Accueil Le blog

Windows 10, Office 365 ProPlus : des mises à jour majeures deux fois par an désormais

image dediée

Microsoft a officialisé un nouveau rythme pour deux de ses produits principaux, Windows et Office 365 ProPlus. Désormais, il faudra compter sur deux mises à jour importantes par an, synchronisées de surcroit. Pour l’éditeur, il s’agit avant tout de proposer un modèle prévisible.

Qu’il s’agisse de Windows 10 ou d’Office 2016, les mises à jour se divisent en deux catégories. D’un côté, les mensuelles, qui surviennent à chaque Patch Tuesday. On y trouve surtout des correctifs de sécurité. Elles sont cependant cumulatives et incorporent des corrections plus diverses, avec des optimisations, de petits ajouts ou encore tout ce qui touche à la fiabilité.

De l’autre, les mises à jour fonctionnelles. Elles ne suivent pas de calendrier prédéfini, étant diffusées quand elles sont prêtes. Windows 10 avait par exemple été lancé le 30 juillet 2015, puis avait reçu une première grosse mise à jour quelques mois plus tard, une Anniversary Update le 2 août 2016, et récemment la Creators Update. Pour Office 2016, des nouveautés arrivent tous les mois ou tous les deux mois via Office 365, là encore en fonction de l’avancement.

Des mises à jour fonctionnelles en mars et septembre

L’éditeur va donc faire un peu de ménage et donner à l’ensemble une certaine prévisibilité. Windows 10 recevra ainsi deux mises à jour majeures par an. Le fonctionnement est exactement le même que pour Ubuntu, à ceci près que Microsoft a choisi les mois de mars et septembre. La Creators Update (Redstone 2) se nommant version 1703, on en déduit que la prochaine (Redstone 3) s’appellera 1709.

La société confirme en effet dans la foulée que RS3 arrivera au début de l’automne. À voir par contre si, comme l’actuelle 1703, elle n’attendra le Patch Tuesday du mois suivant pour être distribuée. Rappelons qu’on ne sait presque rien sur RS3, les actuelles préversions se concentrant pour l’instant sur les bases du système (OneCore). Seule certitude, une partie de l’interface sera renouvelée via le projet « NEON », dont on ne connait que quelques concepts (qui peuvent donc être éloignés du résultat final).

Office 365 ProPlus s’aligne

Dans la foulée, Office 365 ProPlus suit exactement le même mouvement. On retrouve donc les mises à jour majeures en mars et septembre, permettant un alignement avec Windows 10. La formule pour entreprises recevait plutôt trois mises à jour fonctionnelles par an, un rythme jugé visiblement trop élevé par les clients, qui ne disposaient pas non plus de modèle clair, avec les préparatifs que cela suppose. System Center Configuration Manager sera d’ailleurs mis à jour pour supporter ces nouveaux cycles.

Autre unification, le support technique. Chaque version majeure sera entretenue pendant 18 mois. Pour Windows 10, il n’y a donc aucun changement. Pour Office en revanche, les administrateurs gagnent six mois de tranquillité potentielle. Traduction, un client peut ne pas installer deux mises à jour majeures et quand même recevoir les correctifs de sécurité.

Ces modifications sont clairement introduites pour les entreprises, pour lesquelles le Patch Tuesday avait déjà été mis en place il y a des années. Mais une partie du grand public appréciera également de savoir quand les nouveautés arriveront.

nextinpact

Bose accusé d’espionner les utilisateurs de ses casques

Un procès s’est tenu contre Bose ce mardi 18 avril 2017 : l’un des plaignants, Kyle Zak, affirme que Bose a commencé à espionner les utilisateurs de ses casques connectés en Wi-fi après les avoir obligés à installer une application intitulée Bose Connect. Selon lui, Bose Connect permettrait à l’entreprise de collecter des données sur tous les contenus musicaux ou livres audio que les gens écoutent sur leurs casques Bose.

Bose QC35

Les méthodes utilisées par Bose sont détaillées. Selon la partie plaignante, Bose collecte les données d’enregistrement de ses clients, y compris les numéros de série des dispositifs, puis utilise l’application Bose Connect pour surveiller en temps réel ce qu’ils écoutent. Bose récolterait également des informations sur ce que les gens n’écoutent pas, ou sur les morceaux qu’ils écoutent en boucle. Plusieurs produits Bose seraient exposés : les casques QuietComfort 35, SoundSport Wireless, SoundSport Pulse Wireless, QuietControl 30, SoundLink Around-Ear Wireless II et SoundLink Color II.

Une violation de la vie privée

Les données subtilisées seraient ensuite revendues à des sociétés spécialisées dans l’exploration de données, comme Segment.io.

Tel que cela a été noté dans le procès, les pratiques de Bose constituent une violation majeure de la vie privée. “La défense des clients n’aurait jamais pu anticiper que ces types de musique et de sélections audio seraient enregistrées, et envoyées, de toutes les personnes, à une tierce partie explorant les données pour les analyser” a déclaré la partie plaignante au cours du procès.

clubic

Chrome 58 pousse les Progressive Web Apps, Firefox 53 ouvre la voie au moteur Quantum

image dediée

Google et Mozilla sont sur le pied de guerre aujourd’hui avec la sortie de nouvelles versions pour leurs navigateurs respectifs, Chrome et Firefox. Si le premier se contente d’apports assez légers, le second frappe beaucoup plus fort, avec notamment les premiers morceaux du projet Quantum.

Chrome 58 est donc disponible au téléchargement, pour les systèmes fixes et dans peu de temps sur Android, Chrome OS et iOS. Côté utilisateurs, il y a peu de choses spécifiques à noter. Tout laissait à croire que la nouvelle mouture supporterait notamment la Touch Bar des MacBook Pro, mais cette prise en charge, bien que présente dans le canal Canary, n’a finalement pas été intégrée.

