Logo

Ma petite parcelle d'Internet...

Un autre regard sur la sécurité informatique, entre autres futilités.

mercredi 26 novembre 2008

Freebox et logiciel libre...

Menottes

C

'est vraiment parti cette fois. Free se fait assigner en justice pour non respect de la GPLv2. C'est l'aboutissement, mais pas la fin, d'une polémique vieille d'une bonne demie-douzaine d'année qui n'a cessé d'enfler depuis 2006 avec une série d'articles, de billets et d'interviews pas piquées des vers.

Sur le site dédié à leur cause, les plaignants, Harald Welte, Rob Landley et Erik Andersen exposent leur argumentation bien évidemment basée sur la compréhension de la notion de distribution dans le cas de la Freebox. Donc de définir la portée de la mise à disposition de l'équipement et s'il tombe sous le coup des obligations de la GPL.

Lire la suite...

Note : 4.0/5 pour 8 votes

lundi 17 novembre 2008

À tout seigneur, tout honneur...

No U-Turn

A

près avoir conspué le manque de réactivité flagrant de Adobe, ou plus anciennement l'inertie presque légendaire de Oracle, je ne pouvais décemment pas passer à côté du nouveau record que vient de s'offrir Microsoft.

Car en patchant la faille qui permettait l'attaque SMBRelay avec le dernier lot de correctifs, c'est à une période de vulnérabilité d'une durée inimaginable qu'ils viennent de mettre un terme. La plupart des articles que vous trouverez sur la question avanceront le chiffre déjà impressionnant de sept ans. Mais à bien y regarder, c'est bien plus que cela...

Lire la suite...

Note : 4.6/5 pour 9 votes

dimanche 9 novembre 2008

Des fameuses faiblesses de TKIP...

Fissure

E

rik Tews a encore frappé. Un an et demi après la fameuse attaque PTW sur WEP mise au point avec Ralf-Philipp Weinmann et Andrei Pyshkin, il revient avec une présentation au titre éloquent : "Gone in 900 Seconds, Some Crypto Issues with WPA".

Programmée à Pacsec, cette intervention décrit les résultats de travaux réalisés avec Martin Beck et portera principalement sur l'exploitation de faiblesses dans le protocole de chiffrement TKIP tel que défini dans WPA et WPA2, indépendamment de la méthode d'authentification choisie. Comme nous allons le voir, les conséquences de cette attaque sont pour le moment limitées. Pour autant, il s'agit à mes yeux du premier véritable coup porté à TKIP, ce qui doit amener à reconsidérer sa pérennité.

Lire la suite...

Note : 4.7/5 pour 14 votes

vendredi 7 novembre 2008

TKIP, comment ça marche ?

Usine à gaz

E

n préliminaire au billet que je vous prépare sur l'attaque que va présenter Erik Tews à Pacsec la semaine prochaine et dont la presse vient de faire l'écho, je vous propose aujourd'hui un rapide descriptif de TKIP qui vous permettra de bien comprendre comment fonctionne l'attaque, mais aussi ses limites.

Introduit par WPA et repris dans WPA2, TKIP relève le double challenge de fournir d'une part un système de rotation de clés pour un chiffrement RC4 et d'autre part un mécanisme de contrôle d'intégrité. Le tout avec la douloureuse contrainte de la compatibilité avec le parc matériel existant...

Lire la suite...

Note : 4.7/5 pour 16 votes

mercredi 5 novembre 2008

Adobe vs. Responsible Disclosure...

Bombe à retardement

J

e dois bien avouer que sans le dernier billet de Kostya, je serais passé à côté de cette magnifique faille : un stack overflow qui touche la suite Acrobat 8 dont les advisories et le patch sont tombés hier. Rien de bien méchant jusque là si ce n'est le fait que trois boîtes différentes vont publier leur propre advisory pour cette même faille.

Le trois gagnants sont, par ordre d'apparition dans ma mailbox, Secunia, Core et ZDI. Auxquelles s'ajoutent iSIGHT Partners Labs mentionnée dans le bulletin d'Adobe. Quatre sociétés pour la même faille, voilà qui est peu commun, donc intéressant. Regardons pourquoi...

Lire la suite...

Note : 5.0/5 pour 8 votes

mardi 4 novembre 2008

Artillerie en phase aqueuse...

Pistolet à eau

A

près le partial disclosure brillamment illustré par Dan Kaminsky cet été à BlackHat US avec ses histoires de corruption de cache DNS, après le fake disclosure à la façon Outpost24 à T2 et leur f[a|u]meux bug TCP, voici venu le temps du pêtard mouillé. Car non content de ne rien publier de ce qu'il avait promis, Kris Kapersky semble avoir produit une prestation qui sent fort le réchauffé...

Ce dernier avait promis un talk sur l'exploitation distante multi plate-forme de bugs CPU chez Intel. Une nouvelle fin du monde en somme. De quoi retourne-t-il ? Devinez quoi ? Ben le monsieur, pour diverses raisons, il ne peut pas le dire. Top secret. Et de mon point de vue, ce qu'il a publié ne vaut même pas le prix des deux méga-octets à télécharger...

Lire la suite...

Note : 4.4/5 pour 7 votes