-
-
-
-
-
- Tools
- Dev
- Recherche web
-
Cette page permet d'annoncer quelques événements.
Dernière mise à jour : 03/11/2019 02:58 (voir les différences)
Dernières nouvelles en provenance de La Quadrature du Net :
J'ai déjà signalé ici que la filiale Piriform d'Avast n'était pas une société fiable et qu'il valait mieux désinstaller ses logiciels (cf. paragraphe "18/09/2017 : Le logiciel privateur CCleaner a été un cheval de Troie" ci-dessous).
Depuis longtemps, il était patent que l'outil gratuit Avast Antivirus – lorsqu'il n'était pas partiellement cassé par un logiciel malveillant – détectait la présence de virus dans le système surtout lorsque l'utilisateur décidait d'effectuer un scan avancé (scan au démarrage), mais bien rarement avant que le virus ne pénètre et se dissimule dans le système.
Dans un nouveau scandale, nous apprenons à présent avec quelle désinvolture la société Avast considère la sécurité informatique. Suite à cette nouvelle affaire, la société informatique déclare en effet qu'afin de suivre le pirate, elle a laissé ouvert l'accès à son entreprise pendant 5 mois "en continuant de surveiller et d'enquêter sur tous les accès passant par le profil jusqu'à ce que nous soyons prêts à mener des actions correctives".
On n'imagine difficilement la société Avast porter plainte et avoir gain de cause contre le groupe de pirates chinois APT17 alias Axiom alias "Group 72" alias "Operation Aurora" qui l'avait déjà piratée en août 2017…
En attendant, ces pirates chevronnés ont eu accès au plus haut niveau informatique de l'entreprise (administrateur de domaine Active Directory)…
Le fait que la société Avast ne s'inquiète pas plus de l'exfiltration potentielle des données de son entreprise (données des clients), ni du détournement potentiel de ses logiciels (cheval de Troie), confirme les impressions maintes fois éprouvées à l'utilisation d'Avast antivirus, qu'Avast est une entreprise dont l'objectif principal est le business marketing au dépend des utilisateurs (vol de données personnelles), à l'instar des mouchards publicitaires couramment appelés "logiciel potentiellement indésirable (LPI)" qui polluent trop souvent les ordinateurs Windows.
On ne répétera jamais assez qu'il est plus que jamais urgent de désinstaller tous les produits Avast dont AVG, CCleaner, Recuva, Defraggler et Speccy.
Sources :
La Cellule Investigation de Radio France vient de publier son enquête sur le fonctionnement et l'évolution de la plateforme numérique Doctolib. S'il fallait encore le prouver, cette enquête montre à quelle point, suivant avec quelques années de retard les mêmes logiques que les USA et la Grande Bretagne, l'état français applique une politique d'idéologie libertarienne1).
Le cas Doctolib est un exemple édifiant — parmi tant d'autres — de la grande braderie des services publics français aux profits des sociétés privées qui, via la dissémination des données personnelles, conduit à la disparition de la vie privée, – une vie privée qui est censée être garantie par l'état respectant les droits humains fondamentaux comme le stipule l'article 8 de la Convention européenne des droits de l'Homme que sont censés respecter les 47 états membres du Conseil de l'Europe –.
À propos du travail de la Cellule Investigation de Radio France :
Les journalistes de la Cellule Investigation de Radio France font partie des rares journalistes français qui continuent de chercher des informations inédites quand la majorité de leurs collègues branchés sur Twitter se contentent de relayer le buzz médiatique. Ils mènent leur travail de journaliste malgré les pressions et intimidations de l'état français à leur encontre, notamment par le moyen des forces de police comme cela se passe ailleurs dans le monde (Russie, Turquie, USA, etc.).
En mai 2019, trois journalistes d'investigation du média en ligne Disclose et le journaliste Benoît Collombat de la Cellule Investigation de Radio France ont ainsi été convoqués par la Direction Générale de la Sécurité Intérieure (DGSI) à cause de la publication de nouvelles informations gênant les affaires des multinationales de ventes d'armes françaises. Le 22 mai on apprenait également la convocation de la journaliste d'investigation Ariane Chemin pour son travail dans l'affaire Benalla.
