L’édito de MISC n°108 !

Si pour le domaine de la sécurité, la décennie 2010 a été marquée par la prise de conscience par le grand public de la surveillance de masse au niveau étatique, le début de la nouvelle décennie semble être celle du développement exponentiel des capacités offensives aux mains d’acteurs étatiques, privés, voire mafieux. Si nous avions pu commencer à nous sentir globalement en sécurité depuis quelques années, bien au chaud derrière nos couches de protection périmétriques, le modèle commence à montrer de sérieuses limites. Un des enjeux sera donc de monter rapidement en maturité du côté défensif alors que les outils offensifs semblent avoir pris une longueur d’avance. Lire la suite

L’édito de MISC n°107 !

L’actualité de la SSI a été riche ces dernières semaines avec une nouvelle vague de rançongiciels ayant touché plusieurs structures et tout particulièrement le CHU de Rouen [1]. Cette attaque a été très médiatisée du fait de l’impact particulièrement tangible et compréhensible même pour la partie de la population la plus hermétique aux enjeux du numérique. En effet, l’hôpital a dû revenir au papier pendant plusieurs heures, les patients devant être admis aux urgences ont été invités à se rendre dans un autre hôpital de la région et, dans certains cas, la distribution de médicaments a été suspendue pour éviter des erreurs de prescription à cause de l’inaccessibilité des dossiers patients. Lire la suite

L’édito de MISC n°106 !

Lorsque l’on voulait débuter la sécurité il y a une vingtaine d’années, que ce soit sous l’angle offensif ou défensif, il était bien difficile d’expérimenter ses connaissances sauf à réaliser des pentests sauvages. La possibilité de disposer anonymement de connectivité réseau dans les chaînes de fastfood était de la science-fiction et c’est le plus souvent sur les bancs des écoles ou des universités que beaucoup ont fait leurs armes. La première cible était souvent le réseau interne de son établissement (le bon temps du ypcat pour dumper à distance /etc/passwd sur les architectures d’annuaires NIS…). Puis, après avoir fait le tour du propriétaire, la tentation d’aller un peu plus loin se faisait sentir. Malheureusement pour nos apprentis hackers, les responsables des infrastructures visées appréciaient généralement assez peu de devenir le terrain d’expérimentation des jeunes padawans de la SSI. Les solutions techniques de VPN anonymisant telles que Tor étant inexistantes, quelques vocations se sont trop rapidement vues refroidies suite à un rappel à la loi plus ou moins amical (ce n’est évidemment pas autobiographique…). Lire la suite

L’édito de MISC n°104 !

Après s’être régalé des premières asperges généreusement arrosées de muscat alsacien, l’esthète de la sécurité a pu savourer les débats enflammés accompagnant la sortie de Tchap, la messagerie instantanée de l’État. Passée l’agitation probablement accrue par un printemps pluvieux, il n’est pas inintéressant de revenir brièvement sur cet évènement. Lire la suite

L’édito de MISC n°103 !

Il y a quelques semaines, apparaissait sur mon fil Twitter, le constat d’échec (™ Nicolas Ruff) quant à la progression de la proportion de femmes dans la liste des speakers d’une petite conférence sécurité de province [1]. Ce symposium étant assez ancien et les programmes avec la liste des conférenciers étant toujours en ligne, force est de constater que le nombre de femmes conférencières est resté en 15 ans relativement constant. Participant moi aussi, très modestement, à l’organisation d’une conférence sécurité [2], j’apportais ma pierre à l’édifice en exposant les difficultés d’attirer des soumissions de conférencières et que même avec toutes les bonnes volontés du monde cela restait une gageure. Lire la suite

L’édito de MISC n°102 !

La Blockchain ou les habits neufs de l’empereur

Je crois qu’aucune technologie ne m’a jamais laissé aussi circonspect que la Blockchain (ou chaîne de blocs). Une technologie dont tout le monde a entendu parler alors qu’elle est conceptuellement particulièrement complexe, que tout le monde veut utiliser alors que le champ d’application est particulièrement réduit et inadapté, ou tout du moins inefficace, pour la plupart des usages. Lire la suite

L’édito de MISC HS n°19 !

