Ma petite parcelle d'Internet...

ette nuit, nous allons fêter la nouvelle année (ou pas). Et peut-être nous laisser aller à quelques bonnes résolutions. Et probablement jeter un regard sur cette année 2007 qui vient de s'écouler. L'effet nostalgie du nouvel an...

Et en parlant de 2007 et de nostalgie, il me revient un pentest que j'ai fait avec Nico cette année. Le genre de prestation qui vous rappelle le bon vieux temps, comme on dit parfois. Mais qui vous laisse également songeur sur l'évolution de la sécurité informatique dans son ensemble. Vous savez, le fameux arrière goût de "People never learn" qui vous rassure quant à la pérénité de votre domaine d'activité favori...

Lire la suite...

e vous souhaite un joyeux Noël à tous !

I wish you all a Merry Christmas 2007.

uand on se fait piquer la main dans le sac à utiliser les images des autres sans respecter la licence sous laquelle elles sont publiées, on peut adopter une multitude d'attitudes différentes. La plus courante consiste à se fendre d'un "Oups, j'avais pas fait attention, désolé", généralement suivi de la suppression de l'image en question ou de l'ajout d'une notice conforme à la licence de publication. Plus rarement, heureusement, on a droit à un "Va le prouver". Alors, évidemment, on ne va pas se lancer dans d'interminables poursuites pour une pauvre image, mais ce genre de réponse gonfle.

Il se trouve que je prends des photos pendant les conférences. Certaines personnes me les demandent. Ce fut le cas des gens de Websense dont j'avais immortalisé le talk à Pacsec 2007. Mais quand je leur ai fait remarquer qu'il manquait la mention de la provenance de la première image postée dans leur billet sur la conférence, l'excuse s'est faite plus originale. L'auteur s'est réfugié derrière une amnésie totale à propos de mes photos :

I never received them for some reason....or did I? I forget
now.

Lire la suite...

a cinquième édition de la conférence Pacsec s'est tenue à Tokyo les 29 et 30 novembre 2007 à l'Aoyama Diamond Hall. Le programme, relativement dense pour deux jours, proposait treize interventions et une séance de lightning talks. La conférence était précédée de deux jours pour de trainings dont l'affluence a bien dû être la plus faible qu'ait connue une conférence de la lignée Secwest...

Globalement, j'ai trouvé cette édition moins bonne que les trois précédentes, malgré des talks de qualité. Niveau ambiance, c'était... plat... Une conséquence probable de l'annonce tardive du programme final qui a fortement limité le public présent, malgré une couverture médiatique nettement plus importante que les années passées. Peut-être cela contribuera-t-il au succès d'un éventuel prochain opus fin 2008. C'est en tout cas le moins qu'on puisse espérer...

Lire la suite...

omme vous pouvez le constater, j'ai eu du mal à trouver le titre de ce billet. Néanmoins, je pense qu'il résume assez bien la première anecdote de ce billet.

Une connaissance se trouvait bien ennuyée par la lecture d'un fichier vidéo. En effet, alors que ce dernier était supposé durer quelques centaines de minutes, il n'obtenait qu'une poignée de secondes d'un message relativement clair, lui expliquant que le fichier ne pouvait être lu qu'avec un logiciel complètement gratuit appelé DomPlayer. Après une rapide visite du site en question, il s'avère que pour ces gens, complètement gratuit veut dire... 1,5EUR...

Qu'à cela ne tienne, nous allons regarder tout cela d'un peu plus près pour comprendre de quoi il retourne exactement !

Lire la suite...

u milieu d'un paysage que beaucoup jugent de plus en plus fade, Deepsec se démarquait clairement par un programme original et était déjà vue comme un évènement marquant avant même d'avoir eu lieu. Cette conférence a-t-elle tenu ses promesses ?

Vous connaissez mes attentes quant aux conférences de sécurité. Ai-je été satisfait ? En grande partie oui, mais pas complètement. Car si le contenu de la conférence m'a plus que ravi par son oiriginalité et sa qualité, je ne peux pas en dire autant de l'aspect networking, que les organisateurs semblent avoir quelque peu oublié.

Lire la suite...

e me suis acquitté hier matin d'un grand honneur qui m'a été fait : faire partie d'un jury de thèse. C'était la première fois que je me livrais à cet exercice quelque peu intimidant je dois bien l'avouer. Il s'agissait donc de juger du niveau de la thèse de Éric Alata intitulée "Observation, caractérisation et modélisation de processus d'attaques sur Internet". Observateurs attentifs du SSTIC que vous êtes, ce nom ne devrait pas vous être inconnu. Il y a en effet présenté cette année un papier sur les honeypots, qui se trouve également être le sujet de sa thèse.

Je vois déjà des sourcils se lever d'un air moqueur dans l'assistance, probablement à se demander si les honeypots ne sont pas en passe de devenir la tarte à la crème de la sécurité informatique. Même si ce n'est pas probablement pas loin d'être faux, ces travaux font exception à la règle. Et comme les papiers intéressants dans le domaine sont rare, il faut les signaler quand on en trouve, d'autant plus quand il s'agit de thèses.

Lire la suite...

l faut que je refasse mon retard en compte-rendus de conférence. Je vais donc commencer par la première du lot, BCS'07 Asia qui se tenait à Jakarta les 30 et 31 octobre derniers. Ce troisième opus se tenait à l'hôtel Gran Melia, un peu à l'écart du centre ville. La conférence s'organisait en deux tracks parallèles, le premier orienté technique, le second s'occupant de management de la sécurité. Vous commencez à me connaître, j'ai surtout assisté au premier, à l'exception évidente de l'intervention que je devais faire pourle second. Forcément.

Globalement, les conférences étaient intéressantes et les participants relativement réactifs avec pas mal de remarques et de questions. Quand je dis participants, je ne parle pas des autres speakers, mais bien des gens, locaux ou non, qui sont venus assister à la conférence. J'ai l'impression qu'il y avait moins de monde que l'an dernier, avec un agenda moins chargé. Je n'en connais pas la raison cependant, toujours est-il que cela n'a pas nuit au bon déroulement de la conférence, en tout cas en ce qui me concerne.

Lire la suite...