Découverte d´une base de données qui n'annonce rien de bon. 1.5 millions de comptes MSN avec mots de passe dans la e.nature. Un lecteur de ZATAZ.COM nous a fait part d'un étonnant spam, mardi soir, diffusé en centaines de milliers d'exemplaires. Un message publicitaire classique, sans grand intérêt.

L'intérêt, du moins pour nous, a été de remonter au vilain publicitaire. Ce dernier est passé par un serveur situé au Pays-bas. Un vilain qui semble avoir de la suite dans les idées et une force de frappe qui laisse quelques inquiétudes derrière la sour

Nous avons pu constater que le "pirate" avait oublié d'effacer, sur le serveur, qui lui a servi à diffuser son spam, sa base de données de courriers électroniques. Nous pouvons confirmer que cet individu possède 1.5 million de comptes Messenger (MSN), avec les mots de passe valides. Nous avons pioché 50 comptes, au hasard, dans cette base de données. Bilan de notre test, 50 comptes valides.

Comment a-t-il pu mettre la main sur autant d'identifiants de connexion ? Phishing, keylogger, ... toutes les possibilités sont ouvertes. Nous ne pouvons que vous conseiller de changer votre mot de passe, ainsi que vos questions secrètes. (Aenor)

Dernier message écrit par : poisch le Hier, 03:40 PM

Dans sa lutte contre le piratage, Nintendo vient de remporter un nouveau succès sur le front européen. En effet, après avoir obtenu la condamnation de onze revendeurs de linkers R4 aux Pays-Bas il y a quelques jours, la société japonaise a obtenu une nouvelle victoire au Royaume-Uni.

Dans une décision de justice rapportée par MCV, la Haute Cour de Justice de Londres a officiellement interdit l'importation, la publicité ou la vente de linkers R4 sur le sol britannique. Les défendeurs avaient pourtant cherché à mettre en avant l'utilisation légale du linker R4. En effet, le dispositif permet le homebrew, une pratique désignant des amateurs plus ou moins doués créant des jeux vidéo sur des consoles de salon ou des consoles portables.

Néanmoins, la Haute Cour en a jugé autrement puisqu'elle a mis en avant le paradoxe du linker R4. Pour fonctionner, l'outil a besoin de contourner les protections mises en place par Nintendo pour sécuriser sa console. Or, si le but final de la manoeuvre est peut-être légal (le homebrew), le moyen pour y parvenir ne l'est manifestement pas.

Rappelons en effet que le Royaume-Uni a transposé en 2003 la directive européenne sur l'harmonisation de certains aspects du droit d'auteur et des droits voisins dans la société de l'information, plus connue sous son acronyme de EUCD, dans sa législation (Copyright and Related Rights Regulations).

Pendant britannique de notre DADVSI nationale, ce dispositif législatif interdit la fourniture de moyens de contournement des mesures techniques de protection (MTP, ou DRM) déployés pour empêcher le piratage. C'est d'ailleurs sur la DADVSI que Nintendo France s'est appuyé pour son action en France. Sur ce motif, la firme avait pu saisir une pléthore de cartouches pirates fin 2007.

Selon le communiqué retranscrit par MCV, "Nintendo encourage et favorise la création, et soutient fortement les développeurs de jeux qui créent des applications nouvelles et innovantes", en rappelant "qu'au Royaume-Uni, il y a eu plus de 100 000 dispositifs saisis depuis 2009". Et la firme d'ajouter que "ces actions n'ont pas été entreprises uniquement en son nom propre, mais également au nom de 1 400 sociétés qui dépendent des ventes légales de jeux vidéo pour leur survie".
Article diffusé sous licence Creative Common by-nc-nd 2.0, écrit par Guillaume Champeau pour Numerama.com

Dernier message écrit par : poisch le Hier, 03:36 PM

Facebook au centre d'une nouvelle polémique ? Pas directement en tout cas. Un internaute a collecté pas moins de 100 millions de profils d'utilisateurs du réseau social Facebook. Il a profité de l'accès public à certaines parties des profils pour y parvenir. Si d'aucuns estimeront que Facebook est fautif parce qu'il ne sécurise pas par défaut un profil, d'autres rétorqueront que les internautes n'ont qu'à s'y intéresser puisque ce sont les premiers concernés.