Cette redondance de convocations dans un court laps de temps envoie un signal clair à tous les lanceurs d'alerte potentiels qui pourraient commencer à douter de l'efficacité du principe du secret des sources (Twitter @Sylvain Tronchet). Cette tentative d'intimidation a suscité de nombreuses réactions. Des réactions chez les journalistes comme par exemple la Direction de Radio France et l'ONG Reporters Sans Frontières. Il y a eu également de très nombreuses réactions chez les défenseurs des libertés fondamentales comme l'indique un communiqué de la Ligue française des Droits de l'Homme.
L'indépendance et la qualité du journalisme d'un pays sont généralement considérés comme un marqueur de la démocratie, au même titre que les droits fondamentaux dont peuvent jouir les minorités et les femmes… À cet égard, l'ONG Reporters Sans Frontières qu'on peut difficilement soupçonner d'indignation sélective révèle que "La France est située au 32e rang sur 180 pays dans la dernière édition du Classement mondial de la liberté de la presse".
Sur le site cybermalveillance.gouv.fr, l'état français viens de mettre en ligne des outils pédagogiques de sensibilisation à la sécurité numérique sous forme de 4 courtes vidéos et de plaquettes informatives (disponibles en fichiers PDF).
L'objectif de l'état français est de rattraper le retard culturel national en matière de cyber-sécurité, afin que la société française ait une meilleure résilience face aux grandes attaques informatiques à venir, propres à déstabiliser le bon fonctionnement de la vie en commun. C'est pourquoi, afin de relever le niveau minimal de connaissance en sécurité numérique, il est important que tout le monde consulte ces documents d'hygiène élémentaire, y compris ceux qui pensent déjà en connaître un rayon sur le sujet…
EDIT du 04/05/2019 – aspect curatif de cybermalveillance.gouv.fr – :
Voir sur la page "Le b-a ba de la sécurité informatique" le paragraphe "Précision sur la maintenance curative apportée par le site cybermalveillance.gouv.fr".
Voir la page Failles de sécurité des microprocesseurs.
Un équipe de chercheurs de l'Université de Louvain vient de rendre public une série de vulnérabilités critiques2) qu'ils ont découvert dans l'implémentation du protocole WPA2 des réseaux wifi. De surcroît, ils ont mis en œuvre une méthode d'attaque des réseaux wifi sécurisés WPA2, baptisée KRACK (en) pour "Key Reinstallation Attack". La méthode "CRACK" démontre qu'à cause de ces dix vulnérabilités critiques et sous certaines conditions, les communications via wifi d'un grand nombre d'ordinateurs dans le monde peuvent être écoutées et manipulées (piratage de compte en ligne, modification des données programmes ou brutes téléchargées).
Les conditions d'attaque CRACK sont plus faciles à réunir sous GNU/Linux et Android que sous Windows. Un tableau affichant les systèmes affectés par ce problème peut être consulté ici. Le 16/10/2017, le centre de cyberdéfense français (CERT-FR) a publié https://www.cert.ssi.gouv.fr/alerte/CERTFR-2017-ALE-014/un bulletin d'alerte et le 17/10/2017, des bulletins de sécurité concernant notamment Windows, GNU/Linux Debian et GNU/Linux Ubuntu.
Cet événement conforte l'attitude sécuritaire déjà adoptée vis-à-vis du wifi, et qui doit être la suivante :
Les chercheurs ayant découvert ces vulnérabilités sont Mathy Vanhoef et Frank Piessens de l'Université de Louvain.
Dans une publication du 21 septembre 20173), la société de sécurité Eset affirme avoir la certitude que des fournisseurs d'accès à Internet (FAI) infectent les ordinateurs de leurs clients par un logiciel d'interception de la gamme FinFisher développé par la société Gamma Group.
La méthode utilisée – de type attaque de l'homme du milieu – consiste à rediriger les requêtes de téléchargement de certains logiciels vers un paquet comportant en plus du logiciel désiré, une variante du logiciel d'interception FinFisher. Parmi les logiciels concernés se trouvent WhatsApp, Skype, WinRAR, VLC media player, Avast Antivirus, TrueCrypt et Threema (en). Cette liste de logiciels détournés couvrent un très large éventail de types d'utilisateurs informatiques. Autant dire qu'il s'agit d'une infection de masse pour surveiller toute une population, ses données et son comportement.
