Jean-Marc's infotainment stream » Ma petite parcelle d'Internet...

« Expand/Collapse

Ma petite parcelle d'Internet...

July 30, 2010
1:08
Hole196 : confirmations...
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/fud.png alt=FUD style=float:right; margin: 0 0 1em 1em; //p span class=lettrineA/span plors que le ema href=http://www.blackhat.com/html/bh-us-10/bh-us-10-specialevents_arsenal.html hreflang=en title=Black Hat USA 2010 //Black Hat ArsenalBlackHat Arsenal/a/em consacré à la a href=http://sid.rstack.org/blog/index.php/421-grosse-faille-a-venir-sur-wpa2 hreflang=fr title=Grosse faille à venir sur WPA2 ?vulnérabilité sur WPA2/a levée par AirTight n'est pas encore terminé, les détails commencent à sortir. C'est d'abord, a href=http://blog.matthewgast.com/ hreflang=en title=Surfing the Luminiferous EtherMatthiew Gast/a qui ouvre le feu en a href=http://blog.aerohive.com/blog/?p=362 hreflang=en title=Straight from the horse#8217;s mouth: 802.11-2007 on ARP Spoofingdécorticant le problème au regard du standard/a. Ensuite, et surtout, c'est au tour de a href=http://glennf.com/ hreflang=en title=Glenn Fleishman, unsolicited punditGlenn Fleishman/a de finalement a href=http://arstechnica.com/business/news/2010/07/wifi-hole196-major-exploit-or-much-ado-about-little.ars hreflang=en title=WiFi quot;Hole196quot;: major exploit or much ado about little?lâcher le morceau sur Ars Technica/a./p pConclusionnbsp;: ça confirme a href=http://sid.rstack.org/blog/index.php/423-faille-wpa2-intuitions hreflang=fr title=Faille WPA2nbsp;: intuitions...ce que j'en pensais/a, à savoir que c'est un bon a href=http://fr.wikipedia.org/wiki/Fear,_uncertainty_and_doubt hreflang=fr title=Fear, uncertainty and doubtFUD/a comme BlackHat nous en a href=http://michael-coates.blogspot.com/2010/07/irony-black-hat-video-stream-hack.html hreflang=en title=The Irony - Black Hat Video Stream Hacksort régulièrement/a. Une trouvaille certes intéressante, mais qui n'a rien à voir avec la découverte annoncée.../p pLe fameux a href=http://www.airtightnetworks.com/WPA2-Hole196 hreflang=en title=WPA2 Hole196 VulnerabilityHole196/a ne serait donc finalement qu'une pauvre injection d'ARP cache poisoning sur WPA/WPA2 exploitant la connaissance de la GTK. La corruption ayant pour effet d'envoyer les paquets impactés vers la station de l'attaquant. Comme le permet n'importe quelle attaque aboutissant à une redirection de trafic. À partir de là, les paquets émis par la station visée seront destinés à l'attaquant. Bien que chiffrés dans un premier temps à l'aide d'une PTK inaccessible à l'attaquantsup[a href=http://sid.rstack.org/pnote-424-1 id=rev-pnote-424-11/a]/sup, ils vont ensuite être relayés par l'AP qui va alors les chiffrer pour lui. C'est ce qui lui permet de lire en clair ensuite et agir éventuellement agir dessus. Classique./p pLes points techniques que j'exposais et ma conclusion restent donc valablesnbsp;: il n'y a là rien de plus que ce qu'un utilisateur légitime du réseau ne pouvait déjà faire. La discrétion en plus, mais en se trouvant restreint aux stations associées à l'AP visésup[a href=http://sid.rstack.org/pnote-424-2 id=rev-pnote-424-22/a]/sup./p pEn ce qui concerne la fuite de PTK, rien, bien évidemment. S'agit-il d'une mauvaise citation du journaliste, ou d'une formulation volontairement ambigüe de l'auteurnbsp;? Bonne question. Toujours est-il que la clé n'est transmise en aucune manière. Elle reste bien au chaud là où elle est censée rester, ce qui ne manque pas de limiter les possiblités de l'attaquant. Ce dernier devra en effet s'appuyer sur l'AP pour que le trafic lui soit accessible, contrairement à ce qu'on obtient quand on utilise a href=http://sid.rstack.org/index.php/Wifitap hreflang=fr title=WifitapWifitap/a ou a href=http://www.aircrack-ng.org/doku.php?id=airtun-ng hreflang=en title=airtun-ngairtun-ng/a sur un réseau en clair ou WEP./p pCe qui nous amène naturellement à une technique de protection envisageable. En dehors de l'utilisation d'un a href=http://en.wikipedia.org/wiki/Wireless_intrusion_prevention_system hreflang=en title=Wireless intrusion prevention systemWIPS/a qu'AirTight et d'autres éditeurs a href=http://www.blog.acw-group.com.sg/2010/07/shocking-findings-about-wpa-2-security.html hreflang=en title=Shocking findings about the WPA 2 security protocolne manqueront pas de vous recommander/a, je peux vous conseiller l'utilisation des fonctions d'isolation qui empêchent les stations de parler entre elles. Cela n'empêchera pas la corruption de cache ARP, ou tout autre attaque en multicastsup[a href=http://sid.rstack.org/pnote-424-3 id=rev-pnote-424-33/a]/sup, de se faire, mais ça bloquera le trafic éventuellement détourné au niveau de l'AP. Et comme l'attaquant a besoin que ce dernier lui renvoie les paquets, il ne pourra plus intercepter les communications. Au mieux devra-t-il se contenter d'un DoS, ce qui, dans le monde du Wi-Fi, s'obtient par des moyens nettement plus simples.../p pbr //p pRien de comparable en tout cas avec les a href=http://sid.rstack.org/blog/index.php/305-des-fameuses-faiblesses-de-tkip hreflang=fr title=Des fameuses faiblesses de TKIP...travaux de Beck et Tews sur TKIP/a. Pas de quoi couler la sécurité Wi-Fi. Pas de quoi remettre en cause WPA2. Bref, pas de quoi en faire tout un plat... Ou trois billets ;)/p pbr //p pstrongUpdate (31/07/2010)/strongnbsp;: Network World se fend d'un a href=http://www.networkworld.com/news/2010/073010-airtight-wpa2-vulnerability.html hreflang=en title=AirTight defends Wi-Fi WPA2 #039;vulnerability#039; claimretour sur la vulnérabilité/a, et la présentation qui semble ne pas vraiment avoir impressionné son auditoire.../p div class=footnotesh4Notes/h4 p[a href=http://sid.rstack.org/rev-pnote-424-1 id=pnote-424-11/a] Cf. plus bas./p p[a href=http://sid.rstack.org/rev-pnote-424-2 id=pnote-424-22/a] On ne peut en particulier pas attaquer la partie filaire.../p p[a href=http://sid.rstack.org/rev-pnote-424-3 id=pnote-424-33/a] Notez tout de même qu'un a href=http://sid.rstack.org/blog/index.php/250-boom-headshot hreflang=fr title=Boom ! Headshot !...exploit/a visant spécifiquement un service multicast pourrait être délivré ainsi./p/div
July 28, 2010
11:14
Faille WPA2 : intuitions...
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/intuition.png alt=Intuitions style=float:right; margin: 0 0 1em 1em; //p span class=lettrineA/span pprès avoir lu les a href=http://www.networkworld.com/newsletters/wireless/2010/072610wireless1.html hreflang=en title=WPA2 vulnerability founddeux/a a href=http://wifinetnews.com/archives/2010/07/researchers_hints_8021x_wpa2_flaw.html hreflang=en title=Researcher Gives Clues about WPA2 Flawarticles/a qui parlent le mieux de l'affaire et creusé un tantinet la question, j'ai quand même quelques doutes sur cette annonce. Et comme le a href=http://www.blackhat.com/html/bh-us-10/bh-us-10-specialevents_arsenal.html#ahmad hreflang=en title=Black Hat USA 2010 //Black Hat Arsenal - Sohail Ahmad, WPA Too!premier talk/a est pour demain, je m'en vais les partager avec vous./p pSi effectivement l'idée de réutiliser la clé de groupe d'un réseau Wi-Fi est une idée dont les applications peuvent se montrer intéressantes, ces dernières ne semblent cependant pas d'un impact digne de révolutionner la sécurité Wi-Fi. En outre, cette histoire de récupération de PTK me semble pour le moins obscure.../p pCommençons par ces histoires de PTK. Je viens de parcourir à nouveau les parties concernées du a href=http://standards.ieee.org/getieee802/download/802.11-2007.pdf hreflang=en title=Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specificationsstandard 802.11 version 2007/asup[a href=http://sid.rstack.org/pnote-423-1 id=rev-pnote-423-11/a]/sup, certes pas de manière assidue, mais globalement, je n'ai pas trouvé une seule mention d'un possible envoi de PTK sur le réseau comme suggéré dans l'article de Network World. J'ai pu louper un truc, évidemment, mais ça me paraît gros tout de même./p pÇa surprend d'autant plus quand on considère que la PTK est une clé dérivée entre l'AP et la station, et qu'il existe un mécanisme pour le renouveler. Ce qui implique qu'il n'y a a priori pas de raison pour un AP de demander à une station de transmettre sa PTKnbsp;: d'abord parce qu'il la connaît, ensuite parce que si pour une raison ou une autre il venait à la perdre, il peut en demander le renouvellement. On pourrait certes imaginer que l'attaque porte sur ce ce renouvellement, mais on n'a pas besoin d'aller chercher la GTK pour le déclencher, une simple dé-authentification fera très bien l'affaire, on le sait depuis longtemps. De plus, aucune donnée sensible de ce handskahe n'est chiffrée avec la GTK.../p pEnfin, si la récupération de la PTK permet effectivement de déchiffrer tout le trafic de la station, l'injection de données dans le réseau n'est pas une opération triviale a href=http://sid.rstack.org/blog/index.php/305-des-fameuses-faiblesses-de-tkip hreflang=fr title=Des fameuses faiblesses de TKIP...comme l'ont montré Beck et Tews/a, et a href=http://sid.rstack.org/blog/index.php/365-man-in-the-middle-sur-wpa hreflang=fr title=Man in the Middle sur WPA ?d'autres/a a href=http://sid.rstack.org/blog/index.php/371-tkip-a-feu-doux hreflang=fr title=TKIP à feu doux...par la/a a href=http://sid.rstack.org/blog/index.php/329-nouveautes-dans-les-attaques-sur-tkip hreflang=fr title=Nouveautés dans les attaques sur TKIPsuite/a./p pbr //p pCôté utilisation de la GTK pour le trafic de données, le client va donc pouvoir envoyer du trafic multicast/broadcast sur le réseau, directement aux stations, en se faisant passer pour l'AP. Ce qui va lui permettre au passage d'utiliser une MAC source arbitraire, et donc de faire ça à la ninja. Ce type d'attaque est assez simple à coder, je l'ai fait par le passé avec a href=http://sid.rstack.org/index.php/Wifitap hreflang=fr title=WifitapWifitap/a, on a maintenant a href=http://www.aircrack-ng.org/doku.php?id=airtun-ng hreflang=en title=airtun-ngairtun-ng/a qui fait la même chose, mais en mieux. Vous reprenez le même principe en ajoutant le chiffrement avec la GTK qui va bien, et vous êtes bon. Encore fallait-il le voir... et le faire.../p pRécupérer la GTK nécessite d'être un utilisateur légitime du réseau. La manière la plus simple et générique de l'obtenir est de s'associernbsp;: l'AP vous l'envoie en fin de 4-Way Handshake, chiffrée avec votre PTK. Dans le cas d'une authentification par PSK, la connaissance de cette dernière pour permet d'extraire la GTK simplement en observant le handshake. C'est là une vulnérabilité connue des réseaux utilisant ce type d'authentification./p pPour les points techniques, voilà ce qu'on peut retenir pour l'instant. D'abord, l'attaque n'est valable que pour point d'accès donné et les clients qui y sont associés. Ensuite, la fenêtre d'attaque tient au renouvellement de la GTK. Un des critères de renouvellement est la désassocation d'une station. En effet, dès qu'une station quitte le réseau, on renouvelle la GTK. Ce qui implique qu'un client associé voulant mettre en #339;uvre cette attaque doit rester associé durant l'attaque. Enfin, côté conséquences, toute attaque basée sur du trafic multicast ou broadcast pourra être mise à profit par cette technique. Je citais la corruption de cache ARP, c'est un candidat parfait pour l'exploitation./p pbr //p pPour conclure, je ne vois pour l'instant rien là-dedans qui ne puisse déjà être fait par une station légitime associée. La différence, qui peut être de taille cependant dans certains environnements, c'est que la station attaquante tient là une excellent technique de dissimulation./p div class=footnotesh4Notes/h4 p[a href=http://sid.rstack.org/rev-pnote-423-1 id=pnote-423-11/a] À noter que le page 196 qui donne son nom à l'attaque ne vous apprendra de ce côté là.../p/div
July 25, 2010
22:15
Concorde... 10 ans déjà...
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/concorde.png alt=Concorde style=float:right; margin: 0 0 1em 1em; //p span class=lettrineC/span p'était il y a 10 ans. Le 25 juillet 2000, le a href=http://fr.wikipedia.org/wiki/Concorde hreflang=fr title=ConcordeConcorde/a assurant le a href=http://fr.wikipedia.org/wiki/Vol_4590_Air_France hreflang=fr title=Vol 4590 Air Francevol 4509 d'Air France/a à destination de New York s'écrasait sur Gonesse. Cent treize morts./p pTrois ans plus tard, Concorde sera retiré du service, marquant la fin, très probablement définitive, de l'aviation supersonique commerciale.../p pVous pourrez trouver pléthore d'article et une tonne de documentation sur la question. Néanmoins, je vous recommande de visionner les deux parties du documentaire suivant, en français qui plus est./p object data=http://www.youtube.com/v/3y5lLFUps7c type=application/x-shockwave-flash height=350 width=425 style=display:block; margin:0 auto;param name=movie value=http://www.youtube.com/v/3y5lLFUps7c //objectbr / object data=http://www.youtube.com/v/HeV-Oo3cROk type=application/x-shockwave-flash height=350 width=425 style=display:block; margin:0 auto;param name=movie value=http://www.youtube.com/v/HeV-Oo3cROk //objectbr / pEn ce triste anniversaire, une commémoration se tenait sur les lieus de l'accident a rassemblé les familles des victimes, pour lesquelles on aura une pensée.../p
19:17
Grosse faille à venir sur WPA2 ?
