Ma petite parcelle d'Internet...

quelques heures du départ pour le SSTIC, je voulais coucher sur écran les quelques pensées qui me trottaient dans le crâne.

La première m'est venue en découvrant les actes d'Eurosec qui se déroulait du 23 au 25 mai derniers. Je constatais surpris, mais quelque peu contrarié aussi, que les slides de notre ami, mais néanmoins collègue, Newsoft étaient attribués à un certain Mauro Israel et étaient censés porter sur le sujet follement affriolant de l'ISO-27001. Pour une présentation intitulée "Windows Vista est-il plus sûr", vous conviendrez que ce n'est pas top...

C'est que le truc des gens d'Eurosec, c'est de vouloir imposer un masque de transparents unique à tous les speakers, histoire que tout le monde ait l'air d'appartenir à "Devoteam Consulting", seul logo autorisé sur les planches. Surtout pas un pet de travers sous peine de se faire corriger ses slides à la sauvage, qui d'avoir coller un logo EADS en trop, qui d'avoir utilisé son modèle fétiche. C'est ainsi que beaucoup se retrouvent avec une mauvaise légende ou, à l'instar d'un autre Nico, avec la superbe mention "Speaker's name - Session n°". Super la réutilisation des masques. La prochaine fois, faites comme moi, envoyez des PDF... Ou n'y participez pas...

Lire la suite...

e petit monde IPv6 est en ébullition. Le responsable de tout ce remue-ménage ? Le Routing Header de type 0, qui sert ni plus ni moins qu'à rendre possible ce que les plus anciens d'entre vous connaissent sous le doux nom de Source Routing ou encore LSRR. Cette fonctionnalité qui permet à la source d'un paquet de choisir tout ou partie de son chemin vers sa destination avait été bannie des réseaux IPv4 du fait des quelques problèmes de sécurité que son implémentation posait.

D'où la surprise générale qui a fait suite à l'intervention de Phil et Arnaud à Cansecwest/core07, "Fun with IPv6 routing headers", qui leur était consacrée. Surprise qui se traduit d'abord par une avalanche d'advisories, de patches, d'articles et de discussions. Surprise qui montre bien ensuite la quantité de questions que se posent certains quand ils implémentent à la lettre les standards pondus par l'IETF...

Lire la suite...

ontrairement à ce que le titre pourrait laisser entendre, je n'irai pas à la sixième JSSI déguisé en lapin pour vous entretenir du fameux Web 2.0. En fait, et à mon grand regret, je ne vais pas y aller du tout... Pas de présentation donc, pas de table ronde non plus. Fort heureusement, Éric Hazane, qui œuvre pour une autre entité d'EADS et qui s'intéresse de près au Web 2.0, s'est proposé pour reprendre le flambeau. Il présentera donc le sujet, en y apportant sa vision des choses, et je l'en remercie.

Le thème de cette année étant le SI 2.0, i.e. les nouvelles formes d'utilisation des systèmes d'information et leurs implications en terme de sécurité, le Web 2.0 y tiendra une place importante. En plus d'une table ronde, vous pourrez assister à six présentations de qualité, dont trois sur ce sujet précis. Mais qu'est-ce donc que le Web 2.0 ?

Lire la suite...

'annonce par Microsoft de la possible violation de quelques 235 brevets par des logiciels libres continue de faire son bonhomme de chemin comme tout FUD de bon aloi. Mais plus intéressantes que le FUD lui-même sont les réactions qui s'en suivent, en particulier dans les médias traditionnels, et le mélange des genres que cela entraîne.

Je pense en particulier à cette chronique de Jérôme Colombain diffusée jeudi matin sur France Info, laquelle contenait le passage suivant :

Les logiciels libres, par définition, ne se soumettent pas
aux règles traditionnelles de la propriété intellectuelle.
Ils sont régis par un système juridique particulier qui
autorise n’importe qui à modifier les programmes en fonction
de ses besoins.

Voilà de quoi méditer un peu...

