Le SNEP confirme les poursuites à venir
posté le Vendredi 09 avril 2004 à 23h47 par Guillaume Champeau
source : 01Net
Les amendements ne changent pas grand chose pour le SNEP. Dans une interview accordée à 01Net au lendemain de l'adoption en seconde lecture d'une version amendée de la LEN, Hervé Rony confirme l'intention de la "RIAA française" d'aller en justice pour faire cesser le piratage sur Internet.
Le directeur du SNEP indique ainsi à 01Net que depuis l'adoption de la LEN, "il n'y a plus de vide juridique. [Le SNEP peut] aller devant les tribunaux pour demander à un fournisseur d'accès ou à un hébergeur d'agir pour lutter contre la piraterie lorsqu'elle est constatée.". Il convient cependant que la tâche est rendue plus ardue depuis que les moyens pour agir ont été supprimés de la loi. Ce sera en effet aux juges de déterminer les moyens techniques qu'ils estiment raisonnable de demander aux hébergeurs et FAI, notamment pour lutter contre les infractions sur les réseaux P2P. "Dans ce dernier cas la lutte est plus difficile", avoue cependant Hervé Rony.
Le SNEP serait ainsi entrain de travailler sur des solutions techniques à imposer aux FAI pour lutter contre le P2P. On pense bien sûr à Audible Magic sur lequel la RIAA compte s'appuyer pour faire fermer Kazaa et consorts. "Nous savons qu'il est difficile de leur imposer des obligations de résultat dans un premier temps", précise H.Rony, qui laisse ainsi entendre qu'un filtre inefficace sur une certaine proportion de chansons pourrait être tolérée par l'industrie, à défaut de mieux. Mais comment imposer ce filtre aux FAI, libérés de leur obligation générale de surveillance ?
Enfin, Hervé Rony confirme que "les premières plaintes [contre des utilisateurs français] seront bientôt déposées. C'est une question de semaines ou de mois". Ratiatum sera bien sûr au premier rang des opposants lorsque de telles actions seront lancées. VIRUS Des PC infectés par des virus commettent des fraudes en ligne
Un nouveau danger guette les internautes dont le PC est contaminé par un des virus actuellement en circulation: celui de participer à des fraudes en ligne qui visent à dérober des numéros de cartes de crédit.
Mikko Hyppoenen, le directeur de la recherche chez l'éditeur de l'antivirus F-Secure, affirme que des centaines de PC seraient actuellement utilisés pour héberger des sites Web de commerce électronique frauduleux qui ne seraient utilisés que dans le but de subtiliser des numéros de cartes de crédit. Il ajoute que les fraudeurs, probablement les créateurs même des programmes malfaisants, changent d'ordinateurs toutes les 10 minutes afin de brouiller les pistes.
Les experts ne savent pas encore à partir de quel ver informatique les escrocs opèrent ces cybercommerces mais estiment qu'il s'agirait d'une ou plusieurs variantes de la vague de virus actuelle, par exemple Bagle ou Mydoom. Ces boutiques en ligne proposeraient des logiciels à des prix défiant toute concurrence et leur promotion serait souvent faite par des pourriels.
Ainsi, en plus de devenir à leur insu des polluposteurs, des internautes honnêtes dont le PC est contaminé à la suite de l'exécution d'un fichier joint reçu par courriel pourraient aussi, sans même le savoir, devenir des complices de fraudeurs.
Virus, cuvée exception fin mars
26/03/2004
Les giboulées virales sont abondantes, en cette fin de mois. La 16ième (déjà !) version mutante de Netsky a vu le jour durant le week-end dernier, et encombre, avec un rythme soutenu, nos « inbox », parvenant parfois à égaler le débit des spammeurs. 16ième.. c’est vite dit. 17ième même, estime Kaspersky qui lui offre la lettre Q en guise d’immatriculation*. Description à lire avec attention, cette dernière édition semblant de plus en plus sophistiquée. Idem pour son concurrent Baggle, qui fait, toujours chez Kaspersky, l’objet d’une qui date du début de l’année - Mydoom donc se défend toujours bien. Ce serait même lui qui serait parvenu à faire tomber le site de la RIAA, estime le rédacteur du Viruslist. Nous nous étions permis d’émettre cette hypothèse avant-hier déjà... les réactions des pirates sont parfois tellement prévisibles.
