Ma petite parcelle d'Internet...

uand on voit le nombre de boîtes qui se sont fait voler des informations personnelles ces derniers temps, on ne peut s'empêcher de s'interroger sur le niveau d'incompétence de certaines personnes impliquées dans la conception, le déploiement, l'audit et/ou l'administration quotidienne de leurs systèmes. Et d'autant plus le cas quand elles sont soumises à tout pleins de réglementations qui les obligent à passer par la case certification, PCI DSS en tête.

Ainsi, la lecture d'une question sur ServerFault vous fournira quelques éléments de réponses sur la compétence de certains auditeurs. Ainsi que leur capacité à se confronter aux réalités techniques et à se remettre en cause...

Lire la suite...

e nom de cet outil a été cité plusieurs fois pendant le dernier SSTIC, en particulier lors de la présentation par Axel de sa solution pour le challenge, sans que vous en sachiez vraiment plus à son sujet. Et pour cause, il n'était alors pas encore publié.

Mais ce n'est plus le cas depuis hier. Miasm est désormais disponible au téléchargement, sous licence GNU GPLv2. Vous pourrez le trouver au sein d'un méta repository qu'il partage avec Elfesteem et Grandalf sur lesquels il s'appuie.

Lire la suite...

ikko Hypponen de F-Secure s'est fendu d'une excellente présentation au dernier TED Global sur la chasse aux virus et aux cyber-criminels. Je vous encourage à prendre vingt minutes pour la regarder. Pour ma part, plus que le contenu lui-même, j'en retiens tout particulièrement cette conclusion sur les moyens de lutte contre la criminalité en ligne. Conclusion sur laquelle je vous laisse méditer :

Even more importantly, we have to find the people who are
about to come part of this online world of crime but haven't 
yet done it. We have to find the people with the skills but 
without the opportunities and give them the opportunities to 
use their skills for good.

Lire la suite...

a publication par THC de vulnérabilités sur les femtocells Sure Signal proposées en Angleterre par Vodafone UK a fait pas mal de bruit. Il faut dire que quand on annonce pouvoir prendre le contrôle du produit et le transformer en station d'interception UMTS, il y a de quoi s'inquiéter.

Vodafone n'a pas tardé à réagir avec la publication d'un démenti dès le lendemain. La faille en question daterait de 2010, aurait été prise en compte et fait l'objet d'un patch à l'époque, reléguant l'annonce de THC au rang de pétard mouillé... Affirmations bien évidemment contestées par THC...

Lire la suite...

a récente mise en demeure de la CNIL à l'attention de TMG et des sociétés qui lui sous-traitent la tâche d'identifier les contrevenants dans le cadre du dispositif de riposte graduée d'HADOPI, a été fort bien accueillie. Il faut dire que c'est une bonne surprise de la part d'une institution qui nous avait habitué à un silence assourdissant en matière de manquements aux obligations de protection des données personnelles.

Il apparaît donc que TMG n'a pas brillé lors de l'inspection réalisée par la CNIL suite à la publication d'une faille sur un de leurs serveurs, et de l'audit technique qui a suivi. Audit dont les conclusions ne seraient pas, et c'est un euphémisme, brillantes.

Lire la suite...

e moins qu'on puisse dire, c'est que les tweets et autres publications de Lulzsec auront fait circuler de l'octet sur le réseau, alimentant nombre de réflexions autour du fameux concept de cyberdéfense. Ainsi, de nombreux observateurs inspirés s'en servent d'exemple pour justifier l'importance d'engager plus de moyens en la matière.

Comme si les actions de Lulzsec, au même titre que celles des Anonymous ou de tout autre groupe actif, devaient nous convaincre de l'impérieux besoin de sécurité qui touche nos infrastructure. En fait, à mon sens, si Lulzsec est emblématique de quelque chose, c'est bien que, comme aime à le dire un collègue mais néanmoins ami, la sécurité est un échec...

Lire la suite...