Logo

Ma petite parcelle d'Internet...

Un autre regard sur la sécurité informatique, entre autres futilités.

lundi 30 mars 2009

No more free bugs...

Non free bug

À

Cansecwest, le Pwn2Own est quelque peu devenu une institution. Au point qu'on en arrive à se demander si certains n'auraient pas fait le déplacement rien que pour ça. Ce qui aurait en particulier pu être le cas de Charlie Miller, s'il n'avait pas donné avec Dino Dai Zovi un talk quelque peu décevant sur l'exploitation de MacOS X. Et encore...

C'est ce même Charlie Miller qui, s'il a brillé en remportant le MacBook de l'édition 2009 et 5000 dollars, s'est surtout illustré en affichant des positions fort discutées. D'abord en utilisant une faille Safari qu'il gardait sous le coude depuis l'an dernier, spécialement pour ça. Ensuite en prenant la suite de Sergio Alvarez et ses faille sur iPhone en particulier, en annonçant qu'il ne remontait pas ses trouvailles gratuitement aux éditeurs concernés. Puis de remettre le couvert le lendemain en fédérant quelques pointures derrière le slogan "No More Free Bugs"...

Lire la suite...

Note : 5.0/5 pour 8 votes

mercredi 25 mars 2009

De la légende de la fraude au vote électronique...

iVotronic

C

e que j'adore avec la sécurité informatique, c'est l'entêtement des faits à contredire les affirmations à l'emporte-pièce. Et s'il y a bien un sujet sur lequel cette tendance se montre particulièrement insistante, c'est bien celui du vote électronique, même s'il faut parfois leur laisser un peu de temps pour faire surface.

Vous souvenez-vous de ce que disait Éric Legale, Chef de Cabinet d'André Santini, maire d'Issy les Moulineaux, juste avant les élections présidentielles ? Ce qu'il répondait quand on lui opposait la question de la fraude ? Tout simplement qu'il ne croit pas qu'on puisse frauder une élection sans que ça se voit. Or il se trouve qu'une affaire de fraude électorale dans le Kentucky vient très clairement de lui donner tort...

Lire la suite...

Note : 4.5/5 pour 6 votes

mercredi 18 mars 2009

Des effets du décalage horaire négatif...

Logo SSTIC

L

a course aux places a été lancée lundi matin, presque de bon matin. Je m'imaginais déjà tout le monde dans les starting blocks pour faire tomber le record de l'an dernier. Et appréhender l'ouverture des hostilités que nous avons été quelques un à prendre avec 8 heures de retard. Bien fait pour ta gueule me direz-vous, et je ne vous le reprocherez pas. Et ben le résultat, c'est que...

Ben c'est que je n'ai eu aucun problème à avoir ma place... Je suis limite déçu là... Je pensais qu'il y aurait un peu plus de challenge sur le coup, devoir recourir à des méthodes à l'éthiques douteuses, aligner les coupos bas, etc. Même pas. Va falloir penser à ajouter du piment l'an prochain ! Pourquoi pas munéroter les places pour lancer un concours au collector ? Ou offrir des lots. Comme une soirée en tête à têtes avec le comité d'organisation à la personne qui récupèrera la place numéro 450. Non ?...

Note : 2.5/5 pour 2 votes

jeudi 12 mars 2009

En prison sans passer par la case départ ?

Go to jail!

C

'est tellement gros qu'on a du mal à y croire. Mesdames, mesdemoiselles, messieurs, je vous présente CoPiCo, petit nom du Concours de Piratage de Courriels lancé sur un site répondant au doux nom de SecuritEmail. Le principe est simple, presque enfantin. Chaque participant se voit attribué six adresses emails hébergées chez des fournisseurs de messagerie célèbres. Le but du challenge est d'accéder aux comptes correspondants. Ce que j'aime particulièrement dans sa description, c'est la note éthique qu'on trouve à la fin :

Le CoPiCo suit l'éthique des concours de hacking comme : le
Pwn2own, le Honeynet Project, le Challenge-SecuriTech, les
concours Insomni'hack et les challenges du DefCon.

