Powered By Blogger

Rechercher sur ce blogue

mercredi 2 janvier 2013

Installer Linux sur un PC Windows 8 ? Toujours la galère...



Open Source : Depuis quelques semaines, une fonctionnalité intégrée aux nouvelles générations de BIOS fait râler : le "secure boot" permet certes de sécuriser le démarrage... Mais aussi d'empêcher l'installation d'OS alternatif.

On a beau changer d'année, certaines choses semblent immuables : les efforts faits par Microsoft pour compliquer l'installation d'une distribution GNU / Linux sur un ordinateur livré avec Windows 8, par exemple, ont le don d'agacer le blogueur de ZDNet.com Steven J. Vaughan-Nichols.
Pour lui, c'est un calvaire : comme il le raconte sur son blog "Linux and Open Source", c'est "au nom de la sécurité" que l'éditeur de Redmond met des bâtons dans les roues des utilisateurs qui souhaiteraient installer un autre système d'exploitation.
Le coupable : "Secure Boot" 
Ces restrictions couvrent évidemment les distributions GNU / Linux, mais aussi les versions plus anciennes de Windows. Sans compter la quasi-impossibilité d'installer quoi que ce soit d'autre sur les appareils tournant sur Windows RT.
Le coupable : un BIOS de nouvelle génération, UEFI (Unified Extensible Firmware Interface), qui intègre la fonctionnalité "secure boot". Censée lutter contre les malwares capables de se lancer avant le système d'exploitation (rootkits), il est plutôt utile pour éviter le détournement de l'ordinateur par des programmes malicieux.
Même la Free Software Foundation (FSF), qui ne porte pas Microsoft dans son coeur, en a admis l'utilité, explique Steven J. Vaughan-Nichols. Dans l'explication fournie par la FSF, il est pourtant bien noté que dans les faits, cette fonctionnalité de démarrage sécurisé permet aussi de bloquer tout système qui ne serait pas autorisé.
Pas de souci a priori, tant que l'utilisateur a la possibilité d'autoriser les systèmes auxquels il accorde sa confiance. Y compris ceux qui ont été modifiés par lui ou des gens de confiance, et recompilés ensuite. Mais comme l'explique la FSF, Microsoft et ses partenaires ne voient pas les choses comme ça...
Impossible de démarrer autre chose que Windows 8 dans les implémentations faites par l'éditeur et les fabricants. De quoi appeler la technologie "restricted boot" (démarrage restrictif) plutôt que "secure boot (démarrage sécurisé), estime la fondation de promotion du logiciel libre. "Une restriction désastreuse pour l'utilisateur et pas du tout une fonctionnalité de sécurité."
La FSF demande donc aux fabricants implémentant "secure boot" sur l'UEFI de le faire "d'une façon que les systèmes libres puissent être installés. Pour respecter la liberté de l'utilisateur et vraiment protéger sa sécurité, les fabricants doivent soit permettre au propriétaire de l'appareil de désactiver la restriction au démarrage, soit une façon sure d'installer le système de son choix."
Vérifications empiriques 
En se basant sur ces craintes de la FSF, Steven J. Vaughan-Nichols a tenté de s'attaquer au problème de façon empirique. Comment installer Linux ? Le plus simple, pour lui : désactiver le "secure boot".
Problème n°1 : vous voilà exposé à d'éventuels rootkits, "qui sont une menace réelle," estime le blogueur. Problème n°2 : la plupart des fabricants n'ont pas prévu de procédure simple de désactivation de la fonctionnalité.
Aucune procédure universelle, et il faudra la plupart du temps passer par les paramètres du l'UEFI pour tenter de s'y retrouver. A l'utilisateur de chercher dans un menu qui pourrait s'appeler "Secure Boot Parameters" ou "Boot Mode" une option pour désactiver la fonctionnalité de démarrage sécurisé.
Et si vous souhaitez le mode secure boot actif et une distribution GNU / Linux, il vous faudra de la patience conclut notre blogueur... Canonical, Red Hat et la Fondation Linux y travaillent. Mais comme le rappelle l'expert Linux Matthew Garrett, c'est loin d'être gagné.
La Fondation Linux n'a pas encore obtenu de copie de son bootloader signée par Microsoft, Debian ne prend pas encore la fonctionnalité en charge, Ubuntu et Suse peuvent utiliser des contournements, mais le flou règne encore, pour elles comme pour les autres distributions.
Tablettes... Oubliez Linux 
Et pour les appareils fonctionnant sur puce ARM... "Vous devriez cracker Secure Boot vous-mêmes," explique Steve J. Vaughan-Nichols au sujet des appareils sous Windows RT. Les tablettes "Surface sont un système verrouillé, et devraient le rester."
Quant aux tablettes Surface sous Windows 8 Pro, attendues pour janvier sur une architecture Intel, elles devraient se rapprocher des PC quant aux problématiques de Secure Boot. Même si rien n'indique que Microsoft ne cherchera pas à restreindre encore plus la fonctionnalité, prévient le blogueur.
"Abandonnez l'idée de faire tourner Linux sur une tablette Surface," du moins pour l'instant, donc. Quelqu'un finira par réussir à contourner la protection, mais Microsoft patchera probablement ses tablettes à mesure que des failles sont exploitées.
Quant aux PC, il faudra soit désactiver l'option - et se passer de sa protection - soit acheter un PC directement sous Linux, ou au moins sans Windows 8. Ce qui là aussi n'est pas aisé.


