Powered By Blogger

Rechercher sur ce blogue

jeudi 6 novembre 2014

Pétrole & marché du Carbonne: Une taxe supplémentaire de 10 ¢ le litre d’ici 2020



Le prix de l’essence va monter d’environ 2 ¢ le litre le 1er janvier 2015 au Québec en raison de l’entrée en vigueur du marché du carbone. Dès l’an prochain donc, les entreprises commerciales et industrielles devront respecter des quotas d’émission de gaz à effet de serre (GES), acheter des crédits d’émissions pour compenser ce qu’ils rejettent en trop et réduire à terme leurs GES.
Dans ces circonstances, les distributeurs de carburant auront l’obligation de participer à ce marché. Et ils vont donc refiler la facture à leurs clients, les automobilistes. C’est ainsi que le marché du carbone va fonctionner : toutes les entreprises qui seront soumises au marché trouveront une façon d’incorporer le coût supplémentaire dans leurs prix.
130501_m86m0_essence-prix-station-service_sn635
Québec a décidé d’éliminer la redevance de 1 ¢ que doivent verser les distributeurs au Fonds vert. Cette décision viendra réduire la hausse envisagée par l’entrée en vigueur du marché du carbone. C’est pourquoi, comme l’écrivait Le Devoir en septembre, le ministère de l’Environnement prévoit un prix de 1,9 ¢ le litre, et non de 2,9 ¢.
Selon l’Institut économique de Montréal, le marché du carbone conjoint avec la Californie entraînera une taxe supplémentaire de 10 ¢ le litre d’ici 2020.
Que penser de cette taxe?
  1. Cette taxe carbone est nécessaire pour tenter de réduire les émissions de gaz à effet de serre. Les grandes institutions, comme le FMI et l’OCDE, soutiennent la taxation du carbone.
  2. Toutefois, cette taxe réduit le pouvoir d’achat des consommateurs.
  3. La taxe carbone pourrait favoriser le transport en commun et l’adoption de modes de transport autres que l’automobile.
  4. Cette taxe permettrait également au gouvernement du Québec d’investir les sommes recueillies dans le marché du carbone dans des projets verts, des initiatives de transports durables et des projets qui entraînent une réduction des émissions de gaz à effet de serre.
Il est clair qu’il y a un coût associé aux efforts de réduction des émissions de gaz à effet de serre. Mais il y a un coût également associé à l’absence d’efforts, une sorte d’hypothèque qu’on laisserait aux générations futures. Êtes-vous prêts à payer le prix nécessaire pour réduire votre empreinte carbone?


Source.:

mercredi 5 novembre 2014

Cartes bancaires NFC : une faille permet de voler des millions d’euros


Des chercheurs britanniques ont mis le doigt sur une vulnérabilité dans le protocole de sécurité des cartes bancaires qui permet de siphonner des comptes à grande échelle, ni vu ni connu.



La carte bancaire NFC permet de payer sans contact.
La carte bancaire NFC permet de payer sans contact.
Imaginez un pirate qui se balade dans le métro avec un smartphone Android dans la main. A chaque fois que l’appareil se trouve à une distance d’un centimètre d’une carte bancaire NFC - ce qui est relativement aisé aux heures de pointe - il valide un paiement bancaire pouvant aller jusqu’à... 999.999,99 euros !  Impossible ? Malheureusement non, comme viennent de le prouver cinq chercheurs en sécurité de l’université britannique de Newcastle.
En analysant le protocole EMV, qui est le standard international de sécurité des cartes de paiement, ces experts sont tombés sur une importante faille qui permet de court-circuiter le plafond défini pour les transactions sans contact. Celui-ci est de 20 livres anglaises au Royaume-Uni et de 20 euros en France. Pour dépasser cette limite, il suffit de faire une transaction dans une monnaie autre que celle de la carte en question. Au Royaume-Uni, les chercheurs ont pu valider leur attaque sur des cartes de crédit Visa. Le montant maximum qu’ils ont pu vérifier était de 999.999,99 euros ou 999.999,99 dollars.
Génération d\'une transaction frauduleuse.
Génération d'une transaction frauduleuse.
Techniquement, l’attaque n’est pas si compliquée. Les chercheurs ont développé une appli qui simule un terminal de paiement et l’ont installée sur un Google Nexus 5. Quand le smartphone arrive à proximité d’une carte NFC, elle génère automatiquement une transaction sans que le porteur ne s’en rende compte. Cela est possible car les transactions sans contact ne nécessitent pas de code PIN pour être validées. Cette transaction est certes créée, mais pas encore envoyée à la banque. Elle est d’abord stockée dans le terminal. Là encore, c’est possible car le standard EMV autorise les transactions en mode offline. L’avantage, c’est que le pirate peut ainsi collecter tranquillement des transactions auprès de ses victimes et focaliser sur la récupération des fonds dans un second temps.
En effet, les chercheurs ont montré que l’on pouvait ensuite décharger ces transactions et les envoyer sur n’importe quel système de paiement d’un marchand affilié au réseau EMV. Il suffit pour cela d’ajouter dans les requêtes de transaction les données relatives à ce marchand. Cela est possible car, dans le standard EMV, les données du marchand ne font pas partie du sceau de validation cryptographique créée par la carte bancaire. Le pirate peut donc générer des transactions puis, dans un second temps, choisir le marchand auprès de qui il souhaite encaisser le pactole. L’avantage -si l’on peut dire- de ce procédé : il permet une fraude à grande échelle. Rien n’empêche, à priori, un groupe de cybermalfrats de pirater des cartes dans de multiples endroits sur une durée plus ou moins longue.
Les différentes étapes de l\'attaque.
Les différentes étapes de l'attaque.
agrandir la photo
Il serait intéressant de savoir si cette attaque fonctionne également sur les cartes Visa dans d’autres pays, comme la France par exemple. Malheureusement, les chercheurs se sont limités aux cartes bancaires britanniques. Il faut souligner, par ailleurs, que les cartes Mastercard ne sont pas vulnérables à cette attaque, car elles n’autorisent pas le mode offline pour les transactions en monnaie étrangère. Preuve qu’il existe donc des solutions techniques à cette faille.


