L

e programme de No Such Conference est en ligne. Vous pouvez le consulter ici : http://www.nosuchcon.org/#schedule
Speakers : http://www.nosuchcon.org/#speakers
Inscriptions : http://www.nosuchcon.org/#registration
Et c'est dans un mois !

'nough said...

Par contre, l'autre vraie info, c'est que le challenge organisé par Oppida pour NoSuchCon commence demain à 14h, avec un voyage tout frais payé à HITB Amsterdam 2014 et Samsung Galaxy Tab 2 à la clé.

Update (16/04/2013) : le challenge est en ligne, le règlement également :)

F

inis les poissons d'avril, c'est maintenant l'heure de publier la première moitié des speakers retenus pour NoSuchCon ainsi que le titre de leur intervention. Ce sont donc dix talks qui viennent s'ajouter aux quatre intervenants déjà annoncés précédemment...

Encore un peu de patience pour la publication des derniers sujets et du programme prévisionnel de la conférence qui ne tarderont pas à arriver. En attendant, vous pouvez toujours vous inscrire ;)

À l'heure actuel, nous vous proposons donc quatorze interventions :

• Shyama Rose - Keynote
• Andrea Barisani - Keynote
• Dmitri Alperovitch - Keynote
• Alex Ionescu - Ninjas and Harry Potter: "Spell"unking in Apple SMC Land
• Zhenhua(Eric) Liu - Advanced Heap Manipulation in Windows 8
• Stephen A. Ridley - Who'd have thought they'd meet in the middle? 'ARM Exploitation' meets "Hardware Exploitation". Sharable memoirs from a very surprising last year.
• John Butterworth, Corey Kallenberg, Xeno Kovah - BIOS Security (TBA)
• Mateusz "j00ru" Jurczyk - Abusing the Windows Kernel: How to Crash an Operating System With Two Instructions
• Richard Johnson & pa_kt - Taint Nobody Got Time for Crash Analysis
• Nikita Tarakanov - Exploiting Hardcore Pool Corruptions in Microsoft Windows Kernel
• Saumil Shah - Deadly Pixels - Innovative (and pretty) exploit delivery
• Pedro Vilaca aka fG! - Revisiting Mac OS X Kernel Rootkits
• Karsten Nohl - Corroding immobilizer cryptography
• Donato Ferrante & Luigi Auriema - Exploiting Game Engines For Fun And Profit

En espérant que ça vous plaise...

L

e Call For Papers de No Such Con est désormais clos, et force est de constater que la qualité et la quantité des soumissions que nous avons reçues sont réellement impressionnantes. Le choix fut difficile, mais grâce à un comité de programme vaillant et motivé, le programme est arrêté. Nous espérons qu'il vous plaira... (April fool :D)

Pendant ce temps, à Vera Cruz, les inscriptions de poursuivent. Un tarif préférentiel est encore disponible jusqu'à la fin du mois.
Pour rappel, la conférence se déroulera à l'Espace Oscar Niemeyer du 15 au 17 mai prochains. Les amateurs de photographie pourront également apprécier l'exposition "Brasilia 50 años" qui se tiendra au même moment. Un bel hommage à Oscar Niemeyer disparu en décembre dernier...

Le programme annoncé ce premier avril était évidemment un fake ;)

Le vrai programme est en train d'être finalisé par le comité de programme et devrait tomber d'ici la fin de la semaine.

C

omme je l'expliquais précédemment, j'ai fait l'acquisition d'un Synology DS413 pour remplacer mon précédent NAS en manque d'espace libre. Parmi les raisons ayant guidé ce choix se trouve sa faible consommation, en particulier quand il se trouve en hibernation.

Or, il se trouve que la mise en veille chez Synology ne manque pas de poser quelques soucis, au point qu'une section entière de leur forum y soit consacré. Le problème couramment rencontré par les utilisateurs se traduit par une sortie de veille quasi immédiate après hibernation, rendant l'utilisation de cette fonctionnalité complètement contre-productive du fait du redémarrage des disques...

Sur les NAS Synology, il y a deux niveaux de veille. Le premier consiste à arrêter les disques en maintenant le système sous tension, permettant de passer d'une consommation de 35W en fonctionnement normal à 13W. Le second niveau de veille est une hibernation du système qui fait tomber la consommation à moins de 4W. Une fois là, le système n'est censé se réveiller que suite à une sollicitation directe. Or, ce n'est pas toujours ce qu'on constate...

Quand on parcourt les différents threads et autres FAQ, on s'aperçoit très vite qu'il existe grosso modo deux catégories de facteurs empêchant le NAS de rester en hibernation. La première est l'utilisation d'un service, d'une application ou d'un réglage incompatible avec cette fonctionnalité. La seconde est la génération par l'environnement du NAS de sollicitations. Après moultes debug et quelques tests, il s'avère que je tombe dans la seconde catégorie. Et comme ça vient d'un équipement dont je ne peux pas changer le comportement, je ne peux compter que sur une action sur le NAS lui-même...

La solution immédiate quand on est dans ce genre de situation est de désactiver l'hibernation et de s'en tenir au premier niveau de veille. Si les disques sont à l'arrêt, il est dommage d'une part de ne pas pouvoir profiter à fond des économies d'énergie, et d'autre part de ne pas pouvoir jouir d'un système silencieux puisque les ventilateurs tournent. Car même au ralenti, ils font du bruit. Or, on aimerait bien pouvoir, au minimum, les désactiver. Problème auquel j'ai trouvé la solution au fond d'un thread sur l'hibernation : il existe un fichier de configuration répondant au doux nom de scemd.xml qui permet de contrôler la vitesse de rotation des ventilateurs.

