Ma petite parcelle d'Internet...

eux conférences pour le prix d'une serait-on tenté de dire. Et ce fut un peu le cas en fait, avec ces deux là, l'une à la suite de l'autre. D'abord la première édition de BA-Con, avec ses dojos le 29 septembre et les présentations les 30 septembre et 1er octobre. Ensuite, Ekoparty les 2 et 3 octobre. Une semaine somme toute bien remplie.

BA-Con proposait douze interventions sur des sujets aussi variés que les machines à voter, la sécurité Web, les rootkits ou encore les communications aériennes. Ekoparty en alignait quatorze, en parallèle d'autre activités comme un atelier de lockpicking, un CTF et du wardriving.

Enfin, et c'est décidément la mode en ce moment, vous noterez un talk discutant de la sécurité de WPA programmé pour la prochaine Pacsec...

Lire la suite...

u'il s'agisse des mystérieux problèmes TCP, de la fameuse faille DNS, de la débacle OpenSSL chez Debian ou d'autres découvertes catastrophiques, les annonces d'armageddons numériques à répétition me laissent relativement froid. Elles excitent certes ma curiosité, ce n'est clairement pas ça qui va m'empêcher de dormir.

Il y a par contre quelques sujets qui réussissent à me faire flipper. Comme dernièrement, à BA-Con, quand j'ai vu une présentation qui m'a vraiment foutu les boules. Mais pas à la façon du "On a cassé la sécurité Wi-Fi". Non. À la façon énervement teinté d'une franche inquiétude. D'aucuns pourraient penser qu'il s'agit de celle sur les communications aériennes. Non. Rien à voir. C'est plutôt celle de Harri Hursti sur les machines à voter...

Lire la suite...

u'est-ce qui me fout le plus les boules en ce moment dans notre petit monde de la sécurité ? Bonne question. Ce ne sont pas nos compères Robert E. Lee et Jack C. Louis et leur (trop ?) fameux DoS TCP. Ce n'est pas la première annonce grandiloquente de faille terrible menaçant jusqu'à l'avenir de l'Internet. On peut vivre avec ça, même si je comprends que ça en énerve certains, d'autant qu'ils n'ont pas lâché le moindre détail à T2...

En ce moment, s'il y a une chose qui fait peur, c'est bien cette annonce d'Elcomsoft reprise à tout bout de champ comme sonnant la mort de WPA. C'est du pipo, et ça me gave. En fait, ce n'est pas l'annonce en elle-même qui m'énerve. Comme précédemment, c'est le genre de choses avec lesquelles on a appris à vivre. C'est surtout le nombre de gens qui ont relayé ce truc sans même se poser la moindre question, et par effet de boomerang, le nombre de mails auxquels je dois répondre à ce sujet. Et il y a bien un autre truc qui me fout les boules, à savoir le talk qu'a donné Harri Hursti sur les machines à voter, mais je vous en parlerai une autre fois.

Lire la suite...

ncore une annonce de talk qui fait trembler la planète. Robert E. Lee et Jack C. Louis auraient découvert une faille monstrueuse dans les piles réseau leur permettant de mettre à terre n'importe quel service tournant au dessus de TCP, avec une bande passante ridiculement faible. Aïeuh. Les détails techniques de leur découverte ne sont évidemment pas disponibles : ils devraient être dévoilés lors de la conférence T2 qui se déroulera les 16 et 17 octobre prochains à Helsinki, Finlande.

Voilà qui ne manque pas de rappeler de récents évènements... Sauf que là, point de patch à l'horizon, mais toujours la même question qui rode : est-ce que c'est vraiment la fin du monde ? S'il est tout de même difficile de se faire une idée précise de la sévérité de la découverte aujourd'hui, quelques détails techniques traînant çà et là permettent déjà d'entrevoir quelque peu le problème.

Lire la suite...