Des pirates s'immiscent dans le débat sur le réchauffement climatique

Des pirates informatiques se sont infiltrés cette semaine dans les serveurs d'une université anglaise, et ont obtenu copie de milliers de courriers électroniques et de documents reliés aux travaux de chercheurs influents sur les changements climatiques.

Ils ont ensuite mis ces fichiers d'environ 61 MB à la disposition de tous les internautes par le biais d'un serveur situé en Russie. L'objectif implicite des pirates est d'exposer les manipulations statistiques auxquelles se seraient livrés les scientifiques afin d'exagérer la gravité de la situation actuelle.

Certains bloggeurs commencent déjà à utiliser des citations tirées de ces documents pour remettre en question les conclusions de ces chercheurs et la réalité du problème des changements climatiques, malgré la difficulté d'évaluer le contexte (ou même la véracité) des segments de phrase présentés comme révélateurs de cette malhonnêteté intellectuelle.

Google et les botnets

Un article du Register fait état du recours par des pirates informatiques contrôlant un réseau d'ordinateurs compromis (un botnet) à un service Google (App Engine) pour relayer leurs instructions à ces ordinateurs.

Les avantages selon des consultants en sécurité cités par le journaliste? Les prix sont bas, la disponibilité du service est inégalée, et les mécanismes de sécurité mis en place sont rétroactifs, ce qui signifie que les mesures de contrôle sont prises suite à une dénonciation plutôt qu'appliquées systématiquement à toutes les applications utilisant le service. Par ailleurs, Google est réputée pour protéger jalousement les données de ses clients, ce qui est une forme de prime de sécurité accordée aux utilisateurs malveillants. D'ailleurs, il est significatif que la détection de ce problème ait été faite par une entreprise spécialisée dans la protection des réseaux informatiques plutôt que par Google elle-même.

Le logiciel d'analyse forensique de Microsoft disponible en téléchargement

Afin d'aider les policiers à analyser le contenu des ordinateurs des délinquants sur lesquels ils enquêtent, Microsoft met depuis environ un an une suite de 150 applications informatiques à la disposition des forces de l'ordre de divers pays et d'Interpol. Cet outil, désigné par l'acronyme COFEE (Computer Online Forensic Evidence Extractor) facilite le recueil de la preuve et possède l'avantage de pouvoir être utilisé par des non-experts, ainsi que de pouvoir fonctionner sur des machines "actives", c'est à dire sous tension (le fait de les éteindre avant de les saisir pouvant faire disparaître certains éléments de preuve).

La semaine dernière, cet outil qui était exclusivement distribué aux organisations policières de manière assez restrictive a été rendu public par un utilisateur anonyme sur le site privé What.cd. Même si le site l'a depuis retiré, la distribution continue de se faire de manière virale sur d'autres sites d'échange de fichiers.

À n'en pas douter, de nombreux délinquants informatiques seront intéressés par ces application, qu'il s'agisse de les utiliser dans le cadre de leurs propres activités, de développer des mécanismes de contre-mesure, ou bien encore d'y intégrer des virus afin d'infecter les machines d'individus intéressés par ce type de logiciels.

Microsoft minimise la portée de cet événement en affirmant que les applications contenues dans COFEE étaient déjà bien connues et disponibles en dehors de la sphère policière, et que le principal intérêt de cet outil réside dans son intégration et sa facilité d'usage.

Campagne de sensibilisation contre le vol d'identité au Québec

Cette semaine, l'Institut de Sécurité de l'Information du Québec (ISIQ) lance sa troisième campagne de sensibilisation sur la protection de l'identité sur Internet. Celle-ci comprend un certain nombres d'activités et de contenus afin d'aider les Québécois à réduire les risques de vol d'identité auxquels ils sont exposés. C'est très bien fait, et on a même trouvé un porte parole de renom pour aider à faire passer le message.

Cependant, après trois ans, une question légitime serait celle de l'efficacité d'une telle campagne. On ne peut pas forcément s'attendre à des effets directs comme la baisse de la victimisation, mais peut-on au moins mesurer des changements dans les comportements des internautes qui permettraient d'affirmer que ces campagnes atteignent leurs objectifs? Un article publié sur le site Canoë soulignait la paradoxe apparent entre une campagne récurrente et des chiffres de la criminalité présentés comme étant en augmentation.

