Spécial sécurité : Apple, j'auto-gaffe, nous autodafons, vous autodafé
Dans cette édition, nos confrères de CNIS, magazine spécialisé dans la sécurité des systèmes d'information, s'attardent sur Apple sur cette tendance du constructeur/éditeur de services à se poser, pour reprendre leurs termes, "en gardien de l'ordre moral, refusant au caricaturiste Mark Fiore la diffusion d'une appliquette iPhone baptisée NewsToon." Un épisode que la firme à la pomme aurait récemment qualifié d'erreur. Ils reviennent également sur la multitude de rustines diffusées dans le cadre du dernier "patch tuesday" en date de Microsoft.
Sommaire:
1 - Apple : j’auto-gaffe, nous autodafons, vous autodafé
2 - Le dur métier de colleur de rustines
1 - Apple : j’auto-gaffe, nous autodafons, vous autodafé
Apple, une fois de plus, se pose en gardien de l’ordre moral en refusant au caricaturiste américain Mark Fiore la diffusion d’une appliquette iPhone baptisée NewsToons. Prétexte : « ridicules public figures » et entrant dans la catégorie des contenus pouvant être considérés comme « obscene, pornographic, or defamatory » … Fiore est le premier homme de la presse en ligne à avoir remporté le prix Pulitzer, la plus haute distinction que peut obtenir un journaliste. Laura McGann, du Nieman Journalism Lab, a d’ailleurs du mal à ne pas laisser éclater son indignation en racontant comment la liberté de blâmer et de caricaturer est taxée de « non politiquement correct » par le premier constructeur mondial d’ordinateurs de couleur blanche.
Il y a de fortes chances que, devant les tollés de la presse américaine, Fiore revienne par la grande porte et soit enfin accepté par les Pères La Pudeur qui légifèrent sur le contenu de l’AppStore, et qu’au passage l’on voue aux gémonies un quelconque lampiste comme cela est déjà survenu par le passé.
Car ce n’est pas la première fois qu’Apple s’érige en censeur. Déjà, à la mi-mars, l’App Store censurait près de 5000 appliquettes sous prétexte qu’elles intégraient des contenus suggestifs. Après une semaine de campagne, la présidence de cette entreprise garante de la moralité a dû revenir sur sa décision, invoquant l’intervention un peu trop zélée d’une équipe de lampistes et jurant que de tels excès ne se reproduiraient plus. Fail, dit-on en langage sécuritaire.
Deux erreurs font-elle d’Apple un intégriste défenseur des idées de la « Bible Belt » ? Certes non. Mais après trois récidives ? L’on peut se demander si ces « regrettables erreurs » ne sont pas réellement l’expression d’une politique pudibonde imposée par les hautes sphères de Cupertino. Car si l’on fouille un peu dans les archives de l’entreprise, l’on retombe bien vite sur une autre interdiction, celle de l’application Eucalyptus, un simple lecteur d’eBooks, qui avait l’impudeur d’accepter les formats ouverts de la bibliothèque « open » du projet Gutemberg. Motif invoqué, une fois de plus, « inappropriate sexual content ». Car le contenu de Gutemberg, est essentiellement constitué d’œuvres classiques, c’est Madame Bovary, c’est le Kama Sutra, c’est la Religieuse de Diderot, c’est Alcool d’Apollinaire, ce sont Les Crimes de l’Amour de Sade… autant d’œuvres débordant de désirs, de sensualité, de chair, d’humanité. Une fois de plus, la pression populaire faisait reculer les Torquemada de la pensée puritaine, mais il s’en est fallu de peu.
Mais pour trois affaires remarquables, combien d’autres sont passées inaperçues ? Combien d’œuvres, de développements, de contenus se sont vus refuser par un comité de l’ordre moral auto-institué ? Ce lent prélude à une civilisation à la sauce Fahrenheit 451 ne semble pourtant évoquer aucun émoi auprès des grands médias Européens, encore sous le charme de la sortie de l’iPad* et de l’exceptionnelle ouverture d’esprit d’une société qui a accepté l’arrivée d’un navigateur alternatif sur sa plateforme iPhone. Seuls nos confrères États-Uniens continuent de se battre et de protester pour défendre une certaine idée de la culture et de ses origines plurielles.
NdlC, Note de la correctrice :sorte de tablette fortement inspirée du projet Origami de Microsoft… mais en plus « fermé ». Rien à voir avec un quelconque organisme de gestion de la région de Courbevoie
2 - Le dur métier de colleur de rustines
Après les 25 derniers bouchons Microsoft, la semaine des diffuseurs de correctifs a pris des allures de tour de France, séquence « montée du col de la Colombière ». Le MS-Virage une fois dépassé –appelle « le reposoir », le bien nommé- le peloton a attaqué la longue montée des patchs Oracle : 47 injections de ce de fameux « pot SGBD » au logo de l’éditeur. Un cocktail qui, faut-il le remarquer, intègre une belle proportion de bouchons Sun. Le même jour, les spectateurs pouvaient constater que les concurrents de l’équipe Cisco avaient encore de la ressource, et contre-attaquaient avec un problème ActiveX, immédiatement talonné par un maillot Apple, le dossard CVE-2010-1120 pour être précis, qui masquait une fonte forgée pouvant conduire à des droits d’exécution anormaux. Se sentant distancée, l’équipe Sun revient avec deux security fix qui passent presque inaperçus. Car à ce moment très précis, Adobe reprend du poil de ma bête, et l’on voit alors partir comme des fusées les failles CVE-2010-0190, CVE-2010-0191, CVE-2010-0192, CVE-2010-0193, CVE-2010-0194, CVE-2010-0195, CVE-2010-0196, CVE-2010-0197, CVE-2010-0198, CVE-2010-0199, CVE-2010-0201, CVE-2010-0202, CVE-2010-0203, CVE-2010-0204, CVE-2010-1241... inutile des compter, il y en a 15 au total. Le tout empaqueté dans un bulletin général de bonne tenue, garanti sans stéroïdes anabolisants.
Autour du peloton, les équipes médicales s’affairent. Les envoyés spéciaux de la chaine M86, posté à la buvette du col nous signalent que durant la nuit, le « bug-feature PDF de Didier Stevens »est passée du stade de « proof of concept » à celui d’attaque transportant de véritables morceaux de Zeus. Par le plus grand des hasards, une autre « faille de laboratoire », découverte, elle, par Tavis Ormandy s’est également transformée en véritable « exploit in the wild » comme disent les professionnels du cyclisme (discipline proche du Development Life Cycle viral). Ce serait AVG qui serait le premier tombé sur une preuve de cette exploitation. Le Sans a immédiatement sorti la Sécotine et, en l’absence de rustine effective, a derechef publié deux mesures de contournement pendant que le Team Oracle se demandait si les spectateurs allaient pouvoir se contenter d’une promesse de rectification dans les trois mois à venir. Mais, puisant dans ses ressources, le leader de l’équipe Oracle a pu fournir un impressionnant Java 6 Update 20.