C'est une grande victoire de l'Electronic Frontier Foundation (EFF) contre Apple : le jailbreak (« déverrouillage ») et le déblocage des iPhone est désormais légal aux Etats-Unis. La puissante association américaine de défense des droits numériques a réussi à faire modifier le Digital Millenium Copyright Act (DMCA), la loi écrite par le bureau du copyright (Copyright Office) de la bibliothèque du Congrès à Washington.

L'EFF a obtenu que soient greffées au DMCA de nouvelles exceptions à l'interdiction de contournement de mesures de protection techniques. Ce n'est pas exceptionnel : tous les trois ans, la bibliothèque du Congrès examine de possibles modifications à apporter au DMCA pour que cette loi répressive contre la copie s'adapte aux nouveaux usages de consommation numérique.

Or, cette année, elle s'est montrée particulièrement tendre avec les consommateurs, en légalisant notamment le jailbreak de leur téléphone, ou en leur permettant de contourner dans certains cas le dispositif anticopie des DVD vidéo et des jeux vidéo ! Tour d'horizon des changements outre-Atlantique.

Lire la suite : www.01net.com

La Chine se lance dans la lutte contre les sites de filoutages. 800 sites dédiés à l´hameçonnage fermés par jour. Les menaces provenant de sites Web dédiés au phishing (filoutage - hameçonnage) ont vu une augmentation mensuelle de 25 pour cent à 35 pour cent en Chine, indique le Rising International Software Co., Ltd. La société explique en faire fermer environ 800 chaque jour. "Nous avons trouvé 80,000 sites et environ 20,000 d'entre eux sont encore actifs".

Source : www.zataz.com

Alors que dans d'autres pays – en France, au hasard – les arrestations et les condamnations d'internautes téléchargeant en peer-to-peer sont relativement courantes depuis plusieurs années, au Japon, ce type d'affaire est bien plus rare : parmi les cas rapportés jusqu'ici, Torrentfreak rappelle celui d'un homme de 33 ans, condamné en 2008 à 2 ans de prison avec sursis pour avoir téléchargé le film Wanted sur le réseau WinNY, très populaire au Pays du Soleil Levant.

Aujourd'hui, le site rapporte la première arrestation japonaise en lien avec Bittorrent : un homme de 31 ans a en effet été arrêté par la section de la police de Tokyo spécialisée dans la cybercriminalité. Shuichiro Tanaka, c'est son nom, a avoué avoir partagé sur le réseau des émissions de télévision, pour un total de 165 fichiers torrents. « Je l'ai fait pour les gens qui ont raté les emissions à la télévision. Il y a des risques de virus sur WinNY alors j'ai utilisé Bittorrent, j'avais également entendu dire que la police ne s'y intéressait pas» a-t-il expliqué, avant de plaider coupable.

La police tokyoïte a confirmé au site japonais 47news qu'il s'agissait de la première arrestation pour violation de copyright au Japon. Après l'arrestation médiatisée du premier pirate de jeux PSP en mai dernier, on peut imaginer que le pays veut durcir sa politique en matière de piratage, et faire plus d'exemples...

Source : www.clubic.com

Les autorités ont surtout relevé des manquements quant à l'identification du vendeur, des fausses annonces de réduction de prix et de fausses inscriptions gratuites. Mis en place en 2000 pour « veiller à la sécurité du consommateurs sur Internet », le Centre de surveillance du commerce électronique a effectué 9 728 contrôles en 2009 auprès de 7 353 sites marchands (soit 11% des sites marchands).

Des comportements litigieux

Ce travail a donné lieu à 189 procès-verbaux et 1.124 rappels de règlementation. Les autorités ont en effet eu du mal parfois à relever l'identité d'un vendeur, si celui-ci était un particulier ou un professionnel ou s'il était domicilié en France. Des pratiques commerciales trompeuses ont été aussi observées. Les internautes sont dans ce cas attirés par des offres avantageuses qui ne sont finalement que « très marginales, voire absentes ».

A noter que certains sites se permettent d'ajouter des frais accessoires ou des options non demandées explicitement par le consommateur dans le panier virtuel. Une pratique qui peut même se faire à l'insu de ce dernier.

Source : www.lemondeinformatique.fr

La fondation Mozilla vient d'expliquer sur son site dédié à la sécurité que le montant des primes de vulnérabilités serait augmentée. A chaque fois qu'un internaute mettra le doigt sur une faille du navigateur, il sera ainsi récompensé de 3.000 dollars désormais, et non plus de 500.


Mozilla encadre cette hausse des primes en ne la réservant qu'aux « failles graves », classées comme importantes ou critiques. De même, seules les versions récentes du navigateur sont concernées. Enfin, les plugins ou applications tierces ne sont pas prises en compte dans cette traque.

Déjà, Google avait fait de même cette année en rehaussant également ses tarifs. Désormais les failles révélées dans Chrome peuvent rapporter de 500 à plus de 1.300 dollars en fonction de la gravité de la faille.

Source : www.clubic.com

C'est désormais une faille colmatée et la mise à jour dédiée est à appliquer en priorité. Avant son Patch Tuesday de juillet, Microsoft a observé 25 000 tentatives d'exploitation de la vulnérabilité affectant la fonction Aide et Support de Windows XP.