On trouve le fichier en question à la fois dans /usr/syno/etc/ et /usr/syno/etc.defaults/. C'est apparemment cette dernière version qui contrôle effectivement les ventilateurs.
Ce fichier contient en particulier trois sections de ce type :

<fan_config period="20" threshold="6" type="DUAL_MODE_LOW" hibernation_speed="ULTRA_LOW">
    <disk_temperature fan_speed="12%40hz" action="NONE">0</disk_temperature>
    <disk_temperature fan_speed="21%40hz" action="NONE">44</disk_temperature>
    <disk_temperature fan_speed="35%40hz" action="NONE">48</disk_temperature>
    <disk_temperature fan_speed="60%40hz" action="NONE">54</disk_temperature>
    <disk_temperature fan_speed="99%40hz" action="NONE">58</disk_temperature>
    <disk_temperature fan_speed="99%40hz" action="SHUTDOWN">61</disk_temperature>

    <temperature fan_speed="12%40hz" action="NONE">0</temperature>
    <temperature fan_speed="60%40hz" action="NONE">46</temperature>
    <temperature fan_speed="99%40hz" action="NONE">58</temperature>
    <temperature fan_speed="99%40hz" action="SHUTDOWN">60</temperature>
</fan_config>

La section DUAL_MODE_HIGH concerne le mode frais du NAS, comprendre le mode pour lequel les ventilateurs tournent à fond... Les sections DUAL_MODE_LOW et DUAL_MODE_LOW_STOP correspondent respectivement aux modes calme et basse puissance.
La signification et l'impact des paramètres, à l'exception de la fréquence (40Hz ?), sont assez explicites. Utilisant mon DS413 en mode calme, j'ai donc modifié la DUAL_MODE_LOW comme suit en m'inspirant de quelques retours utilisateur :

<fan_config period="20" threshold="6" type="DUAL_MODE_LOW" hibernation_speed="0%20hz">
    <disk_temperature fan_speed="7%20hz" action="NONE">0</disk_temperature>
    <disk_temperature fan_speed="10%20hz" action="NONE">40</disk_temperature>
    <disk_temperature fan_speed="15%20hz" action="NONE">45</disk_temperature>
    <disk_temperature fan_speed="40%40hz" action="NONE">50</disk_temperature>
    <disk_temperature fan_speed="60%40hz" action="NONE">53</disk_temperature>
    <disk_temperature fan_speed="99%40hz" action="NONE">56</disk_temperature>
    <disk_temperature fan_speed="99%40hz" action="SHUTDOWN">61</disk_temperature>

    <temperature fan_speed="7%20hz" action="NONE">0</temperature>
    <temperature fan_speed="10%20hz" action="NONE">40</temperature>
    <temperature fan_speed="99%40hz" action="NONE">58</temperature>
    <temperature fan_speed="99%40hz" action="SHUTDOWN">60</temperature>
</fan_config>

Outre l'abaissement significatif des vitesses de rotation, le paramètre important est hibernation_speed qui, avec une valeur de 0%, provoque l'arrêt des ventilateurs dès le passage en veille. Après avoir rebooté la bête avec cette configuration, je n'ai pas constaté d'élèvement significatif de température sur mes quatre Seagate Barracuda à 7200tr/min qui dépassent rarement les 35°C.

Conclusion... Si je ne peux pas utiliser l'hibernation du système, je m'en tire avec une veille ventilateurs arrêtés qui ne fait plus de bruit, et qui tire un tout petit moins sur la prise. Il n'y a pas de petites économies ;)
Si ça vous tente de jouer, il ne vous reste qu'à déterminer les valeurs qui vous conviennent.

Et pendant que je cherchais des infos le fichiers scemd.xml, je suis tombé sur un billet discutant du changement des ventilateurs sur les Synology et de ce que ça implique. Lecture intéressante.

Ç

a faisait longtemps que je n'avais pas parlé de Wifitap. Et pour cause : j'avais arrêté de le maintenir. en effet, la disponibilité de l'outil airtun-ng qui permet de faire grosso modo la même chose, l'avait rendu obsolète pour l'essentiel. Pourtant, cela n'a pas empêché nombre d'utilisateurs de déplorer la perte de compatibilité de l'outil avec l'interface Wi-Fi des noyaux Linux récents ainsi que les dernières version de Scapy, plus pour les vertus pédagogiques de l'écriture en Python que pour ses (piètres) performances ;)

J'ai été contacté en début d'année par Oliver Lavery de Gotham Digital Science, lequel a tout simplement effectué les corrections nécessaires et poussé le code sur GitHub. Je ne sais pas s'il compte maintenir l'outil sur le long terme, mais toujours est-il que si vous voulez charger une version qui fonctionne acec un noyau et un Scapy récents, c'est ici que ça se passe :
https://github.com/gdssecurity/wifitap/

U

n petit billet en loucedé pour vous annoncer l'ouverture des inscriptions pour NoSuchCon qui se tiendra du 15 au 17 mai 2013 à l'Espace Niemeyer à Paris. Avec un tarif réduit jusqu'au 31 mars comme indiqué dans le dernier CFP qui, rappelons-le, est encore ouvert et expire à la même date.

C'est ici que ça se passe : http://www.nosuchcon.org/#registration

Les premiers speakers confirmés vont être annoncés dans les jours qui viennent. Stay tuned !

D

ans la famille "Prends-moi pour un con", après les offres illimitées limitées largement dénoncées, je voudrais l'accès fibré symétrique pas symétrique :

On y découvre un accès fibré "encore plus rapide" d'un débit de, je cite, "200 Mbits/s symétrique". Modulo une mention légale en petits caractères à découvrir dans un encart en bas de page...

Ça me semble tellement hallucinant que je ne peux m'empêcher de le citer à nouveau :

(1) Les débits annoncés sont des débits IP. Jusqu'à 200 
    Mégabit/s en réception (débit IP maximum) et jusqu'à 
    100 Mégabit/s en émission (débit IP maximum).

Avec l'offre Intense à 200Mbps symétriques, vous souscrivez donc un accès asymétrique à 200Mbps en dowload et 100Mbps en upload. Chez Orange, il y a donc symétrie et... symétrie...
On remarquera au passage qu'un débit de 100Mbps montants ne permet pas l'envoi, terme que tout le monde comprendre comme l'upload, d'un fichier de 5Go en 3 minutes ou presque. On pourrait cependant se dire qu'il s'agit là d'une erreur de contenu, dans la mesure où ces mentions légales sont l'exact copier/coller de celle de l'offre Équilibre, qui ne propose pas de débit symétrique. D'autant que quand on lit la description de cette dernière, on nous y vante également l'envoi du fameux fichier de 5Go en 3 minutes...

Je ne sais pas vous, mais personnellement, entre les différentes forfaits, leurs options et les offres de bienvenue, je trouve qu'il est relativement compliqué de cerner, et donc comparer, ce que nous proposent certains opérateurs en terme d'accès au net, qu'il s'agisse d'ADSL ou de FTTH. Si en plus on y rajoute des contradictions et, probablement, des erreurs factuelles dans les descriptions, on va avoir du mal à s'en sortir...

