, you can’t open that book here (Telegraph)

ACTA/WIPO
- Joint Press Declaration from all the ACTA negotiating parties – 10th round of Negotiations (Commission Européenne)
- Lunch with the ACTA negotiators, August 17, 2010 (KEI)
- The Anti-Counterfeiting Trade Agreement (ACTA): A new obstacle to human rights? (pdf) (3D)
- Has the U.S. Caved on Secondary Liability in ACTA? (Michael Geist) et US [NOT] Proposing to Eliminate Secondary Liability from ACTA (PIJIP)
Proposed WIPO Strategic Plan Shows Positioning For Uncertain Future (IP Watch)

NEUTRALITE
- US Internet Neutrality Flare-Up Resonates Internationally (IP Watch)
- Who Gets Priority on the Web? (The New York Times)
- A Review of Verizon and Google’s Net Neutrality Proposal (EFF)
- Facts about our network neutrality policy proposal (Google)
- Music industry questions Google on piracy (The Hill)
- OK Go on net neutrality: A lesson from the music industry (The Washington Post)
- UK ISP Entanet Slams USA Google and Verizon Net Neutrality Partnership (ISP Review)
- Encrypted and obfuscated? Your P2P protocol can still be IDed (Ars Technica)
- Rapport « La neutralité de l’Internet – Un atout pour le développement de l’économie numérique » (pdf)
- NKM : « La neutralité du Net est un principe plutôt qu’un credo » (Eco 89)
- Proposition de loi visant à affirmer le principe de neutralité de l’internet, et son contenu (Le blog de Christian Paul)
- « Dans ce rapport, ce qui saute aux yeux, c’est l’incompétence » (Ecrans)
- Il y a internet et internet : Orange dévoile sa stratégie (Read Write Web)

VIE PRIVEE / SURVEILLANCE/ FILTRAGE/…
- Le filtrage de l’Internet français est effectif… mais inefficace ! (Infra Net)
- Question écrite/Réponse sur le « label famille » (Assemblée nationale)
- Government Finds Uses for Social Networking Sites Beyond Investigations (part 1, part 2) (EFF)
- Steve Jobs Is Watching You: Apple Seeking to Patent Spyware (EFF)
- Google Wi-Fi Spy Lawsuits Head to Silicon Valley (Wired)
- La CNIL juge « prématuré » le retour à la circulation des véhicules Google Street View en France (Cnil)
- Qui vous surveille sur Internet? (Owni)
- Facebook Privacy Settings: Who Cares? (First Monday)
- Secrets of the Ads That ‘Stalk’ You (Wired)
- Des sites poursuivis en justice à cause des cookies de Flash (PC Inpact)
- “E-Personation” Bill Could Be Used to Punish Online Critics, Undermine First Amendment Protections for Parody (EFF)
- Beat censorship by hiding secret messages in Flickr photos (Ars Technica)

CYBERSECURITE/DEFENSE/CRIME
- Blackberry : RIM a-t-il ouvert la boîte de Pandore ? (Ma petite parcelle d’Internet)
- Alleged Carder ‘BadB’ Busted in France — Watch His Cartoon (Wired)
- Le plus important cas de cyber-espionnage contre l’armée américaine révélé (PC Inpact)
- Proposition de loi relative à la protection de l’identité (Senat)
- The Fear Tax (Seth’s blog)

ECONOMIE
- UE : la directive e-commerce révisée, un tremplin vers ACTA (PC Inpact) et  «Consultation publique sur l’avenir du commerce électronique dans le marché intérieur et la mise en œuvre de la directive commerce électronique (2000/31/CE) » (pdf) (Commission Européenne)
- Orange devient le premier distributeur de Deezer et vise 200 000 abonnés dès 2010 (ZDNet) et Les cinq raisons de la prise de participation d’Orange dans Deezer (L’Expansion)
- EMI s’inquiète de « l’influence » d’iTunes (ZD Net)
- Vers une hausse des taxes sur les forfaits triple-play ? (PC Inpact)
- «Les réseaux personnels sans fil permettront de gérer les objets connectés» (Henri Tcheng, BearingPoint) (Les Echos)
- Trois euros de plus sur les forfaits Internet pour financer la fibre ? (01Net)
- SFR augmente les tarifs de ses forfaits fibre optique de 5 € (PC Inpact)
- Les ristournes des FAI pour prendre des clients à la concurrence (01 Net)
- La Poste en négociations exclusives avec SFR pour se lancer dans le mobile (AFP)

