Archives de catégorie : Affaires

«Heartbleed» : la faille qui frappe le cœur de la sécurité sur Internet

Publié le par

coeur

Une «catastrophe», le «cauchemar ultime», la «faille de la décennie». Depuis la découverte d’une faille de majeure sur Internet il y a tout juste une semaine, c’est l’affolement général parmi les experts en sécurité informatique et les responsables de sites Web. Heartbleed n’est en effet pas une vulnérabilité comme les autres.

 Heartbleed, c’est quoi?

Il s’agit d’une faille qui frappe le cœur de la sécurisation des échanges sur Internet. Le protocole Transport Layer Security (TLS) garantit que des données échangées entre le navigateur et un site Web ne pourront pas être facilement lisibles par des pirates, car chiffrées. Les navigateurs Internet signalent ces connexions sécurisées par une petite icône de cadenas, tandis que les adresses des sites passent de «http» à «https».

L’une des implémentations gratuite de ce protocole parmi les plus populaires, OpenSSL, a été victime d’une erreur de programmation. Alors qu’il pensait améliorer cette librairie, un développeur allemand, Robin Seggelmann, a introduit une vulnérabilité dans le code d’OpenSSL en décembre 2011. La version défectueuse a été diffusée à partir de mars 2012. À partir de cette version, tous les serveurs Web recourant à OpenSSL pour sécuriser leurs échanges laissaient en fait sans le savoir leurs portes grandes ouvertes.

La vulnérabilité est localisée dans une fonction, appelée Heartbeat, qui permet de maintenir la connexion sécurisée entre le navigateur et le serveur Web. À cause de l’erreur de Robin Seggelmann, un pirate peut mentir sur le poids de la requête et obtenir en retour des données qui ne lui étaient pas destinées. Il peut ainsi récolter des informations transmises par d’autres utilisateurs lors de requêtes précédentes, encore stockées dans la mémoire temporaire des serveurs vulnérables: des identifiants et mots de passe, des cookies de sessions et peut-être des clés de chiffrement.

• Quels sont les sites touchés par la vulnérabilité Heartbleed?

La faille concerne tous les serveurs Web utilisant les versions d’OpenSSL publiées entre mars 2012 et avril 2014, rendant vulnérables tous les sites qu’ils hébergent et menaçant donc les informations de leurs utilisateurs. Les estimations vont d’un tiers à deux tiers des serveurs Web en fonctionnement dans le monde, dont des réseaux sociaux, des sites bancaires ou d’e-commerce. La société Netcraft, spécialisée dans la sécurité informatique, dénombre plus de 500.000 sites qui touchés par la faille Heartbleed. Parmi les victimes les plus illustres figurent Yahoo! et Imgur, fréquentés par des millions d’internautes.

La faille ne touche pas seulement des serveurs Web. La librairie OpenSSL est implémentée dans des équipements de réseau, comme des routeurs Cisco.

Quelles informations sont menacées?

L’erreur de programmation a été découverte début décembre 2013, à quelques jours d’intervalle par deux équipes, l’une de Google, l’autre d’une société finlandaise, Condominium. Leur trouvaille a été tenue secrète jusqu’au mardi 8 avril dans la matinée, pour laisser le temps de développer des correctifs, sans alerter des utilisateurs malintentionnés.

Il est compliqué de savoir si cette vulnérabilité a été un jour exploitée, car les attaques exploitant Heartbleed ne laissent théoriquement pas de trace. Un cas suspect, datant de novembre 2013, n’a pas encore été corroboré. L’Electronic Frontier Foundation, une organisation qui milite pour les libertés sur Internet, a lancé une grande chasse sur Internet pour tenter de retrouver des preuves d’exploitation de Heartbleed. «Si on démontre qu’il y a eu une exploitation avant le 8 avril, on sera dans le scénario du pire», commente Thomas Gayet, directeur stratégie en cybersécurité au sein du cabinet Lexsi.

