Spécial sécurité : L’homme qui vivait de la chasse au spam

Aujourd'hui, nos confrères de CNIS, magazine dédié à la sécurité des systèmes d'information, nous racontent la belle histoire de Daniel Balsam, un citoyen qui a décidé de partir en croisade contre le spam et les polluposteurs. Un combat qu’il mène depuis 8 ans sans relâche sur le sol américain à coup de procès. Nos confrères s’interrogent enfin sur la sécurité des PDF et des mesures mises en place par Adobe.

Sommaire
1 - L’homme qui vivait de la chasse au spam
2 - Sandbox Adobe : sécurité limité ?

1 - L’homme qui vivait de la chasse au spam
Quel beau conte –et comptes- de Noël que celui rapporté par le quotidien Seattle Pi . Daniel Balsam déteste le spam, presqu’autant que Madame Buns. Il n’habite pas à Bromley mais à San Francisco, et ne déjeune pas au Green Midget Café au milieu de guerriers vikings… il se repaît de l’argent de ses victimes, les polluposteurs.

Pourtant, il y a huit ans, Daniel Balsam avait embrassé une carrière commerciale. Mais excédé de recevoir quotidiennement des courriels lui vantant des pilules miracles destinées à affermir et développer sa poitrine, il décide de partir en guerre. Dan déteste le spam et il le fait savoir. Mais un site de protestation peut-il briser le ressac des courriels non désirés ? Il abandonne alors le cadre confortable de son bureau, son salaire, ses prévisions de ventes et ses commissions pour étudier le droit… et s’en servir. L’Amérique est la Terre Promise des avocats et des plaideurs, et la Californie tout particulièrement, dont une loi interdit toute accroche par courriel si le champ sujet contient le mot « gratuit » de manière indue ou qui n’est pas clairement présenté comme une proposition commerciale.

Bien peu donnait cher de cette peau Balsamique. Les prétoires, sur la côte Ouest, retentissent encore des échos des procès gagnés… par les « rois du spam », qui pourchassent sans pitié journalistes et blogueurs osant qualifier de « pollupostage » ce qui n’est que « démarche marketing volontariste et business par correspondance ». Et pourtant, Dan Balsam s’accroche, ferraille avec le droit commercial, cherche la petite bête dans les formulations, et apprécie particulièrement ces offres prétendument « gratuites » qui cachent des contrats léonins. En 8 ans, il gagne plus de 42 procès, et a totalement cessé de travailler. Il faut dire que son full time job de chevalier blanc lui a tout de même rapporté plus d’un million de dollars jusqu’à présent, somme provenant soit des victoires remportées et des « dommages & intérêts » infligés à la partie adverse, soit des accords à l’amiable conclus pour que l’affaire ne dégénère pas. C’est d’ailleurs ce que lui reprochent les partisans du marketing sauvage : la majorité des actions en justice ne sont pas conduites devant la « haute cour » mais par une sorte de tribunal de simple police, la « small claim court », plus expéditive, plus factuelle, et surtout plus « populaire » donc peu encline à témoigner la moindre sympathie envers les spammeurs.

Balsam n’est pas un Ralf Nader du spam ni le chef de file d’une croisade pour un Internet Propre au pays de la loi Can Spam. C’est un professionnel du procès qui parvient à vivre grâce à la formulation particulière d’un texte de loi d’Etat. Un animal spécialisé, un peu comme ces stakhanovistes du dépôt de brevet générique qui passent leur temps à éplucher des archives et découvrir des failles dans les arcanes de la protection de propriété intellectuelle. Mais l’action de Balsam est auréolée de gloire, supportée par l’homme de la rue, ou plutôt le netizen de l’autoroute de l’information. Il rend la vie impossible à ceux qui nous rendent la vie impossible. Hélas, son action n’a aucune chance de dépasser les frontières de la côte Ouest. Jamais Dan Balsam ne fera taire les « Canadian Pharmacy » de Bombay. Et un jour ou l’autre, les textes de loi californiens évolueront, supprimant ainsi sa niche écologique et économique. Sur Internet, le Père Noël et le Chevalier Blanc n’existent que pour vendre des boissons et des lessives.

2 - Sandbox Adobe : sécurité limité ?
En voulant trop embrasser, écrit Stefan Krempl de H-Online, Adobe et son célèbre PDF pourraient bien ne jamais être sécurisés. Une réflexion faite à la suite d’une conférence tenue lors de la dernière 27C3 de Berlin par Julia Wolf de FireEye. Un fichier PDF, donne-t-elle comme exemple, pourrait très bien contenir un scanner de bases de données qui pourrait être activé lorsque ce « document-piège » serait expédié sur une imprimante réseau. Les méthodes d’interprétation d’un même document peuvent afficher des contenus différents selon le système d’exploitation hôte. En résumé, c’est la vision même d’un format pdf « conteneur » d’un peu tout ce que l’on veut qui fait de ce format quelque chose d’impossible à protéger. Car le contenu peut être vulnérable posséder ses propres failles, ou plus simplement, intégrer des fonctions dangereuses pour le système. JavaScript, XML, DRM etc. sont autant de contenus interprétés qui ont un pouvoir destructeur potentiel. Une grande partie de ces menaces devraient être écartées grâce à la sandbox récemment intégrée par l’éditeur. Un bac à sable qui devrait circonscrire le périmètre d’exécution des scripts dangereux. Mais tout comme des DEP et ASLR pourtant réputés inviolables, la zone d’exécution restreinte d’Adobe pourrait bien, elle aussi, s’avérer imparfaite.

Pour approfondir sur Protection du terminal et EDR