Voilà une affaire qui va peut-être inciter quelques utilisateurs Facebook à affiner les réglages des paramètres de confidentialité. En effet, Thinq nous informe qu'un informaticien du nom de Ron Bowes a aspiré pas moins de 100 millions de profils Facebook pour ensuite les regrouper dans un fichier .torrent unique de 2,8 Go.

Selon Bowes, le répertoire contient pas moins de 171 millions d'entrées en liaison avec 100 millions d'utilisateurs individuels. À supposer que les statistiques fournies par Facebook sur le nombre d'inscrits sont exactes (500 millions de membres, selon le réseau social), cela veut dire qu'un utilisateur sur cinq du site communautaire se trouve dans le fichier créé par Ron Bowes.

Comment-a-t-il procédé ? En réalité, Ron Bowes n'a pas eu à pirater Facebook ou accéder à la base de données du site communautaire. Il a tout simplement conçu un programme permettant de récolter les données des utilisateurs listés dans le Facebook Open Access Directory, une sorte de répertoire géant recensant tous les utilisateurs du réseau social n'ayant pas pris le temps de jeter un oeil sur les options de confidentialité.

Or, sans un ajustement de ces réglages, le profil en question se retrouve d'une part dans le répertoire géant de Facebook, et d'autre part l'utilisateur se fera tôt ou tard recenser par les moteurs de recherche. Car en effet, ces derniers parcourent également le réseau social à la recherche de contenus à référencer.

Concrètement, le fichier contient l'ensemble des données publiques que peut contenir un profil. En plus de l'identité des membres concernés (prénom et nom), le fichier a collecté l'adresse Internet menant à chaque profil, ainsi que différentes informations pouvant être accessibles publiquement. Cela varie en fonction des options (ou si l'utilisateur a renseigné certains champs et pas d'autres), mais le programme a peut-être collecté des adresses postales, des dates de naissance ou encore des numéros de téléphone.

A priori, la collecte de Ron Bowes n'a rien d'illicite. Il a simplement automatisé un processus de collecte d'informations qui étaient accessibles publiquement sur les profils concernés. Malgré tout, il est cependant relativement simple de se préserver de ce genre d'activités : il suffit de se pencher sur les paramètres de confidentialité afin de masquer certaines informations.

Bien évidemment, certaines informations ne pourront pas être absolument cachées, comme le nom, le prénom (sauf à se créer une toute autre identité, bien entendu) ou l'adresse Internet menant au profil en question. Mais ces réglages offrent déjà une protection convenable. Et cette affaire aura peut-être le mérite de pousser certains à prendre en considération ces fastidieuses options.

Cela étant, Ron Bowes semble décidé à poursuivre l'expérience. Pour l'heure, son programme rencontrait quelques limites techniques. Premièrement, il ne s'est pas intéressé aux amis d'un profil accessible publiquement. Ensuite, il s'est concentré uniquement sur les utilisateurs dont les premiers caractères proviennent de l'alphabet latin. À terme, "j'ai l'intention d'ajouter des noms non-latins dans les versions ultérieures" a-t-il indiqué.
Article diffusé sous licence Creative Common by-nc-nd 2.0, écrit par Guillaume Champeau pour Numerama.com

Dernier message écrit par : poisch le Hier, 03:34 PM

C'était attendu, et c'est fait. Le décret n° 2010-872 du 26 juillet 2010 relatif à la procédure devant la commission de protection des droits de la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (Hadopi) a été publié ce mardi au Journal Officiel. Il s'agissait de la dernière brique législative nécessaire pour la mise en oeuvre de la riposte graduée, qui devrait intervenir en septembre.

