Ma petite parcelle d'Internet...

ors de la conférence BlackHat Europe 2008, et précedemment à Kiwicon 2007, Nick Breeze a annoncé être capable de calculer 1.9 milliards de hachages MD5 par seconde sur sa Playstation 3. Ce chiffre, pour le moins suprenant, a été mis en doute par de nombreuses personnes. Par la suite, la présentation a été modifiée sur le site officiel et les liens retirés de la page des publications. Et pour cause, le véritable résultat ne serait que de 80 millions de MD5 par seconde.

Cette présentation a cependant généré un gros buzz dans les médias, d'autant plus que l'auteur proclame être le premier à faire ça, alors que tout le monde sait que c'est moi : "I haven't seen any implementations of this technique anywhere else". Ce qui prouve encore une fois que l'utilisation de Google n'est pas à la portée de tous. Bien sûr, un rapide coup d'œil sur son code, du niveau de aping, ou sur l'efficacité de son implémentation aurait du immédiatement alerter le public.

Lire la suite...

yscan a fait des petits cette année. En plus de la traditionnelle conférence à Singapour qui se tiendra la semaine prochaine, 2008 aura vu deux nouvelles occurences, une première à Honk Kong fin mai et une seconde à Taiwan. Et c'est la première dont je me propose de vous faire ici un rapide compte-rendu.

L'opus de Hong Kong se tenait à l'hôtel Langham Place en plein milieu du quartier populaire de Mong Kok, sur l'île de Kowloon les 29 et 30 mai derniers, soit juste dans la foulée de pH-Neutral, et quelques jours avant le SSTIC. Au programme, dix orateurs sur des sujets variés allant de la protection des données aux failles des antivirus en passant par l'inévitable sécurité web...

Lire la suite...

eux publications récentes poussent à réfléchir. La première est signée Verizon Business et s'intitule "2008 Data Breach Investigations Report". Ce rapport, qui s'appuie sur l'analyse de quelques cinq-cent incidents de sécurité, nous livre des chiffres intéressants qui ont l'intérêt de contester quelques idées reçues, comme celle selon laquelle patcher rapidement vous met à l'abri des attaques.

La seconde est un article de Bruce Schneier publié dans Wired dans lequel il explique le plus calmement du monde pourquoi son réseau Wi-Fi personnel est ouvert. Une position surprenante venant d'une des personnalités les plus en vue au sein du petit monde de la sécurité informatique. Position qui ne manque pas de susciter les commentaires.

Lire la suite...

orsque Sid m'a contacté pour de demander d'accepter de rédiger une anecdote sur la sécurité informatique, j'ai aussitôt accepté tant j'étais flatté. Puis je me suis demandé ce qu'un expert judiciaire comme moi pouvait bien avoir à raconter sur un blog de ce niveau, avec des lecteurs aussi pointus sur ce domaine. Un peu comme un médecin généraliste invité à s'exprimer lors d'un séminaire de cardiologues. Alors, soyez indulgents.

J'ai été approché, il y a quelques années de cela, par le directeur général d'une entreprise qui souhaitait me confier une expertise privée dans un contexte délicat: son serveur téléphonique avait été piraté. Malgré mes explications sur mon manque de compétence en PABX, il voulait absolument que j'intervienne sur cette affaire. Il avait eu de bonnes informations sur moi, et, je l'appris plus tard, j'avais le meilleur rapport qualité/prix...

Lire la suite...

ne fois n'est pas coutume, cédons à une pratique populaire dans la blogosphère, le "Live Blogging". C'est à dire la rédaction d'un billet au fur et à mesure que l'évènement auquel il se rapporte se déroule. Et le SSTIC me parait une excellente occasion de se prêter à cet exercice.

Le SSTIC 6 vient donc de commencer et Marcus Ranum déroule courageusement sa keynote en français, langue qu'il ne maîtrise manifestement pas des masses. SSTIC 6. Un nom qui sonne un peu comme une maladie. Un truc qu'on écrirait stycsisse par exemple. Une perte chronique du sommeil, maux de foie nocturnes et des troubles se traduisant par la tenue de discours étranges, voire cabalistiques.

Bref, commençons ici un rapport live du SSTIC, destiné principalement à ceux de mes lecteurs qui n'ont pas pu se libérer ou n'ont pas eu la célérité nécessaire à l'obtention d'une place dans les cinquante-sept heures qui ont suffit à épuiser le nombre de sièges disponibles à la vente, voire, enfin, ceux qui sont privés de conférence parce que cloués à l'accueil.

C'est parti...