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/alertewifi.png alt=Alerte Wi-Fi style=float:right; margin: 0 0 1em 1em; //p span class=lettrineC/span p'est en tout cas ce qu'annonçait avant-hier a href=http://www.airtightnetworks.com/ hreflang=en title=Airtight NetworksAirTight Networks/a, société indienne spécialisée en sécurité Wi-Fi. Dans un billet intitulé ema href=http://blog.airtightnetworks.com/wpa2-finds-itself-in-a-hole-vulnerable-to-insider-attacks/ hreflang=en title=WPA2 finds itself in a quot;holequot;! Vulnerable to insider attacks!WPA2 finds itself in a hole! Vulnerable to insider attacks!/a/em publié vendredi, on apprend qu'une vulnérabilité surnommée Hole196 sera démontrée à a href=http://www.blackhat.com/html/bh-us-10/bh-us-10-home.html hreflang=en title=BlackHat USA 2010BlackHat US/a la semaine prochaine et a href=http://www.defcon.org/html/defcon-18/dc-18-index.html hreflang=en title=Defcon 18Defcon/a dans la foulée./p pLe tout à a href=http://www.airtightnetworks.com/WPA2-Hole196 hreflang=en title=WPA2 Hole196 Vulnerabilitygrands renforts de publicité/a, d'une invitation à s'enregistrer à un emwebinar/em sur la question et sans le moindre détails technique, autant dire qu'il y a là tous les ingrédients de la recette bien connue du a href=http://sid.rstack.org/blog/index.php/302-artillerie-en-phase-aqueuse hreflang=fr title=Artillerie en phase aqueuse...pêtard mouillé/a.../p pCependant, AirTight a déjà eu l'occasion de démontrer la compétence de ses experts par la passé. Ils s'étaient en particulier fendu d'une a href=http://www.defcon.org/images/defcon-15/dc15-presentations/Gupta_and_Ramachandran/Whitepaper/dc-15-gupta_and_ramachandran-WP.pdf hreflang=en title=http://www.defcon.org/images/defcon-15/dc15-presentations/Gupta_and_Ramachandran/Whitepaper/dc-15-gupta_and_ramachandran-WP.pdfprésentation à la 15e Defcon/a a href=http://sid.rstack.org/blog/index.php/218-wep-cloaking-ou-l-histoire-d-une-bonne-intention hreflang=fr title=WEP Cloaking, ou l#039;histoire d#039;une bonne intention...démontant le WEP Cloaking/a. L'auteur de la future présentation, Sohail Ahmad, est également intervenu par le passé sur le sujet. Bref, pas forcément du flan, il va falloir regarder de quoi il retourne.../p pEn lisant un peu entre les lignes, on apprend en particulier que l'attaque nécessiterait un accès légitime au réseau, ce qui réduirait d'une part considérablement la surface d'attaque, mais pose d'autre part également quelques questions sur le contenu technique de l'attaque. On sait en effet que si on a accès à un réseau Wi-Fi, on peut tout à fait obtenir des effets similaires par un bon vieil a href=http://sid.rstack.org/arp-sk/ hreflang=en title=arp-skARP cache poisoning/a des familles. De plus, dès lors qu'on est en authentification par clé partagée, le mode PSK, on sait également qu'il est possible de retrouver la PTK d'un utilisateur en sniffant son authentification au réseau, ce qui ramène à la conséquence principale pressentie ci-dessous, pour ce mode d'authentification./p pLe seul contenu avançant des détails techniques que j'ai pu trouvé jusqu'à présent est un a href=http://www.networkworld.com/newsletters/wireless/2010/072610wireless1.html hreflang=en title=WPA2 vulnerability foundarticle de Network World consacré à l'annonce/a. D'après ce qu'on peut y lire, il s'agirait d'utiliser la clé de groupe, ou GTK, qui est distribuée à chaque client associé pour injecter du trafic de groupe dans le réseau en spoofant l'AP, ce type de trames n'étant pas authentifiées. Il existerait en particulier un type de message de groupe qui permettrait de récupérer les clés de chiffrement d'un client, typiquement la PTK./p pAussi surprenant que puisse paraître la possibilité pour un message de groupe de faire ainsi leaker des clés privées, si c'est effectivement le cas, c'est effectivement un peu la fin des haricots. Cela permettrait en effet de déchiffrer à la volée le trafic échangé par le client en question et le point d'accès et de potentiellement injecter du trafic entre les deux. Cela toucherait également WPA comme WPA2 qui partagent le même mécanisme de dérivation de clés, indépendamment de la méthode d'authentification et du chiffrement choisis... Pas glop.../p pBref, c'est un talk qu'il faudra suivre, et j'y consacrerai un petit billet dès que j'aurais les détails de la faille en question./p pUpdatenbsp;: un a href=http://wifinetnews.com/archives/2010/07/researchers_hints_8021x_wpa2_flaw.html hreflang=en title=Researcher Gives Clues about WPA2 Flawautre article est dispo chez Wi-Fi Net News/a, mais franchement, il n'apporte rien par rapport à celui cité plus haut./p
July 22, 2010
12:11
Stratégies de départ en vacances...
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/photobackpack.png alt=Sac à dos photo style=float:right; margin: 0 0 1em 1em; //p span class=lettrineQ/span puand on commence à s'intéresser à la photo en oubliant de laisser son hémisphère g33k au placard, on est souvent confronté à quelques crises de LBA, ou Large Buyer Addiction. Et c'est d'autant plus vrai quand vous avez à disposition un marché de l'occasion dynamique fournissant aussi bien du matériel récent que des a href=http://sid.rstack.org/blog/index.php/367-des-objectifs-manuels-et-des-boitiers-numeriques-chez-pentax hreflang=fr title=Des objectifs manuels et des boîtiers numériques chez Pentax...antiquités/a à des prix tout à fait abordables./p pAussi, depuis que je me suis lancé dans le monde du reflex numérique, mon a href=http://sid.rstack.org/blog/index.php/361-retrospective-photo hreflang=fr title=Rétrospective photo...équipement/a a littéralement explosé avec deux boîtiers argentiques, sept objectifs dont cinq manuels, principalement des focales fixes, sans compter un nombre conséquent de babioles en tout genre. Et maintenant que j'ai tout ça sous la main et que je suis sur le point de partir en vacances, vient l'heure des choix. Ou comment remplir efficacement la besace sans la faire exploser.../p pL'approche que j'adopte habituellement quand je pars en déplacement avec mon matériel photo vise à rester polyvalent. Tout en essayant de ne pas trop m'encombrer d'une part et de m'orienter vers un usage pas trop prise de tête d'autre part. Partant de ce principe général, j'écarte tout ce qui est focale fixe manuelle et m'oriente sur mes zooms récents. Ces derniers me permettent de couvrir complètement une plage allant de 16mm à 300mm sur trois optiques, avec des ouvertures confortables et une excellente qualité, au prix d'un encombrement relatif certes. Si ce dernier point s'avère vraiment être un soucis, j'ai toujours un 18-250mm qui se défend bien, même s'il souffre d'une faible ouverture en bout de focale. Mais à ce jeu là, autant pousser le concept jusqu'au bout et partir avec le K100D.../p pCôté accessoires, je prends le trépied à chaque fois que c'est possible. C'est juste indispensable pour les photos de nuit et la macro. Si je décide de m'en passer, j'ai toujours un monopied pour supporter mon plus gros zoom. Sinon, je m'en tiens à 150mm de focale maximum, ce qui reste très confortable pour l'essentiel des usages.br / Pour la a href=http://fr.wikipedia.org/wiki/Macrophotographie hreflang=fr title=Macrophotographiemacro/a, n'ayant pas d'objectif avec un rapport 1:1, j'utilise deux solutions alternativessup[a href=http://sid.rstack.org/pnote-406-1 id=rev-pnote-406-11/a]/sup. La première est une série de a href=http://fr.wikipedia.org/wiki/Bonnette_(optique) hreflang=fr title=Bonnette (optique)bonnettes/a de une à dix dioptries qui me fournissent de très bon rapports de grossissement au prix d'un encombrement très réduit. La seconde est un doubleur macro qui me permet de transformer mon 50mm f/1.4 en un 100mm f/2.8 de fort bonne facture. Les deux solutions sont suffisamment légères pour se glisser facilement dans la besace.br / Enfin, je prends régulièrement un flash qui ne serait pas spécialement encombrant ou lourd s'il ne fallait pas prendre avec un jeu de piles additionnel et leur chargeur.../p pEnfin, quelques accessoires qu'il convient d'éviter d'oubliernbsp;:/p ul libatterie additionnelle et son chargeur, de voyage de préférence, ainsi les éventuels adaptateurs qui vont avecsup[a href=http://sid.rstack.org/pnote-406-2 id=rev-pnote-406-22/a]/supnbsp;;/li liau moins une SDHC supplémentairesup[a href=http://sid.rstack.org/pnote-406-3 id=rev-pnote-406-33/a]/sup et un lecteur de cartes pour ne pas ruiner la batterie du boîtier sur les transfertsnbsp;;/li liun kit de nettoyage dont le minimum me semble être une poire et un a href=http://www.lenspen.com/?cPath=amp;products_id=LP-1amp;tpid=146 hreflang=en title=LensPenLensPen/a ou équivalentnbsp;;/li liun sac adapté, à la fois au matériel transporté et au contexte d'utilisation./li /ul pIl me reste une solution à encombrement minimal que je n'utilise que très occasionnellement. Elle consiste à laisser le reflex au placard et ne partir qu'avec mon Z5fd accompagné d'une batterie de secours et d'un mini trépied. Appareil compact que j'hésite d'ailleurs à remplacer soit par un modèle tout terrain genre a href=http://www.pentax.fr/fr/group/5/product/16427/body/overview/Photo_appareil_photo.php hreflang=fr title=Pentax Optio W90Pentax Optio W90/a, soit par un compact haut de gamme comme le tout nouveau a href=http://www.panasonic.fr/html/fr_FR/Produits/Appareils+Photos+Lumix/Compact+Bijoux/DMC-LX5/Pr%C3%A9sentation/5437022/index.html hreflang=fr title=DMC-LX5Panasonic LX5/a. La solution ultime, voire carrément extrême, pourrait consister, considérant les progrès accomplis dans le domaine, à ne compter que sur l'appareil intégré de mon GSM. Mais il y a quand même encore du boulot.../p pbr //p pMais vous, adeptes de la photo qui me lisez, vous vous y prenez commentnbsp;?/p div class=footnotesh4Notes/h4 p[a href=http://sid.rstack.org/rev-pnote-406-1 id=pnote-406-11/a] Faudra que je pense à finir mon billet sur la macro sans objectif macro.../p p[a href=http://sid.rstack.org/rev-pnote-406-2 id=pnote-406-22/a] Charger ses batteries avant de partir, c'est pas mal non plus.../p p[a href=http://sid.rstack.org/rev-pnote-406-3 id=pnote-406-33/a] Vider ses cartes, c'est bien aussi./p/div
July 19, 2010
12:29
De la pénurie de pentesteurs...
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/iwantyou.png alt=I want you style=float:right; margin: 0 0 1em 1em; //p span class=lettrineD/span pevant les a href=http://www.n0secure.org/2010/06/sstic-mercredi-matin.html hreflang=fr title=SSTIC 2010 - Mercredi matinnbsp;: 1ère confannonces/a de a href=http://www.n0secure.org/2010/06/sstic-vendredi-apres-midi-derniere-conf.html hreflang=fr title=SSTIC 2010 - Vendredi après-midinbsp;: Dernière confrecrutement/a lancées à l'occasion du dernier SSTIC et les offres qui y circulaient à peine plus discrètement, a href=http://pentester.fr/blog/index.php?post/2010/06/10/La-p%C3%A9nurie-nous-guette-t-elle hreflang=fr title=La pénurie nous guette-t-elle ?Mat en venait à se demander si une pénurie de main d'#339;uvre/a n'était pas en train de gagner le petit monde du test d'intrusion. J'aurais tendance à penser que le problème n'est pas tant dans la disponibilité de candidats potentiels que dans le type de profils recherchés. Comme le souligne Mat, le monde du pentest est petit. Mais encore faut-il s'entendre sur ce qu'on entend par pentest.../p pCar il ne faut pas se cacher que le terme empenetration testing/em est depuis longtemps un buzzword. La portée est certes moindre qu'un bon vieux emcyber-whatever/em des familles, mais le fait estnbsp;: le pentest peut, selon les cas, englober une très large palette d'activités qui n'ont en commun que le fait d'essayer d'évaluer la sécurité d'un système de l'extérieur./p pAinsi, l'export en PDF du rapport d'un scan a href=http://www.nessus.org/nessus/ hreflang=fr title=NessusNessus/a sera allègrement qualifié de pentest par certains, là où d'autres réserveront ce terme à une activité humaine nécessitant du temps, des compétences et de l'expérience. On sent bien qu'entre les deux, un monde existe, et qu'il est peuplé de profils forts différents aux aspirations très variées. De fait, il me semble difficile de parler de pénurie si on n'arrive pas à identifier exactement ce qui est recherché. En outre, l'apparition d'une demande soudaine pour une activité particulière, que j'aurais plus tendance à appeler génériquement emévaluation de sécurité/em, n'implique pas forcément qu'elle ne puisse pas être satisfaite. Ce qu'on a vu au SSTIC, ce sont des des gens qui recrutent. Maintenant, est-ce qu'ils auront vraiment du mal à staffer à hauteur de leurs objectifsnbsp;? C'est une autre question dont la réponse sera légèrement moins évidente à identifier à l'échelle du marché./p pCeci dit, dans l'hypothèse où on s'accorderait à penser que les profils recherchés nécessitent un bagage de compétences initiales en évaluation offensive, on pourrait effectivement faire face à un problème. À savoir l'absence non pas de gens motivés pour faire du pentest, mais de gens suffisamment formés pour en faire efficacement, en particulier chez les jeunes. On pourrait invoquer une armée d'explications, aussi je ne ferai qu'une constatation qui vaut ce qu'elle vaut, à savoir qu'il n'existe pas, en France et à ma connaissance, de cursus scolaire qui forme à ce genre de pratiques en école ou université. Ou du moins pas officiellement. Ce qui réduit un peu la population disponible aux gens intrinsèquement câblés à ces fins, qui s'avèrent souvent être a href=http://news0ft.blogspot.com/2009/07/lechec-de-la-securite-francaise.html hreflang=fr title=L#039;échec de la sécurité françaiseceux dont on déplore également la délocalisation/asup[a href=http://sid.rstack.org/pnote-419-1 id=rev-pnote-419-11/a]/sup. Loin de moi l'idée d'affirmer que personne n'aborde cet aspect de la sécuritésup[a href=http://sid.rstack.org/pnote-419-2 id=rev-pnote-419-22/a]/sup au sein de formations spécialisées ou non, seulement de constater que ça n'apparaît pas assez dans les programmes. Et que c'est fort dommagenbsp;!/p pIl ne s'agit évidemment pas de créer ce que d'aucuns aiment à qualifier d'a href=http://sid.rstack.org/ title=enécoles de pirates/a, mais tout simplement d'aborder une activité qui fait partie depuis très longtemps des prestations de sécurité informatique. Cependant, cela pourrait ne pas être aussi simple qu'il y paraît au premier abord. D'abord parce que les prestations à caractère offensif ont du mal à être comprises pour ce qu'elles sont par le public profane. J'en veux pour preuve ce récent article du a href=http://www.publico.es/ hreflang=es title=Públicojournal espagnol Público/a intitulé ema href=http://www.publico.es/323921/ataque hreflang=es title=La ciberguerra pasa al ataqueLa ciberguerra pasa al ataque/a/em qui traite du développement des capacités offensives de la France. Si cette prose mérite un billet à elle seule, on notera néanmoins le passage qui expliquesup[a href=http://sid.rstack.org/pnote-419-3 id=rev-pnote-419-33/a]/sup que les six a href=http://fr.wikipedia.org/wiki/Centre_d%27%C3%A9valuation_de_la_s%C3%A9curit%C3%A9_des_technologies_de_l%27information hreflang=fr title=Centre d#039;évaluation de la sécurité des technologies de l#039;informationCESTI/a nationaux développent et utilisent des armes numériques parce qu'ils ont reçu l'autorisation du a href=http://www.sgdsn.gouv.fr/ hreflang=fr title=Secrétariat Général de la Défense et de la Sécurité NationaleSGDSN/asup[a href=http://sid.rstack.org/pnote-419-4 id=rev-pnote-419-44/a]/sup de faire... des tests d'intrusion.../p pEnsuite, et c'est en partie lié au point précédent, parce qu'il faut bien avouer que le test d'intrusion a un peu du mal à trouver sa véritable place dans le grand ordre des choses. Par là, j'entends qu'ils ne sont pas légions ceux qui parviennent à l'intégrer positivement dans un process d'évaluation de la sécurité. Je vois déjà les sourcils se froncer, voire se lever d'étonnement, mais globalement, le pentest tel qu'il est aujourd'hui demandé par le marché, c'est un peu l'audit du pauvrenbsp;: un truc court, pas cher, dont les effets se corrigent facilement par des mesures de surface et dont les conclusions désagréables ne sont de toute manière empas pertinentes au regard des impératifs métier/emsup[a href=http://sid.rstack.org/pnote-419-5 id=rev-pnote-419-55/a]/sup. Mais certainement pas quelque chose qui soit envisagé comme pouvant participer significativement à l'amélioration de leur sécurité./p pD'aucuns appelleront ça l'échec du pentest...br / Toujours est-il qu'il reste une bonne nouvelle pour une partie de ceux qui staffent. À savoir que pour répondre à ce genre de demande, la main d'#339;uvre se trouve assez facilement.../p div class=footnotesh4Notes/h4 p[a href=http://sid.rstack.org/rev-pnote-419-1 id=pnote-419-11/a] La valorisation passe par une reconnaissance qui peut prendre la forme d'une existence scolaire./p p[a href=http://sid.rstack.org/rev-pnote-419-2 id=pnote-419-22/a] D'autant que je sais que certains le font !/p p[a href=http://sid.rstack.org/rev-pnote-419-3 id=pnote-419-33/a] Modulo l'exactitude de la traduction qui m'en a été faite./p p[a href=http://sid.rstack.org/rev-pnote-419-4 id=pnote-419-44/a] lt;jokegt;Le SGDN fait de la emsécurité/em maintenantlt;/jokegt; ;)/p p[a href=http://sid.rstack.org/rev-pnote-419-5 id=pnote-419-55/a] À se demander pourquoi ces gens demandent des pentests... La réponse à cette question est laissée en exercice au lecteur.../p/div
July 15, 2010
8:22
Le syndrome de la douche...