Les téléphones intelligents, prochaine cible des cybercriminels?


Certains cybercriminels qui répandent des virus et des logiciels malveillants pour prendre le contrôle d'ordinateurs commencent à élargir leurs horizons, et votre téléphone intelligent pourrait être la prochaine cible.
Les utilisateurs d'ordinateurs ont appris à être constamment à l'affût de virus pouvant menacer leurs informations personnelles. Cette année, des centaines de milliers d'ordinateurs Apple, qu'on croyait depuis longtemps immunisés, ont été atteints par les logiciels malveillants «Flashback» ou «Fakeflash».
On ignore si Apple continuera d'être ciblé, mais des experts pensent que les téléphones intelligents pourraient être plus souvent attaqués en 2013.
Il y a quelques mois, le FBI a averti les citoyens américains de menaces appelées Loozfon et FinFisher pour les téléphones Android. Un lien sur des sites Internet frauduleux, qui prétendaient offrir du travail à domicile, enclenchait un essai de télécharger Loozfon, qui vole les données des carnets d'adresses d'utilisateurs.
FinFisher est beaucoup plus sophistiqué, pouvant essentiellement prendre le contrôle d'un téléphone pour en gérer le contenu à distance. Les pirates informatiques peuvent saisir des photos, enregistrer des messages textes et écouter les appels. Le programme, initialement conçu pour le gouvernement et les forces de l'ordre, peut fonctionner sur les plateformes Android, iPhone, BlackBerry, Windows et Symbian.
La plateforme Android, la plus populaire au monde, est la plus attaquée. Selon un rapport récent de la firme de sécurité F-Secure, plus de 51 000 menaces différentes la concernant ont été découvertes du début de juillet à la fin de septembre, cette année.
Un problème majeur est la capacité des fraudeurs à introduire des applications malveillantes sur le marché officiel de Google; la compagnie a lancé l'option Bouncer pour contrer cela plus tôt cette année, et avance que les téléchargements malveillants ont chuté de 40 pour cent. AVG, qui fournit un antivirus gratuit et de qualité, offre de son côté un produit mobile depuis quelques années déjà.
«Nous commençons à remarquer des menaces importantes et plus nombreuses sur Android», soutient le porte-parole d'AVG, Tony Anscombe, qui fait remarquer que la compagnie a aussi des applications mobiles pour les iPhones et les téléphones Windows.
Avast!, Lookout et Sophos ont aussi des applications gratuites de sécurité pour les téléphones mobiles.
Tony Anscombe affirme qu'il existe plusieurs façons, pour un pirate, d'exploiter une victime une fois qu'il a pris le contrôle de son téléphone.
«Si vous pensez aux fraudes traditionnelles avec l'hameçonnage ou les virus sur un PC, je peux voler votre identité, bâtir un profil, et peut-être vendre une partie de vos informations, dit-il, ajoutant que les fraudeurs peuvent faire des appels très coûteux. Si je peux accéder à ce qui compte, ça peut rapidement se transformer en argent.»
Les utilisateurs qui vont chercher du contenu piraté dans des magasins d'applications(eBook,PDF,etc...) non officiels (P2P)ont plus de risques d'être victimes d'un virus mobile.
«Angry Birds a été pris dans le magasin officiel, modifié et listé dans des sites d'applications venant de tiers», a expliqué M. Anscombe.
«L'application a pu avoir plus de privilèges, et les pirates ont pu envoyer des messages textes. Mais l'utilisateur ne regarde pas nécessairement les privilèges d'accès quand il installe une application. Surtout les plus jeunes, ils vont commencer à envoyer des courriels à leurs amis en se vantant, «regarde ce que j'ai eu gratuitement'.»
Seth Hardy, du Citizen Lab - un groupe de recherche de l'Université de Toronto -, rappelle que les utilisateurs doivent miser sur la prudence.
«Avoir un antivirus comme l'une des barrières est toujours une bonne idée, mais en général, il ne faut pas croire qu'une mesure de sécurité en particulier va vous protéger complètement, dit-il. Ça pourrait aussi vous amener à avoir un comportement plus risqué.»

