Ma petite parcelle d'Internet...

Cansecwest, le Pwn2Own est quelque peu devenu une institution. Au point qu'on en arrive à se demander si certains n'auraient pas fait le déplacement rien que pour ça. Ce qui aurait en particulier pu être le cas de Charlie Miller, s'il n'avait pas donné avec Dino Dai Zovi un talk quelque peu décevant sur l'exploitation de MacOS X. Et encore...

C'est ce même Charlie Miller qui, s'il a brillé en remportant le MacBook de l'édition 2009 et 5000 dollars, s'est surtout illustré en affichant des positions fort discutées. D'abord en utilisant une faille Safari qu'il gardait sous le coude depuis l'an dernier, spécialement pour ça. Ensuite en prenant la suite de Sergio Alvarez et ses faille sur iPhone en particulier, en annonçant qu'il ne remontait pas ses trouvailles gratuitement aux éditeurs concernés. Puis de remettre le couvert le lendemain en fédérant quelques pointures derrière le slogan "No More Free Bugs"...

Lire la suite...

e que j'adore avec la sécurité informatique, c'est l'entêtement des faits à contredire les affirmations à l'emporte-pièce. Et s'il y a bien un sujet sur lequel cette tendance se montre particulièrement insistante, c'est bien celui du vote électronique, même s'il faut parfois leur laisser un peu de temps pour faire surface.

Vous souvenez-vous de ce que disait Éric Legale, Chef de Cabinet d'André Santini, maire d'Issy les Moulineaux, juste avant les élections présidentielles ? Ce qu'il répondait quand on lui opposait la question de la fraude ? Tout simplement qu'il ne croit pas qu'on puisse frauder une élection sans que ça se voit. Or il se trouve qu'une affaire de fraude électorale dans le Kentucky vient très clairement de lui donner tort...

Lire la suite...

'est tellement gros qu'on a du mal à y croire. Mesdames, mesdemoiselles, messieurs, je vous présente CoPiCo, petit nom du Concours de Piratage de Courriels lancé sur un site répondant au doux nom de SecuritEmail. Le principe est simple, presque enfantin. Chaque participant se voit attribué six adresses emails hébergées chez des fournisseurs de messagerie célèbres. Le but du challenge est d'accéder aux comptes correspondants. Ce que j'aime particulièrement dans sa description, c'est la note éthique qu'on trouve à la fin :

Le CoPiCo suit l'éthique des concours de hacking comme : le
Pwn2own, le Honeynet Project, le Challenge-SecuriTech, les
concours Insomni'hack et les challenges du DefCon.

Présenté comme cela, permettez-moi de douter...

Lire la suite...

l y a pleins de manières de justifier l'emploi d'un OS ou d'un logiciel plutôt qu'un autre quand on en vient aux considérations de sécurité. Le problème, c'est qu'il y en a plus de mauvaises raisons que de bonnes. Le décompte du nombre de failles affectant tel ou tel produit est un exemple de métrique clairement contestable. Certains essayent de lui rendre un peu de sens en la pondérant par la criticité, sans trop de succès. L'approche adoptée dans l'étude qui vient d'être publié par Secunia à propos de nos chers navigateurs est plus intéressante en ce qu'elle considère le temps de patch. Le problème de ces arguments, c'est qu'ils sont incomplets et demandent un minimum de compréhension de la part de celui qui les manipule.

Et puis à côté de ça, on a des arguments carrément vides de sens. Comme par exemple celui qui voudrait que parce qu'il est libre, un logiciel est forcément mieux écrit que son pendant propriétaire. Mais un de ceux que je préfère dans cette catégorie est la "djbdns security guarantee" que certains avancent pour justifier la sécurité de ce serveur DNS. Non pas que je considère ce logiciel comme mauvais de ce point de vue, mais que de toute les raisons de l'utiliser, cette dernière est probablement la plus mauvaise. Et bien le truc sympa, c'est qu'on devrait l'entendre un peu moins, maintenant qu'elle vient d'être mise à l'épreuve avec succès...

Lire la suite...