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/douche.png alt=Douche style=float:right; margin: 0 0 1em 1em; //p span class=lettrineJ/span p'imagine qu'il vous est déjà arrivé de vous demander comment certains pouvaient se planter en concevant des objets courants. Je suis sûr que de nombreux exemples doivent vous venir en tête. Celui que j'affectionne particulièrement, c'est la douche. Autant dire quelque chose qui semble apparemment simple à concevoir de prime abord./p pEn tout cas, quelque chose dont le cahier des charges de base n'a rien d'un roman de Balzac. Il s'agit de faire tomber de l'eau sur quelqu'un, au sein d'un volume défini et depuis une hauteur raisonnable, puis la drainer vers une évacuation. Avec à disposition un état de l'art, si j'ose m'exprimer ainsi, manifestement assez bien maîtrisé. Mais si j'écris emapparemment/em, c'est que certains semblent avoir du mal avec cet exercice.../p pJe ne suis pas plombier ou architecte d'intérieur. Je vais donc m'en tenir à mon étonnement devant des bévues que je trouve assez énormes dans la conception d'espaces de douche que j'ai pu utiliser çà et là. Car il y a des gens, dont on imagine que c'est le métier de concevoir des salles de bain, à qui l'utilisation d'une douche semble aussi étrangère que peut l'être le a href=http://www.lexpansion.com/economie/actualite-high-tech/hadopi-en-a-marre-d-etre-caricaturee_233444.html hreflang=fr title=Hadopi en a marre d#039;être caricaturéeb.a.-ba de la sécurité à d'autres/a.../p pPrenons un premier exemple avec cette salle de bain proposée dans un grand aéroport international. La douche proprement dite occupe le dernier tiers de la pièce, sur toute sa largeur, et se trouve délimitée par une paroi en verre. La surface au sol correspondante est en légère dépression créant ainsi la cuvette destinée à drainer l'eau. Déjà, on se dit que si la paroi en question ne s'arrêtait pas à 10cm au dessus du sol, laissant ainsi passer toutes les éclaboussures, ça serait mieux. Mais tant qu'on ne passe pas une demie-heure sous la douche, ça reste gérable. Le vrai échec dans la conception de cette douche est d'avoir positionné la fameuse paroi en verre dans un plan vertical qui se trouve... en dehors de la cuvette. Du coup, l'eau qui ne maque pas de ruisseller le long de cette paroi finit dans le reste de la pièce. Si vous aimez les tapis de bain mouillés, vous sécher les pieds dans l'eau et remettre vos chaussettes en équilibre sur la cuvette des toilettes, c'est parfait. Sinon, dommage.../p pSecond exemple de la vraie vie avec cette salle de bain aménagée pour personnes à mobilité réduite. Il s'agit d'une grande pièce entièrement carrelée dont un coin sert d'espace douche, sans paroi pour ne pas gêner l'accès. Une légère dépression a été pratiquée dans le sol à cet endroit pour récupérer l'eau. On imagine bien que les projections ne se limiteront pas à cette seule surface, mais ce n'est pas grave puisque l'ensemble de la pièce est emwater-proof/em. Ce n'est qu'une fois que vous avez fini de prendre votre douche que vous vous apercevez que le sol est en légère pente vers... la porte. L'eau qui tombe en quantité appréciable en dehors de la cuvette coule donc immanquablement vers le reste de la chambre, où elle se trouve absorbée par la moquette. Ce qui, je pense, n'était pas franchement le comportement attendu.../p pAutre exemple avec les salles de bains d'une chaîne d'hôtels internationale. Chaîne au sein de laquelle on a l'air d'aimer particulièrement les surfaces vitrées, tout en se montrant radin sur leur taille. Ici, on prend la douche dans la baignoire, les éclaboussures devant être contenues par une paroi vitrée... trop petite. Là encore, après à peine cinq minutes de douche, c'est l'inondation. quand à l'ergonomie de l'ensemble, je préfère ne pas me lancer sur les contorsions auxquelles il faut se livrer pour entrer ou sortir de la baignoire, mais aussi se doucher sous le pommeau qui doit culminer à 1,70m de hauteur.../p pOu encore cet hôtel de charme dans le sud de la France dont l'architecte d'intérieur n'a pas jugé utile de considérer l'étanchéité au niveau des portes. Ou cet autre dont les portes de cabine de douche sont équipées d'une astucieuse languette destinée à guider l'eau de ruissellement directement dans la cuvette, mais qui, parce que montées à l'envers, l'envoient directement à l'extérieur. Ou cette dernière dont la bonde d'évacuation n'est manifestement dimensionnée par rapport à l'énorme poire de douche que pour obtenir a href=http://fr.wikipedia.org/wiki/P%C3%A9diluve hreflang=fr title=Pédiluvepédiluve/a en moins de cinq minutes. Etc./p pDes exemples de ce tonneau, on en rencontre à la pelle. Heureusement, il y a aussi pleins de douches bien pensées et efficaces. Et ce sont très souvent les plus simplessup[a href=http://sid.rstack.org/pnote-417-1 id=rev-pnote-417-11/a]/sup. Globalement, je trouve tout de même assez impressionnant d'en trouver autant qui soient mal conçues aussi souvent. À croire que le a href=http://en.wikipedia.org/wiki/Eating_your_own_dog_food hreflang=en title=Eating your own dog fooddogfooding/a n'est pas de rigueur dans ce métier.../p pbr //p pNormalement, vous devez commencer à vous demandez où je veux en venir avec mes histoires de douche. Nulle part en particulier, en fait ;)/p pSinon à constater d'une part qu'il est des domaines sévèrement touchés par une incapacité de la part de certains professionnels à répondre efficacement à un cahier des charges, même simple. Ne serait-ce que pour parvenir à produire un truc qui marche. Juste un truc qui marche. Et à remarquer d'autre part que dans la plupart des cas cités ci-dessus, la conception avait manifestement été drivée par un soucis de design. Je ne sais pas vous, mais quand je sors d'une douche super jolie pour me rendre compte que le tapis de bain est trempe ou que je barbotte encore dans 2mm d'eau froide sur le carrelage, je ne garde pas un souvenir particulièrement exceptionnel de cette emexpérience utilisateur/em.../p pMaintenant, je me garderai bien de faire un parallèle avec un autre secteur d'activité.../p div class=footnotesh4Notes/h4 p[a href=http://sid.rstack.org/rev-pnote-417-1 id=pnote-417-11/a] a href=http://en.wikipedia.org/wiki/KISS_principle hreflang=en title=KISS principleKISS/a ?/p/div
July 04, 2010
15:10
PBKDF2 à l'épreuve du FBI
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/truecrypt.png alt=TrueCrypt style=float:right; margin: 0 0 1em 1em; //p span class=lettrineV/span pous n'êtes probablement pas passé à côté de cette a href=http://yro.slashdot.org/story/10/06/26/1825204/FBI-Failed-To-Break-Encryption-of-Hard-Drives hreflang=en title=FBI Failed To Break Encryption of Hard Drivesnews retentissante/anbsp;: le a href=http://www.fbi.gov/ hreflang=en title=Federal Bureau of InvestigationFBI/a aurait échoué à décrypter des disques protégés par a href=http://www.truecrypt.org/ hreflang=en title=TrueCryptTrueCrypt/a. C'est évidemment une mauvaise nouvelle pour la justice brésilienne à qui ces données auraient été bien utiles pour étayer ses poursuites contre a href=http://en.wikipedia.org/wiki/Daniel_Dantas hreflang=en title=Daniel SantasDaniel Dantas/a, mais d'un autre côté, c'est un énorme coup de pub pour ce logiciel libre de chiffrement de volumes./p pSi j'en parle dans la a href=http://sid.rstack.org/blog/index.php/Wi-fi hreflang=fr title=Ma petite parcelle d#039;Internet - Wi-Ficatégorie Wi-Fi/a, c'est que cet échec des autorités brésiliennes et américaines nous ramène à la solidité pratique de la a href=http://www.truecrypt.org/docs/header-key-derivation hreflang=en title=Header Key Derivation, Salt, and Iteration Countfonction de dérivation de clés/a utilisée par TrueCrypt, laquelle se trouve être la même que celle proposée par a href=http://sid.rstack.org/blog/index.php/330-wpa-psktkip hreflang=fr title= WPA != PSK+TKIPWPA et WPA2 en authentification PSK/a./p pCette fonction standard, qui porte de le nom barbare de a href=http://www.truecrypt.org/docs/pkcs5v2-0.pdf hreflang=en title=PKCS #5 v2.0: Password-Based Cryptography StandardPBKDF2/a, sert à dériver une clé de longueur arbitraire à partir d'un mot de passe. On comprend bien que dans des contextes comme celui d'un disque chiffré ou d'une connexion Wi-Fi authentifiée par passphrase, la qualité d'une telle fonction est primordiale. D'une part pour ne pas introduire de vulnérabilité qui permettrait de contourner la solidité du mot de passe, et d'autre part pour fournir un fonctionnement qui rendra plus difficile les attaques de mots de passe telles que nous les connaissons. Et sans entrer dans les détails, on peut dire que PBKDF2 s'en sort plutôt bien ;)/p pD'abord en utilisant une graine d'aléa, ou salt anglais, pour bloquer les attaques par dictionnaires précalculés, couramment appelés ema href=http://fr.wikipedia.org/wiki/Table_arc-en-ciel hreflang=fr title=Tables arc-en-cielRainbow Tables/a/em. Dans le cas du Wi-Fi, le salt est le SSID du réseau, ce qui implique qu'un éventuel dictionnaire précalculé pour cet accès ne pourra pas être utilisé sur un autre. Plus généralement, une telle a href=http://www.renderlab.net/projects/WPA-tables/ hreflang=en title=Church of Wifi WPA-PSK Rainbow Tablestable pour WPA/WPA2-PSK/a ne sera utilisable que pour les a href=http://www.renderlab.net/projects/WPA-tables/SSID.zip hreflang=en title=SSID.zipSSID/a qui auront été utilisés pour sa création. D'où la nécessité d'opter pour un SSID personnalisé, éventuellement unique, quand on configure son accès. Certains FAIs vous en fournissent un par défaut, d'autres non, et ce n'est jamais le cas sur les routeurs ou points d'accès qu'on trouve dans le commerce./p pEnsuite en mettant en #339;uvre un nombre conséquent d'itérations d'une fonction de hash pour atteindre un temps de calcul conséquent, sans être prohibitif. En effet, lors d'un accès légitime, la dérivation est faite une fois à l'initialisationnbsp;; on peut se permettre un mécanisme un peu gourmand dans la mesure où il ne sera pas répété par la suite. Alors que lors d'une attaque, il faut exécuter la fonction pour chaque nouveau mot de passe à tester. L'impact est alors nettement plus conséquent. Pour le Wi-Fi, on va a href=http://sid.rstack.org/pres/0911_CESAR_WiFi.pdf hreflang=fr title=Attaques Wi-Fi WPAitérer un peu plus de 8000 fois un SHA-1/a. Ceci a pour effet de faire exploser la complexité du calcul. Là où tester un mot de passe en MD5 requiert environ 300 opérations, tester une PSK en demande presque 16 millions./p pBref, c'est a href=http://sid.rstack.org/blog/index.php/299-ca-fout-les-boules hreflang=fr title=Ça fout les boules...pas forcément simple/a a href=http://sid.rstack.org/blog/index.php/381-cracker-de-la-psk-en-ligne-epidose-2 hreflang=fr title=Cracker de la PSK en ligne, épisode 2à attaquer/a, quand c'est bien fait évidemment. C'est ce que le FBI vient de nous le confirmer, en se cassant les dents sur la cas particulier de TrueCrypt./p pNote aux curieux d'entre vous qui se poseraient des question sur PBKDF2nbsp;: il pourront en trouver une a href=http://www.artiflo.net/2009/08/pbkdf2-et-generation-des-cles-de-chiffrement-de-disque/ hreflang=fr title=PBKDF2 et génération des clés de chiffrement de disqueexcellente analyse/a, en français qui plus est, sur le a href=http://www.artiflo.net/ hreflang=fr title=Artiflo Insideblog d'Artiflo/asup[a href=http://sid.rstack.org/pnote-400-1 id=rev-pnote-400-11/a]/sup./p pbr //p pPour en revenir à TrueCrypt et au FBI, on notera deux articles traitant de l'affaire. Le premier est a href=http://g1.globo.com/English/noticia/2010/06/not-even-fbi-can-de-crypt-files-daniel-dantas.html hreflang=en title=Not even FBI was able to decrypt files of Daniel Dantascelui de Globo/a. Dans ce dernier, un passage m'a fait sourirenbsp;:/p preThe government has no legal instrument to compel the manufacturer of the American encryption system or Dantas to give the access codes./pre pDécidemment, cette croyance comme quoi les éditeurs de systèmes cryptographiques sont forcément capables de fournir la clé de toute donnée chiffrée avec leur système à la vie dure. Pas que ce soit forcément faux, mais c'est quand même rarement vrai, en particulier dans le monde du logiciel libre./p pLe second article est a href=http://www.computerworlduk.com/technology/security-products/security/news/index.cfm?newsid=20900 hreflang=en title=Open source encryption stymies FBI hackerspublié par Computer World UK/a. Il remarque qu'en 2008, quand Dantas a été arrêté et ses disques saisis, un a href=http://www.cs.washington.edu/research/security/truecrypt.pdf hreflang=en title=Defeating Encrypted and Deniable File Systems: TrueCrypt v5.1a and the Case of the Tattling OS and Applicationspapier décrivant sur des failles dans TrueCrypt 5.1/a avait été publié. Mais comme indiqué, il est clair que les techniques décrites ne permettent pas d'attaquer un volume chiffré tel qu'on le récupère lors d'une saisie. Au mieux trouvera-t-on quelques fuites... Et encore.../p pPar contre, ce que cet article démontre, c'est l'existence de techniques qui permettent d'identifier l'existence d'un a href=http://www.truecrypt.org/docs/?s=plausible-deniability hreflang=en title=Plausible Deniabilityvolume chiffré caché/a en étudiant le système qui l'utilise. Encore un argument pour le chiffrement complet de disque, OS compris.../p div class=footnotesh4Notes/h4 p[a href=http://sid.rstack.org/rev-pnote-400-1 id=pnote-400-11/a] Blog dont je vous a href=http://sid.rstack.org/blog/index.php/394-bobine-de-fils hreflang=fr title=Bobine de fils...recommande la lecture/a./p/div
June 30, 2010
18:22
HADOPI, ou la logique du flou...