Rappelons d'abord que d'une manière générale, il faut toujours télécharger un programme depuis son site officiel et jamais depuis un site de téléchargement.
Pour se prémunir de ce genre d'infection par redirection de téléchargement, il faut bannir tout téléchargement de programme via une URL commençant par http://
au lieu de https://
Mais à cause de cette attaque de l'homme du milieu par certains fournisseurs d'accès sous l'égide des services de renseignement des états, cette précaution n'est pas une garantie totale si votre fournisseur d'accès n'est pas éthique, c'est-à-dire pour la France, s'il n'est pas membre de la Fédération French Data Network.
Ainsi et puisque la FDN est minoritaire, la majorité des internautes français devraient systématiquement se connecter à un canal chiffré de type VPN leur octroyant une adresse IP publique partagée, par la prestation de service d'une société spécialisée indépendante de leurs fournisseur d'accès à Internet (service payant).
Les personnes qui n'ont pas un niveau expérimenté en informatique peuvent s'initier aux connexions internet via VPN grâce au logiciel libre et gratuit Psiphon (site officiel). Signalons que certains antivirus privateurs comme Kaspersky Internet Security intègrent par défaut un sous-programme de connexion VPN. Cela fait longtemps en effet que les connexions chiffrées via VPN sont très fortement recommandées dés qu'un ordinateur est connecté à un réseau Wi-Fi public4).
De surcroît, il faut prendre l'habitude de vérifier l'empreinte SHA ou MD5 du fichier téléchargé avant de le charger en mémoire en tant que programme. Malheureusement, la culture générale numérique de l'immense majorité des utilisateurs est tellement faible (et entretenue par Apple et Microsoft), que cette pratique de précaution est souvent ressentie comme une gageure.
Références :
EDIT du 21/09/2017 :
Cisco Talos Intelligence révèle qu'une deuxième charge utile malveillante infectait les PC sous CCleaner5).
Comme je le suggérais précédemment, Cisco Talos Intelligence recommande de réinstaller les machines Microsoft Windows sur lequel CCleaner 5.33 était installées.
Donnant suite aux alertes de sécurité émises simultanément par les deux sociétés Cisco Talos Intelligence et Morphisec, la société Piriform qui a récemment été rachetée par la société Avast Software et qui édite le logiciel CCleaner vient d'annoncer qu'elle a détecté que la version 32 bits classique 5.33.6162 et la version Cloud 1.07.3191 de son logiciel CCleaner publiées le 15 août 2017 étaient des chevaux de Troie. En informatique, un cheval de Troie, est un programme qui d'une part, effectue ou donne l'impression d'effectuer une action légitime visible, d'autre part introduit silencieusement un programme malveillant à l'intérieur du système d'exploitation. Piriform indique que la nouvelle version CCleaner 5.34 publiée le 12 septembre 2017 remplace et corrige la mauvaise version précédente.
Concrètement, ces versions incorporaient un code malveillant de type "dropper", c'est à dire un petit sous-programme téléchargeant un nouveau programme complet depuis un serveur web non officiel puis chargeant ce dernier programme en mémoire pour lui donner le contrôle total sur la machine : contrôle à distance silencieux depuis un serveur distant de Commande et de Contrôle (C&C) comme n'importe quel logiciel d'interception ordinaire. La justice a été saisie et la police enquête sur toutes les pistes possibles (Pénétration dans le système informatique de Piriform depuis l'extérieur, acte de malveillance interne, complicité interne avec des réseaux cybercriminels, etc.)
À propos de CCleaner :
Célèbre dans le monde entier et très utilisé en France, CCleaner est un logiciel privateur de "nettoyage" du système d'exploitation privateur Microsoft Windows. Depuis très longtemps, l'imposture du nettoyage tous azimuts de Windows constitue un marché informatique colossal, convoité par un aréopage de mouchards publicitaires hypocritement dénommés "logiciels potentiellement indésirables" (LPI), avec la complaisance de l'entreprise Microsoft et de son soit-disant anti-malware Windows Defender.