Toute cocasse que soit cette histoire de débit symétrique, ce qui me semble le plus intéressant dans ces mentions légales, c'est la suite du (1) :

Orange pourra suspendre l'ensemble des services de l'offre
(hors service mobile) au-delà de 2 téraoctets par mois

C'est à dire que votre offre super rapide qui booste à 200Mbps se trouve en fait limitée, sous peine de coupure de service, à 2To par mois^[1]. Soit une misère en comparaison du débit proposé si on considère qu'à 100Mbps, deux jours suffisent pour remplir le quota.
On pourra bien sûr ergoter pendant des heures sur ce que devrait être l'usage normal d'un accès Internet professionnel, toujours est-il que ça me rappelle furieusement les années 2000 avec, à l'époque, Cybercable et son quota de 250Mo en upload...

Update (14/02/2013)
Les descriptions ont été mises à jour de la même manière pour les offres Équilibre et Intense qui proposent désormais toutes deux "un débit descendant et ascendant de 200 Mbits/s". Pour autant, seule l'offre Intense reste qualifiée de symétrique. Les mentions légales reflètent ce changement pour les deux offres également :

(1) Les débits annoncés sont des débits IP. Jusqu'à 200
    Mégabit/s en réception et en émission (débit IP maximum).

La limitation à 2To par mois n'a, par contre, pas bougée...

D

evant l'espace disque considérable qu'a commencé à monopoliser le stockage de mes photos, je me suis finalement décidé à investir dans un petit NAS. Mon critère de choix principal n'a alors pas été la capacité, le support du RAID ou encore des fonctionnalités qu'on trouvait grosso modo chez tous les constructeurs. Ce que je voulais avant tout, c'était un boîtier qui tourne sous un OS libre auquel je puisse avoir un accès complet et privilégié en ligne de commande.

Trois raisons majeures ont orienté ce choix. D'abord, la curiosité bien évidemment : j'avais envie de pouvoir y accéder, tout simplement pour voir de quoi il retournait. Ensuite, la sécurité de mes données : parce que ça arrive aussi, je voulais pouvoir récupérer moi-même le contenu des disques en cas de panne du boîtier. Enfin, la flexibilité : je voulais pouvoir le personnaliser en supprimant, ajoutant ou remplaçant des applications. Autrement dit, pouvoir utiliser mon NAS comme je l'entendais...

Mon premier chois s'est porté sur un Western Digital MyBook World Edition II. Un nom bien long pour désigner un boîtier à deux disques supportant le RAID1, proposant quelques services réseaux utiles et tournant sur la base d'un bon vieux Linux facilement accessible en SSH et customisable à souhait via optware. Fort de quelques expériences précédentes du RAID Linux, je savais également qu'au besoin, je pourrais non seulement récupérer mes données en sortant les disques, mais aussi potentiellement étendre ma capacité de stockage en étendant la grappe en RAID5 sur un boîtier proposant plus de disques. Le tout pour un prix relativement modeste.

Globalement, je n'ai pas regretté ce choix, bien au contraire. Pourquoi ? Parce que cet accès root m'a sauvé, il faut bien le reconnaître, d'une dotation logicielle assez pauvre. Outre une interface web pas géniale, ce boîtier propose par exemple un serveur DLNA qui, non content de ne pas s'intégrer dans l'interface sus-mentionnée, manque singulièrement de... tenue... Buggé, instable et lent, c'est tout ce que j'en retiens... Or comme la Freebox ne sait pas monter un partage réseau^[1], c'est le seul moyen de lui streamer du contenu multimédia via une fonctionnalité standard du boîtier. Ce logiciel s'est donc rapidement vu remplacé par un MediaTomb qui, lui au moins, a le bon goût de fonctionner...
Quant au gestionnaire de téléchargements, il ne soutient pas le moins du monde la comparaison avec un démon Transmission par exemple.

Ensuite, la dotation de base ne comprend pas, entre autres exemples, de serveur d'impression, de terminaison VPN ou de solution de backup ouverte. Autant de fonctionnalités installables simplement en ligne de commande, et qui permettent de passer d'un NAS pas trop cher plutôt moyen à quelque chose qui répond à nombre de besoins comme pourraient le faire des solutions sensiblement plus chères, mais pas forcément utilisées à fond.

Et puis le temps passant, quand on change de boîtier reflex, qu'on se met à prendre ses photos en RAW et qu'on commence à faire des vidéo, l'espace disponible commence à fondre. Et période de soldes aidant, on se prend à vouloir se ré-équiper. Genre avec un bon gros boîtier à quatre disques flambant neufs, gros et rapides, le tout en RAID5 par exemple. Là, pour le coup, il y a moins de constructeurs sur le marché, et quoi qu'on en dise, sauf à privilégier des aspects particulier, quelques uns se valent. Encore une fois, j'ai opté pour un produit qui propose en guise d'OS un Linux accessible, de bonnes performance et, cerise sur le gâteau, une dotation logicielle de base plutôt sympathique.

Et c'est là, une fois ce nouveau NAS installé, configuré et prêt à recevoir les données de l'ancien que j'ai mis le doigt sur une quatrième excellente raison de préférer une plate-forme accessible. À savoir réaliser efficacement des opérations de maintenance. Car transférer l'intégralité des données présentes sur le NAS actuel, soit environ 1.6To, vers le nouveau peut prendre un certain temps. Voire un temps certain...
En effet, l'approche la plus commune du problème consistera à monter sur sa machine les partages réseau de chacun, en CIFS, NFS ou tout autre protocole supporté de son choix, pour lancer une copie de l'ancien vers le nouveau. Ce qui évidemment, du fait de la charge réseau importante due à l'aller-retour des données entre les NAS et votre machine, et d'une surchage protocolaire clairement pas négligeable, bref d'une inadaptation totale de la méthode au but recherché, va prendre des plombes. Un temps considérable estimé dans mon cas à un peu plus de quarante heures...

Or il se trouve qu'en ayant accès à ses NAS en SSH^[2], on peut tout simplement effectuer le transfert directement de l'un à l'autre en utilisant un protocole beaucoup plus adapté. En se loguant sur le premier, on peut lancer le client qui va bien pour accéder aux système de fichiers de l'autre en FTP, SFTP ou tout autre moyen de transfert jugé pertinent, comme par exemple piper un tar dans SSH. Et c'est parti. Restera éventuellement à repositionner les droits d'accès qui vont bien et on sera bon.
Et comme vous ne voulez certainement pas immobiliser votre machine jusqu'à la fin du transfert, vous serez bien inspirés d'installer screen avant de commencer ;)

Bilan des courses, au lieu de pleurer devant la maigre dizaine de Mo/s que me permettait d'atteindre la méthode de base, je suis allègrement passé autour de la soixantaine de Mo/s en moyenne sur l'intégralité du transfert. Ou comment diviser par six le temps de transfert, et sans bloquer le laptop. Pour deux francs six sous, et en ligne de commande...

