Dans une société de la connaissance, à l’ère numérique, les systèmes informatiques sont des éléments présentant un intérêt particulièrement stratégique. Il n’est donc pas étonnant que des personnes qui ne les maitrisent pas, tentent de les prendre pour cible.
Mi mai, Reflets publiait un article sur TMG, le prestataire des ayants-droits, chargé de surveiller les réseaux Peer to Peer. L'un de leurs serveurs de test contenait, outre des données personnelles (des adresses IP) d'internautes, des programmes informatiques permettant à TMG de flasher les téléchargeurs pédo-nazi qui tuent des artistes en les décapitant à coup de lecteur DVD. Ni une ni deux, la CNIL annonçait un contrôle surprise chez TMG. Elle était accompagnée de l'Hadopi.
Vous n'aurez pas manqué de remarquer qu'Internet est un Far-West numérique, une zone de non droit dans laquelle fleurissent tous les trafics. Nos sociétés numériques, en ce point ressemblent à s'y méprendre à notre société tout court... mais en moins civilisé à en croire certains. Pourquoi en moins civilisé ? Tout d'abord parce que l'internaute est très mal poli. Quand il visite un site, il ne laisse généralement pas sa carte de visite au serveur web.
Après cinquante jours de buzz médiatique sans précédent dans le genre, LulzSec s'est officiellement sabordé ce week-end. Finies donc les tranches de rire provoquées par des fuites massives de données personnelles, fini les sites piratés, finies les guerres lancées par des groupes de hackers opposés à leur campagne "Antisec". Fini. Vraiment ? Pour ceux qui ont suivi, il faut souvent lire entre les lignes des communiqués officiels du groupe.
Depuis toujours, Google permet de faire des recherche de fichiers par nom d'extension. La syntaxe est simple mais finalement peu connue : "filetype:<ext>". Ceux qui sont familiers de ce type de recherches ont forcément remarqué que tous les fichiers n'étaient pas traités de la même façon. Lesquels et pourquoi ? Des fichiers suspects a priori Les fichiers audio et vidéo ne sont pas proposés par Google. Vérifiez : une recherche sur "filetype:mp3" renvoie moins de 10 000 résultats.
Publicité éhontée et auto-promo indigne, Reflets vous signale que Pas Sages En seine démarre ce matin même à 10h30 à la Cantine à Paris, Passage des Panoramas, dans le 2e arrondissement, métro Bourse ou Grands Boulevards. Il y a de tout et pour tous les goûts dans cette rencontre de hackers, d'activistes, de passionnés d'Internet en général. Des conférences de tous niveaux. C'est aussi un lieu de rencontres. N'hésitez pas à venir y faire un tour, l'équipe de Reflets y traînera ses guêtres.
On est pas vendredi... je sais mais quand Kitetoa m'offre une occasion de troller, allez savoir pourquoi, c''est plus fort que moi, je me sens obligé de sauter dessus. Le troll commence tout gentiment par le titre de son dernier article. Ce dernier s'appuie sur une dichotomie que j'ai de plus en plus de mal à valider : celle d'un monde réel que l'on opposerait à un monde virtuel.
Il y a presque deux ans, j'avais évoqué un peu par dessus la jambe l'usage de FOAF (Friend of a Friend), couplé à SSL. Le sujet était un peu crétin puisqu'il se cantonnait à une solution nerdy pour contourner HADOPI et se créer un réseau de confiance à des fins de partage. Aujourd'hui, avec la pénurie d'IPV4 et l'arrivée d'IPV6, ce sont également nos objets de tous les jours qui seront peu à peu connectés à Internet. On appelle ça l'Internet des objets.
Exploiter les peurs des entreprises concernant HADOPI, c'est assez maladroit. Vous connaissez la passion que nous vouons, chez reflets.info, pour les HADOPIPOHARDWARES et les HADOPIPOWARES en tous genres. Notre gagnant de la semaine est, une fois de plus, Zyxel. Le fabricant prétend que son nouveau routeur Wifi, le ZYAIR N-4100 V2, est "compatible HADOPI", c'est du moins ce qu'écrit noir sur blanc le site Matériel.
Index Education, l'éditeur du logiciel PRONOTE que nous avions récemment épinglé a publié hier une mise à jour de sécurité pour son logiciel. La réactivité d'Index Education est à porter à son crédit, la vulnérabilité, qui était bien réelle, a été corrigée le lendemain de notre publication et diffusée en un temps tout à fait honorable.
