3 September 2010

Le tout nouveau Misc est disponible dès maintenant chez votre marchand de journaux et sur notre site marchand.

ug_misc51

>
>
Où trouver MISC près de chez vous (Entrez un code postal)

————-

Exploit Corner

  • [04-08] VULNÉRABILITÉ SAMBA CHAIN_REPLY

Malware Corner

  • [11-17] ZEUS/ZBOT UNPACKING : ANALYSE D’UN PACKER CUSTOMISÉ

Pentest Corner

  • [18-23] INTRUSION SUR BLACKBERRY ENTERPRISE SERVER

(Pour visualiser le sommaire complet, voir ci-dessous)

Voir la suite »

Dans Sommaires | 0 Commentaire

3 September 2010

L’an faste étroit

Maintenant que je suis vieux et con (enfin, un peu plus qu’avant), il m’arrive de me poser sereinement et de tenter de prendre du recul. De cette altitude et en cette saison, on peut y voir Margault à la Motte, piquée par la curiosité. Mais on peut surtout constater l’opulence de l’année : tout le monde recrute.

Face à cette recrudescence, les formations en tout genre font ce qu’elles peuvent, mais ce mariage entre la demande et la ressource ne va pas se résorber d’une traite. En outre, certaines entreprises attendent des gens avec 5 ans d’expérience à la sortie d’école. Entre manque de bras et manque d’expérience, la noce est incongrue. C’est laid, la vache !

On l’aura compris, recruter 300 personnes par an quand seulement une centaine est formée, on ne va pas trouver les 200 autres sous le sabot d’un pétaure mouillé. Un peu de hauteur, une sieste et du rosé, et hop, ce casse-tête aura surélevé le débat : pourquoi est-ce si difficile en sécurité ? Tous les secteurs d’activité sont confrontés à un moment ou un autre à ce même défi. Alors quelles en sont les particularités ?

Tel un sénateur romain borné à la démarche mesurée et à l’assurance pesante après un bon repas, un début d’explication commence à poindre dans mon cerveau lent. Suivant le rythme du pas latin des mules, une autre question émerge : a-t-on vraiment besoin de sécurité ?
Comment ose-je un tel bond, cher James, d’une question à l’autre ? D’un côté, la jeunesse aux dents coupantes comme celles des trolls. De l’autre, des vieux (pas moi, ceux qui le sont plus encore… no comment ;) sensibles aux frissons du rare hospice, mais qui n’ont pas forcément la culture de la sécurité.

Les aînés sont chargés de mettre en œuvre des plans d’action et autres politiques de Son Altesse la sécurité, qu’ils vénèrent sans forcément la comprendre. Les gamins frémissent plus à l’évocation d’une nouvelle faille qu’à un audit mené en un temps record et sans peaufiner (dans le guidon) : il ne faudrait pas contrarier Son Excellence. Avec une telle divergence de vue, ci-gît l’Impératrice.

Il faut dire que, quand il y a obligation de corriger les soucis découverts, mieux vaut faire réaliser l’audit par un jeune sans expérience et prenant peu d’initiative : il a moins de chance de trouver les problèmes. Les épais torts se cachent pour mourir. Et du coup, les vieux sentent leur position menacée.

Revenons donc aux spécificités. Un domaine complexe qui demande beaucoup d’investissement et d’imaginaire personnels. Un secteur d’activité où la compétence n’est pas forcément une vertu, voire pire, où il n’est pas toujours souhaitable d’obtenir des résultats (on ne mentionnera pas une nouvelle fois notre Droit et son célèbre « motif légitime », la bête fabuleuse). Bref, quand bien même on pourvoirait tous les postes, encore faudrait-il être en mesure de les motiver et de les conserver. Sinon, les vieux sages seront rares.

Bref, la formation, c’est bien, mais il y a aussi une vie après, et elle grimpe pendant au moins 40 ans de cotisation. On fait miroiter des étoiles, mais c’est une sacrée Odyssey ! Et pour terminer en parodiant un ministre des affaires culturelles : l’évolution, c’est les vacances de la vie.

À ce propos, bon retour !

Fred Raynal

P.S. : Pour tous les non-adeptes de bandes dessinées, la plupart des jeux de mots sont tirés des titres de la série Lanfeust de Troy, écrite par Christophe Arleston et dessinée par Didier Tarquin.