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/velotriangle.png alt=Vélo triangulaire style=float:right; margin: 0 0 1em 1em; //p span class=lettrineH/span pADOPI n'en finira donc jamais de nous navrer. Dernier épisode en date, fin de semaine dernière, la parution au a href=http://www.journal-officiel.gouv.fr/Journal Officiel/a du décret instaurant la fameuse ema href=http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=?cidTexte=JORFTEXT000022392027 hreflang=fr title=Décret n° 2010-695 du 25 juin 2010 instituant une contravention de négligence caractérisée protégeant la propriété littéraire et artistique sur internetcontravention de négligence caractérisée/a/em. Je ne me lancerai pas dans une analyse juridique de ce texte, comme a href=http://exploitability.blogspot.com/ hreflang=fr title=ExploitabilityKevin/a a pu le faire sur le a href=http://exploitability.blogspot.com/2010/06/dessine-moi-une-hadopi.html hreflang=fr title=Dessine-moi une Hadopistatut de la labellisation des moyens de sécurité/a, d'autant que a href=http://www.maitre-eolas.fr/post/2010/06/29/HADOPI-:-l-op%C3%A9ration-Usine-%C3%A0-gaz-continue hreflang=fr title=HADOPInbsp;: l#039;opération Usine à gaz continueMe Eolas vient de le faire/a./p pJe vais m'en tenir aux réflexions que m'inspirent ce décret qui vient ajouter sa pierre à l'édifice déjà branlant de la sécurisation des accès personnels. Car ce n'est clairement pas en faisant peser la responsabilité de leur sécurisation sur le maillon le plus faible qu'on améliorera la situation.../p pCette nouvelle prune pour ema href=http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=?cidTexte=JORFTEXT000022392027 hreflang=fr title=Décret n° 2010-695 du 25 juin 2010 instituant une contravention de négligence caractérisée protégeant la propriété littéraire et artistique sur internetnégligence caractérisée/a/em est définie par l'article R. 335-5 du Code de la Propriété Intellectuelle. Je ne vais pas copier ici l'article en question que vous lirez vous-même et vais me contenter de reprendre la a href=http://www.maitre-eolas.fr/post/2010/06/29/HADOPI-:-l-op%C3%A9ration-Usine-%C3%A0-gaz-continue hreflang=fr title=HADOPInbsp;: l#039;opération Usine à gaz continueclarification proposée par Me Eolas/anbsp;:/p preConstitue une négligence caractérisée [...] le fait, sans motif légitime, pour la personne titulaire d'un accès à des services de communication au public en ligne ayant fait l'objet d'une recommandation de sécurisation de cet accès par la commission de protection des droits en application de l'article L. 331-25, de ne pas avoir mis en place un moyen de sécurisation de cet accès ou d'avoir manqué de diligence dans la mise en #339;uvre de ce moyen si cet accès est à nouveau utilisé aux mêmes fins frauduleuses dans l'année qui suit cette recommandation./pre pComme a href=http://bluetouff.com/2010/06/26/hadopi-la-negligence-caracterisee-definie-dans-un-decret-dapplication/ hreflang=fr title=HADOPInbsp;: la négligence caractérisée définie dans un décret d#8217;applicationBluetouff/a, je reste assez dubitatif devant cet énoncé. Dubitatif car cet article met clairement la charrue avant les b#339;ufs. Comment en effet peut-on définir une infraction à un concept qui n'est lui-même pas défininbsp;? Car le moins qu'on puisse dire, c'est que les questions de fond demeurent, encore et toujours, sans réponsenbsp;:/p ul liqu'est-ce qu'un moyen de sécurisationnbsp;?/li liquelles sont les fonctionnalités qu'on en attendnbsp;?/li liqu'est-ce que la diligence en matière de mise en #339;uvre de ces moyensnbsp;?/li liquand commence-t-ellenbsp;?/li liquand s'arrête-t-elle, i.e. comment juge-t-on avoir fait asseznbsp;?/li /ul pLes réponses aux deux premières questions sont censées se trouver dans le fameux cahier des charges pour la réalisation de moyens de protection labellisés. Sauf que ce cahier des charges n'a toujours pas été publié. La labellisation s'en trouve évidemment bloquée, mais pas seulement sur ce point, puisqu'on ne sait toujours pas qui sera en charge de la délivrersup[a href=http://sid.rstack.org/pnote-418-1 id=rev-pnote-418-11/a]/sup et selon quelle méthodologie. Ceci dit, dans la mesure où on ne sait pas non plus ce qui est entendu par emprotection/em, il est difficile de se faire une idée. Pour s'en convaincre, je vais renvoyer à la a href=http://sid.rstack.org/blog/index.php/413-hadopi-et-orange-unis-pour-le-pire hreflang=fr title=HADOPI et Orange, unis pour le pire...récente/a a href=http://sid.rstack.org/blog/index.php/415-un-hadopiciel-qui-aurait-pu-tourner-au-botnet hreflang=fr title=Un HADOPIciel qui aurait pu tourner au botnet...mésaventure/a d'Orange. Non pas à lem'epic fail/em en lui-même, mais plus au fonctionnement du logiciel en lui-même dont le but n'est en aucune façon de sécuriser l'accès de son utilisateur, mais de bloquer des moyens de téléchargement spécifiques. Donc même dans le meilleur des mondes, ça aurait été 2EUR pour se protéger... de rien.../p pLes réponses aux points suivants sont infiniment plus difficiles car elles renvoient directement à la notion au combien floue d'état de l'art. Ce concept varie en effet dans le temps et dans l'espacesup[a href=http://sid.rstack.org/pnote-418-2 id=rev-pnote-418-22/a]/sup, et change en fonction du contexte et des besoins. Du coup, c'est quoi faire preuve de diligencenbsp;? Choisir un moyen de protection adapténbsp;? L'installer proprementnbsp;? Le configurer correctementnbsp;? Le maintenir à journbsp;? Le remplacer si l'état de l'art l'exigesup[a href=http://sid.rstack.org/pnote-418-3 id=rev-pnote-418-33/a]/supnbsp;? Comment savoir si ses efforts ont ou non été suffisantsnbsp;? Comment tout ça s'accorde-t-il avec l'état de la menacenbsp;? Etc./p pBref, c'est beaucoup à mon sens pour quelqu'un a qui on aura juste envoyé une invitation lapidaire à sécuriser son accès. Sans s'intéresser au fait qu'il avait peut-être déjà déployé un moyen de sécurisation. Sans s'intéresser non plus au fait que le moyen qu'il installera ensuite ne sera peut-être pas plus efficace. Sans s'intéresser enfin au fait qu'on ne disposait possiblement pas, au moment des faits, de réponse adaptée à l'attaque qu'il a subie, et que c'est peut-être encore le cas. Bref, tout un pan technique balayé d'un revers de la main sous prétexte que de nombreuses solutions seraient déjà disponibles./p pUn flou le plus total, qui a depuis longtemps dépassé le stade de l'artistique.../p pbr //p pMais au-delà d'un texte qui n'a ni queue ni tête, ce qui me gêne le plus est le renforcement du déséquilibre dans le partage de responsabilité que a href=http://sid.rstack.org/blog/index.php/404-du-delit-de-wi-fi-ouvert-en-allemagne hreflang=fr title=Du délit de Wi-Fi ouvert en Allemagne...je soulevais le mois dernier/a. Car pendant qu'on entend taxer le emend user/em de négligence caractérisée lorsqu'il s'avère incapable de sécuriser de son accès internet, on n'impose absolument rien aux autres acteurs de la chaîne. Ce qui revient à faire peser sur le pauvre utilisateur final l'intégralité de la responsabilité./p pa href=http://bluetouff.com/2010/06/26/hadopi-la-negligence-caracterisee-definie-dans-un-decret-dapplication/ hreflang=fr title=HADOPInbsp;: la négligence caractérisée définie dans un décret d#8217;applicationBluetouff/a soulève très justement la dépendance des uns par rapport aux autres dans le maintien d'un bon niveau de sécurité. En effet, la négligence des uns affecte indéniablement la sécurité des autres, mais du fait du transfert de la responsabilité vers l'utilisateur final, seul ce dernier en subira les conséquences. Les conséquences, par exemple, de l'utilisation d'un moyen de sécurisation déficient qui ruinera les élans volontaristes de Mme Michu. Ou d'avoir suivi des conseils particulièrement mal avisés.../p pCar pour autant que je puisse en juger, personne n'est passible d'un quelconque délit de négligence caractérisé à conseiller, entre autres, l'a href=http://sid.rstack.org/blog/index.php/399-la-sagesse-des-shadock hreflang=fr title=La sagesse des Shadock...utilisation de WEP comme moyen de protection/a. Pas plus qu'un éditeur quand il met sur le marché un logiciel présentant des vulnérabilités pourtant évidentes. Pas plus qu'un FAI qui propose des box dont l'accès Wi-Fi est activé en WEP par défaut, ou un autre dont la clé WPA par défaut se calcul à partir de l'adresse MAC de la box. N'a-t-on pas ici affaire à des manques de diligence, voire des négligences caractériséesnbsp;? Dans quelles mesure est-ce sanctionnablenbsp;? La réponse est laissée en exercice au lecteur ;)/p pEnfin, et encore une fois, c'est sur le maillon le plus faible qu'on fait peser la responsabilité. Tout le monde comprend combien il serait difficile d'établir une réglementation encadrant efficacement la qualité des moyens de sécurité mis sur le marché. Ce n'est pour autant pas une raison pour ne pas s'attaquer à ce problème crucial. Et surtout, ce n'est pas une raison pour renvoyer la balle sur la catégorie globalement la moins informée et la moins compétente de la chaînesup[a href=http://sid.rstack.org/pnote-418-4 id=rev-pnote-418-44/a]/sup./p pbr //p pD'aucuns se félicitent de ce texte, sous prétexte qu'il fallait bien commencer quelque part. Je ne suis pas trop d'accord. C'est d'abord céder honteusement à la facilité. C'est s'engager sur un chemin particulièrement difficile. Puisque le a href=http://www.lepoint.fr/archives/article.php/363649 hreflang=fr title=Frédéric Mitterrand compare Hadopi au code de la routecode de la route est cher aussi au c#339;ur de certains/a que les a href=http://sid.rstack.org/blog/index.php/194-de-l-utilite-des-analogies hreflang=fr title=De l#039;utilité des analogiesanalogies déplacées/asup[a href=http://sid.rstack.org/pnote-418-5 id=rev-pnote-418-55/a]/sup, imaginerait-on imposer l'utilisation d'un équipement automobile dont la distribution ne ferait l'objet d'aucune norme de qualité ou autre contrôle de conformiténbsp;? Et ce dans le but avoué d'améliorer la sécurité routièrenbsp;? Franchement.../p pEt surtout, quel en serait le résultatnbsp;? Indéniablement une inondation du marché par des produits de mauvaise qualité dont les constructeurs peu scrupuleux ne manqueraient pas de profiter d'abord de l'obligation réglementaire ainsi établie et ensuite de l'absence de contrainte à leur égard. C'est d'ailleurs exactement ce qui est en train de se passer avec l'a href=http://bluetouff.com/2010/06/20/hadopi-et-derives-commerciales/ hreflang=fr title=HADOPI et dérives commerciales (encore)nbsp;: ZyXEL et son Hadopipohardwareapparition des premiers HADOPIwares/asup[a href=http://sid.rstack.org/pnote-418-6 id=rev-pnote-418-66/a]/sup.../p pC'est aussi exactement ce que beaucoup de gens avaient prévu. Encore une fois.../p div class=footnotesh4Notes/h4 p[a href=http://sid.rstack.org/rev-pnote-418-1 id=pnote-418-11/a] Sinon que ce ne sera pas l'HADOPI.../p p[a href=http://sid.rstack.org/rev-pnote-418-2 id=pnote-418-22/a] Au regard des réglementations nationales par exemple./p p[a href=http://sid.rstack.org/rev-pnote-418-3 id=pnote-418-33/a] Cf. utilisation du WEP par exemple./p p[a href=http://sid.rstack.org/rev-pnote-418-4 id=pnote-418-44/a] Il n'y a là aucun jugement de valeur : l'utilisateur final a le droit d'être néophyte, et à ce titre devrait disposer d'une information de référence qui fait aujourd'hui défaut./p p[a href=http://sid.rstack.org/rev-pnote-418-5 id=pnote-418-55/a] Je vous recommande à ce sujet la lecture d'un essai intitulé ema href=http://www.slate.fr/story/12895/hadopi-code-internet-etherciel-route hreflang=fr title=HADOPI : un feu rouge en plein ciel ?HADOPI : un feu rouge en plein ciel ?/a/em que j'ai trouvé suite à un quasi-spam laissé en commentaire./p p[a href=http://sid.rstack.org/rev-pnote-418-6 id=pnote-418-66/a] Logiciels qui n'offrent de toute manière, on ne cessera jamais de le rappeler, aucune protection légale !/p/div
June 21, 2010
8:38
Pourquoi tant de haine ?...
