Évidemment, l'hypothèse de la compromission d'un ordinateur de bord, l'empêchant d'alerter l'équipage et tuant par son silence 154 des 172 personnes présentes à bord du MD82, a de quoi séduire l'amateur de scoops croustillants. Et de générer son lot de commentaires plus ou moins inspirés chez certains professionnels. Il ne manque plus que la clé USB infectée pour parfaire le scénario du Confiker-like meurtrier...
près une première réaction remarquée, RIM aurait finalement cédé aux demandes des Émirats. Le constructeur canadien du Blackberry se serait donc engagé à offrir les capacités d'interceptions exigées par les Émirats Arabes Unis et l'Arabie Saoudite pour ne pas se faire fermer leurs marchés. Maintenant, c'est au tour de l'Inde de s'engouffrer dans la brèche.
Certains y voient un précédent de taille. Parce que RIM a toujours vanté la sécurité du système Blackberry en mettant en avant l'impossibilité, même pour eux, d'intercepter le contenu des messages, ces annonces viennent écorner la confiance des utilisateurs, et surtout relancer les vieilles polémiques. Et ceci au moment où, comme par hasard, les autorités allemandes conseillent de laisser le smartphone au placard...
e retour du SSTIC, Kevin Denis constatait avec un certain dépit que la sécurité TCP/IP semblait ne plus intéresser personne. C'est en effet un domaine où beaucoup croient que tout a été dit, qu'il ne reste plus rien à trouver, bref que l'étudier est une perte de temps. Je suis loin de partager cet avis.
Et je le partage d'autant moins que ce désintérêt s'exprime souvent chez des gens dont l'approche on ne plus surfacique du sujet en font soupirer plus d'un. Pour illustrer ce que j'entends par là, je vais vous parler d'un truc on ne peut plus Old School et parfaitement maîtrisé : la corruption de cache ARP. Et vous montrer combien certains devraient revoir leur classiques avant de se faire mousser à BlackHat...
Par Sid,
mercredi 11 août 2010 à 12:30 ::(In)Sécurité:: lu 1490 fois ::English
M
icrosoft nous a offert hier la plus grosse livraison de l'histoire des Patch Tuesday. Jugez plutôt : pas moins de quatorze bulletins couvrant trente-quatre failles et un spectre de produits touchés plutôt sympa avec le kernel Windows, l'inévitable Internet Explorer, Office ou encore Silverlight. Quinze failles sont jugées critiques, huit d'entre elles étant gratifiées du XI maximum. Du côté des failles importantes, sept élévations de privilèges sont également jugées exploitables par l'éditeur.
Les paquets massifs de correctifs de ce tonneau ne manquent pas d'amplifier le problème classique du patch management. À savoir la prioritisation des déploiements. D'abord parce que le nombre de patches fait exploser les possibilités, et ensuite parce qu'une foultitude de scénarios d'attaque permettant d'obtenir des privilèges élevés à distance par combinaison s'offrent à l'attaquant.
Par Sid,
lundi 19 juillet 2010 à 12:29 ::(In)Sécurité:: lu 3210 fois ::English
D
evant les annonces de recrutement lancées à l'occasion du dernier SSTIC et les offres qui y circulaient à peine plus discrètement, Mat en venait à se demander si une pénurie de main d'œuvre n'était pas en train de gagner le petit monde du test d'intrusion. J'aurais tendance à penser que le problème n'est pas tant dans la disponibilité de candidats potentiels que dans le type de profils recherchés. Comme le souligne Mat, le monde du pentest est petit. Mais encore faut-il s'entendre sur ce qu'on entend par pentest...
Car il ne faut pas se cacher que le terme "penetration testing" est depuis longtemps un buzzword. La portée est certes moindre qu'un bon vieux "cyber-whatever" des familles, mais le fait est : le pentest peut, selon les cas, englober une très large palette d'activités qui n'ont en commun que le fait d'essayer d'évaluer la sécurité d'un système de l'extérieur.
Je vais m'en tenir aux réflexions que m'inspirent ce décret qui vient ajouter sa pierre à l'édifice déjà branlant de la sécurisation des accès personnels. Car ce n'est clairement pas en faisant peser la responsabilité de leur sécurisation sur le maillon le plus faible qu'on améliorera la situation...
ans mon précédent billet sur le désormais célèbre logiciel de sécurisation proposé par Orange, j'écrivais : "Mais comme atteindre le fond n'empêche pas de creuser, je ne serais malheureusement pas trop étonné de voir sortir des vulnérabilités sur le client lui-même". Et bien c'est fait. Cette piètre prédiction vient de se réaliser.
n écrivant mon billet sur les conséquences pententiellement néfastes d'un mouchardsécuriciel spécial HADOPI, je ne pensais pas être aussi vite rattrapé par l'actualité. Il n'aura en effet pas fallu attendre plus tard que ce week-end pour découvrir les premiers problèmes de sécurité associés à l'offre que propose Orange en la matière...
Comme on pouvait s'y attendre, ce logiciel s'est retrouvé dans le collimateur dès son lancement, et c'est rapidement qu'a été découverte l'adresse d'un serveur au centre du système Orange. Hasard du calendrier encore, ce dernier tourne sous JBoss et s'avèrerait éligible aux problèmes de sécurité décrits par Renaud Dubourguais...
English 
