1. Le Monde sur sa faim

Hervé Morin nous livre donc un nouvel article sur les travaux de Jean-Pierre Seifert sur la prédiction de branchement. En effet, ce dernier s'est en effet fendu jeudi dernier d'une présentation à la RSA Conference à San Francisco sur son sujet de prédilection. Le contenu exact de sa prestation n'est pas disponible en ligne[1], c'est donc à travers les lignes du Monde qu'on apprend qu'il y propose une parade à sa propre attaque. Devant l'alarmisme du premier article, on aurait pu s'attendre à quelque chose de foudroyant, comme une revue d'architecture des processeurs ou l'utilisation d'un environnement révolutionnaire. Que nenni. Il suffira de patcher OpenSSL... Juste ça... Comprenez-moi bien, je ne dis pas que modifier le code d'un mastodonte comme OpenSSL est chose simple, je dis seulement qu'on est à des années-lumière de qui avait été annoncé précédemment, confirmant ainsi les analyses manifestement plus éclairées qui avaient suivi[2].

Je ne pousserai pas plus loin le débat, les éléments concrets du débat faisant cruellement défaut. Je remarque cependant beaucoup plus de conditionnel dans les citations du l'auteur : "Notre article ne présente pas une analyse exhaustive de ces attaques. Nous pensons que la génération de clés doit être faite "hors ligne". Et il est possible qu'on doive modifier l'ensemble du code du programme OpenSSL. Ce qui n'est pas forcément facile". Voilà qui ne manquera pas d'apporter un peu plus de sérénité dans la prise en compte de ces travaux.

2. Skype se montrerait trop curieux

C'est en tout cas ce que plusieurs blogs ont affirmé la semaine dernière suite à un billet très commenté sur Pagetable.com. On y apprend en effet que Skype va lire l'intégralité du contenu de votre BIOS à l'installation, comportement étrange s'il en est. Je laisse au lecteur le soin d'imaginer ce qu'on pourrait faire de ces informations en terme d'identification des utilisateurs... Finalement, c'est Kurt Sauer, le CSO[3] de la société qui va nous apporter la réponse : ce n'est pas Skype qui exécute cette fonction, mais un plugin de EasyBits Software chargé de la gestion des extras pour de sombres raisons officiellement liées à des histoires de DRM. Or ce fameux plugin était inclus dans l'installation de base de Skype. Aïeuh... Outre le fait que le discours DRM sert encore une fois à justifier des comportements clairement litigieux, on peut s'interroger sur la portée de l'engagement de Skype à fournir un logiciel sans spyware. Parce que si ce plugin n'est pas un spyware, je ne sais pas ce que c'est...

En tout cas, tout est bien qui finit bien, la version de Skype actuellement en ligne est débarassée de ce logiciel encombrant pour sa réputation. Utilisateurs de Skype, vous pouvez donc dormir sur vos deux oreilles... Jusqu'à la prochaine fois...

3. Programme du SSTIC en ligne

Le programme de la cinquième édition du SSTIC a été publié la semaine dernière. Il s'agit d'une version temporaire, certes, mais quelque chose me dit qu'elle ne diffèrera guère de la version finale. Je vais encore passer un coup d'autosatisfaction, quoiqu'un poil mal placé. En effet, mon labo parvient à obtenir trois présentations et demie dans le lot et, même si je n'ai aucun mérite en la matière, mes nouvelles fonctions de manager me pousse à m'en féliciter chaleureusement, et les heureux winners également, parce qu'ils le valent bien.

4. Retour aux affaires chez MISC

Après un an et demi de silence, je me suis enfin décidé à me remettre à écrire. Ayant poussé dans leurs derniers retranchements différentes méthodes, connues ou spécifiquement développées par mes soins, me permettant de fournir le contenu en retard par rapport à toutes les deadlines imaginables, la qualité commençait à souffrir. J'avais donc décidé de mettre en pause ma participation au contenu de MISC... Jusqu'à cette semaine... J'ai en effet terminé hier soir un article pour le prochain MISC, une fiche pratique sur l'attaque de WEP par fragmentation que je décrivais dans un billet précédent. Normalement, la description devrait être plus claire, diagrammes à l'appui. J'espère que ça vous plaira, les feedback étant les bienvenus lorsque la magazine sera disponible en kiosque.

