Archive pour 9 mars 2006

Les cadeaux, il faut parfois les demander

Jeudi 9 mars 2006

Dans la vie, il y a deux façons d’envisager les cadeaux : comme des actes qui doivent être spontanés ou comme des choses à demander qu’on vous fasse. Et inutile de vous révéler laquelle permet d’en recevoir le plus : les dictons comme “qui ne tente rien n’a rien” ou “il n’y a rien à perdre à demander quelque chose” le font mieux que moi.

Se retrouvant en possession de 100 timbres non usagés, un “average guy” américain s’est proposé d’écrire une lettre à autant de compagnies pour leur demander de lui envoyer quelque chose de gratuit : produit, échantillon, bon d’achat, n’importe quoi. Il consigne les résultats de son expérience (jusqu’ici 13 cadeaux pour environ 60$) sur le site web qu’il a ouvert pour l’occasion, et en profite pour faire quelques commentaires personnels.

On pourra sûrement arguer que l’idée n’est pas nouvelle et que d’autres personnes l’ont fait avant, mais la lecture du compte-rendu vaut tout de même le coup, ne serait-ce que pour certaines lettres. Car l’auteur a bien fait les choses : ce sont réellement 100 lettres personnalisées qu’il a écrites, certaines très directes :

“Dear Sir or Madam: I love traveling. Please send me a coupon for a free or discounted rental car. It will be good karma. Thank you in advance.”

…et d’autres plus amusantes :

“Dear Sir or Madam: I’m going to be honest with you. I am a poor slob who drives a bike. Not a motorcycle – a bicycle. Please send me a BMW keychain, so I can at least pretend to have some class when I’m around people. Thank you in advance.”

Bref, un bon petit site pour nous rappeler que dans la vie, la générosité est un trait de caractère qui a souvent besoin d’être titillé.

Hackez mon Mac !

Jeudi 9 mars 2006

Avant-hier, on apprenait qu’un mini-challenge avait été organisé par un possesseur d’un Mac Mini, le principe étant de s’ajuger les droits d’administration de la machine (mode “root”) et donc de pouvoir en modifier les fichiers.

La mise a l’épreuve n’a pas duré bien longtemps : quelques heures avant qu’un petit malin y parvienne, au bout d’environ 30 minutes de manipulations. Interviewé, le hacker nommé “gwerdna” a révélé avoir utilisé des failles pour l’instant non publiées du système Mac OS X, lesquelles seraient nombreuses selon lui.

Il convient néanmoins de tempérer l’événement. En effet, l’initiateur du concours était parti sur l’idée d’ouvrir un compte local pour tous les participants au concours. Chacun d’eux avait donc un accès direct à la machine, permettant de passer des commandes à distance (via l’internet) comme s’il était directement en face ou sur le même réseau local. Il s’agit donc de “indoor hacking” et non d’une réelle intrusion de l’extérieur : le hacker n’a eu qu’à faire ce que dans le jargon on appelle une escalade de droits afin d’accéder aux droits d’administration en partant de droits standards. On ne parle donc pas ici réellement de sécurité de la machine vis-à-vis de l’internet, mais plutôt de la sécurité à l’intérieur d’un groupe de travail, ce qui n’est pas du tout la même chose.

Afin d’illustrer la différence entre les deux notions, un autre internaute a lancé un concours rigoureusement équivalent, à ceci près que les participants ne disposaient pas de compte dès le départ. Le test a ainsi duré 38 heures, et aucune prise de contrôle n’a été ni constatée ni revendiquée, malgré le demi-million de requêtes via le web et les 4000 tentatives de connexion à distance via SSH (lignes de commande).

Voilà qui rétablit un peu l’équilibre. La presse en ligne spécialisée, elle, a fait largement écho au premier épisode de cette affaire, comme on pouvait s’y attendre. En effet, on a l’impression que depuis que le Mac est de retour sur le devant de la scène informatique grand public, jusqu’ici monopolisée par Microsoft, se croire à même de prétendre que le Mac est mal protégé devient branché… Une façon d’exorciser le mal chez les adeptes de Windows ?

Bien sûr, et comme le précisent également les organisateurs de ce second test, ceci ne prouve pas l’infaillibilité totale du système. D’ailleurs ce n’était pas son but, même si une machine grand public (un Mac Mini) en configuration standard a quand même bien tenu le coup face à une rafale d’attaques organisées. Ce qui est à retenir est qu’il faut toujours bien préciser les conditions dans lesquelles un test est mené, et ainsi quel type de sécurité est mise en jeu.