Michael Oliveira, La Presse Canadienne (Toronto)

Nouvelle faille zéro-day dans Internet Explorer



Le 31 Dec 2012,
Sécurité : Cette vulnérabilité critique touche les versions 6, 7 et 8 du navigateur de Microsoft et permet une prise à contrôle à distance du poste infecté.Internet Explorer termine l'année criblé de faille. Mi-décembre, un spécialiste des données analytiques découvrait une vulnérabilité permettant de suivre les mouvements de la souris d’un internaute.
Présente dans toutes les versions du navigateur depuis IE 6 jusqu’au tout nouveau IE 10, elle représente un danger potentiel en cela qu’elle pourrait servir à enregistrer les données tapées sur un clavier virtuel dont se servent, par exemple, certaines banques pour permettre à leurs clients de se connecter à leur compte.
Aujourd'hui, c'est Microsoft lui même qui, à travers un bulletin officiel de sécurité, alerte ses utilisateurs. Les versions 6, 7 et 8 du navigateur sont touchées par une vulnérabilité critique actuellement exploitée (0-day). Les versions 9 et 10 ne seraient pas concernées. 
Comme d'habitude, le trou de sécurité permet une prise de contrôle à distance du poste infecté. Le problème se situe au niveau de la gestion de la mémoire et peut être exploitée via une page web piégée. Une fois le malware installé, la faille génèrerait de nouveaux liens pour contaminer d'autres postes.
Les utilisateurs concernés doivent donc se méfier des liens hypertexte présents dans des courriels d’expéditeurs inconnus. En attendant qu’un correctif soit disponible, Microsoft conseille de modifier les paramètres de sécurité du navigateur en les passant en vigilance haute afin de bloquer d’exécution de scripts ActiveX


dimanche 30 décembre 2012

La Télé web 3,0 : Open Télé,c'est Ma TV !

Comme a OPEN télé, c’est une émission de type « assemblée de cuisine », version 3.0. Différentes thématiques d’intérêt public y sont abordées en compagnie d’experts et de leaders d’opinion. Grâce à une approche inspirée de l’externalisation ouverte (le crowdsourcing) et à un format intégrant les applications Web, les téléspectateurs pourront alimenter en temps réel les discussions se déroulant en studio via Twitter et faire évoluer, voire bifurquer, les débats. La diffusion télé sera précédée d’une émission Web de 30 minutes, animée par Marie-Ève-Lyne Michel, permettant aux webspectateurs d’amorcer la discussion et de découvrir les intervenants.

Note: Le crowdsourcing (en français, collaborat1 ou externalisation ouverte2), un des domaines émergents de la gestion des connaissances, est l'utilisation de la créativité, de l'intelligence et du savoir-faire d'un grand nombre de personnes, en sous-traitance, pour réaliser certaines tâches traditionnellement effectuées par un employé ou un entrepreneur. Ceci se fait par un appel ciblé (quand un niveau minimal d'expertise est nécessaire) ou par un appel ouvert à d'autres acteurs. Le travail est éventuellement rémunéré. Il peut s'agir de simplement externaliser des tâches ne relevant pas du métier fondamental de l'entreprise, ou de démarches plus innovantes.


REF.:

Révélation:La NSA ciblerait les systèmes informatiques domestiques dans des tests secrets


