Spécial sécurité - Apple : contradiction et protectionnisme
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, s’interrogent sur la stratégie d’Apple derrière GateKeeper, le module de sécurité qui résidera dans la prochaine mouture de MacOSX. Une façon pour le groupe de Cupertino d’agiter le risque au nez des utilisateurs. Mais pas uniquement pour les protéger : pour également protéger son propre éco-système. Nos confrères attirent ensuite notre attention sur la prochaine Nuit du Hack 2012, avant de nous emmener vers un article parlant de l’état sécuritaire d’Internet. Ils terminent enfin en pointant du doigt une proposition de loi britannique sur la conservation des traces de communications et sur la perte d’une clé USB, contenant des détails techniques de la centrale nucléaire de Hartlepool.
Sommaire :
1 - Apple : contradiction et protectionnisme
2 - Hack in Paris : Nuit du Hack 2012, vite avant la fin du monde
3 - Internet : La peur du « big one »
4 - Rétention officielle d’information Outre-Manche
5 - Perte de données : USB nucléaire
1 - Apple : contradiction et protectionnisme
Les virus, ça n’existe pas, ou si peu, chez Apple, que l’utilisation d’un logiciel de protection est sinon superfétatoire, du moins assimilable à une béquille psychologique. C’est du moins ce que nous affirment les différents « statements » de Cupertino aux fils des ans.
Mais voilà , depuis la multiplication des jailbreaks (mot élégant désignant une énorme faille de sécurité exploitée à des fins honnêtes) et depuis surtout l’ouverture de marchés en ligne parallèles d’appliquettes et d’applications, l’on voit Apple agiter l’étendard du « risque ». Ce qui ne vient pas de chez nous est nécessairement suspicieux, semble affirmer le programme Gatekeeper de l’éditeur-constructeur-sélectionneur-censeur. Précisons tout de suite que Gatekeeper ne concerne pour l’heure que les logiciels concernant les ordinateurs sous OSX.
Sean, du Blog F-Secure, a immédiatement mis le doigt là où ce programme démangeait : en insinuant qu’un logiciel « non diffusé par AppleStore et ses mécanismes de filtrage » puisse être suspect et dangereux, et ajoutant à son catalogue une sorte d’étiquette de traçabilité comme on le ferait d’un morceau de macreuse ou d’un steak taillé dans le filet, Apple pousse ses clients à n’acquérir d’application qu’auprès de ses seuls canaux de diffusion. Ce n’est pas de la constitution de monopole, mais ça en aurait l’odeur …
Tristan Nitot, du Standblog (et accessoirement fondateur de Mozilla Europe) soulève lui-aussi un sourcil suspicieux et dénonce ce genre de pratique. Gatekeeper, au nom d’une prétendue disposition de sécurité, donne à l’usager le choix entre trois possibilités de téléchargement :
- App Store
- App Store et les développeurs identifiés (la fameuse option de traçabilité)
- N'importe où
Notons au passage qu’il manque une option relativement importante : « nul part » ou « purement local ». Une sorte de barrière baissée par défaut qui pourrait plaire à tout spécialiste des proxys et firewalls, et qui s’avèrerait fort utile pour tous ceux qui opteraient pour un autocontrôle de leur propre configuration. La chose est moins pratique sur un ordinateur sous OSX mais peut être envisageable dans l’univers IOS.
D’un point de vue stratégie, Gatekeeper se situe dans le droit fil de la politique d’Apple, qui consiste à déresponsabiliser l’usager sous prétexte de l’assister à chaque instant de la vie du bien de consommation. C’est là une technique mise en œuvre par les constructeurs automobiles depuis les années 50, et qui a abouti à une mosaïque de monopoles de fait : obligation de recourir à un réseau de concessionnaires, interdiction d’acquérir des pièces détachées provenant d’un fournisseur tiers, évocation d’un risque (donc désengagement de la responsabilité du constructeur) en cas de refus de ces oukases…
Gatekeeper n’est pas uniquement un outil de sécurité. Ce pourrait être également une tactique visant à rendre un marché encore plus captif qu’il ne l’est, un premier « ballon d’essais » qui pourrait être étendu au marché des appareils mobiles en cas de concurrence soudaine.
Car pour l’heure, il n’existe que 4 « marketplace » d’envergure mondiale se partageant le business en ligne des contenus et logiciels : les places de vente des trois grands, Apple, Google, Microsoft, et un joueur « hors catégorie », Amazon. Se bousculent au portillon quelques centaines d’opérateurs, dont certains possèdent une puissance financière largement aussi importante que celle de la « bande des 4 ». Une puissance de feu qui ne cesse d’inquiéter ladite bande des 4, qui, bien qu’ennemis irréductibles, sont prêts à toute forme d’alliance objective pour conserver leur pré-carré. Tout çà n’est pas sans rappeler la glorieuse époque où IBM régnait sur le monde informatique, entouré par ses « sept nains » (Burroughs, Sperry, CDC, RCA, NCR etc.). Cette tentation monopolistique est logique, peut-être même normale dans l’évolution d’une entreprise de cette taille. Mais l’histoire de l’industrie nous apprend également que c’est précisément cette tentation du monopole qui accélère la chute desdits monopoles, en vertu du principe qu’une grosse cible est toujours plus facile à atteindre du côté des francs-tireurs, et difficile à protéger et à faire réagir du côté des défenseurs.
Achevons ce fait divers en parlant réellement de sécurité appliquée à la sphère de développement OSX, en signalant un billet signé Johannes Ullrich, du Sans, qui dresse une courte liste des URL à connaître pour programmer proprement sur plateforme Apple.
