Logo

Ma petite parcelle d'Internet...

Un autre regard sur la sécurité informatique, entre autres futilités.

vendredi 13 novembre 2009

Les achats "In App" sur iPhone et leurs implications sur le piratage

Sad iPhone

I

l y a un certain temps déjà, Sid m'a demandé si je serais d'accord d'écrire un article invité pour son blog. Bien qu'intéressé, je ne savais pas trop quoi écrire qui soit à la fois intéressant et non soumis à la confidentialité.

À l'époque, j'étais responsable d'une équipe technique de lutte contre le piratage de la télévision à péage, pour des opérateurs comme CanalSat. Aujourd'hui, je me suis mis temporairement au développement de jeux sur iPhone, un rêve de gamin qui se réalise en quelque sorte. J'ai à ce jour développé le jeu de gestion de trafic AutoTrafego.

Comme beaucoup d'entre vous le savent sûrement, les développeurs iPhone sont confrontés à des sérieux problèmes de piratage dont Apple peine à s'occuper. J'ai eu l'occasion d'écrire un article et un billet à ce sujet en Anglais, dont je vais synthétiser le contenu ici d'une façon moins ciblée vers les connaisseurs du développement sur iPhone.

Lire la suite...

Note : 4.0/5 pour 1 vote

lundi 8 décembre 2008

GnuTLS vs. Debian OpenSSL

Podium

A

près la publicité, certes légitime, autour de la faille OpenSSL dans Debian du début de cette année, penchons-nous sur une vulnérabilité récente qui n'a absolument pas fait parler d'elle, malgré ses conséquences désastreuses.

Celle-ci affecte également une bibliothèque implémentant le protocole TLS : GnuTLS. Référencée par les identifiants GNUTLS-SA-2008-3 et CVE-2008-4989, cette faille permet à un attaquant de contourner la vérification de la chaîne de confiance d'un certificat. C'est-à-dire faire considérer comme légitime (signé par une autorité de confiance) un certificat qui ne devrait pas l'être (par exemple auto-signé).

Avant de voir les causes de cette faille, précisons qu'elle a été découverte par hasard, suite à une erreur : Martin von Gagern avait interverti deux certificats dans la chaîne présentée par son serveur Web au client.

Lire la suite...

Note : 5.0/5 pour 5 votes

vendredi 1 août 2008

Des vulnérabilités et des Hommes...

Faites-moi confiance...

L

a vulnérabilité DNS, le sujet "tendance" du moment : difficile d'y échapper car après-tout la fin d'Internet mérite tout de même un minimum de couverture journalistique (qu'elle soit mauvaise ou non est un autre sujet). Je ne vais évidemment pas expliquer cette vulnérabilité car Sid l'a fait avant moi et d'excellente façon. Je souhaite aborder cette dernière du côté "fonctionnel" et apporter un regard différent.

Ainsi, même si beaucoup ne partageront pas cet avis, il ne me semble pas faux d'affirmer que cette vulnérabilité est connue depuis au moins 10 ans. La vulnérabilité est le faible espace d'aléa de l'identifiant de requête (que nous appellerons DNS ID pour plus de simplicité), seule "protection" du protocole DNS. C'est cela même qui constitue la vulnérabilité du protocole DNS. Alors si cette vulnérabilité est connue depuis 10 ans, pourquoi est-ce soudainement devenu critique aujourd'hui ? Qu'est-ce qui a changé ? Avant de répondre à cette question, je souhaite revenir un court instant sur la définition d'un risque.

Lire la suite...

Note : 4.4/5 pour 17 votes

mercredi 2 juillet 2008

Casser du MD5 avec classe... Ou pas...

Double casse

L

ors de la conférence BlackHat Europe 2008, et précedemment à Kiwicon 2007, Nick Breese a annoncé être capable de calculer 1.9 milliards de hachages MD5 par seconde sur sa Playstation 3. Ce chiffre, pour le moins suprenant, a été mis en doute par de nombreuses personnes. Par la suite, la présentation a été modifiée sur le site officiel et les liens retirés de la page des publications. Et pour cause, le véritable résultat ne serait que de 80 millions de MD5 par seconde.