IndexedDB 2.0 et des PWA en plein écran

Pour les développeurs par contre, on note quelques éléments importants. À commencer par le support d’IndexedDB 2.0 pour la gestion des données locales dans le navigateur. La nouvelle version de l’API permet notamment de prendre en charge des collections plus grandes de données, d’effectuer des actions de masse ainsi qu’une gestion mieux standardisée des erreurs.

Autre point important, les Progressive Web Apps dans la version Android. Chrome 57 les avait déjà renforcées en les intégrant davantage au système, à la manière d’applications classiques. Chrome 58 leur offre en plus la capacité de s’exécuter désormais en plein écran, en masquant toutes les barres que l’on devrait d’habitude voir pour du contenu web. Google continue donc de réduire l’écart entre les deux mondes.

Enfin, Chrome 58 corrige pas moins de 29 failles de sécurité, dont trois critiques.

Comme toujours, les mises à jour se récupèrent d’elles-mêmes dans le navigateur sous Linux, macOS et Windows. Sur Android et iOS, ce sont les boutiques dédiées qui se chargent de l’opération.

Firefox 53 ouvre la voie aux premiers éléments de Quantum

Le nouveau Firefox se distingue par des apports beaucoup plus importants que son concurrent. Cette version apporte notamment les premières briques du projet Quantum, qui doit pour rappel offrir à Firefox un nouveau moteur de rendu, en s’inspirant en bonne partie des travaux menés sur le moteur Servo, écrit avec le langage Rust.

Firefox 53 intègre ainsi le Quantum Compositor, le composant chargé de « composer » l’image dans la fenêtre du navigateur, en rassemblant les éléments graphiques. Sous Linux et Windows, il est en outre déporté dans un processus séparé, le troisième en fait pour Firefox. Depuis Electrolysis, le navigateur dispose en effet de deux processus de base, un pour le rendu, l’autre pour tout ce qui touche à l’interface.

Mozilla promet des performances nettement améliorées pour l’affichage, ainsi qu’une meilleure stabilité. Dans le cas en effet où un pilote provoquerait un plantage, le processus séparé n’aurait qu’à se relancer. Notez que sous macOS, le Compositor n’est pas séparé du reste du navigateur. L’éditeur indique que les pilotes sont plus stables et ne provoquent pas de désagréments. La situation évoluera peut-être, NVIDIA travaillant notamment sur des pilotes spécifiques pour la plateforme d’Apple.

Pour l’instant, le Quantum Compositor ne va être activé que pour 70 % des utilisateurs de Firefox, a priori tous ceux sous Windows 7/8/10. La suite du programme n’est pas encore dévoilée.

Deux nouveaux thèmes et des améliorations diverses

Parmi les autres nouveautés, Firefox 53 propose également deux nouveaux thèmes, activables depuis les modules. Ils sont inspirés de la Developer Edition, avec un clair et un foncé. Objectif, réduire la surface du contenant au profit du contenu. Ils ne sont cependant pas actifs par défaut.

firefoxfirefox

Un nouveau système d’alertes a en outre été mis en place pour les demandes d’autorisations des sites : notifications, géolocalisation, accès au matériel, etc. Une fois les demandes acceptées, l’utilisateur peut à tout moment vérifier ce qu’il a accordé en cliquant sur le bouton « i » à gauche de la barre d’adresses.

Notons enfin la possibilité d’envoyer un onglet d’une instance de Firefox fixe vers la version mobile via un clic droit, l’utilisation par défaut de TLS 1.3 pour les connexions HTTPS ou encore une nouvelle option pour les onglets sur Android. Elle permet de réduire la taille de ces derniers dans la bascule, afin de pouvoir les afficher sur deux colonnes.

nextinpact

Les malwares Mac sont une réalité : les défenses et les menaces

malwares macPendant plus d’une décennie, un débat a fait rage : les Mac sont-ils plus sûrs et moins sujets aux risques de cybercriminalité organisée que les ordinateurs Windows ?

Etant donné que des malwares ciblant davantage les Macs sont entrés à présent en scène, les adeptes de Windows ont utilisé cette tendance pour faire valoir que la technologie d’Apple n’était pas plus sûre que les autres. Les fans de Mac ont répondu avec une longue liste d’exemples, montrant comment Windows était pris pour cible bien plus souvent qu’Apple.

La semaine dernière, le débat a été ravivé par une série d’articles mettant en doute la sécurité sur Mac :

D’une manière plus globale, les systèmes d’exploitation qui attirent davantage les malwares n’est pas le vrai problème ici. Windows peut être ciblé plus souvent, mais si vous êtes un utilisateur Mac victime d’un code malveillant, les statistiques n’auront pas vraiment d’importance pour vous. Pour les utilisateurs Mac, il est important de sensibiliser les internautes aux menaces auxquelles ils peuvent être confrontés et de leur expliquer ce qu’ils peuvent faire pour se protéger.

Ci-dessous, vous découvrirez un aperçu des malwares Mac que SophosLabs a intercepté, analysé et aidé ses clients a contrer, suivi par des problèmes récents sur lesquels Naked Security a communiqué. Enfin, nous passerons en revue quelques conseils et astuces pour vous permettre de mettre en place une meilleure protection.

Le point de vue du Lab

Les malwares Mac ont été étudiés en détail par SophosLabs, et dans une prévision 2017 concernant les malwares, publiée le mois dernier, il a averti que davantage de menaces étaient à prévoir, comprenant plusieurs variétés de ransomwares.

Xinran Wu, chercheur expert concernant les menaces auprès du SophosLabs, et spécialisé dans les malwares Mac, a déclaré que MacOS avait tendance à être plus victime de programmes de nuisance, connus sous le nom de PUA (Potentially Unwanted Application), tels que des adwares, par exemple. De son point de vue, les malwares Mac ont tendance à être plus ciblés que les drive-by downloads, qui ont causé beaucoup de dommages par le passé, au sein des systèmes d’exploitation. Il a expliqué :

Au cours des dernières années, on a découvert un nombre limité de familles de malwares d’une année sur l’autre. La plupart d’entre eux semblent être ciblés plutôt que de type « drive-by ». Techniquement parlant, il existe beaucoup d’actions rendues possibles via les malwares. Je pense que la fonctionnalité GateKeeper et le paiement requis pour obtenir des comptes de développeurs Apple afin de pouvoir signer et distribuer des logiciels, couplé à une faible part de marché, peut avoir contribué à l’absence de malwares de type « drive-by », au sein de la plateforme Mac.  