Éthique et sécurité

En ce début d’année 2019, le prix d’un exploit pour un remote jailbreak d’iOS est désormais passé à la modique somme de 2 millions de dollars sur la plateforme Zerodium. Pour rappel et pour ceux qui ne suivent pas cette actualité, l’ancien prix était d’un 1.5 millions de dollars et l’on parle bien de vendre de manière exclusive un exploit 0day fonctionnel (non d’une vulnérabilité comme on peut l’entendre ici et là). Lire la suite

L’édito de MISC n°101 !

Le coup de pouce bleu aux gilets jaunes

C’est avec une certaine fascination que j’ai suivi l’évolution du mouvement des gilets jaunes sur la Toile. La presse a largement commenté l’usage dont le mouvement a fait des réseaux sociaux et tout particulièrement Facebook. Mais avant de revenir sur ce mouvement, prenons un peu de recul pour remettre en perspective l’évolution de Facebook ces quinze dernières années, son usage et sa perception par le grand public.

Au milieu des années 2000, les réseaux sociaux étaient perçus comme une perte de temps, un symptôme d’une société matérialiste et égocentrée. Les fils d’actualité se sont vus envahir de publicités et de jeux en ligne. L’absence de hiérarchisation des billets commençait à rendre la consultation de plus en plus laborieuse et à lasser un certain nombre d’utilisateurs historiques. Lire la suite

Découvrez l’édito du hors-série spécial « Machine Learning & sécurité » !

De l’hermétisme au marketing

Qu’il s’agisse de lessive lavant plus blanc que blanc ou d’une énième vulnérabilité cataclysmique, la résultante invariable du marketing est de produire, à un moment, du faux. Prenons le quotidien de quiconque ferait un minimum de veille du côté des vulnérabilités : dans les méthodes à l’ancienne, suivre les listes de diffusion comme full-disclosure, bugtraq ou oss-sec par exemple n’est pas chose aisée tant la pluie de CVE est quasi-permanente et l’information toujours partielle (même si quelques advisory et discussions de qualité sont là pour rattraper l’ensemble). Du côté de Twitter, si l’on arrive à mettre de côté les petites querelles du moment, on y trouve une quantité intéressante d’informations, bon nombre d’experts en sécurité francophones et anglophones l’utilisant au quotidien. Jusque-là, faire la part des choses, distinguer ce qui est pertinent ou non, se faisait dans un flux permanent avec ces hauts (POC sur full-disclosure) et ces bas (hoax). Puis est arrivé le marketing : nom, site, logo, script/outil, vidéos, raz de marée sur Twitter, papiers dans les journaux grand public, annonce d’une demi-fin du monde, et cela pour une vulnérabilité (dans certains cas même quasi inexploitable). Et voilà que l’on a basculé dans le rythme infernal de la course à la célébrité pour les vulnérabilités. Certes, pour l’initié (toi, lecteur de MISC), tout cela s’apparente essentiellement à une dégradation du rapport signal/bruit dans la veille quotidienne. Lire la suite

L’édito de MISC n°100 !

Et de 100 !

Lecteur de GNU/Linux Magazine depuis le 1er numéro, j’ai passé grâce à ce magazine des dizaines d’heures à expérimenter les merveilles parfois incongrues des langages Scheme, les perles de Mongueurs, le ray tracing avec POV, ou encore les bases de l’administration système. J’ai parfois été dérouté par l’enthousiasme du rédacteur en chef pour GNU Hurd comme j’avais pu l’être à la lecture des articles sur Amiga ou BeOS par la rédaction de Dream mais, sans flagornerie, une très grande partie des compétences informatiques dont je disposais à la sortie d’école d’ingénieur, je la devais à la lecture de la presse spécialisée. Lire la suite