Autoblog de paulds.fr

Ce site n'est pas le site officiel de paulds.fr.
C'est un blog automatisé qui réplique les articles de paulds.fr

On reparle de la négligence caractérisée maintenant ?

Tue, 08 May 2012 14:05:03 +0000 - (source)

La position du nouveau président a été relativement floue quant à la question de la Hadopi lors de sa campagne. Aujourd’hui encore la seule référence relativement claire dont je dispose est un tweet de Fleur Pellerin qui dit vouloir abroger Hadopi pour la remplacer. Fair enough, mais attention à ce que vous garderez du dispositif et vers qui / quoi il s’orientera.

Je n’ai eu de cesse, comme beaucoup, de dénoncer le fameux délit de négligence caractérisée que notre loi fétiche a tous a mis en place en essayant d’expliquer en quoi il était déraisonnable de demander à tout un chacun d’assumer la responsabilité d’un acte technique lourd à infaisable : la sécurisation de sa connexion à internet. Pour rappel la connexion en question va du poste de l’utilisateur aux contenus qu’il visite et chaque maillon de cette chaine peut présenter une faille de sécurité plus ou moins lourde.

Intéressons nous à ce dernier maillon un instant…

Depuis quelques années maintenant je suis consultant à mon compte spécialisé en sécurité des applications Web. A ce titre j’ai audité des sites et applications pour des clients très divers allant d’institutions étatiques aux entreprises du CAC40 en passant par la petite PME qui vient de subir une attaque (tous sont protégés par les clauses de confidentialité signées, je ne donnerai donc pas de nom). Le point commun que j’ai trouvé à tous ces clients : il y avait toujours une faille (et souvent plus). Mais à la limite c’est normal, ce n’est pas leur boulot…

Alors ces deux derniers jours je me suis donné pour challenge de jouer avec des sites d’entreprises dont c’est justement le boulot : les éditeurs d’antivirus. Je n’ai pas joué non plus 200 ans et je n’avais pas accès aux sources des sites webs. Je me suis donc placé dans le rôle d’un attaquant pressé et ai essayé, armé d’un simple navigateur (firefox si vous voulez tout savoir) de dénicher des failles permettant par la suite de compromettre la sécurité de la connexion internet d’un utilisateur (au sens large prévu dans la loi) visitant les sites en question. Les deux seules réelles différences avec un attaquant mal intentionné ici sont que j’ai signalé les failles trouvées aux éditeurs correspondants et que je n’ai pas cherché à être anonyme.

Le résultat m’a surpris moi-même : sur les sites des principaux antivirus sur le marché seul celui de NOD32 (Eset) m’a résisté plus de 1h30, délai que je m’étais fixé (le temps c’est de l’argent ^^) et le lendemain de mes tests (annoncés sur twitter) j’ai eu la surprise de trouver un email m’indiquant une faille dans ma boite aux lettres (damn je l’ai laissée passer celle là !).

Au tableau de chasse sont donc tombés en deux jours, sur mon temps libre, des sites appartenant à :

- AVG (Injection SQL + XSS session stored dom based sur un site satellite)
- Kaspersky (XSS persistante sur un site satellite)
- Symantec (XSS dom based sur le site de paiement)
- Bitdefender (XSS persistante sur un site satellite couplé à du CSRF)
- McAffee (XSS persistante sur un site satellite)

A partir de ces failles j’aurai pu, en étant beaucoup moins bien intentionné que je ne le suis, compromettre les réseaux locaux des visiteurs des sites en question, les traquer, leur faire exécuter des actions contre leur gré vers des sites dont la consultation répétée est interdite, … Et la liste des possibles est longue… Le tout était présent sur des sites d’entreprises compétentes, fournissant de bons outils de sécurisation – imaginez ce qui traine sur les ordinateurs de la moitié des Français…

Alors monsieur le président, dans votre réflexion sur le remplacement de la Hadopi je vous prie de considérer ce qui suit : le seul intérêt de la négligence caractérisée est de permettre à l’état et à des entreprises privées d’avoir une excuse pour installer un logiciel espion sur les ordinateurs des français qui permettrait lors d’un jugement d’attester de la bonne volonté de la personne à avoir sécurisé son accès. Cette idée créée un précédent grave dans la mise sous surveillance de nos concitoyens et n’a pas de réalité technique tangible.

Il est impossible pour quiconque de sécuriser l’ensemble de sa connexion à Intenet car personne n’en maitrise tous les maillons. De plus demander à chaque français de se transformer en expert de la sécurité ne changerait rien puisque les experts eux-même ne peuvent penser à tout (et j’en sais quelque chose). Personne n’est infaillible et à moins de surveiller l’ensemble de la population à la Amesys il est impossible de prouver que la personne est de bonne foi par ce moyen là. Cherchez autre chose.

Ce billet est le premier d’une série qui sera adressée dans sa totalité aux nouveaux gouvernants de notre pays demandant la remise à plat de la quasi-totalité du règne Sarkozy sur l’Internet dans le but que la descente aux enfers cesse…

flattr this!


Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles