PROJET AUTOBLOG


Reflets

Site original : Reflets

⇐ retour index

Mise à jour

Mise à jour de la base de données, veuillez patienter...

Les violences policières sont la graine qui fera grandir la haine et la violence

samedi 30 avril 2016 à 15:21
D.R.

D.R.

Les violences policières se multiplient au fil de l’enracinement du mouvement social actuel et des liens qu’il tisse avec les syndicats. Un oeil perdu ici, des matraquages là, les forces de maintien de l’ordre s’en donnent à coeur joie. En se comportant comme des hors-la-loi, les représentants de la police sèment une graine qui fera grandir la violence, la haine, dans les années à venir. C’est totalement contre-productif, mais tellement classique. Manuel Valls qui est inversement martial à sa taille devrait y réfléchir. François Hollande qui a réussi le défi de laminer définitivement le Parti socialiste (le résultat de 2017 sera sans doute sidérant) devrait essayer de se projeter dans l’avenir.

Tu vas voir à la récré si tu mens au Sénat !

jeudi 28 avril 2016 à 18:26

Societe-generaleIl risque quelques années de prison et pas mal d’euros d’amende pour avoir menti devant une commission du Sénat. Ce médecin avait des conflits d’intérêts et avait déclaré le contraire devant les sénateurs. C’est mal de mentir aux Sénateurs. Surtout qu’il était prévenu. Les Sénateurs le disent avant de commencer l’audition. On est sous serment, on risque gros si l’on ment. Ça n’a pas loupé, les représentants du peuple ont transmis le dossier à la justice. Nous, à la place de Frédéric Oudéa, on se ferait du mouron… #OhWait…

PJLNumérique : la cybersécurité ne va pas s’en sortir grandie

mercredi 27 avril 2016 à 20:03

0dayLes anciens internautes le savent, en matière de sécurité informatique, la France bat des records d’immobilisme. On pourrait mettre ça sur le compte d’un système éducatif à la traîne, sur le compte d’un manque de cyber souveraineté , sur le compte des pirates qui assassinent des artistes à coups de clics, sur le compte des anciens astronautes, mais on revient toujours au fait politique, celui qui fait la loi.

Jusque là, il existait un texte assez poussiéreux, l’article 226-17 du code pénal, qui définissait une obligation de sécurité pour les responsables de traitement de données personnelles. Mieux, la jurisprudence ne limitait pas l’obligation de sécurité à une obligation de moyens, mais elle l’étendait à une obligation de résultat. Tout allait alors pour le mieux dans le meilleur des mondes puisque si un responsable de traitement ou même un sous-traitant faisait n’importe quoi avec vos données de santé ou vos données bancaires, ce qui n’arrive jamais c’est bien connu, il encourrait une peine de 5 ans de prison et 300 000 euros d’amende. Dans les faits, un nombre infime d’affaires ont été portées devant les tribunaux sur le fondement de cet article. Bref, cet article n’a pas servi à grand chose, mais c’est probablement parce qu’il ne concernait pas assez de monde (#oupas).

Dans un élan sécuritaire visant à éduquer les particuliers à la cybersécurité, le législateur a étendu l’obligation de sécurité « pour tous », en définissant une infraction de négligence caractérisée. L’abonné à Internet a maintenant pour obligation de sécuriser sa connexion pour s’assurer que cette dernière ne serve pas de moyen au cyber-génocide des artistes. L’internaute encourt un mail, suivi d’un recommandé, suivi d’une coupure de connexion. Il y a bien eu un jour une connexion coupée, mais pas celle d’un particulier. Hay caramba, encore raté. Jusque là, tout allait toujours pour le mieux dans le meilleur des mondes puisque tout le monde était condamnable pour une raison ou pour une autre (il ne faut se fermer aucune porte) :

Et puis, un jour, le législateur s’est aperçu d’un truc qu’on lui expliquait depuis 30 ans

Là vous vous dites « mais c’est super, on va enfin foutre la paix aux chercheurs qui trouvent et aux journalistes qui font leur métier ».

