Logo

Ma petite parcelle d'Internet...

Un autre regard sur la sécurité informatique, entre autres futilités.

dimanche 29 novembre 2009

LCEN m'a tuer (ou pas)

Justice

E

n des âges reculés à l'échelle du temps numérique, une loi pour la Confiance en l'Économie Numérique, LCEN pour les intimes, venait ajouter un nouvel article au code pénal qui a fait coulé beaucoup d'encre en 2004. Car ce dernier rend illégal "le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs infractions" informatiques. Ce qui a pour effet d'interdire toute publication de sécurité portant sur des failles et leur exploitation.

Bien qu'on ait pu lire énormément de conjectures, parfois éclairées, sur ce fameux motif légitime, son appréciation ne relevait guère que de la supposition en l'absence de jurisprudence. Or, un arrêt récent de la cour de cassation nous en apprend peut-être un peu plus sur le sujet en confirmant une condamnation prononcée par la cour d'appel de Montpellier sur la base, justement, de ce fameux article 323-3-1...

Lire la suite...

Note : 5.0/5 pour 5 votes

mercredi 18 novembre 2009

Pirat(u)eur à gages ?...

Ninja

E

n général, faire appel à des gens comme vous, demande une certaine ouverture d'esprit... C'est ainsi que commençait le dernier email d'un échange qui, à défaut d'être réellement intéressant, soulève quelques questions sur la manière dont est perçue notre passion pour la sécurité informatique. Et si je ne peux m'empêcher de trouver l'anecdote amusante à plusieurs titres, je la trouve également quelque peu inquiétante.

Tout a commencé par un email que m'a adressé un inconnu, ainsi rédigé :

Je suis à le recherche d'un "practicien" du net, de très bon
niveau pour un projet...
Est ce que vous pourriez m'orienter...?

Lire la suite...

Note : 4.8/5 pour 5 votes

vendredi 13 novembre 2009

Les achats "In App" sur iPhone et leurs implications sur le piratage

Sad iPhone

I

l y a un certain temps déjà, Sid m'a demandé si je serais d'accord d'écrire un article invité pour son blog. Bien qu'intéressé, je ne savais pas trop quoi écrire qui soit à la fois intéressant et non soumis à la confidentialité.

À l'époque, j'étais responsable d'une équipe technique de lutte contre le piratage de la télévision à péage, pour des opérateurs comme CanalSat. Aujourd'hui, je me suis mis temporairement au développement de jeux sur iPhone, un rêve de gamin qui se réalise en quelque sorte. J'ai à ce jour développé le jeu de gestion de trafic AutoTrafego.

Comme beaucoup d'entre vous le savent sûrement, les développeurs iPhone sont confrontés à des sérieux problèmes de piratage dont Apple peine à s'occuper. J'ai eu l'occasion d'écrire un article et un billet à ce sujet en Anglais, dont je vais synthétiser le contenu ici d'une façon moins ciblée vers les connaisseurs du développement sur iPhone.

Lire la suite...

Note : 4.0/5 pour 1 vote

lundi 9 novembre 2009

TLS : tout le monde en parle, pourquoi pas moi ?

Pwned laptop

À

moins que vous ne viviez en ermite au fond d'une grotte du Larzac profond, il y a peu de chance que vous ayez loupé la news de la semaine dernière : il y aurait une jolie possibilité d'exploitation de Man in the Middle affectant TLS v1.2 et d'autres versions antérieures, dont SSL v3. Le problème a été remonté sur la liste du groupe de travail TLS de l'IETF. Un article un poil plus détaillé de Marsh Ray et Steve Dispensa a été posté.

Il s'agirait d'une soucis de cohérence entre TLS et l'application dans les renégociations de session qui visent à renouveler le contexte cryptographique d'une session en cours et peuvent être initiée aussi bien par le serveur que par le client. L'article propose trois scénarios d'exploitation visant des communications HTTPS qui permettent à un attaquant d'injecter des données arbitraires dans un flux TLS établi modulo le MitM. Pas glop, d'autant qu'une large majorité des implémentations sont touchées...

Lire la suite...

Note : 4.0/5 pour 1 vote

lundi 2 novembre 2009

TKIP à feu doux...

Feu de cuisson au gaz

V

u sur Slashdot sur les conseils du nettoyeur d'écran : quatre chercheurs norvégiens ont publié une amélioration des attaques sur TKIP. L'article est publié dans les actes de la Nordsec 2009 qui s'est tenue à Oslo mi-octobre, lesquels sont disponibles chez Springer moyennant finance. Heureusement, ou pas selon les points de vue, le contenu, et donc l'article en question, est lisible sur Google Books, ce qui permet de se faire une idée du contenu que je vous propose de commenter rapidement.

Si cette publication est largement passée inaperçue, ce n'est pas que du fait de l'effet Springer. C'est aussi parce que le résumé reste très factuel et conforme au contenu, sans jouer sur les mots pour faire les gros titres. Ainsi, on comprend dès les premières lignes l'objet de l'amélioration proposée pour l'attaque de Beck et Tews : obtenir un keystream nettement plus long à partir d'un DHCP ACK.

Lire la suite...

Note : 5.0/5 pour 1 vote