Restons encore un tout petit instant chez Kaspersky pour parcourir distraitement le papier d’humeur « Witty just is’nt funny » pour rebondir et entamer la lecture d’une analyse absolument passionnante sur la propagation de ce casseur de gateway ISSpublié conjointement par le Caida (des barbus également, mais plus dans le style ZZ-Top) et le département calcul de l’UCSD (systèmes pileux et informatiques aussi bien développés les uns que les autres). On ne peut en conclure qu’une chose : si les sudistes d’ISS avaient été aussi nombreux que les nordistes de Cisco, et ben Internet, il aurait bel et bien pris la pâtée. Notons au passage que, sans toutefois atteindre les niveaux glorieux du marché américain, le déploiement en France du virus Witty –donc la santé du marché ISS en nos contrées- semble loin d’être nulle. Un argument sérieux pour NetAsq ?
Rappelons que la première analyse détaillée a été émise par Matt Murphy (in CSO du 24 courant ). Le Lurhq y va aussi de son descriptif , et fait remarquer que Witty est, en partie, écrit un peu à la diable, puisqu’il accède directement au disque. Si, par malheur, l’on travaille avec une architecture Raid légèrement ésotérique et que l’on se protège avec un logiciel ISS exploitant une version très spécifique de la dll iss-pam1, le recours à un bon backup est pratiquement obligatoire. Fermons le ban Witty.
Et tirons un obus de 105 sur l’ambulance Yahoo qui, signale triomphalement notre confrère Network World, vient de combler la faille ouvrant une possibilité d’attaque en cross site scripting. Il était temps, l’on commençait à voir apparaître sur deux ou trois « rings » de hack, la méthode détaillée d’exploitation du défaut dénoncé par GreyMagic. Ce qui laisserait à penser que l’assertion émise en fin d’article ( Yahoo does not know of any users who were affected by the vulnerability) doit sérieusement être prise avec des pincettes.
* Si les chasseurs de virus persistent dans cette voie, il sera plus difficile de désigner précisément une infection qu’une version de DLL Windows ou qu’un code SourceForge. A quand les dénominations du genre « Frodo U-1.3.2 Beta 4 (BWV 414, Köchel 23, Symantec 1694 ) » ?
Un autre virus démontre l'inefficacité des mises à jour par correctifs
Un virus s'attaque à un logiciel de sécurité
La semaine dernière, la société ISS annonçait la découverte d'une faille de sécurité dans ses logiciels Blackice et Realsecure , et publiait un correctif. Le lendemain, avant que les utilisateurs de ces logiciels n'aient eu le temps d'appliquer la mise à jour, un ver informatique baptisé Witty se propageait à très vive allure en tirant profit de cette brèche qui, comble de l'ironie, affectait des logiciels coupe-feu.
Déjà vu? En partie seulement car, outre le fait que Witty a réussi à infecter les quelque 12.000 ordinateurs d'Internet présentant cette faille de sécurité en 45 minutes, il aurait été développé plus rapidement que tout autre programme malveillant qui se diffuse en tirant partie d'une vulnérabilité informatique. De plus, il serait le premier ver informatique à démontrer qu'une petite population d'ordinateurs vulnérables peut être infectée très rapidement.
Mais ce n'est pas tout. En ce qui concerne la malveillance, Witty ne se contentait pas de se propager pour le simple plaisir de créer inutilement du trafic dans les réseaux. Après avoir infecté un PC, le gredin commençait à effacer des données en écrivant sur le disque dur local des blocs de 65 ko jusqu'au plantage de l'ordinateur, qui se produisait en moins de 12 heures pour la moitié des PC infectés.