À vrai dire, on ne sait pas réellement si les chiffres du vol d'identité augmentent, stagnent ou diminuent, car les statistiques présentés par l'ISIQ sont tirés d'un sondage mené par le Ministère de la Sécurité Publique du Québec en 2007 qui lui n'a pas été reconduit. Ce qui fait que le point de mesure unique ne permet de dégager aucune tendance.

Il est certain par contre qu'une campagne de sensibilisation au vol d'identité ne devrait pas nécessairement se focaliser sur les seules transactions en ligne. En effet, dans une étude menée plus tôt cette année, nous avons montré que les voleurs d'identité n'utilisent Internet pour acquérir l'identité de leur victime que dans un peu moins de 20% des cas.

Comme on le voit, bien des mesures de prévention sont encore conçues et mises en oeuvre sans que l'on sache vraiment si elles correspondent au phénomène auquel elles prétendent s'attaquer, ni si elles produisent des effets tangibles.

Activité parlementaire canadienne

Le 22 octobre, le projet de loi S-4 criminalisant le vol d'identité (et plus précisément le fait de posséder de façon non autorisée les données personnelles d'autrui) recevait la sanction royale.
Le texte de la loi est accessible sur le site du parlement.

En parallèle, les deux projets de loi C-46 et C-47 qui visent la modernisation des techniques d'enquête (notamment en matière d'interception des communications électroniques) de la police font l'objet de débats à la Chambre des communes. Le sommaire législatif du projet de loi C-47, qui en explique l'origine et en détaille les objectifs peut être consulté ici.

Les pirates s'en prendront-ils bientôt à votre robot?

Une équipe de chercheurs de l'Université de Washington vient de publier un article qui est repris par de nombreux médias, et qui alerte les usagers sur la facilité déconcertante avec laquelle il serait possible pour des pirates de prendre à distance le contrôle de robots "domestiques". Notamment, les défauts dans les protocoles de sécurité permettraient aux pirates de menacer la vie privée des usagers de ces machines.

Une lecture plus approfondie de cet article laisse quand même perplexe. Tout d'abord, deux des trois machines étudiées sont des robots pour enfant dont le côté ludique a certainement primé sur l'aspect sécurité lors de la conception. Je ne pense pas qu'une étude sur les robots militaires qui sont de plus en plus nombreux sur le champ de bataille ait donné les mêmes résultats (mais les budgets de recherche étant ce qu'ils sont, c'est certainement moins cher de se procurer un robot à quelques dizaines ou centaines de dollars). Un chercheur en sécurité informatique penserait-il sérieusement publier une mise en garde contre les brèches de sécurité qui frappent les ordinateurs pour enfant conçus afin de faciliter l'apprentissage de la lecture et du calcul?

Par ailleurs, au delà des vagues menaces à la vie privée, je ne résiste pas à la traduction de quelques passages plus spécifiques sur les risques que les pirates pourraient faire peser sur les usagers de ces robots:

"Vandalisme robotique: Un attaquant peut exploiter les vulnérabilités du Rovio et du Spykee pour endommager les objets fragiles dans leur environnement immédiat... Bien que ces robots n'aient pas encore suffisamment de puissance pour faire tomber des objets des tables, des robots similaires dans le futur pourraient avoir de telles capacités, ce qui pourrait potentiellement générer des risques pour la sécurité. Par exemple, si un robot fait tomber un bol de grains de raisins posé sur une table basse, cela pourrait représenter un risque d'étouffement pour un enfant en bas âge."

"Attaques psychologiques: En nous projetant un peu plus dans l'avenir, nous estimons que des attaques psychologiques pourraient potentiellement se servir de robots compromis... Un attaquant, peut-être un enfant malveillant du quartier, pourrait exploiter le lien privilégié [entre un enfant autiste] et son robot pour causer un préjudice psychologique à l'enfant. D'autres formes d'attaques psychologiques sont aussi possibles, comme d'utiliser un robot pour arranger des objets sur le sol afin de former un symbole menaçant ou insultant ou pour systématiquement harceler le chien de la famille pendant que les occupant du domiciles sont à l'extérieur." (p. 6)

Comme on le voit, il y a vraiment là de quoi inspirer les prochains scénaristes de Terminator 5.

Le directeur du FBI interdit de transactions bancaires en ligne (par sa femme)

De son propre aveu, le Directeur du FBI aurait failli communiquer ses coordonnées bancaires à un site d'hameçonnage, avant de se rendre compte que cela n'était peut-être pas une si bonne idée. En faisant part à son épouse, celle-ci lui aurait dorénavant formellement interdit toute opération en ligne.

via The Register