REF.:

Trak, le bracelet Shazam-like qui identifie les chansons que vous écoutez


Une start-up française vient de se lancer dans la conception d'un bracelet connecté qui reconnaît les chansons diffusées autour de son porteur et crée des playlists.


Un bracelet destiné aux clubbers.
Un bracelet destiné aux clubbers.
L’univers des objets connectés est un nouvel eldorado où chacun doit proposer un produit. Qui sa chaussette connectée pour bébé, qui ses ampoules ou son bracelet. C’est justement au tour d’une jeune pousse française, Trak, d'y aller de son innovation : un bracelet connecté qui identifie les musiques diffusées autour de l’utilisateur.
Ce bracelet, qui reprend le nom de la start-up lancée par Yannick Modah Gouez, agit comme Shazam comme l'explique le jeune entrepreneur dans une courte vidéo (voir ci-dessous). Relié en Bluetooth à un smartphone, il enregistre les musiques diffusées dans le bar, la salle de concert ou la boîte de nuit où se trouve son porteur et identifie les différents morceaux. Il peut ensuite créer des playlists que l’on pourra réécouter sur Spotify.
On n’a pour le moment pas d'autres détails sur le fonctionnement exact de ce bracelet. Il devrait pouvoir être précommandé en décembre 2014 pour une commercialisation en fin d’année 2015.
 
Source : Frandroid

mardi 4 novembre 2014

Microsoft cesse la vente au détail de Windows 8 (sauf préinstallé sur des PC neufs)

Technologie : Depuis le 31 octobre, les ventes au détail de Windows 8 sont stoppées. La commercialisation via des PC neufs se poursuit. En revanche, certaines versions OEM de Windows 7 vont également disparaître.


Deux ans après son lancement (octobre 2012), Windows 8 commence à tirer sa révérence. Microsoft a mis un terme aux ventes de détail de cette version du système d’exploitation. Désormais, Windows 8 ne sera plus disponible que préinstallé sur des PC neufs.
Si la date de fin de commercialisation des versions OEM n’a pas été précisée, on sait en revanche que le support de Windows 8 sera assuré jusqu’en janvier 2023. Windows 8.1 reste pour sa part disponible au détail et en OEM.
Dans le même registre, certaines versions de Windows 7 (Home, Home Premium et Ultimate) ne sont plus disponibles préinstallées sur des PC neufs. Mais les stocks des fabricants et des revendeurs pourraient mettre un certain temps à s’épuiser. En revanche, la commercialisation de Windows 7 Pro se poursuit et Microsoft avertira de la fin programmée un an à l’avance. (Eureka Presse)


Un malware non malicieux installé par des procédés infectueux ça devient la norme ?

Sur la ligne… : Légitime ou non légitime ? Malware or not malware ?

Une page concernant les dernières activités « douteuses » (c’est une appréciation personnelle) auxquelles nous assistons et pour comprendre que parfois la limite entre légitime et non légitime est parfois difficile à établir.
Depuis deux ans cette limite se réduit considérablement selon le point de vue où l’on se place.