Rien qu’en récoltant des identifiants et des mots de passe, il est possible de se connecter aux services de messagerie, à des sites bancaires ou des réseaux sociaux. «Heartbleed permet aux agresseurs d’espionner les conversations, de voler des données directement à leur source et de se faire passer pour un service ou un utilisateur en particulier», prévient Codenomicon. Ce dernier point fait débat. «En testant la faille je n’ai pas réussi à obtenir d’informations clés des serveurs, juste des historiques de connexion et des cookies», expliquait sur Twitter Adam Langley, expert de sécurité informatique chez Google.

• Quelle a été la réaction des sites touchés?

Les sites Internet concernés par la faille ont très vite réagi. Traumatisés par le scandale du programme de surveillance Prism, ils veulent se montrer irréprochables dans la défense des données de leurs utilisateurs. La plupart ont effectué la mise à jour de la librairie OpenSSL au début de la semaine, à la suite de la publication d’une nouvelle version du programme informatique corrigeant le bug. C’est le cas de Yahoo!. D’autres plateformes utilisant la librairie OpenSSL, a priori non concernées par Heartbleed, ont appliqué le principe de précaution en renforçant leurs défenses. «Nous n’avons pas détecté d’activités suspectes mais nous encourageons tout de même nos utilisateurs à changer de mot de passe», a ainsi Facebook.

«La plupart des gros sites sont sauvés de la faille grâce à leurs choix plutôt conservateurs en termes de sécurisation des échanges sur Internet», commente de son côté Codenomicon. Ces poids lourds de la high-tech ne recourent pas à OpenSSL ou n’en avaient pas déployé des versions récentes. Apple, Microsoft, Amazon ou eBay ont déclaré qu’ils n’étaient pas concernés par cette faille.

Des autorité se sont inquiétées des conséquences que pourraient avoir Heartbleed sur les sites bancaires, par lesquels transitent des données très sensibles. Le Federal Financial Institutions Examination Council (FFIEC, composé entre autres de membres de la Réserve Férérale américaine) a publié jeudi un communiqué mettant en garde les banques face à ces risques. «Les agresseurs pourraient potentiellement imiter les services bancaires, leurs utilisateurs, ou voler des identifiants, accéder à des emails sensibles ou infiltrer les réseaux internes des banques», a prévenu le conseil. Les plus grosses banques américaines, donc Bank of America ou Wells Fargo, ont déjà déclaré qu’elles n’étaient pas affectées par Heartbleed.

Contactée par Le Figaro, la Banque de France explique que des systèmes d’authentification développés en France sur les sites Internet des banques, notamment par SMS, «constituent un élément de sécurité important qui limite en pratique l’exploitation de la faille Heartbleed dans notre pays». «Il convient néanmoins d’appeler à la vigilance des internautes, notamment en cas de réception de courriels les incitant à modifier leurs identifiant et mot de passe, lesquels courriels pourraient constituer des tentatives de ‘’phishing »», indique la Banque de France.

Une faille très médiatique

Heartbleed est une vulnérabilité originale à bien des égards. La révélation publique de la faille a bénéficié d’un plan de communication redoutable. Un ingénieur de Codenomicon lui a trouvé un surnom, «cœur qui saigne», afin d’exprimer l’idée que des données pouvaient s’en échapper. Ce patronyme a l’avantage de se retenir plus facilement que son nom d’origine, «CVE-2014-0160», en référence à son identifiant dans la base de données des vulnérabilités. Un autre employé de Codenomicon a ensuite acheté le nom de domaine Heartbleed.com, vite habillé d’un logo produit par un designer de l’entreprise.

La stratégie, qui s’apparente à celle employée lors du lancement d’un produit, avait pour but de diffuser l’information le plus rapidement et largement possible. Le site Internet Heartbleed.com a été mis en ligne lundi 7 avril, réunissant près de 1,4 million de visiteurs uniques en moins de 48 heures. «Notre mission est de rendre l’Internet plus sûr», a expliqué David Chartier, PDG de Codenomicon, dans une interview accordée au site Vocativ. «Nous avons déclenché une véritable réponse de la communauté. C’est un beau travail d’équipe.»