Selon le spécialiste Pierre Pinard qui tient l'excellent site assiste.com, CCleaner constitue le moins pire de ces logiciels de "nettoyage" à condition de s'en tenir à sa fonctionnalité de suppression des fichiers temporaires6). Il recommande cependant de bien configurer ce logiciel avant de s'en servir7), comme je le préconise autour de moi, car les paramètres par défaut de CCleaner effacent des données qui peuvent servir au diagnostic ultérieur de problèmes (journaux divers)
Conséquences de cette affaire :
Sources :
f4bda9efa31ef4a8fa3b6bb0be13862d7b8ed9b0
).
EDIT du 30/01/2018 : Ma synthèse mi-2017 étant obsolète, voir ma page "Pratiquer > Logiciels antivirus" qui sera maintenue à jour.
En cette fin de premier semestre 2017, il m'est apparu utile de faire le point sur les logiciels de sécurité efficaces en terme de prévention anti-malware + anti-ransomware pour le grand public utilisant Microsoft Windows.
Les ransomwares sont une forme de malwares. On pourrait donc croire qu'écrire prévention anti-malware + anti-ransomware est un pléonasme. Techniquement, cela est malheureusement faux, car beaucoup de logiciels de sécurité gratuits (Avast, AVG, Avira, etc.) et même payants n'offrent aucune protection préventive contre les ransomwares.
Je présente ma synthèse "mi-2017 sur la prévention malwares+ransomwares pour les particuliers" sous la forme d'une carte de référence rapide (une "quick ref card") afin qu'elle tienne sur une page A4. J'en déconseille la lecture aux utilisateurs débutants en informatique. Mais je la recommande à tous les utilisateurs qui ne souhaitent pas (encore) quitter Windows pour GNU/Linux.
Le fichier PDF de cette page de synthèse peut-être visualisé ou téléchargé depuis le lien ci-dessous :
quickrefcard.2017.07.protection-anti-malware.pdf
Actuellement, le grand public des pays riches se désintéresse – à tord – du fait qu'il est espionné, mais la perspective de perdre ses propres données personnelles à cause d'un ransomware est un sujet de préoccupation (rappel : sauvegarder ses données est la base quand on utilise un ordinateur).
En très forte croissance depuis 2015, les ransomwares touchaient surtout les entreprises et les collectivités. Il arrive désormais que des particuliers perdent toutes leurs données parce qu'ils ont eu l'idée malheureuse d'adhérer à une association.
Depuis que les pirates des Shadow Brokers ont dérobés non seulement les documents décrivant les failles de sécurités, mais surtout les outils de piratage mis au point par les services secrets états-uniens, nous assistons à une vague de sophistication des malwares, qui devient préoccupante pour tous les utilisateurs de Microsoft Windows, quand bien même le système d'exploitation est maintenu à jour. En effet, Microsoft ne peut corriger que les failles dont il a connaissance : début 2017, la NSA lui a communiqué certaines failles qui selon elle, risquaient d'être exploitées de manière imminente. Pris de court et pour la première fois dans l'histoire de Windows, Microsoft a renoncé à la publication mensuelle des mises à jour de février afin de mieux intégrer les nouveaux correctifs en mars10). La première attaque massive par les outils dérobés de la NSA arriva dés le 12 mai sous la forme du malware WannaCry.
Sans entrer dans les détails techniques, en plus d'intégrer les sous-programmes d'attaque et de diffusion furtives de la NSA, Wanacry est le premier virus à intégrer les fonctions de ransomware.
Wanacry inaugure donc une nouvelle tendance (1) et en confirme une autre (2) :
Étant donné que GNU/Linux existe et qu'il est gratuit, faire dépendre l'informatique mondiale de Microsoft Windows et des comportements peu sécuritaires de son interface utilisateur est une absurdité qui confine à la folie. Mais si les lobbies tiennent les sociétés privées et l'état français12) en dépit des recommandations des experts en sécurité, les particuliers eux, peuvent faire d'autres choix.
Étant donné, la croissance anarchique des menaces informatiques, le grand public qui n'est pas (encore) prêt à migrer sous GNU/Linux devra probablement réfléchir ces prochains mois à investir dans des logiciels de sécurité efficaces. C'est ce à quoi ma synthèse peut aider.
