Sécurité : Skyfall et Solace ne sont pas des failles, mais une « expérience sociale »

Nicolas Furno |

C’est une bonne nouvelle, en quelque sorte. Skyfall et Solace, les deux nouvelles failles de sécurité que nous évoquions il y a quelques jours ne sont en fait pas des failles. Le créateur du site qui annonçait leur existence l’a mis à jour pour dévoiler la supercherie et préciser qu’il a voulu mener une « expérience sociale ».

💥, plus de faille. (Image extraite de Spectre) Cliquer pour agrandir
💥, plus de faille. (Image extraite de Spectre) Cliquer pour agrandir

Pour résumer, Rob Leadbeater considère que les failles Spectre et Meltdown qui sont, elles, bien réelles, n’auraient pas eu autant d’attention sans nom, ni logo. Et que n’importe qui pouvait inventer une faille de sécurité crédible en choisissant un nom cool et un logo. Il a opté pour « Skyfall » et « Solace » pour rester dans l’univers de James Bond (Skyfall et Quantum of Solace sont des films récents dans la saga) qui était utilisé pour les vraies failles (Spectre est le dernier film de la saga, « Meltdown » est le nom du dernier niveau du jeu The World is not Enough).

Pour donner du poids à son argument, l'homme, ingénieur chez Atos, évoque aussi une série de failles de sécurité corrigées récemment par Oracle et qui n’ont reçu aucune attention de la part des médias. Ce n’est pas faux, mais on doit aussi souligner que cela n’a absolument rien à voir. Les deux failles dénichées dans les processeurs touchent quasiment tous les ordinateurs actuellement en activité et, surtout pour Meltdown, elles peuvent très facilement être exploitées.

L’attention du grand public a certainement été plus facilement attirée par les noms et logos des deux failles, c’est vrai. Néanmoins, ce n’est pas la seule raison et ce n’est même pas la plus importante. Par ailleurs, on ne peut pas reprocher aux chercheurs en sécurité qui ont trouvé les failles de les avoir associées à un nom accrocheur. Ce sont des failles très sérieuses et il fallait précisément attirer l’attention du grand public : tout le monde est concerné, après tout.

Ce n’est certainement pas une raison pour profiter de ces vraies failles pour en créer de fausses et diminuer l’impact des menaces sérieuses. Cela étant, nous sommes aussi responsables de leur diffusion en publiant un article sans vérifier au préalable s’il s’agissait d’une information fiable et à ce titre, nous vous présentons nos excuses.

avatar marc_os | 

Le site qui annonçait Skyfall et Solace a bien été mis à jour :
Sa page d'accueil est une page vide !

avatar Yohmi | 

Très intelligent. Très très intelligent.
Une expérience sociale. Et donc, il compte publier sa thèse dans une revue scientifique prochainement ? Ça doit l’avoir mené à des conclusions fascinantes, il y a de quoi être fier.
Je suis moi-même sur le point de faire une expérience sociale, je vais faire une fausse alerte à la bombe dans un aéroport. Ça va être fascinant, intelligent.
Le RER a du retard ? C’est moi, je fais régulièrement des expériences sociales en abandonnant un sac à dos vide.
Parce que je suis vraiment trop intelligent.

Si tu n'envoies pas ce message à 20 de tes amis, ton compte MacG sera fermé.

avatar Jeamy | 

@Yohmi

Une autre expérience sociale
IOS et OS ne comportent pas de bugs, ce sont les users qui ont de mauvaises habitudes et qui voient le mal partout

avatar Bigdidou | 

@Yohmi

On ne saurait mieux résumer.

avatar Shralldam | 

@Yohmi

"Si tu n'envoies pas ce message à 20 de tes amis, ton compte MacG sera fermé."

Mais c'est très bien ça ! Ça fera un peu de tri (franchement, ça ferait pas de mal) :-)

(Sinon, excellent commentaire)

avatar C1rc3@0rc | 

@Yohmi

«Très intelligent. Très très intelligent.»

Si on remet son experience dans le contexte actuel, oui c'est plutot malin.
Il demontre l'incurie des media (blog, vlog, sites, journeaux,...) qui -loin du travail du journalisme d'investigation - se jettent et relayent une "information" qu'ils sont conditionnés a relayer... par le marketing. C'est trop tentant, ça joue sur les emotions primaire, c'est emplie des caracteristiques de la propagande marketing: ça fait de l'audience, du clic...

Il exploite la meme dynamique que les sites de phishing, mais lui a un objectif qui n'est pas scelerat, c'est de réveiller les gens sur leurs crédulités et leurs cooptation pour un système absurde et dangereux.

On vit dans un monde ou l'on est submergé de données. Ces données sont emises et conduites par l'industrie commerciale et du divertissement. Le marketing de vente nomme cela "information" alors que c'est soit du produit de divertissement, soit de la propagande pour vendre un produit (commercial, politique, ideologique...)

