Ma petite parcelle d'Internet...

ous ce titre accrocheur ne se cache heureusement pas un billet sur la série éponyme. Ou presque... Je suis en effet tombé via Slashdot sur une énième enfilade à propos de la solidité de chroot() et des techniques pour s'en échapper. Discussion au milieu de laquelle Alan Cox finira par lancer :

chroot is not and never has been a security tool

Cette discussion met le doigt sur un mal bien connu dans le milieu de la sécurité informatique, à savoir la méconnaissance des limites des outils utilisés à des fins de protection. De cette mauvaise compréhension résulte un excès de confiance, excès de confiance qui conduit à une très mauvaise appréciation de son niveau de vulnérabilité. L'exemple de chroot() étant excellent à ce titre, je me propose, sans tomber dans le manuel d'utilisation, de le développer un peu.

Lire la suite...

a saga de la rentrée, qui dépasse notre cher microcosme de la sécurité informatique, est sans aucun doute l'invasion par des pirates supposés chinois d'un nombre conséquent de serveurs gouvernementaux. Une tournée mondiale qui a commencé cet été par les États-Unis. Si vous avez raté les épisodes suivants, Richard Bejtlich tient les comptes pour vous :

• Allemagne ;
• Japon ;
• Grande Bretagne ;
• France ;
• Nouvelle Zélande ;
• Canada ;
• Australie.

Le mouvement a l'air de s'être calmé, mais gageons que la liste ne va pas s'arrêter là.

Évidemment, dès que l'hexagone a été touché, la nouvelle a fait grand bruit, toute relayée qu'elle fut par les médias qualifiés de traditionnels. À l'inverse du septième art, il n'y a pas d'exception nationale en sécurité des systèmes d'informations...

Lire la suite...

e TGI de la Cour de Justice Européenne a confirmé hier la condamnation de Microsoft pour abus de position dominante et vente liée, suite à une plainte de Sun en 1998. Également attaqué aux États-Unis, la firme de Redmond s'en était sorti par un accord à l'amiable avec la justice américaine en 2002. La commission européenne n'a pas fait preuve de la même clémence en infligeant en 2004 une amende record au géant du logiciel. Il est cependant probable que cette décision ne mette pas fin à cette histoire qui dure quand même depuis neuf ans, l'éditeur pouvant encore demander un pourvoi sur la forme devant la Cour.

Pendant que beaucoup le monde se félicite de ce jugement, je me demande en quoi il va impacter mon vécu de consommateur, qui n'a pas vraiment changé ces dernières années. En matière vente liée par exemple, il est toujours quasi-impossible d'acheter un laptop professionnel sans Windows. Du coup, les stats de vente de Vista grimpent, simplement parce que c'est l'option la moins chère.

Mais ce n'est pas tout ce qui me fait grincer des dents...

Lire la suite...

Pv6, on pourrait croire que c'est un peu comme pyping. Un truc inoffensif qu'on trouve sur Google mais dont personne ne se sert. Et bien non. C'est très loin d'être inoffensif. IPv6, c'est la guerre ! C'est en tout cas ce que nous explique Philippe Lemoine dans une interview accordée à Libération. Extrait choisi :

avec le passage à l'IPv6, on saute à une échelle tout à fait
différente. [...] On vise l'échelle atomique. Nous sommes
dans le registre absolu de la volonté de puissance [...]. La
volonté de puissance, c'est quand il n'y a plus de finalité
humaine. Or, le débouché naturel d'un excès de puissance par
rapport à l'emploi de cette puissance, c'est la guerre...

Les mecs, j'vous le dis, à cause de ces tordus de l'IETF, on va tous y crever.

Lire la suite...

uand vous parlez de sécurité Wi-Fi à des industriels, le cas classique qui revient tout le temps, c'est l'installation spécialisée relativement ancienne. Genre les lecteurs de code-barre sans-fil. Pour peu que l'installation date, impossible de mettre quoi que ce soit d'autre que du WEP faute de mise à jour disponible. Ainsi, dans une vie antérieure, j'ai pu pentester, avec succès, un tel système. Datant de Mathusalem, fonctionnant à 2Mbps en saut de fréquence, il ne fournissait que du WEP 64 bits. Seule solution : renouveler toute l'infrastructure. Avec les coûts qu'on imagine aisément...

C'est donc un domaine où le WEP s'accroche plus encore que dans l'informatique grand public. Partant de cette constatation, AirDefense a eu la louable intention d'apporter une protection à ce type d'environnement. Ainsi est sorti en avril dernier le "WEP Cloaking", lequel s'est fait démonter trois mois plus tard, à la dernière Defcon. Histoire d'une bonne intention, assez symptômatique d'une certaine approche de la sécurité...

Lire la suite...

i je devais classer les choses qui parviennent à épuiser mon calme, le bruit arriverait très certainement en tête. Oui, le bruit. Mais pas n'importe lequel. Celui qu'on qualifie pudiquement de "tapage nocturne". Résidant dans un immeuble particulièrement mal insonorisé, je peux en effet profiter pleinement des réceptions mouvementées se déroulant dans les appartements au-dessus. Et ça m'énerve. Ça m'énerve parce que chaque fois c'est le même rituel. Il vous faut vous apprêter, escalader l'escalier, tambouriner à la porte devant l'inefficacité de la sonnette pour enfin tenter de garder son calme en explicant avec ce qu'il vous reste de politesse à un visage mi-agacé, mi-surpris, voire carrément incrédule, que oui, le bruit qui s'échappe de son antre vous dérange. Vous devriez presque vous en excuser.

Mais je dois avouer que ma dernière tournée dans les étages supérieurs a battu des records. Pas pour le niveau sonore, le tenant du titre ayant particulièrement bien fêté son départ des lieux. Mais, côté tenante de la boîte de nuit improvisée, pour avoir pulvérisé le record de mauvaise foi en intérieur, et moi, pour avoir tant bien que mal réussi à conserver le peu de calme qu'il me restait...

Lire la suite...