Pour voir en direct la carte mondiale des attaques informatiques comme le montre la photo ci-dessus, il suffit de visiter la page https://intel.malwaretech.com/pewpew.html puis de cliquer sur le bouton "Connect".
En dépit du développement considérable des moyens de communication numérique, l'ignorance scientifique dans les pays riches n'a jamais été aussi prononcée, et les discours obscurantistes n'ont jamais été autant banalisés et propagés dans les mass médias, au point que le sociologue Gérald Bronner a qualifié nos sociétés modernes de "démocraties des crédules"13).
En 2016, un milliardaire illettré14) a été élu à la présidence des États-Unis d'Amériques et a propagé l'idée que des opinions communes minoritaires dans les médias, opinions qu'il appelle "faits alternatifs" dans le sens de "contre-faits", seraient plus véridiques que les faits officiels constatés par des personnes qualifiées. Cette pensée irrationnelle qui adapte la vision de la réalité à ses propres intérêts personnels, rejoint la doctrine climato-sceptique avancée par lui, ainsi que le mouvement créationniste très puissant aux USA, et en plein développement sur le continent Européen.
Devant la monté des préjugés obscurantistes et de la défiance vis-à-vis des sciences, les scientifiques états-uniens, rapidement relayés par les scientifiques de nombreux pays, ont décidé d'organiser une manifestation internationale le 22 avril sous le nom de Marche pour les sciences afin de promouvoir la culture scientifique, de revaloriser les investissements publics, et de réaffirmer l'indépendance de la méthode scientifique vis-à-vis du politique au même titre que la justice et que les journalistes.
La France n'est pas épargnée par l'obscurantisme et la défiance vis à vis des sciences. Rappelons par exemple le fait que la France est le pays du monde où le principe de la vaccination est le plus contesté. Cela est grave car ce comportement individualiste réduit la couverture vaccinale, c'est à dire que cette attitude met dangereusement en péril la santé publique. De surcroît depuis des années, les politiques publiques désinvestissent la formation scientifique et la recherche fondamentale au profit de la recherche appliquée, au point qu'un nombre croissant de jeune chercheurs français en post-doctorat abandonnent leur métier. Pour couronner le tout, un certain nombre de responsables politiques français acoquinés avec des lobbies industriels manifestent un intérêt scientifique sélectif voire inexistant pour la science, pour l'intérêt public et pour celui des générations futures, comme le révèle les positionnements opportunistes vis-à-vis de l'exploitation des gaz de schiste15).
Cette marche du samedi 22 avril 2017 sera organisée dans de nombreuses villes de France.
Liens :
Vidéo Marche pour les sciences : interview de Bassem Hassan, chef d'équipe à l'ICM
Date : 11/04/2017 – Durée : 2'43" – Réalisation : ICM (Institut du Cerveau et de la Moelle épinière)
Marche pour les sciences : interview de Bassem Hassan, chef d'équipe à l'ICM
Vidéo Alice au pays des étoiles : De Trump à la marche pour les sciences
Date : 01/04/2017 – Durée : 6'35" – Réalisation : Alice au pays des étoiles
Alice au pays des étoiles : De Trump à la marche pour les sciences
La vie sociale des écoliers dans un monde envahi par le numérique n'est pas aussi simple que bien des adultes le supposent.
L'importance démesurée des "réseaux sociaux" dans la vie ordinaire offre aux mineurs une expression communautaire à l'écart de toute régulation par les adultes. Cette liberté d'expression est néanmoins scrutée de très près par les entreprises fournissant ces "réseaux sociaux", à grand renfort d'algorithmes d'intelligence artificielle capables de prédire de plus en plus finement les comportements pour mieux revendre les données personnelles de ces futurs adultes en devenir.
Ainsi, en plus de favoriser un hyper-conformisme – signe patent d'un déficit de démocratie –, une certaine utilisation du numérique promue par le marketing à la mode démultiplie les modalités et l'ampleur du harcèlement à l'école. Le harcèlement sur les "réseaux sociaux" est un révélateur de l'hypocrisie des sociétés qui développent ces plateformes de bavardage, avec la complaisance des états qui ne trouvent rien à y redire, bien qu'ils sachent exercer quelques pressions quand il s'agit de terrorisme ou de racisme.