Le décret prévoit que les ayants doivent transmettre pour chaque saisine :

* Les données à caractère personnel du fichier de l'Hadopi, tel que prévu au décret du 5 mars 2010, lequel est toujours attaqué avec de bonnes chances de succès devant le Conseil d'Etat ;
* Une déclaration sur l'honneur selon laquelle l'auteur de la saisine a qualité pour agir au nom du titulaire de droits sur l'œuvre ou l'objet protégé concerné par les faits.

Il précise que les FAI ont huit jours pour transmettre l'identité des abonnés à la Commission de protection des droits de l'Hadopi lorsqu'elle leur indique une adresse IP. La Haute Autorité pourra par ailleurs leur demander de transmettre sous quinze jours les logs de connexion et autres données relatives au trafic détenues par les FAI.

Le décret prévoit des sanctions contre les opérateurs qui refuseraient de se soumettre à ces obligations, mais rien contre les ayants droit qui saisiraient abusivement l'Hadopi, par des relevés insuffisamment probants voire mensongers.

A l'égard des abonnés, le texte indique que lorsqu'elle est saisie d'une récidive dans un délai d'un an, la commission de protection des droits informe l'abonné par lettre recommandée que les faits sont "susceptibles de poursuite". Il peut alors présenter sous 15 jours ses observations, solliciter une audition, ou être convoqué d'office, et se faire assister par un conseil. "Elle l'invite également à préciser ses charges de famille et ses ressources", précise le décret, ce qui devrait permettre à l'Hadopi de modérer ses actions en fonction des foyers.

Comme au commissariat, l'audition de l'abonné donne lieu à un procès verbal signé, remis à l'intéressé. Il fera foi lors des éventuelles poursuites, pour témoigner que l'abonné avait bien pris certains engagements devant l'Hadopi.

La décision de transmettre un dossier au parquet est prise à la majorité d'au moins deux voix de la commission de protection des droits.
Article diffusé sous licence Creative Common by-nc-nd 2.0, écrit par Guillaume Champeau pour Numerama.com

Dernier message écrit par : poisch le Jul 27 2010, 03:30 PM

Alors que le Parlement Européen avait voté il y a plus d'un an l'allongement de la durée de protection des droits des producteurs et des artistes interprètes, certains pays font blocage et permettent à des œuvres majeures de passer dans le domaine public.



Les temps sont durs pour les majors de l'industrie du disque sur le front du lobbying européen. Autrefois, il suffisait d'organiser quelques dîners mondains, de lancer quelques invitations flatteuses en compagnie de stars du show-business, et l'on parvenait sans grand mal à convaincre les parlementaires de voter tout et surtout n'importe quoi en matière de droits d'auteur. C'était la grande époque, celle où Internet n'avait pas encore permis au public de découvrir toute l'injustice d'un droit qui a perdu depuis longtemps tout sens de l'équilibre, et de s'organiser pour s'y opposer.


Ces derniers mois, les lobbyistes de Bruxelles ont enregistré l'arrivée d'un député pirate, vécu la bataille de l'amendement 138, constaté l'adoption écrasante du rapport Lambrinidis contre la riposte graduée, vu l'ACTA se prendre une gifle, et même vu le vote du rapport Gallo reporté à la rentrée alors que les choses semblaient entendues.



Seule lumière au tableau pour les partisans d'un droit d'auteur toujours plus orienté contre le droit du public, et non des moindres : l'extension de la durée de protection des droits voisins.

On se souvient en effet qu'après un âpre débat, le Parlement Européen avait accepté en 2009 de voter une directive pour faire passer la durée de protection des droits des maisons de disques et des artistes interprètes de 50 ans à 70 ans après l'enregistrement. C'était moins que les 95 ans souhaités par les lobbys, mais déjà beaucoup trop au regard du rapport Gowers commandé par la Grande-Bretagne en 2006, qui concluait qu'une extension de la durée de protection aurait pour effet d'augmenter le prix de l'accès aux oeuvres pour les consommateurs, de freiner la concurrence, et d'avantager ceux qui possèdent les plus gros fonds de catalogue, c'est-à-dire les majors du disque.
C'était énorme, surtout, au regard de cette étude qui calculait que la durée optimale de protection des droits des auteurs et des compositeurs serait de 14 ans après la création de l'oeuvre, et qu'au delà les effets de la protection prolongée de l'oeuvre sont plus négatifs pour la société que les effets positifs de son passage dans le domaine public.