On a dans la démonstration faite du mecanisme qui anime les sites de fakenews, les sites propagandistes (faschosphere, extremistes de tous bords, integristes religieux, fanatiques, conspirationistes), les blog/vlog/sites de marketing virals et infomercial, les "journeaux" d'information... commerciaux...
Les deux mamelles sont la rumeurs et le novatisme. On joue sur la peur et la gregarité, en agitant que si on est frustré/effraye de ce que l'on a c'est parce que c'est hasbeen, ce qui vient sera mieux parce que different, nouveau...

Est ce que les media pouvaient resister: non, ils sont conditionnés pour relayer ces flux, de plus en plus vite. Et meme si un journaliste est dérangé de publier cela, la pression de la subordination financiere est la plus forte: le scandale ne va pas durer, on est dans l'ephemere, le monde du twitt, du placardage facebookeux, dans cette dimension négligente et superficielle: ça va pas durer, si c'est pas affiché meme pas sec, ça va louper des points d'audiences, des clics...

Qu'est ce que cela montre de plus? Qu'il faut prendre son temps (heresie, perte de temps) pour analyser et comprendre (prise de tete) les causes et conséquences liés a la situation ( complication inutile, verbiage soporifique) et aller chercher plus loin que l'apparence immediate (supplice pour le twitteux de base, la facebookeux stakanoviste).
Sinon, le vrai probleme et les vraies opportunités restent cachées...

Je cite ce que j'ecrivai en commentaire de la news sur ces "nouvelles failles" «il faut aussi se mefier des "infos". Deja beaucoup d'arnarques surfant sur Meltdown et Spectre poussent les gens non informés sur des vraies arnaques et site de phishing.
Il y a plein de petits malins qui exploitent la peur et l'ignorance et l'episode de la rupture d'embargo sur Spectre a encore ouvert des vannes aux arnaques.
Pour l'instant Skyfall c'est cense etre un exploit de spectre... mais tant que les details n'auront pas ete publies et expertises... mefiance.»

Je citerai aussi Elon Musk:«en 1969 on etait capable d'envoyer des hommes sur la Lune... En 1969! pratiquement 50 plus tard on en est on? On considere le progres technologique comme acquis, mais si on ne travaille pas tout les jours a le maintenir et le pousser on revient en arriere»

Il en va de meme pour ce qui est du progres social, de la democratie, de la citoyennete, du pouvoir de consommation, de l'economie de marche, du droit a la connaissance et l'information...
Il faut bien comprendre que derriere Meltdown est Spectre, il y a les enjeux massifs de notre civilisation qui est celles de la connaissance et de l'information.

Un monopole fetide s'est developpé, a tout envahi, non parce que technologiquement superieur, mais parce qu'il a violé les regles du marché et des nations. Aujourd'hui ce produit au coeur de l'economie numerique va faire regresser de 10 ou 15 ans notre fonctionnement, et va entraîner dans son sillage une masse d'escrocs et de scelerats.
On fait quoi pour que ça ne se reproduise pas? C'est ça la question de fond.

avatar Bigdidou | 

@C1rc3@0rc
Les fake news, tout ce qui en découle et que tu décris, oui, c’est un énorme problème.
Tu as raison sur tout ce que tu dis, sauf qu’on connait déjà tout ça.
Comme les pompiers pyromanes, ce type ne nous apprend rien et ne fait qu’en rajouter à la confusion déjà grande.
C’est au mieux très maladroit.

avatar Crkm | 

Un petit individu minable en soif de notoriété, en somme.

avatar Bigdidou | 

« Le créateur du site qui annonçait leur existence l’a mis à jour pour dévoiler la supercherie et préciser qu’il a voulu mener une « expérience sociale ».

Ce site est donc à blacklister définitivement.
Edit : oui, en fait, c’était même pas un site d’info, si je comprends bien, et après avoir suivi le lien. Bref...

avatar buluhab | 

Je suggère à certains commentateurs de s'acheter un sens de l'humour

C'est les soldes et ça les aidera à prendre ce genre de blagues avec plus de légèreté (c'est bon pour le cœur il paraît) 😄

avatar pim | 

Sympa la photo montrant le « finish » du fameux 007 dont il est question : Bond avec une chemise blanche impeccablement repassée, et l'héroïne en petit haut de lingerie fine. J'ai toujours adoré ces scènes totalement paradoxales !

avatar Dodo8 | 

Les actionnaires d’intel ont dû être contents. Manque plus qu’à découvrir que cet « expert » a shorté une grosse quantité d’actions 😎

avatar Grug | 

C’est une expérience sur le marketing et l’information.
Une piqure, de rappel pour certains, un avertissement pour d’autres. Évidemment ça n’a un sens que si c’est bien fait, au bon moment…
Et forcément il n’est jamais agréable de se faire piéger, mais c’est utile.

Quand le sage montre la lune l’imbécile regarde le doigt.
Ce n’est pas une critique, juste un adage à ne pas perdre de vue. ;)

avatar chmimps | 

Bravo à Nicolas pour avoir eu le courage de présenter des excuses. Relayer des fake news par erreur peut arriver, mais se rendre compte de son erreur et s’en excuser est bien rare dans le monde journalistique. Chapeau bas!

CONNEXION UTILISATEUR