Spécial sécurité : Failles, Cisco 1 - Oracle 59
Aujourd'hui, nos confrères de CNIS, magazine spécialisé dans la sécurité des systèmes d'information, s'attardent sur les failles auxquels doivent faire face les administrateurs réseau et de bases de données, avec leurs fournisseurs Cisco et Oracle. Ils relèvent par ailleurs l'ouverture d'un compte Twitter par le Cert Société Générale. Et de souligner que s’il existe déjà des Cert twiteurs, c’est probablement là le premier Cert bancaire à s’ouvrir à cette forme de communication. Au programme : alertes, informations diverses allant de la recherche pure au signalement de sources d’information, etc.
Sommaire
1 - Failles : Cisco 1, Oracle 59
2 - Brésil : Pirater librement les œuvres du domaine public
3 - Google ne chassera plus le WiFi, promis !
4 - @CertSG, le gazouillis de la sécurité bancaire
5 - Panem, circenses Kronenborum et porcus*
1 - Failles : Cisco 1, Oracle 59
En attendant le prochain « patch Tuesday » et ses quatre bugs, dont le bouchon Ormandy, les administrateurs désœuvrés (s’il en existe) peuvent s’occuper en colmatant une vulnérabilité affectant les commutateurs « Industrial Ethernet 3000 » (IE 3000). Il s’agit en fait d’un défaut touchant le protocole snmp, et plus exactement deux « communautés » ayant pour nom « public » et « private » qui sont codées en dur, et par conséquent « permanentes ». Ce défaut n’affecte que les IOS 12.2(52)SE et 12.2(52)SE1. Une mesure de contournement est proposée, consistant à désactiver lesdites communautés à chaque démarrage de l’appareil, opération pouvant être automatisée via une politique de sécurité.
Les administrateurs de base de données, en revanche, se préparent quelques nuits blanches en raison de la préannonce du prochain lot Oracle : 59 failles, dont 21 touchant les produits Solaris et 13 bouchons pour la base Oracle. Quelques rares détails sont fournis dans le bulletin préparatoire de cette semaine.
2 - Brésil : Pirater librement les œuvres du domaine public
Relevé par Boing Boing, cette information relative à une loi récemment adoptée au Brésil, et qui rendrait légal le fait de faire « sauter » une protection DRM si celle-ci « protège » une œuvre tombée dans le domaine public. Si ce genre de mesure a peu de chance de toucher les secteurs de la musique (car l’interprète est un ayant-droit) ou du septième art (pour d’évidents raisons de jeunesse technologique), elle pourrait bien chambouler le monde de l’édition. Une telle disposition supprime en effet les rentes de situation que s’octroient les éditeurs des grands classiques de la littérature mondiale, qui accaparent numériquement des titres qui ne leurs appartiennent en rien. Sans frais de papier et d’impression, sans frais de routage non plus, la diffusion de ce thésaurus d’œuvres anciennes ne peut justifier le payement du moindre impôt de la part d’une entreprise privée.
Cela ne va certainement pas plaire aux Apple, Amazon et autres industriels du livre électronique, qui tentent, entre autres stratégies, d’imposer leurs « solutions » auprès des établissements scolaires afin de voir se perpétuer la rente de situation constituée par la vente des œuvres classiques. En dépénalisant le « crack » des DRM apposés sur les œuvres du domaine public, le Brésil milite également en faveur d’une diffusion gratuite des véritables œuvres artistiques.
Rappelons qu’en France, outre les scan élitistes de Gallica, il existe quelques initiatives de qualité, telle la totalité de l’édition Furne de Balzac, en téléchargement gratuit sur le site de la ville de Paris, celle de Dumas Père *, soit au format html soit sous forme de fichiers pdf... Sans oublier le projet Gutenberg la très internationale initiative d’un universitaire américain.
*Ndlc Note de la correctrice : celui qui, dans la tradition de Luc Etienne, « montre à nos gens l’heure au trou ».