Or dans un article publié vendredi, L'Express écrit que l'adoption définitive de la directive de 2009 "se heurte aux refus du Luxembourg, de la Suède ou encore de la Roumanie", qui ne veulent pas la ratifier. La présidence espagnole de l'Union européenne a échoué à faire le forcing, et "la Belgique, qui vient de prendre la présidence européenne, sera suivie par la Hongrie au premier semestre 2011, et toutes deux sont défavorables à tout changement".



Ainsi, alors qu'ils devaient bénéficier d'un second souffle de 20 ans, certains tubes de Johnny Hallyday, de Charles Aznavour ou de Nana Mouskouri sont en train de passer dans le domaine public. Idem bientôt pour les vaches à lait musicales que sont les titres des Rolling Stones ou des Beatles, ou le catalogue de Claude François, qui ne pourront toujours pas cependant être téléchargés et partagés librement. Il faut noter en effet que seuls les droits sur les enregistrements sont concernés, pas les droits sur les paroles ou les mélodies qui restent opposables 70 ans après la mort de l'auteur.


Interrogé par L'Express, l'Adami qui gère en France les droits des artistes-interprètes ressort l'argument largement usité de la retraite, qui fait passer le droit d'auteur pour un droit à une rente à vie. Ou un droit à la paresse. "Nous payons chaque année 50 000 artistes, quelle que soit leur notoriété. Et, avec l'allongement de la durée de vie, il est normal d'allonger la durée des droits. On ne renoncera pas", explique l'organisation.


L'infatigable Pascal Nègre - le président d'Universal Music France - utilise pour sa part un argument plus original, qui méritera d'être repris pour défendre le P2P et plus généralement le droit de diffuser les oeuvres librement. "Il n'y a plus de travail de mémoire" de la maison de disques lorsqu'elle n'est pas incitée à "faire des efforts de marketing pour mettre en avant de vieux titres remixés", regrette ainsi M. Nègre. Lequel a oublié qu'à l'origine le droit d'auteur n'est pas accordé pour saluer la mémoire des vieux, mais pour encourager la jeunesse (ou les anciens) à créer toujours de nouvelles oeuvres pour enrichir la culture nationale. Or on n'est jamais mieux incité à créer de la nouveauté que lorsque seule la nouveauté paye.


Ce que L'Express résume parfaitement dans cette magnifique conclusion :

"Les industriels et les interprètes feraient mieux de préparer leur avenir", s'emporte un bon connaisseur du secteur. Et, peut-être, de méditer les paroles d'Edith Piaf : "Non, rien de rien, non, je ne regrette rien ! C'est payé, balayé, oublié, je me fous du passé !" Encore une chanson de la Môme qui tombera cette année dans le domaine public.

Article diffusé sous licence Creative Common by-nc-nd 2.0, écrit par Guillaume Champeau pour Numerama.com

Dernier message écrit par : Miss C le Jul 27 2010, 09:05 AM

Chez Mozilla, on se pose beaucoup de questions au sujet des onglets, et plus particulièrement de leur organisation. L’onglet en lui-même est devenu la règle en termes de navigation sur Internet, mais avec le temps qui passe, leur nombre a tendance à augmenter. Tout se mélange, et on a parfois plus vite fait d’en ouvrir un nouveau plutôt que de chercher celui que l’on souhaitait lire dans la masse. C’est ici qu’intervient le projet Tab Candy.




Comme on peut le voir sur la vidéo, le but du projet est simple : on crée des groupes d’icônes. Ce fonctionnement se retrouve, dans sa philosophie, dans la création des dossiers sur iOS 4 d’Apple. On pourrait encore le comparer à Fences, dont nous avions déjà parlé. Regrouper les onglets par thèmes en animant le tout via un effet de type Exposé devrait rendre particulièrement agréable l’utilisation de la fonctionnalité.