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/oranginaroute.png alt=Passssssskeuh! style=float:right; margin: 0 0 1em 1em; //p span class=lettrineS/span pi vous avez lu le triptyque qui a href=http://sid.rstack.org/blog/index.php/410-en-direct-du-sstic hreflang=fr title=En direct du SSTIC...tient lieu/a de a href=http://sid.rstack.org/blog/index.php/411-en-direct-du-sstic-le-retour hreflang=fr title=En direct du SSTIC, le retour...compte-rendu/a du a href=http://sid.rstack.org/blog/index.php/412-en-direct-du-sstic-la-revanche hreflang=fr title=En direct du SSTIC, la revanche...SSTIC/a, vous n'avez probablement pas loupé le a href=http://sid.rstack.org/blog/index.php/412-en-direct-du-sstic-la-revanche#c5746 hreflang=fr title=En direct du SSTIC, la revanche... - Commentairescommentaire de Pappy/a qui me reproche la manière dont je descends un speaker./p pSi je lui donne raison sur le fait qu'il y a manière de manifester un avis négatif, je voulais rapidement expliquer pourquoi mon avis est aussi négatif. Parce que globalement, et je prie mes lecteurs de m'en excuser, il est vrai que ne l'ayant pas fait sur le compte-rendu, on pouvait se méprendre sur ce retour que beaucoup ont compris comme de la raillerie./p pstrongUpdate/strongnbsp;: manifestement, il y a un point qu'il est nécessaire de préciser. Je critique le strongcontenu/strong de la présentation, et non la manière dont il a été délivré, et en particulier strongpas le speaker/strong. Les deux sont certes liés, mais pas complètement. Au-delà de la prestation de la personne qui les présente, ces slides développent un contenu et un argumentaire que je critique ici./p pbr //p pJ'ai donc trouvé cette présentation particulièrement mauvaise. Elle n'avait, à mon avis, pas sa place au a href=http://www.sstic.org/ hreflang=fr title=SSTICSSTIC/a, pour de multiples raisons que je vous propose d'approfondir./p pLa première raison tient au petit historique de la emsélection/em de cette présentation. Petit rewind. Alors que la plupart des sujets ont fait l'objet d'une soumission évaluée et sélectionnée par le a href=http://www.sstic.org/2010/comites/ hreflang=fr title=SSTIC 2010 - ComitésComité de Programme/a, ce n'était pas le cas de celle-ci. En fait, il s'agissait d'une emconférence invitée/em, c'est à dire un speaker que le Comité de Programme a sollicité pour traiter un sujet bien particulier. Sauf que dans le cas présent, comme on me l'apprendra durant l'intervention, ce qui a été présenté a href=http://sid.rstack.org/blog/index.php/412-en-direct-du-sstic-la-revanche#c5763 hreflang=fr title=En direct du SSTIC, la revanche... - Commentairesne correspondait pas à ce qui avait été convenu/a. Non seulement, le speaker invité s'est fait remplacer par un collègue, mais le sujet qui était prévu s'est lui aussi vu remplacé dans le même temps./p pInviter une conférencier est une grande marque de confiance. Ça ne se fait pas à la légère. Les speakerssup[a href=http://sid.rstack.org/pnote-414-1 id=rev-pnote-414-11/a]/sup le comprennent et mettent un point d'honneur, oserais-je dire, à mériter cette marque de confiance. Pappy mentionnait par exemple la longue préparation d'a href=http://addxorrol.blogspot.com/ hreflang=en title=ADD/XOR/ROLHalvar/a pour son talk sur l'a href=http://actes.sstic.org/SSTIC05/Analyse_differentielle_de_binaires/ hreflang=fr title=Comparaison structurelle d#039;objets exécutablesanalyse de binaires/a en 2005, et c'en est un excellent exemple. Il se trouve que la même année, nous étions, a href=http://security-labs.org/pbt/ hreflang=en title=pbtPierre Bétouin/a, a href=http://www.securite.org/nico/ hreflang=fr title=Nicolas FISCHBACHNicolas Fischbach/a et moi, invités pour parler de a href=http://www.sstic.org/2005/presentation/Protocoles_reseau_grandeur_et_decadence/ hreflang=fr title=Protocoles réseaunbsp;: grandeur et décadencesécurité réseau/a. Je ne pense pas que nous ayions abusé de la confiance du comité, même si nous avions visé un résultat plus ambitieux que ce que nous avons pu présenter. Plus récemment, Pascal Andrei, pour son a href=http://www.sstic.org/2009/presentation/Keynote2009/ hreflang=fr title=Conférence d#039;ouvertureouverture du SSTIC 2009/a, s'est activement renseigné sur ce qu'était le SSTIC, qui on y trouvait, de quoi on y parlait, etc. pour fournir une présentation à la hauteur. Ce qu'il a fait./p pDans le cas présent, le contenu qui a été délivré lors de la conférence dont nous parlons ne s'inscrivait pas dans ce genre de démarche. On a profité, sinon abusé, de la confiance accordée pour faire passer une présentation qui, je trouve, ressemble fort à une présentation commerciale. Une présentation dont le contenu technique n'a pas décollé des paquerettessup[a href=http://sid.rstack.org/pnote-414-2 id=rev-pnote-414-22/a]/sup se trouvait accompagnée d'un argumentaire limite fallacieuxsup[a href=http://sid.rstack.org/pnote-414-3 id=rev-pnote-414-33/a]/sup. Et puisqu'on me parle de manque de respect, je crois qu'on en a un très joli exemple ici... De manque de respect. Envers le Comité de Programme d'abord, envers les autres speakers ensuite, et envers les participants enfin./p pbr //p pCôté contenu, l'inutile argumentaire sur la fragilité de PHP n'en finissait pas de se perdre. Ça commençait avec un parallèle entre les moteurs l'avion et les applications web, puis ça embrayait avec l'attribution de la panne électrique qui a eméteint/em la quasi-totalité du Brésil en 2007 à la compromission d'un serveur web. Un relan de l'émission 60min de CBS, connue pour sa rigueur journalistique, dont les affirmations sur le sujet fin 2009 ont été a href=http://www.wired.com/threatlevel/2009/11/brazil_blackout/ hreflang=en title=Brazilian Blackout Traced to Sooty Insulators, Not Hackersdémenties par le gouvernement brésilien/a. Quand bien même il y aurait effectivement eu piratage, la responsabilité du serveur web en question est très peu probablenbsp;: le screenshot fourni à l'appui a été réalisé... deux ans plus tard par... a href=http://darkreading.com/blog/archives/2009/11/how_to_hack_a_b.html hreflang=en title=How To Hack A Brazilian Power CompanyRobert Graham pour DarkReading/a.../p pSur le plan technique, considérant le temps accordé à la présentation, nous avons surtout eu droit à cette longue et pénible démonstration des faiblesses de PHP. Oui certes, PHP est un langage pas terrible, et le dire aurait probablement suffit. D'autant que ça aurait permis de passer directement à la description d'a href=http://mlstate.com/wiki/admin/products_corp hreflang=en title=One-Pot Application (OPA)OPA/a. Mais non, il a fallu se farcir emles failles web pour les nuls/em. Sujet qui a largement été traité par le passé au SSTIC. On pensera en particulier à l'a href=http://www.sstic.org/2009/presentation/XSS_de_la_brise_a_l_ouragan/ hreflang=fr title=XSSnbsp;: de la brise à l#039;ouraganexcellente présentation sur les XSS/a donnée l'an dernier et a href=http://www.sstic.org/2007/presentation/Evolution_des_attaques_de_type_Cross_Site_Request_Forgery/ hreflang=fr title=Evolution des attaques de type quot;Cross Site Request Forgeryquot;celle sur les CSRF en 2007/a. CSRF sur lesquels le speaker est passé rapidement parce que c'est somme toute emun peu subtil/em comme truc... On notera que la présentation ignorait complètement l'existence d'un certain nombre de protections, comme les emprepared statements/em contre les injections SQL, ou de frameworks comme a href=http://framework.zend.com/ hreflang=en title=Zend FrameworkZend/a qui proposent des a href=http://www.suspekt.org/downloads/DPC_Secure_Programming_With_The_Zend_Framework.pdf hreflang=en title=Secure Programming with the Zend-Frameworkfonctionnalités de sécurité/asup[a href=http://sid.rstack.org/pnote-414-4 id=rev-pnote-414-44/a]/sup. Certes pas une panacée, mais intellectuellement, c'est plus honnête de les mentionner./p pBref, tout ça pour dire que si le but était de présenter OPA, autant nous épargner le bullshit. Parce que globalement, c'est là que ça aurait pu devenir intéressant... Mais c'est aussi là que ça s'est arrêté, faute de temps. Et un tel arrêt qui aurait dû frustrer l'auditoire comme c'est le cas après un bon talk coupé prématurément, a été globalement ressenti comme une véritable libération./p pbr //p pEn définitive, cette présentation était avant tout mauvaise parce que son contenu était mauvais, autant au niveau de l'argumentaire que du contenu technique. Et sans un malheureux concours de circonstance, jamais un talk de cet acabit ne serait passé à travers le comité de programme. Et c'est la combinaison des deux qui m'a poussé, à chaud, à me lever pour applaudir la présentation. Pas pour me moquer du speaker, mais pour lui signifier tout le bien que je pensais du torchon qu'il venait de nous délivrer. Certains ont préféré discuter, générant un brouhaha assez impressionnant, d'autres ont quitté la salle ou penché pour l'ignorance. Chacun son truc.../p pMaintenant, je vais m'adresser à ceux des jeunes auxquels fait référence Pappy qui me lisent. Ceux qui ont du contenu à soumettre en conférence ou en article, mais qui sont effrayés par les retours qu'ils lisent à droite ou à gauche. Et je leur dirai cecinbsp;: stronglancez-vous/strongnbsp;!/p pD'abord, les avis exprimés plus ou moins durement sur quatre ou cinq blogs en vue ne constituent que quatre ou cinq avis individuels, sûrement pas l'avis général. Ce dernier ne peut être entrevu qu'après la lecture d'un nombre conséquent d'autres retours. C'est précisément pour ça que je pointe sur autant de compte-rendus que possible, pour que le lecteur puisse avoir différents sons de cloche. Ensuite, votre travail va être relu avant d'être sélectionné et/ou publié. C'est une étape qui vous donnera un feedbacksup[a href=http://sid.rstack.org/pnote-414-5 id=rev-pnote-414-55/a]/sup qui s'accompagne souvent de suggestions d'améliorations de la part des relecteurs. La relecture des article pour a href=http://www.miscmag.com/ hreflang=fr title=MISCMISC/a en est un très bon exemple je trouve. Enfin, si Pappy vous dit que c'est bon, ben c'est bon quoi :)/p pbr //p pPour conclure, je ne regrette pas d'avoir exprimé un avis très négatif sur cette intervention. Je comprends cependant que mes lecteurs aient pu se méprendre sur mon retour et mon comportement, aussi je leur présente mes excuses et j'espère que cette mise au point clarifiera les choses. Mais je reste sur mes positions. Cette présentation était mauvaise de part son contenu. Mais si elle méritait de se faire bâcher, c'est surtout à cause du contexte qui l'a amenée là. Ne serait-ce que par considération pour tous ceux qui ont soumis mais n'ont pas été retenus./p pCar s'il est déjà frustrant de se voir son travail refusé, ça l'est encore plus quand on voit des papiers médiocres retenus à la place. Et ce n'est pas à toi, Pappy, que je vais l'apprendre ;)/p pbr //p pMaintenant que c'est dit, on va pouvoir arrêter de parler du SSTIC et passer à autre chose./p div class=footnotesh4Notes/h4 p[a href=http://sid.rstack.org/rev-pnote-414-1 id=pnote-414-11/a] La plupart en tout cas.../p p[a href=http://sid.rstack.org/rev-pnote-414-2 id=pnote-414-22/a] Il m'est cependant arrivé de voir des présentations commerciales techniquement valables./p p[a href=http://sid.rstack.org/rev-pnote-414-3 id=pnote-414-33/a] Tous les argumentaires commerciaux ne sont pas forcément fallacieux./p p[a href=http://sid.rstack.org/rev-pnote-414-4 id=pnote-414-44/a] Dont du typage./p p[a href=http://sid.rstack.org/rev-pnote-414-5 id=pnote-414-55/a] Parfois un peu rude parfois, je le concède.../p/div
June 17, 2010
1:43
Firewall OpenOffice : on en rêvait, Polux l'a fait !
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/hadopiooofw.png alt=Discours Firewall OpenOffice style=float:right; margin: 0 0 1em 1em; //p span class=lettrineH/span ponte à vous, légions de détracteurs de l'ex-ministre de la Culture. Gaussés vous vous êtes à sa désormais a href=http://www.numerama.com/magazine/12508-Albanel-le-ministere-de-la-Culture-a-comme-pare-feu-Open-Office-MAJ.html hreflang=fr title=Albanelnbsp;: le ministère de la Culture a comme pare-feu Open-Office (MAJ)célèbre phrase sur le firewall OpenOffice/a. Et bien non. Ce n'était pas de la crasse ignorance. Comme tous les visionnaires, vous ne l'avez juste pas comprise. Bande de sots.../p pCar le a href=http://www.wzdftpd.net/blog/index.php?2010/06/16/46-le-pare-feu-openoffice hreflang=fr title=LE pare-feu OpenOfficepare-feu OpenOffice existe bel et bien/a. Il s'appelle a href=http://www.wzdftpd.net/downloads/oowall/ hreflang=en title=Index of /downloads/oowallOOWall/a, c'est a href=http://www.wzdftpd.net/blog/Pollux/a qui a href=http://sid.rstack.org/blog/index.php/413-hadopi-et-orange-unis-pour-le-pire#c5827 hreflang=fr title=HADOPI et Orange, unis pour le pire... - Commentairesnous le livre/a et il est d'un limpidité d'utilisation impressionnantenbsp;: une a href=http://www.wzdftpd.net/blog/images/oowall_02.png hreflang=fr title=oowall_02.pngfeuille de calcul/a, une colonne pour les ports, une autre pour dire s'ils doivent être fermés ou non, des compteurs et un super graphe pour les stats. C'est même ema href=http://www.wzdftpd.net/downloads/oowall/video_oowall.avi hreflang=fr title=video_oowall.aviexecutive report/a/em compliant.../p pJe n'aurais qu'un motnbsp;: #winnbsp;!/p
June 16, 2010
19:08
Un HADOPIciel qui aurait pu tourner au botnet...