Faut pas déconner non plus…

Protéger les lanceurs d’alerte, mais pas trop

Le projet de loi sur le numérique a soulevé la question de la protection des lanceurs d’alerte. On se dit, forcément, que ça va dans le bon sens. Mais soulever une question, c’est une chose, y apporter une réponse sensée en est une autre et étrangement, c’est rarement sur le second point que le politique excelle quand ça touche au numérique.

Les députés PS ont eu une idée géniale, exempter les lanceurs d’alerte de peine, mais pas de poursuite, ni de garde vue, ni de procès

L’amendement qui te protège, camarade, ça donne ça en pratique :

« Vous êtes un chercheur qui trouve ? Vous venez de sauver la planète en alertant les autorités au détour d’une recherche Gogleuh vous donnant accès aux centrifugeuses de la centrale nucléaire de Fessenheim ? Vous visiteriez bien nos geôles 72h, on a quelques questions à vous poser, mais ce sera plus rapide si vous vous passez d’un avocat, donc c’est une formalité hein. En plus c’est super, vous êtes exempté de peine ! Bon il y aura un procès donc prévoyez quand même un petit budget avocat au cas oùoui en plus de celui pour remplacer la porte que nous venons d’enfoncer ».

Ça donne envie non ?

Rebondissement aujourd’hui comme l’explique Nextinpact, le signalement pourrait se faire directement à l’ANSSI, ce qui est en soi une bonne chose. Cette dernière pourra (ou pas), s’exempter de son obligation de dénonciation de délit… sympa non ?

Le bon côté de l’affaire, c’est que l’ANSSI ne sera probablement pas débordée par les signalements.

Moralité, si vous êtes lanceur d’alerte, lancez plutôt des chouquettes, si vous êtes chercheur en sécurité, évitez de trouver, et surtout, si vous trouvez… fermez là.

Sinon, vous pouvez toujours revendre vos 0day à Hacking Team, c’est immoral, ils les revendront à de parfaits salopards, mais au moins, vous ne risquez pas de garde à vue.

Ah ! Oui vous aussi vous vous demandez ce que va devenir notre article 226-17 du code pénal, qui définissait une obligation de sécurité pour les responsables de traitement de données personnelles ? Ah mais ça on s’en fout ! Contre ça, il y a le bon vieux « gogogadgétobug ».

Allez, voici un petit exemple très actuel avec les LuxLeaks:

Étape 1 : nommer un « enquêteur » (enfin une auditrice interne) qui découvre les permissions non récursives sur un dossier d’un serveur de fichiers (niveau 1er trimestre de BTS info).

permissions

Étape 2 : faire gober au juge que c’est une faille informatique, un bug… alors qu’il s’agit d’un problème d’interface chaise/clavier bien connu, ici le classique « on a pas lu le chapitre permissions de la documentation avant de mettre en prod notre intranet ulta secure, mais on est sûr que c’est un 0DAY »… too easy.

Étape 3 : crier au piratage et faire condamner au motif de maintien frauduleux dans un espace public (on a testé pour vous).

La cyber sécurité française était au bord du gouffre, mais comptons sur le législateur pour nous faire faire un grand pas en avant.

Luxleaks : petite mise en garde sémantique aux journalistes et analystes juridiques

mardi 26 avril 2016 à 12:59

Aujourd’hui s’est ouvert le procès des Luxleaks. C’est un procès hors norme, celui d’Antoine Deltour et Raphaël Halet, lanceurs d’alerte et Edouard Perrin, journaliste. Ils sont poursuivis pour «divulgation de secrets d’affaires ou de fabrication, violation du secret professionnel, vol et vol domestique». Je ne me lancerai pas dans une analyse juridique à la simple lecture des faits qui leurs sont reprochés même si j’ai l’intime conviction que ces trois personnes n’ont rien à faire dans le box des accusés.

Cependant, il y a quelque chose qui me fait bondir, c’est la confusion entretenue par les journalistes et les juristes entre un « bug » ou une faille informatique, et une faille humaine, qu’honteuse, une accusation fera adopter à l’opinion comme une « faille informatique ».