2 - Hack in Paris : Nuit du Hack 2012, vite avant la fin du monde
Elle est émaillée de rappels et de messages subliminaux, la page de garde consacrée à la prochaine « Nuit du Hack », l’une des plus anciennes manifestations « sécurité » de Paris et de sa région. Cela risque d’être, comme le rappelle le bandeau, l’une des dernières chances de croiser un hacker avant l’apocalypse prévu par les calendriers Maya, les poivrières à steak et autres pythies sans pitié. Ce sera également l’occasion d’évoquer le souvenir de CrashFr, qui était bien trop jeune pour nous quitter. C’est surtout le moment de se retourner et de compter les exploits (à tous les sens du terme) accomplis ou publiés au fil de ces 10 ans d’activité. De la « péniche » à DisneyLand Paris, d’un simple CTF nocturne réunissant une vingtaine de geeks bronzés à la lueur des tubes cathodiques à un cycle de conférences s’étalant sur 5 jours (et une nuit) bien du chemin a été parcouru. L’équipe organisatrice du Hackerzvoice, qui écume les concours du même genre un peu de partout en Europe, a raflé au passage quelques titres de gloire, ce qui n’a cessé de consolider le prestige et l’image de sérieux de cette manifestation.
Bref, c’est un évènement à ne pas manquer, les manifestations du genre étant relativement rares en France (Il n’en existe que 3). Les détails techniques concernant les soumissions aux « appels à communication » sont fournis sur le site de Hack In Paris. Rappelons que les soumissions seront closes le 20 avril et que les conférences se tiendront du 18 au 23 juin. Le CTF est traditionnellement organisé en clôture d’évènement, dans la nuit du 23 au 24. Le droit d’entrée s’élève à 36 euros (à ce prix, un T-Shirt est même fourni, et c’est un collector). Il est conseillé de réserver dès ce mois-ci, car il existe toujours un risque de plus pouvoir trouver de place, malgré une infrastructure capable d’accueillir plus de 1200 participants.
3 - Internet : La peur du « big one »
Et si la fin du monde prévue par le calendrier Maya était provoquée par un écroulement des serveurs « top level domain » ? Robert Graham, dans un article digne des meilleurs passages du « Hitchhiker’s guide to the Internet », explique pourquoi « les Anonymous ne peuvent pas DoSSer les serveurs root d’Internet ». Ce n’est en aucun cas un papier de pure provocation, mais un rappel des différents mécanismes de sécurité et de redondance qui entourent les annuaires du « réseau des réseaux ».
Tout ça ne veut pas nécessairement dire qu’il est impossible de « couper » un pays du réseau Internet. Cela est arrivé récemment en Syrie, cela est arrivé de nombreuses fois dans les pays dits « démocratiques »… France y comprise. Il arrive (oh certes pas très souvent) qu’un informaticien distrait trucide une mise à jour de domaine, durant assez de temps pour que les mécanismes de propagation transforment cette distraction en mini-catastrophe. Parfois encore, certains routeurs stratégiques succombent sans explication valable, entraînant une succession de sur-accidents théoriquement improbables. Improbable également le détournement des routages d’Internet par la Chine, affaire révélée en novembre 2010. Internet est une infrastructure résiliente, capable de résister « par construction » à une attaque atomique, mais qui passe une bonne partie de son temps à se remettre de pannes à répétition, et ce avec un certain succès. Improbable enfin le fait qu’Internet puisse « continuer à vivre » même lorsque les fichiers de root sont en partie effacés, comme nous l’apprend cette très amusante étude Chinoise sur la persistance des serveurs volontairement « rayés de la carte Internet ».
Cette peur fantasmée d’une attaque terroriste contre le réseau mondial nous permet de mieux oublier à quel point l’Europe est tributaire des Etats-Unis, pays qui possède précisément les moyens techniques pour couper en grande partie Internet, ou plus exactement pour isoler « leur » Internet du nôtre …
4 - Rétention officielle d’information Outre-Manche
Le gouvernement Britannique, nous informent nos confrères du Telegraph, serait sur le point d’imposer (comme c’est déjà le cas en France) la conservation des traces de communications sur les logs des fournisseurs d’accès Internet et opérateurs de téléphonie mobile. Tout comme chez nous également (article 6-II de la loi du 21 juin 2004 de la LCEN, loi n° 2006-64 du 23 janvier 2006 etc.), ce dispositif policier utilise comme prétexte la lutte contre le terrorisme. Cette conservation de trace devrait faire l’objet d’une information auprès de tout ressortissant français appelé à effectuer des missions professionnelles au Royaume-Uni.
5 - Perte de données : USB nucléaire
La personne qui aurait retrouvé une clef USB contenant nombre de détails techniques concernant la centrale nucléaire de Hartlepool (Grande Bretagne) est priée de la rapporter à son propriétaire.
La clef en question, nous expliquent nos confrères de Network World, aurait été perdue par un congressiste natif d’Albion la Blanche et venu assister à une conférence se déroulant en Inde. Le contenu de la clef n’étant pas chiffré, la maison mère (EDF) minimise l’importance du contenu. Jusque-là, tout est normal.
En France, de mémoire de journaliste, strictement aucune clef USB n’a jamais été égarée, qu’elle contienne des fichiers d’identité, des secrets militaires ou des plans de centrale nucléaire.
Pour approfondir sur Menaces, Ransomwares, DDoS
-
Un procès contre Workday pourrait marquer l’histoire de l’IA appliquée aux RH
-
Conférence développeurs : Apple n’oublie pas la sécurité et les entreprises
-
Ghidra : l’outil d’analyse de code de la NSA n’est pas exempt de failles, mais il séduit
-
Créateur d’un Android dépouillé de Google, Gaël Duval juge l’amende infligée par Bruxelles justifiée