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/hadopibotnet.png alt=Botnet HADOPI style=float:right; margin: 0 0 1em 1em; //p span class=lettrineD/span pans mon a href=http://sid.rstack.org/blog/index.php/413-hadopi-et-orange-unis-pour-le-pire hreflang=fr title=HADOPI et Orange, unis pour le pire...précédent billet/a sur le désormais célèbre logiciel de sécurisation proposé par Orange, j'écrivaisnbsp;: emMais comme atteindre le fond n'empêche pas de creuser, je ne serais malheureusement pas trop étonné de voir sortir des vulnérabilités sur le client lui-même/em. Et bien c'est fait. Cette piètre prédiction vient de se réaliser./p pIntitulé ema href=http://seclists.org/fulldisclosure/2010/Jun/346 hreflang=en title=Patriotic botnet with Orange#039;s HADOPI software Patriotic botnet with Orange's HADOPI software/a/em et posté sur la liste a href=http://seclists.org/fulldisclosure/ hreflang=en title=Full DisclosureFull Disclosure/a, un message signé du emCult of the Dead HADOPI/em décortique le client de fond en comble. Et le moins qu'on puisse dire, c'est que ça pique les yeux.../p pBeaucoup ont dû bien se marrer en lisant ce rapport d'analyse. Perso, ça me met plus en colère qu'autre chose. Je ne comprends pas qu'on puisse proposer ce genre de... logiciel... Ça me dépasse. Et même à le considérer sous l'angle froid du simple profit, il était tellement évident que tout allait à la moulinette aussitôt sorti et que la moindre bévue ferait le buzz, que j'ai du mal à comprendre la démarche. Mais bon, des fois, il faut arrêter de vouloir comprendre.../p pbr //p pAu programme des festivités techniques, ce document nous proposenbsp;:/p ul lile démontage du système d'activationnbsp;;/li lile contournement du mot de passe protégeant les fonctions d'administration du logicielnbsp;;/li lil'exécution de code poussé par le serveur sans authentificationnbsp;;/li lila prise de contrôle d'un client via le truchement d'un proxy./li /ul pLa conclusion du message laisse quant à elle penser qu'il reste des choses à découvrir.../p pComme je le craignais, le serveur peut bel et bien pousser du code vers les clients pour, manifestement, les mettre à jour. Ce code est alors exécuté par un service tournant avec les privilèges... SYSTEM. D'après l'analyse, ce code n'est pas signé. Et comme nous savons déjà que la communication avec le serveur ne fait l'objet d'aucune protection, on imagine assez aisément où ça nous amènenbsp;: directement à la case exécution de code à distance en mode privilégié. Si on rapproche ceci de la a href=http://bluetouff.com/2010/06/13/orange-vous-securise-ayez-confiance/ hreflang=fr title=Orange vous sécurise #8230; ayez confiance !découverte de Bluetouff/a et de la possible prise de contrôle du serveur via sa console d'administration, on obtient en pratique un joli Commandamp;Control de botnet, façon Orange... Au frais de ses utilisateurs qui plus est.../p pDans la mesure où ces identifiants ont, paraît-il, été modifiés et le service arrêté, on est à présent à l'abri d'un tel scénario. Sauf que figurez-vous qu'il y en a déjà un autre qui se profile à l'horizon. En effet, ce magnifique logiciel se divise apparemment en deux modules. Le premier est un service Windows qui tourne en SYSTEM et qui se charge des fonctions de protection. Le second est une GUI qui sert à paramétrer l'ensemble via la fourniture d'un mot de passe. La communication entre les deux processus se fait via un a href=http://fr.wikipedia.org/wiki/Tube_nomm%C3%A9 hreflang=fr title=Tube nommétube nommé/a... accessible par l'utilisateur du système... sans la moindre authentification !? Ce qui veut tout simplement dire que si quelqu'un veut reconfigurer le logiciel, voire le désactiver, il lui suffit tout simplement d'envoyer les commandes qui vont bien via le tube./p pMaintenant, comment nous propose-t-on d'exploiter çanbsp;? Simple. Un des paramètres de configuration permet de spécifier un proxy HTTP pour le relayer les communications du client vers le serveur. Il suffit donc de modifier cette valeur pour rediriger les flux vers un point unique, lequel demandera au client de demander un mise à jour et lui fournira un joli binaire en retour. Lequel sera exécuter avec les droits SYSTEM par le service qui va bien. Sinon, on doit bien pouvoir se passer du proxy en injectant du code directement dans le process. Si on n'a pas là une magnifique élévation de privilèges accessible au premier malware venu, je ne m'y connais pas.../p pbr //p pIl est donc clair que ce logiciel, en plus d'être inutile puisque le serveur supposé lui fournir les signatures de programmes à bloquer est aux abonnés absents, est dangereux. Je ne saurais donc trop recommander à ceux qui l'utilisent strongde le désinstaller au plus vite/strong. Et au cas où vous vous prendriez à penser qu'il vous rend HADOPI-compliant, rassurez-vousnbsp;: comme il n'est pas labellisé, son utilisation ne vous apportera certainement aucune protection contre d'éventuelles sanctions. Et profitez-en pour remercier ceux qui ont trouvé tout ça de l'avoir publiénbsp;: ce sont les seuls qui vous auront fourni de quoi vous protéger dans cette histoire.../p pJe disais donc que voir ça me mettait en colère. C'est honteux de pondre des trucs comme ça et de les vendre. Il y en a qui devraient aller se cacher, s'enterrer au bout du monde. Je comprends mieux que ça ne soit pas passé par une CSPN, ça aurait été un échec colossal, un clouage au pilori. Imaginez donc. Voilà un logiciel censé vous protéger et bloquer l'exécution de binaires identifiés sur la base de signaturesup[a href=http://sid.rstack.org/pnote-415-1 id=rev-pnote-415-11/a]/sup. Un logiciel qui tourne en SYSTEM et prend des commandes de simples utilisateurs sans la moindre authentification. Un logiciel qui tourne en SYSTEM et qui va recevoir et exécuter du code non signé, via une connexion non protégée.../p pÀ vrai dire, quand je a href=http://sid.rstack.org/blog/index.php/327-du-grain-a-moudre-pour-hadopistes-en-herbe hreflang=fr title=Du grain à moudre pour HADOPIstes en herbe...dissertais sur les conséquences de l'exploitation d'un tel logiciel/a, je ne m'imaginais pas un tel fiasco. Je pensais à des failles, des vraies, comme en font les gens de bonne volonté mais pas forcément compétents. Des trucs comme des bourdes de programmation ou un algorithme de signature mal foutu. Mais certainement pas à un soft conçu en dépit du bon sens.../p pbr //p pAu moins, vu l'ampleur des dégâts, il est clair que ce logiciel est désormais mort et enterré. D'ailleurs, il n'est plus disponible au téléchargement cet après-midi. Voilà une perte que personne ne pleurera.../p div class=footnotesh4Notes/h4 p[a href=http://sid.rstack.org/rev-pnote-415-1 id=pnote-415-11/a] Tiens, ça me rappelle un type de protection qui se fait régulièrement taxer d'inefficacité.../p/div
June 15, 2010
19:08
Un HADOPIciel qui aurait pu tourner au botnet...
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/hadopibotnet.png alt=Botnet HADOPI style=float:right; margin: 0 0 1em 1em; //p span class=lettrineD/span pans mon a href=http://sid.rstack.org/blog/index.php/413-hadopi-et-orange-unis-pour-le-pire hreflang=fr title=HADOPI et Orange, unis pour le pire...précédent billet/a sur le désormais célèbre logiciel de sécurisation proposé par Orange, j'écrivaisnbsp;: emMais comme atteindre le fond n'empêche pas de creuser, je ne serais malheureusement pas trop étonné de voir sortir des vulnérabilités sur le client lui-même/em. Et bien c'est fait. Cette piètre prédiction vient de se réaliser./p pIntitulé ema href=http://seclists.org/fulldisclosure/2010/Jun/346 hreflang=en title=Patriotic botnet with Orange#039;s HADOPI software Patriotic botnet with Orange's HADOPI software/a/em et posté sur la liste a href=http://seclists.org/fulldisclosure/ hreflang=en title=Full DisclosureFull Disclosure/a, un message signé du emCult of the Dead HADOPI/em décortique le client de fond en comble. Et le moins qu'on puisse dire, c'est que ça pique les yeux.../p pBeaucoup ont dû bien se marrer en lisant ce rapport d'analyse. Perso, ça me met plus en colère qu'autre chose. Je ne comprends pas qu'on puisse proposer ce genre de... logiciel... Ça me dépasse. Et même à le considérer sous l'angle froid du simple profit, il était tellement évident qu'il allait passer à la moulinette sitôt sorti et que la moindre bévue ferait le buzz, que j'ai du mal à comprendre la démarche. Mais bon, des fois, il faut arrêter de vouloir comprendre.../p pbr //p pAu programme des festivités techniques, ce document nous proposenbsp;:/p ul lile démontage du système d'activationnbsp;;/li lile contournement du mot de passe protégeant les fonctions d'administration du logicielnbsp;;/li lil'exécution de code poussé par le serveur sans authentificationnbsp;;/li lila prise de contrôle d'un client via le truchement d'un proxy./li /ul pLa conclusion du message laisse quant à elle penser qu'il reste des choses à découvrir.../p pComme je le craignais, le serveur peut bel et bien pousser du code vers les clients pour, manifestement, les mettre à jour. Ce code est alors exécuté par un service tournant avec les privilèges... SYSTEM. D'après l'analyse, ce code n'est pas signé. Et comme nous savons déjà que la communication avec le serveur ne fait l'objet d'aucune protection, on imagine assez aisément où ça nous amènenbsp;: directement à la case exécution de code à distance en mode privilégié. Si on rapproche ceci de la a href=http://bluetouff.com/2010/06/13/orange-vous-securise-ayez-confiance/ hreflang=fr title=Orange vous sécurise #8230; ayez confiance !découverte de Bluetouff/a et de la possible prise de contrôle du serveur via sa console d'administration, on obtient en pratique un joli Commandamp;Control de botnet, façon Orange... Au frais de ses utilisateurs qui plus est.../p pDans la mesure où ces identifiants ont, paraît-il, été modifiés et le service arrêté, on est à présent à l'abri d'un tel scénario. Sauf que figurez-vous qu'il y en a déjà un autre qui se profile à l'horizon. En effet, ce magnifique logiciel se divise apparemment en deux modules. Le premier est un service Windows qui tourne en SYSTEM et qui se charge des fonctions de protection. Le second est une GUI qui sert à paramétrer l'ensemble via la fourniture d'un mot de passe. La communication entre les deux processus se fait via un a href=http://fr.wikipedia.org/wiki/Tube_nomm%C3%A9 hreflang=fr title=Tube nommétube nommé/a... accessible par l'utilisateur du système... sans la moindre authentification !? Ce qui veut tout simplement dire que si quelqu'un veut reconfigurer le logiciel, voire le désactiver, il lui suffit tout simplement d'envoyer les commandes qui vont bien via le tube./p pMaintenant, comment nous propose-t-on d'exploiter çanbsp;? Simple. Un des paramètres de configuration permet de spécifier un proxy HTTP pour relayer les communications du client vers le serveur. Il suffit donc de modifier cette valeur pour rediriger les flux vers un point unique, lequel demandera au client de demander un mise à jour et lui fournira un joli binaire en retour. Ce dernier sera exécuté avec les droits SYSTEM par le service qui va bien. CQFD. Sinon, on doit bien pouvoir se passer du proxy en injectant du code directement dans le process. Si on n'a pas là une magnifique élévation de privilèges accessible au premier malware venu, je ne m'y connais pas.../p pbr //p pIl est donc clair que ce logiciel, en plus d'être inutile puisque le serveur supposé lui fournir les signatures de programmes à bloquer est aux abonnés absents, est dangereux. Je ne saurais donc trop recommander à ceux qui l'utilisent strongde le désinstaller au plus vite/strong. Et au cas où vous vous prendriez à penser qu'il vous rend HADOPI-compliant, rassurez-vousnbsp;: comme il n'est pas labellisé, son utilisation ne vous apportera certainement aucune protection contre d'éventuelles sanctions. Et profitez-en pour remercier ceux qui ont trouvé tout ça de l'avoir publiénbsp;: c'est grâce à eux que vous avez pu vous protéger et que le système a été abandonné. S'ils avaient gardé tout ça pour eux et que le système s'été généralisé.../p pJe disais donc que voir ça me mettait en colère. C'est honteux de pondre des trucs comme ça et de les vendre. Il y en a qui devraient aller se cacher, s'enterrer au bout du monde. Je comprends mieux que ça ne soit pas passé par une CSPN, ça aurait été un échec colossal, un clouage au pilori. Imaginez donc. Voilà un logiciel censé vous protéger et bloquer l'exécution de binaires identifiés sur la base de signaturesup[a href=http://sid.rstack.org/pnote-415-1 id=rev-pnote-415-11/a]/sup. Un logiciel qui tourne en SYSTEM et prend des commandes de simples utilisateurs sans la moindre authentification. Un logiciel qui tourne en SYSTEM et qui va recevoir et exécuter du code non signé, via une connexion non protégée.../p pÀ vrai dire, quand je a href=http://sid.rstack.org/blog/index.php/327-du-grain-a-moudre-pour-hadopistes-en-herbe hreflang=fr title=Du grain à moudre pour HADOPIstes en herbe...dissertais sur les conséquences de l'exploitation d'un tel logiciel/a, je ne m'imaginais pas un tel fiasco. Je pensais à des failles, des vraies, comme en font les gens de bonne volonté mais pas forcément compétents. Des trucs comme des bourdes de programmation ou un algorithme de signature mal foutu. Mais certainement pas à un soft conçu en dépit du bon sens.../p pbr //p pAu moins, vu l'ampleur des dégâts, il est clair que ce logiciel est désormais mort et enterré. D'ailleurs, il n'est plus disponible au téléchargement cet après-midi. Voilà une perte que personne ne pleurera.../p pbr //p pstrongUpdate/strongnbsp;: on apprend de diverses sources que l'offre est interrompue et qu'a href=http://owni.fr/2010/06/17/orange-nenvisage-pas-un-nouveau-logiciel-anti-p2p/ hreflang=fr title=Orange quot;n#8217;envisage pasquot; un nouveau logiciel anti-p2pOrange n'envisage de proposer un nouveau logiciel/a. C'est une décision avisée et on notera qu'elle a été prise assez rapidement si on considère les le contexte./p div class=footnotesh4Notes/h4 p[a href=http://sid.rstack.org/rev-pnote-415-1 id=pnote-415-11/a] Tiens, ça me rappelle un type de protection qui se fait régulièrement taxer d'inefficacité.../p/div
June 14, 2010
11:21
HADOPI et Orange, unis pour le pire...