Rappel : Quand un administrateur système n’est pas fichu d’appliquer les bonnes permissions sur un dossier, sur des fichiers, il s’agit d’un bug HUMAIN.

La fonction d’un serveur de fichiers, par défaut, est … tenez vous bien… de servir des fichiers.

S’il y a une authentification à la racine, ça ne veut pas dire que tout ce qui se trouve sous la racine est forcément privé ! Les pages d’accueil de Facebook ou de Twitter disposent bien d’une authentification et pourtant, la majorité des contenus se trouvant sous la racine sont publics.

Une « faille » ou un « bug » informatique impliquerait que les accusés aient contourné une mesure d’authentification pour s’octroyer des permissions qu’ils n’avaient pas.

Or, ce que l’on peut lire ce matin, c’est ça :

di

Nous avons donc des docs scannés placés dans un dossier qui se nomme « confidentiel » mais dont les permissions récursives ne sont pas appliquées, ou pire, qui n’est pas lui même configuré avec les bonnes permissions. Tant et si bien qu’une recherche, sans autorisation particulière restituera ces documents scannés. Une simple recherche qui restitue des documents publics parce que de mauvaises permissions sont appliquées, outre le fait que ça me rappelle quelque chose, c’est, encore une fois, un comportement NORMAL, et non « bug » informatique, ou encore moins une « faille ».

Maintenant, que vous soyez journaliste ou juriste, merci d’éviter ceci :

Bref tout ça pour vous dire, qu’avant d’écrire n’importe quoi, au risque de porter inutilement préjudice à des accusés, apprenez à faire la distinction entre une vulnérabilité technique qui aurait été exploitée de manière malicieuse et une erreur humaine d’un administrateur distrait qui n’a pas coché la bonne case et qui permet à n’importe quel utilisateur d’accéder à des documents.

En parlant de « bug » ou de « faille », vous condamnez Antoine Deltour, Raphaël Halet et Edouard Perrin dans l’opinion publique, et c’est le genre de bourde sémantique qui pèse lourd le jour d’un délibéré.

News Corp rejoint la #TeamOuinOuin à propos de Google News, mais…

lundi 25 avril 2016 à 13:01

Reflets a déjà évoqué cet étrange grand écart intellectuel tenté par les éditeurs de presse qui consiste d’une part à demander à Google News de bien indexer tout leur contenu et d’autre part, à attaquer Google News qui leur volerait, qui leurs lecteurs, qui leurs recettes publicitaires… C’est au tour de News Corp de rejoindre officiellement la #TeamOuinOuin. Le géant qui publie entre autres choses le Wall Street Journal, s’associe à une plainte contre la position dominante (sans blague ?) de Google.

Mais ce que ne dit évidemment pas News Corp, c’est qu’il peut, s’il le souhaite, éviter l’indexation par Google de ses articles. S’il ne le fait pas, c’est que tout de même, quelque part, le géant de la presse y trouve son compte. Le désormais fameux fichier « robots.txt » des sites impose aux robots des moteurs de recherche de ne pas indexer tel ou tel contenu, pourvu que la volonté de l’éditeur soit au rendez-vous. Pour les quelques sites suivant de News Corp, la volonté de ne pas être indexé par Google n’y est pas évidente, d’autant que la volonté de ne pas être indexée par certains site, est elle, évidente :

thetimes.co.ukthesun.co.uknypost.comtime.comwsj

 

Error happened! 0 - Call to undefined function simplexml_load_string() In: /var/www/Projet-Autoblog/autoblogs/autoblog.php:364 http://www.couturat.fr/Projet-Autoblog/autoblogs/refletsinfo_1cad54e4a83836c98f56571ea82451cbd7d3d887/?102 #0 /var/www/Projet-Autoblog/autoblogs/autoblog.php(932): VroumVroum_Blog->update() #1 /var/www/Projet-Autoblog/autoblogs/refletsinfo_1cad54e4a83836c98f56571ea82451cbd7d3d887/index.php(1): require_once('/var/www/Projet...') #2 {main}