AUTRES
- What ‘Fact-Checking’ Means Online (The New York Times)
- The Web Is Dead. Long Live the Internet (Wired) et Is the web really dead? (Boing Boing) et The open Web vs the closed Internet (TechnoLlama)
- Google and the Search for the Future (The Wall Street Journal) et Eric Schmidt’s Name Game Doesn’t Make Sense (Tech Crunch)
- La ville de Philadelphie envisage de taxer ses blogueurs (Le Monde) et 5 Myths About Philadelphia’s ‘Blogging Tax’ (Wired)
- What if ISPs had to advertise minimum speeds? In Hungary, they do (Ars Technica)
- Comcast: We Sped Up Your Internet… Oh, No, Actually, We Didn’t (Tech Dirt)
- Il y a trop de téléphones et trop « d’Internets », selon l’auteur de Fahrenheit 451 (Numérama)

[->] How to make the Internet not suck (as much)

Laissez un commentaire

A lire sur : How to make the internet not suck (as much) (Dan Pollock)

Par Astrid Girardeau

20 juillet 2010 à 17:02

[->] Les secrets du chiffrement de Skype révélés

Laissez un commentaire

Par Astrid Girardeau

12 juillet 2010 à 14:22

[ExPress] Full Disclosure : Des chercheurs en sécurité mécontents s’en prennent à Microsoft

Laissez un commentaire

Mécontents de « l’hostilité » avec laquelle Microsoft a réagi à la divulgation, le mois dernier, par Tavis Ormandy, chercheur en sécurité informatique chez Google, d’une faille dans le service Aide et Support de Windows XP et Windows Server 2003, un groupe de chercheurs anonymes a décidé d’adopter une attitude plus agressive contre la société, raconte Ars Technica.

Sur son blog, Microsoft a exprimé son mécontentement quant à cette divulgation publique, et fait valoir qu’on ne lui avait pas laissé assez de temps pour résoudre la faille. Dans une mise à jour du billet datée du 25 juin, la société rapporte la position de Tavis Ormandy qui dit l’avoir signalé non pas en tant qu’employé de Google, mais individuellement en tant que chercheur indépendant. Et la rejette : « Chez Microsoft, nous ne croyons pas qu’il soit possible de dissocier les deux ».

Officiellement lancé le 30 juin dernier sur la liste Full Disclosure, le groupe, qui se fait appeler Microsoft-Spurned Researcher Collective (une parodie du Microsoft Security Response Center de la société de Redmond), annonce que ses membres effectueront « des full disclosure de toutes les failles de sécurité découvertes pendant notre temps libre, libre de représailles contre nous ou notre employeur ».

Source : Disgruntled security researchers take aim at Microsoft (Ars Technica)
Source : MSRC-001: Windows Vista/Server 2008 NtUserCheckAccessForIntegrityLevel Use-after-free Vulnerability (Full Disclosure)
Source : Windows Help Vulnerability Disclosure (Microsoft)

Par Astrid Girardeau

8 juillet 2010 à 16:08

[->] Menaces informatiques et pratiques de sécurité en France (Clusif, Édition 2010)

Laissez un commentaire

A lire sur : Menaces informatiques et pratiques de sécurité en France (Clusif, Édition 2010)

Par Astrid Girardeau

7 juillet 2010 à 12:02

[ExPress] Vie privée numérique : tous responsables ?