Présenté comme cela, permettez-moi de douter...

Lire la suite...

Note : 4.9/5 pour 10 votes

mercredi 11 mars 2009

HADOPI mise à mal... Ou pas...

Flic

U

ne décision de justice rendue le mois dernier par le tribunal de Guingamp nous est présentée comme un coup dur au projet de loi HADOPI actuellement discuté à l'Assemblée Nationale. Le jugement relaxe au bénéfice du doute un homme de cinquante-trois ans considérant que son adresse IP ne pouvait suffire à l'incriminer.

Pour défendre son client accusé, sur la base de son adresse IP, d'avoir compromis un blog, l'avocat aurait en effet exhibé de nombreux documents disponibles en ligne explicant comment pirater un accès Internet, convaincant ainsi le tribunal qu'il y avait un réel doute quant à l'identité réelle du pirate. Ne disposant ni du jugement en question, ni de la capacité à vous en faire une lecture aussi pertinente qu'un Me Eolas, j'aurais bien du mal à commenter cette décision. Cependant, il me semble bien cavalier d'y voir un pavé dans la marre du projet HADOPI...

Lire la suite...

Note : 4.7/5 pour 3 votes

lundi 9 mars 2009

Lectures nordiques...

Livres

V

ous avez probablement tous entendu parler de la trilogie Millenium du suédois Stieg Larsson dont les volumes tiennent ferme le top des ventes de roman depuis leur sortie. Si, commes des hordes de lecteurs, j'ai apprécié suivre les aventures de Mikael Blomkvist et Lisbeth Salander, il n'en reste pas moins qu'il n'est pas, à mes yeux, ce que la littérature nordique a produit de meilleur dans le genre.

Je pense en particulier à deux auteurs. Le premier, Jo Nesbø, est norvégien. Dans une série de sept romans, il met en scène l'inspecteur Harry Hole, flic paumé, alcoolique dont les aventures commencent à Sydney. Le second est islandais et se nomme Arnaldur Indriðason. Il use également du personnage récurrent, le commissaire Erlendur Sveinsson, dans une série légèrement plus prolifique que Nesbø, mais dont l'intégralité n'est pas disponible en français. Malheureusement...

Lire la suite...

Note : 4.0/5 pour 3 votes

vendredi 6 mars 2009

L'email à 1000 dollars...

Coupe

I

l y a pleins de manières de justifier l'emploi d'un OS ou d'un logiciel plutôt qu'un autre quand on en vient aux considérations de sécurité. Le problème, c'est qu'il y en a plus de mauvaises raisons que de bonnes. Le décompte du nombre de failles affectant tel ou tel produit est un exemple de métrique clairement contestable. Certains essayent de lui rendre un peu de sens en la pondérant par la criticité, sans trop de succès. L'approche adoptée dans l'étude qui vient d'être publié par Secunia à propos de nos chers navigateurs est plus intéressante en ce qu'elle considère le temps de patch. Le problème de ces arguments, c'est qu'ils sont incomplets et demandent un minimum de compréhension de la part de celui qui les manipule.

Et puis à côté de ça, on a des arguments carrément vides de sens. Comme par exemple celui qui voudrait que parce qu'il est libre, un logiciel est forcément mieux écrit que son pendant propriétaire. Mais un de ceux que je préfère dans cette catégorie est la "djbdns security guarantee" que certains avancent pour justifier la sécurité de ce serveur DNS. Non pas que je considère ce logiciel comme mauvais de ce point de vue, mais que de toute les raisons de l'utiliser, cette dernière est probablement la plus mauvaise. Et bien le truc sympa, c'est qu'on devrait l'entendre un peu moins, maintenant qu'elle vient d'être mise à l'épreuve avec succès...

Lire la suite...

Note : 5.0/5 pour 2 votes