Le tout nouveau Misc est disponible dès maintenant chez votre marchand de journaux et sur notre site marchand.
|
————- Exploit Corner :
Malware Corner :
Pentest Corner :
(Pour visualiser le sommaire complet, voir ci-dessous) |
Dans Sommaires | 0 Commentaire
Quand le sage montre la lune, l’idiot regarde le doigt
Perdus entre les déboires de l’équipe de France de football (le mot « équipe » est-il d’ailleurs approprié ?) et la réforme des retraites, les rédacteurs de MISC ont décidé de changer de ligne. Maintenant, on va vendre du temps de cerveau disponible, avec des titres racoleurs et des filles à moitié nues pour parler de heap spraying.
Dossier spécial : des jeux pour l’été, et plus si affinités
L’été, on aime bien lire des magazines inavouables sur la plage, de ceux qu’on trouve souvent chez belle-maman ou son coiffeur (bien sûr, puisqu’on ne les achète jamais). Donc, pour soutenir la Presse, MISC fait pareil : de l’actu hot, torride, brûlante ! Des scoops ! Des exclus ! Bref, un vrai numéro de l’été. Et comme tout numéro de l’été qui se respecte, nous vous avons concocté un cahier spécial jeux (enfin, c’est encore une fois Renaud Bidou qui s’y est collé – merci). Forcément, on a arrangé ça à notre sauce…
SSTIC 8, encore un coup de bâton
Pour la première fois en huit ans, je n’étais pas à Rennes pour cet événement incontournable. Au-delà des conférences sur lesquelles je ne porterai donc aucun jugement, je noterai juste l’ouverture par la DGSE, un événement en soi qui marque un profond changement dans le milieu. Sans parler de la campagne de recrutement organisée par tout le monde (DGSE, ANSSI et nombreuses entreprises)…
S’il faut y voir certainement un signe de regain économique, est-ce pour autant aussi le signe d’une prise de conscience de la nécessité d’agir dans ce secteur ? Lors de son discours d’ouverture, M. Barbier, Directeur Technique de la DGSE, a reconnu que la France avait des années de retard dans la lutte offensive. Lors de son discours de clôture, M. Pailloux, Directeur de l’ANSSI, a présenté les défis de ce secteur, l’angle géopolitique qui l’accompagne et la difficulté à sécuriser les systèmes.
Dans ces deux discours tenus par des représentants de l’État, ce qui me frappe, c’est la franchise et la volonté d’avancer. À titre totalement personnel, ça me fait particulièrement plaisir, d’une part que ces paroles soient tenues, et d’autre part à SSTIC, car ça faisait partie des objectifs que je m’étais secrètement fixés en contribuant au lancement de SSTIC.
Hapodi & Orange : quand le marketing s’emmêle ?
Hélas, cette même lucidité fait souvent défaut à nos entreprises, ce qui est d’autant plus inquiétant quand elles sont opératrices d’infrastructures critiques.
Anticipant la mise en place d’HADOPI, Orange a lancé une offre à 2€ pour éviter les téléchargements. En quelques jours, il s’est passé autant de choses qu’avec l’équipe de France en Afrique du Sud :
- Le serveur contrôlant le logiciel avait sa console d’administration accessible sur Internet avec login/mot de passe par défaut (admin/admin).
- Les données collectées étaient publiquement accessibles.
- Le logiciel comportait plusieurs mentions à HADOPI alors que, dans un premier temps, les responsables d’Orange déclaraient que leur logiciel n’avait aucun rapport avec cette institution.
- Le logiciel comportait une faille énorme permettant même à ma grand-mère d’élever ses privilèges au niveau SYSTEM.
Si c’était la période du rugby, on pourrait parler de grand chelem. Quoi qu’il en soit, j’ai la naïveté de penser que jamais des ingénieurs n’auraient poussé à sortir un tel « truc ».
