L’édito de MISC n°104 !

Après s’être régalé des premières asperges généreusement arrosées de muscat alsacien, l’esthète de la sécurité a pu savourer les débats enflammés accompagnant la sortie de Tchap, la messagerie instantanée de l’État. Passée l’agitation probablement accrue par un printemps pluvieux, il n’est pas inintéressant de revenir brièvement sur cet évènement. Lire la suite

L’édito de MISC n°103 !

Il y a quelques semaines, apparaissait sur mon fil Twitter, le constat d’échec (™ Nicolas Ruff) quant à la progression de la proportion de femmes dans la liste des speakers d’une petite conférence sécurité de province [1]. Ce symposium étant assez ancien et les programmes avec la liste des conférenciers étant toujours en ligne, force est de constater que le nombre de femmes conférencières est resté en 15 ans relativement constant. Participant moi aussi, très modestement, à l’organisation d’une conférence sécurité [2], j’apportais ma pierre à l’édifice en exposant les difficultés d’attirer des soumissions de conférencières et que même avec toutes les bonnes volontés du monde cela restait une gageure. Lire la suite

L’édito de MISC n°102 !

La Blockchain ou les habits neufs de l’empereur

Je crois qu’aucune technologie ne m’a jamais laissé aussi circonspect que la Blockchain (ou chaîne de blocs). Une technologie dont tout le monde a entendu parler alors qu’elle est conceptuellement particulièrement complexe, que tout le monde veut utiliser alors que le champ d’application est particulièrement réduit et inadapté, ou tout du moins inefficace, pour la plupart des usages. Lire la suite

L’édito de MISC HS n°19 !

Éthique et sécurité

En ce début d’année 2019, le prix d’un exploit pour un remote jailbreak d’iOS est désormais passé à la modique somme de 2 millions de dollars sur la plateforme Zerodium. Pour rappel et pour ceux qui ne suivent pas cette actualité, l’ancien prix était d’un 1.5 millions de dollars et l’on parle bien de vendre de manière exclusive un exploit 0day fonctionnel (non d’une vulnérabilité comme on peut l’entendre ici et là). Lire la suite

L’édito de MISC n°101 !

Le coup de pouce bleu aux gilets jaunes

C’est avec une certaine fascination que j’ai suivi l’évolution du mouvement des gilets jaunes sur la Toile. La presse a largement commenté l’usage dont le mouvement a fait des réseaux sociaux et tout particulièrement Facebook. Mais avant de revenir sur ce mouvement, prenons un peu de recul pour remettre en perspective l’évolution de Facebook ces quinze dernières années, son usage et sa perception par le grand public.

Au milieu des années 2000, les réseaux sociaux étaient perçus comme une perte de temps, un symptôme d’une société matérialiste et égocentrée. Les fils d’actualité se sont vus envahir de publicités et de jeux en ligne. L’absence de hiérarchisation des billets commençait à rendre la consultation de plus en plus laborieuse et à lasser un certain nombre d’utilisateurs historiques. Lire la suite

Découvrez l’édito du hors-série spécial « Machine Learning & sécurité » !

De l’hermétisme au marketing

Qu’il s’agisse de lessive lavant plus blanc que blanc ou d’une énième vulnérabilité cataclysmique, la résultante invariable du marketing est de produire, à un moment, du faux. Prenons le quotidien de quiconque ferait un minimum de veille du côté des vulnérabilités : dans les méthodes à l’ancienne, suivre les listes de diffusion comme full-disclosure, bugtraq ou oss-sec par exemple n’est pas chose aisée tant la pluie de CVE est quasi-permanente et l’information toujours partielle (même si quelques advisory et discussions de qualité sont là pour rattraper l’ensemble). Du côté de Twitter, si l’on arrive à mettre de côté les petites querelles du moment, on y trouve une quantité intéressante d’informations, bon nombre d’experts en sécurité francophones et anglophones l’utilisant au quotidien. Jusque-là, faire la part des choses, distinguer ce qui est pertinent ou non, se faisait dans un flux permanent avec ces hauts (POC sur full-disclosure) et ces bas (hoax). Puis est arrivé le marketing : nom, site, logo, script/outil, vidéos, raz de marée sur Twitter, papiers dans les journaux grand public, annonce d’une demi-fin du monde, et cela pour une vulnérabilité (dans certains cas même quasi inexploitable). Et voilà que l’on a basculé dans le rythme infernal de la course à la célébrité pour les vulnérabilités. Certes, pour l’initié (toi, lecteur de MISC), tout cela s’apparente essentiellement à une dégradation du rapport signal/bruit dans la veille quotidienne. Lire la suite

L’édito de MISC n°100 !

Et de 100 !

Lecteur de GNU/Linux Magazine depuis le 1er numéro, j’ai passé grâce à ce magazine des dizaines d’heures à expérimenter les merveilles parfois incongrues des langages Scheme, les perles de Mongueurs, le ray tracing avec POV, ou encore les bases de l’administration système. J’ai parfois été dérouté par l’enthousiasme du rédacteur en chef pour GNU Hurd comme j’avais pu l’être à la lecture des articles sur Amiga ou BeOS par la rédaction de Dream mais, sans flagornerie, une très grande partie des compétences informatiques dont je disposais à la sortie d’école d’ingénieur, je la devais à la lecture de la presse spécialisée. Lire la suite

L’édito de MISC n°99 !

C’est la rentrée, le travail reprend avec force et vigueur !

Dans mon dernier édito [1] relativement optimiste quant à l’amélioration de la sécurité, j’abordais en creux certains domaines pour lesquels il demeurait une marge importante de progression. L’un d’eux me tient particulièrement à cœur, œuvrant dans la sphère de l’éducation nationale depuis une bonne quinzaine d’années, c’est celui de l’enseignement et la formation à la sécurité des systèmes d’information. Lire la suite

L’édito de MISC n°98 !

La sécurité est un succès (et un processus d’amélioration continu)

Pour rebondir sur la note d’optimisme de bon aloi de Pappy à propos des 15 ans du SSTIC [1], ne nous enfermons pas dans la posture du berger criant « au loup » en matière de sécurité des systèmes d’information, car globalement le niveau de protection des systèmes d’information n’a jamais été aussi élevé et il est en constante progression.

Au risque de passer pour un vieux con, quand je vois les jeunes s’écrier « la sécurité est un échec » parce que leur brosse à dents se connecte sur un serveur dont le certificat n’est pas certifié A+ chez SSL Lab, je mesure le chemin parcouru ces quinze dernières années. Vous n’imaginiez pas à quel point le niveau de sécurité aujourd’hui semblerait stratosphérique pour un informaticien du début des années 2000 faisant un saut de 15 ans dans le futur. Lire la suite

L’édito de MISC n°97 !

Vous croyez qu’une bande d’énarques a un beau jour d’été inventé un algo meilleur que celui de Gale Shapley ? [1][2]

Août 2017, petite discussion fictive entre deux conseillers dans les couloirs de l’administration centrale du Ministère de l’Enseignement supérieur, de la Recherche et de l’Innovation.

– On a communiqué largement durant tout l’été sur les ratés d’Admission Post Bac, les bacheliers sans affectation et le tirage au sort dans les filières en tension. Il nous faut une nouvelle application, la ministre s’est engagée à ce qu’il n’y ait plus ce type de problèmes l’année prochaine.

– Mais vous avez prévu d’ouvrir plus de places dans l’enseignement supérieur ? Parce qu’avec 800.000 candidats pour 650.000 places, vous ne pourrez pas faire des miracles… Lire la suite