Les 3 regles de securite de Brian Krebs

De 1995 à 2009, Brian Krebs était journaliste au Washington Post.  Spécialisé dans la sécurité informatique, il a écrit 1300 articles sur le blog Security Fix. Depuis il officie sur son site personnel KrebsOnSecurity. Après ces années de lecture des articles de Brian Krebs, j'ai pu mettre une voix sur l'auteur en écoutant le podcast Security Now #392.

En 2011, Brian a posté l'article "Kreb's 3 basic rules for online safety". Littéralement: les 3 règles de base pour la sécurité en ligne. Voici mon adaptation/traduction de ces 3 règles en français:

130226_briankrebs.jpg

If you didn’t go looking for it, don’t install it!

Si tu n’es pas allé le chercher, ne l’installe pas.
— Brian Krebs

Une grande partie des menaces en ligne reposent sur l'incitation de l'utilisateur a faire une action. Que ce soit cliquer sur un lien dans un email ou une pièce jointe, ou installer une application ou un plugin dans le navigateur.

Typiquement ces attaques prennent la forme d'une fenêtre pop-up qui alerte l'utilisateur d'un problème de sécurité. Ceci dans le but de lui faire installer un logiciel malveillant. Une autre type d'arnaque consiste a renvoyer l'utilisateur vers une video puis à lui proposer d'installer un codec spécial, un lecteur multimédia ou une application pour en voir le contenu.

Installez un programme ou un plugins pour votre navigateur si et seulement si vous êtes allé le chercher vous même. Et avant d'installer quoi que ce soit, pensez a vérifier que vous avez téléchargé le fichier chez l'éditeur. D'expérience, il n'est pas évident pour tout le monde que les mises à jour d'Adobe Reader se téléchargent chez Adobe.

Même si des sites comme Majorgeeks.com et Download.com revendiquent qu'ils filtrent les programmes proposés au téléchargement, renseignez vous sur ce que vous téléchargez. De la même manière qu'il ne vous viendrai pas à l'idée d'acheter quelque chose en ligne sans faire des recherches sur sa qualité ou ses performances, prenez quelques minutes pour trouver et lire les commentaires et les avis laissés par les utilisateurs.

De même évitez de répondre directement aux alertes par mail qui semblent venir de Facebook, LinkedIn, Twitter, votre opérateur téléphonique, votre banque ou tout autre organisme qui détient vos informations personnelles. Utilisez plutôt un favori dans votre navigateur.


If you installed it, update it.

Si tu l’as installé, tiens le à jour.
— Brian Krebs

Garder le système d'exploitation à jour est important, mais il est aussi impératif d'appliquer les correctifs sur les applications pour maintenir la sécurité de l'ordinateur. Les "méchants" attaquent constamment les failles présentes dans les logiciels les plus répandus, tel qu'Oracle Java, Adobe Reader, Adobe Flash et Apple Quicktime.

Les éditeurs de ces applications diffusent des mises à jour plusieurs fois par an, il est donc important de déployer ces mises à jour dès que possible. Certains de ces produits alertent l'utilisateur quand un correctif est disponible. Cependant ces alertes arrivent souvent plusieurs jours ou semaines après la sortie du correctif.

Il est déjà fastidieux de suivre les mises à jour des logiciels majeurs, mais c'est quasiment impossible de suivre tous les petits logiciels manuellement. Heureusement il existe des outils d'audit sécurité gratuits.

Secunia Personal Security Inspector (PSI) est probablement le plus efficace d'entre eux. Il scanne périodiquement l'ordinateur à la recherche de tous les logiciels installés et alerte l'utilisateur si une mise à jour de sécurité est disponible. La dernière version est capable d'appliquer automatiquement les correctifs.

FileHippo Update Checker quant à lui se limite aux logiciels les plus répandus.


If you no longer need it, remove it.

Si tu n’en as plus besoin, enlève le.
— Brian Krebs

Un ordinateur encombré est forcement ralenti. Malheureusement, un grand nombre de constructeurs livre leurs machines chargées de monceaux de logiciels plus inutiles les uns que les autres. Par dessus tout ça, l'utilisateur moyen installe au fil des mois des dizaines de programmes. Cet ensemble contribue a grignoter les performances de l'ordinateur. De plus de nombreux programmes s'installent dans la liste de démarrage, ralentissant d'autant le redémarrage de l'ordinateur. Rappelez vous aussi que plus vous avez de programmes, plus vous allez passer du temps à les maintenir à jour.

Par exemple, Oracle Java est un programme puissant très répandu sur les ordinateurs et les navigateurs. Il est inutile pour une grande majorité des internautes. C'est à l'heure actuelle la cible numéro un des attaques en ligne. En avril 2012, 600000 Macs ont été touchés par le virus troyen Flashback. En février 2013 des Macs de Facebook, d'Apple et de Microsoft ont été infectés alors que leur utilisateur visitait un site web.

