Ma vie, mon oeuvre, mon blog

Revue de web – S44

Généralités

Jugé inefficace, l’Allemagne repousse le blocage des sites pédopornos : l’Allemagne ne s’armera pas d’une loi imposant le blocage des sites pédopornographiques, préférant mettre le texte entre parenthèses. L’Eco Verband, l’association des fournisseurs d’accès allemand s’est entendue avec la police allemande fédérale pour faire supprimer ces contenus attentatoires à la dignité de la personne humaine – ici de l’enfant – à la source, chez l’hébergeur. A cette fin, le réseau INHOPE (international Association of Internet Hotlines) sera appelé à contribution. Ici comme ailleurs, il a été souligné qu’une loi qui bloque un contenu n’est d’aucun secours pour les victimes et surtout peut être facilement contourné. http://www.pcinpact.com/actu/news/53750-loppsi-afa-fai-allemagne-blocage.htm

Inflation du fichage policier : l’énorme hypocrisie : Deux décrets du 18 octobre ont donc donné naissance aux nouveaux fichiers des ex-Renseignements généraux, qui remplacent le funeste fichier EDVIGE, abandonné l’an dernier par le gouvernement sous la pression de la société civile et du collectif Non à EDVIGE. L’un est destiné à la « prévention des atteintes à la sécurité publique » (PASP), et l’autre devra nourrir des « enquêtes administratives liées à la sécurité publique » (EASP). http://bigbrotherawards.eu.org/Inflation-du-fichage-policier-l-enorme.html

En France, l’Open Source dit encore une fois merci au secteur public : Selon la dernière étude de Survey Interactive, sponsorisée par Actuate, l’Open Source est davantage implanté dans le secteur public que dans l’industrie ou les services financiers en France. Face à une montée en puissance du mouvement dans l’hexagone, les entreprises considèrent l’Open Source pour sa gratuité ou la rejette pour ses incompatibilités, le manque de compétences associées disponibles sur le marché ou encore un manque de discernement du support. http://www.lemagit.fr/article/france-entreprises-opensource-secteur-public/4640/1/en-france-open-source-dit-encore-une-fois-merci-secteur-public/

Orange et SFR menacés d’amende pour cause de 3G en retard : l’amende pourrait s’élever à 700 millions d’euros. http://www.lemagit.fr/article/sfr-orange-bouygues-arcep/4633/1/orange-sfr-menaces-amende-pour-cause-retard/

Hadopi, nouvelle arme des people? Outre l’encadrement du téléchargement illégal, la loi met en place un nouveau régime de responsabilité éditoriale pour les sites… Dans la tempête de la loi Hadopi, un article est passé inaperçu. Il s’agit de l’article 27, relatif au statut d’éditeur en ligne. Celui-ci instaure un nouveau régime de responsabilité éditoriale. Ainsi un éditeur n’est plus considéré directement comme responsable en cas de contenus illicites, notamment laissés par les internautes, s’il n’a pas eu connaissance de ces propos. En revanche, il doit réagir «promptement» pour les retirer sous peine de poursuites. http://www.20minutes.fr/article/357587/High-Tech-Hadopi-nouvelle-arme-des-people.php

L’IT des professionnels

Les 10 technologies stratégiques de 2010 : L’avenir des entreprises passera notamment par les choix des outils technologiques à mettre en œuvre prochainement. Le cabinet Gartner identifie 10 technologies incontournables. http://www.silicon.fr/fr/news/2009/10/23/les_10_technologies_strategiques_de_2010

Perception des logiciels libres par les PME / PMI : http://www.xwiki.com/xwiki/bin/view/BlogFr/Perception+Logiciels+Libres+PME+PMI

Liste des livres blancs de LesSourcesIT : http://www.lessourcesit.fr/

Systèmes d’exploitation

Microsoft lance Windows Phone : Une nouvelle interface optimisée pour une utilisation tactile intuitive : simple, complète, personnalisable et plus sûre pour les entreprises comme pour les utilisateurs. Tout Windows vous suit partout. http://www.orange-business.com/fr/entreprise/une/actus/news/windows-phone/index.jsp

