Logo

Ma petite parcelle d'Internet...

Un autre regard sur la sécurité informatique, entre autres futilités.

jeudi 20 octobre 2011

Des données personnelles sur Facebook...

Facebook

M

ax Schrems est étudiant en droit à Vienne. Un jour, il a demandé à Facebook que lui soient envoyées l'intégralité des données attachées à son profil, et a trouvé parmi les 1200 pages qu'il a reçues en retour des irrégularités propres à faire réfléchir. Vous retrouverez cette histoire détaillée dans un reportage de la télévision allemande, sous-titré en anglais :


Ses vingt-deux plaintes sont consultables sur le site Europe versus Facebook...

Note : 5.0/5 pour 1 vote

mercredi 19 octobre 2011

Formaliser la remontée de failles ?

Heaume

P

armi les trolls récurrents du monde de la sécurité figure en bonne place celui de la remontée de failles. Des discussions à n'en plus finir desquelles aucun consensus n'émerge, à part du côté des éditeurs qui militent assez clairement pour la mise en place d'un cadre qui leur permette de fainéanter à souhait, à savoir qu'on leur remonte tout en toute discrétion et qu'ils décident par la suite quand se bouger le cul. C'est en tout cas leur compréhension du "responsible disclosure", qui s'est précisée plus récemment par "coordinated disclosure".

La remontée de vulnérabilités est donc un immense foutoir, duquel aucune pratique officiellement reconnue ne se dégage, en dehors de celle évoquée précédemment qui concerne les éditeurs de logiciels. Or, face à un arsenal juridique plus que répressif, il pourrait être utile d'offrir une protection aux honnêtes gens face à la mauvaise foi de certains. Mauvaise foi dont l'australien Patrick Webster vient malheureusement de faire les frais...

Lire la suite...

Note : 5.0/5 pour 3 votes

vendredi 14 octobre 2011

Back to security basics is not enough...

Homme en colère

L

es Assises de la Sécurité 2011 se sont donc conclues sur un discours pour le moins énergique du patron de l'ANSSI, Patrick Pailloux. S'appuyant sur une actualité qui a conforté cette agence dans ses prérogatives, qu'il s'agisse du piratage de Bercy qui a fait les unes de la presse en mars dernier ou plus récemment des déboires d'Areva, il pouvait difficilement trouver meilleur moment pour venir donner des leçons au microcosme de la sécurité informatique.

Appelant les RSSI ainsi que leurs prestataires de tout poil à revenir au fondamentaux, le fameux "back to basics", et à arrêter la "sécurité cache-sexe", c'est à un véritable exercice de remontage de bretelles qu'il s'est livré vendredi dernier. Loin de vouloir lui donner tort, pas plus sur le forme que sur le fond, je n'en pense pas moins qu'il va falloir secouer nettement plus loin que le monde de la sécurité informatique si on veut parvenir à un résultat tangible...

Lire la suite...

Note : 5.0/5 pour 2 votes

lundi 10 octobre 2011

BEAST : recap en vrac...

Beast

J

'avais commencé à rédiger un truc qui me paraissait vachement intelligent sur BEAST, l'outil qui exploite la faille SSL/TLS publiée par Juliano Rizzo et Thai Duong à Ekoparty fin septembre. Et puis le temps a passé... Et puis j'ai eu la flemme... Et puis je suis parti aux Assises... Et puis je me suis aperçu que que pleins de gens avaient déjà commenté très largement et parfois intelligemment cette annonce.

Aussi je vais me contenter de vous livrer une série de liens, de plus ou moins bonne qualité, mais parmi lesquels il faudra absolument lire l'excellente analyse fournie par Thierry Zoller, celle publiée par l'ISC et enfin, pour les anglophobes, ce que nous en dit Stéphane Bortzmeyer.

Lire la suite...

Note : 5.0/5 pour 2 votes