Laissez un commentaire

Le magazine Global Security Mag vient de consacrer un numéro hors série (pdf) à la protection des données personnelles (VPN, sécurité des serveurs, gestion des logs, etc.) avec notamment des interviews du sénateur Yves Détraigne, de la Secrétaire d’Etat Nathalie Koscuisko-Morizet et de Yann Padova, Secrétaire général de la Cnil. Il est disponible gratuitement sur le site de l’AFCDP (Association Française des Correspondants à la Protection des Données à Caractère Personnel).

Par Astrid Girardeau

7 juillet 2010 à 10:58

[->] Microsoft : Full disclosure et no disclosure

Laissez un commentaire

Par Astrid Girardeau

6 juillet 2010 à 17:54

[->] Dans la série « Je laisse trainer mon mot de passe un peu n’importe ou »

Laissez un commentaire

Par Astrid Girardeau

27 juin 2010 à 11:22

[->] « La sécurité à deux euros par mois, ça n’existe pas »

Laissez un commentaire

Par Astrid Girardeau

14 juin 2010 à 17:15

[Actu] Le logiciel anti-p2P d’Orange : « négligence caractérisée » ?

avec 10 commentaires

On savait qu’il y avait de l’Hadopi dans l’offre de sécurisation proposée depuis quelques jours par Orange. Soit un logiciel de « contrôle de téléchargement » qui permet à un abonné de bloquer les logiciels p2P sur sa ligne. Maintenant, on sait qu’il y a aussi des trous.

Cet après-midi, sur son blog, Bluetouff a révélé que les adresses IP de tous les clients du logiciel étaient publiques. En fait, le logiciel « communique avec un serveur distant, un servlet java situé sur l’IP 195.146.235.67″. Pour obtenir cette IP, Bluetouff explique avoir « sniffé les sorties de ce soft avec Wireshark » sur son propre réseau local. Avant d’ajouter « Du coup, nous n’avons pas eu trop de mal à trouver ce servlet ». Or, poursuit-il, toutes les connexions à ce serveur « transitent en clair », et sont visibles publiquement sur une page web, la page « Statut » du serveur chez JBoss. C’est-à-dire qu’on peut y voir publiquement les adresses IP de toutes personnes qui s’y connectent, mais aussi de tous ceux qui ont acheté et activé le logiciel d’Orange. On peut d’ailleurs trouver des listes de ces IP en ligne (image ci-dessus).

Ca n’est pas tout. Bluetouff nous indique que, sur cette page « Statut », ont été repérées des connexions à la page administration du serveur d’Orange. « C’est rendu possible par un oubli débile : ils ont laissé les mots de passe par défaut sur l’admin : admin/admin ». Qui étaient ces gens et que faisaient t-ils ? « Impossible de savoir », répond Bluetouff. Avant de nous expliquer que, s’il s’agit de personnes mal intentionnées, « ils peuvent modifier le JAR, qui injecte du code aux logiciels client ». Et y inoculer n’importe quel malware. Et ainsi infecter tous les postes des abonnés qui ont souscrit au logiciel anti-p2p d’Orange.

« C’est pas ça une négligence caractérisée ? », ironise Bluetouff sur son blog.

MaJ : En quelques heures, la page « Statut » du serveur était devenue inaccessible. Tombé ou désactivé ?

Maj 14/06/10 : Comme nous le fait remarquer Moui en commentaire, la page « Statut » du serveur est de nouveau accessible. (voir image)

Par Astrid Girardeau

13 juin 2010 à 20:13

[->] Du grain à moudre pour HADOPIstes en herbe…

Laissez un commentaire

Source : Du grain à moudre pour HADOPIstes en herbe… (Ma petite parcelle d’Internet…)

Par Astrid Girardeau

8 juin 2010 à 14:55

[->] LCEN m’a tuer (ou pas)

Laissez un commentaire

Par Astrid Girardeau

14 décembre 2009 à 9:12