5. Pensée du matin

Cette pensée m'est inspirée par un mail reçu ce matin. Il s'agit d'un candidat qui, retenu pour un stage, le refuse et motive sa décision comme suit :

La qualité du sujet n'est pas en cause, c'est un sujet que
j'aurais aimé étudier en tant que projet scolaire, mais
professionnellement c'est différent, je préfère chercher
quelque chose de plus "conventionnel".

J'aimerais trouver quelque chose en rapport avec les réseaux
(je pense que c'est çà qui me manque le plus comme expérience
en dév.) et idéalement avec de la cryptographie, ou de la
cryptographie dans un autre contexte.

En tout cas je te remercie, de votre accueil, je dois dire
que ce qui m'a fait le plus hésiter ce n'est pas tant le
sujet que plutôt l'idée de travailler dans un contexte qui
m'a paru assez idéal (linux + python + des gens super
compétents + bon contact).

Nous avons là une personne à qui on propose un sujet qui l'intéresse, dans un environnement qui lui semble idéal, mais qui le refuse par peur de ne pas pouvoir valoriser cette expérience plus tard. Je pourrais m'emporter à lui jeter la pierre, vexé par ce refus, arguant une hypothétique incapacité à mettre en valeur les divers enseignements d'une expérience qui ne se résument par à un simple énoncé d'une dizaine de mots. Ce serait trop facile, non ? En fait, ce qui me dérange vraiment dans cette réponse, c'est finalement l'état du marché du travail, ou du moins l'image qu'il exporte. Quand des élèves de formations spécialisées dans ce beau domaine qu'est la sécurité informatique, dans lequel on sait combien les technologies sont changeantes et le degré d'ouverture d'esprit que cela implique, en arrivent à vouloir des expériences conventionnelles, je me dis qu'il y a un sérieux problème quelque part. Est-ce le marché qui n'a rien compris ? Est-ce les élèves, les formations ? Est-ce l'image du marché tel qu'on la perçoit dans le monde étudiant ? Est-ce moi qui n'ait finalement rien compris ?

Je ne peux que m'interroger. N'ayant pas de propension à la schizophrénie[4], l'intervenant en mastère et autres masters[5] spécialisés en sécurité informatique et le professionel qui propose des stages voient globalement la chose de la même manière : avoir des étudiants avec des bases solides et une ouverture d'esprit suffisante pour pouvoir rebondir dans un contexte changeant. Et j'avoue avoir du mal à m'imaginer comment des expériences conventionnelles et formatées permettront d'y contribuer, à moins que le but ne soit en définitive que de fournir des besoins à court terme qui ont l'étonnante capacité de changer du tout au tout en moins de temps qu'il n'en faut pour terminer un cursus, comme en ont fait la douloureuse expérience pas mal de gens entrés dans des formations destinées à répondre aux besoins de la fameuse "bulle Internet". Et c'est ce qui fait que, finalement, j'arrive à comprendre cette réaction...

En tout cas, s'il me lit, je tiens à remercier ce candidat pour sa franchise et lui souhaite bonne chance pour la suite de son parcours. Et si d'autres veulent tenter leur chance sur un développement d'outil en Python, ils savent comment m'envoyer leur CV[6].

Notes

[1] C'est une des raisons pour lesquelles je n'aime pas ces conférences à but essentiellement mercantile...

[2] Dont la mienne, un peu d'autosatisfaction ne faisant pas de mal...

[3] Chief Security Officer

[4] Je me suis soigné et nous allons beaucoup mieux...

[5] Notez la nuance orthographique qui traduit une différence de taille.

[6] Si vous ne savez pas où l'envoyer, ne posez pas la question, ce n'est pas la peine de postuler...