Bref, mon conseil à deux balles de la matinée : si vous prenez un NAS, quel qu'il soit, vérifiez avant que vous pouvez y accéder. Ça sert certes à bidouiller au besoin, mais ça dépanne infiniment quand il s'agit de réaliser des tas d'opérations de maintenance, a priori simples, mais consommatrices de ressources...

C

'est une nouvelle conférence qui voit officiellement le jour et lance son CFP. Elle s'appelle NoSuchCon, NSC pour faire court. Elle se tiendra du 15 au 17 mai 2013 à Paris, à l'Espace Oscar Niemeyer dans le dix-neuvième arrondissement. Si ce lieu vous rappelle vaguement quelque chose, c'est normal. En effet, NoSuchCon n'est pas vraiment une nouvelle conférence, mais le fork d'une autre.

En effet, 2012 a véritablement constitué une année charnière pour Hackito Ergo Sum, levant une question de fond quant à son positionnement. Ceci s'est soldée par la décision d'une (grosse) partie de l'équipe organisatrice de lancer son propre évènement : NoSuchCon. Cette conférence s'inscrit dans l'exacte ligne qui a fait de la troisième édition de HES un succès incontestable : même salle, (grosso modo) même équipe, même valeurs, même esprit. Pareil donc, mais en mieux :)

Le CFP pour NoSuchCon est donc lancé, il ne tient qu'à vous d'y répondre avant le 31 mars prochain. La conférence se déroulant en anglais, les soumissions sont également à fournir dans la langue de Shakespeare, de préférence appuyées par un whitepaper de trois ou quatre pages.

Vous pouvez nous suivre sur Twitter, @NoSuchCon.

L

a deadline pour les soumissions au SSTIC 2013 approche à grands pas puisque l'appel à contributions prend fin le 21 janvier. Vous avez donc jusqu'à lundi soir, 23h59 heure de Paris, pour soumettre votre papier. Un bon week-end en perspective ;)

Si vous êtes de ceux que l'imminence du couperet pourrait pousser à laisser tomber, souvenez-vous qu'une soumission n'a pas vocation à être le papier complet tel qu'il sera publié dans les actes, mais un document qui "doit permettre au comité de programme de juger de l'originalité et de l'intérêt de la proposition". Je conviens que sept pages et un plan, ça fait de la matière à fournir pour la date fatidique, mais les perfectionnistes auront encore presque trois mois pour peaufiner leur contenu.

Dans un tout autre registre, si vous êtes parisien, ou simplement de passage dans la capitale ce week-end, le Burn Crew Concept fête ses neuf ans au Palais de Tokyo demain soir samedi à partir de 20h30. C'est plutôt spectaculaire, et pour peu que vous soyez également amateur de photographie, il y a véritablement de quoi s'éclater.
D'autant que si la neige qui tombe en ce moment même sur la capitale a tenu jusque là, le décor promet d'être magnifique...

J

e profite de cette rentrée pour vous souhaiter une bonne année 2013, et tout ce qui accompagne habituellement les vœux du nouvel an.

Je ne m'essayerai pas aux prédictions, faciles ou non, pas plus qu'aux bonnes résolutions, sinon celle de regarnir un peu ce blog dont le contenu commence à avoir un peu l'air d'une friche, entre deux séance de chute ;)

L

a fin de la saison 2012 de parachutisme a sonné. Et quand on peut clôturer une année de sauts sur deux jours de beau temps dans le ciel palois, ça donne des trucs comme ça :

Il est maintenant temps de mettre tout le matos au placard, et de prendre son mal en patience sans trop abuser de la soufflerie... pour une rechute prévue mi-février ;)

Cette vidéo a été montée sous Linux, mais avec Kdenlive qui va devenir, je pense, mon outil de montage régulier, ne serait-ce que parce qu'il plante infiniment moins que Openshot. L'interface est assez similaire, la manipulation également mais l'outil se révèle nettement plus fluide et tout simplement utilisable, ne serait-ce que pour l'application d'effets basiques comme un changement de vitesse (ralentissement/accélération) ou un crop (passage de 960p en 720p), même si je continue à préférer utiliser mencoder en externe pour le faire. Il reste encore quelques équivalents à trouver, mais on s'en sort rapidement très bien.

J'ai également avancé dans l'utilisation de slowmoVideo avec la conclusion que ça ne marche pas dans tous les cas. Par contre, quand ça marche, ça marche carrément bien, comme on peut le voir à 2'47, 2'54 et surtout 3'03.
Côté stabilisation, on ne peut pas dire que ce soit un franc succès pour le moment...

D

eux mois après une première condamnation fort médiatisée pour "négligence caractérisée" dans le cadre d'HADOPI, Numerama nous apprenait vendredi la décision de la CNIL de clôturer définitivement sa procédure à l'encontre des ayant-droits. Lancée en juin 2011 suite à la découverte de failles dans le système de leur prestataire TMG, cette procédure avait levé le voile sur plusieurs manquements dans le traitement des données personnelles récoltées.

La CNIL avait mis fin à sa mise en demeure à l'encontre de TMG l'an dernier, tout en précisant continuer son action à l'encontre de la SPRD. Cette dernière s'en sort donc à tour, sans la moindre sanction également. À se demander si quelqu'un se soucie encore de la protection des données personnelles, et plus largement de la législation applicable...

Il ne fait aucun doute que beaucoup ne manqueront de pointer l'ironie de la situation, comparant le sort d'un pauvre Internaute à celui du lobby des ayant-droits. Mais tel n'est pas mon propos. Car il y a, à mon avis, un peu plus intéressant dans cette histoire...

D'abord, alors qu'on nous rabat les oreilles avec les supposés manques de l'arsenal législatif en vigueur, nous voici devant un cas, qu'on pourrait qualifier d'école, dans la non application assez caractérisée de la loi. Car ce que nous avons ici, ce sont deux acteurs, la SPRD d'un côté et son prestataires TMG de l'autre, qui, pris en violation de trois articles de la loi Informatique et Liberté, s'en sortent avec à peine une tape sur les doigts de la part de l'autorité en charge et aucune poursuite ou sanction judiciaire. Peut-être la CNIL entend-elle démontrer une amélioration significative de la situation avec une approche qui se veut, j'imagine, inscrite dans la pédagogique et non la répression. Sauf que la pédagogie, ça va bien un temps, et que dès lors que tout le monde semble avoir compris les données personnelles comme quelque chose dont on peut, sans trop de risque, abuser à loisir et ne pas se soucier de la protection, il semble largement temps de sortir la boîte à claques...

