Tout a commencé par un article du fabuleux site CNIS-mag par wonderful Marc Olanié. Je l'ai signalé sur le forum de la chaine Nolife. Il se trouve juste que dans le feu de la discussion, j'ai donné un argumentaire assez fouillé. Pour la peine, il valait bien d'être reproduit sur mon blog.
L'éditeur d'antivirus McAfee a financé la production de petits documentaires sur la face noire du hacking. Du vol d'identité par scaming, wardriving, espioniciels, racketiciels, et autres sales joyeusetés, le tout présenté en vidéos de qualité professionnelles : H*Commerce, le business de vous voler. Hélas, uniquement en Anglais sans sous-titres ; pas trop un problème pour moi, mais ces films de sensibilisation mériteraient d'être mieux diffusés.
Bon, évidemment, McAfee joue à fond l'alarmisme, car ces documentaires d'excellentes factures restent des outils de propagande. Pardon, de publicité. Et quelle meilleure publicité que la peur ? Et étant donné que j'ai peu de chances d'être client chez eux, je pourrais m'en moquer. Mais en fait, non.
Je suis utilisateur quotidien de Linux. Pour chez moi, pour mon travail, pour mes clients.
Toute information est bonne à connaître : Linux a des qualités par rapport à un autre système que je ne nommerais pas qui font qu'il est intrinsèquement mieux sécurisé. C'est à la fois vrai et à la fois un mythe :
Personne n'est jamais à l'abri d'un problème de sécurité. Par exemple des plugins Flash, Java, PDF, VLC, Mplayer, javascript ou autre ne demandent de votre part que de naviguer sur un site compromis pour vous compter parmi les victimes. Il suffit qu'un service (web, base de données, mail, serveur de documents, relay chat) de votre serveur aie une défaillance (erreur de conception par exemple de Joomla, permissions trop grandes sur certains comptes dévolus à des services particuliers, manque de vérification de points d'entrée, mots de passes trop faibles) pour que qu'il soit compromis.
Sans compter que la plus grosse source de failles dans un PC, c'est le dispositif entre la chaise et le clavier. Celui qui finalement va acheter l'article promu dans ce courriel non-sollicité, ce qui rendra toute campagne de spam financièrement intéressante.
J'ai vécu ma première compromission à cause d'un défaut de AwStats sur ma machine perso. J'ai vu en temps réel (je lis mes logs Apache en continu) ma machine se faire rootkiter. C'était en 2003, j'en dors encore mal la nuit.
Croyez-moi, ça rend humble.
Tu checkes et recheckes ton code de multiples fois, tu changes tes mots de passe tous les mois, et tu lis les bulletins de sécurité, même ceux concernant des logiciels “concurrents” de ceux que tu utilises. Car des fois, les trous découverts chez d'autres s'appliquent aussi chez toi ou ton ancien code. J'ai récemment fait la mise-à-jour de tous les sites de mes clients à cause d'une stupide vulnérabilité potentielle. Stupide car personne ne peut se targuer de connaître les vulnérabilités de chaque standard, chaque couche système, chaque protocole de communication. L'Unicode recèle des pièges, les requêtes HTTP comporte des failles structurelles (tordues, mais exploitables), le protocole IP lui-même ne garanti pas l'origine de ses paquets (hein, Madame Albanel).
Tout le monde peut potentiellement être victime de failles. Et certains les exploitent activement. Par exemple le jailbreaking d'un iPhone repose sur l'exploitation de faille. Idem pour les logiciels, les CD, les matériels qui permettent de dézoner une console ou de lui faire lire un DVD gravé. Sauf que certaines failles sont “sympathiques” pour le grand public, d'autres lui sont carrément dangereuses. Par exemple, les terminaux de paiement par CB qui communiquent en WiFi sont tous basés sur des systèmes en WEP... une paille à pirater, et donc récupérer des numéros de CB. Ou encore, très peu de sites marchands ne vérifie le paiement effectif via le système bancaire Paybox/Crédit Agricole car leur documentation est fausse, demande une grosse relecture, donc les sites marchands utilisant une solution PayBox sans vérifier peuvent se faire voler de la marchandise, livrant leur marchandise en croyant à un paiement légitime.
Et c'est là que j'ai envie de dire « ça manque d'une chaine de télévision qui fasse de la vraie pédagogie informatique à l'attention des geeks ». Car tout un chacun a le confort intellectuel de se croire suffisamment “impiratable” or rien n'est plus faux.
Ce business de l'ombre existe, et le chiffre d'affaire de cette criminalité est tout simplement... énorme. Le potentiel de chaque victime ? son compte en banque, son montant de découvert possible, et les possibilités de financement auprès de chaque organisme susceptible de lui accorder un prêt. C'est absolument édifiant. Dans le premier tome de « Ushijima, l'usurier de l'ombre #1 », on découvre que l'exploitation de l'identité d'une personne est incroyablement “prometteuse”.
Et enfin, les moyens de cette grande criminalité donnent une motivation à certains génies de pondre des méthodes, mener des recherches ingénieuses, développer des technologies édifiantes, qu'il vaut toujours mieux comprendre qu'ignorer quand on développe, quand on administre un système, quand on utilise de manière éclairée un ordinateur.
Hurler au loup n'est pas très productif, mais se voiler la face n'a jamais amoindri le danger. Car si vis pacem, para bellum comme on dit en gavant les Oies du Capitole.
Cette série documentaire sera diffusé pendant plus d'un mois. C'est à guetter, et pour ceux qui connaissent mal leur mythologie, ils seront surpris d'apprendre que des grands noms officiels de la micro ont parfois titillé le côté obscur.
Il est fortement utile que le public soit formé, informé et instruit sur la sécurité informatique. Et rien ne me ferais plus plaisir que de voir Marc Olanié concevoir un journal télévisé ou une suite documentaire sur une chaîne de geeks. Au moins, on aura des chances de se marrer tout en ayant des sueurs froides.
3 réactions
1 De Snufkin - 26/05/2009, 10:11
Vraiment, Très intéressent ces documentaire, j'ai hâte que le 2eme épisode sort !! ... , ben justement il y a l'envoie spéciale de France 2 qui a traiter un sujet pareil il y a un mois je pense !!, en a vue même le QG de Kaspersky, .......Bref THX DAscrtich :) ..... la paranoïa c'est le nerf de guère de tout industrie a bute commerciale ... en la voie dans les produit alimentaire, l'armement, elle est appliqué partout dans le monde :s
2 De Solarus - 18/08/2009, 11:09
Content d'avoir été le grain de sable qui t'a poussé à écrire cet article :)
J'dis pas que Linux est infaillible , mais le risque de choper un rootkit est assez infime par rapport au risque de chopper un virus MS-32 :)
Et je dis surtout que les problèmes de fiabilité de l'interface chaise-clavier (aka l'utilisateur lamda) font les choux gras des éditeurs d'antivirus depuis 20 ans.
3 De flamingo - 10/07/2012, 18:06
J'aime beaucoup l'expression "interface chaise-clavier".
Je sais que, Linux ou autre, tout le monde peut être un jour une victime, mais j'ai une croyance, à savoir que les malfaisants prendront plutôt pour cible des systèmes propriétaires. (et, parmi ceux-ci, de préférence des systèmes hégémoniques).
Bravo pour le blog en général, et merci pour jQuery/SVG http://dascritch.net/post/2011/10/0...). Je suis friand de tels billets techniques clairement exposés. Pour tout dire, j'en espérais d'autres...