Dans un rapport sur le ver Witty signé par des chercheurs de la CAIDA (Cooperative Association for Internet Data Analysis) et de l'Université de la Californie à San Diego, on apprend d'abord que Witty a été «le premier ver Internet à s'attaquer à une faille de sécurité d'un logiciel coupe-feu» puis que «le fait que toutes les victimes aient été contaminées via leur logiciel coupe-feu le lendemain de l'annonce de la brèche indique que le modèle de sécurité selon lequel les utilisateurs appliquent des correctifs pour colmater les failles n'est pas viable .»
Les auteurs du rapport estiment en effet que ce modèle demande aux internautes de devenir des experts en sécurité informatique qui surveillent constamment les alertes et appliquent immédiatement tous les correctifs publiés, ce qui, de toute évidence, ne correspond pas à la réalité.
Il existe d'autres exemples de l'inefficacité des systèmes de mise à jour, notamment le cas du ver informatique Blaster qui se propageait massivement l'été dernier en exploitant une faille de Windows. De plus, des études démontrent même que les logiciels antivirus sont impuissants lors de l'apparition de vers informatiques à propagation très rapide (lire à ce sujet Les logiciels antivirus ne seraient pas efficaces et Norton Antivirus et Mydoom.F : !$?%@#$%& pour les mises à jour qui tardent parfois à être publiées).
| Les webmails sont vulnérables... lorsque utilisés avec Internet Explorer ! Une méthode propre à Internet Explorer permet de contourner les filtres mis en place par de nombreux webmails, dont Yahoo!. Il devient alors possible de faire exécuter un script sur l'ordinateur de la victime en lui envoyant un simple email. Bilan d'une telle attaque lorsqu'elle est réussie : vol des courriers, du carnet d'adresse ou même exécution d'un ver. L'attaque est particulièrement sournoise : il suffit d'exploiter une obscure caractéristique d'Internet Explorer (le module HTML+TIME) afin de faire exécuter un script à l'ouverture d'un courrier piégé. Ce script peut alors, au choix du pirate, dévoiler tous les emails du compte, donner accès au carnet d'adresse ou même faire télécharger un ver afin d'infecter le PC, ceci en conjonction avec d'autres failles connues. Bien sûr, cette attaque ne fonctionne qu'à partir des webmails tels Yahoo! et Hotmail, et uniquement lorsque ceux-ci sont consultés avec Internet Explorer. Il semblerait cependant que cette faille ne soit pas encore largement exploitée sur le terrain. En outre, Microsoft vient de mettre à jour les filtres HTML de Hotmail afin de contrôler l'utilisation du module HTML+TIME : Hotmail n'est donc plus vulnérable. En revanche, Yahoo! semble n'avoir rien fait à ce sujet, bien que prévenu lui aussi. Enfin, d'autres webmails pourraient très bien être vulnérables eux aussi. Cette vulnérabilité ne pouvant être corrigée par les utilisateurs, il incombe aux responsables des webmails de s'assurer que l'utilisation du module HTML+TIME par Internet Explorer est correctement filtrée (et pas uniquement dans les en-têtes, car Internet Explorer offre une seconde méthode, non standard, pour déclarer des espaces de noms). Les utilisateurs, quand à eux, peuvent toujours choisir d'utiliser un autre navigateur afin de consulter leurs webmail, en attendant que leur fournisseur de service corrige cette faille plutôt inhabituelle. |
BACKWORK. ATTENTION - DANGER - NE PAS TELECHARGER - NE PAS EXECUTER
Backwork est un logiciel de Framework Executive qui prétend être un multi anti-trojan. C'est un trojan. Il est correctement détecté par PestPatrol et par SpyBot S&D (y compris dans une archive zippée).
Autres noms : BackOrifice.rmv [McAfee]
Les fichiers installés sont : backwork.exe · backwork.txt · contents.txt · backwork documentation.doc
Existe en plusieurs versions