Lire la suite...

endant que certains se déclarent allergiques au Wi-Fi, Lockheed Martin ouvre son Wireless Security Lab. Et c'est à cette occasion qu'on apprend qu'un de leur chercheur, Jason Crawford, aurait cassé WPA. Rien de moins. Le problème, c'est que ce dernier n'a, à ma connaissance, toujours rien publié sur le sujet à ce jour.

Mais cela n'empêche pas la nouvelle de se répandre, même malgré quelques questions pourtant cruciales d'un point de vue technique, comme le montre ce billet publié dans la foulée sur le blog de Network Computing. Car si on dépasse le titre pompeux, on s'aperçoit rapidement que la réalité n'est pas aussi élogieuse. L'auteur de ce dernier billet le montre bien : on n'en sait rien, on suppose.

Alors pour tenter d'y voir plus clair, petit exercice de lecture entre les lignes...

Lire la suite...

n général, quand on va à pH-Neutral, ce n'est pas pour les talks. Ou très peu. Loin de moi l'idée que ces derniers puissent ne pas être à la hauteur, bien au contraire. Mais l'intérêt premier de cet évènement plus ou moins privé, c'est clairement les gens qu'on y rencontre et les discussions qui s'y tiennent. Pourtant, cette année, j'y suis aussi allé pour voir la présentation de Sebastian "topo" Muniz sur les rootkits IOS. Avec tout le buzz qu'on a pu lire autour de l'annonce de ce talk à Eusecwest, difficile de résister à la tentation.

Et finalement, heureusement que je n'ai pas fait le déplacement à Berlin rien que pour ça, auquel cas je serais reparti un peu déçu...

Lire la suite...

etour rapide sur cette histoire d'OpenSSL sous Debian. Et sur les conséquences pratiques de cette histoire surtout. Parce que s'escrimer en commentaires pour savoir à qui revient la faute et comment on a pu en arriver là, se dire que ça ne serait pas arrivé sous Gentoo, qu'il vaut mieux rester sous OpenBSD, que si tu compilais à la main, tu ne serais pas dans la merde, et toutes les joyeusetés dans le genre, à part empiler les conneries et faire sourire le trolleur, ça ne fait pas réellement avancer la situation dans la pratique.

Donc, comme on a pu le voir précédemment, grâce aux excellents commentaires de jmdesp et Philippe Teuwen et d'autres billets sur la toile, le problème réside dans une fonction servant à ajouter de l'aléa au pool d'entropie d'OpenSSL. Ce qui se traduit en pratique par le fait que l'entropie du générateur aléatoire d'OpenSSL se résume à un PID du fait du patch malheureux, lequel peut prendre 32768 valeurs. Grosso modo. Du coup, il devient extrêmement prédictible, et avec lui tout ce qui l'utilise.

Et maintenant, quelles sont les conséquences de tout ça dans la vraie vie ?

Lire la suite...

'avoue avoir été surpris et flatté lorsque Sid m'a proposé de poster dans son blog. Le concept est amusant et puis finalement c'est un peu comme faire le talk d'une présentation d'un camarade.

Tout commençait pourtant bien, il était vendredi après-midi, mon chef m'autorisait à utiliser Word pour faire un compte rendu. Lorsque je reçois un mail très explicite de mon père : "Problème avec le PC de Mme Delaie, peux-tu corriger le problème stp ?". Je replace un peu le contexte. Mme Delaie est un peu à l'informatique ce que aping est au serveur web : un prédateur. "le PC de Mme Delaie" est en fait un vieux PC que mon père a eu la bonne idée de lui donner sans mon autorisation (j'ai abandonné l'idée de lui expliquer pourquoi donner un PC à une personne, même de confiance, est louable, mais nécessite un petit nettoyage). Quand je dis vieux PC ; je parle d'un bon vieux Windows 2000 SP4 jamais mis à jour avec un vieux Norton (désactivé). Mme Delaie veut en effet faire comme son fils (et Flavie Flament) : surfer sur la toile et écrire des emails. Chose amusante, son fils possède un Windows Vista tout neuf qui démarre plus lentement que le Windows 2000 légué.

Lire la suite...

a mode étant à la sous-traitance, je me suis dit que je pouvais bien me laisser aller à exploiter quelque main d'œuvre extérieure pour remplir ces lignes. Loin cependant de céder à l'offshoring sauvage, j'ai proposé à quelques blogueurs de qualité (ou pas...), mais néanmoins amis (ou presque...) pour la plupart, d'honorer ces pages de leur prose. Sujet libre, mais de préférence en rapport à la sécurité informatique. Telles ont été les seules contraintes imposées, pour autant qu'on puisse appeler cela des contraintes.

