Ce texte est dédié à tous les pénibles du net, ceux qui vous ennuient lors de vos séances de visite du « cyberespace » (avec son Piège, mais c'est une autre histoire).
Sites web pourraves· Pourriel (spam)· Virus et binaires en folie· La sécurité informatique c'est pour les autres· En vrac·
« Quiconque appose sur une page du web un logo du type : 'Cette page est
optimisée pour le navigateur X' est quelqu'un qui semble souhaiter revenir à
l'époque préhistorique d'avant le web, lorsque l'on avait très peu de chances de
pouvoir lire un document écrit sur un autre ordinateur, un autre traitement de
texte, ou un autre réseau. »
Tim Berners-Lee dans Technology Review, Juillet 1996
De même qu'une langue comme le français dispose d'une orthographe et d'une grammaire afin que tous ceux parlant français se comprennent, pour que tous ceux qui vont sur le web puissent y surfer et voir les pages des sites s'afficher dans leur navigateur, il existe un certain nombre de règles. Pour le web, elles sont édictées par le WorldWide Web Consortium (W3C), organisme composé d'éditeurs de logiciels, de fabricants de matériel informatique et d'industriels, etc. Ces règles permettent le support des protocoles, des diverses langues et des jeux de caractères associés, l'accessibilité pour les personnes handicapées, l'indexation et la recherche, etc. Tout serait pour le mieux (notamment pour l'interopérabilité) si tous les webmestres les respectaient, mais dans les faits on est bien loin du compte. D'ailleurs même certains membres du W3C ne respectent pas les recommandations qu'ils décident... C'est notamment le cas par exemple de Microsoft qui est incapable depuis plusieurs années de gérer correctement le format d'image PNG ou les feuilles de style CSS (entre autres). Mais il suffit de prendre la liste des membres du W3C pour voir que beaucoup ne sont pas fichus de faire leur propre site web respectueux des règles... Il est à noter que la situation est en partie due à la position monopolistique d'un des navigateurs (Internet Explorer). Parfois, certains affichent insidieusement un logo « optimisé pour IE , ce qui est loin d'être le cas, plus généralement, il n'est pas testé avec d'autres navigateurs (traduire on a bidouillé jusqu'à ce que le site s'affiche comme souhaité sous IE, tant pis pour les autres).
Note : à propos de la mauvaise gestion de la transparence dans les images PNG avec Internet Explorer, on remarquera que si la version Windows présente cette lacune, la version Mac supporte très bien le format, comprenne qui pourra (ou quand on veut on peut, mais faut vouloir).
Non contents de faire des sites non standards, certains vont même d'ailleurs jusqu'à restreindre, pire interdire leur site à une catégorie de gens (souvent tous ceux qui n'utilisent pas le navigateur monopolistique, parfois les handicapés grâce à tous les obstacles qu'ils placent sur leur route, parfois ceux qui n'ont pas le système d'exploitation qui leur convient, etc).
Et puis une autre méthode pour rebuter des visiteurs consiste à faire un site énorme, avec plein d'images, animées si possible, le tout écrit en code HTML illisible, et non-standard. On ajoute bien sûr des bannières de pub un peu partout, un fond sonore et des bruitages, on saupoudre d'atteintes à la vie privée (cookies, formulaires de collecte de données personnelles, etc). On ouvre des fenêtres partout pour être le plus pénible possible (« pop-ups » qui s'ouvrent par dessus les autres fenêtres, voire « pop-unders » qui s'ouvrent en dessous...), on fait des zigouigouis qui suivent votre pointeur de souris, etc, etc. On peut aussi utiliser des formats non standards pour pénaliser l'interopérabilité, comme un peu de Flash ou du Real Audio/Video, même si ça ne sert à rien sur le site en question et que l'on pourrait faire mieux autrement. Convertir tout le texte d'une page en image est aussi un must.
Les meilleurs navigateurs actuels sont probablement (selon moi) les navigateurs libres : ceux basés sur Gecko comme Mozilla ou ceux basés sur Khtml comme Konqueror.
Quelques bonnes références pour faire de bons sites web : OpenWeb pour les standards du web et le groupe de travail Interop sur l'interopérabilité. Oh, et pour ceux qui en douterait, il est possible de faire de très beaux sites web en respectant les standards (voir par exemple quelques démos (notamment la spirale complexe).
