Logo

Ma petite parcelle d'Internet...

Un autre regard sur la sécurité informatique, entre autres futilités.

jeudi 31 mars 2011

Open bar antique, by Cisco...

Uncuff

A

vant hier, en fin d'après-midi, Cisco a publié un advisory qui n'a guère attiré l'attention. Sous le titre "Cisco Network Access Control Guest Server System Software Authentication Bypass Vulnerability", il nous explique qu'une erreur de configuration non spécifiée permet de passer outre l'authentification imposée par un NAC Guest Server. En gros, de contourner leur portail captif.

Comme je l'ai pu l'expliquer à plusieurs reprises, si les portails captifs Wi-Fi peuvent être contournés par des techniques de spoofing parce qu'ils reposent sur un réseau ouvert, il n'en reste pas moins que la technique la plus efficace reste souvent de s'intéresser à l'application qui les fait tourner. Avec, parfois, de vraies perles...

Lire la suite...

Note : 0.0/5 pour 0 vote

mercredi 30 mars 2011

La révolution à la maison...

Freebox Revolution

A

près plus de trois mois d'attente, une Freebox Révolution est enfin parvenue à se traîner jusque chez moi. Tout est "up and running", et au premier abord, c'est plutôt pas mal, même si le gamepad manque à l'appel...

Moralité de l'attente : la livraison en point Kiala, ça suxe grave. Problème de capacité, paraît-il, des points de retrait du réseau. Si vous attendez encore, basculez sur une livraison par UPS, gratuitement en point de retrait, si vous ne voulez l'avoir pour Pâques ;)

Note : 0.0/5 pour 0 vote

lundi 28 mars 2011

Des véreux de Comodo

Broken chain

C

omme les rédacteurs en chef de MISC n'ont pas le monopole du calembour pourri, c'est ainsi que j'ai décidé d'attaquer cette bafouille sur la énième frappe attribuée à l'APT. Celle qui a compromis l'autorité de certification de Comodo avec, comme conséquence directe, l'émission de neuf certificats véreux.

La réaction fut rapide : révocation des certificats, mise à jour des listes pour les navigateurs, communication à l'envie, etc. Bref, le grand jeu, et vous en avez entendu parler toute la semaine dernière. C'était sans compter sur deux documents apparus ce week-end qui viennent pour le moins jeter le trouble dans les analyses les plus inspirées...

Lire la suite...

Note : 5.0/5 pour 2 votes

jeudi 24 mars 2011

C'est reparti pour un tour !

Logo SSTIC

C

'est reparti pour un tour...

Votre billet est réservé !
Votre demande de billet a bien été prise en compte, elle 
sera effective uniquement après réglement auprès des
éditions Diamonds.

À bientôt à Rennes ;)

Lire la suite...

Note : 0.0/5 pour 0 vote

lundi 21 mars 2011

Compromission de RSA : Kerckhoffs #FAIL ?

Logo RSA

N

ous avons appris cette semaine que l'APT avait encore frappé. Et pas n'importe qui, puisque c'est sournoisement qu'on s'en est pris à RSA. Et son patron de se fendre d'une lettre ouverte à destination de ses clients et des ses actionnaires. Communiqué dont le contenu va être largement commenté.

Car que dit ce communiqué ? Que cette compromission a permis aux attaquants de mettre la main sur des informations relatives au système SecurID qui, sans pour autant permettre une attaque directe, seraient susceptibles de, et on admirera la tournure ampoulée traduite ici par mes soins, "réduire l'efficacité de l'implémentation d'une authentification bi-facteur dans le cadre d'une attaque de plus grande ampleur".

Lire la suite...

Note : 0.0/5 pour 0 vote

vendredi 18 mars 2011

Tsunami...

Courage Japon

E

n lisant le dernier billet de Lokan, je pensais à la tragédie qui vient d'ébranler le Japon. Aux gens que j'aime qui y vivent et/ou y ont de la famille. Et in fine à un truc intelligent que je pourrais écrire... Mais je ne trouve rien à dire que les images ne racontent déjà...

Tsunami au Japon

Aussi me contenterai-je de rappeler que les dons à la Croix Rouge permettent d'aider tout au long de l'année ceux qui en ont besoin de par le monde. Et en particulier, pendant que j'écris ce billet, quelques 600000 japonais sans abri...


PS : la vignette est extraite d'un dessin de soutien au Japon de BanBan GuGu, que vous pourrez trouver publié avec pleins d'autres sur le Projet Tsunami...

Note : 5.0/5 pour 2 votes

mercredi 16 mars 2011

Le vrai #FAIL du Quai d'Orsay...

Crayon-gomme

L

e pêtard mouillé du Quai d'Orsay, à savoir une supposée énorme fuite de renseignements sur la sécurité du système d'information du Ministère des Affaires Étrangères au travers du CCTP d'un appel d'offre public, a quelque peu occulté un vrai bon #FAIL des familles. Lequel illustre une vulnérabilité du format PDF, autre que celle qui a mis Bercy à mal...

Comme cela a été mentionné dans l'article de Zataz et ici-même par voie de commentaire, le dossier de candidature contient en particulier deux documents dont certaines parties ont été dissimulées. Sauf que comme chacun le sait, avec le format PDF en particulier, les rectangles noirs apposés sur du texte ne manquent pas de poser quelques soucis...

Lire la suite...

Note : 0.0/5 pour 0 vote

samedi 12 mars 2011

Après Bercy, le Quai d'Orsay aussi ?

République Française

A

près s'être fait griller par Paris Match sur l'affaire du piratage de Bercy, le monde de la presse informatique se devait de trouver son affaire. C'est l'Informaticien qui va s'y coller en premier avec un sujet exclusif : "Le SI des Affaires Étrangères [serait] en accès libre !"...

Effectivement, posé comme ça, la nouvelle donne à réfléchir. Seulement, quand on se donne la peine de creuser un peu, cette nouvelle affaire devient tout de suite moins croustillante puisqu'il s'agit en fait de récupérer le CCTP d'un appel d'offre public, lequel serait une mine d'informations quant à l'organisation de la sécurité du système d'information du Ministère des Affaires Étrangères. Fail ?

Lire la suite...

Note : 3.0/5 pour 2 votes