Gatekeeper est une nouvelle fonctionnalité au sein de Mountain Lion et OS X Lion v10.7.5 qui s’appuie sur les contrôles de malwares existants dans OS X, qui servent à protéger les Mac contre les malwares et les applications mal intentionnées, téléchargées depuis internet.

Wu a déclaré que le laboratoire avait intercepté un grand nombre de familles de PUA qui sont constamment mises à jour et « poussées de manière agressive » en direction des clients de Sophos.

Les menaces récentes

En plus des malwares mentionnés dans la prévision concernant les malwares du SophosLabs, Naked Security a couvert un grand nombre de menaces Mac. Par exemple :

  • Le 28 février, nous avons écrit à propos d’un ransomware détecté et bloqué par Sophos sous l’appellation : OSX/Filecode-K et OSX/Filecode-L, et codé avec le langage de programmation Swift.
  • Le 24 janvier, nous avons expliqué comment la mise à jour de sécurité MacOS Sierra 10.12.3 d’Apple, traitait des vulnérabilités importantes, que les cybercriminels pouvaient utiliser pour pirater les équipements Mac et iPhone.
  • Le 14 décembre, nous avons parlé d’une autre mise à jour de sécurité Mac pour corriger des vulnérabilités qui, si elles étaient exploitées, permettraient à des cybercriminels de cibler des utilisateurs avec des drive-by downloads.

Les mesures défensives

Maintenant que nous avons passé en revue les différentes menaces, voyons ce que les utilisateurs peuvent faire pour se protéger. Tout d’abord, voici quelques suggestions pour mieux gérer les ransomwares :

Encore d’autres conseils :

  • Pensez à utiliser un anti-virus en temps réel sur votre Mac, même (et surtout) si vous avez réussi à passer au travers depuis des années !
  • Lorsque Apple sort une mise à jour de sécurité, ne la mettez de côté, téléchargez-la immédiatement !


Billet inspiré de Your Mac is not malware-proof: a look at the threats and defenses, par Bill Brenner, Sophos NakedSecurity.

sophos

Windows Vista : vie et mort d’un système mal aimé

image dediée
 

Avec la dernière série de mises à jour de sécurité publiée hier soir par Microsoft, Vista s’en est allé. Le système n’est plus entretenu, signifiant un danger croissant à l’utiliser désormais. Retour sur un Windows peu apprécié, et qui a pourtant modifié profondément ses bases.

Lorsque que Vista est sorti en 2007, il était attendu. Le contexte était alors très particulier, avec un Windows XP en place depuis six ans. Jamais Microsoft n’avait pris autant de retard pour lancer une nouvelle version de son système, et les défis à relever étaient immenses. Mais pour beaucoup, Vista a été un choc, notamment à cause de la puissance réclamée.

Une genèse complexe

Il existait un écart très important entre les deux produits, entre autres à cause de plusieurs retards intervenus dans le développement. Deux éléments ont joué. D’une part, la nécessité absolue de se pencher sur un Service Pack 2 pour Windows XP qui irait beaucoup plus loin qu’une simple collection de correctifs. Le système était attaqué de toute part et il fallait impérativement en renforcer les défenses.

D’autre part, le projet Longhorn – nom de code de Vista initialement – a fini par être jugé trop ambitieux par Microsoft, notamment sur des technologies comme WinFS, un nouveau système de fichiers qui a finalement été « abandonné » en cours de route. Pour la petite histoire, même s’il n’est pas sorti en tant que tel, ses technologies ont été reprises et intégrées en partie dans NTFS, ainsi que dans SQL Server.

Le choc de la consommation des ressources

Résultat, les utilisateurs habitués à Windows XP et plus particulièrement à sa consommation plus que maîtrisée des ressources ont eu un choc avec Vista. Le système avait été conçu pour des machines beaucoup plus récentes, et les configurations moyennes ont eu du mal avec le nouveau produit dans les premiers temps.

Le problème tenait essentiellement à sa consommation de ressources, beaucoup plus importante que son prédécesseur. Microsoft avait décidé de s’appuyer sur la puissance des ordinateurs plus récents pour activer un plus grand nombre de services. Parmi ces derniers, se trouvait notamment l’indexation des fichiers, une fonctionnalité nouvelle sur Windows, qui a fait grincer bien des dents.

Cette indexation existait sur OS X depuis la mouture 10.4, avec Spotlight. Le système crée un index des fichiers présents afin de proposer de résultats très rapides de recherche quand l’utilisateur en a besoin. Cependant, la construction de l’index réclamait un bon moment, particulièrement sur Vista. Conséquence, en un temps où les SSD étaient encore peu répandus, le disque dur grattait de manière assez constante.

vista

L’UAC et ses fenêtres intempestives

Globalement, Vista était ressenti comme un système « lourd », à cause de sa consommation de mémoire vive supérieure, une activité très fréquente du disque dur, ainsi que certains choix ergonomiques qui provoquaient bien des froncements de sourcils. C’était particulièrement le cas de l’UAC, pour User Account Control, une fonctionnalité de sécurité qui demandait à l’utilisateur d’accepter des actions importantes, comme l’installation d’une application.

Dans la pratique cependant, l’UAC s’est révélé pénible d’emploi, surtout dans les premiers temps. Ses fenêtres incessantes agaçaient les utilisateurs, qui devaient confirmer de nombreuses actions. Une situation qui s’était largement améliorée avec l’arrivée du Service Pack 1, qui avait d’ailleurs calmé les critiques sur de nombreux points, sans pour autant les effacer.