Sécurité Informatique

La faille dans les certificats X.509, c’est null : Il y a deux semaines, Microsoft a corrigé une faille dévoilée à la Black Hat par Moxie MarlinSpike fin juillet concernant les certificats X.509 qui n’a pas obtenu une grande attention. La faille en elle-même est triviale : la plupart des bibliothèques gérant les certificats X.509, telles que les bibliothèques NSS utilisées par Firefox ou encore la bibliothèque CryptoAPI présente dans Windows, ne tiennent pas compte de la possibilité d’insérer un caractère nul (\0) dans le champ CN (Common Name) d’un certificat X.509. Du coup, lors du traitement d’un certificat contenant ce caractère, l’affichage s’arrête à ce caractère nul. Par exemple, le champ CN « lexsi.com\0domainemalveillant.com » est vu comme « lexsi.com » par les programmes vulnérables. http://cert.lexsi.com/weblog/index.php/2009/10/26/343-la-faille-dans-les-certificats-x509-c-est-nul

Les PME françaises n’égligent encore la Sécurité de leur informatique : C’est du moins ce qui ressort d’une récente étude conduite par Redshift Research pour GFI Software. Une étude qui résonne comme un écho à celle présentée par le Clusif en juin 2008. La bonne nouvelle, c’est que l’effort de sécurisation du SI pourrait être amélioré en 2010. http://www.lemagit.fr/article/saas-archivage-poste-travail-web-antivirus-messagerie-controle-acces/4638/1/les-pme-francaises-negligent-encore-securite-leur-informatique/%27

Depuis de nombreuses années un certain nombre de règles de sécurité se sont imposées de fait. L’exemple le plus caricatural est celui de la gestion des mots de passe : il faut utiliser un mot de passe long et complexe. Ce mot de passe doit être connu de l’utilisateur et de lui seul et ne jamais être consigné par écrit… Nombreux sont les utilisateurs qui se plaignent de devoir constituer des mots de passe (un par application) de plus en plus complexes et de ne plus arriver à les retenir ou à les gérer convenablement. Ces règles qui semblent aller de soi sur le papier sont-elles pour autant efficaces dans la réalité? http://blogs.orange-business.com/securite/2009/10/prendre-le-contrepied-des-regles-de-securite.html

Revue de Web – S42

Généralités

Metro vient de publier une interview de Nicolas Hulot, à la veille de la sortie de son film Le Syndrome du Titanic. « Il n’y aura jamais assez de films, de livres ou d’initiatives pour mobiliser les citoyens. Les choses vont changer de gré ou de force. Et, que l’on soit riche ou pauvre, tout le monde sera affecté. La question est de savoir si on se prépare avant que cela arrive. Pour moi, ce film rend la mutation incontournable. Si demain les politiques fixent des limites, parce que la planète nous en impose, je crois que, grâce aux films, les citoyens seront plus facilement prêts à les accepter. » http://standblog.org/blog/post/2009/10/06/Nicolas-Hulot-et-le-Syndrome-du-Titanic

La mairie de Dijon piégée par un détracteur masqué. Les habitants du centre ville ont reçu à la fin du mois dernier une étrange lettre émanant de la « Direction de la Tranquillité Publique ». Objet de la missive : informer les résidents du dispositif de la vidéosurveillance… Si la forme est très administrative, le fond est vraiment discutable. Et pour cause : ce ne sont pas les services de la Mairie qui l’ont écrite, mais clairement un opposant au système… http://www.dijonscope.com/000955-la-mairie-piegee-par-un-detracteur-masque

L’ICANN publiait le 1er octobre dernier un projet de rapport sur les noms de domaines enregistrés au travers d’un service d’intermédiation ou d’anonymisation. http://blog.crimenumerique.fr/2009/10/04/des-noms-de-domaines-enregistres-via-proxy-ou-un-service-danonymisation/

Finalement on l’a eu, le fameux rapport sur «l’efficacité de la vidéprotection» rédigé par l’Inspection générale de l’administration (IGA), celles de la police (IGPN) et de la gendarmerie (IGN).

http://numerolambda.wordpress.com/2009/10/05/rapport-videoprotection-bidon/
Rapport IGA/IGPN/IGN:
http://numerolambda.files.wordpress.com/2009/10/iga-igpn-efficacite-videoprotection.pdf
Contre-expertise:
http://www.laurent-mucchielli.org/public/Videosurveillance.pdf

L’IT des professionnels

Le travail de synthèse réalisé par la Rédaction de Net-iris pour vous permettre d’en savoir plus sur les réformes prévues en 2010 pour les retraites, à travers l’étude du projet de loi de Finances pour 2010 et du projet de loi de Financement de la sécurité sociale pour 2010, a suscité un très grand intérêt au sein de la Communauté de Net-iris. http://www.net-iris.fr/veille-juridique/lettres-revues/lettre-hebdo-numero-357.php

