Ma petite parcelle d'Internet...

eut-être avez-vous noté, ne serait-ce que via Slashdot, la sortie la semaine dernière d'un papier sur la génération automatique d'exploits. Trois chercheurs américains semblent y démontrer cette possibilité par analyse, elle aussi automatique, des patches publiés par les éditeurs, Microsoft en tête. Bref, de créer une machine à pondre de l'exploit à partir de patches, sans intervention humaine.

On comprend bien les implications de ce genre de résultat en terme d'impact sur cette activité déjà pas facile qu'est le patch management. Par contre, d'ici à sauter à des conclusions comme celle citée dans un récent article de Robert Lemos sur SecurityFocus, il y a un pas, un bond, voire une sacré galipette intellectuelle :

When Microsoft releases a patch, what they are saying -- from
a security standpoint -- is, 'Here is an exploit.'

Lire la suite...

'ai bien dû recevoir une dizaine de mails m'annonçant que j'étais cité, aux côté d'Éric Alata, dans un article intitulé "l'activité des pirates du Web sous l'œil des scientifiques" publié par Les Échos ce mardi 22 avril. Frank Niedercorn s'y intéresse au honeypots par le biais de la thèse d'Éric.

Rien de bien intéressant là-dedans, sinon qu'on assiste à un vrai retour du honeypot, sujet particulièrement à la mode il y a trois ou quatre ans. Il faut dire que les travaux ont fait des progrès considérables et que le temps du bricolage est un peu derrière nous. Je participais en début de semaine au premier workshop du projet européen Wombat à Amsterdam, projet dont un énorme volet concerne l'acquisition et le partage des données, en particulier celles générées par les divers projets de honeypots.

Lire la suite...

'exploration de la mémoire est revenue à la mode. Ce sont des chercheurs de Princeton, en publiant ce papier intitulé "Lest We Remember: Cold Boot Attacks on Encryption Keys", qui l'ont remise au goût du jour. Car n'en déplaise à ceux qui veulent voir une révolution à chaque coin de news, c'est un centre d'intérêt qu'on pourrait presque qualifier d'ancien, en tout cas de commun. D'ailleurs, une présentation est prévue sur le sujet au prochain SSTIC qui, considérant le temps de préparation pour une bonne soumission et la deadline, montre bien qu'il ne s'agit pas d'un phénomène récent.

Parlant de SSTIC, je ne peux m'empêcher de citer en exemple la présentation faite par Nicolas Ruff l'an dernier dont une bonne partie portait sur la collecte de la mémoire. Et plus récemment, dans la lignée des pistes qu'il mentionnait, cette présentation faite avec Matthieu Suiche à Pacsec sur l'analyse des fichiers d'hibernation Windows. Et si on remonte encore une année en arrière, on trouvera cette autre présentation, "Hit By A Bus: Physical Access Attacks with Firewire" par Adam Boileau à Ruxcon 2006 sur l'exploitation de la mémoire via un port Firewire, elle-même inspirée des travaux de Maximillian Dornseif, "Owned by an iPod", présenté en 2004 en Pacsec, puis en 2005 à Cansecwest.

Lire la suite...

e craque littéralement sous la pression du harcèlement et vous livre dans un rapide billet deux annonces.

Tout d'abord, le lancement en début de semaine d'oCERT, l'Open Source Computer Emergency Response Team, par Andrea Barisani et quelques autres pour mettre un peu d'ordre dans la gestion des alertes de sécurité impactant les logiciels libres.

Ensuite, la sortie du programme de la prochaine Journée de la Sécurité des Systèmes d'Information de l'OSSIR 2008. Cette année, le thème n'est pas la sécurité du SI 3.0, mais "Anonymat, vie privée et gestion d'identité...".

Lire la suite...

e moins qu'on puisse dire, c'est que la moisson a été fertile ce mardi 8 avril du côté de Redmond. Deux exécutions de code dans des applications bureautiques, heureusement pas les plus populaires, un détournement du client DNS, quatre exécutions de code dans le périmètre du navigateur maison et une élévation de privilèges dans le noyau. Joli. J'en vois qui frappent frénétiquement leur clavier pour pondre les exploits...

Forcément, des patches qui se font analyser, on en a tous les deuxièmes mardi du mois. Des exploits qui sortent pour les failles ainsi corrigées, on en a tous les deuxièmes mercredi. Forcément. Mais je pense qu'on a rarement vu une charrette comme celle-ci, avec tout ce qu'il faut pour produire un magnifique remote root en client-side.

Lire la suite...