Le résultat de ces pratiques numériques en matière de santé publique devient préoccupant puisqu'en France, 6% des collégiens sont actuellement victimes du harcèlement numérique16). C'est pourquoi le ministère de l’Éducation nationale est obligé depuis quelques années d'organiser des campagnes de sensibilisation contre le harcèlement.
Depuis novembre 2015, ces campagnes de sensibilisation sont plus ciblées sur les moyens numériques et les tranches d'âges concernées grâce au partenariat passé avec l'équipe de youtubers Rose Carpet du Groupe M6 Télévision. Ainsi, la campagne 2016-2017 stimule la conscience des enfants et des adolescents en faisant valoir le fait que cliquer sur le bouton "j'aime" (= "liker") d'un message collectif de dénigrement dans un "réseau social" revient à augmenter la stigmatisation de la personne visée qui devient victime de ce clic individuel malveillant.
Clip officiel de la campagne 2016-2017 :
Date : 26/10/2016 – Durée : 30" – Réalisation : Rose Carpet
Non au harcèlement - Liker, c'est déjà harceler (campagne audiovisuelle)
Clip de la campagne 2015-2016 :
On (nous) lit nos méchants commentaires – Rose Carpet contre le Cyber-harcèlement
Date : 05/11/2015 – Durée : 5'29" – Réalisation : Rose Carpet
On (nous) lit nos méchants commentaires – Rose Carpet contre le Cyber-harcèlement (campagne audiovisuelle 2015-2016)
Conseils pratiques :
Suite à une fuite massive de données sur des serveurs, il est conseillé de changer son mot de passe d'accès au compte Yahoo même si cela a déjà été fait récemment.
Explications dans l'article suivant :
Conseils :
/oVrD)sX'$hKcM7Kui_C8v7LhV?`.L?JtM-Wi:{G
Accès à la gestion de compte Yahoo :
Accès aux pages d'aide Yahoo relatives aux connexions clients-serveurs (pour utilisateurs de niveau familier à expérimenté) :
Comme alternative, il existe heureusement des services plus éthiques que ceux des grands fournisseurs d'email. Pour en savoir plus, voir la page Reprendre le contrôle de ses emails.
Pour aller plus loin sur le sujet :
André Brahic vient de décéder. Il était astrophysicien au CEA, professeur à l'université de Paris VII et directeur du laboratoire Gamma-gravitation rattaché à l'UFR de physique. Il a beaucoup contribué aux avancées récentes de l'astrophysique et était reconnu au niveau international.
Passionné par son métier, André Brahic était un formidable pédagogue : déplorant le très faible niveau de la culture générale scientifique française, il avait à coeur de participer à la transmission du savoir et était passé maître dans l'art de la vulgarisation scientifique. Avec son franc-parler volubile, son humour, sa personnalité résolument optimiste et attachante, il savait raconter n'importe quel sujet d'astrophysique en un récit narratif jubilatoire et haletant.
Je recommande vivement l'écoute des 6 exposés de la série "Dernières nouvelles de l'univers" qu'André Brahic a réalisé pour France Culture durant l'été 2013.
Voici la conférence "Sommes nous seuls dans l'Univers ?" qu'André Brahic à donné quelques jours avant sa mort à l'Université Libre de Bruxelles, le 17/03/2016 :
Nous sommes en train de vivre une période exceptionnelle dans l'histoire de l'humanité. Cela a des répercussions culturelles majeures qui nous rappellent que la science est le meilleur moyen de lutter contre la violence, l'obscurantisme et le chômage. Son développement devrait être la grande priorité de l'Europe. Sans cela, le progrès et la connaissance seraient condamnés. Par robots interposés, les hommes sont en train de sortir de leur berceau, la Terre. L'exploration des planètes de notre système solaire et la capture des rayonnements invisibles à nos yeux nous ont révélé des astres et un Univers bien différents de ce qu'avaient imaginé nos ancêtres. Parmi les grandes questions millénaires, celles de nos origines et de la recherche d'une vie extraterrestre sont en train de connaître d'impressionnantes avancées avec la découverte d'endroits favorables à la vie des confins du système solaire aux exoplanètes.