Ensuite, je me souviens d'un propos tenu par un représentant de l'État à l'occasion d'une conférence de presse, comme quoi la sécurité des données personnelles ne serait pas une priorité, comparativement à d'autres enjeux majeurs. Dans le cas présent, il s'agissait de la protection des systèmes dits industriels qui font tourner nos infrastructures critiques et donnent des cheveux blancs à l'ANSSI. Si on peut disserter sans fin sur la pertinence de la comparaison, il y a quand même quelques différences incontestables qui me semblent passer à la trappe quand on s'adonne à ce mélange des genres. En particulier que la protection de données personnelles est un problème sur lequel on a infiniment plus de recul que la vaste question de la sécurisation des systèmes dits industriels plus généralement appelés SCADA. Et qui dit recul, dit expérience, solutions, produits, etc. Et donc bien meilleure capacité à appréhender la question. Partant de là, il est légitime de questionner, sincèrement, notre capacité à parvenir à obtenir une sécurisation efficace des infrastructures vitales, alors que protéger décemment des fichiers de données personnelles semble être le bout du monde pour certains...

Enfin, si on sent bien l'envie d'approcher le problème sous l'angle réglementaire, voire législatif, il pourrait être intéressant de se demander pourquoi ce qui n'a pas marché ces trente dernières années avec la loi Informatique et Liberté devrait mieux fonctionner avec autre domaine. Ou se demander pourquoi cet autre domaine ne devrait pas souffrir, lui aussi, d'un encadrement aussi laxiste que la protection des données personnelles pourtant jugée suffisamment importante pour l'encadrer par la loi. En particulier quand on considère la puissance des lobbys en présence...

Et pendant ce temps, à Bruxelles, on travaille sur une approche fédéraliste du problème de la sécurisation des données personnelles, avec un texte apparemment beaucoup plus contraignant et répressif que ceux en vigueur à l'heure actuelle, et des objectifs pour le moins ambitieux. Au point que certains se demandent déjà comment s'organiser pour commencer à répondre à ce prochain défi, si tant est que ce soit possible.
Je ne sais pas si on peut en appeler à une quelconque variation du "Back to bacis" cher à l'Agence, mais il y a certainement quelque chose de cet ordre à méditer...

P

eu après la mise ne ligne de mon précédent billet sur le classement des applications les plus exploitées publié par Kaspersky, je suis tombé via un billet de Contagio sur un poster publié par DeepEnd Research qui montre l'évolution de quelques uns des exploit kits les plus courants en terme d'exploits ajoutés dans le temps.

Cette simple image illustre, par un simple jeu de couleurs, les tendance remarquées précédemment : le passage de la dominante verte attribuée aux produits Microsoft autres qu'IE à la dominante rouge signalant les produit Adobe pour finir sur une dominante jaune orangée principalement utilisée pour Java...

On remarque assez rapidement une distribution assez ciblée des exploits intégrés par les onze kits listés chaque année :

• en 2010, sept d'entre eux ont ajouté le support de la seule faille CVE-2010-0188 touchant Adobe Reader et Acrobat ;
• en 2011, sept d'entre eux ont ajouté un exploit pour la vulnérabilité CVE-2011-3544 visant Java, alors que l'exploitation de deux failles sur Flash, CVE-2011-2110 et CVE-2011-2140, était ajouté à quatre d'entrre eux ;
• en 2012, tous les kits ont renforcé l'exploitation de Java en ajoutant cinq failles, avec majoritairement CVE-2012-4681 supportée par neuf d'entre eux et CVE-2012-1723 dans une moindre mesure, alors qu'un seul ajoute un exploit pour CVE-2012-0779 qui touche Flash.

On notera au passage l'introduction toute récente dans Cool d'un exploit pour une faille Java tout juste patchée du mois dernier.

Moins visuelle, mais beaucoup plus complète, la dernière mise à jour du tableau d'exploit kits proposé par Contagio ravira les amateurs de données qui y trouveront, pour chaque kit, l'ensemble des exploits proposés.

En parlant de vulnérabilité, les utilisateurs de Skype étaient exposés jusqu'à ce matin à une faille permettant la récupération de leur compte à partir de la simple connaissance de l'adresse email de l'utilisateur ciblé. Skype a désactivé la réinitialisation des mots de passe sur laquelle était basée cette attaque.
Si vous avez reçu un mail de réinitialisation de mot de passe non sollicité de la part de Skype, c'est que votre compte a été compromis...

L

es inscriptions la conférence C&ESAR 2012 qui se tiendra la semaine prochaine, du 20 au 22 novembre à Rennes, sont encore ouvertes. Cette dix-neuvième édition sera consacrée au vaste sujet qu'est la sécurité du Cloud.

Alignant quelques vingt-six interventions, le programme sera ouvert par l'ANSSI et clôt par la DGSIC. Il se montre beaucoup plus international que pour les éditions précédentes, et mêle éditeurs, industriels, institutionnels et universitaires.

C

omme on me le faisait très justement remarquer tout récemment, "Tous les éditeurs [...] ont des failles dans leurs produits". Mais force est de constater que tous ne sont pas égaux face à cette situation quand il s'agit de leur exploitation, et la dernière version du rapport "IT Threat Evolution" de Kaspersky ne fait que confirmer une nouvelle fois cet état de fait.

Ce faisant, il consacre Oracle comme leader, si on peut s'exprimer ainsi, en terme de vulnérabilités exploitées sur ce troisième trimestre 2012 avec plus de la moitié des attaques visant Java dont deux failles touchent plus d'un tiers des machines étudiées. L'éditeur détrône ainsi Adobe dont les deux produits phare que sont Adobe Reader et Flash Player ne sont ciblés que dans 28% des cas...

Le classement des vulnérabilités présentes chez les utilisateurs participants est également intéressant. Il montre en effet, comme indiqué plus haut, une prédominance très nette de deux failles touchant l'implémentation Java d'Oracle qui occupent les deux premières places. La première touchant 35% des systèmes surveillées, la seconde 21%. Cependant, ces chiffres ne disent pas grand chose de plus en l'état et son difficiles à interpréter plus avant. Il aurait été en effet intéressant d'avoir d'autres données comme, par exemple, le pourcentage d'utilisateurs affectés par une faille quand le logiciel visé est installé sur leur machine. Ou le pourcentage d'utilisateurs affectés par au moins une faille touchant un logiciel installé, typiquement Java qui présente deux failles du classement ou Flash qui en totalise trois.