• La NSA était au courant, selon l’agence Bloomberg

Les révélations sur Heartbleed interviennent près d’un an après les débuts de l’affaire Snowden, qui a déjà porté un coup dans la confiance que l’on peut avoir sur la sécurité des données sur Internet. Les documents révélés grâce à l’ancien contractuel de la NSA ont montré qu’il était possible d’intercepter largement des données à des fins de renseignement, y compris celles supposément protégées. Un débat est déjà lancé: Heartbleed provient-t-il réellement d’une erreur de programmation ou traduisait-il d’autres desseins? «Il n’y a aucun élément factuel prouvant que c’était volontaire. La grande question est maintenant de savoir si d’autres acteurs, comme des services d’État ou des cybercriminels avaient découvert cette faille ou la connaissaient», estime Thomas Gayet. Selon l’agence Bloomberg, la NSA était informée «depuis au moins deux ans» de l’existence de cette faille et a décidé de la garder secrète, afin de s’en servir pour récolter des informations sensibles.

Source : Le Figaro 11/04/2014

Voir aussi : Rubrique Internet, rubrique  Défense, rubrique Actualité Internationale,

Etas-Unis. En politique, l’argent de plus en plus roi

Publié le par
Dessin de Bromley

Dessin de Bromley

Par une décision très décriée, la Cour suprême vient d’assouplir une nouvelle fois les règles de financement des campagnes politiques. Les gros donateurs pourraient avoir encore plus d’influence sur la vie publique américaine

Pendant des décennies, souvent après d’énormes scandales de corruption, les législateurs ont tenté de limiter les effets délétères de l’argent en politique. A présent, la Cour suprême est en train d’abattre ces garde-fous un par un.

En 2010, l’arrêt de la Cour suprême Citizens United a ainsi autorisé des entreprises et des syndicats à dépenser des sommes sans limite pour soutenir ou combattre un candidat.

Le 2 avril, c’était au tour des donateurs privés. L’arrêt McCutcheon v. FEC, adopté par 5 voix contre 4, a supprimé le plafond pour les dons que peuvent faire les particuliers aux candidats et aux partis lors des élections fédérales. [Les contributions destinées à tel ou tel candidat restent limitées, mais chaque donateur peut faire des dons au nombre de candidats qu’il souhaite.]

Infinie reconnaissance ?

Si cela ne vous inquiète pas, pensez au pouvoir et à l’influence qu’exerceront un très petit groupe de personnes grâce à cet arrêt. [Dans les faits], la limite pour les dons privés passe à 3,5 millions de dollars [2,5 millions d’euros] tous les deux ans (1). Les particuliers capables de débourser une telle somme sont très peu nombreux. Et les partis politiques leur devront une infinie reconnaissance.

John Roberts [le président de la Cour suprême] et la majorité conservatrice ont réussi à se convaincre que la corruption n’était pas vraiment un problème. Et qu’il faudrait surtout s’attaquer à la corruption directe, c’est-à-dire au fait qu’un particulier donne de l’argent à un homme politique en échange d’un service.

Mais, dans le monde réel de la politique contemporaine, ce genre de corruption explicite est rarement nécessaire. Même l’homme politique le plus obtus connaît les motivations de ses plus gros contributeurs et les mesures à prendre pour assurer la pérennité de ces dons. Les décisions de la Cour suprême ne font que donner de plus en plus de poids à ces grands donateurs.

L’argent continuera donc de couler à flots. Espérons que les inévitables excès à venir susciteront une colère suffisante chez les citoyens pour que les antidotes – le financement public des campagnes ou un amendement constitutionnel destiné à limiter le rôle de l’argent en politique – deviennent enfin une réalité.

Note :(1) Chiffre obtenu en additionnant les contributions maximales à tous les comités politiques d’un parti dans le pays et à ses candidats à la présidence et au Congrès.

 

Source : US Today Courrier International O7/04/2014

Voir aussi : Rubrique  Etats-Unis, Rubrique Politique, rubrique  Affaires,

Les putes au service des multinationales

Publié le par

Pas un contrat ne se négocie sans champagne. Ni celles qui viennent servir le champagne. Plaisir d’offrir, joie de recevoir ! Du client à charmer, les escorts semblent d’ailleurs toujours savoir d’avance quels sont les goûts… Le livre Sexus Economicus dévoile un aperçu troublant de ces «fiches de renseignement» qui circulent dans l’ombre et qui font la fortune des bons informateurs.

