Logo

Ma petite parcelle d'Internet...

Un autre regard sur la sécurité informatique, entre autres futilités.

mardi 30 décembre 2008

Le monde s'arrête en 2008...

Astéroïde

E

t c'est à Berlin que ça se passe, pas à New York. Cet après-midi, à 15h15 CET exactement. C'est le moment qu'ont choisi Jacob Appelbaum et Alexander Sotirov pour dévoiler à la face du monde une méthode permettant d'attaquer, je cite, un "composant critique de l'infrastructure Internet", à l'occasion du 25e Chaos Communication Congress, le 25C3 pour les intimes.

Voilà, vous êtes prévenus. Le talk est prévu pour durer une heure. Donc à 16h15 pêtantes, c'en est fini de l'Internet et il n'y a plus qu'à aller chercher du travail dans un autre domaine que les technologies de l'information. Mais ne cherchez pas encore à savoir de quoi il s'agit, car comme tout bon talk des familles façon 2008, aucun détail n'est disponible pour se faire une idée de la teneur du problème, et donc de son étendue.

Lire la suite...

Note : 4.6/5 pour 5 votes

jeudi 25 décembre 2008

Joyeux Noël !

Le Père Noël et son laptop

Ç

a y est, c'est déjà Noël. Je saisis donc quelques minutes de répis avant d'aller profiter de ce jour particulier en famille pour vous souhaiter mes meilleurs vœux pour ces fêtes de fin d'année 2008.

Joyeux Noël donc, ou Merry Christmas, comme on dit là-bas...

Note : 4.0/5 pour 2 votes

mardi 16 décembre 2008

Tout pareil...

Chapeau magique

V

ous trouverez chez Zythom un billet sur le piratage, intéressant par le biais sous lequel il aborde le sujet. Billet qui nous rappelle délicatement que finit de se dessiner à travers le verbe de quelques parlementaires la loi "Création et Internet", plus connue sous le nom de loi Hadopi.

Dans la droite ligne du DMCA, de l'EUCD et plus récemment du DADVSI, ce texte nous montre une nouvelle fois la volonté manifeste de nos législateurs d'enterrer tout débat autour du sujet du piratage. Il n'y a qu'à se rappeler le sort réservé à la licence globale pour s'en convaincre. Ou regarder de plus près ce qu'on nous pond pour justifier de telles lois...

Lire la suite...

Note : 5.0/5 pour 8 votes

jeudi 11 décembre 2008

Patch Tuesday gratiné...

Drapeau noir

P

our autant que je puisse me souvenir, ce mardi 9 décembre 2008 doit bien être la plus grosse livraison de correctifs pour failles critiques depuis le lancement des Patch Tuesday. Le lot de correctifs du mois de décembre contient pas moins de huit bulletins concernant un total de vingt-huit failles, parmi lesquelles vingt-cinq sont exploitables à distance et considérées comme critiques.

En parallèle, on fait état d'exploitation dans la nature de deux failles non patchées qui visent le Wordpad Text Converter pour la première, et le moteur XML d'Internet Explorer pour la seconde. Les deux ont été confirmées par Microsoft.

Autant vous dire qu'avec les exploits qui commencent à apparaître ça et là, il y a du monde qui a autre chose à faire en ce moment que de préparer ses fêtes de Noël...

Lire la suite...

Note : 4.8/5 pour 4 votes

lundi 8 décembre 2008

GnuTLS vs. Debian OpenSSL

Podium

A

près la publicité, certes légitime, autour de la faille OpenSSL dans Debian du début de cette année, penchons-nous sur une vulnérabilité récente qui n'a absolument pas fait parler d'elle, malgré ses conséquences désastreuses.

Celle-ci affecte également une bibliothèque implémentant le protocole TLS : GnuTLS. Référencée par les identifiants GNUTLS-SA-2008-3 et CVE-2008-4989, cette faille permet à un attaquant de contourner la vérification de la chaîne de confiance d'un certificat. C'est-à-dire faire considérer comme légitime (signé par une autorité de confiance) un certificat qui ne devrait pas l'être (par exemple auto-signé).

Avant de voir les causes de cette faille, précisons qu'elle a été découverte par hasard, suite à une erreur : Martin von Gagern avait interverti deux certificats dans la chaîne présentée par son serveur Web au client.

Lire la suite...

Note : 5.0/5 pour 5 votes

mercredi 3 décembre 2008

À poil sur Internet...

Wookie

F

ermez les yeux deux minutes et imaginez un peu votre filtre à courrier électronique qui part en carafe. Grave. Mais pas dans le style plantage avec plus rien qui marche. Plutôt le genre boîte qui ne protège plus de rien. Le cauchemar. Plus rien n'est vérifié, toutes les saloperies de la planète passent à travers votre beau boîtier. Ça semble dingue, n'est-ce pas ? C'est pourtant ce qui est arrivé à pas mal d'appliances SonicWall pas plus tard qu'hier.

La cause du problème ? Le service de vérification de licences du constructeur qui est parti au tas, entraînant l'invalidation des licences utilisateurs. Résultat : toutes les protections se seraient trouvées désactivées, genre plus d'antispam, d'antivirus, de listes noires ou de filtrage de contenu. Certains avancent même que les firewalls de la marque seraient touchés aussi, mais sans préciser les conséquences exactes. Un Massive Epic Fail qui devrait nous rappeler quelques fondamentaux...

Lire la suite...

Note : 4.5/5 pour 6 votes

lundi 1 décembre 2008

Rendez-moi ma Freebox !

Freebox

Ç

a fait un peu plus de deux semaines que je suis en Californie et je dois bien me rendre à l'évidence. Code source ou pas code source, je commence à avoir la nostalgie de ma Freebox. Pourtant, l'appartement où je réside actuellement est équipé du câble, et même que c'est du "Triple Play". Comme à la maison. Ou presque.

Il s'agit d'une offre de base avec accès 12Mbps, téléphone illimité aux US et TV avec VOD. Tellement de base qu'elle n'est plus au catalogue du fournisseur, dont je vais taire le nom par charité. Elle a tout juste le JMMPP, c'est dire. Le tout sur un magnifique écran LCD 26 pouces, au prix défiant toute concurrence d'une bonne centaine de dollars US le mois...

Lire la suite...

Note : 5.0/5 pour 3 votes