Logo

Ma petite parcelle d'Internet...

Un autre regard sur la sécurité informatique, entre autres futilités.

vendredi 27 avril 2007

La foudre ne frappe jamais deux fois au même endroit...

Orage

C

'est ce que me disait Arnaud pour me rassurer devant le tapis de livraison des bagages à Charles de Gaulle dimanche, après notre vol de retour de Vancouver. C'était évidemment ignorer mon capital poisse qui, sans égaler celui des maîtres en la matière, s'avère, encore une fois, tout à fait honorable.

Pour bien comprendre, il faut revenir quelques heures en arrière, au beau milieu du vol qui nous ramenait de Vancouver à Amsterdam. Là, pour une raison qui échappe encore à mon entendement, le disque dur de mon laptop a décidé de rendre l'âme. Tourner devait l'ennuyer à la longue, il a décidé de prendre des vacances, comme tant d'autres avant lui, avec forcément les conséquences relativement fâcheuses qu'on imagine aisément.

Me voilà donc en train d'attendre mes bagages qui n'arrivent pas...

Lire la suite...

Note : 4.8/5 pour 4 votes

vendredi 20 avril 2007

Pourquoi le WEP s'accroche-t-il ?

Prayer

A

lors que Cansecwest/core07 bat son plein, je reviens sur un billet de Neal Krawetz élégament intitulé "Weeping for WEP". Si le billet est à mon humble avis volontairement polémique, il n'en soulève pas moins quelques points intéressants.

Il se trouve en effet que je vais intervenir à une conférence dédiée à la sécurité Wi-Fi la semaine prochaine à Singapour, et que la question de savoir pourquoi l'adoption de mécanismes comme WPA et WPA2 est aussi lent fait partie du sujet que je dois traiter. Ce billet tombe donc particulièrement à propos.

Lire la suite...

Note : 5.0/5 pour 4 votes

mercredi 11 avril 2007

Back from Dakar

Université Cheikh Anta Diop

C

omme vous avez pu le voir, je suis revenu dimanche matin de mon second séjour au Sénégal. Point de formation à la sécurité sous et avec Linux et autres outils libres, mais une conférence cette fois. Les Troisièmes Journées sur la Sécurité des Systèmes d'Information et des Communications se déroulaient les 6 et 7 avril derniers à l'Université Cheikh Anta Diop de Dakar.

Le programme s'est révélé fort intéressant, dans un registre toute fois assez différent des conférences habituelles. Introduction protocolaire par un conseiller technique de ministre, le doyen de l'Université, le recteur et la directrice de la Recherche Scientifique, ambiance studieuse et déballage de maths ouvraient les hostilités.

Lire la suite...

Note : 4.3/5 pour 3 votes

samedi 7 avril 2007

Guerre des licences, guerre des égos...

Croisement BSD-Tux

P

armi les choses qui séparent les pro-GNU/Linux des pro-BSD, il y a la licence. La fameuse licence... BSD (ou équivalent) d'un côté contre GPL (ou équivalent) de l'autre. Pardon ? J'ai écrit "contre" ? Oui, effectivement. Pourquoi ? Tout simplement parce que certains ne peuvent pas s'empêcher de les opposer. De penser qu'entre BSDiens et GPListes, c'est la guerre ouverte, l'incompatibilité consommée, là où il n'y a finalement qu'une vision différente du logiciel libre.

Alors forcément, avec des gens comme ça, il arrive régulièrement que les choses partent en live. Et c'est ce qui s'est encore produit cette semaine. Les développeurs du driver Bcm-43xx pour Linux, diffusé sous GPL, se sont rendus compte que le CVS officiel de OpenBSD contenait des morceaux de leur code dans des fichiers publiés sous licence BSD. Fâcheux. Et pour le moins problèmatique.

Et ce qui aurait pu se régler par un simple échange de mails privés s'est retrouvé monté en épingle, tournant à la véritable flamewar publique...

Lire la suite...

Note : 4.9/5 pour 7 votes

mercredi 4 avril 2007

Les clous sont là, mais vous aviez oublié la couronne...

Couronne mortuaire

E

n ce début de mois d'avril, j'ai évidemment fait mon petit tour du web à la recherche des blagues de saison. Et avoir fait l'impasse sur l'ePrint Archive de nos amis boute-en-train de l'IACR, était une erreur. Non que je sois passé à côté d'un grand moment de rigolade, que nenni. J'ai juste loupé un papier dont le titre parle par lui-même : "Breaking 104 bit WEP in less than 60 seconds".

Cette nouvelle technique permettrait de casser une clé WEP de 104 bits avec moins de 100000 paquets ARP capturés sur le réseau, là où aircrack-ng en nécessite quelques 600000, et encore, quand on a de la chance. Il s'agit donc d'un pas considérable que forcément je ne pouvais m'empêcher d'étudier, et surtout de tester, dans la mesure où l'outil implémentant cette nouvelle attaque, aircrack-ptw, est disponible. Et là, c'est le drame...

stats for bssid 00:16:B0:3D:E4:32  keyindex=0 packets=40297
Found key with len 13: 7A 52 C3 A0 EB DA 0E D3 00 02 24 4D 40

Lire la suite...

Note : 4.6/5 pour 8 votes

mardi 3 avril 2007

Machines à voter en question et vrais poissons...

Poisson d'avril

B

onne nouvelle du côté des machines à voter. Ars Technica nous apprenait avant-hier l'intention du congrès américain de sérieusement réformer la législation sur le vote électronique par l'introduction d'une résolution en ce sens le mois dernier. Vous aurez noté que l'article date du 1er avril, ce qui peut prêter à sourire, mais l'information semble tout à fait authentique.

Dans la section des vrais poissons, j'ai, comme beaucoup, particulièrement apprécié celui de SecurityLab.ru annonçant l'obtention par la tenniswoman russe Maria Sharapova de la certification Cisco CCIE. Cependant, ma faveur va au TWoVB, la semaine du bug Vista, qui publiait hier un long papier sur une faille dans le firewall de l'OS permettant sa désactivation complète...

Lire la suite...

Note : 3.5/5 pour 4 votes

dimanche 1 avril 2007

La vérité sur les conférences de sécurité...

1er avril

À

la lecture de ce commentaire de Sportet, je ne pouvais que me rendre à l'évidence : nous sommes démasqués. Oui, c'est vrai, en vérité je vous le dis, les conférences de sécurité n'existent pas. Point de SSTIC, de Cansecwest, de SyScan. Pas plus de SecurityOpus, de Ruxcon et encore moins de Bellua Cyber Security.

En fait, il n'y a là rien de plus qu'une large cabale destinée à justifier les tribulations d'une poignée de globe-trotters. Sites web, programmes, slides, photos, compte-rendus et autres billets ne sont qu'autant d'éléments factices destinés à alimenter l'illusion qu'il se passe quelque chose, quelque part. Et que ça serait bien si vous y alliez... si seulement il restait des places !

Lire la suite...

Note : 4.5/5 pour 2 votes