6a00e54f964f22883401a51178701a970c-800wi

Dans le monde du show-biz, de l’armement, de l’automobile, du pétrole, de la finance ou de la politique, on se renseigne toujours soigneusement sur les goûts du client. Nos élus municipaux n’y  échappent pas, qui se voient offrir de délicieux «à-côtés» par de grands groupes aux intérêts divers (eau, gaz, immobilier), lors de voyages d’études comprenant «hôtel de luxe»,  «restaurants gastronomiques» et… «visites des monuments». Visites des monuments ?

6a00e54f964f22883401a51178700a970c-800wi

Dans Sexus Economicus, Yvonnick Denoël, spécialiste du renseignement auteur du Livre noir de la CIA et de Comment devient-on espion, «éclaire la dimension sexuelle des scandales marquants, comme la mort violente du financier Edouard Stern, l’éviction de Jean-Marie Messier de la direction de Vivendi ou encore les secrets inavouables du prince Albert de Monaco, piégé par son ancien espion.» La quatrième de couverture du livre est presqu’aussi racoleuse que ces putes savantes dont les élites font un usage courant : il faut que ça vende ! Et pour vendre, ainsi que chacun sait, tous les moyens sont bons.

«Les journalistes économiques voient parfois les stars du CAC40 s’afficher avec de très jeunes femmes (ou jeunes hommes) qui ne figurent dans l’organigramme d’aucune société», dit-il. Mais la discrétion est de mise. «Il faut une mort violente pour lever le silence. La presse a plus de coups à prendre dans ce genre d’histoires que de ventes à gagner : les grands groupes du CAC40 sont aussi d’importants annonceurs publicitaires pour un secteur durement éprouvé par la crise. Peut-on se permettre de s’en aliéner ne serait-ce que quelques uns ? Et puis ces grands patrons peuvent s’offrir les meilleurs avocats de la place.» La presse se tient d’autant plus à carreau qu’il n’est pas forcément bien vu de dévoiler la vie intime des gens… même quand cela touche à l’ordre du monde. Résultat : on considère, en France, qu’il n’y a pas «matière à publication» dans le fait que des businessmen se régalent entre eux de filles recrutées chez les Miss truc et les pages Playmate pour négocier ventes d’avion ou de pipelines. «Dans un pays comme la France, où l’on a toujours considéré l’hyperactivité sexuelle des gouvernants comme un signe de saine vitalité», l’interférence entre vie privée et vie des affaires fait rarement l’objet d’enquêtes.

Décidé à lever ce qu’il appelle un «tabou», Yvonnick Denoël attaque : «La prostitution de luxe est considérée comme un ingrédient indispensable de la relation client, dit-il. Les entreprises constituent une des plus grosses clientèles de certaines call-girls.» Prenez  un salon professionnel au hasard : le salon Milipol dédié à la sécurité et à l’armement. «Le grand public n’y a pas accès. On entre sur invitation seulement.» En 2009, 26 000 clients potentiels, de près de 140 pays, se répandent entre les stands. Sur le comptoir d’une certaine entreprise, Yvonnick Denoël note la présence de cartons d’invitation  : «Entrée gratuite pour deux personnes» à la soirée spéciale «métiers de la sécurité»… au Hustler club, près des Champs-Elysées. «Nous y emmenons nos meilleurs clients», affirme le responsable du stand. Et que font les clients après un chaud spectacle de strip, arrosé de bouteilles à 200 euros pièces ? «Chacun rentre se coucher», répond sèchement le responsable qui exige que ni son nom, ni celui de l’entreprise ne soient révélés. «Chacun rentre se coucher, oui, mais… en bonne compagnie», répliquent certains clients rigolards qui, ayant pris l’habitude de se voir offrir un «troisième oreiller», ne voient pas pourquoi ils devraient le cacher. C’est de notoriété publique. Pourquoi tant d’hypocrisie ?