Il s’agit pour l’instant d’une fonctionnalité en version alpha, autrement dit : elle peut se montrer particulièrement instable. Là où le projet est particulièrement intéressant, c’est que Tab Candy ne fait pas appel à des API présentes sur le système d’exploitation mais est conçue entièrement en CSS, HTML et JavaScript.

Autre élément sympathique de Tab Candy : la possibilité d’appeler la fonctionnalité au clavier. Ainsi, sous Windows, on lancera la vue générale via Ctrl + Espace, et sous Mac OS X avec Option + Espace. Le fait de déclencher Tab Candy au clavier fait gagner du temps car la souris reste mobile dans la zone concernée pendant que l’autre main s’occupe d’afficher les onglets. Lorsque la souris survole un groupe, la vue se concentre sur ce dernier pour que l’utilisateur puisse mieux voir ce qui est à l’intérieur.

Cette fonctionnalité, ou tout du moins cet embryon de fonctionnalité, ne représente qu’un premier jet et est donc très incomplet quant aux autres possibilités qui vont arriver par la suite. La priorité pour Mozilla est désormais de travailler sur les performances, les tests unitaires ou encore la documentation.

Si l’on replace cependant les choses dans leur contexte, Tab Candy sera probablement beaucoup plus aimé de ceux qui brassent un grand nombre d’onglets et qui les laissent par exemple ouverts pendant plusieurs jours. D’autres, qui préfèrent fermer le navigateur et n’ouvrent guère plus de trois ou quatre onglets, y verront un intérêt plus limité.

Ceux qui souhaitent tester Tab Candy pourront la récupérer depuis cette page du site d’Aza Raskin. Attention toutefois, il s’agit d’une version complète et non finalisée de Firefox 4.0 dédiée à cette fonctionnalité.



Rédigée par Vincent Hermann pour PCinpact

Dernier message écrit par : Miss C le Jul 27 2010, 08:55 AM

Voilà encore une nouvelle qui va agacer Steve Jobs : le gouvernement américain vient d'autoriser la pratique commune dite du jailbreak, soit la possibilité de déverrouiller les systèmes des téléphones portables et notoirement de l'iPhone.



Cette décision a été prise dans le cadre de l'évaluation triennalle du Digital Millenium Copyright Act (DMCA). En janvier 2009, l'Electronic Frontier Foundation (une organisation de défense des libertés) avait déposé une requête pour que le jailbreak soit exclu du DMCA, requête à laquelle Apple avait bien sûr répondu en défendant le fait que le jailbreak soit illégal.


Le gouvernement américain a donc donné raison à l'EFF.
Pour les développeurs de jailbreak, et d'applications iPhone (ou Android) c'est une décision très lourde de conséquences. On imagine maintenant que de nombreuses sociétés frileuses à développer pour des plateformes à moitié pirates vont se ruer sur ce nouveau marché. Le jailbreak signifie en effet que les utilisateurs d'iPhone n'auront plus à passer par l'App Store et le processus de validation par Apple très contraignant. Le jailbreak signifie également qu'on devait bientôt voir apparaître des applications gérant Flash. Enfin, le jailbreak fait sauter le verrou du téléphone sur le réseau d'un opérateur en particulier. Un gros pavé dans la marre d'AT&T le seul opérateur partenaire d'Apple aux USA.



On ignore si Apple peut faire appel de cette décision.


par Matthieu Lamelot pour presence-pc.com - source: copyright.gov

Dernier message écrit par : Miss C le Jul 27 2010, 08:32 AM

Aux Etats-Unis, une cour d'appel a jugé que le contournement des DRM n'est pas illégal en soit, et qu'il ne peut être condamné que s'il vise à accéder à une oeuvre dont les droits d'auteur ont été violés.

La Cour d'appel du 5ème Circuit des Etats-Unis, basée à la Nouvelle-Orléans, a rendu un jugement qui pourrait bientôt contraindre la Cour Suprême à se pencher sur la protection juridique accordée aux verrous numériques. Boing Boing rapporte en effet que la juridiction a jugé que la protection accordée aux DRM par le Digital Millennium Copyright Act, la loi DADVSI américaine, n'était applicable que si le contournement du DRM a pour finalité la violation du droit d'auteur.

