L’édito de MISC n°97 !

Vous croyez qu’une bande d’énarques a un beau jour d’été inventé un algo meilleur que celui de Gale Shapley ? [1][2]

Août 2017, petite discussion fictive entre deux conseillers dans les couloirs de l’administration centrale du Ministère de l’Enseignement supérieur, de la Recherche et de l’Innovation.

– On a communiqué largement durant tout l’été sur les ratés d’Admission Post Bac, les bacheliers sans affectation et le tirage au sort dans les filières en tension. Il nous faut une nouvelle application, la ministre s’est engagée à ce qu’il n’y ait plus ce type de problèmes l’année prochaine.

– Mais vous avez prévu d’ouvrir plus de places dans l’enseignement supérieur ? Parce qu’avec 800.000 candidats pour 650.000 places, vous ne pourrez pas faire des miracles… Lire la suite

L’édito de MISC n°96 : Apocalypse et médiatisation en sécurité informatique

Tout d’abord, et pour reprendre les lignes du dernier édito, dans le cadre du retour aux sources de la ligne éditoriale de MISC, je vais focaliser les thématiques traitées dans les dossiers sur des aspects purement techniques. Bien entendu, certaines seront liées à de nouvelles tendances et comporteront parfois des approches générales du point de vue de la sécurité (conteneurs, blockchain). Tandis que d’autres seront déjà connues, mais avec une approche plus pointue dans les sujets traités (spoil : si tout se passe bien, le prochain dossier sera sur les attaques par canaux auxiliaires avec, au menu, de la crypto, mais aussi des attaques sur les caches – tiens donc !). Lire la suite

L’édito de MISC n°95 !

The user’s going to pick dancing pigs over security every time™

Lors d’une conférence il y a quelques semaines, j’évoquais avec une collègue la GPDR et la nécessité selon moi d’une intervention des États pour contraindre les sociétés à protéger les données personnelles des usagers de leurs services numériques. Pour balayer devant ma porte, les administrations font souvent elles aussi preuve d’une coupable négligence et la sécurité est trop souvent considérée par les maîtrises d’ouvrage comme une brique technique pouvant être ajoutée en toute fin de projet par les maîtrises d’œuvre quand tout le reste est terminé. L’expression des besoins se résumant alors très schématiquement à « le niveau de sécurité doit être maximum sans perturber les utilisateurs, retarder la mise en service ou dépenser un euro de plus. Bonne chance les gars, on compte sur vous ! » Lire la suite

L’édito de MISC n°94 !

Quand ça commence à se voir, ça s’appelle une fuite de données massive [1]

À moins d’être commercial dans une boite de conseil en sécurité des systèmes d’information, il est probable que la date d’application de la RGPD [2] ne soit pas attendue avec la plus grande impatience. Lire la suite

La préface du hors-série consacré à la sécurité des systèmes sans fil !

« We just have these mysterious electromagnetic waves that we cannot see with the naked eye. But they are there. » Heinrich Hertz

Le domaine des télécommunications, et plus particulièrement celui des communications sans fil, a pris une ampleur considérable ces dernières années avec l’apparition de nombreux protocoles et des usages tout aussi variés : Bluetooth, WiFi, LTE, DVB, LoRa, Sigfox, Zigbee, WiMAX, NFC, etc. Les équipements électroniques grand public sont désormais ultra-connectés et le développement de ces technologies ne fait que progresser. Cependant, l’histoire de ce domaine, les télécommunications, ne s’est pas construite de manière linéaire et en adéquation avec les principes des autres domaines proches que sont, entre autres, les réseaux informatiques. Lire la suite

L’édito de MISC n°93 : Mais dis donc, on n’est quand même pas venus pour beurrer les sandwichs !

Plusieurs événements liés à la sécurité ont pu vous sortir de votre torpeur ensoleillée cet été. Par chance, si vous avez posé vos congés en août, vous ne risquiez pas de couvrir l’écran de votre smartphone de crème solaire.