Aussi il convient de se garder d'extrapoler et en déduire, par exemple, qu'Adobe tient la première place parce que ses produits sont cités cinq fois, contre deux fois pour Oracle. Par contre, on peut constater certaines tendances qui semblent s'établir avec le temps. D'abord, la très nette domination de Java en tête de classement sur 2012 avec un tiers des utilisateurs exposés à une ou plusieurs failles. Ensuite, la disparition de Microsoft de ce classement ces deux dernières années. Il s'agit peut-être d'une coïncidence, ou des fruits du travail effectué par l'éditeur pour limiter l'exploitation des failles touchant ses produits. Allez savoir...
Enfin, cette domination d'une seule application démontre quelques facettes de l'inégalité mentionnée plus haut. Certaines applications sont plus visées du fait de leur utilisation massive. D'autres du fait d'une facilité et/ou d'une généricité d'exploitation, ou encore d'une accessibilité plus grande, typiquement via le navigateur. Java combine, dans une certaine mesure, ces trois facteurs. Ce n'est donc pas une surprise qu'elle figure aussi régulièrement dans ce top 10...

Ce qui est également intéressant par rapport à ces chiffres, c'est quand on les met en perspective avec tout ce que le pentesteur moyen croise d'applications métier, savant croisement d'ERPs, de middlewares, de workflows et autres dérivés, accessibles via une interface web tels qu'on trouve souvent en entreprise. Car derrière ce choix supposé simplifier la gestion de l'environnement informatique par sa réduction au client léger qu'est censé être le navigateur, c'est en fait une véritable machine à vulnérabilités qui s'est mise en marche. Car sans même parler de ce qui ne marche que sur telle ou telle version, souvent obsolète, d'Internet Explorer, quand on voit la proportion de ces applications qui réclament le support de Java, voire d'Acrobat ou de Flash, pour simplement fonctionner, il n'est guère étonnant que le parc informatique mondial présente un niveau de vulnérabilité particulièrement propice à la réussite de campagnes d'attaques, probablement persistantes, peut-être furtives, mais qui ciblent (quasiment) toujours les même usual suspects dès lors qu'il s'agit de trouver une faille à exploiter...

En parlant d'Adobe, on notera avec intérêt les discussions autour de la possible circulation d'un 0day visant Adobe Reader 10 et 11 et faisant fi de la sandbox mise en place par l'éditeur. D'une part parce que ça semble démontrer que cette sandbox, bien que constituant un plus non négligeable, est évidemment tout aussi perméable que d'autres, typiquement que celle de Chrome. Et d'autre part parce que partant de là, la vraie mesure préventive n'est pas d'éviter d'ouvrir des documents mais bel et bien de réfléchir sérieusement à changer de lecteur PDF...
Ceci étant, l'existence de cet exploit et de la (des) faille(s) associée(s) n'est pour autant pas encore confirmée par l'éditeur.

U

ne poignée de bons petits sauts de track et trace sous le soleil d'automne de Frétoy le Château...

U

n peu plus d'un an après un premier papier incendiaire à l'endroit de l'antivirus de l'éditeur Sophos, Tavis Ormandy remet le couvert avec un advisory sur Full-Disclosure aux conclusions dures et sans appel, accompagné d'un papier détaillé, d'une exploitation sous MacOS et d'une série de PoCs démontrant les failles remontées.

Du côté de chez Sophos, on se félicite du travail accompli avec le chercheur, lequel ne semble pas complètement partager ce point de vue quand il parle de, je cite, "substandard security" s'agissant des produits de l'éditeur ou le qualifie de "ill-equipped to handle the output of one co-operative, non-adversarial security researcher" s'agissant de sa capacité de réaction...

Je ne discuterai pas ici les vulnérabilités présentées par Tavis Ormandy dans la mesure où le bulletin de l'US-CERT et son papier constituent des lectures suffisamment éclairantes à ce propos. Je préfère m'en tenir à une mise en perspective de cette annonce avec celle qui l'a précédée.

L'an dernier, Tavis Ormandy présentait à Black Hat ce qui s'apparentait à une volée de bois vert à l'encontre de l'antivirus Sophos. Dans ce papier, il mettait en exergue la faiblesse de certaines signatures, une protection contre les buffers overflow, BOPS^[1], défaillante, un algorithme de chiffrement propriétaire faible, une émulation contournable et une surface d'attaque bien trop grande. Cette fois, le chercheur enfonce le clou en démontrant par la pratique certaines de ses affirmations, expliquant combien l'utilisation de ce produit rend le système supposément protégée encore plus vulnérable qu'elle ne l'était sans. Un comble pour un produit de sécurité.

Car en plus de failles d'implémentations exploitables à distance, comme un integer overflow dans le traitement du code VB6 ou un stack overflow dans le déchiffrement des PDF, il est démontré comment la mise en œuvre de la simili-protection BOPS désactive purement et simplement l'ASLR fourni nativement par Windows, comment l'outil désactive le mode protégé d'Internet Explorer et la Same Origin Policy des navigateurs, ou encore comment le produit permet une escalade de privilège via son service de mise à jour.
En outre, Tavis Ormandy a fourni d'autres failles dont les correctifs sont annoncés pour la fin du mois. Il annonce en outre annonce un troisième papier à venir sur le produit...

Autant de faits qui font que la réponse de Sophos se fait nettement plus timide que la dernière fois, se bornant à confirmer les failles, annoncer la disponibilité des patches et nous faire une démonstration certes éloquente mais malheureusement affreusement banale de réponse pipeau en trois actes.
Acte premier, "nous $vendor nous sentons responsable de la sécurité de nos clients et c'est pourquoi nous accordons la plus grande importance à ce genre de travail". Acte second, "notre $product a des failles, mais les patches sont là et, rassurez-vous chers clients, nous n'en avons vu aucune exploitation dans la nature^[2]". Troisième et dernier acte, "nous $vendor remercions profondément $researcher pour le travail qu'il a fourni qui nous aide à améliorer la sécurité de $product".

Update (7/11/2012) : En plus d'une mise à jour mineure, on peut trouver dans un commentaire à l'annonce de Sophos l'URL de l'article dans leur base de connaissance. On notera également l'existence d'un billet similaire sur le blog de Sophos France qui fournit un lien vers la version françophone de l'article de la KB.