La question était sur toutes les lèvres, dans l’assistance – très dense – lors de l’atelier animé par Stanislas de Maupéou, transfuge du Certa français vers Thalès : où en est-on en termes de capacité et de doctrine en matière de cyberdéfense offensive ? Officiellement, la réponse est simple : c’est une affaire de militaires et l’action offensive de lutte informatique est, pour des acteurs privés, illégale en France. La réalité semble plus complexe. http://www.lemagit.fr/article/france-cyberguerre-thales-doctrine/4504/1/assises-securite-route-pour-lutte-informatique-offensive/%27

La Commission Nationale Informatique et Libertés doit-elle dépendre exclusivement de financements publics ? Alors que le gouvernement a écarté l’hypothèse d’une mise à contribution des entreprises, Alex Türk, président de la commission, a profité d’un point presse sur les Assises de la Sécurité pour revenir à la charge dans un effort continu de sensibilisation. http://www.lemagit.fr/article/cnil-donnees-personnelles-financement-vie-privee-carte-identite/4510/1/assises-securite-alex-turk-pousse-financement-prive-cnil/

La Quadrature du net revient à la charge contre la délégation du Parlement européen en évoquant sans détour une trahison, sur fond d’amendement 138. Ciblant le travail des négociateurs Catherine Trautmann (S&D) et Alejo Vidal-Quadras (EPP), le groupe qui milite pour les libertés numériques prévient : « En contradiction totale avec le mandat qui leur avait été confié par leurs collègues parlementaires, ces derniers ont accepté de négocier à partir d’une proposition du Conseil de l’UE qui méprise les droits des citoyens1. Cette disposition dangereuse est destinée à remplacer « l’amendement 138 », voté par deux fois par 88% du Parlement ». http://www.pcinpact.com/actu/news/53592-amendement-138-quadrature-net-trautmann.htm?vc=1

Après le contrôle technique automobile, voici venir le contrôle de conformité CNIL des systèmes d’information des entreprises. Lors des dernières Assises de la Sécurité, Alex Türk (Président de la Commission nationale de l’informatique et des libertés) a évoqué son projet de labellisation des systèmes d’information. L’idée est assez simple : Le système d’information de l’entreprise serait audité par la CNIL en regard des principes de traitement des données personnelles : proportionnalité, protection, droit de consultation et de rectification… http://blogs.orange-business.com/securite/2009/10/la-cnil-invente-le-controle-informatique-payant.html

Sécurité Informatique

Industrialisation plus poussée, meilleure exploitation des ressources, économies d’énergie… Les promesses de la virtualisation sont bien connues. Les risques associés, en termes de sécurité, le sont moins. Surtout, l’offre susceptible de répondre à ces défis paraît encore balbutiante, notamment concernant la sécurisation de l’hyperviseur. Et il ne s’agit là que de l’un des multiples points à surveiller de près. http://www.lemagit.fr/article/virtualisation-vmware-solucom-sourcefire-hyperviseur-rssi-vsafe-global-knowledge/4499/1/assises-securite-les-rssi-face-defi-securisation-des-environnements-virtuels/%27

Attention aux fausses mises à jour de sécurité. Des personnes malveillantes tentent de profiter des mises à jour de sécurité que les éditeurs de logiciels publient pour corriger des vulnérabilités affectant leurs produits. Ils usurpent l’identité de l’éditeur pour inciter les internautes à télécharger des programmes malveillants. http://www.securite-informatique.gouv.fr/gp_article706.html

Revue de Web – S40

Généralités

Voter d’abord, verrouiller ensuite ! Cinq jours après les élections, le BKA (Bundeskriminalamt = Office fédéral de la police criminelle) convoquera les fournisseurs d’accès Internet : ils devront alors prendre connaissance de la nouvelle directive sur le blocage de sites Internet… dans un document confidentiel : http://www.guglielmi.fr/spip.php?article212

Les enfants de Messenger : Les ados de la fin des années 1990 ont été les premiers à l’adopter, ils ont grandi avec et ont contribué à en diffuser l’usage à travers les générations. Treize ans après l’apparition du pionnier ICQ – racheté par l’américain AOL Time Warner -, dix ans jour pour jour après le lancement de Messenger, le logiciel de Microsoft de très loin le plus populaire du genre, la messagerie instantanée reste un phénomène. Elle est un des services les plus utilisés sur Internet, même si elle s’est banalisée et a pris un petit coup de vieux. http://www.lemonde.fr/technologies/article/2009/09/14/les-enfants-de-messenger_1240123_651865.html