Sommes-nous seuls dans l'Univers ? (André Brahic le 17/03/2016 à l'Université Libre de Bruxelles)
EDIT du 21/06/2016 : Accès à la conférence en ligne et à son plan (voir ci-dessous)
Conférence de Richard Stallman : les logiciels libres et vos libertés (en français)
Date : Lundi 18 avril 2016 de 15h30 à 17h30 – Affiche de la conférence au format PDF
Lieu : Faculté de Lettres de l'Université d'Angers (amphi A diffusé en direct dans l'amphi H), 11 Bd Lavoisier 49000 Angers
Cette conférence tout public, à l'origine organisée à destination des élèves du cycle préparatoire de l'ISTIA, des étudiants en Génie Électrique et Informatique Industrielle de l'IUT et des étudiants en informatique de la Faculté des Sciences de l'Université d'Angers, est ouverte à tous les utilisateurs d'ordinateurs qui s'intéressent aux questions éthiques et politiques que soulève l'informatique…
Richard Stallman, fondateur de la Free Software Foundation, expliquera en quoi l’utilisation de logiciels non-libres menace notre liberté numérique. Il présentera les missions et la philosophie du mouvement du logiciel libre.
Peut-être croyez-vous que l'histoire de l'informatique, c'est surtout Apple et Microsoft… Si vous ne connaissez pas Richard Stallman, sachez que sans être devenu milliardaire, il a probablement plus contribué à l'histoire de l'informatique que Bill Gates et Steve Jobs réunis17).
Ingénieur informatique au Massachusetts Institute of Technology (MIT), Richard Stallman est en effet à l'origine du système d'exploitation GNU (par copie du système d'exploitation privateur Unix), de la Licence Publique Générale GNU GPL, et des logiciels libres. Avec d'autres hackers (non, un hacker n'est ni un pirate ni un cybercriminel), Richard Stallman est le co-créateur de tous les systèmes d'exploitation GNU/Linux existants ou dérivés. Parmi les systèmes d'exploitation dérivés, certains sont connus comme Google Android, Apple Mac OS, les systèmes d'exploitation de nombreuses box Internet, etc.
Si vous pensez que les logiciels privateurs (logiciels sous copyright également appelés "logiciels propriétaires") comme ceux de Apple ou Microsoft respectent votre vie privée parce que vous les avez achetés et avez coché leur contrat de licence, alors vous vous trompez lourdement.
Avec son association la Free Software Foundation dont la devise est "logiciel libre, société libre", Richard Stallman a définit à partir de 1986 la notion juridique de logiciel libre, selon des règles simples qui offrent un cadre éthique minimal pour les utilisateurs de ces programmes.
À la différence des logiciels privateurs, le code source d'un logiciel libre est non seulement ouvert – c'est à dire public (logiciel "Open source") –, mais de surcroît, il est soumis à la gauche d'auteur (ou Copyleft) selon les 4 conditions nécessaires et suffisantes du logiciel libre définies par la Free Software Foundation :
Voir la conférence en ligne (lien direct vers le fichier video.ogg (757,9 Mo))
Voici un plan de cette conférence "Les logiciels libres et vos libertés" donnée en français le 18/04/2016 à Angers par Richard Stallman :
(Alt Gr) ]
de votre clavier)Dans un bulletin du 14/04/2016, le centre de cyberdéfense américain invite fortement les utilisateurs Windows à désinstaller le logiciel QuickTime pour Windows qui n'est plus supporté par Apple. En effet, la plateforme Zero Day Initiative (en) de l'entreprise de cybersécurité Trend Micro a révélé deux vulnérabilités critiques de la dernière et ultime version du logiciel QuickTime pour Windows.
Le logiciel de lecture multimedia QuickTime faisait partie du pack d'installation officiel de iTunes pour Windows. Si ce dernier logiciel est installé sur votre PC, il est fort probable que QuickTime le soit également. Dans la plupart des cas, QuickTime pour Windows n'est pas le logiciel multimedia par défaut et c'est Windows Media Player ou encore mieux, le logiciel libre VLC media player, qui est démarré lors d'un clic sur un fichier multimedia.