Mémoire vive, un cas à part

On notera toutefois que le lancement de Vista a été en partie affecté par un mauvais calibrage des offres des constructeurs, qui respectaient à peine les prérequis techniques du système pour proposer de nouvelles configurations. En 2007, on pouvait ainsi trouver des ordinateurs embarquant seulement 256 Mo de RAM, alors que le minimum requis était normalement de 512 Mo. Microsoft avait cependant ouvert la porte à ce genre de pratique en révisant sa classification « Vista Ready », la rendant plus floue.

La consommation de mémoire vive de Vista a d’ailleurs été incomprise pendant longtemps, malgré les multiples explications de Microsoft à ce sujet. À compter de cette version, Windows prend en effet ses aises. S’il détecte que la mémoire libre reste abondante, il en alloue davantage aux processus actifs pour que le disque dur soit moins sollicité.

« Et pourtant, elle tourne »

Oui, et pourtant. Vista avait la difficile mission de relancer Windows sur des bases plus modernes. Le fait qu’il ait été peu apprécié, associé à une communication très peu maitrisée de Microsoft, en ferait presque oublier que même l’actuel Windows 10 lui doit beaucoup.

Vista a ainsi été le premier Windows à être disponible en 64 bits pour le grand public. Une telle variante de Windows XP existait bien, mais elle n’était proposée qu’aux entreprises, tout en n’étant guère poussée par Microsoft. Ce fut également le premier à apporter en partie une composition graphique de l’interface, avec des effets calculés par la carte graphique, via le fameux thème Aero, que l’on a retrouvé ensuite dans Windows 7. On notera également l’architecture de pilote WDDM, toujours en place aujourd’hui.

Vista a en outre apporté la gestion native de l’IPv6, PowerShell, le chiffrement de disque BitLocker, DirectX 10, Audio Session (permettant de communiquer avec les périphériques de son par sessions), PatchGuard (protection du cœur du système contre des modifications extérieures), SuperFetch (cache pour lancer les applications les applications plus rapidement ensuite), une consommation réduite via une meilleure gestion des états des processeurs, ou encore Internet Explorer 7.

Notez que certaines technologies ont rapidement disparu, notamment à cause de la diffusion des SSD. SuperFetch était désactivé dans Windows 7 si un tel matériel était détecté, tout comme la défragmentation automatique et l’indexation. ReadyBoost, qui permet d’apporter un cache sous forme de mémoire flash via une clé USB, n’a jamais vraiment pris.

Vite oublié avec Windows 7

C’est peu de dire que le successeur de Vista était attendu. Avec une communication soigneusement distillée au compte-goutte, le responsable du développement, Steven Sinofsky, avait su créer une excitation palpable.

À ce jour en fait, Windows 7 est souvent considéré comme « le meilleur Windows » jamais publié par Microsoft, à l’exception pour les plus nostalgiques de Windows 2000 (et non pas Millenium). Pourtant, ce successeur s’appuyait en grande partie sur les améliorations de Vista et apportait un nombre beaucoup moins important de nouveautés.

Cela étant, la fin de support de Vista représente un problème beaucoup moins important que celle de Windows XP il y a déjà trois ans. Sa mauvaise réputation a largement freiné les migrations, qui se sont réellement débloquées avec Windows 7. La part de marché n’a pu péniblement grimper que jusqu’à 30 %, ce réservoir se vidant rapidement à partir de 2009 au profit du successeur. Aujourd’hui, la part de marché de Vista tourne aux alentours de 1 %.

Les conséquences pour les utilisateurs sont cependant les mêmes que pour XP : il faut impérativement passer à un système plus récent. Sans support technique, les failles trouvées ne recevront plus de correctifs et finiront invariablement par être exploitées par des malwares. Les antivirus peuvent compenser en partie, mais ils ne pourront rien faire en cas de faille sérieuse dans le système d’exploitation.

Il faudra donc qu’ils mettent à jour vers un Windows plus récent, une distribution Linux, voire changer de machine. Dans de nombreux cas en effet, les ordinateurs commercialisés avec Vista ont aujourd’hui entre huit et dix ans.

nextinpact

Des hommes politiques pour la création de portes dérobées dans les messages chiffrés

portes dérobéesAmber Rudd, le ministre intérieur britannique, vient d’ajouter son nom à la liste croissante des politiciens britanniques et américains qui souhaiteraient voir des actions concrètes et rapides concernant le chiffrement des messageries instantanées qui serait à priori « totalement inacceptable ».

De telles prises de position sont devenues habituelles après les derniers événements tragiques : en effet, un rapport médiatique révélerait que Khalid Masood aurait envoyé un message WhatsApp deux minutes avant de lancer son attentat terroriste à Londres le 22 mars dernier.

N’importe qui impliqué dans la cybersécurité qui voit apparaitre les mots « attaque terroriste » et « WhatsApp » au sein d’une même histoire, peut facilement imaginer quelle peut être la prochaine étape.

WhatsApp utilise actuellement son fameux chiffrement de bout en bout, ce qui signifie que la police ne peut pas accéder au contenu du message. Même en découvrant l’identité destinataire de ce message, et sur la base de l’analyses des métadonnées de WhatsApp, le résultat reste incertain.

WhatsApp n’a aucune obligation de donner à la police l’accès aux métadonnées, mais même si cela était le cas, cela n’irait pas plus loin que le numéro de téléphone, en des données d’horodatage et (éventuellement) une localisation. Nous sommes loin de pouvoir obtenir un nom de compte et une adresse, comme cela aurait été le cas avec les numéros de téléphone d’antan !

Tout comme l’ancien premier ministre David Cameron, avait lancé l’idée d’interdire les applications de messageries chiffrées il y a deux ans. Rudd trouve que la situation s’aggrave, et a ainsi déclaré à la BBC :

Nous devons veiller à ce que des entreprises comme WhatsApp, et il en existe beaucoup d’autres comme celle-là, ne soient pas un lieu secret permettant aux terroristes de communiquer entre eux.

Le sens exact de « devons veiller » reste flou. Le discours de Rudd concernant la future législation obligeant (on l’imagine) les entreprises du web à proposer des méthodes pour contourner le chiffrement est un peu fort de la part d’un gouvernement qui s’est octroyé récemment de plus grands pouvoirs via l’Investigatory Powers Act (IPA).

