Spécial sécurité : les réseaux sociaux les plus populaires au ban de la sécurité

Aujourd'hui, nos confrères de CNIS, magazine dédié à la sécurité des systèmes d'information, détaillent un classement qui met à mal les pratiques sécuritaire de Twitter et FaceBook, les deux principaux sociaux sociaux.

Sommaire
1 - Facebook, Twitter, Worldpress, bonnets d’âne de la sécurité
2 - Des origines génétiques d’Hadopi
3 - Internet plie sous le poids de la Chine
4 - Trous en série chez Apple

1 - Facebook, Twitter, Worldpress, bonnets d’âne de la sécurité
Georges Ou, de Digital Society, s’est livré à un petit test sécurité des différents services « Web 2.0 » les plus en vogue. De Flicker à Yahoo en passant par eBay, Amazon ou Wordpress, Ou s’est notamment intéressé aux possibilités de détournement de session comme à celles d’usurpation totale de crédence. Et le résultat n’est pas franchement encourageant. Dans bien des cas, le « Sidejacking » (détournement de session par vol de cookies) est possible, alors que ce genre d’attaque est connu depuis des lustres et laissé à la portée d’un enfant de 10 ans. Rares sont les services, tels Gmail, eBay ou Wordpress sous SSL, qui décrochent une bonne note. Wordpress utilisé sans SSL, Twitter, Facebook arrivent, quant à eux, bons derniers du classement et doivent donc être considérés comme dangereux à utiliser. En ce qui concerne Yahoo Mail et Microsoft Hotmail, ils doivent être employés avec prudence (voire pas du tout), certains défauts d’architecture remontant pourtant à plus de trois ans.

Pour compléter le tableau, à fins de référence, l’auteur a effectué un rapide survol des protocoles d’échange les plus utilisés : Pop3, smtp, imap avec ou sans tunnel, ainsi que FTP en version originale ou améliorée SSL/TLS, le tout associé à une note de « fragilité » d’autant plus mauvaise que le protocole est « vintage ». Un rappel nécessaire car beaucoup oublie que c’est souvent dans ces vieux pots que se mitonnent les meilleurs soupes de propagation virale.

Cet article est à mettre entre toutes les mains. Si son entrée en matière peut paraître réservée aux habitués des techniques de protection, Sa suite explique en termes simples ce qu’est un détournement de session, une usurpation de compte, une authentification SSL etc. Article à imprimer, à traduire et à encadrer, en ces temps de louanges extatiques chantées à la plus grande gloire du Web 2.0, des services externalisés et des applications cloudifiées.

2 -Des origines génétiques d’Hadopi
En février 1934, Eugène Aisberg, père fondateur de la presse technique Française, lançait une revue qui s’intitulait Toute la Radio, titre qui devint par la suite Toute l’Electronique, alias « TLE » pour les intimes. Premier numéro précieusement conservé par Monsieur Pascal Chour.

A la page 1 (en chiffres arabes, premier tiers de la publication), l’on trouve un éditorial signé Paul Dermé, titré « Pas un sou ! ». Edito qui vitupère contre les demandes insistantes de l’industrie du divertissement, des variétés et du spectacle, laquelle exigeait le versement d’une partie de la « taxe radio » (redevance) en dédommagement de la concurrence déloyale causée par les nouvelles technologies (la TSF). « La radio porte aux théâtres dans les provinces un coup des plus dangereux, du fait que les spectacles entiers radiodiffusés retiennent inévitablement chez eux les quelques amateurs encore fidèles de l’Art Lyrique » peut-on lire page 2. Déjà, la dématérialisation de l’œuvre et sa duplication auprès de plusieurs milliers d’usagers (fortunés) était un argument fort des « majors » du moment.