Le programme de la National Security Agency Citoyen parfait chasse la recherche de vulnérabilités dans les "grands" services publics, y compris les contrôleurs de réseau électrique et de gazoducs, de nouveaux documents provenant de  EPIC(Electronic privacy information center).(Crédit: TVA)
Fichiers récemment publiés montrent un programme secret National Security Agency vise les systèmes informatisés de contrôle des services publics de découvrir des failles de sécurité, qui peuvent être utilisées pour défendre les États-Unis ou perturber l'infrastructure des autres nations.
La NSA soi-disant programme parfait citoyen procède à «l'exploration de la vulnérabilité et de la recherche" contre les contrôleurs informatisés de contrôle "à grande échelle" des services publics, y compris les réseaux électriques et les pipelines de gaz naturel, les documents montrent. Le programme doit se poursuivre à travers au moins Septembre 2014.
Les fichiers des citoyens parfaits obtenus par le Electronic Privacy Information Center et a fourni à CNET jeter plus de lumière sur la façon dont l'agence a pour but de défendre - et l'attaque - les contrôleurs embarqués. La NSA est rapporté avoir développé Stuxnet, que le président Obama a ordonné secrètement à être utilisé contre le programme nucléaire de l'Iran, avec l'aide d'Israël.*
Les autorités américaines ont mis en garde depuis des années, en privé et en public, à propos de la vulnérabilité du réseau électrique aux cyberattaques. Le général Martin Dempsey, président du Joint Chiefs of Staff, dit un comité du Congrès en Février: "Je sais ce que nous [les Etats-Unis] ne peut faire et donc je suis extrêmement préoccupé par les capacités de cyber d'autres nations." Si une nation a donné un tel logiciel à un groupe marginal, Dempsey a dit: "la prochaine chose que vous savez peut-être dans notre réseau électrique."
(Crédit: NSA)
Les discussions sur les armes offensives dans l'arsenal électronique du gouvernement des États-Unis se sont progressivement public. Un NSAemploi poster  un analyste système de contrôle des vulnérabilités du réseau dit le travail consiste à «construire la preuve de prouesses conceptuelles», et une Armée de l'Air annonce en Août appelé à discuter papiers "cyberespace" attaque de guerre capacités. Le Washington Post a rapporté  le mois dernier que Barack Obama a signé une directive secrète en Octobre décrivant les règles d'offensives «cyber-opérations».
"Sabotage ou la perturbation de ces industries peuvent avoir de vastes effets négatifs, y compris la perte de vies humaines, dommages économiques, la destruction de biens, ou la pollution de l'environnement», la NSA a conclu dans un rapport public ( PDF ) discuter des systèmes de contrôle industriel et de leurs vulnérabilités.
Les 190 pages de dossiers de la NSA parfait citoyen, qui EPIC obtenu par l'intermédiaire du Freedom of Information Act semaine dernière, sont fortement censurés. Au moins 98 pages ont été complètement supprimé pour un certain nombre de raisons, notamment le fait que les portions sont «classés top secret», et pourrait «causer des dommages exceptionnellement grave à la sécurité nationale» s'il est libéré, selon une lettre d'accompagnement de Pamela Phillips, chef de la NSA bureau FOIA.
Mais les parties qui ont été publiés montrent que Raytheon a obtenu un contrat d'une valeur de 91 millions de dollars pour établir un parfait citoyen, qui «permet au gouvernement de protéger les systèmes," en particulier "à grande échelle des services publics distribués», géré par le secteur privé.
L'accent est mis «systèmes de contrôle sensibles», ou SCS, qui «fournissent l'automatisation des processus d'infrastructure." Raytheon est autorisé à engager jusqu'à 28 matériel et concepteurs de logiciels qui sont censés «d'enquêter et documenter les résultats de l'exploration de la vulnérabilité et la recherche contre le SCS et des dispositifs particuliers."

Une description de poste, pour un testeur de pénétration supérieurs, dit la position sera «d'identifier et démontrer des vulnérabilités», et requiert de l'expérience en utilisant liés à la sécurité des utilitaires tels que Nmap , Tenable Nessus , Libnet et Netcat . Raytheon est nécessaire de ne pas divulguer que ce travail est effectué pour la NSA.
Le Wall Street Journal a révélé l'existence du parfait citoyen dans une année 2010 l'article , qui a signalé la NSA "surveillance" de tels systèmes repose "sur un ensemble de capteurs déployés dans les réseaux informatiques pour les infrastructures critiques seraient déclenchées par une activité inhabituelle qui suggère une cyber imminente attaquer. "
Un porte-parole de la NSA  a répondu à CNET à l'époque en disant que le citoyen parfait est «purement une évaluation de la vulnérabilité et des capacités de contrat de développement» qui «n'implique pas la surveillance des communications ou le placement de capteurs sur les systèmes d'entreprises de services publics."
Marc Rotenberg, directeur exécutif du CIPE, a déclaré que les documents récemment déclassifiés »peut aider à réfuter" l'argument de la NSA que le citoyen parfait n'implique pas la surveillance des réseaux privés.
Les documents FOIA'd dis cela parce que le gouvernement américain s'appuie sur les services commerciaux pour l'électricité, les télécommunications et les besoins en infrastructures d'autres, «Comprendre les technologies utilisées dans les nœuds d'infrastructure d'interagir sur l'épine dorsale commerciale permet au gouvernement de protéger les systèmes."
Ni la NSA, ni Raytheon a immédiatement répondu aux demandes de commentaires de CNET ce matin. Nous mettrons à jour cette histoire si nous recevons une réponse.
*L'unité 8200 a été suspectée par plusieurs médias d'être responsable (ou co-responsable) de la conception du virus informatique Stuxnet qui infecta plusieurs ordinateurs industriels en 2010, en particulier ceux situés à l'intérieur des installations nucléaires iraniennes10.L’unité 8200 (en hébreu : יחידה 8200, Yehida Shmone-Matayim, également appelée Israeli SIGINT National Unit ou ISNU) est une unité de renseignement de l'Armée de défense d'Israël, responsable du renseignement d'origine électromagnétique et du décryptage de codes. L'unité est également désignée dans certaines publications militaires sous le nom de Central Collection Unit of the Intelligence Corps1.

Et un peu plus tard,d'autres virus semblables(comme Irongate) sont apparus après,dans le même but d'espionnage !