Pourquoi ? Parce qu’il existe en France un article de loi — l’article 334 du Code Pénal — qui condamne toute personne favorisant une activité de prostitution. Comme l’explique Marie-France Etchegouin, dans un magistral dossier publié en août 1988 dans Le Nouvel Observateur : «Il faut se mettre à la place des entreprises. Elles doivent justifier auprès du fisc des dépenses engagées pour le moindre petit cadeau de fin d’année. A fortiori pour une call-girl. Elles pourraient jouer franc-jeu. Ajouter dans leur budget, à côté de la rubrique «relations publiques», un poste «relations sexuelles» et expliquer à leur comptables «Voilà une note de 20.000 francs. Soit deux nuits avec une jeune dame pour notre client brésilien.» Le fisc dans une logique purement économique, ne devrait rien trouver à redire («Nous ne sommes pas une brigade des mœurs», dit un expert des impôts). Mais voilà, il y a l’article 334 du Code Pénal ! Alors les entreprises se débrouillent comme elles peuvent. Première solution : payer en liquide en puisant dans une caisse noire. «Simple, mais peu rentable économiquement, explique notre expert des impôts. Ces sommes ne peuvent pas être déclarées. Elles ne viendront donc pas en déduction de l’impôt sur les bénéfices.» Et pour le grandes sociétés d’aéronautique, de pétrole, de commerce d’armes, qui traitent des affaires portant sur des milliards très lourds et dépensent parfois des millions de francs en call-girls, le manque à gagner devient considérable. Alors comptables et services financiers se livrent à de savants exercices pour «habiller» ces coupables dépenses.» Fric, sexe et proxénétisme. C’est ici que commencent les ennuis. Pour échapper à l’article 334, les entreprises jouent en eaux troubles.

Elles font appel à des agences d’escort qui facturent leurs filles (rebaptisées «accompagnatrices multilingues») pour des services de «traduction». «Ce qui n’est pas toujours faux, mais souvent incomplet», se moque Yvonnick Denoël en évoquant toutes sortes d’autres «bricolages» dont les services du fisc ne sont jamais tout à fait dupes.  De ces solutions hypocrites mais qui conviennent «à tout le monde, pouvoir publics compris», il dénonce les dérives suspectes, abordant alors la question de ces mystérieux suicides d’intermédiaires hauts placés que l’on retrouve morts dans des chambres d’hôtel.  Ou ces petites copines de businessmen qui, croyant gagner le gros lot au petit jeu du chantage, se font (plus ou moins) discrètement abattre par des services spéciaux. Ou ces informateurs de haut vol qui font 80 fois le tour du monde par an dans des jets aménagés en baisodromes de luxe… Son livre se lit comme du Gérard de Villiers: vite, avidement, avec la sensation de vertige. Le sexe mène le monde et ça vire parfois danse macabre, vu de haut.

Agnès Giard

Sexus Economicus, Yvonnick Denoël, éditions du Nouveau Monde.

Source : Blog Les 4OO culs, 05/03/2014

Voir aussi : Rubrique Livre, Essais, rubrique Société, rubrique Affaires,

UE. Le Parlement doit voter un rapport accablant sur l’activité de la troïka

Publié le par

Le Parlement européen doit voter ce jeudi un rapport accablant sur l’activité de la troïka (Commission, BCE et FMI) dans les pays sous assistance financière. Entretien avec l’eurodéputé socialiste Liem Hoang-Ngoc, coauteur de la résolution.

liem-hoang-ngoc

liem-hoang-ngoc

Qu’avez-vous retenu des visites dans les pays sous assistance financière ?

iem Hoang-Ngoc. Nous avons vu que les gouvernements et Parlements nationaux avaient le pistolet sur la tempe. Soit ils entérinaient les propositions de la troïka (Commission européenne, Banque centrale européenne et Fonds monétaire international), soit ils n’avaient pas accès à l’aide financière. Quant aux partenaires sociaux, ils ont certes été consultés, mais leur avis n’a jamais été pris en compte. Au Portugal, patronat et syndicats s’étaient entendus sur un salaire minimum à 500?euros. La troïka a empêché l’application de cet accord qui, selon elle, menaçait la compétitivité.

Pourquoi critiquez-vous « l’absence de légitimité démocratique de la troïka » ?

