Les claviers : goulots d’étranglement de la sécurité ?

Sorry, this entry is only available in French. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.

Des chercheurs du laboratoire de sécurité et cryptographie de Lausanne ont mis en évidence la vulnérabilité de nos chers claviers à de “simples” détecteurs de radiations électromagnétiques.
Cela fait froid dans le dos. J’avais lu il y a quelques années un article sur les récepteurs à ondes courtes qui si je me souviens bien permettaient notamment de récupérer à distance l’affichage d’écrans cathodiques (pour regarder la télévision de vos voisins par exemple :-), là cela va un peu plus loin puisque les claviers sont notablement utilisés pour saisir nombre d’informations sensibles. Bien évidemment, la prouesse ici est qu’il s’agit de claviers filaires (c’est tout de suite plus facile pour les claviers sans-fils).

Je crois que la solution est de trouver un domaine de 40 hectares sympa où vous pourrez construire une cage de Faraday où vous calfreutrer.

Via l’électron libre.

The underestimated responsibility of rating agencies in the subprime mortgage crisis

I have just finished to read an excellent article from NYT about the subprime crisis, which underlines the intricacy of the relationships between rating agencies like Moody’s or S&P, and investment banks. It really looks like they played a very funny game together, and now the game is over. It will be hard however to tell who is the looser, since no value was created nor destroyed. Here are the best parts, but I strongly advise you to read the article entirely, to be able to negociate your next loan with a better advantage:

In 1996, Thomas Friedman, the New York Times columnist, remarked on “The NewsHour With Jim Lehrer” that there were two superpowers in the world — the United States and Moody’s bond-rating service — and it was sometimes unclear which was more powerful.


In the frenetic, deal-happy climate of 2006, the Moody’s analyst had only a single day to process the credit data from the bank. The analyst wasn’t evaluating the mortgages but, rather, the bonds issued by the investment vehicle created to house them. A so-called special-purpose vehicle — a ghost corporation with no people or furniture and no assets either until the deal was struck — would purchase the mortgages. Thereafter, monthly payments from the homeowners would go to the S.P.V. The S.P.V. would finance itself by selling bonds. The question for Moody’s was whether the inflow of mortgage checks would cover the outgoing payments to bondholders. From the investment bank’s point of view, the key to the deal was obtaining a triple-A rating — without which the deal wouldn’t be profitable. That a vehicle backed by subprime mortgages could borrow at triple-A rates seems like a trick of finance. “People say, ‘How can you create triple-A out of B-rated paper?’ ” notes Arturo Cifuentes, a former Moody’s credit analyst who now designs credit instruments. It may seem like a scam, but it’s not.


Structured finance, of which this deal is typical, is both clever and useful; in the housing industry it has greatly expanded the pool of credit. But in extreme conditions, it can fail.


The challenge to investment banks is to design securities that just meet the rating agencies’ tests. Risky mortgages serve their purpose; since the interest rate on them is higher, more money comes into the pool and is available for paying bond interest. But if the mortgages are too risky, Moody’s will object. Banks are adroit at working the system, and pools like Subprime XYZ are intentionally designed to include a layer of Baa bonds, or those just over the border. “Every agency has a model available to bankers that allows them to run the numbers until they get something they like and send it in for a rating,” a former Moody’s expert in securitization says. In other words, banks were gaming the system; according to Chris Flanagan, the subprime analyst at JPMorgan, “Gaming is the whole thing.”


Mason, of Drexel University, compared default rates for corporate bonds rated Baa with those of similarly rated collateralized debt obligations until 2005 (before the bubble burst). Mason found that the C.D.O.’s defaulted eight times as often. One interpretation of the data is that Moody’s was far less discerning when the client was a Wall Street securitizer.


From 2002 to 2006, Moody’s profits nearly tripled, mostly thanks to the high margins the agencies charged in structured finance. In 2006, Moody’s reported net income of $750 million. Raymond W. McDaniel Jr., its chief executive, gloated in the annual report for that year, “I firmly believe that Moody’s business stands on the ‘right side of history’ in terms of the alignment of our role and function with advancements in global capital markets.”


Moody’s monitors began to make inquiries with the lender and were shocked by what they heard. Some properties lacked sod or landscaping, and keys remained in the mailbox; the buyers had never moved in. The implication was that people had bought homes on spec: as the housing market turned, the buyers walked.


