L’édito de MISC n°111 !

Plutôt que de sombrer dans le french bashing et la supposée incapacité de l’État à conduire des projets informatiques, il est intéressant de prendre quelques minutes pour revenir sur l’échec de StopCovid et tenter d’en tirer quelques enseignements. Lire la suite

Comment ne pas sacrifier la sécurité avec le télétravail ?

Comment ne pas sacrifier la sécurité avec le télétravail ? Notre dossier de rentrée vous fournira plusieurs pistes sur le sujet grâce à ses divers retours d’expérience portant notamment sur l’accès VPN, les enjeux organisationnels et juridiques ou encore le suivi des accès distants à la production.

Rendez-vous sans plus tarder chez votre marchand de journaux pour découvrir ce numéro, sur notre boutique en ligne (frais de ports offerts pour une livraison en France métro.) pour les versions papier et flipbook, et sur notre plateforme de documentation numérique Connect. Pensez à l’abonnement pour ne plus manquer aucun numéro ! Lire la suite

L’édito de MISC HS n°21 !

La complexité est l’ennemi de…

… de celui qui développe une preuve de concept ! S’il y a un dénominateur commun à quelques-unes des vulnérabilités importantes de ce début d’année 2020, c’est la simplicité de leur exploitation. Pour au moins deux d’entre elles en tout cas : la CVE-2019-19781, une exécution de code arbitraire qui affecte une solution largement déployée en entreprise (NetScaler ADC/Gateway), élégamment nommée « shitrix » par la communauté. La preuve de concept se résume à quelques lignes de bash/curl, deux requêtes suffisent, et à l’heure où ces lignes sont écrites un exploit est déjà arrivé dans metasploit. On peut imaginer que les attaquants sont en train d’adapter leurs outils pour faire de la post-exploitation au sein d’un système FreeBSD (l’OS utilisé derrière NetScaler). Une seconde vulnérabilité critique, dont le POC est également simple, affecte l’API crypto de Windows. Attardons-nous quelques lignes sur cette dernière. Lire la suite

L’édito de MISC n°110 !

La période de pandémie a été l’occasion pour certains de se découvrir des compétences inattendues en infectiologie et virologie, ce fut également un beau terrain de jeux pour les aspirants ingénieurs en infrastructures numériques. Nous en avons croisé beaucoup s’étranglant devant l’incapacité de l’État ou des entreprises à produire des applications tenant la charge quand il était possible, selon eux, de le faire pour une poignée d’euros avec un LAMP chez OVH. Lire la suite