Cela a probablement été la vulnérabilité star du mois de juin et début juillet. Non pas tant par sa dangerosité mais plus par la polémique qu'elle a déclenchée. La vulnérabilité affectant le service d'Aide et Support de Windows XP a en effet été mis au jour par un chercheur en sécurité informatique proche de Google, ce qui déjà n'a que très moyennement plu à Microsoft. Surtout, Microsoft a estimé que Tavis Ormandy ne lui avait donné que trop peu de temps avant de procéder à une divulgation publique.

Il n'en fallait pas beaucoup plus pour que le débat sur le full disclosure soit relancé, mais finalement il l'est assez régulièrement. Les vertes critiques adressées par Microsoft à Tavis Ormandy ont été très mal perçues par certains chercheurs anonymes qui ont décidé de former un groupe anti-Microsoft.

Toute cette affaire a aussi fait le jeu de ladite vulnérabilité dont l'exploitation active a débuté dès la mi-juin. Fin juin, Microsoft avait révélé l'existence de 10 000 tentatives d'attaques exploitant cette vulnérabilité. Les attaques contre les PC équipés Windows XP semblent avoir atteint leur apogée la veille du Patch Tuesday de juillet avec 25 000 tentatives d'exploitation. Sans doute les attaquants se sont dits qu'il s'agissait de l'une de leurs dernières chances de faire quelques victimes.

Dans son Patch Tuesday de juillet 2010, Microsoft a livré la rustine salvatrice qui comble la faille de l'Aide et Support de Windows XP. Le patch s'applique également à Windows Server 2003 même si Microsoft n'a pas identifié de vecteur d'attaque avec cet OS. On peut donc espérer que le nombre d'attaques et de victimes potentielles diminue désormais. Du moins, il semble urgent pour les utilisateurs concernés d'appliquer le correctif à leur disposition.

Le 12 juillet, ce sont donc 25 000 ordinateurs distincts répartis dans plus de 100 régions du monde qui ont dû faire face au moins une fois à une tentative d'attaque. Parmi les pays touchés, la Russie l'a été le plus devant le Portugal. Suivent la Turquie et l'Espagne, puis la Grèce, l'Allemagne, la Belgique ou encore le Royaume-Uni. Pour les USA, le nombre d'attaques s'est situé au niveau de la moyenne mondiale, soit... 0,09 % des utilisateurs Windows touchés. La France n'est pas apparue dans les pays cités par Microsoft.

C'est sans doute l'affaire de vol massif de numéros de cartes bancaires de trop. Elle démarre en octobre 2009, quand des malfaiteurs ont pu pirater les bases de données d'une société espagnole, vraisemblablement un prestataire de service ou un opérateur de télécommunications. Ces données contenaient les informations bancaires de particuliers et de touristes, ayant utilisé leur carte de crédit en Espagne.

Réactions coûteuses

Depuis, les réactions s'enchaînent. Visa et Mastercard ont vivement conseillé tous ceux ayant voyagé en Espagne de vérifier leurs relevés bancaires. Les banques, aussi alertées, ont réagi : en Allemagne quelque 100 000 cartes bancaires ont dû être retirées de la circulation en urgence. En France, le Crédit Mutuel de Bretagne a dû refabriquer des cartes pour ses clients ayant séjourné en Espagne.

Les grandes banques françaises ne peuvent plus faire mystère de leurs préoccupations. Elles sont même  "en état d'alerte ", ont confirmé des conseillers anonymes à Ouest France. "Le Crédit Agricole, le Crédit Mutuel, la Banque Postale ou encore BNP Paribas sont mobilisés ", a aussi reconnu un banquier, sans donner plus de précisions sur leurs axes de réflexion.

Car ce sont bien les banques les premières victimes, car celui dont l'identité a été usurpée arrive souvent à se faire rembourser. Si les banques sont peu disertes sur le sujet, il ne fait aucun doute que ce phénomène grandissant leur cause des pertes de plus en plus importantes.                                  

Le Clusif tire la sonnette d'alarme

Il est temps de réagir : les montants des préjudices ne cessent de grimper. Dans le panorama du Clusif sur la  cybercriminalité de 2009 le chapitre "Vols massifs de numéro de carte bancaire" est aussi chargé qu'inquiétant.

Les fraudes sur les opérations de paiement par cartes en hausse de 10% en 2009.

Parade perfectible

Face à ce problème d'usurpation, une solution, ni parfaite, ni infaillible, existe. Lancée dès 2001 par Visa et MasterCard et basée sur les protocoles SSL et TLS, 3D Secure repose sur une authentification validée par un tiers : pour valider le paiement en ligne, la banque demande à son client de s'identifier une nouvelle fois (PIN, date de naissance, etc.).
 
Lors de sa conférence de presse au début de cette année Marc Bornet, administrateur au Groupement des Cartes Bancaires, avait fixé "la sécurisation de la vente à distance " et surtout "l'authentification du client" comme priorités.

Selon lui , 3D Secure est "un premier niveau de sécurité, qui peut être complété par des sécurités un peu plus sophistiquées. Dans l'avenir, d'autres techniques apparaîtront sans doute. On parle beaucoup de la biométrie, notamment, mais force est de constater que celle-ci est encore loin d'être opérationnelle.

Source : www.journaldunet.com