Spécial sécurité : faille, condamnation, accusation et mensonge
Depuis le début du mois d’août, LeMagIT ouvre ses colonnes à CNIS Mag, magazine sur la sécurité des systèmes d’information. Dans cette édition, nos confrères reviennent sur la dernière faille de Gmail, la condamnation d'e-Gold, l'accusation de complicité de piratage des FAI australiens et les logiciels payants faussement gratuits.
-1- XSS via Gmail : un remake attendu
-3- Les ISP des antipodes sont tous retournés
-4- Après les scarewares, les « faux gratuits » payants
1) XSS via Gmail : un remake attendu
« Un de plus » se contente d’écrire l’inventeur du genre, pdp, sur Gnu Citizen. Et c’est l’équipe de Geek Condition qui a été la première à avoir révélé l’affaire, tandis que Read Write Web dressait un rapide historique des failles Gmail conduisant à de telles vulnérabilités. A l’origine de cette découverte, la mésaventure de MakeUseOf.com, dont le nom de domaine a été kidnappé par un black hat. Lequel, en piratant l’accès Gmail de la victime, est tombé sur un courriel de son registrar habituel, courriel contenant les crédences d’accès administratives. Il semble que MakeUseOf soit loin d’être la seule victime de cette méthode.
L’usage d’une messagerie publique à des fins administratives en général et de Gmail en particulier est évidemment déconseillé. A plus forte raison lorsque ce même compte est également déclaré sur un service de paiement en ligne, tel Paypal.
3 ans de probation, 300 heures de travaux d’intérêt général… les patrons de E-Gold ont été relaxés. Cette entreprise est réputée pour sa relative cécité vis à vis des opérations de blanchiment d’argent sale et ayant directement trempé dans des affaires de pédopornographie. L’E-Commerce Journal précise tout de même que le CEO risquait à l’origine 20 ans de privation de liberté et 500 000 dollars d’amende. Il n’aura à s’acquitter que de 200 $ de dommages. L’entreprise elle-même a été taxée de près de 300 000 $, alors qu’elle risquait une imposition de 3,7 millions de dollars qui, de toute manière, n’étaient pas dans les caisses.
Cette clémence aurait été le résultat d’une « collaboration volontaire des dirigeants d’E-Gold avec les autorités » luttant contre les activités de certains de leurs clients. Ces organismes de payement transfrontière sont, encore et toujours, des vecteurs de trafic très efficaces sur les marchés des ventes d’identités. C’est également un système facilitant l’anonymisation des usagers. On comprend donc assez mal la clémence extrême des tribunaux américains.
3) Les ISP des antipodes sont tous retournés
Les fournisseurs d’accès Australiens sont des victimes incomprises. Poursuivis par les industriels de l’édition phonographique et cinématographique, pour complicité de piratage, ils protestent, nous explique The Australian IT, contre l’iniquité de cette accusation, et refusent énergiquement d’endosser la responsabilité de leurs abonnés. Difficile combat que celui de ces pauvres opérateurs qui, des années durant, ont chanté les mérites des « téléchargements illimités » offerts par l’Internet haut débit. Que ce soit en Australie ou en France d’ailleurs. Cette pratique incitative au piratage (qu’une banque Française persiste à vanter encore sur les écrans de télévision) est pourtant une évolution logique des habitudes sociétales. Face à une marchandisation croissante de ce qui relevait autrefois du domaine artistique, il est devenu de plus en plus difficile de faire admettre à la clientèle que la valeur demandée reflétait la contrepartie qualitative des « produits » proposés. On ne pirate pas Bach ou Mozart (ou alors très faiblement), on ne télécharge ni les concerts Colonne ni l’intégrale de Boby Lapointe. Le public, quoi qu’en disent les marchands de chansonnettes formatées, est tout à fait capable de faire la différence entre quelque chose de faible qualité qui se consomme distraitement et une œuvre qui constituera plus tard les fondement d’un thésaurus culturel familial. Surtout si l’intégrale de Shakira est commercialisée au même prix que celle de Buxtehude. Le problème du piratage pourrait-il alors se résumer à une simple question de tarification justifiée du contenu ?
4) Après les scarewares, les « faux gratuits » payants
Poster une sorte de publicité déguisée dans les commentaires du blog F-Secure n’était probablement pas la meilleure des choses à faire. Cette bévue, commise par un auteur d’antivirus de contrebande, a immédiatement attiré l’attention de l’équipe : phrases laudatives, satisfaction quasi-extatique, une telle euphorie ne peut être que suspecte. D’autant plus suspecte que ce programme miracle répond au doux nom de « search and destroy ». Google lui-même ne parvient pas à faire la différence d’avec l’original, celui de Spybot, logiciel gratuit d’une qualité indiscutable et qui se nomme « Search&Destroy ». L’esperluette fait toute la différence. Le programme étant largement répandu en France, une certaine prudence est donc de mise.