Dans Éditos | 0 Commentaire

2 July 2010

Le tout nouveau Misc est disponible dès maintenant chez votre marchand de journaux et sur notre site marchand.

ug_misc50

>
>
Où trouver MISC près de chez vous (Entrez un code postal)

————-

Exploit Corner :

  • [04-07] Exploitation du décodeur de fonte WOFF de Firefox

Malware Corner :

  • [08-13] Propagation virale sur terminaux mobiles : la viabilité du vecteur Bluetooth

Pentest Corner :

  • [14-17] Exécution de commandes par ORACLE sans exploit

(Pour visualiser le sommaire complet, voir ci-dessous)

Voir la suite »

Dans Sommaires | 0 Commentaire

2 July 2010

Quand le sage montre la lune, l’idiot regarde le doigt

Perdus entre les déboires de l’équipe de France de football (le mot « équipe » est-il d’ailleurs approprié ?) et la réforme des retraites, les rédacteurs de MISC ont décidé de changer de ligne. Maintenant, on va vendre du temps de cerveau disponible, avec des titres racoleurs et des filles à moitié nues pour parler de heap spraying.

Dossier spécial : des jeux pour l’été, et plus si affinités
L’été, on aime bien lire des magazines inavouables sur la plage, de ceux qu’on trouve souvent chez belle-maman ou son coiffeur (bien sûr, puisqu’on ne les achète jamais). Donc, pour soutenir la Presse, MISC fait pareil : de l’actu hot, torride, brûlante ! Des scoops ! Des exclus ! Bref, un vrai numéro de l’été. Et comme tout numéro de l’été qui se respecte, nous vous avons concocté un cahier spécial jeux (enfin, c’est encore une fois Renaud Bidou qui s’y est collé – merci). Forcément, on a arrangé ça à notre sauce…

SSTIC 8, encore un coup de bâton
Pour la première fois en huit ans, je n’étais pas à Rennes pour cet événement incontournable. Au-delà des conférences sur lesquelles je ne porterai donc aucun jugement, je noterai juste l’ouverture par la DGSE, un événement en soi qui marque un profond changement dans le milieu. Sans parler de la campagne de recrutement organisée par tout le monde (DGSE, ANSSI et nombreuses entreprises)…
S’il faut y voir certainement un signe de regain économique, est-ce pour autant aussi le signe d’une prise de conscience de la nécessité d’agir dans ce secteur ? Lors de son discours d’ouverture, M. Barbier, Directeur Technique de la DGSE, a reconnu que la France avait des années de retard dans la lutte offensive. Lors de son discours de clôture, M. Pailloux, Directeur de l’ANSSI, a présenté les défis de ce secteur, l’angle géopolitique qui l’accompagne et la difficulté à sécuriser les systèmes.
Dans ces deux discours tenus par des représentants de l’État, ce qui me frappe, c’est la franchise et la volonté d’avancer. À titre totalement personnel, ça me fait particulièrement plaisir, d’une part que ces paroles soient tenues, et d’autre part à SSTIC, car ça faisait partie des objectifs que je m’étais secrètement fixés en contribuant au lancement de SSTIC.

Hapodi & Orange : quand le marketing s’emmêle ?
Hélas, cette même lucidité fait souvent défaut à nos entreprises, ce qui est d’autant plus inquiétant quand elles sont opératrices d’infrastructures critiques.
Anticipant la mise en place d’HADOPI, Orange a lancé une offre à 2€ pour éviter les téléchargements. En quelques jours, il s’est passé autant de choses qu’avec l’équipe de France en Afrique du Sud :
- Le serveur contrôlant le logiciel avait sa console d’administration accessible sur Internet avec login/mot de passe par défaut (admin/admin).
- Les données collectées étaient publiquement accessibles.
- Le logiciel comportait plusieurs mentions à HADOPI alors que, dans un premier temps, les responsables d’Orange déclaraient que leur logiciel n’avait aucun rapport avec cette institution.
- Le logiciel comportait une faille énorme permettant même à ma grand-mère d’élever ses privilèges au niveau SYSTEM.
Si c’était la période du rugby, on pourrait parler de grand chelem. Quoi qu’il en soit, j’ai la naïveté de penser que jamais des ingénieurs n’auraient poussé à sortir un tel « truc ».
Alors, si je me réjouis de voir l’État commencer à se donner les moyens d’agir dans ce secteur, je me demande quand les entreprises lui emboîteront le pas…

Sur ce, c’est l’été. On peut se demander si un ver va apparaître, qui va se faire exclure de Black Hat, et si le ticket de métro va encore augmenter en douce au mois d’août, pendant que tout le monde sera sur la plage.

Bonne lecture et attention aux coups de soleil !

Fred Raynal

Dans Éditos | 0 Commentaire

30 April 2010

Le tout nouveau Misc est disponible dès maintenant chez votre marchand de journaux et sur notre site marchand.

ug_misc49

>
>
Où trouver MISC près de chez vous (Entrez un code postal)

————-

Exploit corner

  • [04-06] iPhone OS Core Audio stack Buffer Overflow

Malware corner

  • [09-11] Rogue AV : utilisation du gestionnaire des tâches pour effrayer les utilisateurs

Pentest corner

  • [12-17] Jouons avec AppLocker

(Pour visualiser le sommaire complet, voir ci-dessous)

Voir la suite »

Dans Sommaires | 0 Commentaire