Ma petite parcelle d'Internet...

près l'affaire TJX, Alberto Gonzales et ses complices ont de nouveau été inculpé suite à d'autres vols massifs de numéros de carte de crédit en 2007 et 2008, ainsi qu'aux fraudes qui ont suivi. Les chiffres varient selon les sources, mais leur score dépasserait le 200 millions d'enregistrements dérobés. Ce sont les fameuses affaires dont tout le monde parle depuis deux semaines qui ont touché 7-Eleven, Hannaford, Heartland et deux autres sociétés anonymes.

En plus d'une sécurité manifestement perméable à ces choses aussi extraordinairement élaborées qu'une injection SQL, toutes ces affaires ont un point commun : ces entreprises sont toutes certifiées PCI DSS. Si on considère que ce standard de certification poussé par les organismes de carte de paiement est censé fournir un meilleur niveau de protection et prévenir la fraude à la carte de crédit, on ne peut que s'interroger sur son efficacité...

Lire la suite...

yant remporté ce week-end une des trois palmes du "Touche Quéquette de la Semaine", je me dois à présent de maintenir un certain niveau pour me montrer digne d'une telle distinction. Il fallait donc que je trouve une rengaine gratuite bien mesquine pour commencer la semaine. Comme je partageais cette affiche avec Julien Tinnes, bâcher quelqu'un qui buzzz sur son dernier advisory serait probablement du meilleur effet. Gratuitement de préférence.

Le gagnant qui appréciera sa nomination à sa juste valeur est donc Zataz, qui se trouve avoir repris l'annonce de la faille hier après-midi. Une news simple pour une vulnérabilité qualifiée de "faille du siècle" par "certains spécialistes de l'informatique". Bref, un nouveau bigouane en puissance, approximatif à souhait, erreurs de traduction et écorchage de noms en prime...

Lire la suite...

l'occasion du SSTIC 2005, Pierre, Nico et moi avions été invités à parler de détournement de trafic réseau. Le message sous-jacent de ce talk était clair : "people never learn". Quatre ans après, il est toujours autant d'actualité, et il le sera probablement pour quelques années encore. D'aucuns avancent que c'est dû à un manque de background. Possible, voire probable.

Mais une chose me semble cependant certaine. C'est ce même manque de culture générale du domaine qui alimente le monde de la sécurité informatique en fausses bonnes idées, en concepts de prime abord intéressants, mais qui ne sont que les prémices de catastrophes à venir. Or, il se touve que Korben en a honteusement relayé un exemple, et l'actualité récente m'en a rappelé un second...

Lire la suite...

ans son dernier commentaire, Jme nous livre une terrible révélation. Un de ces sombres présages qui font froid dans le dos :

Security is dead, risk managment is rising.

Évidemment, c'est moins le fait que le risk management ait le vent en poupe qui fait peur, les réserves mondiales connues de templates PPT étant largement suffisantes à absorber la consommation croissante de roues de Deming. C'est surtout que l'approche technique de la sécurité soit appelée à disparaître qui fout les jetons, en particulier dans une conjoncture déjà pas géniale...

Lire la suite...