Patrick Bruel et Wanadoo contre Mr Mitigating
Monsieur Mitigating -préposé des P&T de son état- est un personnage très connu dans le domaine de la sécurité. Particulièrement sur le très étroit et très technique créneau du phishing, du scam, de l'escroquerie par courrier électronique et de l'exploitation de failles dans le cadre d'attaques XSS. Que ce soit dans les bulletins d'alerte Microsoft ou Oracle, les cris d'alarme poussés par certains distributeurs de « parfum Linux » ou au fil des communications émises par les éditeurs de logiciels de sécurité, les avis du facteur Mitigating se retrouvent avec régularité. Citons notamment les plus fréquents :
- l'exploitation de cette faille n'est pas directe et ne peut représenter un risque immédiat
- l'exploitation de ladite faille exige l'interaction de l'utilisateur
Tels sont les deux arguments massue -le facteur frappe toujours deux fois- les plus fréquemment émis par ce personnage mystérieux. Le problème, c'est que tout le monde n'est pas du même avis. Inciter l'utilisateur à cliquer n'importe où, c'est le b.a.-ba des apprentis psychologues. Les contre-avis d'experts -Liu Die Yu, http-equiv, MM Litchfield et tant d'autres - n'y faisant rien, voilà que courageusement deux français dénoncent à leur tour les propos trop rassurants de ce « Mitigating Factor ».
A commencer par Monsieur Patrick Bruel*, acteur de talent, chanteur intemporel, lequel nous fait la grâce d'écrire directement dans notre email personnel à nous afin de nous avertir de la sortie imminente de son futur album. Mais comme Monsieur Patrick est un gars bien, le voilà qu'il décide de fournir un lien déclenchant l'audition d'une de ses ritournelles. Au prix de la sonnerie téléphonique téléchargeable, voilà qui ne saurait manquer d'attirer les foules, des amateurs de « Casser la voix » aux fans de « Mon amant de Saint Jean »...en bref, statistiquement ce que l'Insee désigne par « un échantillonnage représentatif de la population Française situé entre 15 et 115 ans ». Comme par un malin plaisir, l'hébergeur chargé de diffuser des extraits de « Lettre au Père Noël » (avions-nous précisé que c'est là une avant-première ?) et de « Je fais semblant » a pris pour nom « Opendisc », patronyme guère rassurant pour qui souhaite précisément préserver un minimum de confidentialité sur le contenu de ses unités de stockage. Les plus sceptiques pourront vérifier en balayant les caractères « Play » ici situé d'un curseur curieux pour constater ce cas confondant :
Fort heureusement, cette fois, « çà » fait de la musique. Mais « çà » pourrait bien faire autre chose. Car, n'en déplaise à Monsieur Mitigating, le pouvoir d'incitation est d'excitation de Monsieur Bruel est considérablement plus puissant que celui d'une lettre émise par un soi-disant Crédit Lyonnais, le service « comptes » d'Ebay ou la cellule Sécurité de Microsoft.
Imaginons un instant qu'un billet tout identique viennent nous prévenir de la disponibilité de l'Intégrale de l'oeuvre de Patrick -vous permettez que je vous appelle Patrick ?-, offre assortie d'une pré-écoute des meilleurs tubes de l'artiste. Et que, plutôt qu'Opendisc, l'on tombe sur 0p3nDizK... Anna Kournikova pourrait aller se rhabiller et 180Solution en attraperait une syncope. Pas possible ? Comment çà, pas possible ! Qu'est-ce qui empêcherait de malfaisants iconoclastes de forger un pseudo courriel Bruelesque ? Ces gens-là ne respectent rien. Ils pourraient même se contenter d'attendre la prochaine action promotionnelle pour s'adonner aux joies du DNS Pharming. Parmi tant d'autres choses... car le plus dur est fait : convaincre l'usager que « cliquer, c'est jouer ». Avez-vous quelque chose à ajouter, Monsieur Mitigating ?
Nous ne saurions clore ce chapitre sur l'URL incitative sans égratigner au passage notre cher, très cher opérateur historique. Un membre de la rédaction Ouèbe de CSOFrance, lassé par le harcèlement d'un spammeur grenoblois, expédie une missive de protestation à l'adresse « Abuse » de Wanadoo. Laquelle missive provoque ipso facto la réaction d'un robot chargé d'accuser réception. Courriel qui débute ainsi :
ALERTE NOUVEAUX VIRUS
******************************************************************************
Patchs de désinfections disponibles sur :
http :// security_response.symantec._com/avcenter/FxNetsky.exe
http :// securityresponse.symantec._com/avcenter/venc/ data/w32.sober.removal.tool.html
(lien volontairement rendu inopérant par la Rédaction)
******************************************************************************
CECI EST UNE REPONSE AUTOMATIQUE MERCI DE NE PAS Y REPONDRE
Une redirection sur le lien d'une entreprise privée sans aucun rapport avec l'opérateur, pointant de surcroît sur le lancement automatique d'un code exécutable, lequel code ne saurait être mis en doute, compte tenu du degré d'honorabilité du correspondant...ça en fait, des causalités fatales ! D'autant plus qu'une telle réponse, dont le début et hors de propos avec le sujet initial, ne peut que semer le doute dans l'esprit de l'usager : « Diantre, si un robot me répond une telle chose, c'est que je suis probablement porteur et transmetteur d'un chikungunya numérique. Désinfectons-nous derechef à l'aide du programme susmentionné... Le message ne nous parvient-t-il pas d'une entreprise comptant de nombreux experts en sécurité et assurant la fonction de prestataire de services spécialisé -moyennant abonnement- ? A côté de çà, même un banquier pourrait passer pour un individu douteux.
Qu'il semble difficile de concilier les « bonnes pratiques » et les « usages ». L'on peut, désormais, déclarer sans se tromper qu'un courriel émis par une véritable banque ne comporte strictement aucune URL. C'est là le signe distinctif de son authenticité. Pour les chanteurs à la mode et les fournisseurs d'accès, y'a encore un peu de travail à faire.
* e-mail retransmis par notre unique et fidèle lecteur Niçois, Monsieur Bernie Soap, qu'il en soit profondément remercié