Si on pouvait en appeler au bénéfice du doute la première fois, ce n'est plus le cas maintenant. Et c'est justement parce que ce premier coup de semonce ne semble pas avoir franchement été suivi d'effet, que, en l'absence de faits concrets pour l'appuyer, la réponse de l'éditeur sonne creux. En effet, si sa priorité était effectivement la sécurité de ses clients, on imagine alors qu'il aurait à cœur de leur fournir un produit efficace et de qualité. Et aurait donc tiré quelques enseignements du premier rapport et, par exemple, n'utiliserait plus BOPS sur les systèmes fournissant de l'ALSR nativement^[3]. Il accorderait plus d'importance à la qualité de son code, se soucierait de son évaluation, et se ferait fort d'utiliser des techniques de protection contre l'exploitation largement répandues^[4]. Choses qui n'ont apparemment pas été faites et qui amènent Ormandy à prévenir : "if Sophos do not urgently improve their security posture, their continued deployment causes significant risk to global networks and infrastructure". Voire à recommander la migration vers un autre produit^[5] le cas échéant.
De plus, si l'éditeur mettait effectivement un point d'honneur à réagir efficacement à ce type de remontées, on imagine également qu'il aurait, depuis la dernière fois, sensiblement amélioré sa capacité à le faire. Or ça ne semble pas être le cas non plus, puisqu'il est indiqué dans les recommandations finales que "Sophos cannot react quickly to reports of vulnerabilities in their products, even when presented with working exploits".

Bref, en somme et pour reprendre certains griefs déjà exprimés à l'encontre des éditeurs, il aurait agi en conséquence et ne donnerait pas l'impression de compter sur les autres pour assurer gratuitement son assurance qualité. Griefs qui, rappelons-le, ont donné lieu à des initiatives pas forcément heureuses par le passé. Initiatives que Sophos serait plus inspiré, à mon humble avis, de ne pas encourager plutôt que simplement les fustiger...

Si les conclusions de Tavis Ormandy sont particulièrement dures^[6], il ne faut pas oublier que l'antivirus de Sophos est un produit parmi beaucoup d'autres. Et donc ne pas perdre de vue qu'à ce titre, et en l'absence de travaux comparatifs similaires sur les solutions d'autres éditeurs, il n'y a guère de raison de penser que leurs antivirus respectifs fassent forcément meilleure impression en la matière.

"Quis custodiet ipsos custodes" ?

Ce qui devrait également nous amener, si ce n'est déjà fait, à nous interroger non pas sur l'efficacité régulièrement critiquée de ces produits souvent considérés comme une des dernières lignes de défense, mais tout simplement sur leur sécurité intrinsèque. Et à mettre en balance l'étendue de la menace qu'ils font planer sur nos infrastructure au regard du service rendu, et des moyens dont nous disposons pour nous en protéger efficacement...

L

a dixième édition de Hack In The Box Kuala Lumpur s'est déroulée les 10 et 11 octobre derniers à, comme son nom l'indique, Kuala Lumpur, Malaisie. Au programme figuraient trois tracks proposant une grosse trentaine de talks au sujets assez variés. S'il a fallu faire des choix, ce derniers ont été, en ce qui me concerne, loin d'être aussi mauvais que pour d'autres conférences...

Voici donc un rapide résumé de ceux que j'ai pu voir, ou entrevoir, durant ces deux jours d'une conférence qui, au final, s'est révélée très intéressante.

Jour 0 : mardi 9 octobre 2012

L'arrivée en milieu d'après-midi à l'InterContinental Kulal Lumpur où se déroulait la conférence après près de seize heures de voyage a fait bu bien. Ça m'a en outre laissé le temps de flâner pendant les préparatifs, discuter avec les organisateurs et autres intervenants déjà présents, puis taper l'incruste au dîner des speakers qui se tenait le soir même à l'hôtel.

Jour 1 : mercredi 10 octobre 2012

• "Practical exploitation of embedded systems", Andrea Barisani et Daniele Bianco (Inverse Path). Les auteurs font un retour d'expérience assez détaillé sur l'analyse de systèmes embarqués durant lequel ils partagent les techniques qu'ils utilisent pour accéder au système, dumper et analyser le firmware, injecter leur propre code, etc. Ils terminent par l'application au SMC d'Apple.
• "Don't stand so close to me, an analysis of the NFC attack surface", Charlie Miller. Je ne suis pas resté très longtemps, la conférence se tenant à distance via Skype avec une qualité médiocre qui ne rendait pas l'expérience très sympathique à regarder. J'ai retenu de ce que j'ai vu et du parcours des slides une campagne de fuzzing NFC sous Android, avec un lot de vulnérabilités permettant l'exécution de code distante après un simple scan.
• "Hackers, The Movie, A Retrospective", Don Bailey (Capitol Hill Consultants). Déçu de l'expérience Skype, je me suis rabattu sur cette intéressante présentation qui met en parallèle ce qu'on peut voir dans le film Hackers et dans la réalité. On notera une critique assez pertinente du système de confiance d'OpenSSH avec en particulier l'utilisation de l'agent SSH.
• "Data mining a mountain of vulnerabilities", Chris Wysopal (Veracode). Je n'ai assisté qu'à la toute fin de la présentation et les questions qui ont suivi. Il s'agit d'un retour d'expérience sur l'analyse par Veracode de quelques dix mille applications. Il y a là-dedans pleins de chiffres intéressants, en particulier pour ceux qui veulent alimenter leurs propres présentations ;)
• "OPSEC: Because Jail is for wufpd", The Grugq (COSEINC). Une présentation pas franchement technique présentant les dix commandements à appliquer quand on veut faire des bêtises^[1] sous peine de se faire buster, ainsi que quelques outils adéquats, avec en particulier un projet de routeur anonymisant, PORTAL,. Il illustre son propos par le démantèlement de LulzSec.
• "A historical look at the personal computer and the phreaking scene", John "Captain Crunch" Draper. Un voyage dans le temps sur les débuts du phreaking, le Homebrew Computer Club et quelques autres anecdotes sympathiques.
• "Pwn@Home, an attack path to "jailbreaking" your home router", Frédéric Raynal et Gabriel Campana (QuarksLAB). Frédéric et Gabriel expliquent comment ils ont réussi à compromettre la double box d'un ISP lors de son audit en boîte noire. Plus que le résultat relativement attendu, c'est la méthodologie utilisée pour parvenir à leurs fins qui est intéressante. En démontrant au passage que non, la sécurité réseau n'est pas tout à fait morte ;)
• "iOS6 Security", Mark Dowd and Tarjei Mandt (Azimuth Security). Je n'ai assisté qu'aux dernière minutes, mais ce maigre aperçu semble indiquer une bonne analyse des mécanismes de sécurité proposés par iOS 6 et les différentes manière de les contourner. La conclusion étant que cette dernière mouture de l'OS embarqué d'Apple est nettement plus sécurisé que ces prédécesseurs.
• "IPv6 insecurity revolutions", Marc "Van Hauser" Heuse (THC.org). Un retour sur pas mal de choses dont l'auteur a déjà parlé çà et là. Si je n'adhère pas à l'idée sous-jacente qui voudrait que les gens fassent n'importe quoi parce que persuadés qu'IPv6 serait "plus sécurisé", je suis cependant assez d'accord sur la conclusion comme quoi la transition vers IPv6 annonce pas mal de problème de sécurité, et qu'il reste pas mal de choses à regarder sur le sujet.