Tous les merveilleux et palpitants messages que l'on reçoit du beau-frère du ministre de l'Ouganda qui veut vous offrir 30 milliards de dollars, de Tanya et de ses 12 copines super chaudes qui n'attendent plus que vous, de l'agrandisseur de pénis suédois à la Austin Powers en passant par les milles et un secrets pour amener les femmes au 7ème ciel, les réductions sur le viagra et un peu de politique sur le laxisme du gouvernement qui paie des prestations sociales (quel scandale) ou les « politiques qui sont tous pourris » (le spam politique est en particulier à la mode pendant les périodes électorales).
Tous ces braves gens qui vous écrivent ont trouvé votre adresse électronique quelque part... Les collectes se font :
Répondre à un spam augmente le nombre de spams reçus (la validité avérée de l'adresse fait qu'elle se revend plus cher).
Contre le spam :
J'utilisais simplement jusqu'à très récemment quelques règles de filtrage (via procmail) pour écarter les messages utilisant des jeux de caractères qui me sont inconnus (asiatiques, cyrillique, turc, etc). Malheureusement la quantité de spam reçu me faisait perdre trop de temps pour gérer tous ceux qui passaient à travers.
Je suis donc passé à Bogofilter, un filtre bayésien, qui trie statistiquement les courriers électroniques en bon grain et en ivraie. Je lui ai donné 21 mois de courrier (43060 messages, soit environ 300 MiB, comprenant 5% de spam).
40839 courriels non-spam 2231 courriels spam (5%) ----- 43060 courriels (plus de 300 MiB) 17,6MiB goodlist.db (base de données statistiques sur les courriers légitimes) 3,0MiB spamlist.db (base de données statistiques sur le spam)
Vingt-deux jours plus tard, 90 spams sont passés à travers le filtre (faux-négatifs, il suffit de le signaler à Bogofilter pour corriger le tir pour la prochaine fois)
559 spams supplémentaires (19%)
90 faux-négatifs, ratés par Bogofilter
469 bien classés
49 virus/ver/cheval de Troie/etc (1,7%)
2327 courriels légitimes (79%)
0 faux-positifs
2327 bien classés
----
2935 courriels
19,0MiB goodlist.db
3,9MiB spamlist.db
Le couple procmail+bogofilter me paraît satisfaisant : bon taux de réussite, 0 faux positifs.
Note : bilan quelques mois plus tard, 23,9MiB pour goodlist.db et 9.2MiB pour spamlist.db
Côté boulot, j'ai aussi opté pour un filtre bayésien, celui du module de courrier électronique de la suite Mozilla, qui me donne aussi satisfaction.
Quantités de pourriels reçus Jan 2003 : 262 Fév 2003 : 239 Mar 2003 : 402 Avr 2003 : 579 Mai 2003 : 867 Jun 2003 : 849 Jui 2003 : 1222
Note : des chiffres régulièrement actualisés sont disponibles sur une autre page.
Je parlais un peu plus tôt des virus qui diffusent les adresses de courrier et facilitent ainsi indirectement le spam. Ci-dessous, une petite analyse de cochoncetés arrivées dans ma boîte aux lettres sur 21 mois, faite avec quelques antivirus en ligne et l'antivirus libre ClamAV. Un total de 195 trucs inutiles (mais variés), soit à peu près 0,5% de mon courrier électronique sur cette période. C'est peu en nombre, mais ça représente quand même 19 MiB de détritus ! On notera que tous ces virus visent le même système d'exploitation... Un monopole c'est aussi une grosse faiblesse pour l'écosystème des logiciels.
| Nom du virus/ver/cheval de Troie/etc (et alias) | Nombre |
|---|---|
| rebut (messages désinfectés, alertes d'antivirus, etc) | 23 |
| IFrameExec | 1 |
| I-Worm.Avron.c (W32/Avril, Win32/Naith, W32/Lirva) | 2 |
| I-Worm.Gibe.b (Win32/Gibe, W32/Gibe) | 5 |
| I-Worm.Klez.damaged (Win32.Klez, W32/Klez) | 8 |
| I-Worm.Klez.e (Win32.Klez, W32/Klez) | 2 |
| I-Worm.Klez.h (Win32.Klez, W32/Klez) | 33 |
| I-Worm.Lentin.g (W32/Lentin, Valentin(e)) | 25 |
| I-Worm.Lentin.i (W32/Lentin, Valentin(e)) | 9 |
| I-Worm.Sircam.c (W32/Sircam) | 1 |
| I-Worm.Sobig.a (W32/Sobig) | 25 |
| I-Worm.Sobig.b (W32/Sobig) | 32 |
| I-Worm.Sobig.c (W32/Sobig) | 3 |
| I-Worm.Tanatos (W32.Bugbear) | 2 |
| I-Worm.Tanatos.b (W32.Bugbear) | 3 |
| TrojanDropper.VBS.Inor | 1 |
| Win32.FunLove.4070 | 20 |
Note : des chiffres régulièrement actualisés sont disponibles sur une autre page.