Il y a quelques heures, la Quadrature du Net lançait l'excellentissime paspeurdhadopi.fr. Hier, sur les coups de 16h, un floodeur commence à inonder l'application web d'insultes à mon encontre et de quelques autres. Mais visiblement, à moi, il m'en veut vachement. Le flood continue encore aujourd'hui... 24h non stop, on est carrément dans l'atteinte au STAD.
Vous êtes nombreux à nous demander où est passé le billet sur Pronote, évoquant une faille dans ce logiciel. Nous avons décidé de le passer en mode non visible jusqu'à Lundi. Selon nos informations un correctif pour Pronote sera disponible lundi prochain, ce qui est un délai assez court. La rédaction de Reflets est tout de même un peu intriguée. Nous sommes passés par un canal administratif pour prévenir de la faille et cette alerte ne semble pas être remontée jusqu'à l'éditeur de Pronote.
Aujourd'hui, la Haute Autorité issue d'une loi sensée protéger la création (mais pas les artistes ou les nouveaux modèles de distribution) qui est en "TRES TRES TRES grand danger à cause d'Internet... pas seulement la musique, mais TOUTES les formes de création », présentait son label qui devrait changer le monde et vous rendre responsables. Il se nomme PUR, pour Promotion des Usages Responsables.
Décidément, les mails de la désormais tristement célèbre société de "sécurité informatique" HBGary nous réservent encore de belles surprises. A force de fouiller dans les Internet à la recherche d'informations amusantes sur le mystérieux Ultrasurf, Reflets est tombé sur des échanges entre Qosmos, un des leaders français du Deep Packet Inspection et le patron de HBGary. Rien à voir avec Ultrasurf, mais très intéressant tout de même.
Nos investigations d'hier sur la société Ultrareach et le logiciel qu'elle édite, Ultrasurf, nous ont ouvert des portes pour le moins curieuses. D'origine américaine, la société édite une solution initialement développée, sur le papier, à destination des dissidents chinois. Une entreprise américaine très attachée aux libertés des dissidents politiques chinois ? Oui, pourquoi pas, mais ça ne colle pas vraiment avec le peu d'éléments que nous avons trouvé.
SONY va passer encore un long et douloureux weekend, la saga continue, c'est maintenant au tour de Sony Europe d'offrir des données personnelles. Il y en a certes beaucoup moins que pour le Playstation Network ou l'intrusion sur Sonypictures.com d'avant hier qui a révélée un million de comptes utilisateurs. Cette fois c'est un "petit" score de 120 profiles qui a été dumpé dans la base de données de Sony Europe.
Visiblement, LulzSec a remis le couvert puisqu'il y a quelques minutes, est apparu sur Pastebin le fichier de configuration qui serait celui du serveur Apache de Nintendo. C'est l'opération #MEGADRIVE Décidément, les sociétés éditant des jeux video (et autres trucs assimilés à de la "culture") sont dans une situation pathétique sur Internet. Peut-être est-il temps de couper tous les fils et de reconstruire ?
Le dernier piratage de Sony renvoie à des années en arrière. Les plus grosses entreprises, celles qui ont le plus de moyens financiers à leur disposition pour mettre en place une infrastructure informatique sécurisée, ne le font pas. J’observe avec amusement les journalistes se réveiller en 2011, apprendre l'IRC (via le Web, faut pas pousser) et publier papiers sur papiers expliquant que définitivement, Internet, ce n’est pas un truc sûr.
Le leak d'un million de comptes extraits de la base de données du site sonypictures.com expose quelques comptes de l'armée et surtout plusieurs dizaines de comptes gouvernementaux. On peut donc parler d'un leak majeur qui risque de causer encore quelque dommages supplémentaires dans certaines administrations américaines.
C'est après un teasing de plusieurs heures que le site Lulzsecurity.com a finalement publié une nouvelle grosse fuite de données émanant de chez Sony. 22H15 : un tweet annonce cette page sur Pastebin, le kernel linux de la machine compromise est un 2.6.18, datant de mars 2010... il semble donc que Sony n'ait pas encore tiré les enseignements des précédents hacks. Ce sont cette fois ci 1 000 000 de clients de Sony dont les données personnelles ont été compromises via le site sonypictures.