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/hadopifail.png alt=HADOPI FAIL style=float:right; margin: 0 0 1em 1em; //p span class=lettrineE/span pn écrivant mon billet sur les a href=http://sid.rstack.org/blog/index.php/327-du-grain-a-moudre-pour-hadopistes-en-herbe hreflang=fr title=Du grain à moudre pour HADOPIstes en herbe...conséquences pententiellement néfastes/a d'un delmouchard/delsécuriciel spécial HADOPI, je ne pensais pas être aussi vite rattrapé par l'actualité. Il n'aura en effet pas fallu attendre plus tard que ce week-end pour découvrir les premiers a href=http://bluetouff.com/2010/06/13/orange-vous-securise-ayez-confiance/ hreflang=fr title=Orange vous sécurise... ayez confiance !problèmes de sécurité/a associés à l'a href=http://maboutique-internet.orange.fr/residentiel/options/option-controle-de-telechargement.aspx hreflang=fr title=Contrôle du téléchargementoffre que propose Orange/a en la matière.../p pComme on pouvait s'y attendre, ce logiciel s'est retrouvé dans le collimateur dès son lancement, et c'est rapidement qu'a été découverte l'adresse d'un serveur au centre du système Orange. Hasard du calendrier encore, ce dernier tourne sous a href=http://www.jboss.com/JBoo hreflang=enJBoss/a et s'avèrerait éligible aux a href=http://www.sstic.org/2010/presentation/JBOSS_AS_Exploitation_et_Securisation/ hreflang=fr title=JBOSS AS: exploitation et sécurisationproblèmes de sécurité décrits par Renaud Dubourguais/a.../p pComme l'explique a href=http://bluetouff.com/ hreflang=fr title=Bluetouff#039;s blogBluetouff/a, tout a commencé de son côté par une analyse du trafic émis par le client HADOPI proposé par l'opérateur historique. Cette capture a permis d'identifier un serveur central avec lequel communiquent tous les clients, en clair qui plus est. Or il se trouve que ce serveur fait tourner un JBoss. Lequel s'avèrait, d'après ce qu'on peut en lire, ouvert aux quatre vents, façon cas d'école de base proposé par Renaud Dubourguais dans son a href=http://sid.rstack.org/blog/index.php/412-en-direct-du-sstic-la-revanche hreflang=fr title=En direct du SSTIC, la revanche...intervention au SSTIC/anbsp;: consoles d'administration, JMX et Web, accessibles et protégées par le mot de passe par défautsup[a href=http://sid.rstack.org/pnote-413-1 id=rev-pnote-413-11/a]/sup. Bingo./p pJe n'ai pas trouvé d'indication sur le rôle exact de ce serveur et en particulier ce qu'il pouvait faire sur les clients, typiquement en terme de récupération d'information et d'exécution de commandes. Ce qui est clair par contre, c'est que compte tenu des informations publiées, il est évident qu'un attaquant informé n'aurait eu aucune difficulté à en prendre le contrôle, accédant à des informations personnelles sur les utilisateurs du système, voire prendre le contrôle des clients si des fonctionnalités malheureuses le lui permettent.../p pCette annonce a également aiguisé la curiosité d'autres personnes qui a href=http://binholic.blogspot.com/2010/06/fast-analysis-of-orande-hadopi.html hreflang=en title=Fast analysis of Orange Hadopi Executablese sont penchées/a a href=http://shocknsl.com/ hreflang=fr title=Orange et Hadopi ne font qu#039;unsur le client/a. Et ont pu confirmer des a href=http://img199.imageshack.us/img199/5436/52725581.png hreflang=en title=52725581.pngliens particulièrement forts/a entre HADOPI et ce logiciel de protection. En plus, quelqu'un a bêtement laissé leaker son nom. Je n'aimerais pas être à sa place au moment même où des centaines d'internautes doivent crawler le web pour savoir de qui il s'agit exactement et identifier l'origine de ce logiciel ://p pbr //p pQue direnbsp;? Pas grand chose. Peut-on être surpris par la nouvellenbsp;? Malheureusement non. Doit-on en rire ou en pleurernbsp;? Je ne sais pas, mais ça m'énerve pas mal. Pour plusieurs raisons qui rejoignent a href=http://bluetouff.com/2010/06/14/hadopi-et-failware-de-securisation-orange/ hreflang=fr title=HADOPI et failware de quot;sécurisationquot; Orangecertains point exprimés par Bluetouff/a ce matinnbsp;:/p ul lid'abord, le fait que ce logiciel qui s'adresse aux plus vulnérables les place dans une position délicatenbsp;;/li liensuite parce qu'un tel système, qui tire profit d'une quasi-obligation législative, puisse être distribué sans faire l'objet d'un minimum de revuenbsp;;/li lienfin parce que ce qui a été trouvé aurait deld/delpu être évité par l'application de règles de bon sens, genre changer le mot de passe par défaut.../li /ul pQuand je pense que a href=http://sid.rstack.org/blog/index.php/327-du-grain-a-moudre-pour-hadopistes-en-herbe hreflang=fr title=Du grain à moudre pour HADOPIstes en herbe... - CommentairesNewsoft ironisait/a à moitié sur un nécessaire passage par la case a href=http://www.ssi.gouv.fr/site_article80.html hreflang=fr title=Certification de Sécurité de Premier Niveau (CSPN) gt; PrésentationCSPN/a pour ce genre de logiciel. Force est de constater que non, ce n'est pas le cas, et c'est une honte. En plus d'être honteux, ça ne va pas renforcer une crédibilité déjà a href=http://sid.rstack.org/blog/index.php/399-la-sagesse-des-shadock hreflang=fr title=La sagesse des Shadock...largement entamée/a mais pourtant nécessaire pour prétendre se placer sur le terrain de la pédagogie. Mais bon, chacun son truc./p plt;Appartégt;br / Je me prends à regretter que la rump sur le firewall OpenOffice n'ait pas pu être mise sur pied, franchement, ça aurait torché. D'où un message personnel à qui se reconnaîtranbsp;: tu veux pas le faire quand même pour le funnbsp;? Hein, stp ;)br / lt;/Appartégt;/p pSérieusement, ce genre d'échec monumental, ça suxe. Et ça me fait moyen marrer que quelqu'un en soit déjà arrivé là. Mais comme atteindre le fond n'empêche pas de creuser, je ne serais malheureusement pas trop étonné de voir sortir des vulnérabilités sur le client lui-même. Ce qui, amha, finirait d'enterrer ce système./p pAu point où on en est, certains se demanderont sûrement si ce serait un mal ou un bien. Je vous laisse répondre à cette question.../p div class=footnotesh4Notes/h4 p[a href=http://sid.rstack.org/rev-pnote-413-1 id=pnote-413-11/a] Ce qui semble maintenant corrigé./p/div
June 11, 2010
9:54
En direct du SSTIC, la revanche...
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/sstic.png alt=Logo SSTIC style=float:right; margin: 0 0 1em 1em; //p span class=lettrineC/span pomme prévu, la salle n'est qu'à moitié remplie en ce beau vendredi matin ensoleillé. La contre-partie d'un emSocial Event/em bien réussi :)/p pLa dernière journée est la plus légère. Elle commence plus tard que les autres. Évidemment oserai-je dire... Et elle finit plus tôt pour permettre à ceux qui le doivent d'attraper leur train ou leur avion à l'heure. Bref, fuir Rennes au plus vite ;)/p pCette journée a conclu un très bon SSTIC. Je voulais remercier le CO, le CP mais aussi les speakers pour nous avoir une nouvelle fois offert un évènement de grande qualité./p pstrong Vendredi 11 juin 2010 - Jour 3/strong/p ul liema href=http://www.sstic.org/2010/presentation/Trusted_Computing_Limitations_actuelles_et_perspectives/ hreflang=fr title=Trusted Computingnbsp;: Limitations actuelles et perspectivesTrusted Computingnbsp;: Limitations actuelles et perspectives/a/em par Frédéric Guihery, Frédéric Remi et Goulven Guiheux, Amossys. La présentation commence par un tour d'horizon des fonctionnalités qu'on classe dans la catégorie emInformatique de Confiance/em. L'auteur regrette le manque de support de ces systèmes dans les systèmes d'exploitation modernes, comme le Trusted Boot, ainsi que le manque d'applications concrètes. Aujourd'hui, les besoins couverts sont la protection des données, la gestion d'identité et l'intégrité du système au démarrage. La seconde partie approfondit le fonctionnement, les applications et les orientations du a href=http://en.wikipedia.org/wiki/Trusted_Platform_Module hreflang=en title=Tursted Platform ModuleTPM/a. On aborde l'a href=http://hackaday.com/2010/02/09/tpm-crytography-cracked/ hreflang=en title=TPM crytography crackedattaque de Tarnovsky/a et la chaîne de confiance SRTM. Ensuite, c'ets le tour de a href=http://en.wikipedia.org/wiki/Trusted_Execution_Technology hreflang=en title=Trusted Execution TechnologyIntel TXT/a, avec le principe et les attaques possibles. En conclusion, l'auteur propose des idées et pistes pour faire de l'intégrité et/ou de la confidentialité d'exécution./li liema href=http://www.sstic.org/2010/presentation/JBOSS_AS_Exploitation_et_Securisation/ hreflang=fr title=JBoss AS: exploitation et sécurisationJBoss AS: exploitation et sécurisation/a/em par Renaud Dubourguais, HSC. JBoss AS est un middleware qui a de plus en plus de succès, se retrouve de plus en plus embarqué sur appliance et se retrouve même en frontal sur le web. Première partie sur l'architecture interne du bestiau, l'accès aux a href=http://en.wikipedia.org/wiki/Java_Management_Extensions#Managed_Bean hreflang=en title=Java Management Extensions - Managed BeanMBeans/a et le rôle crucial du MBean Server pour la sécurité. Ensuite, on passe aux entensions de sécurité proposées, JBossSX et sandboxing Java natif, qui sont rarement utilisées dans la pratique parce souvent difficiles d'accès... Côté intrusion, le scénario proposé consiste à déployer une application SAR sur le serveur JBoss qui servira de backdoor. Petite vidéo en guise de démonstration, avec pénétration du serveur via la console d'administration, récupération et déploiement d'un shell Web en tant qu'application. L'auteur propose pas mal d'autres techniques d'exploitation et discute des apports de JBoss 5 et 6 qui suppriment chacun des fonctionnalités dangereuses évoquées précédemment. Il finit avec la démonstration d'une autre technique permettant d'exploiter ces dernières versions. Conclusionnbsp;: il faut protéger l'ensemble des points d'entrées, un seul suffit à tout mettre par terre, minimiser la liste de services exposés et préférer SSH pour le déploiement des applications. La présentation est super intéressante mais très dense, je reprendrai tout ça avec les actes sur les genoux./li liHijacking de pause par Philippe Lagadec qui prend du rab pour faire une démonstration de son outil d'analyse de risque dynamique. C'était pas hier les rumps ?! :)/li liema href=http://www.sstic.org/2010/presentation/Audit_dotNet_et_OCS/ hreflang=fr title=Audit d#039;applications .NET complexes - le cas Microsoft OCS 2007 (R1 et R2)Audit d'applications .NET complexes - le cas Microsoft OCS 2007 (R1 et R2)/a/em par Nicolas Ruff, EADS Innovation Works. a href=http://fr.wikipedia.org/wiki/Microsoft_Office_Communications_Server hreflang=fr title=Microsoft Office Communications ServerOCS/asup[a href=http://sid.rstack.org/pnote-412-1 id=rev-pnote-412-11/a]/sup est un produit de emcommunication unifiée/em qui se traduit dans la pratique par une énorme usine à gaz qui fait pleins de trucs avec pleins de SDK, d'outils, de protocoles propriétaires et des millions de lignes de code. Donc un truc intéressant à auditer d'autant qu'il est de plus en plus déployé. Nicolas de concentre sur le code de l'application qui repose essentiellement sur du bytecode .NET. Description rapide de la emrichesse/em de .NET. Le code .NET peut être compilé à la volée façon JITsup[a href=http://sid.rstack.org/pnote-412-2 id=rev-pnote-412-22/a]/sup ou précompilé dans le GACsup[a href=http://sid.rstack.org/pnote-412-3 id=rev-pnote-412-33/a]/sup sous forme de DLLs. Le bytecode conserve toute la sémantique du code source, ce qui rend la décompilation quasi immédiate avec un outil comme a href=http://www.red-gate.com/products/reflector/ hreflang=en title=.NET ReflectorReflector/a. On peut se livrer à du emdebugging/em, du emprofiling/em ou de la emreflection/em. Bref, pleins de trucs qui permettent de comprendre rapidement ce qui tourne. On n'aura pas droit à la démo par manque de tempssup[a href=http://sid.rstack.org/pnote-412-4 id=rev-pnote-412-44/a]/sup, mais tout de même un exemple d'application de ces techniques à a href=http://research.microsoft.com/en-us/um/redmond/projects/songsmith/ hreflang=en title=SongsmithSongsmith/a... Mais sans interprétation personnelle des chansons par le speaker... Dommage ;) Un exemple d'exploitation de a href=http://www.microsoft.com/technet/security/bulletin/ms09-061.mspx hreflang=en title=Vulnerabilities in the Microsoft .NET Common Language Runtime Could Allow Remote Code ExecutionMS09-061/a et hop. L'intervention est surtout une excellente liste de pistes à explorer pour tous ceux qui veulent se lancer dans l'audit d'applications .NET, plus qu'une réelle analyse d'OCS./li liemdelHow to social engineer a program committee/delSécurité des applications Web, la théorie des types à la rescousse/em par Mathieu Baudet. Introduction sur emles applications c'est bien parce que... c'est mal parce que.../em L'auteur s'intéresse à la sécurité d'une installation LAMP full-featured qui nécessite un effort non négligeable de configuration et de développement à pleins de niveau. Après quelques emplugs/em grossières, genre le a href=http://news.slashdot.org/story/09/11/17/2245241/Hackers-Broke-Into-Brazil-Power-Grid-Operators-Website-Last-Thursday hreflang=en title=Hackers Broke Into Brazil Power Grid Operator#039;s Website Last Thursdayblackout électrique Brésilien causé par un serveur web compromis/a dont on sait maintenant que ce sont deux évènements décorrélés, on passe aux attaques classiques sur les applications Web... Bon, là, on en est au emSQL injection HOWTO/em, je crois que je vais arrêter. OMGWTF ?! Ce talk est un strongmega fail/strong, jusqu'à présent, et je n'ai pas l'impression que ça tende à s'améliorer... La présentation de a href=http://www.wiretrip.net/rfp/ hreflang=en title=welcome to rfp.labsRFP/a aux RMLL 2001 ou 2002 sur la sécu Web était plus intéressante... Une lueur d'espoir avec une proposition de langage, a href=http://www.mlstate.com/opa/home hreflang=en title=Web development without glueOPA/asup[a href=http://sid.rstack.org/pnote-412-5 id=rev-pnote-412-55/a]/sup, qui