Ma petite parcelle d'Internet...

ous ce titre accrocheur ne se cache heureusement pas un billet sur la série éponyme. Ou presque... Je suis en effet tombé via Slashdot sur une énième enfilade à propos de la solidité de chroot() et des techniques pour s'en échapper. Discussion au milieu de laquelle Alan Cox finira par lancer :

chroot is not and never has been a security tool

Cette discussion met le doigt sur un mal bien connu dans le milieu de la sécurité informatique, à savoir la méconnaissance des limites des outils utilisés à des fins de protection. De cette mauvaise compréhension résulte un excès de confiance, excès de confiance qui conduit à une très mauvaise appréciation de son niveau de vulnérabilité. L'exemple de chroot() étant excellent à ce titre, je me propose, sans tomber dans le manuel d'utilisation, de le développer un peu.

Lire la suite...

a saga de la rentrée, qui dépasse notre cher microcosme de la sécurité informatique, est sans aucun doute l'invasion par des pirates supposés chinois d'un nombre conséquent de serveurs gouvernementaux. Une tournée mondiale qui a commencé cet été par les États-Unis. Si vous avez raté les épisodes suivants, Richard Bejtlich tient les comptes pour vous :

• Allemagne ;
• Japon ;
• Grande Bretagne ;
• France ;
• Nouvelle Zélande ;
• Canada ;
• Australie.

Le mouvement a l'air de s'être calmé, mais gageons que la liste ne va pas s'arrêter là.

Évidemment, dès que l'hexagone a été touché, la nouvelle a fait grand bruit, toute relayée qu'elle fut par les médias qualifiés de traditionnels. À l'inverse du septième art, il n'y a pas d'exception nationale en sécurité des systèmes d'informations...

Lire la suite...