Pour limiter la surface d'attaque présentée par Oracle Java, plusieurs options s'offrent à vous:

  • Si vous avez besoin de Java dans votre navigateur, désactivez le plugin Java dans votre navigateur principal. Et utilisez un autre navigateur pour visiter uniquement les sites nécessitant Java.
  • Si vous avez besoin de Java pour une application de bureau, désactivez le plugin Java de vos navigateurs.
  • Si vous n'avez pas besoin de Java, désinstallez le.

Piracy stalls Falcon Pro

Today I ran into a Google+ post that talked about the petition to allow Falcon Pro to go beyond the 100k tokens limit enforced by Twitter. What does this 100k tokens limit means? New users of Falcon Pro won't be able to access Twitter... for a Twitter client this means DEATH. Since Falcon Pro is my favorite Android Twitter client, I went to the site and signed the petition.

130223_falcon_pro.png

I then launched Tweetdeck to check my hardsoft Twitter list. This list features hardware and software companies I'm interested in. I didn't had to scroll for long to see the main reason why Falcon Pro hit the 100k tokens limit.

For the numbers, Play Store tells me 40k users. Piracy is unstopabble, nothing I can do to prevent that.
— Joachim Vergès, Falcon Pro dev

The Falcon Pro users can be broke down into 40k legit users and 60k pirates. Already I can't understand $500+ smartphone owners that refuse to purchase great $1 app (most Android users around me and some cheap iOS users). So this is beyond my logic to take the risk of downloading a pirated copy (that is likely infected by an Android virus) of an impressive €0.79 app such as Falcon Pro.

These pirates are genuine morons. They not only don't pay to use Falcon Pro but also prevent Joachim Vergès from getting new legit users.

What is the best option for the Joachim? Implement his own authentication server that enable the legit user and blocks the pirates. If it's possible, have the pirates use "Falcon Pro pirated" tokens and revoke them with each software update... turning the pirated version into a time limited trial.

I don't see Twitter removing the 100k limit for Falcon Pro. But they could do something that is badly required: token expiration. Allow the developers to set an expiration on the tokens created by their app. So a token that was unused for n weeks should be pruned.

I wish Joachim will be able to find a viable solution soon. The best option would be for him to turn most of the pirates into customers. Bonne chance Joachim.

La mort annoncee de Free ADSL

Depuis aout 2012, Free ADSL surfe une vague qui va lui couter la vie. Free ADSL a décidé de limiter fortement le débit de données depuis les sites les plus utilisés par ses clients. Dans la soirée, il est impossible de voir une video sur les sites tels que YouTube, Vimeo ou Apple Trailers. De même, il ne faut pas compter télécharger rapidement des applications pour les smartphones Apple iOS ou Google Android.

En faisant ça, Free ADSL cherche a taxer les sites les plus consommateurs en bande passante. C'est une forme de racket inacceptable qui va à l'encontre de la neutralité du net. Le scénario souhaité par Free créerai un internet à plusieurs vitesses. Les sites "partenaires" qui payent la gabelle passent... les autres restent au bord de la route.

Le Measurement Lab enregistre les performances des accès à internet sur toute la planète (débits, latence, saturation). Google Public Data Explorer permet de filtrer et d'afficher ces mesures de performance par pays, par ville et par fournisseur d'accès internet.

Exemple: les courbes suivantes montrent l'évolution du débit moyen vers les clients des principaux fournisseurs d'accès en région PACA (source: bit.ly/MortDeFreeADSL). Globalement la tendance est à la hausse avec des débits moyens supérieurs à 5 megabits par seconde. En novembre 2012, Free ADSL est tombé sous la barre de 1 Mbps.

Débits moyens par fournisseur d'accès en région PACA

Sur la droite de ce graphe, j'ai ajouté des niveaux de prix. J'ai positionné le montant de 40€ qui correspond au prix d'un accès internet en 2013 sur le débit de 5Mbps. Soit un prix de 8€ / Mbps. Le service rendu par Free ADSL en novembre 2012 valait moins de 8€.

Si Free ADSL me facturait son accès internet moins de 15€, je ne me plaindrais pas. Dans les faits, je paie un peu moins de 38€. Tous les mois depuis aout 2012, je me fais donc arnaquer par Free ADSL.

J’ai payé mes bits, je veux mes bits.
— Hugolin, philosophe horticulteur marseillais

La page YouTube My Speed affiche les débits moyens sur les 30 derniers jours pour le fournisseur d'accès internet actuel, pour la ville, pour le pays et pour le monde entier. A nouveau, Free ADSL a des résultats exécrables inférieurs à la moitié de ceux de Marseille (Free ADSL: 2.3Mbps, Marseille: 4.9Mbps).

Youtube - débits moyens sur les 30 derniers jours

A mes yeux, l'accès internet est un bien de consommation courante indispensable comme l'eau et l'électricité. Il est donc inacceptable de subir la politique actuelle de Free ADSL au tarif de 38€/mois.

