e un peu trop occupé en ce moment pour me laisser aller à écrire des billets fouillés. Ça s'est d'ailleurs un peu vu sur les quatre derniers. Pendant ce temps, les sujets de discussion que l'actualité fournit s'accumulent un peu, aussi je me propose d'en commenter quelques uns rapidement.
Aussi va-t-on parler de failles sur Twitter et services associés, de filtrage du Net, de ventes sur eBay, de BlackHat US et revenir juste un petit peu sur Home.
Twitter pour commencer. Voilà deux semaines qu'Avi Raff, qui s'est récemment illustré sur le challenge StrongWebmail, nous annonçait que le mois de juillet serait le mois du bug Twitter. Et c'est donc hier qu'a été lancé le MoTB avec une première série de quatre bugs[1] dans le service bit.ly. En quoi ça concerne Twitter me direz-vous ? Et bien parce c'est le compresseur d'URL par défaut de la plate-forme et qu'il occupe maintenant le deuxième rang dans sa catégorie en terme d'utilisation sur Twitter juste derrière tinyurl.com. Certes, mais bon. On attendait plus des vrais bugs Twitter que sur des services éventuellement utilisables sur Twitter. Mais c'est la magie du Web 2.0 où même les failles se partagent d'un service à l'autre...
En parlant de services associés à Twitter, le pro du social network qu'est le père Suiche s'est livré à quelques recherches sur Twitpic qui permet le partage de photos sur Twitter. On peut en particulier uploader des photos via email, système pour lequel votre authentification ne tient qu'à un PIN de quatre chiffres. Fail donc. Heureusement, chez Twitpic, on déconne pas avec la sécurité, alors on a corrigé la faille illico presto pour prévenir le brute-forcing de PIN sur les comptes. Hummm... Fixed ? En fait pas du tout. Fail 2.0...
On nous apprend également que les méchants criminels de l'Internet utilisent Twitter pour augmenter le ranking de leurs pages. On nous l'apprend sur le blog de PandaLabs. Apparemment, ça a l'air d'être la découverte du siècle...
Bientôt le bigouane du Web 2.0 ?... Sigh...
Hier, 1er juillet, devait également marquer le lancement officiel du fameux logiciel de filtrage chinois, GreenDam. Vous savez, le logiciel dont ils voulaient imposer l'installation sur tout nouveau PC vendu sous Windows et qui avait quelques failles exploitables en remote. Et bien en fait non, il ne sera pas installé puisque le gouvernement chinois vient de faire marche arrière en annonçant le report sine die cette mesure avant-hier.
Chacun pourra lire ce qu'il veut bien lire entre ces lignes, mais un parallèle intéressant pourrait être vu entre cette histoire et nos affaires de LOPPSI. Lequel ? Et bien que la lutte contre la pornographie, en particulier infantile, a décidemment bon dos quand il s'agit de lancer l'implémentation de mesures de filtrage du Net. Gardons-nous bien cependant de pousser le parallèle trop loin, mais la similitude des déclencheurs devrait en amener quelques-uns à réfléchir.
Dernièrement, je suis tombé sur un billet de Bruce Schneier dans lequel il raconte sa tentative de vente d'un laptop sur eBay. Premier échec avec une tentative d'achat depuis un compte compromis. Deuxième échec avec une tentative de paiement frauduleux via Paypal[2]. Et il abandonne. Pas très coriace le père Bruce qui a bien dû se rendre à l'évidence : eBay est devenu un repaire de scammers en tous genres et y vendre des objets d'un montant appréciable relève de l'exploit. Ne serait-ce que parce que les scammers en question empêchent tout simplement les potentiels acheteurs de remporter les enchères.