En ce qui concerne la faisabilité technique de mettre en place des portes dérobées, Rudd a très peu de chance de convaincre les entreprises américaines de suivre cette voie.

Les portes dérobées ne verront pas le jour car, comme Naked Security l’a souligné auparavant, il existe de nombreux potentiels dégâts collatéraux, essentiellement au niveau de la protection de la vie privée. La réalité incontournable est qu’internet est un édifice fragile construit sur le chiffrement. Si vous désactivez ce chiffrement à un seul endroit, des répercutions pourront de faire sentir à de nombreux autres niveaux.

Si l’on décide de mettre en place des portes dérobées dans une application de messagerie utilisée par des centaines de millions de personnes, une telle approche ne pourrait-elle pas s’appliquer à d’autres applications ou aux nombreuses couches de chiffrement sur lesquelles reposent le commerce numérique et la société civile dans son ensemble ? Sincèrement, nous pouvons nous poser la question au nom du respect de la vie privée ?

Rudd demande involontairement le droit de créer une énorme faille de sécurité, tout simplement. Apparemment, une utilisatrice acharnée de WhatsApp elle-même, curieusement elle serait parmi les premières à en subir les conséquences.

Il se pourrait aussi que l’enthousiasme de Rudd déployé pour s’attaquer au chiffrement soit influencé par la sphère politique et la nécessité de se montrer intransigeante sur ce sujet. Les citoyens aiment les applications de messagerie, mais malheureusement les terroristes aussi. On pourrait aussi faire remarquer que les terroristes prennent également des trains et conduisent des voitures, mais lorsque des tragédies se produisent, une explication est nécessaire et, en ce moment, le chiffrement est en ligne de mire.

Rudd fait beaucoup parler en ce moment, même le gouvernement des États-Unis a du mal à faire face à un problème aussi complexe. Ces appels de la part des politiciens ne vont plus s’arrêter de sitôt !
Billet inspiré de Politicians call – again – for backdoors into encrypted messages, par John E Dunn, Sophos NakedSecurity.

sophos

Au Parlement européen, la France prône le filtrage des contenus sur Internet

image dediée

Les autorités françaises sont très à l’écoute des travaux portant actuellement sur la régulation des plateformes au Parlement européen. Une note non publique de Paris vise à appuyer certains amendements dans le cadre d’un projet de résolution examiné en commission des affaires juridiques. Et la France soutient ceux qui prônent le filtrage des contenus.

Un rapport d’initiative sur « Les plateformes en ligne et le marché unique numérique » des eurodéputés Henna Virkkunen et Philippe Juvin (PPE) poursuit son périple au Parlement européen. La commission des affaires juridiques prépare la rédaction de son avis avec l’espoir d’influencer sur le document final qui sera adopté en séance plénière.

C’est l’eurodéputée française Constance Le Grip qui a été désignée rapporteur en « Juri ». Son projet d’avis et les amendements seront examinés demain matin toujours en commission. Les autorités françaises ont profité de l’occasion pour faire passer leur « doctrine », essentiellement propulsée par la défense de la propriété intellectuelle, bien plus que la liberté d’expression ou d’autres broutilles de ce genre.

C’est en tout cas ce qui ressort d’une « note en commission » que nous avons pu nous procurer. Des dizaines d’amendements sont épluchés par la France qui égraine à chaque fois son commentaire, histoire d’influencer sur le vote. Le document est intéressant puisqu’il permet de révéler au grand jour ses positions, très en phase avec celles des sociétés de gestion collective.

Raréfier le rôle passif des plateformes

Dans ce document, elle estime d’entrée « extrêmement important de travailler à l’élaboration d’un cadre réglementaire adapté aux plateformes en ligne qui tirent profit des contenus qu’elles mettent à disposition ». Elle soutient ainsi sans réserve les amendements de Jean-Marie Cavada et Constance Le Grip (2, 4 et 5) « qui sont en faveur de faire assumer aux plateformes la responsabilité liée à la mise à disposition de contenus, y compris les contenus protégés par le droit d’auteur et audiovisuels ».

L’eurodéputée suggère de mieux faire le départage entre rôle actif et passif des plateformes, afin de « les soumettre à un cadre réglementaire qui renforcerait leur responsabilité et la fiabilité de leurs services ». Et dans son amendement 15, Jean-Marie Cavada veut que la responsabilité limitée des intermédiaires du Net soit réservée aux seuls acteurs passifs.

Pour mieux comprendre ces notions, il faut revenir un instant à la jurisprudence de la Cour de justice de l’Union européenne. Juridiquement, les intermédiaires restent protégés par le statut des hébergeurs sauf s’ils quittent ce terrain parce qu’ils jouent un « rôle actif ». En étant passifs, ils ne sont responsables que si alertés d’un contenu manifestement illicite, ils décident de ne pas le supprimer. En étant actifs, ils sont responsables immédiatement du moindre octet de contrefaçon.

La plume de Cavada poursuit alors pour expliquer ce qu’est justement un acteur passif : c’est celui qui s’abstient d’« intervenir dans l’organisation, l’optimisation ou la promotion du contenu ». Avec une telle définition qui pourrait un jour s’imposer aux tribunaux, ce sont des cohortes de fournisseurs de services qui deviendraient responsables immédiatement des contenus mis en ligne par les tiers, dès lors que le site « optimise » ou en fait la « promotion ».

L’eurodéputée Julia Reda, classée ennemie publique numéro 1

Plusieurs amendements de l’eurodéputée Julia Reda subissent inversement des foudres. Son amendement 11 « se positionne contre l’établissement d’un cadre réglementaire spécifique aux plateformes en ligne, au détriment du respect des droits de propriété intellectuelle » se lamente la France.

Il faut dire que l’eurodéputée originaire du Parti Pirate estime que si l’émergence des plateformes peut avoir des effets perturbateurs, en aucun cas cet effet, s’agissant des droits de propriété intellectuelle, ne justifie « l’adoption de règles qui s’écartent du cadre général applicable aux intermédiaires et aux plateformes ».

