Ma petite parcelle d'Internet...

n coup de gueule a été publié hier sur LinuxFR. L'auteur, développeur WebGL chez Mozilla, s'en prend aux "soi-disant experts en sécurité" qui disent Firefox vulnérable parce que n'implémentant pas de mécanisme de sandboxing et "se ridiculisent en répétant, sans distance critique, le marketing d'une entreprise".

On pourra discuter à loisir du fond du discours, force est de constater qu'il ne suffit pas de sortir une sandbox pour prétendre assurer la sécurité de ses produits, pas plus qu'on ne peut prétendre résoudre tous les problèmes de cette manière. Ce coup de gueule fait donc sens, il est juste dommage qu'il tombe dans l'exact même travers qu'il reproche aux autres...

Lire la suite...

'il y a bien quelqu'un qui me scotche régulièrement par ses réflexions et sa capacité à les transmettre, c'est bien Bruce Schneier. L'intervention qu'il a donnée l'an dernier à TEDxPSU était de celles-ci. La vidéo que je vous propose ici également :

Mais avant de la lancer, je vous propose de jouer à ne pas regarder l'écran. Éteignez-le, fermez les yeux, regardez ailleurs... Écoutez plutôt...
Puis posez-vous cette simple question : de quand date cette conférence ? Quand vous aurez la réponse, vous comprendrez mieux le titre de ce billet...

Lire la suite...

l y a un peu plus d'un an, j'écrivais sur la pénurie de pentesters. Un an plus tôt, c'était Newsoft qui posait la question de la fuite des cerveaux dans un billet largement commenté. Les idées exposées alors n'avaient cependant rien de bien nouveau, si ce n'est aux yeux des grands décideurs à qui la "cyber", comme ils disent, s'imposait comme le truc dont il fallait s'occuper.

Alors que 2012 pointe le bout de son nez, et que l'intérêt pour la sécurité informatique a littéralement explosé, ce monde, qui n'est plus le landerneau qu'il a été, se retrouve aujourd'hui à s'affliger d'une pénurie de compétences. Et de compétences techniques en particulier. Pénurie largement attribuée à l'explosion de la demande, mais qui vient surtout, à mon avis, de l'incapacité chronique de cette industrie à valoriser ces compétences et leur proposer de réelles perspectives.

Lire la suite...

ax Schrems est étudiant en droit à Vienne. Un jour, il a demandé à Facebook que lui soient envoyées l'intégralité des données attachées à son profil, et a trouvé parmi les 1200 pages qu'il a reçues en retour des irrégularités propres à faire réfléchir. Vous retrouverez cette histoire détaillée dans un reportage de la télévision allemande, sous-titré en anglais :

Ses vingt-deux plaintes sont consultables sur le site Europe versus Facebook...

armi les trolls récurrents du monde de la sécurité figure en bonne place celui de la remontée de failles. Des discussions à n'en plus finir desquelles aucun consensus n'émerge, à part du côté des éditeurs qui militent assez clairement pour la mise en place d'un cadre qui leur permette de fainéanter à souhait, à savoir qu'on leur remonte tout en toute discrétion et qu'ils décident par la suite quand se bouger le cul. C'est en tout cas leur compréhension du "responsible disclosure", qui s'est précisée plus récemment par "coordinated disclosure".

La remontée de vulnérabilités est donc un immense foutoir, duquel aucune pratique officiellement reconnue ne se dégage, en dehors de celle évoquée précédemment qui concerne les éditeurs de logiciels. Or, face à un arsenal juridique plus que répressif, il pourrait être utile d'offrir une protection aux honnêtes gens face à la mauvaise foi de certains. Mauvaise foi dont l'australien Patrick Webster vient malheureusement de faire les frais...

Lire la suite...

es Assises de la Sécurité 2011 se sont donc conclues sur un discours pour le moins énergique du patron de l'ANSSI, Patrick Pailloux. S'appuyant sur une actualité qui a conforté cette agence dans ses prérogatives, qu'il s'agisse du piratage de Bercy qui a fait les unes de la presse en mars dernier ou plus récemment des déboires d'Areva, il pouvait difficilement trouver meilleur moment pour venir donner des leçons au microcosme de la sécurité informatique.

Appelant les RSSI ainsi que leurs prestataires de tout poil à revenir au fondamentaux, le fameux "back to basics", et à arrêter la "sécurité cache-sexe", c'est à un véritable exercice de remontage de bretelles qu'il s'est livré vendredi dernier. Loin de vouloir lui donner tort, pas plus sur le forme que sur le fond, je n'en pense pas moins qu'il va falloir secouer nettement plus loin que le monde de la sécurité informatique si on veut parvenir à un résultat tangible...

Lire la suite...

'avais commencé à rédiger un truc qui me paraissait vachement intelligent sur BEAST, l'outil qui exploite la faille SSL/TLS publiée par Juliano Rizzo et Thai Duong à Ekoparty fin septembre. Et puis le temps a passé... Et puis j'ai eu la flemme... Et puis je suis parti aux Assises... Et puis je me suis aperçu que que pleins de gens avaient déjà commenté très largement et parfois intelligemment cette annonce.

Aussi je vais me contenter de vous livrer une série de liens, de plus ou moins bonne qualité, mais parmi lesquels il faudra absolument lire l'excellente analyse fournie par Thierry Zoller, celle publiée par l'ISC et enfin, pour les anglophobes, ce que nous en dit Stéphane Bortzmeyer.

Lire la suite...

omme chacun le sait, 802.1X est un standard IEEE visant à fournir un contrôle d'accès au médium physique par authentification. Adopté initialement en 2001, il ne s'appliquait à l'époque qu'aux réseaux filaires et n'a pas connu, il faut bien le reconnaître, un franc succès. Ce n'est qu'avec l'ajout du support du Wi-Fi en 2004 et un soudain regain d'intérêt de la part des constructeurs avec leurs offres NAC qu'il a acquis ses lettres de noblesse.

Seulement en l'état, il ne fournissait pas pour les réseau filaires de lien fort entre l'authentification et la suite des communications, ce qui poussait certains à affirmer, non sans ironie mais avec des arguments valables, que le Wi-Fi était devenu plus sûr qu'un réseau ethernet. Or, la dernière révision du standard publiée l'an dernier vient combler ces manques.

Lire la suite...