H*COMMERCE : Le documentaire du week-end !

[dascritch]

Via le fabuleux site CNIS-mag :

McAfee, l'éditeur d'antivirus a financé la production de petits documentaires sur la face noire du hacking. Du vol d'identité par scaming, wardriving, espioniciels, et autres sales joyeusetés, le tout présenté en vidéos de qualité professionnelles : H*Commerce, le business de vous voler. Hélas, uniquement en Anglais sans sous-titres, (pas trop un problème pour moi, mais ces films de sensibilisation mériteraient d'être mieux diffusés)

Bon, évidemment, McAfee jouent à fond l'alarmisme, car ces documentaires d'excellentes factures restent des outils de propagande. Pardon, de publicité. Et quelle meilleure publicité que la peur ?

Question bête, tiens, Nolife pourrait négocier l'autorisation de sous-titrer et diffuser ces vidéos ? Ou mieux, le diffuser comme spots publicitaires. Si quelqu'un de McAfee France passe par ici...

[Solarus]

Le AV*Commerce , ou l'art de vous voler.

Franchement ca fait 10 ans qu'on sait que McAfee , Norton et compagnie sortent leur propres virus pour créer des "exclusivités" face aux concurrents.
Pas des virus méchants , mais juste des petites saleté pour avoir une base de données plus grosse que le voisin.

Ca deviens ridicule, tout ce business des anti-virus (le véritable vol au final) , mais n'oubliez pas , face aux virus , il y a Linux.

[dascritch]

Citation:

Envoyé par Solarus

Le AV*Commerce , ou l'art de vous voler.
Franchement ca fait 10 ans qu'on sait que McAfee , Norton et compagnie sortent leur propres virus pour créer des "exclusivités" face aux concurrents.
[...]
Ca deviens ridicule, tout ce business des anti-virus (le véritable vol au final) , mais n'oubliez pas , face aux virus , il y a Linux.

Je suis utilisateur quotidien de Linux. Pour chez moi, pour mon travail, pour mes clients.
Toute information est bonne à connaître : Notre OS a des qualités par rapport à un autre qui font qu'il est intrinsèquement mieux sécurisé. C'est à la fois vrai et à la fois un mythe :
Tu n'es jamais à l'abri d'un problème de sécurité. Par exemple des plugins Flash, Java, PDF, VLC, Mplayer, javascript ou autre ne demandent de ta part que de naviguer sur un site compromis pour te compter parmi les victimes. Tu as besoin qu'un service serveur aie une défaillance (erreur de conception par exemple de Joomla, permissions trop grandes sur certains comptes dévolus à des services particuliers, manque de vérification de points d'entrée, mots de passes trop faibles) pour que ton serveur soit compromis.
Sans compter que la plus grosse source de failles dans un PC, c'est le dispositif entre la chaise et le clavier. Celui qui finalement va acheter l'article promu dans ce courriel non-sollicité, ce qui rendra toute campagne de spam financièrement intéressante.

J'ai vécu ma première compromission à cause d'un défaut de AWstats sur ma machine perso. J'ai vu en temps réel (je lis mes logs Apache en continu) ma machine se faire rootkiter.
Crois-moi, là, ça rend humble.
Tu checkes et recheckes ton code de multiples fois, tu changes tes mots de passe tous les mois, et tu lis les bulletins de sécurité, même ceux concernant des logiciels "concurrents" de ceux que tu utilises. Car des fois, les trous découverts chez d'autres s'appliquent aussi chez toi ou ton ancien code. J'ai récemment fait la mise-à-jour de tous les sites de mes clients à cause d'une stupide vulnérabilité potentielle. Stupide car personne ne peut se targuer de connaître les vulnérabilités de chaque standard, chaque couche système, chaque protocole de communication. L'Unicode recèle des pièges, les requêtes HTTP comporte des failles structurelles (tordues, mais exploitables), le protocole IP lui-même ne garanti pas l'origine de ses paquets (hein, Madame Albanel).
Tout le monde est potentiellement victimes de failles. Et certains les exploitent activement. Par exemple le jailbreaking d'iPhone est une exploitation de faille. Idem pour les logiciels, les CD, les matériels qui permettent de dézoner une console. Sauf que certaines failles sont “sympathiques” pour le grand public, d'autres lui sont carrément dangereuses (par exemple, les terminaux de paiement par CB qui communiquent en WiFi sont tous basés sur des systèmes en WEP... une paille à pirater, et donc récupérer des numéros de CB. Ou encore, très peu de sites marchands ne vérifie le paiement effectif via le système bancaire Paybox/Crédit Agricole car leur doc est fausse, demande une grosse relecture, donc peuvent se faire voler de la marchandise en faisant croire au site marchand à un paiement légitime)

Et c'est là que j'ai envie de dire « ça manque d'une chaine de télévision qui fasse de la vraie pédagogie informatique à l'attention des geeks ». Car tout le monde se croit suffisamment “impiratable” or c'est FAUX.

Ensuite, je ne suis pas sûr que les boites créant des antivirus aient vraiment besoin d'en créer pour faire tourner leur métier : Ce business existe, et le chiffre d'affaire de cette criminalité est tout simplement... énorme. Le potentiel de chaque victime : son compte en banque, son montant de découvert possible, et les possibilités de financement auprès de chaque organisme susceptible de lui accorder un prêt. C'est absolument édifiant. Si tu lis des mangas, relis le premier tome de « Ushijima, l'usurier de l'ombre #1 » , tu verras que l'exploitation de l'identité d'une personne est incroyablement “prometteuse”.

Et enfin, les moyens de cette grande criminalité donnent une motivation à certains génies de pondre des méthodes, des technologies édifiantes, qu'il vaut toujours mieux comprendre qu'ignorer quand on développe, quand on administre un système, quand on utilise de manière éclairée un ordinateur.