Le charme discret du “Web 2.0″ et des réseaux sociaux
Lundi 29 mars2010
Merci à Neal Greenfield de m’avoir signalé ce cartoon.
Vous pouvez en trouver d’autres directement sur HUBSPOT
Sylvain Hirsch
Articles avec le tag ‘Twitter’
Chine : ça ne va Baidu tout !
Mercredi 20 janvier2010Le 12 janvier dernier, le moteur de recherche utilisé par plus de 60% des internautes chinois, Baidu, a été piraté. Ainsi, pendant quelques heures, le nom de domaine baidu.com ne pointait plus vers le serveur de la société chinoise (adresse IP 220.181.6.81 ), mais vers un serveur iranien (adresse IP 188.95.49.6), une opération de reverse DNS nous montre que ce serveur héberge également de nombreux sites proposant des logiciels et autres produits culturels contrefaits.
Ainsi, pendant quelques heures, tout internaute se connectant au site www.baidu.com ne voyait plus la page d’accueil habituelle, mais la page ci-dessous :
Vue du site Baidu.com lors de l'attaque
Comment cette « Iranian Cyber Army », déjà célèbre pour avoir fait subir le même sort à twitter.com le mois dernier, s’y est-elle prise ?
En utilisant une méthode connue sous le nom de DNS hijacking (détournement de DNS), laquelle comporte l’immense avantage de ne pas nécessiter beaucoup de connaissances en informatique ou de matériel perfectionné.
En effet ce type d’attaque utilise la faille que comporte tout système informatique, aussi sécurisé et perfectionné soit il : le facteur humain.
Les pirates ont, en fait, envoyé un email qui paraissait légitime à un employé de Baidu de la part de ce qui paraissait être leur registrar afin de récupérer les identifiants et mots de passe de l’interface de gestion des noms de domaines de Baidu chez ce registrar (REGISTER.COM).
Une fois en possession de ceux-ci, les pirates ont tout simplement modifié les serveurs DNS utilisés par ce nom de domaine afin de mettre les leurs (hébergés par Yahoo) à la place, comme le montre les captures d’écran ci-dessous :
Whois de baidu.com le jour de l'attaque (à gauche). Et Whois actuel (à droite).
L’attaque est invisible et indolore, du moins le temps de la propagation des DNS. Ce qui explique que ni Baidu, ni Register.com n’aient réagi à temps. Le seul moyen de s’en apercevoir, aurai été que le bureau d’enregistrement, Register.com, mette en place un contrôle systématique de toute modification apportée au nom de domaine Baidu.com.
Un autre avantage (ou inconvénient selon le point de vue) de ce type d’attaque, est que même lorsqu’il est mis fin au DNS hijacking, de nombreux utilisateurs continuent d’en souffrir pendant quelques heures, le temps que la propagation des nouvelles zone files se fasse.
Suite à cette attaque, le Chief Technology Officer, numéro deux dans l’organigramme de Baidu, ainsi que le Chief Operating Officer ont tout deux démissionnés pour « raisons personnelles ».
Aujourd’hui, Baidu a décidé de porter l’affaire devant les tribunaux américains, accusant la société REGISTER.COM de négligence impardonnable. En effet, selon Baidu, REGISTER.COM aurait du mettre en place des mesures de sécurités afin d’empêcher que ce type d’attaque ai lieu. A noter que dorénavant, ces mesures ont été prises. Le whois actuel affichant le status « server update prohibited ».
Se pose alors la question de la responsabilité, que devront trancher les tribunaux américains : dans quelle mesure un bureau d’enregistrement (registrar), est il responsable de la gestion des noms de domaines ? N’est-il que le mandataire, à la manière d’un bureau d’enregistrement de marque, du titulaire du nom de domaine ? Ou bien est il considéré comme un hébergeur, et doit, à se titre, garantir la pérennité et la sécurité des services qu’il propose ? Ce sera à la Cour Fédérale de l’état de New York de trancher cette question. Soyez assurés que la décision, quel qu’elle soit, trouvera quelques échos en ces lieux. Mais si les juges New-Yorkais tranchent en faveur de Baidu, cela obligerait surement tous les registrars américains à mettre en place de, couteuses, procédures de contrôle. Coût qui sera alors probablement répercuté sur le coût des noms de domaines.
Quoi qu’il en soit, une leçon est à tirer de cette mésaventure : Il est en effet édifiant de voir à quel point une multinationale spécialisée dans le secteur des nouvelles technologies est vulnérable. En fait, au jour d’aujourd’hui, l’immense majorité des sociétés de premier plan sont vulnérables à ce genre d’attaque. Et si aujourd’hui les pirates, se contentent de rediriger le trafic des domaines ainsi détournés vers une page célébrant leurs « exploits », rien ne les empêche, demain, de rediriger le trafic d’utilisateurs vers des sites malveillants utilisant des méthodes avancés de phishing ou de cross scripting. Et là, l’attaque pourrait être extrêmement dommageable pour les utilisateurs des services de la société visée.
Il existe deux contre-mesures simples pour éviter ce genre d’attaque :
Tout d’abord, et c’est l’évidence même, restreindre au maximum le nombre de personnes ayant connaissance des identifiants permettant de faire une quelconque modification. Et sensibiliser ceux-ci sur les méthodes utilisées par les pirates pour essayer de s’emparer desdits identifiants.
Une autre mesure est bien sûr de choisir avec soin son registrar : Il est plus facile d’opérer à un détournement de DNS lorsque le nom de domaine est géré par une grosse société ne pouvant se permettre de contrôler une par une chaque modification de DNS. Evidemment, passer par les services d’une société effectuant systématiquement de telles vérifications, comme le fait IP Twins, a un coût. Reste à voir pour les grandes sociétés si celui-ci n’est pas grandement inférieur au cout d’une attaque de type DNS hijacking.
Adrien PALUMBO
Web 2.0: It’s Time to Embrace a New Beast
Jeudi 5 mars2009Nos amis de NameSmash ont récemment publié un très bel article de Stacey King sur un de ses (nombreux) sujets d’expertise et de prédilection, le Web 2.0.
Souhaitant vous faire partager mon intérêt pour la chose, je ne résiste pas et, avec l’autorisation de NameSmash, reproduit cet article ci-dessous.
L’original, vous le trouverez là .
Bon voyage en Web 2.0
Sylvain Hirsch
Posted March 3rd, 2009
“Domain names, auctions, replica sites, keyword advertising, email”…to an in-house counsel team dealing with counterfeits on the Web, these terms often are read instead as “cybersquatting, distribution of counterfeits, counterfeit site, improper use of trademarks, spam.”
All of these Internet and Web platforms compete for our time and resources as in-house counsel and can make one believe that there is little on the Web that is not primarily used to help defraud or scam consumers and brands alike. While we know this is not true - that the vast majority of uses are legitimate (okay, excepting replica sites, where the reverse is generally true) - it is easy nonetheless to become jaded and distrustful.
While I would love to say that there is an easy way to remove that jaded feeling and see the rest of the Web for what it is, I am instead going to introduce a new term to the list for many in-house counsel: Web 2.0. I say the term is new because many in-house counsel do not look at Web 2.0 – which has been around for as long as the World Wide Web in one way or another – and think that there is much in the way of counterfeits represented in this environment. And this is exactly what the counterfeiters and fraudsters are hoping for.
We all know it took many companies a lot of time to realize the opportunities offered by the Web and its role as a legitimate platform for commerce (and believe it or not there are some CEOs and brand representatives out there that are still not fully convinced). But while companies went through this process, cybersquatters, fraudsters, and counterfeiters were well ahead of them and developed e-commerce platforms. They understood the power of the Internet and the Web to reach out to hundreds of thousands and, now, millions of people on a daily basis. And we have been trying to catch up ever since.
The entire business plan of these fraudsters is to distribute their counterfeit and fraudulent goods through as many platforms as possible. And they have taken advantage, and will continue to take advantage, of any new platforms that connect them with potential customers – particularly where they have control of the content. As a result it is imperative that brands at least have a working knowledge of what these platforms are so that they can monitor and process what is going on in the field and perhaps prioritize where to spend their resources.
By Web 2.0 I am referring to the myriad of sites and platforms that are based around the concept of user generated content and/or user interaction with content (versus purely static sites). Some examples of categories of Web 2.0 platforms that consumers are more familiar with – and thus those that counterfeiters advertise and sell their goods on – are as follows:
• Marketplaces: marketplaces are similar to a giant online classified advertising site or community board. Examples: Craig’s List; TradeKey (B2B)
• Image Networks: a network made up of user generated content in the form of photographs or video (generally); also uses folksonomy methods of tagging. Examples: YouTube; Flickr
• Social Networks: a network of users who also act as the content generators. Social networks use user-generated content to network people all over the globe. Examples: Facebook; MySpace
• Blogs: online journals or commentary sites providing news and/or updates; can be written or in visual format. Examples: NameSmash; Perezhilton.com
• Folksonomies: a site that delivers content on the basis of collective categorizing (tagging). It is analogous to a user generated search engine that crawls tags versus site content. Examples: Flickr; Delicious
• Wikis: a site that allows anyone with access to it to contribute to or modify content found on the Website. Examples: Wikipedia; Scholarpedia
• Virtual Worlds: online worlds where users navigate through avatars; users often can create items in-world and sell them to others for money or trade. Examples: Second Life; IMVU
In all of the platforms listed above (and many, though not all, of the examples) counterfeits can and have been found. And the audience they have access to is huge: 150 million people worldwide actively use Facebook; Wikipedia had 684 million visitors to its site in 2008; Second Life currently boasts 16,778,029 users (of which 522,526 have logged in within the last seven days).
And it does not stop here. Counterfeiters and fraudsters have started to learn how to take advantage of certain convergence platforms (for example, applications combining mobile, Web tools and traditional bricks and mortar) and optimize their sites and products to reach an ever-growing audience.
It is difficult to really understand all the different sites out there. It is also important to start using these tools and learning how users navigate them. Understand how to navigate within these sites, how to search, and how to approach a particular community (a typical cease and desist letter may sometimes result in more harm than good if an otherwise legitimate community feels attacked).
Visit sites like Facebook and Twitter and make sure that third parties are not using your brand names as user IDs or running a page that appears to be coming from the brand. Find other Web 2.0 sites by using search engines such as Go2Web20.net. And take advantage of the take down mechanisms offered by many of these sites and, where possible, work with these sites to make such mechanisms more effective.
If brand owners turn a blind eye on Web 2.0 sites, by the time they are a day-to-day part of our ecommerce experience we will once again be left playing catch up with the crooks – who likely will have already moved on to the next “best” thing.
[Stacey King is a US lawyer practicing in London for one of the world’s largest luxury goods companies. She focuses on IP, data protection, and emerging technologies. ]