Sources :
En ne communiquant pas clairement et franchement sur l'obsolescence de son logiciel QuickTime pour Windows, la société Apple ne déroge pas à son laxisme habituel en matière de sécurité18).
En 2012 déjà, la multinationale avait été vivement critiquée à cause d'un retard de publication des mises à jour du logiciel Java de la société Oracle (jusqu'à 3 mois pour la vulnérabilité CVE-2012-0507) qui ont exposé les utilisateurs Mac à toute une génération de logiciels malveillants dont le plus célèbre, le cheval de Troie FlashBack, a infecté plus de 550 000 ordinateurs Macintosh dont 56% aux États-Unis et 0,6% en France. Dans le même temps, les utilisateurs Windows et GNU/Linux étaient protégés de ces vulnérabilités par les mises à jour Java.
Au 16/04/2016, la page de téléchargement de QuickTime propose toujours, pour un navigateur sous Windows Vista ou Seven, le téléchargement de la version 7.7.9 publiée le 13/01/2016, sans aucun avertissement d'obsolescence du logiciel.
La page "Mises à jour de sécurité Apple" indique que la version 7.7.9 de QuickTime pour Windows 7 et Windows Vista en date du 7 janvier 2016 est la mise à jour de sécurité la plus récente et justifie sa tradition de rétention d'information par le message lapidaire suivant :
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles.
Pourtant, la page "Désinstallation de QuickTime 7 pour Windows" en date du 12 mars 2016 indique clairement mais sans dire que le logiciel est périmé :
La plupart des programmes de lecture de fichiers multimédias pour Windows, notamment iTunes 10.5 ou version ultérieure, n’utilisent plus QuickTime pour lire des fichiers multimédias aux formats modernes. Ces programmes lisent directement le fichier multimédia ou le lisent en utilisant la prise en charge multimédia intégrée à Windows.
[…]
Désinstallez QuickTime 7 depuis le panneau de configuration, comme vous le feriez pour d’autres programmes de votre PC. Lorsque vous suivez les instructions de Microsoft relatives à la désinstallation de programme, sélectionnez QuickTime 7 comme programme à désinstaller.
Vous pouvez également utiliser Windows Search pour trouver « Désinstaller QuickTime » et démarrer le processus de désinstallation de cette manière.
La société Apple ne possède pas de blog officiel, et sa page "Communiqués de presse" au 16/04/2016 ne mentionne pas QuickTime pour Windows. Est-ce à dire qu'Apple considère que les utilisateurs de QuickTime sous Windows vont naturellement visiter sa page "Désinstallation de QuickTime 7 pour Windows" et l'interpréter comme une recommandation de sécurité ? Ce laxisme conduisant à exposer ses clients Windows aux cybercriminels, n'est peut-être pas dénué d'arrière-pensées commerciales aux dépends des clients de Microsoft Windows…
L'architecture système des extensions Firefox présente actuellement une vulnérabilité qui permettrait à une extension malveillante programmée dans ce sens, de dissimuler son activité en utilisant les fonctions des extensions légitimes déjà installées.
Ce problème sera résolu par un nouveau support des extensions Firefox actuellement en développement (WebExtension), et qui permettra d'isoler en mémoire les extensions les unes des autres19). En attendant la publication de cette fonctionnalité dans Firefox 57 le 14 novembre 2017, il convient d'être d'autant plus prudent avant d'installer une nouvelle extension, que la preuve de concept d'attaque a été rendue publique pour cette vulnérabilité.
Les utilisateurs compétents qui voudraient anticiper tout risque d'intrusion par le web peuvent toujours envisager le recours à une sandbox. Sous Windows, les utilisateurs expérimentés peuvent installer Sandboxie (en) (version gratuite disponible pour un démarrage manuel, site officiel, tutoriel). Sous GNU/Linux, les utilisateurs qui ont les compétences d'un administrateur système peuvent par exemple installer AppArmor.
Quant-à se rabattre sur l'utilisation de Google Chrome, cela reste une très mauvaise idée20).
Sources :