Les évolutions des adwares et barres d’outils

2007 – les barres d’outils en installation de logiciel

Courant 2007 les solutions de sécurité ont proposé des barres d’outils dites de sécurité dans leurs installations.
C’est une forme de sponsors, l’éditeur de sécurité touche de l’argent sur le nombre de barres d’outils installées.
A l’époque cela avait fait du bruit dans les blogs d’antivirus et notamment chez Sunbelt avec le cas ZoneAlarm/SpySweeper qui installait la barre d’outils Askbar.
Click this bar to view the full image.
Légitime ou non légitime
Ce procédé est devenue maintenant commun et s’est étendu à beaucoup de logiciels gratuits comme cela est évoqué sur la page : Les toolbars c’est pas obligatoire!
Il faut savoir que ces barres d’outils effectuent du tracking anonyme comme le font les régies de publicités lorsque vous surfez sur des sites WEB, certains peuvent donc considérer que ce sont des mouchards.
Exemple des conditions d’utilisations de Ask et Google :
http://www.google.com/support/toolbar/bin/answer.py?hl=fr&answer=81841&rd=2 et les conditions d’utilisation : http://www.google.com/intl/fr/privacy/privacy-policy.html
http://about.ask.com/en/docs/about/privacy.shtml

2008 – les faux blogs de sécurité

Comme expliqué sur cette page : Faux blogs de sécurité : SpyHunter et Spyware Doctor
Il existe de faux blogs de sécurité qui proposent l’éradication d’infections en installant des antispywares.
Ces faux blogs se font la guerre sur les moteurs de recherche afin d’être bien positionnés (afin de ramasser un maximum de visiteurs).
Ces faux blogs ne sont, au final, que des sites affiliés aux antispywares… (en installant, les auteurs de ces blogs touchent un certain pourcentage), qui peuvent être ensuite achetés par les internautes.
Sur les faux blogs, les infections sont détaillées et la solution proposée est un fix qui s’avère être un antispyware, comme si l’infection a été étudiée et qu’un fix a été mis en ligne pour supprimer cette infection, alors qu’au final, les pages sont générées automatiquement avec toutes les mêmes liens vers cet antispyware.
Le problème de cette méthode est que l’utilisateur va installer l’antispyware croyant avoir trouvé la solution à son infection, l’antispyware va détecter des choses (donc l’utilisateur sera content) mais rien ne dit que la totalité de l’infection est détectée, cela peut-être des fichiers « autour ».
Surtout il faut payer pour éradiquer.
Click this bar to view the full image.
Malware or not Malware ? Il faut comprendre que les auteurs de blogs ont tout intérêt à proposer ces faux blogs pour toucher de l’argent de cette manière en plus des infections mises en ligne.
Dans ces antispywares proposés, on en trouve qui sont classés comme légitimes, c’est notamment le cas de Spyware Doctor de PCTools.

2007 à  2009 : bundle adwares ou moteurs de recherche

Depuis 2007 les logiciels « dits gratuits » installant des adwares sont apparus.
Le principe est donc de proposer des logiciels gratuits qui installent des composants qui ouvriront des publicités.
Soit cela est explicitement dit et il faut cocher une case en disant que l’on accepte, soit cela est expliqué au fin fond de l’EULA (conditions d’utilisations).
Dans la majorité des cas, l’utilisateur installe le logiciel gratuit sans savoir que ce dernier va installer un composant gratuit.
Quelques exemples :
De la même manière vous avez des logiciels qui modifient la page de démarrage souvent vers un moteur de recherche qui utilise en fond Google afin de générer du traffic (donc revenus sur les pubs) et éventuellement récupérer les recherches effectuées.

2010 : encore plus sur le fil..

2010 a vu une subtile évolution, avec l’apparition de programmes Offerbox, moovida/deenero (qui semble avoir été créé par Favorit), etc.
Ces derniers sont des programmes qui se greffent sur le navigateur, en général avec des barres d’outil et proposent des prix sur des articles (chaussures etc).
Dans le cas d’Offerbox, ce dernier ouvre des popups de publicité.
Ces programmes sont proposés en autre par :
A côté de cela, tout comme le nom du logiciel, VLC est utilisé pour proposer des barres d’outils et adwares.
Hotbar est aussi proposé via l’installation de logiciels connus comme OpenOffice ou LimeWire : http://forum.malekal.com/zango-hotbar-rond-stardoors-com-t5795.html#p234488
Dernièrement aussi un pack malicieux installe la barre d’outils SweetIM qui n’a rien de malicieux (voir la page Trojan.Oficla : Deux Rogues ).
La tendance est donc, à travers l’utilisation de logiciels connus (souvent en licence GNU), de proposer l’installation de ces logiciels avec des adwares en plus par rapport à la version officielle.
La nouvelle tendance, en plus des barres d’outils, sont les programmes de promotion.