Les dégâts sur l'image de Free sont irrémédiables. C'est du niveau de Sony avec les virus sur les CDs audio, la gestion des problèmes des capteurs CDD/batteries et la gestion de crise du piratage du PlayStation Network. Je n'imagine pas Xavier Niel venir s'excuser publiquement de la politique suicidaire de Free ADSL. Ni même qu'il propose de rembourser 7 mois x 23€ de trop perçu pour service non rendu.

Depuis 2004, je conseillais fréquemment Free ADSL autour de moi (famille, amis, voisins ou collègues de bureau). Maintenant il est clair que le trublion de l'internet français est devenu sénile et qu'il doit mourir. Je vais donc militer auprès de mes proches pour l'euthanasie de Free ADSL. Dans un monde de concurrence, il faut s'adapter à son marché ou mourir.

Mon meilleur choix de 2012 a été de quitter Free Mobile. Il semble bien parti que mon meilleur choix de 2013 sera de quitter Free ADSL.

iTunes 11 can't revive an Apple TV

EDIT: it looks like there is a bug in the Apple TV updater over Ethernet. For obvious bandwidth reasons, my Apple TV is connected to a gigabit switch. #AppleFAIL :(

20121201_appletv.png

This morning, I deciced to upgrade my Apple TV 3 to the latest firmware 5.1.1. I left the room and when I returned a few minutes later, the Apple TV screensaver had kicked in. I woke it up to check how the download was doing.

The firmware update window was still blank trying to compute the time remaining. Moving around the menus worked. I guess the firmware download was running in the background since there was a spinning wheel next to the firmware update menu item.

After checking some settings, I returned to the firmware download screen. It was still waiting for the download to start. I was offered to cancel the firmware update. I chosed to cancel since I didn't want to spend all day on this task.

The TV screen turned instantly to black. The remote buttons were acknowledged by a bliking LED but the screen stayed blank. I rebooted the Apple TV and I never saw the Apple logo. My Apple TV was bricked.

I googled "apple tv restore itunes" and ended up on Apple support website "Restoring your Apple TV". I followed the procedure and hooked the Apple TV to my PC. The driver installed. iTunes 11 launched. The Apple TV appeared in the device section. I clicked on the restore button and was greeted with a message box saying that there was no Apple TV connected.

I tried various micro USB cables... even tiny ones connected directly to the back USB ports of the motherboard. Nothing worked. A fragrance of RMA was in the air. Lacking the time to call Apple support, I packed the Apple TV and headed to my parents house for lunch.

Their iTunes was still on the last 10.x version. I connected the Apple TV, it was detected and the restore button worked. I accepted the two warning windows and the firmware download started. It's a huge file for such a limited device... the 622MB firmware took about an hour to download.

Upon completion, the firmware was applied and the Apple TV came back to life.

I know Apple love the "clean interfaces"... IMHO the firmware update page should have the "clean interface" in the back seat. It must show the firmware file size AND the current download speed. I want to know if the firmware file I'm getting is a small delta update or a complete OS image. The user must be able to cancel the update sequence at anytime during the download process without brinking the device.

Free Mobile au revoir

iloveyoutube.fr-multi.png

Je m’étais promis de rester chez Free Mobile au moins 12 mois pour les remercier de la grenade lancée dans le marché sans concurrence de téléphonie mobile française. Je ne vais pas tenir ma promesse… d’ici quelques jours je serai chez Sosh.

Je n’utilise pas mon iPhone pour téléphoner. La connectivité à internet est importante pour moi. Je vis à Marseille où cohabitent cellules Free Mobile et Orange. Le passage d’un réseau à l’autre génère une coupure de l’accès donnée de 10/15 secondes. Pire lors d’un appel téléphonique, au changement de réseau, l’iPhone perd l’accès donnée pour tout le reste de l’appel.

Nous sommes en 2012, j’ai un smartphone et je l’utilise comme tel.

  • Si je ne peux pas télécharger un podcast de 21Mo 7h30 alors que je suis à bout portant sur un borne Orange, je n’ai plus de smartphone.
  • Si je ne peux pas synchroniser mes contacts, mes mails, mes taches et mon calendrier, je n’ai plus un smartphone.
  • Si en voiture je ne peux plus écouter de musique venant d’Amazon Cloud Player ou Spotify, je n’ai plus un smartphone.

Qu’est ce qui m’a fait tenir aussi longtemps ? Un MiFi 2352 avec une SIM Orange que j’ai en permanence sur moi. Quand l’iPhone (après un reboot on ne sait jamais) indique Free 3G à 5 barres et qu’aucun octet ne sort ou ne rentre… je sors le MiFi et je peux enfin écouter de la musique venant d’internet ou un truc fou appelé recevoir des mails.

Free Mobile l’accès internet mobile que tu proposes avec ton abonnement à 16/20€ transforme mon smartphone en featurephone… et je n’en veux plus. Au revoir.