Dans un autre amendement, elle se demande « si les problèmes potentiels liés aux plateformes en ligne pourraient être résolus par une mise en œuvre adéquate et complète de la législation existante et l’application effective du droit de la concurrence de l’UE ».

La même « invite la Commission à maintenir une politique favorable à l’innovation vers les plateformes en ligne qui facilite l’entrée sur le marché et favorise l’innovation », tout en considérant comme prioritaires les nécessités de transparence ou encore de non-discrimination, etc. Pour les autorités françaises, pareil projet « n’apparaît pas assez ambitieux par rapport à la nécessité d’énoncer un cadre réglementaire encadrant les plateformes en ligne ». Et celles-ci de suggérer la mise à la poubelle d’une telle proposition.

Julie Reda a eu aussi l’insolence de préciser que « la responsabilité limitée des intermédiaires est essentielle à la protection d’un Internet ouvert, des droits fondamentaux, de la sécurité juridique et de l’innovation ». Une horreur pour la France de Beaumarchais, Molière et Pascal Rogard. Les autorités gouvernementales « s’opposent fortement » à une telle affirmation « qui tend à limiter la responsabilité des intermédiaires qui mettent des contenus, y compris ceux protégés par le droit d’auteur, à disposition en ligne. »

Dans l’amendement 45, Reda évoque cette fois l’importance « de l’interopérabilité et des logiciels libres pour assurer la transparence et la concurrence loyale » des plateformes.  La France frôle le burn out : voter une telle disposition, c’est « cautionner une violation des droits de propriété intellectuelle ». Même réaction lorsque la députée Pirate, avec son amendement 62, s’oppose à l’instauration d’« une obligation générale de rechercher activement des faits ou des circonstances indiquant une activité illégale ».

La France prône le filtrage

L’amendement 32 de Jean-Marie Cavada et Philippe Juvin plaide pour l’instauration d’un devoir de diligence sur les épaules des intermédiaires. Ils seraient alors à terme contraint de « détecter et prévenir les activités illégales sur les plateformes par des moyens techniquement fiables ».

Derrière les verbes « Détecter » et « prévenir » se cache bien entendu le filtrage de tous les contenus mis en ligne. Sans surprise, cette idée comme celle visant à promouvoir les technologies de reconnaissances de contenus (amendement 51) sont accueillies avec les cotillons français.

Dans sa note, la France développe d’ailleurs ses commentaires sur le rôle attendu de la future législation européenne : « les plateformes numériques devraient agir avec les précautions que l’on peut raisonnablement attendre d’elles afin de détecter et d’empêcher les activités illicites dans les domaines dans lesquelles elles sont actives, tout particulièrement lorsqu’elles jouent un rôle d’intermédiation ».

Elle oublie simplement de préciser aux eurodéputés qui voudront bien l’entendre que la détection des activités illicites impose le filtrage de l’ensemble des contenus afin de faire le départage entre le bon et le mauvais. Elle oublie aussi de rappeler les cas de faux positifs des robot-copyrights qui conduisent au retrait des contenus légitimes, tout en portant atteinte à la liberté d’expression ou de communication…

Pour faire passer la pilule, et justifier ce déploiement massif du filtrage, la note prend appui sur la protection du petit consommateur et de la fragile économie numérique : « pour des considérations liées à la nécessité de préserver un niveau élevé de protection du consommateur et compte tenu de l’importance du rôle joué par les plateformes dans le développement de l’économie numérique, il conviendrait de renforcer les obligations de ces acteurs, notamment en ce qui concerne la vérification a priori de la licéité des offres ou des informations dont elles assurent la mise en ligne et le blocage d’accès aux contenus illicites ».

On comprend du coup pourquoi Paris soutient l’amendement 33, coécrit encore par Jean-Marie Cavada : « la contrefaçon en ligne est de plus en plus recherchée par les organisations criminelles car elle est plus profitable et présente un risque plus faible de subir des sanctions pénales que le racket ou le trafic de drogue ». Même accueil pour l’amendement 65 de Constance le Grip qui promeut le déploiement de l’approche follow the money.

Un algorithme trie, donc il édite

Sur la question des algorithmes, la France salue enfin l’amendent 66 sur la transparence de ces opérations de tri. Mais elle ajoute son appréciation : « La mise en valeur en tête du classement de certains contenus au détriment d’autres par l’algorithme s’apparente à un processus de sélection de contenus à partir de critères objectifs comme le prix, la nouveauté et la popularité du contenu ».

Les mêmes autorités poursuivent : « certaines plateformes de moteur de recherche peuvent exercer une forme de responsabilité éditoriale, en tant qu’elles sélectionnent et organisent les contenus qu’elles indexent. Il serait alors pertinent d’envisager les implications sur la diversité culturelle de cette responsabilité éditoriale pour les plateformes structurantes pour l’économie numérique, du fait en particulier de leur capacité de diffusion de contenus culturels à grande échelle ».

La logique, résumée au cutter : Google trie. Donc sélectionne. Donc édite. Donc a une responsabilité sur les contenus mis en avant. Donc pourrait promouvoir l’exception culturelle française. Logique !

nextinpact

AKBuilder et MWI exploitent une vulnérabilité dans le traitement des fichiers RTF

En octobre dernier, Microsoft a publié le bulletin de sécurité MS16-121, qui corrigeait une vulnérabilité Office, que des cybercriminels pouvaient exploiter pour exécuter des malwares sur des ordinateurs infectés. Ceux qui ne l’ont pas encore installé devraient le faire immédiatement : les experts du SophosLabs ont découvert de nouveaux cas de type AKBuilder et Microsoft Word Intruder (MWI) exploitant cette faille.