2011 – Encore plus de barre d’outils, encore plus de PUP/LPIs et les sites de téléchargement qui s’y mettent

2011 est le tournant puisqu’une explosion a lieu pou de refourguer ces programmes divers et barre d’outils.
Encore plus de programmes gratuits qui proposent des barres d’outils avec notamment une polémique autour d’Avira.
Encore plus de PUP/LPis : Logiciels potentiellemenst indésirables et explosions des faux codecs VLC :
D’autres programmes pourries :
La distribution se fait avant tout à travers les publicités et les liens sponsorisés des moteurs de recherche.
On distinguera deux cas, par exemple Eorezo/PCtuto et la société à l’origine de l’arnaque par minitel qui utilise les réseaux de publicités et liens sponsorisés sur les moteurs de recherche pour distribuer leurs logiciels et ont un retour sur l’investissement.
Et les autres éditeurs qui utilisent le PPI (pay per install) et affiliations pour faire distribuer par des tiers, par exemple, par des régies de publicité tiers dans le cas des faux codecs VLC.
Au final ce sont les sites de téléchargement qui s’y mettent.. (voir http://www.malekal.com/2011/08/24/on-te-pourrit-le-net-acte-3-le-tour-des-sites-de-telechargement/) en distribuant eux mêmes leurs barre d’outils en plus de celles proposées dans les logiciels.
La boucle est bouclée : Les régies de pubs se font de l’argent en faisant de la pub pour des affiliés qui touchent eux de l’argent à chaque installation du logiciel.
Maintenant c’est au tour des sites de téléchargement.
L’accumulation des programmes inutiles entraînent le ralentissement des PC ce qui créé une niche pour les programmes dit de nettoyage (registre & compagnie) qui ne règle pas du tout ces problèmes.

2012/2013

Les publicités sont de plus en plus borderline.
On se rapproche de plus en plus des faux codecs.
J’ai recensé quelques publicités pourries sur la page : http://www.malekal.com/2012/12/10/en-how-ads-can-sucks/
Click this bar to view the full image.
ads_sucks_fake_plugins_error Ci-dessous, les publicités pour les logiciels Java et Adobe Flash qui bien sûr embarque des logiciels parasites.
Click this bar to view the full image.
allmplayerupdates_fakeflashplayer2
Click this bar to view the full image.
Java_ImpersonateCôté programmes parasites, un cran supplémentaire est passé :
Click this bar to view the full image.
PUPs qvo6.com
Les antivirus ne détectent casi aucun des ces programmes parasites : Antivirus gratuits et programmes parasites PUPs

2014

Edition du topic pour ajouter l’année 2014 concernant les programmes parasites et adwares où la frontière entre malwares et non malwares se réduit, avec notamment l’utilisation de campagne de malvertising.
Le but étant de proposer des publicités malicieuses à des régies afin de rediriger les internautes vont des pages qui vont proposer ces programmes parasites.
Ces publicités malicieuses vont rediriger vers de fausses pages de mises à jour Flash, Java ou de lecteur vidéo et proposer un setup contenant ces programmes parasites.
Ces publicités malicieuses vont soit s’ouvrir sur un onglet en plus du site visité soit remplacer le site visité.
Le but est clairement de tromper les internautes en leur faisant croire qu’il faut faire une mise à jour Java ou Flash afin de refourguer des programmes parasites.
Ces publicités permettent de toucher un nombre assez conséquent d’utilisateurs lorsqu’elles sont des gros réseaux et sites WEB.
Quelques exemples de ces fausses pages :
Click this bar to view the full image.
malvertising « video peut être obsolète »
Click this bar to view the full image.
Obsolète Java plugin
Click this bar to view the full image.
Update Video Player
Liens relatifs à ces publicités malicieuses :
à partir de Mai, j’ai commencé à recenser ces publicités malicieuses et à en faire retirer : http://malvertising.stopmalwares.com/2014/05/pup-domaiq-fake-javaflash-update-pages/ - ce qui a permis d’attirer l’attention sur ces pratiques : https://www.stopbadware.org/blog/2014/06/16/users-exposed-in-may-malvertising-campaign  – en 2 jours, 37 000 internautes ont été redirigés seulement sur un site WEB.
Cisco a aussi publié une analyse : http://blogs.cisco.com/security/kyle-and-stan/
Du coup, les antivirus et Google SafeBrowsing ont commencé à bouger, ce qui est une bonne nouvelle pour les internautes.
A noter que les antivirus font aussi un peu plus d’efforts par rapport aux années précédentes pour ajouter des détections sur les setup de programmes parasites.
Côté adwares/programmes parasites, quelques nouveautés :
  • avec l’utilisation en masse de proxy, ce qui permet d’injecter des publicités dans les pages web visités – cela pose de gros problèmes de connexions (erreur proxy, les sites SSL qui ne fonctionne plus).
  • des adwares toujours plus difficile à supprimer manuellement.
  • des setup qui ne fonctionnent pas en VM – les anti-vm étant aussi utilisés par les « vrais » infections afin de rendre l’étude impossible dans des environnements virtualisés.
  • Des setups de plus en plus vicieux, vous déclinez l’offre, une popup s’ouvre en insistant… des setup sans croix qu’on ne peut fermer facilement etc.
Mais aussi, des adwares qui proposent d’autres adwares durant leur désinstallation, notamment avec BubbleDock : https://www.supprimer-virus.com/supprimer-bubble-dock/
Bref, sans surprise, le but c’est que les adwares restent le plus longtemps possible sur les PC afin que les pubs continuent de s’afficher et que l’argent rentre.