Outre la subvention de « préservation concurrentielle » prélevée sur les deniers des usagers, les défenseurs du spectacle traditionnel avaient également inventé Le « filtrage géolocalisé » que n’aurait pas du tout renié certains conseillers ministériels : « Un sénateur, ancien Ministre de l’Education Nationale, M.Mario Roustan, a promis, lui, au Directeur du Grand Théâtre de Bordeaux de demander au gouvernement d’empêcher que les transmissions de l’Opéra soient diffusées par [l’émetteur] Bordeaux-Lafayette ». Quelques hommes politiques et conseillers clairvoyants s’opposent toutefois à cette forme de lobbying : « M. Mistler, vient déclarer M. Georges Monnet à Excelsior, a raison de penser que le public de la radio doit être satisfait pour lui-même, et non en fonction des services qu’il peut rendre aux théâtres en difficulté… Les 1 500 000 auditeurs (sic) de la TSF ne méritent pas d’être sacrifiés aux abonnés de l’Opéra ou de l’Opéra-Comique ».

Et Paul Dermé de conclure « Les sans-filistes sont unanimes sur ce mot d’ordre : « Pas un sou ! » à opposer à tous ceux qui se soucient fort peu de la radio, mais qui s’intéressent beaucoup à ses écus ». Ni licence globale, ni subvention de mutation, ni prélèvement à la source… la radio, puis la télévision, pourtant longtemps accusées d’avoir trucidé le théâtre, le cinéma, les concerts, les auteurs, ont ainsi survécu grâce à l’intégrité d’hommes qui ont immédiatement compris qu’une technologie n’en remplaçait jamais une autre totalement …

3 -Internet plie sous le poids de la Chine
18 minutes durant, en avril dernier, près de 15 % du trafic Internet US aurait été détourné par China Telecom, nous apprend Fox News. Une information qui ne devait être révélée qu’à la fin de cette année par un rapport destiné aux membres du Congrès Américain et rédigé par une commission chargée d’examiner la sécurité et les échanges économiques Chine-USA.

Ce détournement était-il voulu ? la chose est loin d’être établie. Mais Fox News, groupe de presse traditionnellement conservateur, insiste sur les risques encourus et les dangers d’un tel accident : les sites du gouvernement, des armées, du Secrétaire de la Défense, du Noaa, ou d’entreprises de première importance comme Dell, Yahoo, IBM ou Microsoft ont fait les frais de ce routage pour le moins étrange. Comme on ne prête qu’aux riches, et que depuis ces dernières années, les cyber-attaques semblant provenir de Chine se succèdent avec une régularité certaine, cette techno-péripétie alourdit le climat de suspicion qui teinte relativement souvent les articles de Fox traitant des relations internationales. Et d’utiliser, en guise de conclusion, une quasi-lapalissade émise par un gourou technique de McAfee « Ce type d’attaque (sic) montre qu’il existe une vulnérabilité dans le système d’Internet, même si la période durant laquelle une personne peut détourner [le trafic] est très brève ».

Cette question relative à la véritable « neutralité » du Net et à la mainmise, tant administrative que technique des Etats-Unis sur le réseau de réseaux, revient régulièrement dans les discussions des experts Français, discussion qui remonte probablement aux premiers balbutiements de Renater à l’aube des années 80. En ce temps-là, elles étaient courantes, les disparitions d’Internet durant plusieurs heures, sous prétexte qu’une mauvaise bande avait été utilisée par Network Solutions lors de la maintenance d’un tld « .com ». Ce détournement (accidentel ou non) de l’Internet nord-américain par la Chine prouve que, durant quelques minutes, les USA ont perdu un peu plus que le contrôle de leurs tables de routage. Ils ont également perdu l’illusion d’un contrôle total et absolu sur leur royaume IP, les plaçant soudainement et pendant près de 18 minutes, au même niveau que tous les « autres ».

4 -Trous en série chez Apple
Le dernier lot de rustines émis par Apple colmate près de 130 vulnérabilités répertoriées CVE, dont 55 failles, pour la plupart déjà connues, spécifiques à Flash Player. Au total, près de 240 Mo de bouchons s’appliquant aux éditions 10.5 et 10.6 du noyau, version station ou serveur. Quelques forums d’utilisateurs témoignent de difficultés techniques à propos d’une mise à jour de PGP qui aurait pour conséquence un blocage de l’ordinateur lorsque la totalité du disque est chiffrée.

Sunbelt, au fil de son blog, signale que cette avalanche de failles Flash a eu pour conséquence une recrudescence de faux correctifs.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close