On notera que sont absentes les diverses activités des vers qui ont frappés à la porte de mon ordinateur (CodeRed, Nimda, MS-SQL, etc), puisque ne sont présentés que ceux arrivés dans ma boîte aux lettres.
Quasiment tous ces virus ont été attrapés par une bête règle de filtrage de courrier procmail (reconnaissance d'un en-tête PE codé en BASE64).
#BEGIN virus :0 B: * ^TVqQAA trash/virus/. #END virus
De bons points de départ sur les virus si vous êtes intéressés, la FAQ du forum fr.comp.securite.virus et des suggestions pour vous aider à vous défendre contre les virus, les vers, les chevaux de Troie et d'autres programmes malveillants.
Côté logiciels libres, on notera que par défaut les configurations sont plus sécurisées (pas d'exécution automatique de tout ce qui arrive dans votre boîte aux lettres, demandes de confirmation, etc). Des liens vers des antivirus en logiciel libre Clam AV (GPL2) et Open Antivirus.
Je passe sur les virus, j'en ai parlé précédemment. Restent les failles de sécurité dans les logiciels en général, et les diverses attaques qui peuvent survenir. Le problème avec les failles n'est pas tellement qu'elles existent (il y a quasiment toujours des bogues dans les logiciels, et certains conduisent à des failles de sécurité, même si développer en tenant compte de la sécurité limite les dégâts) mais bien que certains éditeurs irresponsables laissent des failles sans correction, et que des utilisateurs irresponsables et/ou mal informés n'appliquent pas les correctifs (d'où les incessantes visites des vers Code Red et Nimda bien des mois après la sortie des correctifs).
À tout éditeur en situation monopolistique tout honneur, Microsoft et les 18 vulnérabilités connues et non corrigées (certaines depuis 3 ans...) sur Internet Explorer (au 10 juin 2003), ou la page de Guninski sur les failles des navigateurs. Citons aussi leur politique déplorable avec son service de mise à jour Windows Update (site non conforme au passage) : son utilisation nécessite l'acception d'un contrat supplémentaire pour l'utilisateur (pour corriger un vice caché, on croit rêver), qui porte notamment atteinte à la liberté d'expression en interdisant tout commentaire sur la plateforme .Net sans autorisation... À comparer avec les équipes sécurité des distributions GNU/Linux ou les développeurs de logiciels libres qui fournissent de correctifs (eux) bien plus rapidement (par exemple Mozilla pour comparer des produits comparables).
Les utilisateurs qui cliquent partout sans réfléchir sont aussi à blâmer. Ce sont en général les mêmes qui seront infectés par des virus, qui n'appliquent jamais les correctifs et dont les machines serviront de relais pour les prochaines attaques... Rappelons quand même que chacun est responsable de l'utilisation qui est faite de sa machine.
Et remercions aussi tous les petits délinquants du net, qui sont plus souvent de petits « scripts kiddies » [*] que vrais spécialistes de l'effraction numérique.
[*] Gamins ayant trouvé un nouveau jouet, qui ne comprennent pas comment il marche (ils arrivent même à s'autoinfecter...) et friment avec leurs potes en annonçant le nombre de leurs victimes)
Pour résumer, du côté des logiciels libres, la sécurité est prise plus au sérieux : les failles découvertes sont annoncées et corrigées, et rapidement, les correctifs sont disponibles facilement (outils de mise à jour automatiques fournis dans les distributions).
Quelques pensées en vrac pour ceux oubliés précédemment :
La reproduction exacte et la distribution intégrale de cet article est permise sur n'importe quel support d'archivage, pourvu que cette notice soit préservée.
Pour me contacter ou avoir des informations, envoyez-moi un message à bsibaud@april.org.