L'affaire détaillée par Court House News est assez obscure. Le géant américain General Electric était accusé par la société MGE UPS Systems d'avoir employé un crack pour pouvoir utiliser un de ses logiciels destiné aux industriels. En principe, le logiciel ne peut être utilisé qu'avec une clé de protection physique, de type clé USB, mais le crack permettait d'y accéder sans avoir à connecter le dispositif de sécurité, qui dispose d'une date d'expiration, de mots de passe et d'un nombre maximal d'utilisations.

Le jury avait octroyé 4,6 millions de dommages et intérêts à MGE sur le fondement de la violation de droits d'auteur, mais le tribunal a estimé que le DMCA était inapplicable. Selon le juge, "le DMCA interdit seulement les formes d'accès qui violeraient ou empiéteraient les protections que la loi sur le droit d'auteur accorderaient sinon aux titulaires de droits". En clair, il ne peut y avoir condamnation en contournement de DRM que si ce contournement a pour but de violer un droit d'auteur, ce qui n'a pas été démontré par MGE.

Selon Boing Boing, il s'agit là d'un jugement isolé aux Etats-Unis, mais qui pourrait obliger la Cour Suprême à trancher si MGE décidait de la saisir.

En pratique, la décision de la cour d'appel retire tout intérêt à la protection juridique des DRM. La violation des droit d'auteur étant elle-même condamnée, il ne sert à rien de condamner en plus le contournement des DRM si les deux infractions sont intimement liées.

C'est l'une des principales critiques faites lors des débats sur la loi DADVSI, qui protège également en France les DRM. Les verrous numériques sont une sorte de protection au cube, démesurée : une oeuvre juridiquement protégée par le droit d'auteur, techniquement protégée par un DRM, lui-même juridiquement protégé par la loi. Cette encapsulation façon poupées russe contribue à amoindrir encore plus encore les droits du public. Un déséquilibre d'autant plus inacceptable en France que plusieurs décrets à loi DADVSI destinés à protéger les intérêts des utilisateurs n'ont pas été publiés, notamment celui qui doit garantir l'effectivité du droit à la copie privée.
Article diffusé sous licence Creative Common by-nc-nd 2.0, écrit par Guillaume Champeau pour Numerama.com

Dernier message écrit par : poisch le Jul 26 2010, 04:39 PM

Dernier message écrit par : Miss C le Jul 25 2010, 09:05 PM

Des chercheurs ont découvert une faille dans la protection WPA2, la plus forte actuellement disponible sur les réseaux Wi-Fi. Les internautes, qui ont désormais la responsabilité de sécuriser leur connexion Internet, sont donc potentiellement dans une situation insoluble : comment sécuriser correctement un accès Internet si les outils à disposition sont tous techniquement faillibles ?

Le 26 juin dernier, le décret instituant une "contravention de négligence caractérisée protégeant la propriété littéraire et artistique sur Internet" était publié au Journal officiel. Paraphé par le Premier ministre et les ministres de la Justice et de la Culture, le texte précisant ce qu'est la négligence caractérisée indiquait ainsi :

"Constitue une négligence caractérisée [...] le fait, sans motif légitime, pour la personne titulaire d'un accès à des services de communication au public en ligne [...] soit de ne pas avoir mis en place un moyen de sécurisation de cet accès, [...] soit d'avoir manqué de diligence dans la mise en oeuvre de ce moyen".

Or, si le décret a bien confirmé l'obligation pour chaque internaute d'installer un moyen de sécurisation après réception d'une lettre recommandée, il est resté muet sur la forme que devra justement prendre ce fameux moyen de sécurisation. Quelques mois plus tôt, le ministère de la Culture avait pourtant indiqué deux pistes permettant de sécuriser son accès à Internet.

