Ma petite parcelle d'Internet...

n des âges reculés à l'échelle du temps numérique, une loi pour la Confiance en l'Économie Numérique, LCEN pour les intimes, venait ajouter un nouvel article au code pénal qui a fait coulé beaucoup d'encre en 2004. Car ce dernier rend illégal "le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs infractions" informatiques. Ce qui a pour effet d'interdire toute publication de sécurité portant sur des failles et leur exploitation.

Bien qu'on ait pu lire énormément de conjectures, parfois éclairées, sur ce fameux motif légitime, son appréciation ne relevait guère que de la supposition en l'absence de jurisprudence. Or, un arrêt récent de la cour de cassation nous en apprend peut-être un peu plus sur le sujet en confirmant une condamnation prononcée par la cour d'appel de Montpellier sur la base, justement, de ce fameux article 323-3-1...

Lire la suite...

moins que vous ne viviez en ermite au fond d'une grotte du Larzac profond, il y a peu de chance que vous ayez loupé la news de la semaine dernière : il y aurait une jolie possibilité d'exploitation de Man in the Middle affectant TLS v1.2 et d'autres versions antérieures, dont SSL v3. Le problème a été remonté sur la liste du groupe de travail TLS de l'IETF. Un article un poil plus détaillé de Marsh Ray et Steve Dispensa a été posté.

Il s'agirait d'une soucis de cohérence entre TLS et l'application dans les renégociations de session qui visent à renouveler le contexte cryptographique d'une session en cours et peuvent être initiée aussi bien par le serveur que par le client. L'article propose trois scénarios d'exploitation visant des communications HTTPS qui permettent à un attaquant d'injecter des données arbitraires dans un flux TLS établi modulo le MitM. Pas glop, d'autant qu'une large majorité des implémentations sont touchées...

Lire la suite...