Cette présentation a cependant généré un gros buzz dans les médias, d'autant plus que l'auteur proclame être le premier à faire ça, alors que tout le monde sait que c'est moi : "I haven't seen any implementations of this technique anywhere else". Ce qui prouve encore une fois que l'utilisation de Google n'est pas à la portée de tous. Bien sûr, un rapide coup d'œil sur son code, du niveau de aping, ou sur l'efficacité de son implémentation aurait du immédiatement alerter le public.

Lire la suite...

Note : 4.5/5 pour 8 votes

mardi 10 juin 2008

Piratage téléphonique

Écoute téléphonique

L

orsque Sid m'a contacté pour de demander d'accepter de rédiger une anecdote sur la sécurité informatique, j'ai aussitôt accepté tant j'étais flatté. Puis je me suis demandé ce qu'un expert judiciaire comme moi pouvait bien avoir à raconter sur un blog de ce niveau, avec des lecteurs aussi pointus sur ce domaine. Un peu comme un médecin généraliste invité à s'exprimer lors d'un séminaire de cardiologues. Alors, soyez indulgents.

J'ai été approché, il y a quelques années de cela, par le directeur général d'une entreprise qui souhaitait me confier une expertise privée dans un contexte délicat: son serveur téléphonique avait été piraté. Malgré mes explications sur mon manque de compétence en PABX, il voulait absolument que j'intervienne sur cette affaire. Il avait eu de bonnes informations sur moi, et, je l'appris plus tard, j'avais le meilleur rapport qualité/prix...

Lire la suite...

Note : 4.1/5 pour 14 votes

vendredi 16 mai 2008

Nettoyage dans les délais...

Loupe

J

'avoue avoir été surpris et flatté lorsque Sid m'a proposé de poster dans son blog. Le concept est amusant et puis finalement c'est un peu comme faire le talk d'une présentation d'un camarade.

Tout commençait pourtant bien, il était vendredi après-midi, mon chef m'autorisait à utiliser Word pour faire un compte rendu. Lorsque je reçois un mail très explicite de mon père : "Problème avec le PC de Mme Delaie, peux-tu corriger le problème stp ?". Je replace un peu le contexte. Mme Delaie est un peu à l'informatique ce que aping est au serveur web : un prédateur. "le PC de Mme Delaie" est en fait un vieux PC que mon père a eu la bonne idée de lui donner sans mon autorisation (j'ai abandonné l'idée de lui expliquer pourquoi donner un PC à une personne, même de confiance, est louable, mais nécessite un petit nettoyage). Quand je dis vieux PC ; je parle d'un bon vieux Windows 2000 SP4 jamais mis à jour avec un vieux Norton (désactivé). Mme Delaie veut en effet faire comme son fils (et Flavie Flament) : surfer sur la toile et écrire des emails. Chose amusante, son fils possède un Windows Vista tout neuf qui démarre plus lentement que le Windows 2000 légué.

Lire la suite...

Note : 4.7/5 pour 6 votes

Sous-traitance

Inconnu

L

a mode étant à la sous-traitance, je me suis dit que je pouvais bien me laisser aller à exploiter quelque main d'œuvre extérieure pour remplir ces lignes. Loin cependant de céder à l'offshoring sauvage, j'ai proposé à quelques blogueurs de qualité (ou pas...), mais néanmoins amis (ou presque...) pour la plupart, d'honorer ces pages de leur prose. Sujet libre, mais de préférence en rapport à la sécurité informatique. Telles ont été les seules contraintes imposées, pour autant qu'on puisse appeler cela des contraintes.

Vous retrouvez désormais l'ensemble de ces billets dans la catégorie Invités. Et c'est à Nono que je confie l'inauguration de cette nouvelle rubrique. D'autres devraient suivre...

Y'a pas à dire, les blogs, c'est bien fait quand même...

Note : 3.5/5 pour 6 votes