Ma petite parcelle d'Internet...

lors que le "BlackHat Arsenal" consacré à la vulnérabilité sur WPA2 levée par AirTight n'est pas encore terminé, les détails commencent à sortir. C'est d'abord, Matthiew Gast qui ouvre le feu en décorticant le problème au regard du standard. Ensuite, et surtout, c'est au tour de Glenn Fleishman de finalement lâcher le morceau sur Ars Technica.

Conclusion : ça confirme ce que j'en pensais, à savoir que c'est un bon FUD comme BlackHat nous en sort régulièrement. Une trouvaille certes intéressante, mais qui n'a rien à voir avec la découverte annoncée...

Lire la suite...

près avoir lu les deux articles qui parlent le mieux de l'affaire et creusé un tantinet la question, j'ai quand même quelques doutes sur cette annonce. Et comme le premier talk est pour demain, je m'en vais les partager avec vous.

Si effectivement l'idée de réutiliser la clé de groupe d'un réseau Wi-Fi est une idée dont les applications peuvent se montrer intéressantes, ces dernières ne semblent cependant pas d'un impact digne de révolutionner la sécurité Wi-Fi. En outre, cette histoire de récupération de PTK me semble pour le moins obscure...

Lire la suite...

'était il y a 10 ans. Le 25 juillet 2000, le Concorde assurant le vol 4509 d'Air France à destination de New York s'écrasait sur Gonesse. Cent treize morts.

Trois ans plus tard, Concorde sera retiré du service, marquant la fin, très probablement définitive, de l'aviation supersonique commerciale...

Lire la suite...

'est en tout cas ce qu'annonçait avant-hier AirTight Networks, société indienne spécialisée en sécurité Wi-Fi. Dans un billet intitulé "WPA2 finds itself in a "hole"! Vulnerable to insider attacks!" publié vendredi, on apprend qu'une vulnérabilité surnommée Hole196 sera démontrée à BlackHat US la semaine prochaine et Defcon dans la foulée.

Le tout à grands renforts de publicité, d'une invitation à s'enregistrer à un webinar sur la question et sans le moindre détails technique, autant dire qu'il y a là tous les ingrédients de la recette bien connue du pêtard mouillé...

Lire la suite...

uand on commence à s'intéresser à la photo en oubliant de laisser son hémisphère g33k au placard, on est souvent confronté à quelques crises de LBA, ou Large Buyer Addiction. Et c'est d'autant plus vrai quand vous avez à disposition un marché de l'occasion dynamique fournissant aussi bien du matériel récent que des antiquités à des prix tout à fait abordables.

Aussi, depuis que je me suis lancé dans le monde du reflex numérique, mon équipement a littéralement explosé avec deux boîtiers argentiques, sept objectifs dont cinq manuels, principalement des focales fixes, sans compter un nombre conséquent de babioles en tout genre. Et maintenant que j'ai tout ça sous la main et que je suis sur le point de partir en vacances, vient l'heure des choix. Ou comment remplir efficacement la besace sans la faire exploser...

Lire la suite...

evant les annonces de recrutement lancées à l'occasion du dernier SSTIC et les offres qui y circulaient à peine plus discrètement, Mat en venait à se demander si une pénurie de main d'œuvre n'était pas en train de gagner le petit monde du test d'intrusion. J'aurais tendance à penser que le problème n'est pas tant dans la disponibilité de candidats potentiels que dans le type de profils recherchés. Comme le souligne Mat, le monde du pentest est petit. Mais encore faut-il s'entendre sur ce qu'on entend par pentest...

Car il ne faut pas se cacher que le terme "penetration testing" est depuis longtemps un buzzword. La portée est certes moindre qu'un bon vieux "cyber-whatever" des familles, mais le fait est : le pentest peut, selon les cas, englober une très large palette d'activités qui n'ont en commun que le fait d'essayer d'évaluer la sécurité d'un système de l'extérieur.

Lire la suite...

'imagine qu'il vous est déjà arrivé de vous demander comment certains pouvaient se planter en concevant des objets courants. Je suis sûr que de nombreux exemples doivent vous venir en tête. Celui que j'affectionne particulièrement, c'est la douche. Autant dire quelque chose qui semble apparemment simple à concevoir de prime abord.

En tout cas, quelque chose dont le cahier des charges de base n'a rien d'un roman de Balzac. Il s'agit de faire tomber de l'eau sur quelqu'un, au sein d'un volume défini et depuis une hauteur raisonnable, puis la drainer vers une évacuation. Avec à disposition un état de l'art, si j'ose m'exprimer ainsi, manifestement assez bien maîtrisé. Mais si j'écris "apparemment", c'est que certains semblent avoir du mal avec cet exercice...

Lire la suite...

ous n'êtes probablement pas passé à côté de cette news retentissante : le FBI aurait échoué à décrypter des disques protégés par TrueCrypt. C'est évidemment une mauvaise nouvelle pour la justice brésilienne à qui ces données auraient été bien utiles pour étayer ses poursuites contre Daniel Dantas, mais d'un autre côté, c'est un énorme coup de pub pour ce logiciel libre de chiffrement de volumes.

Si j'en parle dans la catégorie Wi-Fi, c'est que cet échec des autorités brésiliennes et américaines nous ramène à la solidité pratique de la fonction de dérivation de clés utilisée par TrueCrypt, laquelle se trouve être la même que celle proposée par WPA et WPA2 en authentification PSK.

Lire la suite...