Logo

Ma petite parcelle d'Internet...

Un autre regard sur la sécurité informatique, entre autres futilités.

mardi 31 mai 2011

Les écueils du partial disclosure...

Balayer la poussière sous le tapis...

I

l y a deux semaines de cela, Dillon Beresford et Brian Meixell devaient faire une présentation sur des vulnérabilités SCADA à la conférence TakeDown. Mais ce talk intitulé "Chain Reactions, Hacking SCADA" qui devait en particulier démontrer des vulnérabilités sur des équipements Siemens, s'est vu annulé après discussion entre les orateurs, le constructeur et le DHS.

Ce n'est pas la première fois qu'une présentation est retirée sous la pression d'un éditeur, de la justice ou d'un organisme gouvernemental. La différence notable cette fois-ci tient dans le fait que les vulnérabilités n'allaient pas être publiées à la sauvage. Elles avaient en effet été remontées à l'éditeur via le CERT qui va bien. Ce qui donne à cette initiative de forts relents d'encouragement à la fainéantise...

Lire la suite...

Note : 0.0/5 pour 0 vote

vendredi 20 mai 2011

I told you so...

Je protégerez les données personnelles...

Q

uand je vous disais qu'il était illusoire de vouloir faire confiance aux gens qui collectent des données personnelles... Que c'était particulièrement le cas quand ils le font contre votre volonté...

Et bien le niveau au-dessus, c'est quand c'est fait sous couvert d'une loi. Mauvaise foi incluse évidemment... C'est bonus...

Trop merci HADOPI...

Note : 5.0/5 pour 3 votes

lundi 16 mai 2011

Réflexions sur VUPEN vs. Chrome...

Incompréhension

L

'exploitation de Chrome 11 avec contournement de sandbox, DEP et ASLR sous Windows 7 64bits est un petit exploit qui a permis à VUPEN de se faire un joli coup de pub. La nouvelle a en effet été reprise à tours de bras dans la presse en ligne plus ou moins spécialisée. La performance technique mérite peut-être qu'on s'y attarde, il y a quand même dans cette annonce quelque chose qui me chatouille.

Très peu sont ceux qui ont tiqué sur les deux dernières phrases qui concluaient l'annonce :

This code and the technical details of the underlying 
vulnerabilities will not be publicly disclosed. They 
are shared exclusively with our Government customers 
as part of our vulnerability research services.

Brian Krebs a tout de même senti le besoin de creuser un peu ces lignes qui se sont étoffées depuis mercredi matin d'un "for security reasons" dont j'ai un peu de mal, justement, à saisir à l'opportunité...

Lire la suite...

Note : 0.0/5 pour 0 vote

mercredi 11 mai 2011

Dix ans qu'il voyage...

Don't Panic

J

e m'attendais à ce que Google leur consacre sa mascotte du jour, mais ils ont préféré célébrer de la naissance de Martha Graham. Je veux parler des dix ans de la mort de Douglas Adams. Comme le suggère l'illustration de ce billet, et comme beaucoup la savent déjà, c'est, en particulier, l'auteur du fameux "Hitchhiker's Guide to the Galaxy" qui nous quittait quelque peu prématurément le 11 mai 2001 à l'âge de 49 ans.

So long, and thanks for H2G2 ;)


(On célèbre également les trente ans de la mort de Bob Marley aujourd'hui...)

Note : 0.0/5 pour 0 vote

mardi 10 mai 2011

De la collecte des données personnelles...

Voyeur

C

omme Bluetouff, je suis littéralement tombé sur le cul en lisant une première fois le billet de Jacques Crémer sur le Cercle des Échos au sujet d'une supposée contre-productivité de la protection de la vie privée. Et puis je l'ai relu. Et je pense qu'il faut prendre un peu de recul pour d'une part déceler l'erreur fondamentale du raisonnement et d'autre part entrevoir le propos de l'auteur.

Car sur la conclusion, l'auteur a entièrement raison. La protection de la vie privée a un coût. Comme la sécurité. Et la question qu'il faut donc se poser est de savoir si on est prêt à assumer ce coût ou non. Si le compromis, que j'ai tendance à faire pencher du côté de la protection de la vie privée, en vaut la peine. Ce que je crois, d'une part parce que j'y accorde un grande importance, et d'autre part parce que l'expérience montre que les collecteurs de données ne méritent pas qu'il en soit autrement...

Lire la suite...

Note : 5.0/5 pour 3 votes

mercredi 4 mai 2011

De l'optimalité de la législation...

Assemblée Nationale

L

a disparition de Patrick Roy, député métalleux haut en couleurs à l'instar de ses vestes rouges et poil à gratter de l'Assemblée, nous prive d'un homme dont on ne pouvait que se sentir proches, nous les geeks qui regardons le débat politique d'un œil méfiant. En particulier en ces temps plutôt hostiles où l'ignorance semble le disputer à l'incompétence...

Évidemment, je ne peux laisser une telle affirmation sans un exemple brûlant pour l'illustrer. C'est la désormais célèbre députée Muriel Marland-Militello qui me le fournit. Après nous avoir vanté les mérites de, je cite, l'optimalité d'Internet, la marotte de Bluetouff se fend d'un projet de loi visant à durcir les sanctions contre les auteurs de délits informatiques...

Lire la suite...

Note : 5.0/5 pour 5 votes