Les députés autorisés à surfer à l’Assemblée Nationale : Le bureau de l’Assemblée nationale a autorisé mercredi les députés à accéder à Internet lorsqu’ils siègent dans l’hémicycle, sauf pendant les séances de questions orales au gouvernement. Des travaux ont été réalisés pendant l’été pour mettre en place, pour chaque député, une alimentation électrique, des ordinateurs portables et une connexion par câble au réseau informatique. http://www.lemonde.fr/technologies/article/2009/09/23/les-deputes-autorises-a-surfer-a-l-assemblee_1244306_651865.html

Google contre Goliath, le géant du Web lutte contre lui même. Avec le lancement de Dataliberation.org, il souhaite permettre à ses utilisateurs de « rapatrier » leurs données où qu’ils le souhaitent (supports physiques ou services concurrents). Un moyen pour le groupe d’asseoir son image philanthropique tout en taclant les réseaux sociaux. http://www.neteco.com/299754-retention-donnees-google-juge-partie.html

L’IT des professionnels

La révélation, en juin 2006, de la mise en place d’un système de surveillance, par les autorités américaines, des transferts bancaires internationaux transitant par la société SWIFT avait suscité de vives réactions de la part de la CNIL et du G29, le groupe des CNIL européennes. Le 22 novembre 2006, ce dernier a rendu un avis qui critique les conditions de mise à disposition de données européennes, stockées aux Etats-Unis dans la base SWIFT, les jugeant contraires aux principes européens de protection des données, sans parler des craintes en matière d’espionnage industriel qu’ont évoqué, sous le sceau du secret, nombre de grandes entreprises. En effet, sont ainsi communiqués le montant de la transaction, la devise, la date valeur, le nom du bénéficiaire, le client qui a demandé la transaction financière et son institution financière. http://www.cnil.fr/nc/la-cnil/actu-cnil/article/article/85/surveillance-des-transferts-bancaires-europeens-par-les-autorites-americaines-vers-une-remise-e/

Systèmes d’exploitation

Choix du navigateur dans Windows 7 : une ruse de Microsoft, selon un groupe de pression : Pour mettre fin à ses différends avec la Commission européenne, concernant les liens qui unissent Internet Explorer à Windows, Microsoft a proposé de donner aux utilisateurs européens le choix d’un autre navigateur au premier lancement d’IE. Insuffisant selon l’ECIS, un groupe de pression réunissant Adobe, IBM, Nokia, Opera, Oracle, Red Hat ou encore Sun. Ce dernier critique l’implémentation de la solution. http://www.lemagit.fr/article/microsoft-europe-firefox-antitrust-safari-ie-chrome-windows-7-navigateurs-opera-commission/4380/1/choix-navigateur-dans-windows-une-ruse-microsoft-selon-groupe-pression/

Les journalistes de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d’information, s’alarment des conséquences possibles des sauvegardes généralisées sur les datacenters virtualisés. Une envie de bien faire qui peut se muer en paralysie généralisée… Puis, CNIS met en exergue deux importants rendez-vous du monde de la sécurité. http://www.lemagit.fr/article/securite-virtualisation-sauvegarde-cloud-computing-hacking/4295/1/special-securite-sauvegarde-faux-ami-virtualisation/

Sécurité Informatique

8 conseils pour configurer son IPS. Assurer la protection de son réseau, grâce à une solution de prévention des intrusions, sans générer de faux positif, tout en n’omettant aucune véritable attaque ? Utopie ou objectif réaliste ? http://www.journaldunet.com/solutions/0610/061002-analyse-ips-parametrage.shtml

Les données bancaires peinent toujours à être sécurisées : http://www.lemagit.fr/article/pci-dss/4368/1/les-donnees-bancaires-peinent-toujours-etre-securisees/

Nomadisme et sécurité des accès distants : Une fois le balayage des problématiques effectué – identifiant les populations, les situations et les usages – en s’appuyant sur les macro-critères vus dans l’article précédent, il convient de comprendre l’état du marché et ses principaux drivers ainsi que les solutions technologiques disponibles, leurs périmètres d’application, leurs maturités et leurs pérennités. http://blogs.orange-business.com/securite/2009/08/nomadisme-et-securite-des-acces-distants-2eme-partie.html

Indect : la surveillance automatique des Réseaux : Le journal anglais Telegraph vient de dévoiler des informations au sujet d’un projet européen nommé « Indect ». Si l’on devait fournir une comparaison à ce que prévoit ledit projet, on parlerait alors du système américain Echelon : la détection automatique à travers divers supports en ligne d’attitudes jugées dangereuses. http://www.pcinpact.com/actu/news/53215-indect-europe-surveillance-internet-cctv.htm