Alors, si je me réjouis de voir l’État commencer à se donner les moyens d’agir dans ce secteur, je me demande quand les entreprises lui emboîteront le pas…
Sur ce, c’est l’été. On peut se demander si un ver va apparaître, qui va se faire exclure de Black Hat, et si le ticket de métro va encore augmenter en douce au mois d’août, pendant que tout le monde sera sur la plage.
Bonne lecture et attention aux coups de soleil !
Fred Raynal
Dans Éditos | 0 Commentaire
Le tout nouveau Misc est disponible dès maintenant chez votre marchand de journaux et sur notre site marchand.
|
————- Exploit corner
Malware corner
Pentest corner
(Pour visualiser le sommaire complet, voir ci-dessous) |
Dans Sommaires | 0 Commentaire
L’éther du milieu : La toile selon Shelob
Il était une fois un protocole qui naquit dans l’indifférence quasi-générale, mais qui, quelques années plus tard, écrasait tout sur son passage : le fameux web. Un peu comme en médecine où les praticiens aiment à étaler leurs résidus de latin, ni « d’une et d’un », les geeks
l’ont également baptisé d’un acronyme technique officiel : le HTTP (Hyper Text Transfer Protocol).
Son histoire, c’est un peu One protocol to rule them all. On décida de bloquer tous les autres protocoles : finis les Finger, Telnet, RPC et autres bases de données en accès direct depuis Internet (hum hum, enfin, finis en théorie), place au seul et unique HTTP.
Bon, comme ce n’est pas pratique, tout ce qu’on réalisait avant avec ces autres protocoles est maintenant encapsulé dans du HTTP. Mais vu de l’extérieur, c’est propre et carré, pas un haut bit qui dépasse. Pour parvenir à ce résultat, encore eut-il fallu que tous les acteurs se
missent en ligne et à l’œuvre.
À un bout d’Internet, les serveurs, IIS, Apache et quelques autres obscurs et méconnus barons, furent placés dans des prisons démilitarisées, encadrées par des proxies et IDS/IPS. On ne voit hélas (ou pas) plus du tout de publications comme le légendaire apache-scalp.c sur OpenBSD de l’hilarant Gobbles, hein ! Plus rien à se mettre sous la d’Ent ?
La mode est maintenant à l’exploitation soit du langage de script supporté par le serveur, PHP en tête, soit des applications qui tournent sur ces serveurs : forums, webmails, et plus encore, tant les « serveurs d’applications » regorgent de merveilles. Les méchants sont mis en appétit, toujours pour la même fin d’ogre : le serveur est rooté. Mais la résistance s’organise : elfe lève-toi !
À l’autre bout, on trouve les 7 na(in)vigateurs. Bon, OK, ils sont sans doute un peu plus si on considère les lointains cousins et autres versions mobiles. En tout cas, ils sont LE truc à la mode, au point que certains s’offrent des campagnes de pub impressionnantes.
L’un revient au vieux leitmotiv insécuritaire du logiciel qui va vous protéger contre l’enfer qui sévit sur Internet, ô Intelligence embarrassante. Un autre poursuit son mojo publicitaire avec des affiches collées partout, faisant elles-mêmes la pub certes dudit navigateur, mais aussi de sites/enseignes partenaires : Chrome ne s’est pas construit en un jour.
C’en est presque rassurant de voir tous ces navigateurs à une telle fête piscicole, une guinche pour orques acariâtres, ou encore un bal rogue à thons.
Mais ces mesures prises par les développeurs et architectes pèsent-elles quand les humains continuent à livrer leurs secrets à leur blog et sur Facebook ? Bref, et si la menace sur la Toile ne venait pas que des failles techniques, mais aussi des spiders en quête d’informations que des esprits malins savent exploiter ? Ce n’est que dans un avenir proche que nous le saurons.
Bonne lecture,
Fred Raynal
Dans Éditos | 0 Commentaire
Dans Divers | 0 Commentaire
