Logo

Ma petite parcelle d'Internet...

Un autre regard sur la sécurité informatique, entre autres futilités.

Aller au contenu | Aller au menu | Aller à la recherche

lundi 30 août 2010

Des malwares qui font tomber les avions...

USB plane hub

C

omme souvent quand on mélange aviation et sécurité informatique, le buzz ne brille pas par son exactitude. Ainsi, il n'a pas fallu beaucoup attendre pour qu'on rebondisse sur les affirmations du journal espagnol El País et qu'un virus informatique devienne responsable du crash du vol Spainar 5022. Contrairement à d'autres avis probablement plus éclairés, mais moins sensationnels...

Évidemment, l'hypothèse de la compromission d'un ordinateur de bord, l'empêchant d'alerter l'équipage et tuant par son silence 154 des 172 personnes présentes à bord du MD82, a de quoi séduire l'amateur de scoops croustillants. Et de générer son lot de commentaires plus ou moins inspirés chez certains professionnels. Il ne manque plus que la clé USB infectée pour parfaire le scénario du Confiker-like meurtrier...

Lire la suite...

Note : 0.0/5 pour 0 vote

mardi 17 août 2010

Blackberry : RIM a-t-il ouvert la boîte de Pandore ?

Blackberry

A

près une première réaction remarquée, RIM aurait finalement cédé aux demandes des Émirats. Le constructeur canadien du Blackberry se serait donc engagé à offrir les capacités d'interceptions exigées par les Émirats Arabes Unis et l'Arabie Saoudite pour ne pas se faire fermer leurs marchés. Maintenant, c'est au tour de l'Inde de s'engouffrer dans la brèche.

Certains y voient un précédent de taille. Parce que RIM a toujours vanté la sécurité du système Blackberry en mettant en avant l'impossibilité, même pour eux, d'intercepter le contenu des messages, ces annonces viennent écorner la confiance des utilisateurs, et surtout relancer les vieilles polémiques. Et ceci au moment où, comme par hasard, les autorités allemandes conseillent de laisser le smartphone au placard...

Lire la suite...

Note : 0.0/5 pour 0 vote

lundi 16 août 2010

ARP cache poisoning by dummies...

Poison bottle

D

e retour du SSTIC, Kevin Denis constatait avec un certain dépit que la sécurité TCP/IP semblait ne plus intéresser personne. C'est en effet un domaine où beaucoup croient que tout a été dit, qu'il ne reste plus rien à trouver, bref que l'étudier est une perte de temps. Je suis loin de partager cet avis.

Et je le partage d'autant moins que ce désintérêt s'exprime souvent chez des gens dont l'approche on ne plus surfacique du sujet en font soupirer plus d'un. Pour illustrer ce que j'entends par là, je vais vous parler d'un truc on ne peut plus Old School et parfaitement maîtrisé : la corruption de cache ARP. Et vous montrer combien certains devraient revoir leur classiques avant de se faire mousser à BlackHat...

Lire la suite...

Note : 4.3/5 pour 3 votes

mercredi 11 août 2010

Livraison record (encore) !

Voiture surchargée

M

icrosoft nous a offert hier la plus grosse livraison de l'histoire des Patch Tuesday. Jugez plutôt : pas moins de quatorze bulletins couvrant trente-quatre failles et un spectre de produits touchés plutôt sympa avec le kernel Windows, l'inévitable Internet Explorer, Office ou encore Silverlight. Quinze failles sont jugées critiques, huit d'entre elles étant gratifiées du XI maximum. Du côté des failles importantes, sept élévations de privilèges sont également jugées exploitables par l'éditeur.

Les paquets massifs de correctifs de ce tonneau ne manquent pas d'amplifier le problème classique du patch management. À savoir la prioritisation des déploiements. D'abord parce que le nombre de patches fait exploser les possibilités, et ensuite parce qu'une foultitude de scénarios d'attaque permettant d'obtenir des privilèges élevés à distance par combinaison s'offrent à l'attaquant.

Lire la suite...

Note : 5.0/5 pour 1 vote

lundi 19 juillet 2010

De la pénurie de pentesteurs...

I want you

D

evant les annonces de recrutement lancées à l'occasion du dernier SSTIC et les offres qui y circulaient à peine plus discrètement, Mat en venait à se demander si une pénurie de main d'œuvre n'était pas en train de gagner le petit monde du test d'intrusion. J'aurais tendance à penser que le problème n'est pas tant dans la disponibilité de candidats potentiels que dans le type de profils recherchés. Comme le souligne Mat, le monde du pentest est petit. Mais encore faut-il s'entendre sur ce qu'on entend par pentest...

Car il ne faut pas se cacher que le terme "penetration testing" est depuis longtemps un buzzword. La portée est certes moindre qu'un bon vieux "cyber-whatever" des familles, mais le fait est : le pentest peut, selon les cas, englober une très large palette d'activités qui n'ont en commun que le fait d'essayer d'évaluer la sécurité d'un système de l'extérieur.

Lire la suite...

Note : 5.0/5 pour 3 votes

mercredi 30 juin 2010

HADOPI, ou la logique du flou...

Vélo triangulaire

H

ADOPI n'en finira donc jamais de nous navrer. Dernier épisode en date, fin de semaine dernière, la parution au Journal Officiel du décret instaurant la fameuse "contravention de négligence caractérisée". Je ne me lancerai pas dans une analyse juridique de ce texte, comme Kevin a pu le faire sur le statut de la labellisation des moyens de sécurité, d'autant que Me Eolas vient de le faire.

Je vais m'en tenir aux réflexions que m'inspirent ce décret qui vient ajouter sa pierre à l'édifice déjà branlant de la sécurisation des accès personnels. Car ce n'est clairement pas en faisant peser la responsabilité de leur sécurisation sur le maillon le plus faible qu'on améliorera la situation...

Lire la suite...

Note : 3.6/5 pour 5 votes

mardi 15 juin 2010

Un HADOPIciel qui aurait pu tourner au botnet...

Botnet HADOPI

D

ans mon précédent billet sur le désormais célèbre logiciel de sécurisation proposé par Orange, j'écrivais : "Mais comme atteindre le fond n'empêche pas de creuser, je ne serais malheureusement pas trop étonné de voir sortir des vulnérabilités sur le client lui-même". Et bien c'est fait. Cette piètre prédiction vient de se réaliser.

Intitulé "Patriotic botnet with Orange's HADOPI software" et posté sur la liste Full Disclosure, un message signé du Cult of the Dead HADOPI décortique le client de fond en comble. Et le moins qu'on puisse dire, c'est que ça pique les yeux...

Lire la suite...

Note : 3.3/5 pour 7 votes

lundi 14 juin 2010

HADOPI et Orange, unis pour le pire...

HADOPI FAIL

E

n écrivant mon billet sur les conséquences pententiellement néfastes d'un mouchardsécuriciel spécial HADOPI, je ne pensais pas être aussi vite rattrapé par l'actualité. Il n'aura en effet pas fallu attendre plus tard que ce week-end pour découvrir les premiers problèmes de sécurité associés à l'offre que propose Orange en la matière...

Comme on pouvait s'y attendre, ce logiciel s'est retrouvé dans le collimateur dès son lancement, et c'est rapidement qu'a été découverte l'adresse d'un serveur au centre du système Orange. Hasard du calendrier encore, ce dernier tourne sous JBoss et s'avèrerait éligible aux problèmes de sécurité décrits par Renaud Dubourguais...

Lire la suite...

Note : 4.2/5 pour 10 votes