Plus précisément, des copies d’AKBuilder sont vendues sur un forum underground, et les auteurs du MWI l’utilisent maintenant pour concocter de nouveaux exploits contre un bug concernant les fichiers RTF. L’un de nos principaux experts au SophosLabs, Gábor Szappanos, a déclaré :

Cette vulnérabilité est déjà pleinement active par le biais deux générateurs d’exploits majeurs. Tout s’est passé en quelques semaines, par le biais d’un forum underground.

C’est l’histoire de deux générateurs d’exploits

AKBuilder génère des documents Word malveillants, tous au Format Texte Enrichi (RTF). Une fois achetés, les cybercriminels l’utilisent pour fabriquer des échantillons de logiciels et les intégrés dans des documents piégés, qu’ils pourront ensuite envoyer par spams. AKBuilder utilise des exploits pour corrompre délibérément des fichiers qui déclencheront automatiquement des bugs présents au sein d’Office, ainsi que des bugs latents dans Windows. SophosLabs a vu plusieurs cas issus de ce générateur en action récemment.

MWI est l’un des générateurs d’exploits, ciblant Office, le plus connu et certainement l’un des plus populaires parmi la communauté cybercriminalité. Bien que SophosLabs ait récemment découvert de nouvelles versions qui incluent des exploits non-Office, le bug Office ciblant les fichiers RTF lance des attaques à l’ancienne.

La vulnérabilité CVE-2016-7193

Les échantillons analysés par le lab exploitent les vulnérabilités décrites dans le bulletin « Common Vulnerabilities and Exposures » : CVE-2016-7193. Il s’agit d’un bug qui corrompt la mémoire et qui induit une mauvaise gestion par le logiciel Office des fichiers RTF (Rich Text Format).

Les cybercriminels peuvent exploiter cette faille en créant un document RTF corrompu qui, une fois téléchargé, infecte l’ordinateur de la victime. Si l’utilisateur s’est connecté en tant qu’administrateur, un cybercriminel pourrait, comme le dit Microsoft dans son bulletin, « prendre le contrôle du système affecté et installer des programmes, afficher, modifier ou supprimer des données, ou encore créer de nouveaux comptes avec des droits d’utilisateur complets ».

Les derniers fichiers MWI

SophosLab a intercepté et analysé deux fichiers corrompus et conçus pour exploiter cette vulnérabilité. Le lab a contacté Microsoft, qui a confirmé l’existence de cet exploit.

Le premier fichier, SIMON WERNER GMBH-RFQ.doc, a d’abord été soumis au scanner de malwares VirusTotal le 20 mars, à partir de sources en provenance de Hong Kong et du Royaume-Uni. Le fichier a déposé un downloader Dofoil dans %PROFILE%\AppData\Local\Temp\msvc.exe, qui a son tour a téléchargé un fichier AMcr35.exe à partir d’un site distant.

Le deuxième fichier, « security instructions » à partir de Visa.doc, выписка.doc, 2017april.doc, a été soumis à VirusTotal le 28 mars, à partir de sources au Kazakhstan, en Ukraine et en Russie. Le malware téléchargé à partir de ce fichier se retrouve dans %PROFILE%\AppData\Local\Temp\msvc.exe. Il ouvre un shell inversé généré par Metasploit au niveau de 92.63.111.201:443/ZVHd.

S’il est ouvert, la visionneuse affichera le contenu fictif suivant :

fichiers rtfSophosLabs a suivi le parcours en remontant jusqu’au 8 mars dernier, et a découvert des échantillons d’AKBuilder qui sont identiques au premier échantillon de MWI décrit ci-dessus. La conclusion est qu’une copie d’AKBuilder a été vendue sur un forum underground et utilisée par l’auteur du MWI.

Les caractéristiques

Les deux fichiers contiennent l’exploit CVE-2016-7193. Le shellcode utilisé dans les deux échantillons est très similaire au dropper code utilisé dans les échantillons générés par Microsoft Word Intruder. SophosLabs soupçonne qu’ils aient été générés par une nouvelle version de MWI.

Les deux documents utilisent le même algorithme pour déchiffrer le payload, un XOR à un octet avec la clé incrémentée à chaque étape suivi d’un échange de la première centaine d’octets, et le shellcode utilisé par les fonctions de Windows Management Instrumentation pour exécuter le payload.

Le générateur de l’auteur original a été distribué sous la forme d’un script Python qui fonctionne comme un AKBuilder, selon les commentaires laissés dans un forum en ligne.

Malgré les similitudes avec AKBuilder, celui-ci a utilisé différentes clés de chiffrement et un autre bloc d’exploit intégré.

L’image suivante montre l’exploit RTF final généré par le générateur qui, dans le cas du premier fichier, est très similaire aux fichiers RTF générés par les récentes versions d’AKBuilder :

fichiers rtfNous soupçonnons que l’auteur de MWI a acheté le script, puis a publié une première version basée sur ce dernier. Il a été adapté par la suite pour se rapprocher du style MWI.

Une semaine après l’annonce publique initiale sur le forum underground, SophosLabs a vu le premier échantillon dans la nature, suivi d’un plus grand déploiement de l’exploit.

Les mesures défensives

Comme indiqué, Microsoft a publié un patch pour la vulnérabilité dans MS16-121. Dans ce bulletin, Microsoft a également noté que les utilisateurs dont les comptes sont configurés pour avoir moins de droits d’utilisateur sur le système sont moins vulnérables que les utilisateurs qui opèrent avec des droits administrateurs.

Pendant ce temps, les utilisateurs devraient faire attention à ne télécharger que des fichiers provenant de sources fiables.

sophos

Vie privée : Windows 10 centralise les réglages pour tenter de rassurer

image dediée

Alors que la Creators Update sera bientôt diffusée auprès du grand public, Microsoft fait le point sur les nouveaux contrôles de vie privée inclus. L’éditeur tâche de jouer cartes sur table et indique précisément ce que Windows 10 collecte, tout en précisant ce que l’utilisateur peut faire.

La version 1703 de Windows 10 – la Creators Update – sera diffusée la semaine prochaine. Comme indiqué dans le Brief plus tôt, l’outil de mise à jour manuelle est également disponible, permettant à ceux qui ne souhaitent pas attendre de déclencher le téléchargement et l’installation en avance. La procédure est exactement la même que celle que nous avions décrite il y a deux semaines environ.