Dans sa réponse publiée au Journal officiel, le ministère présenta deux niveaux de protection. D'une part, la mise en oeuvre de solutions de sécurisation au niveau du poste informatique, afin de gérer "l'utilisation de l'accès d'un foyer ou de prémunir cet accès contre des tiers extérieurs", et d'autre part, la présence de moyens de sécurisation pour le boîtier de connexion afin "de prémunir l'abonné contre l'intrusion d'un tiers".

Et le ministère de poursuivre en expliquant que "les boîtiers de connexion qui permettent de relier le poste de l'utilisateur à Internet, par fil ou sans fil (Wi-Fi), peuvent être sécurisés au moyen de clés et de protocoles cryptographiques (clés WEP et WPA). Ces clés sont l'équivalent d'un mot de passe dans un système de contrôle d'accès. Cette sécurisation peut être complétée par une restriction d'accès aux seuls périphériques préalablement déclarés par l'utilisateur (filtrage MAC)".

Cependant, dans l'un et l'autre cas, un certain nombre de problèmes demeurent. Premièrement, la liste des fonctionnalités pertinentes que doivent respecter les moyens de sécurisation imposées aux abonnés par la loi Hadopi n'a toujours pas été publiée. Et c'est à se demander si elle le sera un jour, malgré les assurances du secrétaire général de la Haute Autorité.

Deuxièmement, les moyens de sécurisation des boîtiers de connexion sont loin d'être inébranlables. Les pistes avancées par le ministère, comme les clés de chiffrement WEP ou WPA, sont faillibles depuis plusieurs années maintenant. Or, un article publié chez Network World nous apprend qu'une vulnérabilité a été trouvée dans la clé de chiffrement WPA2.

Problème, comme le souligne Joanie Wexler, ce protocole de sécurité est censé être à l'heure actuelle la protection la plus solide pour un réseau Wi-Fi. Du moins, le plus solide dans les différents paramètres disponibles sur un boîtier Wi-Fi. Surnommée "Hole 196", cette vulnérabilité s'appuie sur une méthode d'attaque informatique appelée "man in the middle" (attaque de l'homme du milieu).

Brièvement, il s'agit d'une méthode permettant d'intercepter les communications entre deux parties, tout en évitant de se faire détecter. C'est technique évite ainsi d'avertir l'une ou l'autre des parties que le canal de communication a été compromis. Selon le chercheur, il n'a pas été nécessaire de pirater l'algorithme de chiffrement AES sur lequel repose le WPA, ni d'utiliser une attaque par dictionnaire (chercher la solution en testant toutes les combinaisons possibles) pour fragiliser la protection WPA2.

Selon Kaustubh Phanse, un architecte spécialisé dans les réseaux sans fil, "il n'y a rien qui permette pour l'heure de patcher cette vulnérabilité [Hole 196]", estimant que cette faille "ouvre une fenêtre de tir possible grâce à cette vulnérabilité Zero day".

Cependant, les chercheurs indiquent que la portée de cette faille est pour le moment assez limitée, puisqu'il faut être déjà un utilisateur autorisé pour l'exploiter. Les attaques menées depuis l'extérieur ne peuvent visiblement pas s'en servir. Mais à l'heure le décret créé une obligation de résultat pour le moyen de sécurisation, voilà qui est assez troublant.

Rappelons que dans le cadre de la loi Hadopi, c'est le juge qui devra vérifier d'une part la présence d'un moyen de sécurisation, et estimer d'autre part sa pertinence et son efficacité. Or, cette expertise devra se faire en gardant en tête que la fiabilité absolue d'un moyen de sécurisation n'est pas atteignable. Il faudra sans doute trancher entre une connexion "assez sécurisée" et un accès "pas assez sécurisé".

Mais pour les instigateurs de la loi, la question de la sécurisation de l'accès à Internet est devenue secondaire de toute façon. L'objectif est de pouvoir envoyer au plus vite les e-mails d'avertissement aux internautes suspectés de piratage. Reste qu'il est assez cocasse que cette information arrive alors que le dernier décret de la loi Hadopi a été validé...
Article diffusé sous licence Creative Common by-nc-nd 2.0, écrit par Guillaume Champeau pour Numerama.com

Dernier message écrit par : poisch le Jul 25 2010, 05:40 PM