3 - Google ne chassera plus le WiFi, promis !
Dans une note publiée sur un blog consacré aux affaires Européennes, Google jure ses grands dieux qu’après avoir suspendu la totalité de ses opérations de cartographie terrestre à l’aide des « GoogleCars », toute la flotte s’est vue retirer le moindre appareil de sniffing WiFi, que les données collectées jusqu’à présent ont été expurgées des bases, et que la grande aventure Google Street View reprendra timidement dans 4 pays : Irlande, Norvège, Suède et … Afrique du Sud. Ce qui dénote d’ailleurs d’une vision très étendue des limites de l’Europe. Cette cartographie sera enrichie, grâce à une série d’outils de télémesure laser, d’images 3D
L’affaire du « WiFi snooping » continue toutefois à retourner la planète, et certains hommes politiques, parfois ceux-là même qui prônent ou approuvent des lois sécuritaires quasi-Bigbrotheristes, continuent de vitupérer contre cette « inadmissible opération de flicage perpétrée par Google ». Le très conciliant « Privacy Commissionner » Australien, nous rapportent nos confrères d’El Reg, vont même jusqu’à qualifier cet acte de totalement illégal. L’Australie dont les lois autorisent les écoutes les plus permissives à l’encontre des internautes, sous les prétextes les plus divers, allant du terrorisme à la chasse aux cyber-pédophiles, en passant par la défense des producteurs de « musique industrielle ». Google, face à une telle attaque officielle, tend son rouge tablier et présente ses plus plates excuses….
4 - @CertSG, le gazouillis de la sécurité bancaire
Le Cert Société Générale vient d’ouvrir un compte Twitter à follower sur>@CertSG . S’il existe déjà des Cert twiteurs, c’est probablement là le premier Cert bancaire à s’ouvrir à cette forme de communication. L’on y trouvera des alertes, des informations diverses allant de la recherche pure au signalement de sources d’information, en passant pas les réactions à l’actualité de la sécurité et les avis d’experts de terrain. De la quintessence d’information car, contrairement à ce petit billet, tout sera limité aux fatidiques 140 caractères.
5 - Panem, circenses Kronenborum et porcus*
« Comparativement à 2006, la proportion de spam puisant ses accroches dans le vivier d’événements liés à la coupe du monde de football a été multiplié par 9 en 2010 » nous apprend le tout dernier rapport mensuel sur le spam publié par Symantec. Les supporters de l’équipe Hollandaise ne sont donc pas les seuls à éructer des « onagagné » houblonnés sur l’air des lampions.
A noter une lente mais satisfaisante progression de la France à la 7ème place des pays à l’origine du spam (4% du volume, place inchangée), à la 5ème place des leurres de phishing sur le territoire (4%, progression de 1%) et à la 5ème place (3%, inchangé) des pays hébergeurs de sites de phishing.
Onvagagné ! Beuglent également les auteurs du phishing « erreur de facturation de votre facture Internet Free » qui semble inonder ces jours-ci les boîtes à lettres Françaises. La rédaction de CNIS Mag, après une rapide recherche Whois, s’est rendue compte que bon nombre de ces sites de phishing sont créés avec la passivité complice des principaux registrars tant Français qu’étrangers, et de leurs proches cousins les hébergeurs : numéros de téléphone de « contact administratif » débutant pas 06 (et pris au hasard), adresses fantaisistes qu’un enfant de 5 ans pourrait détecter (12345 rzue de qofnq oziur, paris), emails de contact tous aussi abracadabrants... Là, il semblerait que poursuivre des adolescents téléchargeurs soit plus rentable que de chasser de véritables escrocs : les premiers sont plus facilement détectés, les seconds risquent de ne pas franchement résider en France, ce qui fait de la paperasse.
*NdlT Note de la traductrice : du pain, des jeux, de la cervoise (tiède) et du sanglier (rôti) reconstitué vendu en conserve, plus connu sous le nom de Spamae.