Un autre blogueur qui nous livre une expérience légèrement différente. Non seulement il se trouve confronté à des tentatives de scams, mais il doit aussi compter avec les subtilités d'eBay et de son support. Et là, franchement, c'est pathétique. Le truc cool cependant, c'est qu'on peut toujours vendre une place au SSTIC aux enchères : c'est trop loin pour intéresser les nigériens :)
BlackHat et ses coutumes à présent. On commence avec le nom du speaker qui ne pourra pas parler à Vegas cet été. Après Michael Lynn et ses exploits Cisco en 2005, Chris Paget et ses RFID en 2007 puis l'équipe du MIT avec ses histoires de métro Bostonien l'an dernier, cette année, ce sera le tour de Barnaby Jack qui devait faire une présentation sur la sécurité des ATM, quelques démos à l'appui. Le constructeur a un peu fait pression sur Juniper, son employeur, pour que le tout soit reporté, le temps que les correctifs soient distribués et appliqués.
On ne connait pas le nom du constructeur en question, mais le nom de Diebold est sur toutes les lèvres, en particulier depuis cette histoire de trojan visant leur plate-forme logicielle trouvés sur des ATM en Europe de l'Est et Russie. Le fait que cette boîte soit désormais bien connue dans le monde de la machine à voter n'est sans doute pas étranger à ces bruits de couloir...
Coutume toujours avec la troisième éditions des Pwnie Awards 2009. Vous avez encore deux semaines pour proposer des nominés. Neuf catégories, comme l'an dernier. Pour ma part, j'ai proposé Kostya avec Cloudburst pour le Client Side, l'exploit Java de Julien[3] et celui de Charlie Miller avec ses exploits SMS sur iPhone[4] en Mass 0wnage, bien qu'aucun des deux n'ait vraiment l'objet d'une exploitation notable, Sockstress pour le Most Overhyped et StrongWebmail pour l'Epic Fail. J'aurais bien proposé "50 Ways to Inject Your SQL" pour la meilleure chanson, mais c'est vraiment trop pourri[5]. Enfin, j'ai trop de candidats en tête pour la réponse la plus lame. D'autant que je ne peux pas citer les meilleures...
Finissons avec Home. Je vous faisais part dernièrement de mes réflexions sur les conditions de distribution de ce film. C'est avec un sourire non dissiumlé que j'ai visionné ce morceau d'interview de Yann Arthus-Bertrand chez Arrêt sur Image.
En gros, l'auteur nous explique qu'il aimerait bien que Home soit téléchargeable gratuitement, et pas seulement en streaming sur Youtube, mais que c'est compliqué. Parce que tu comprends, Besson, Luc, pas l'autre, il a dit qu'il pouvait pas le mettre au téléchargement comme ça parce que sinon il allait finir sur les plate-formes des pirates qu'il n'aime pas et qu'il faudrait le mettre gratuit sur une plate-forme de vente. Alors deux choses M. Besson :
- En quoi est-ce compliqué de le proposer gratuitement au téléchargement sur une plate-forme distribuant habituellement du contenu payant ? Il n'y a pas de champ prix à mettre à zéro dans l'interface d'alimentation de la base de titres ?! Ah mais non suis-je bête : il faut se mettre d'accord...
- Et puis faut redescendre un peu sur Terre[6]. Il y est déjà ton film sur les plate-formes que t'aimes pas ! Je sais que ce qu'accepter la situation n'est pas un bon argument, mais putain, c'est un film gratuit bordel ! HE-LO !
De cette vidéo, on apprendra donc que si le film est encore sur Youtube, ce n'est pas grâce aux producteurs mais que s'il n'est pas au téléchargement, c'est bel et bien de leur faute. Autre moment de choix, Daniel Schneidermann qui ne semble pas saisir la différence entre téléchargement et streaming, et qui semble ne pas réaliser non plus que tout le monde n'a pas un accès Internet ou un lecteur DVD... Va donc le matter sur une ligne ADSL de campagne à quatre ou cinq kilomètres du premier DSLAM et on en reparle...
Notes
[1] Patchés...
[2] Le coup classique du "je paie, puis j'annule".
[3] Le bug en lui-même étant vieux, il n'est peut-être pas éligible...
[4] Même si j'aimerais bien en voir un marcher pour de vrai...
[5] Ce qui ne veut pas dire qu'elle ne sera pas dans la liste...
[6] Ah ah ah ah...