Logo

Ma petite parcelle d'Internet...

Un autre regard sur la sécurité informatique, entre autres futilités.

dimanche 25 septembre 2011

B-Sides...

Vol relatif

M

a contamination par le virus de la chute libre semble clairement irréversible. Depuis l'obtention du brevet B mi-août à Pau, j'ai sauté, si je puis dire, sur la sympathique proposition d'Aurélien pour attaquer le B2 à Maubeuge entre deux sauts de Skyvan.

J'ai finalement profité d'un week-end exceptionnellement ensoleillé à Frétoy le Château pour décrocher le précieux sésame pour le vol relatif, donc le saut entre amis, à l'issue d'une journée bien remplie. Sept sauts supplémentaires qui portent le total à cinquante-cinq :D

Note : 5.0/5 pour 1 vote

mercredi 21 septembre 2011

The sound of inevitability...

Loser!...

E

t ce qui devait arriver arriva... Après ses récents déboires, DigiNotar vient très officiellement de mettre la clé sous la porte. C'est ce qu'annonce Vasco, sa maison mère, dans un communiqué de presse publié hier.

Il se sera donc écoulé à peine un mois entre l'officialisation de la compromission de l'autorité de certification et sa banqueroute. De quoi faire réfléchir sur les conséquences potentielles d'une intrusion. Même s'il faut bien reconnaître que le club des boîtes ayant coulé suite à une incident de sécurité reste très fermé...

Note : 5.0/5 pour 1 vote

mardi 20 septembre 2011

802.1X: apports de la révision 2010...

Authentification

C

omme chacun le sait, 802.1X est un standard IEEE visant à fournir un contrôle d'accès au médium physique par authentification. Adopté initialement en 2001, il ne s'appliquait à l'époque qu'aux réseaux filaires et n'a pas connu, il faut bien le reconnaître, un franc succès. Ce n'est qu'avec l'ajout du support du Wi-Fi en 2004 et un soudain regain d'intérêt de la part des constructeurs avec leurs offres NAC qu'il a acquis ses lettres de noblesse.

Seulement en l'état, il ne fournissait pas pour les réseau filaires de lien fort entre l'authentification et la suite des communications, ce qui poussait certains à affirmer, non sans ironie mais avec des arguments valables, que le Wi-Fi était devenu plus sûr qu'un réseau ethernet. Or, la dernière révision du standard publiée l'an dernier vient combler ces manques.

Lire la suite...

Note : 4.0/5 pour 2 votes

vendredi 16 septembre 2011

De la mort des outils de sécurité...

Couronne mortuaire

S

elon une étude publiée par eiQnetworks, le SIEM serait mort. Pour ceux qui ne sont pas familiers des acronymes, un SIEM, c'est un Security Information and Event Management, ce qui aurait tout simplement pu s'appeler une plate-forme de monitoring s'il n'avait pas fallu lui trouver une appellation techno-marketing. Un peu plus que ça diront certains, et on pourra accepter l'objection, mais grosso modo c'est l'idée.

Le SIEM, donc, serait mort. Et il faudrait le remplacer par un truc encore mieux appelé l'Unified Situational Awareness platform. Dit comme ça, pas de doute, ça claque. Sauf qu'à en lire la description, j'ai du mal à saisir la différence entre ce nouveau jouet et un SIEM qui ferait correctement son boulot...

Lire la suite...

Note : 4.0/5 pour 2 votes

mardi 13 septembre 2011

Notification des incidents de sécurité...

Mégaphone

A

lors que la Californie renforce sa législation sur la notification des incidents de sécurité, en particulier quand ils touchent des données personnelles, on introduit le concept en France. L'ordonnance 2011-1012 du 24 août dernier rend en effet obligatoire la déclaration à la CNIL, voire aux personnes affectées, de toute "violation de données à caractère personnel".

On serait tenté de pousser un grand ouf de soulagement, se fendre d'un "c'est pas trop tôt" de rigueur, mais ce serait probablement un tantinet prématuré. D'abord parce que cette obligation semble dépendre d'une injonction de la CNIL. Ensuite, parce qu'il faudra voir comment cette obligation s'accommode de la législation en vigueur, laquelle est censée punir les négligences ayant conduit aux violations ainsi avouées...

Lire la suite...

Note : 5.0/5 pour 1 vote

dimanche 11 septembre 2011

Et le monde bascula...

Attentat du World Trade Center

I

l y a des évènements qui marquent. Des évènements qui laissent un souvenir indélébile. Des évènements dont on se souvient exactement ce qu'on faisait pendant qu'ils se déroulaient. Je pense, en ce qui me concerne, à la chute du Mur de Berlin, à la première guerre du Golfe, au premier tour des présidentielles de 2002. Mais aussi et avant tout aux attentats du 11 septembre 2001 dont on commémore aujourd'hui les dix ans.

Ce qui m'a toujours impressionné avec ce jour là, c'est l'émotion que son souvenir suscite en moi. Et ce bien avant l'impact sans précédent qu'il a eu, et les changements qu'il a induits dans le quotidien de milliards d'êtres humains. Un souvenir très clair, de ce que je faisais ce jour là et de la manière dont j'ai découvert ce qui venait de se produire...

Lire la suite...

Note : 5.0/5 pour 1 vote

jeudi 8 septembre 2011

Parce qu'il faut parler de DigiNotar...

Broken certificate

S

ur Exploitability, Kevin se demande s'il faut parler de DigiNotar. S'il est vrai que depuis deux semaines, tout le monde en parle, et si certains vont même jusqu'à avancer que les conséquences de cet incident seront plus grave que celles de Stuxnet, ce qu'on n'a aucune peine à croire, je pense qu'on peut encore en parler...

Depuis qu'on a appris qu'un vrai-faux certificat pour *.google.com était activement utilisé du côté de l'Iran, c'est une véritable avalanche de révélations qui tombe sur la tête de l'autorité responsable de tout ce chahut : DigiNotar. Et sur le modèle de sécurité de SSL, évidemment...

Lire la suite...

Note : 5.0/5 pour 1 vote