Lire la suite...

ui, oui, j'avais dit que je ferai un compte-rendu de Cansecwest 2007. Le truc, c'est qu'entre temps, j'ai du faire face à la mort d'un disque dur, pour laquelle le deuil n'est jamais assez long, pas mal de taff et une incroyable vague de flemme quant au remplissage ce blog, malgré la matière fertile fournie par l'actualité récente. Mea maxima culpa donc. Ne voulant ni décevoir ceux qui attendent de tels billets avec la même impatience qu'une Straight Flush et ni faire fuir les plus acharnés de mes lecteurs, je m'y colle, d'autant que la plupart des slides sont maintenant disponibles en ligne.

Donc Cansecwest/core07 se déroulait il y a presque un mois à Vancouver, Colombie Britannique, côte Ouest du Canada, du 18 au 20 avril pour se montrer plus précis. Au programme, vingt-trois présentations et une longue séance de lightning talks. Pas vraiment de quoi s'ennuyer en somme pendant trois jours d'une densité relativement élevée. Suivez-moi...

Lire la suite...

'est le plus important vol de données personnelles qu'on connaisse à l'heure actuelle. Il s'agit bien sûr de la compromission des systèmes de TJX que je vous signalais dernièrement et qui avait entraîné la fuite de quelques quarante-six millions de numéros de carte de crédit... Pendant son intervention à la 2nd Wireless Security Conference le mois dernier, Erik Laykin le citait avec une magnifique photographie de leurs locaux.

Suis-je à mon tour en train de céder au hors-sujet, à parler de vol de données dans ma section Wi-Fi ? Pas d'après The Register qui nous apprend que l'intrusion dans les systèmes de l'enseigne aurait commencé par le piratage d'un lien Wi-Fi protégé en... WEP. Toujours d'après cet article, les intrus auraient tout simplement utilisé un portable et l'antenne qui va bien obtenir la clé d'un lien utilisé dans un de leurs magasins du Minnesota.

Lire la suite...

la veille du second tour des élections présidentielles, il me semble bon de revenir sur la fabuleuse expérience qu'ont pu vivre nos concitoyens condamnés à exprimer leur suffrage sur une machine à voter. Benoît Sibaud, assesseur au bureau 37 d'Issy-Les-Moulineaux, nous raconte la folle journée du dimanche 22 avril 2007, premier tour des élections présidentielles.

On pourrait également qualifier cette expérience d'épique, mais ce n'est pas faire justice au déroulement abracadabran de ce scrutin émaillé d'incidents. De l'impossible vérification des scellés, faute d'en avoir vu auparavant, à l'initialisation douteuse de la machine, des manuels en langues étrangères à la version antédiluvienne du logiciel en passant par des traductions approximatives, ça partait mal. Ajoutez à cela une seule machine, au lieu de quatre, qui semble avoir du mal à fonctionner, une file d'attente qui n'en finit pas de s'allonger au point de voir des électeurs partir sans voter, un procès verbal à rallonge, pour finalement parvenir à un décompte incohérent entre le nombre d'émargement et le nombre de votes enregistrés, on se demande bien où sont les progrès annoncés pour le citoyen...

Lire la suite...

ne fois n'étant pas coutume, je ne vais pas respecter l'ordre chronologique. Je vais donc remettre à plus tard mon compte-rendu de Cansecwest/core07 et vous livrer ici celui de la Wireless Security Conference qui se déroulait à Singapour les 24 et 25 avril derniers. J'adorerais vous fournir un lien sur lequel vous pourriez trouver la liste des intervenants, le sujet de leur talk voire leurs slides, mais ce n'est malheureusement pas la politique de la boîte qui organisait l'évènement. Au nom de je ne sais quels problèmes concurrentiels, ils ne publient rien. Sympa pour les orateurs...

Avec autant de pub, rien d'étonnant à ce que la conférence se déroule dans une salle minuscule d'un hôtel relativement moyen et cher, parce que sur Orchard Road, le quartier à la mode. Perso, je trouve le coin à chier, mais bon, chacun son truc. Bref, salle minuscule, un trentaine de personnes tout au plus, speakers compris. Autant vous dire que je la sentais mal dès le départ. Et pourtant...

Lire la suite...