Liem Hoang-Ngoc. Il n’y a pas eu de délibération démocratique au niveau européen sur les solutions préconisées par la troïka, avant que les propositions ne redescendent dans les États. Un tel débat aurait dû inclure la seule instance européenne élue au suffrage universel, le Parlement européen. S’il avait été mis dans la boucle, jamais l’Eurogroupe (les ministres des Finances de la zone euro – NDLR) n’aurait proposé à Chypre de taxer les petits dépôts inférieurs à 100?000?euros, pourtant garantis par une directive. Nos travaux montrent que lorsque les membres de la troïka n’étaient pas d’accord, l’Eurogroupe tranchait les décisions, dans l’opacité la plus totale, et qu’en son sein, la Commission n’a pas été garante de l’esprit communautaire.

En Grèce, le Fonds monétaire international (FMI) souhaitait une restructuration rapide (annulation partielle – NDLR) de la dette. La Banque centrale européenne (BCE) et l’Eurogroupe s’y sont opposés. En conséquence, la Grèce a dû mener une politique d’austérité sévère. Celle-ci n’a pas porté ses fruits et a conduit à une restructuration tardive de la dette grecque. La BCE a quant à elle racheté des titres grecs à dose homéopathique et a attendu septembre?2012 pour mettre sur pied son programme de rachat illimité des titres souverains en cas de spéculation. Avec une délibération démocratique européenne, ces sujets auraient été mis sur la table plus tôt.

Quelle institution prédominait au sein de la troïka ?

Liem Hoang-Ngoc. Sur le sauvetage du système bancaire irlandais, le gouvernement irlandais et le FMI étaient favorables à la mise à contribution des grands détenteurs d’obligations bancaires. Ils voulaient faire participer le secteur bancaire, ainsi que les fonds de pension – allemands en l’occurrence –, au plan de sauvetage. La BCE a une fois de plus dit «?non?» et privilégié un plan de sauvetage dont le financement pèse encore sur le contribuable. Dans cette affaire, c’est encore la BCE qui l’a emporté contre le FMI. Ses solutions ont été avalisées par l’Eurogroupe.

Pourquoi cet alignement ?

Liem Hoang-Ngoc. L’Eurogroupe est le lieu informel où sont arbitrées de la façon la plus opaque les décisions de la troïka. L’influence des États les plus importants – et donc de l’Allemagne – y prévaut.

Dans ce rapport, on trouve beaucoup de choses sur les procédures institutionnelles et moins d’analyses de fond sur les politiques menées.

Liem Hoang-Ngoc. Ce n’est pas tout à fait vrai. La tactique de mon corapporteur (le conservateur autrichien Othmar Karas) a été de se concentrer sur les aspects institutionnels car il estime que les politiques menées étaient les bonnes, et qu’il y avait essentiellement un problème de légitimité démocratique. Le déficit démocratique est un aspect sur lequel on pouvait le rejoindre. Concernant l’autre aspect du rapport, l’évaluation des politiques économiques proposées par la troïka, l’essentiel du message provient de notre camp. Mais le Parti populaire européen a essayé d’adoucir ce message, en arguant que si ces politiques n’ont pas complètement porté leurs fruits, c’est que les États ne se les sont pas pleinement appropriées. Pour notre part, nous constatons que les objectifs macroéconomiques n’ont pas été atteints?: la croissance reste atone et le taux d’endettement a partout explosé. Nous avons souligné les désaccords entre les membres de la troïka, attestant que d’autres politiques étaient possibles. Le message que j’ai voulu faire passer est que les politiques d’austérité ont échoué. Le débat démocratique doit par conséquent être ouvert pour mettre en évidence l’existence de politiques alternatives.

Entretien réalisé par Gaël De Santis

Source L’Humanité 12/03/2014

Voir aussi : Rubrique UE, rubrique Politique, Politique Economique, rubrique Finance, On Line L’austérité en examen au Parlement , La charge des syndicats européens contre la troïka

Parachute sénatorial pour Dassault

Publié le par

affaire dassault 14Source Le  15 janvier 2014

Voir aussi : Rubrique Affaires, 5 questions pour comprendre, rubrique Médias, Avec qui pilote Dassault ?,