Malware ot not Malware ?

C’est sur cette dernière évolution que je vais m’attarder.
Comme on peut le voir, les infections installent maintenant des barres d’outils légitimes et programmes légitimes (ou du moins qui se présentent comme tels pour certains).
Bien entendu, les auteurs de malwares touchent un % par barre d’outils installée toujours via les affiliations.
Si ces barres d’outils ou programmes ne sont pas malicieux en soi, les éditeurs d’antivirus ne vont pas les classer comme malicieux.
La question devient : un malware est seulement un programme malicieux ou un malware est un programme non malicieux mais installé par des procédés douteux (voir par des infections) ?
Bref les programmes d’affiliations pervers font-ils d’un programme un malware ?
  • Doit-on classer Spyware Doctor comme malware, au vu du nombre de faux blogs qui inondent les moteurs de recherche pour proposer cet antispyware comme solution à des infections, alors qu’il faut payer pour éradiquer et que l’on est pas certain du résultat ?
  • Doit-on classer la barre d’outils SweetIM comme malicieuse maintenant qu’elle est installée automatiquement par des infections ?
  • Offerbox est-il un adware ? ce dernier ouvre des popups de publicité, la manière de se propager est assez limite. Seulement l’utilisateur accepte les conditions d’utilisation, rien n’empêche d’envoyer à l’éditeur d’un programme de ce type d’envoyer un mail à un éditeur d’antivirus pour faire pression et retirer la détection en prétextant qu’un accord a été fait entre l’utilisateur et l’éditeur du programme puisque l’utilisateur a accepté les conditions d’utilisation.
Car si c’est un affilié qui « abuse », les éditeurs des programmes ne font pas grand chose pour le bannir et au final, on voit une multiplication de ces méthodes donc une augmentation de l’installation de ce programme pour l’éditeur qui y gagne ; A noter que dans le cas du faux plugin VLC, cela semble être une régie de pub qui offre ces bannières en guise de publicité.
Le fond du problème dans le cas des programmes comme Offerbox et Hotbar et que ces programmes jouent sur la crédulité des utilisateurs et la non lecture des conditions d’utilisation.
Si l’on prend ce sujet : http://www.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#20
La personne s’est retrouvée avec Offerbox sur son PC suite à l’installation  du faux VLC Plugin : Offerbox / HotBar/ShopperReports/ClickPotato croyant à une mise à jour officielle par Mozilla (comme la barre est jaune).
Ce dernier a fait suivant, suivant …. en ayant confiance (puisque c’est VLC et il connaît) et même la popup en anglais ne l’a pas stoppé (encore faut-il parler anglais dans le cas d’Hotbar).
De ce fait, beaucoup d’internautes se retrouvent avec des PC bourrés de barres d’outils, des PC ralentis… des navigateurs qui rament.
Comme on peut le voir, faire installer des applications voulues et toucher de l’argent restent encore très facile.
Sans nul doute, en ce qui me concerne, l’évolution de l’installation de SweeIT par une infection surfe sur ce flou.
Il faut aussi noter l’évolution, si en 2007 on s’offusquait quand un programme gratuit proposait l’installation d’une barre d’outils maintenant c’est devenu chose normale…. Les blogs de sécurité sont choses normales…. Il faut s’attendre à voir de plus en plus, de faux programmes gratuits proposant des barres d’outils ou autres programmes plus ou moins adwares à l’avenir.


REF.: