Here is the talk Bruce Sterling gave at Korea University last week about the Estonian Cyberwar.

In this eye-opening presentation, Bruce explains what happened to Estonia earlier this year when the country’s infrastructures got down following by a massive DDOS attack. He shares his theory that a Russian group of hackers called the Zhelatin gang might be behind the attacks, and were actually only flexing the muscles of the world’s largest and most powerful botnet.

Anybody who is involved in the infrastructure side of a large business should watch this. We’ve been warned.

Des courriels de hameçonnage (extorsion de données confidentielles en usant de la bonne foi des internautes) rédigés en allemand ont fait leur apparition. […]

Pour la première fois, des cas d’espionnage économique menés à l’aide d’Internet et ciblés contre des entreprises suisses ont été observés. Les attaques venaient d’Extrême-Orient. Les pirates exploitent toujours plus les failles de sécurité des applications, comme les programmes de traitement de texte ou les logiciels antivirus.

Lien

Cela devait arriver un jour ou l’autre… Méfiez-vous de vos emails!

Microsoft is again splitting IE and windows (after tying both things to get around antitrust laws, as in “don’t ask us to take internet explorer down because it would mean removing tons of features from our operating system”)…

Back in the mid-1990s, security experts warned Microsoft that integrating a Web browser deeply into Windows was a mistake. A decade and countless security vulnerabilities later, Microsoft is tacitly conceding the critics had it right. The new version of Internet Explorer to be released as part of the Vista version of Windows this fall […] loses much of the privileged relationship with Windows that the Microsoft browser has long enjoyed

Link

but still gives a few security advices to competitors, more specifically to Apple:

As crazy as it sounds, a member of Microsoft’s security team has blasted Apple for failing to coordinate its security efforts and to issue proper security advice.

Link

Microsoft is really full of surprises, I guess the only definite lesson here is that it’s so big you can’t classify it anymore. It’s a bit of both, evil and good at the same time.

The Register

Linux and Unix experienced more than three times as many reported security vulnerabilities (2,328) than Windows (812), according to the mighty US Computer Emergency Readiness Team (CERT) annual year-end security index.

Seems there is a real need to reconsider a few evidences of the IT industry. But:

Despite posting fewer vulnerabilities […], it is attacks on Windows that still cause more concern and generate most headlines.

The reason is that […] Windows has greater potential to cause harm because of its presence on desktops in the hands of users who receive self-propagating worms, click on email attachments and download malicious code. And while it seems just as each hole is fixed, a new vulnerability is unlocked elsewhere in the vast Windows code base.®

If Windows is 3 times safer but also 1000 times more common than Linux it becomes the most dangerous system in absolute terms. Statistics. Is the spread of an OS its worse enemy? Probably. I once heard someone wishing Apple would never make it big so that “OSx could remain unattractive for hackers”.

The Register: E-banking security provokes fear or indifference

Forrester concludes that an estimated 600,000 from a total of 15m subscribers have ditched online banking as a direct result of security fears.
Forrester reckons that users are confused and banks need to step up their efforts to educate customers about online fraud.

C’est incroyable que les problèmes rencontrés soient avant tout liés à des choses aussi simples à combattre que la confusion et le manque de formation des clients. Quand une mauvaise ergonomie et une mauvaise communication commencent à coûter très cher.

The Register: E-banking security provokes fear or indifference

Forrester concludes that an estimated 600,000 from a total of 15m subscribers have ditched online banking as a direct result of security fears.
Forrester reckons that users are confused and banks need to step up their efforts to educate customers about online fraud.

Bad usability and communication are starting to cost a LOT of money.

La dernière version du serveur web de Microsoft – Internet Information Server 6 – est solide comme un roc et certainement plus sûre qu’Apache.

Ce n’est pas une brochure publicitaire de la société de Bill Gates qui le dit, mais John Udell. Et quand John Udell parle en général on écoute. C’est incroyable de voir comme Microsoft est en train de réussir l’un des tournant les plus risqués et les plus compliqués de son histoire. Pour une entreprise que tout professionnel de l’informatique se devait de pointer du doigt pour être crédible ils ont fait un sacré bout de chemin. Les voilà en train de battre une des applications emblématiques de la communauté open source sur le terrain de la sécurité. Comme quoi il suffit parfois de peu de choses : recruter quelques stars, écouter ses clients, en prendre un comme porte-parole et se mettre au travail. Bravo messieurs dames.

A lire ailleurs: Hackers look outside Windows for flaws.

“Microsoft’s Internet Information Server version 6 is rock-solid and arguably safer than Apache.”

When Jon Udell speaks, I listen. Wow. Did our world change THAT much? Microsoft’s life has been marked by two major (and successful) turns: the late Internet push of the late 90s – when Bill Gates realized the potential of the Internet after most of us but managed to reclaim the first spot with Internet Explorer – and now the Scoble turn, when these guys recognized they had to listen to their customers and outsource public relations to them. Good job guys, I think I could work for Microsoft again.

Related news : Hackers look outside Windows for flaws

Marc, qui travaille sur l’incroyable projet DestiNY chez Wisekey, m’a fait suivre ce document publié par Kim Cameron, responsable du projet d’identité digitale chez Microsoft. Dans ces pages Kim essaye de cerner les règles qu’il faut respecter pour qu’un système d’identification fonctionne (et pour éviter les erreurs passées du projet Passport dans lequel Microsoft a perdu quelques plumes et beaucoup de crédibilité). C’est l’un des enjeux majeurs d’Internet, dans un contexte de généralisation des virus, des spams et autres problèmes de phishing. Comment savoir qui est qui sur un réseau aussi décentralisé.

Les lois de l’identité sont donc :

• Donner le contrôle aux utilisateurs et obtenir leur consentement (le système doit sécuriser les personnes qui l’utilisent, celles-ci doivent avoir la possibilité de s’y engager et d’en sortir facilement et en tout temps)

• Donner aussi peu d’informations que possible. Si une transaction nécessite le nom et le prénom, pas besoin d’y inclure le numéro de sécurité sociale et la date de naissance.

• Que les parties impliquées aient toutes une raison d’être présentes.

• Système multidirectionnel (qui peut gérer des transactions uni et multilatérales)

• Que plusieurs technologies et intervenants soient disponibles et en compétition sur le marché (le document est donc écrit par un employé de Microsoft, comme quoi les temps changent)

• intégration des être humains dans le système. C’est vrai que si les échanges entre machines sont souvent cryptés, tout l’effort n’est pas très utile si on continue à utiliser des post-its collés sur son écran pour se rappeler de son mot de passe.

• Le système doit fonctionner à travers plusieurs contextes, du
téléphone portable au navigateur internet.

Comme vous l’avez compris ce document n’est pas une lecture facile, mais il vous permettra de mieux comprendre l’avenir d’un des problèmes majeurs qu’il va falloir affronter dans les années à venir.
Téléchargez le rapport et visitez le site qui va avec, Identity Blog.

A lire également : Les anglais veulent voter en ligne!
66% des non votants affirment qu’un système en ligne les encouragerait à s’exprimer. Il est grand temps que ces systèmes d’identification soient mis en place.

Marc-François Besson, who is working on the destiNY project at Wisekey, pointed this document by Kim Cameron, the guy in charge of the digital identity project at Microsoft. Kim tried to identify what would be the prerequisites of an effective digital ID system. These laws are:

1. User Control and Consent (the ability to get into and out of the system at will)
2. Minimal disclosure (ask as little information as possible)
3. Justifiable Parties (people involved in the process have to be needed in it)
4. Directed Identity (system can be uni or bilateral)
5. Pluralism of Operators and Technologies (and it is someone from Microsoft saying so)
6. Human integration
7. Cross contexts

Overall it is an amazing reading even if it is old news (the document
was published last may). If you haven’t already download the report and follow the conversation on the identity blog.

Related news: Brits want to vote online
66 per cent of those who didn’t vote in the last election reckoned they’d be more likely to join in on polling day if they could vote online.
We might need digital identity more than we know.