Vous retrouvez désormais l'ensemble de ces billets dans la catégorie Invités. Et c'est à Nono que je confie l'inauguration de cette nouvelle rubrique. D'autres devraient suivre...

Y'a pas à dire, les blogs, c'est bien fait quand même...

a faisait un moment que ça leur pendait au nez aux mainteneurs Debian. Un moment que quelques développeurs se plaignaient régulièrement de modifications sauvages de leur code par les mainteneurs des paquetages de leurs logiciels. Et j'ai bien écrit sauvages. C'est à dire des patches qui vont modifier le code même du logiciel, pas juste les scripts d'installation, et de démarrage ou les fichiers de configuration par défaut. Le code. Et ce, sans remonter les-dits patches aux développeurs. Allant même parfois jusqu'à les rendre inutilisables...

Cette fois, c'est un poil plus grave. Une modification introduite par un mainteneur Debian entraîne une faille de sécurité dans OpenSSL. Bug bien grave qui traîne depuis deux ans et qui va obliger tout le monde à renouveler ses clés générées sur cette période... Bref, de quoi bien énerver les développeurs, les faire écrire pleins de choses méchantes et surtout susciter la polémique...

Lire la suite...

n me demande souvent ce que nous, les paranoïaques professionnels en sécurité informatique, avons contre les fonctionnalités que nous qualifions couramment de "phone home". Ces petits programmes qui se rappellent régulièrement à l'attention de leur éditeur, en fournissant au passage quelques informations bien senties, mais pas du tout personnelles promis, juré, craché, si je ments, je vais en enfer. Ou presque.

Plutôt que de me lancer dans un long discours, je vais juste vous relayer cette anecdote fort amusante que nous propose le New York Times. Ou comment une fonctionnalité de prise de contrôle à distance couplée à un "phone home" a permis à une employée d'un Apple Store de récupérer, entre autres, son Macbook.

Lire la suite...

out le monde en parle. Depuis que le concours Race to Zero a été annoncé, il ne passe pas un jour sans qu'un nouvel article mentionne le bouillonnement intellectuel qu'il entraîne. Et comme tout le monde en parle, ben moi aussi j'en parle. Na. Pour ceux qui reviennent de Mars, Race to Zero est un concours qui se tiendra pendant la 16e Defcon. Le but est de modifier des jeux de virus et autres malwares pour qu'ils passent à travers un set d'antivirus du marché. Maintenant, vous avez les grandes lignes.

Pourquoi j'en parle si tout le monde l'a fait avant moi ? Pour deux raisons. D'abord pour tromper essayer de trouver un truc à dire sur un sujet qui ne provoque guère plus que l'ennui chez moi. Et ensuite, et surtout, parce que toute cette histoire de Race to Zero, c'est du bon troll poilu baveux, de la boue, de la merde en barre si vous préférez. Du bon gros buzzz à média, comme on dit là-bas.

Lire la suite...

a découverte, quoique contestée, serait à mettre au profit d'une société appelée Damballa, laquelle propose des solutions de protection contre les attaques ciblées, parmi lesquelles l'utilisation des botnets. C'est donc à eux qu'on devrait d'avoir, début avril, porté au grand jour Kraken. Derrière ce terrible nom se cacherait un botnet estimé aujourd'hui à quelques 600000 machines, soit trois fois plus que Storm.

Autant dire que la bête ne peut que susciter l'intérêt et que la consultation de leur whitepaper décrivant son fonctionnement atteint des records. Mais quelle déception ! Sur treize pages de document, seules deux se révèlent utiles. Ou presque. En fait, si on veut en savoir plus sur Kraken, il vaut carrément mieux lire les deux billets que viennent de poster Cody Pierce et Pedram Amini de TippingPoint DVLabs.

Lire la suite...

e Wi-Fi, c'est bien. Quand ça marche correctement. Et les raisons pour que ce ne soit pas le cas sont légion, en particulier en environnement résidentiel. Pourquoi ? Tout simplement à cause de vos voisins adorés. Car avec la percée des accès résidentiels à base de *box fournissant, entre autres, du réseau sans-fil, le spectre a comme qui dirait tendance à saturer quelque peu.

Dans mon cas, ce ne sont pas moins de dix-sept cellules relativement bien réparties sur l'ensemble des canaux qui, en plus de la mienne, occupent le terrain des 2,4GHz. Certes, ça ne m'empêche pas de surfer, lire mon mail et autres activités lancées depuis mon laptop favori. Alors à quel niveau se situe donc mon problème me demanderez-vous ? Et bien pour des applications qui demandent un peu de constance dans le débit, dont typiquement la télévision.

Lire la suite...