Logo

Ma petite parcelle d'Internet...

Un autre regard sur la sécurité informatique, entre autres futilités.

mercredi 26 août 2009

Man in the Middle sur WPA ?

Man in the Middle

J

'apprenais hier via Brico-wifi que WPA aurait pris une nouvelle claque. Dragos en remet une couche sur Full-Disclosure en annonçant un Man in the Middle en moins d'une minute. Il se trouve en effet qu'un papier présenté par deux chercheurs japonais en début de mois au Joint Workshop on Information Security à Taiwan vient d'être mis en ligne. Il s'intitule "A Practical Message Falsification Attack on WPA".

Évidemment, et comme on pouvait s'y attendre, le titre de l'article fait le raccourci entre WPA et TKIP. Détail malheureux à garder à l'esprit, mais qui n'empêche pas l'article d'être intéressant. Il décrit une amélioration de l'attaque que Beck et Tews ont publiée l'an dernier pour Pacsec, avec méthode annoncée comme générique et plus rapide. Par contre, désolé de tuer le suspens dès le début, mais ce n'est carrément pas un MITM sur TKIP....

Lire la suite...

Note : 3.2/5 pour 9 votes

lundi 24 août 2009

De l'échec des certifications dans la vraie vie...

Certifié

A

près l'affaire TJX, Alberto Gonzales et ses complices ont de nouveau été inculpé suite à d'autres vols massifs de numéros de carte de crédit en 2007 et 2008, ainsi qu'aux fraudes qui ont suivi. Les chiffres varient selon les sources, mais leur score dépasserait le 200 millions d'enregistrements dérobés. Ce sont les fameuses affaires dont tout le monde parle depuis deux semaines qui ont touché 7-Eleven, Hannaford, Heartland et deux autres sociétés anonymes.

En plus d'une sécurité manifestement perméable à ces choses aussi extraordinairement élaborées qu'une injection SQL, toutes ces affaires ont un point commun : ces entreprises sont toutes certifiées PCI DSS. Si on considère que ce standard de certification poussé par les organismes de carte de paiement est censé fournir un meilleur niveau de protection et prévenir la fraude à la carte de crédit, on ne peut que s'interroger sur son efficacité...

Lire la suite...

Note : 4.5/5 pour 4 votes

mercredi 19 août 2009

L'attirail photo sous Linux...

Playmobil photographe

Q

uand on fait de la photographie numérique, pour le fun ou l'art, avec un compact ou un DSLR full frame, les images finissent sur un ordinateur. Ordinateur sur lequel on va les manipuler. Qu'il s'agisse alors de besoins simple comme les visionner, les remettre droites ou les uploader en ligne, ou des opérations plus avancées comme de la retouche, de l'assemblage HDR ou de la constitution de panoramas, il va falloir des logiciels adaptés.

Autant on en trouve pléthore sous Windows et MacOS, autant sous Linux, c'est plus diffus. Aussi je vous propose ici une brève liste de softs sous Linux pour manipuler des photographies, les retoucher, éventuellement les assembler et finalement les mettre en ligne. Cette liste ne se veut pas exhaustive, puisqu'il s'agit juste des logiciels que j'utilise. Ce n'est pas non plus un tutoriel sur l'utilisation des-dits logiciels...

Lire la suite...

Note : 4.7/5 pour 3 votes

lundi 17 août 2009

Candidature aux prochaines Palmes de la Semaine

Palme d'or

A

yant remporté ce week-end une des trois palmes du "Touche Quéquette de la Semaine", je me dois à présent de maintenir un certain niveau pour me montrer digne d'une telle distinction. Il fallait donc que je trouve une rengaine gratuite bien mesquine pour commencer la semaine. Comme je partageais cette affiche avec Julien Tinnes, bâcher quelqu'un qui buzzz sur son dernier advisory serait probablement du meilleur effet. Gratuitement de préférence.

Le gagnant qui appréciera sa nomination à sa juste valeur est donc Zataz, qui se trouve avoir repris l'annonce de la faille hier après-midi. Une news simple pour une vulnérabilité qualifiée de "faille du siècle" par "certains spécialistes de l'informatique". Bref, un nouveau bigouane en puissance, approximatif à souhait, erreurs de traduction et écorchage de noms en prime...

Lire la suite...

Note : 4.0/5 pour 1 vote

vendredi 14 août 2009

L'échec de l'apprentissage...

No Idea, by imaginee

À

l'occasion du SSTIC 2005, Pierre, Nico et moi avions été invités à parler de détournement de trafic réseau. Le message sous-jacent de ce talk était clair : "people never learn". Quatre ans après, il est toujours autant d'actualité, et il le sera probablement pour quelques années encore. D'aucuns avancent que c'est dû à un manque de background. Possible, voire probable.

Mais une chose me semble cependant certaine. C'est ce même manque de culture générale du domaine qui alimente le monde de la sécurité informatique en fausses bonnes idées, en concepts de prime abord intéressants, mais qui ne sont que les prémices de catastrophes à venir. Or, il se touve que Korben en a honteusement relayé un exemple, et l'actualité récente m'en a rappelé un second...

Lire la suite...

Note : 5.0/5 pour 4 votes

mercredi 12 août 2009

Rétrospective photo...

Pentax K20d

M

arquons donc une petite pause dans le ping-pong de trolls estival et parlons d'autre chose que de sécurité informatique. Genre de photographie par exemple. En effet, comme vous avez pu le remarquer, je prends pas mal de photos.

Ce qui n'est pas en soi un sujet à discussion, si ce n'est que c'est un mal qui empire avec le temps et qui sans pour autant se voir élevé au rang de passion, n'en est pas moins devenu pour moi beaucoup plus qu'un passe-temps. Nul besoin d'en grapher l'évolution pour le voir... Passe-temps qui nécessite de traîner toujours un peu plus de matos au fil du temps, en particulier depuis que je suis passé au reflex numérique, DSLR pour les intimes.

Lire la suite...

Note : 5.0/5 pour 1 vote

mercredi 5 août 2009

Le Risk Manager m'a tuer...

Risk

D

ans son dernier commentaire, Jme nous livre une terrible révélation. Un de ces sombres présages qui font froid dans le dos :

Security is dead, risk managment is rising.

Évidemment, c'est moins le fait que le risk management ait le vent en poupe qui fait peur, les réserves mondiales connues de templates PPT étant largement suffisantes à absorber la consommation croissante de roues de Deming. C'est surtout que l'approche technique de la sécurité soit appelée à disparaître qui fout les jetons, en particulier dans une conjoncture déjà pas géniale...

Lire la suite...

Note : 3.8/5 pour 4 votes