“It seems there was a shift in mentality; people are treating homes as investment assets.” Indeed. And homeowners without equity were making what economists call a rational choice; they were abandoning properties rather than make payments on them.


“We’re structure experts,” Yuri Yoshizawa, the head of Moody’s’ derivative group, explained. “We’re not underlying-asset experts.” They were checking the math, not the mortgages.


The agencies have blamed the large incidence of fraud, but then they could have demanded verification of the mortgage data or refused to rate securities where the data were not provided. That was, after all, their mandate.


Moody’s itself favors doing away with the official designation, and it, like S.&P., embraces the idea that investors should not “rely” on ratings for buy-and-sell decisions.

By the way, a new phenomenon is borrower’s attitude toward their beloved mortgaged house or car: some start burning them to have their insurance take over! Click here to read more.

“Last week, a Sacramento-area couple were arrested on allegations that they burned their Jeep and drove their Nissan pickup into a river, then filed fraudulent insurance claims. According to investigators, the wife admitted she was trying to escape her $600 monthly car payment. […] The sub-prime crisis began to hit in late 2006. There’s been an increasing number of cases since then,” said James Quiggle of the nonprofit Coalition Against Insurance Fraud, adding that he has about 20 such cases currently on file. “Will it explode as more mortgages are reset? That’s the question. […] The more serious problem, because of the costs involved, are home fires. Classic signs of an owner-complicit arson include removal of pets and expensive electronics before the blaze. But lately, investigators say their first step is a call to the bank to ask about the status of the mortgage.” Los Angeles Times

Monoxyde de dihydrogène et bioénergie : le nouvel eldorado du catastrophisme écologiste ?

C’est une étude particulièrement intéressante que vient de publier le Virginia Water Resources group. Lorsque les gens se seront lassés du CO2, ce sera peut-être bientôt au tour du très néfaste monoxyde de dihydrogène d’être enfin, et légitimement, sur la sellette. Il peut être utile de rappeler certains de ses effets néfastes :

  • Des décès dûs à l’inhalation accidentelle, même en faibles quantités.
  • L’exposition prolongée à sa forme solide entraîne des dommages graves des tissus.
  • L’ingestion en quantités excessives donne lieu à un certain nombre d’effets secondaires désagréables, bien que ne mettant pas habituellement en cause le pronostic vital.
  • Le monoxyde de dihydrogène est un constituant majeur des pluies acides.
  • Sous forme gazeuse, il peut causer des brûlures graves.
  • Il contribue à l’érosion des sols.
  • Il entraîne la corrosion et l’oxydation de nombreux métaux.
  • La contamination de dispositifs électriques entraîne souvent des court-circuits.
  • Son exposition diminution l’efficacité des freins automobiles.
  • A été trouvé dans des biopsies de tumeurs et lésions pré-cancéreuses.
  • Est souvent associé aux cyclones mortels survenant notamment dans le centre des États-Unis.
  • Des variations de température du monoxyde de dihydrogène sont soupçonnées de contribuer au phénomène climatique El Niño.

Pour plus de détails sur usages du monoxyde de dihydrogène, référez-vous au site DHMO.org, un peu extrémiste sur les bords, mais très objectif, ce qui est assez rare pour un site écologiste.

Selon l’étude du VWRG, le monoxyde de dihydrogène est cette fois-ci accusé d’être abondamment utilisé lors de la production de biocarburants. A l’état gazeux, c’est près de 1 293 033 600 litres de cette substance qui sont consommés pour produire l’énergie utile à maintenir les lumières allumées dans seulement 1000 foyers américains moyens (1000 kWh). Là où une énergie propre comme le gas naturel, n’en use que 38 litres à l’état liquide. La prochaine fois que vous allumerez une ampoule de 60 W, pensez qu’en 12 heures, ce sera ainsi en moyenne près de 80 664 litres de monoxyde de dihydrogène à l’état gazeux qui auront été consommés.

Vous trouverez plus de détails sur les conclusions troublantes de cette étude dans cet excellent article de Spectrum.