Un nouveau panneau de réglage avant même l’installation

L’installation de la Creators Update se signalera par un nouveau panneau qu’il faudra valider avant de vraiment se lancer. L’utilisateur y verra les cinq catégories principales d’informations collectées par Windows 10, avec la possibilité de les laisser activées ou pas : position géographique (affecte l’ensemble des applications et pages web), reconnaissance vocale lors de l’utilisation de Cortana, données de diagnostics plus ou moins complètes, personnalisation de l’expérience d’utilisation grâce à ces données et publicités personnalisées.

Ces cinq catégories sont toutes munies d’un interrupteur pouvant désactiver les fonctions liées. Toutes, sauf une : les données de diagnostics, qu’on nomme en général télémétrie. Son interrupteur ne coupe pas la collecte mais permet de choisir entre deux niveaux, complet ou basique. Puisque par défaut tout est actif, la télémétrie complète implique les usages applicatifs (les logiciels lancés, la fréquence, leur version…), l’historique web et les données liées à la frappe au clavier à et l’écriture manuscrite.

Windows 10 creators update 1703 vie privéeWindows 10 creators update 1703 vie privée

Télémétrie : c’est tout ou rien basique

Il s’agira probablement du choix le plus important pour l’utilisateur, surtout aux États-Unis avec les récents changements intervenus sur la vie privée. Microsoft explique qu’aucune donnée personnelle n’est envoyée dans la plupart des cas, mais que certaines peuvent se retrouver agrégées dans le processus. L’utilisateur préfèrera alors dans ce cas se tourner sur le réglage basique, qui tranche dans le lot.

Tout ce qui touche aux usages est en effet supprimé et seules les données purement techniques sont récoltées. On y retrouve les informations de base sur le système, le matériel dans la machine, les périphériques, le type d’appareil, les données OEM, les jeux d’instructions du processeur, la version du firmware, les statuts de différentes technologies et ainsi de suite. Ces données servent à Windows Update et à la résolution des problèmes. Microsoft publie la liste complète sur son site.

Des réglages présents au formatage et dans Windows 10 Mobile

Il faut noter que cet assistant se manifestera également en cas de réinstallation de Windows, dès lors que l’ISO utilisée est au moins la version 1703 du système, donc intégrant la Creators Update. L’idée est que l’utilisateur passe forcément par ces choix, qu’il fasse une installation propre ou une mise à jour classique.

Par ailleurs, tous ces réglages seront également disponibles dans Windows 10 Mobile. Microsoft explique toutefois que le réglage « Expériences personnalisées » n’est pas disponible, ni actif. L’éditeur estime que les smartphones se prêtent mal à ce type de fonctionnalité.

On regrettera cependant que cet assistant ne puisse pas être relancé quand on le souhaite. Techniquement, ces réglages ne sont pas nouveaux, puisqu’ils sont tous déjà présents dans les Paramètres de Windows 10, dans la section Confidentialité. Le panneau a cependant l’avantage de réunir les principaux choix afin de les vérifier d’un seul coup d’œil.

D’autres améliorations à venir, l’enquête de la CNIL suit son cours

Un bouton permettra peut-être de relancer l’assistant dans une prochaine version du système. D’ailleurs, Marisa Rogers, qui dirige les efforts liés à la vie privée, indique dans un billet de blog que l’entreprise restera à l’écoute et prendra en compte les retours des utilisateurs sur ces changements, ou la manière de les améliorer. À voir donc dans les prochaines préversions, qui reprendront bientôt, cette fois sur la route menant à Redstone 3.

Reste à voir finalement si ces évolutions répondront à l’ensemble des points soulevés par la mise en demeure de la CNIL de juillet dernier. La procédure reste en cours, tout comme celle d’ailleurs celle du groupe de travail au sein du G29, qui regroupe toutes les CNIL européennes.

nextinpact

Ransomware : Bitdefender publie un outil de déchiffrement pour Locky Bart

image dediée

L’éditeur d’antivirus Bitdefender vient de publier un outil de déchiffrement pour la variante Bart du ransomware Locky. Selon l’entreprise, l’ensemble des variantes connues sont couvertes.

Les outils de désinfection sont toujours une bonne publicité pour les éditeurs d’antivirus, surtout quand ils permettent d’économiser. Bitdefender a mis en ligne un outil de déchiffrement des fichiers affectés par le rançongiciel ransomware Bart, une variante du malware Locky, devenu célèbre l’an dernier.

Payer n’est pas la solution

Pour mémoire, un ransomware est un logiciel qui chiffre les fichiers de l’utilisateur et demande une rançon en échange de la clé de déchiffrement. En général, cela passe par l’envoi de quelques centaines d’euros en bitcoins. Payer est peu recommandé, à la fois parce que cela encourage la pratique et qu’il n’y a aucune garantie de récupérer les fichiers affectés.

Bart a un fonctionnement assez simple. Il supprime les points de restauration système, puis chiffre les fichiers de l’utilisateur à l’aide de clés générées localement. Il laisse enfin une note avec des instructions sur le bureau… Demandant l’envoi de bitcoins via une page dédiée sur un service Tor. Selon Malwarebytes, le réseau serait maintenu par des pirates différents que ceux derrière le Locky d’origine.

L’ensemble des variantes couvertes

Bitdefender affirme que son outil fonctionne avec l’ensemble des échantillons essayés, avec des extensions en « .bart », « .bart.zip » et « .perl ». Il propose d’analyser un dossier particulier ou le système entier, avec l’option de sauvegarder les fichiers.

L’outil est à la fois téléchargeable sur le site de l’éditeur et chez No More Ransom, un collectif dédié à la lutte contre les rançongiciels, auxquels participent des professionnels et Europol (via EC3). Pour référence, Locky était l’une des menaces les plus discutées lors de la dernière Botconf en novembre, qui regroupe des chercheurs et acteurs de la lutte contre les botnets.

nextinpact