Jour 2 : jeudi 11 octobre 2012

• "Behavior-based methods for automated, scalable malware analysis", Stefano Zanero (Politecnico di Milano). L'auteur présente une technique d'analyse automatique de binaire visant dans un premier temps à identifier un programme malicieux, à en extraire le code responsable de ce comportement puis à le rapprocher de souches connues pour le classer. L'approche permet en outre d'identifier des sections de code dormantes par de tels rapprochement. Des résultats d'expérimentation avec un outil implémentation l'approche sont fournis. Un article plus détaillé est également en ligne.
• "Innovative approaches to exploit delivery", Saumil Shah (Net-Square). Présentation originale et amusante de diverses techniques pour injecter du code malicieux à travers un navigateur. Ça commence avec l'utilisation des URLs courtes, pour continuer sur l'encapsulation de javascript dans une image : d'abord encodé en niveaux gris dans un PNG, puis directement dans GIF ou un BMP, et enfin dans le canal alpha.
• La présentation sur PEDA/GDB ayant été annulée, elle a été remplacée par une table ronde dite "Open Bottle Panel Discussion" avec pleins de gens a priori intéressants. Au final, on a eu droit à une grosse troll session à base de private jokes d'un intérêt plus que discutable. Bref, une pure perte de temps...
• "Messing up the kids playground, eradicating easy targets", Fyodor Yarochkin (P1Sec)^[2]. Une présentation qui démarre sur un panorama de la cybercriminalité en Russie et des techniques de monétisation émergentes, en particulier via les services mobiles. La suite porte sur les résultats qu'une vaste analyse passive de trafic DNS, avec des découvertes intéressantes comme l'enregistrement de domaines pendant une trentaine de minutes par le truchement d'offres d'essai, pour finir sur un scanner de service destiné à détecter les webapps vulnérables avant que les mafieux ne les exploitent et les utilisent activement.
• "Hacking Huawei VRP", Felix "FX" Lindner (Recurity Labs). Il s'agit de la fameuse conférence sur les routeurs chinois, sujet ô combien cher à monsieur le sénateur Bockel. On y découvre une tripotée de vulnérabilités venues tout droit des années 90, une prise en compte de la sécurité par le constructeur digne de la même période, une protection inexistante de l'accès physique mais pas vraiment de backdoor. Les conspirationnistes rétorqueront que le chemin entre vulnérabilité et porte dérobée n'est pas si long. Ce en quoi ils n'ont pas tout à fait tort...
• "A scientific (but non academic) study of malware obfuscation technologies", Rodrigo Rubira Branco (Qualys). Juste vu les dernières minutes et la distribution de cachaça^[3] pendant la séance de questions. Slides à creuser.
• "Element 1337 in the Periodic Table, Pwnium", Chris Evans (Google). Un retour sur la seconde édition du programme Pwnium lancé par Google. Du contexte, des chiffres, des montants, une partie sur l'analyse de l'exploit de Vupen sur Chrome annoncé l'an dernier et une description pas forcément détaillée de l'exploit gagnant, lequel s'attaque à une faille dans le parser SVG puis s'échappe de la sandbox.

La conférence se clôture avec la remise des prix du CTF et du HackWeekDay, suivie d'une enchère de charité dont le clou aura certainement été la vente de la queue de cheval de Mikko Hypponen pour la modique somme de 7000MYR^[4].
La journée se terminera au dernier étage d'un hôtel voisin pour une sympathique soirée d'anniversaire.

L'ensemble des slides de la conférence a été mis en ligne.
Je n'ai pas spécialement cherché d'autres compte-rendus, mais vous pourrez trouver celui de la team SCRT en particulier.
Des photos sont visibles chez moi d'une part et sur le site de la conférence d'autre part.

F

ebelfin, fédération belge du secteur financier, a récemment lancé la campagne d'information Safe Internetbanking destinée à sensibiliser le grand public sur la sécurisation de leur pratique des activités bancaires en ligne. Fidèle à l'adage voulant qu'une bonne démonstration vaut mieux que de longs discours, voici l'illustration par la pratique de leurs propos :

Et si, malgré quelques raccourcis et approximations de circonstances accompagnant un discours limite publicitaire, on peut saluer l'effort de vulgarisation, cette démonstration qui semble pourtant sans appel m'interpelle tout de même quelque part...

C'est la fin de cette vidéo qui me chiffonne. Ainsi que sa description qui l'accompagne dans laquelle on peut en effet lire :

Mais, cachés derrière Dave, officiaient quelques pirates 
informatiques soufflant discrètement à notre médium toutes 
les informations laissées sur des sites internet par 
ses visiteurs...

Hé oui, de méchants "pirates informatiques", cagoulés de surcroît, qui alimente les pouvoirs de Dave. Est-ce à dire que que les informations découvertes dans le cadre de cette campagne n'étaient pas légalement accessibles et qu'il ait fallu compromettre des systèmes informatiques pour les exhumer ? Est-ce à dire que la très respectable, comme on peut l'imaginer, fédération belge du secteur financier a délibérément commandité une série de délits informatiques pour atteindre son objectif ? Quitte à laisser supposer qu'on puisse s'introduire illégalement dans les infrastructures de Facebook^[1], de Twitter, voire même de banques ? On imagine bien que non, tant il semble crédible que les informations communiquées aux personnes piégées puissent effectivement se retrouver sur quelque réseau social ou ailleurs^[2].

Alors pourquoi en appeler au mythe du pirate ? Car tout accompagné qu'il est de cette idée de maîtrise d'une magie noire limitée à un cercle fermé d'initiés, il ne fait que réduire l'ampleur du problème, et donc la portée du message. Surtout quand on sait que n'importe quel internaute s'étant intéressé un minimum à la question sera rapidement capable d'en faire autant...
Parce que c'est dans l'air du temps ?...