A l’heure où la croissance des biocarburant est plus rapide que celle des OGM, et où l’accroissemment de la demande en bioéthanol et biodiesel provoque une hausse des prix des matières premières alimentaires sans précédent dans l’histoire, on est en droit de se demander pourquoi nos gouvernements et les médias s’attachent à masquer ce pan essentiel d’une réalité moins agréable que celle des fantasmes écologiquement corrects.

Croissance des biocarburants dans le monde

Source : Panorama 2007 de l’IFP “Quel avenir et quelle place pour les biocarburants ?”

Le pharming, un business prometteur ?

Je suis tombé sur cet article datant d’il y a plus d’un an. Apparemment, personne depuis semble avoir pris la menace au sérieux. C’est pourtant là une excellente opportunité de doper ses revenus d’affiliation en ajoutant automatiquement un trackingID à chaque URL transitant par le routeur. Et comme ce type d’appareil n’est pas équipé d’antivirus, une fois hacké, c’est pour longtemps ! Pour ceux qui veulent aller plus loin, ils peuvent bien sûr en profiter pour rediriger l’internaute sur des sites illégitimes (pas bien, mais ultralucratif et durable car très difficilement détectable par les anti-phishing), ou sur des sites parodiques.

Quelqu’un souhaite-t-il se joindre à moi pour mettre au point un vrai proof of concept (gentil) qui fasse bouger nos amis les fabricants de routeurs (qui continuent aussi trop souvent de proposer le cryptage WEP par défaut) ?

Brève Sécurité, Clubic – 20 février 2007

Connaissez-vous le « pharming », cette technique qui consiste à rediriger le trafic d’un site Internet honnête vers un autre site, frauduleux celui-ci, dans le but de vous inciter à y entrer vos informations personnelles ? Les pirates adeptes de cette méthode qui n’est pas sans rappeler le phishing (voir le Dossier sécurité : Spam et Phishing), ou hameçonnage en français, pourraient bientôt mettre en place de nouveaux dispositifs, bien plus insidieux, pour parvenir à leurs fins.

L’éditeur en sécurité Symantec et l’Indiana University School of Informatics ont en effet récemment lancé un avertissement relatif à une nouvelle tactique baptisée « drive-by pharming ». Celle-ci consiste à amener l’internaute à télécharger un code malicieux JavaScript qui se chargera de modifier les paramètres de son routeur domestique afin de l’entraîner à son insu vers des sites frauduleux. En manipulant les paramètres DNS (Domain Name Server) du routeur, un pirate pourrait en effet tout à fait faire qu’une adresse valide conduise l’internaute vers un site frauduleux sans que ce dernier ait l’impression d’avoir été abusé.

L’administration des Routeurs domestiques passe aujourd’hui le plus souvent par une interface Web, généralement accessible au moyen d’une adresse Web générique ou d’une adresse IP permanente, telle que Pour parvenir à manipuler les paramètres du routeur, il est donc nécessaire de parvenir à accéder à cette administration. Or, il se trouve que la plupart des routeurs sont acessibles par défaut à l’aide d’un couple identifiant / mot de passe générique (exemple : login & password), que les utilisateurs oublient souvent de modifier. Pour prendre le contrôle d’un routeur, il suffit donc de placer sur la machine de l’internaute un programme capable de passer en revue les adresses d’administration les plus courantes, puis de tenter l’identification à l’aide d’une batterie de couples login / mot de passe courants.

Très simple à mettre en place, ce type d’attaque pourrait potentiellement toucher des millions d’utilisateurs de routeurs autour du monde. « Les attaques de type drive-by pharming sont si simples à lancer qu’il est vital que les consommateurs protègent de façon adéquate leurs routeurs et points d’accès sans fil dès aujourd’hui », indique Oliver Friedrichs, directeur de la division Security Response chez Symantec. Bien que l’efficacité de ce procédé ne soit pour le moment démontrée que par la mise au point de proof of concept, le drive-by pharming pourrait se révéler si lucratif qu’il parait inimaginable que des pirates n’en viennent pas à l’exploiter.

Dès lors, nous ne saurions trop vous conseiller, comme le fait Symantec, de vérifier les paramètres de votre routeur, et de modifier l’identifiant et le mot de passe qui vous permettent d’accéder à son interface d’administration, afin que ceux-ci ne puissent être devinés trop simplement…