Une première lecture ayant retenu mon intérêt est la publication d’un billet sur le blog de Quarkslab [1] d’une faille sur microcontrôleur utilisé notamment dans l’industrie automobile. Un détail retient particulièrement l’attention sur ce billet : le parcours du combattant de Quarkslab avant de pouvoir communiquer la faille. La lecture de la timeline à la fin du billet est particulièrement instructive et révélatrice de ce que vivent la plupart des chercheurs s’étant engagés dans une procédure de responsible disclosure en vue de la publication d’une vulnérabilité découverte. Une attitude qui n’encourage malheureusement pas les chercheurs à adopter une démarche responsable. Il est dommage qu’il soit plus simple de vendre une vulnérabilité à un broker contre quelques bitcoins que de publier la faille avec l’accord de l’éditeur après qu’il ait pu développer un correctif. Lire la suite

L’édito de MISC n°92 !

Les VIP constituent par essence une population complexe à gérer pour les responsables SSI. Ce sont les utilisateurs qui manipulent les données les plus sensibles d’une entreprise ou d’une administration, dont les fonctions les amènent à être mobiles et à devoir emmener une partie du patrimoine informationnel avec eux. Si ces problématiques représentent déjà un enjeu, certains peuvent se traiter d’une manière technique à renfort de chiffrement, d’authentification forte ou de terminaux durcis, tant que les matériels sont maîtrisés. Mais un autre paramètre, bien plus insidieux, risque de donner des sueurs froides aux responsables de la sécurité. De plus en plus de VIP sont en effet particulièrement friands de gadgets technologiques qui passent sous les radars de la DSI, tout en étant réfractaires aux règles de sécurité. Lire la suite

Découvrez la préface du hors-série consacré à la sécurité des objets connectés !

« Tout ce qui précède l’apocalypse s’appelle le progrès. »  Romain Guilleaumes

Ayant été traitée quelques fois dans des articles précédents de MISC de manière spécifique, la sécurité des objets connectés est aujourd’hui au cœur des actualités, tant dans les grands médias que dans les grandes conférences de sécurité. Le hors-série que vous tenez entre vos mains y est pleinement consacré. Qu’il s’agisse d’une montre, d’un frigo ou même d’un aspirateur, l’avènement du tout connecté n’est aujourd’hui plus un mythe, mais une réalité prenant chaque jour plus d’ampleur. Cela, bien entendu, ne se fait pas impunément : de grands risques liés à la sécurité de ces objets émergent, et l’on découvre combien le plus grand nombre d’entre eux ne sont peu ou pas sécurisés. En témoigne une des plus importantes attaques par déni de service qu’ait connue Internet (certains observateurs indiquent aux alentours d’1 Tbit/s chez OVH [1]) par le biais d’un botnet de caméras connectées infectées par le malware Mirai. Lire la suite

L’édito de MISC n°91 : Pour ne pas se retrouver en slip sur Internet

Tout responsable informatique s’est probablement agacé un jour des contraintes imposées par la CNIL en matière de gestion des données personnelles. Qui n’a pas connu ce grand moment de frustration lorsque le CIL joue les trouble-fêtes alors que, miracle de la gestion de projet, une maîtrise d’ouvrage arrive à correctement formuler un besoin, que les équipes de développement et d’intégration sont super motivées par le challenge technique et que la direction a décidé d’engager des moyens humains et financiers ? S’entendre annoncer en fin de réunion quand tout semble calé qu’une déclaration simplifiée risque de ne pas être suffisante et qu’une demande en bonne et due forme doit être adressée à la CNIL peut être une situation crispante. L’idée d’indexer les primes des commerciaux sur leur nombre de pas quotidien, la durée de leur sommeil et la fréquence de leurs rapports sexuels avait beau enthousiasmer le nouveau Chief Happiness Officer, votre CIL ne se montrait pas exagérément optimiste quant à l’adhésion de la CNIL au concept. Lire la suite

L’édito de MISC n°90 : L’IA, c’est plus fort que toi !

Ces dernières semaines, quelques articles ont relayé la première victoire d’une intelligence artificielle contre des joueurs professionnels de Poker. Une victoire d’abord symbolique. Si l’on s’était habitué depuis quelque temps à ce que la machine supplante l’homme aux jeux ne laissant que peu de place au hasard, le Poker semblait pouvoir rester, encore pour quelque temps, un jeu pour lequel une analyse froide ne suffirait pas. Pourtant à bien y regarder, il s’agit essentiellement d’un calcul de probabilités, domaine trivial pour un ordinateur si on lui fournit assez de données, avec un soupçon d’adaptation au style du jeu de l’adversaire. Mais le grand public et la presse n’aiment rien tant que se faire peur en imaginant un futur proche dans lequel les ordinateurs dépasseront les humains pour la plupart des tâches. Lire la suite