serait fonctionnel, fortement typé, avec DB intégrée, qui permettrait de développer rapidement des applications web complète sur un seul serveur fournissant tous les services nécessaire. Exemples d'application super secure avec un chat Web. Super :/ Et enfin, la résistance du langage aux embuffer overflow/em, aux injections SQL, à l'injection de code, aux XSS, au caries et à la varicelle. Et même... le Top 10 de l'OWASP... Désolé, je suis en panne de superlatifs là...br /strongUpdate/strongnbsp;: suite au commentaire très intéressant de Pappy, je ferai un billet spécialement pour élaborer un peu les raisons de ce retour très négatif./li /ul pDéjuner rapide avant les trois dernière interventions./p ul liema href=http://www.sstic.org/2010/presentation/Rootkit_Windows_Mobile_6/ hreflang=fr title=PoC(k)ET, les détails d#039;un rootkit pour Windows Mobile 6PoC(k)ET, les détails d'un rootkit pour Windows Mobile 6/a/em par Cédric Halbronn. Présentation du contexte Windows Mobile et de ses spécificités, puis des fonctions principales du rootkit et la manière dont ils sont implémentés. J'avoue avoir pas mal perdu le fil de la présentation, toute la partie sur les composants du rootkit en fait... Les services proposés par le rootkit sont le vol d'informations et la géolocalisation. L'auteur passe ensuite à l'architecture globale du rootkit puis saute à une démonstration simple et efficace. Il apparaît que le rootkit n'est pas détecté par les antivirus testés. En conclusion, il semble qu'une forte permissivité de Windows Mobile a vraiment facilité la mise au point d'un tel malware./li liema href=http://www.sstic.org/2010/presentation/Projet_OsmocomBB/ hreflang=fr title=Projet OsmocomBBProjet OsmocomBB/a/em par Harald Welte. On revient rapidement sur le côté fermé de l'industrie GSM/3G, ainsi que du vocabulaire, des définitions importantes pour la suitesup[a href=http://sid.rstack.org/pnote-412-6 id=rev-pnote-412-66/a]/sup et quelques problèmes connus. L'auteur passe ensuite à l'étude du côté embaseband/em avec le hardware et la pile logiciel, et les problèmes qu'on peut y trouver. Présentation du a href=http://bb.osmocom.org/ hreflang=en title=Welcome to the OsmocomBB projectprojet/a avec énormément de détails sur l'architecture, la couche logiciel, le matériel utilisable et l'avancement du projet. Je vous invite à retrouver tout ça sur les slides, ce sera plus simple. On finit avec quelques démos de petits outils. Très très bon./li liConférence de clôture par Patrick Pailloux, ANSSI, qui va nous parler de menace sous l'angle géopolitique. La cyberdéfense fait face à quatre défis. Le premier est technique évidemment. On notera la mention de l'asymétrie extrême du problème et le renversement de la prolifération de l'armement entre les états et les citoyens. Le second défi, juridique, est l'harmonisation du droit international, avec en particulier la difficulté d'attribuer un acte à quelqu'un et la quasi-absence de régulation. Le troisième défi est culturel, voire générationnel, accompagné du développement d'offres où la sécurité n'est clairement pas la priorité quand elle est envisagée. Mention du quasi-monopole du secteur privé sur le secteur, rendant les états assez impuissants. Dernier défi, l'évolution des mentalités entre pays pour aller vers plus d'échange. Le rôle de l'ANSSI est de répondre à ces défis avec plusieurs missions qui sont exposéesnbsp;: constituer un centre de cyberdéfense, fournir des systèmes résilients et efficaces, répondre concrêtement aux grandes interrogations autour de la SSI, vérifier les sécurité des systèmes de l'État et communiquer sur le sujet. L'orateur conclue sur l'implication de toute la communauté, mais critique la recherche, voire la vente, de vulnérabilités. Il insiste sur l'aspect sécurisation qu'il considère comme plus important, mais aussi plus difficile. Le sujet du recrutement arrive assez naturellement, sujet bien préparé avec la publication hier en fin de matinée de douze nouvelles offres. Chiffre annoncé de 70 personnes par an, soit 40 nouveaux postes si on exclue le turnover. Discours rodé, classique, avec cependant quelques idées qui mériteraient un peu plus que la simple mention. Mais là, ce n'est plus 30 minutes qu'il faut... À une séance de questions riche, il aborde quelques points intéressantsnbsp;: mise en place d'une roadmap d'évaluation des opérateurs d'infrastructure critique, futilité pratique de la conformité, nécessité de pourrir les gros acteurs médiatiquement quand ils sont pris en faute flagrante, traitement particuliers petites structures, PME typiquement, particulièrement fragiles./li /ul pCéline conclue la conférence. Et c'est fini./p pbr //p pstrongConclusion/strong/p pJe trouve que l'édition 2010 du SSTIC était très bonne./p pGrosse nouveauté, le système de badges à imprimer est excellent et accélère considérablement la phase d'enregistrement à l'accueil. Accompagner le badge du programme était aussi une super idée. Le emSocial Event/em au Coq Gadby m'a beaucoup plu, comme l'an dernier./p pCôtés présentations, le niveau global était très bon. Des présentations qui m'ont énormément plunbsp;: Virtbdg, Facebook, les présentations de Harald Welte, JBoss et rootkit PocketPC. Légère déception sur la conférence d'introduction, même si la tenu d'un tel discours par un responsable de la DGSE était à lui seul un évènement remarquable. Le reste était d'un excellent niveau, sauf une qui faisait tâche./p pbr //p pstrongOn en parle ailleurs/strong/p pJe ne suis pas le seul à avoir suivi le SSTIC et s'être fendu d'un retour sur l'évènement, en live ou en différé. On commencera par citer les micro-blogueursnbsp;:/p ul lile SSTIC sur Twitter (a href=http://twitter.com/search?q=%23sstic2010 hreflang=fr title=sstic2010 on Twitter#sstic2010/a, a href=http://twitter.com/search?q=%23sstic hreflang=fr title=sstic on Twitter#sstic/a)nbsp;;/li lisur Identi.ca (a href=http://identi.ca/search/notice?q=sstic2010 hreflang=fr title=Text search#sstic2010/a, a href=http://identi.ca/search/notice?q=sstic hreflang=fr title=Text search#sstic/a)nbsp;;/li lile fil de a href=http://identi.ca/jpgaulier hreflang=fr title=jpgaulierJean-Philippe sur Identi.ca/a./li /ul pCôté blogs classiques, si je puis m'exprimer ainsi, on trouveranbsp;:/p ul lia href=http://pentester.fr/blog/ hreflang=fr title=Le petit monde d#039;un pentesterLe petit monde d'un pentester/a ul liun a href=http://pentester.fr/blog/index.php?post/2010/06/09/Et-c-est-reparSSTIC... hreflang=fr title=Et c#039;est reparSSTIC...premier billet de Mat/anbsp;;/li liun a href=http://pentester.fr/blog/index.php?post/2010/06/13/SSTIC-2010-Compte-Rendu-%28ou-pas%29 hreflang=fr title=SSTIC 2010 - Compte Rendu (ou pas)second par Hurukan/anbsp;;/li liDe la a href=http://pentester.fr/blog/index.php?post/2010/06/10/La-p%C3%A9nurie-nous-guette-t-elle hreflang=fr title=La pénurie nous guette-t-elle ?possible pénurie de pentesters/a, par Matt./li /ul/li lia href=http://www.n0secure.org/ hreflang=fr title=n0securen0secure/a ul liErwan nous fait un billet par intervention, a href=http://www.n0secure.org/2010/06/sstic-2010-cest-parti.html hreflang=fr title=SSTIC 2010 c#039;est partiça commence là/a, je vous laisse suivre pour la suite./li /ul/li lia href=http://vanhu.free.fr/blog/ hreflang=fr title=Mon premier blogMon premier blog/a, chez M. Vanhu ul lia href=http://vanhu.free.fr/blog/index.php?post/2010/06/09/SSTIC-2010%2C-Day-1 hreflang=fr title=SSTIC 2010, Day 1Jour 1/anbsp;;/li lia href=http://vanhu.free.fr/blog/index.php?post/2010/06/10/SSTIC-2010%2C-Day-2 hreflang=fr title=SSTIC 2010, Day 2Jour 2/anbsp;;/li lia href=http://vanhu.free.fr/blog/index.php?post/2010/06/11/SSTIC-2010%2C-Day-3 hreflang=fr title=SSTIC 2010, Day 3Jour 3/a./li /ul/li lia href=http://mission-security.blogspot.com/ hreflang=fr title=Mission SecurityMission Security/a ul lia href=http://mission-security.blogspot.com/2010/06/sstic-2010-day-1.html hreflang=fr title=[SSTIC 2010] Day 1Jour 1/anbsp;;/li lia href=http://mission-security.blogspot.com/2010/06/sstic-2010-day-2.html hreflang=fr title=[SSTIC 2010] Day 2Jour 2/anbsp;;/li lia href=http://mission-security.blogspot.com/2010/06/sstic-2010-day-3.html hreflang=fr title=[SSTIC 2010] Day 3Jour 3/a./li /ul/li liÉric Freyssinet, a href=http://www.sstic.org/user/efreyssinet/ hreflang=fr title=Éric Freyssinetintervenant/asup[a href=http://sid.rstack.org/pnote-412-7 id=rev-pnote-412-77/a]/sup, sur l'excellent a href=http://blog.crimenumerique.fr/ hreflang=fr title=Criminalités numériquesCriminalités numériques/a ul lia href=http://blog.crimenumerique.fr/2010/06/12/lendemain-de-sstic/ hreflang=fr title=Lendemain de SSTICLendemain de SSTIC/a./li /ul/li lia href=http://cupofsecurity.blogspot.com/ hreflang=fr title=Cup of SecurityCup of Security/a ul lia href=http://cupofsecurity.blogspot.com/2010/06/sstic-2010-is-over.html hreflang=fr title=SSTIC 2010 is overSSTIC 2010 is over/a./li /ul/li lia href=http://twitter.com/emiliengirault hreflang=fr title=emiliengiraultÉmilien Giraut/a sur a href=http://www.segmentationfault.fr/ hreflang=fr title=Segmentation faultSegmentation fault/a ul lia href=http://www.segmentationfault.fr/securite-informatique/sstic-2010/ hreflang=fr title=De retour du SSTIC 2010De retour du SSTIC 2010/a./li /ul/li lia href=http://www.protocol-hacking.org/ hreflang=fr title=Making network protocols go crazyMaking network protocols go crazy/a ul lia href=http://www.protocol-hacking.org/post/2010/06/14/Compte-rendu-SSTIC-2010-jour-1 hreflang=fr title=Compte-rendu SSTIC 2010 - jour 1Compte-rendu SSTIC 2010 - jour 1/anbsp;;/li lia href=http://www.protocol-hacking.org/post/2010/06/15/Compte-rendu-SSTIC-2010-jour-2 hreflang=fr title=Compte-rendu SSTIC 2010 - jour 2Compte-rendu SSTIC 2010 - jour 2/anbsp;;/li lia href=http://www.protocol-hacking.org/post/2010/06/15/Compte-rendu-SSTIC-2010-jour-3 hreflang=fr title=Compte-rendu SSTIC 2010 - jour 3Compte-rendu SSTIC 2010 - jour 3/a./li /ul/li lia href=http://theg33k.hautetfort.com/ hreflang=fr title=The G33kThe G33k/a ul lia href=http://theg33k.hautetfort.com/archive/2010/06/12/retour-sur-le-sstic-2010.html hreflang=fr title=Retour sur le SSTIC 2010Retour sur le SSTIC 2010/a./li /ul/li lia href=http://www.secuobs.com/ hreflang=fr title=L#039;observatoire de la sécurité internetSecuobs/a ul lia href=http://www.secuobs.com/news/15062010-dgse-sstic.shtml hreflang=fr title=La DGSE va recruter 100 ingénieurs par anLa DGSE va recruter 100 ingénieurs par an/a./li /ul/li lia href=http://cert.lexsi.com/weblog/ hreflang=fr title=Weblog CERT-LEXSILEXSI/a ul lia href=http://cert.lexsi.com/weblog/index.php/2010/06/15/387-fantasstic-2010 hreflang=fr title=FantaSSTIC 2010FantaSSTIC 2010/a./li /ul/li lia href=http://blog.esiea-recherche.eu/ hreflang=fr title=ESIEA RechercheESIEA Recherche/a ul lia href=http://blog.esiea-recherche.eu/2010/06/conference-douverture-de-la-dgse-au.html hreflang=fr title=Conférence d#039;ouverture de la DGSE au SSTICConférence d'ouverture de la DGSE au SSTIC/anbsp;;/li lia href=http://blog.esiea-recherche.eu/2010/06/conference-de-cloture-du-sstic-2010.html hreflang=fr title=Conférence de clôture du SSTIC 2010. Intervention du Directeur de l#039;ANSSIConférence de clôture du SSTIC 2010. Intervention du Directeur de l'ANSSI/a./li /ul/li lia href=http://news0ft.blogspot.com/ hreflang=fr title=Newsoft#039;s fun blogNews0ft/a ul lia href=http://news0ft.blogspot.com/2010/06/un-compte-rendu-froid-de-sstic-2010.html hreflang=fr title=Un compte-rendu à froid de SSTIC 2010 (1ère partie)Un compte-rendu à froid de SSTIC 2010 (1ère partie)/a./li /ul/li liÉmilien Girault sur a href=http://www.segmentationfault.fr/ hreflang=fr title=Segmentation FaultSegmentation Fault/a ul lia href=http://www.segmentationfault.fr/securite-informatique/sstic-2010/ hreflang=fr title=De retour du SSTIC 2010De retour du SSTIC 2010/a (vu tardivement, désolé).../li /ul/li /ul pOn pourra également consulter la a href=http://communaute.sstic.org/SSTIC2010/Presse hreflang=fr title=Presserevue de presse du SSTIC 2010/a sur le a href=http://communaute.sstic.org/ hreflang=fr title=Communauté SSTICwiki communataire du SSTIC/a./p pPSnbsp;: si je vous ai oublié, n'hésitez pas à me laisser un commentaire ou un mail avec les liens qui vont bien, voire poser un a href=http://fr.wikipedia.org/wiki/R%C3%A9trolien hreflang=fr title=Rétrolientrackback/a, je les ajouterai./p div class=footnotesh4Notes/h4 p[a href=http://sid.rstack.org/rev-pnote-412-1 id=pnote-412-11/a] Office Communication Server/p p[a href=http://sid.rstack.org/rev-pnote-412-2 id=pnote-412-22/a] Just In Time/p p[a href=http://sid.rstack.org/rev-pnote-412-3 id=pnote-412-33/a] Global Assembly Cache/p p[a href=http://sid.rstack.org/rev-pnote-412-4 id=pnote-412-44/a] La bonne excuse.../p p[a href=http://sid.rstack.org/rev-pnote-412-5 id=pnote-412-55/a] One Pot Application/p p[a href=http://sid.rstack.org/rev-pnote-412-6 id=pnote-412-66/a] Um interface, MS = Mobile Station/p p[a href=http://sid.rstack.org/rev-pnote-412-7 id=pnote-412-77/a] Ça serait bien d'avoir plus de retours d'intervenants./p/div
2:59
En direct du SSTIC...
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/sstic.png alt=Logo SSTIC style=float:right; margin: 0 0 1em 1em; //p span class=lettrineC/span p'est parti. La a href=http://www.sstic.org/2010/ hreflang=fr title=SSTIC 2010huitième édition du SSTIC/a vient d'ouvrir ses portes, la salle commence à se remplir doucement./p pComme les années précédentes, je vais me remettre à l'exercice du rendu des talks en live. Et si je n'abandonne pas ce qui me reste de fierté d'ici la fin de la semaine, je parviendrai peut-être à ne pas céder à la tentation de copier/coller le a href=http://communaute.sstic.org/CompteRenduCollaboratif hreflang=fr title=Environnement de travail collaboratifcompte-rendu collaboratif/a lancé sur a href=http://wave.google.com/about.html hreflang=en title=Google WaveGoogle Wave/a. Ceci dit, pour le moment, il n'y a pas grand chose à aller pomper :)/p pstrongMardi 8 juin 2010 - Jour 0/strong/p pArrivé à Rennes vers 18h, hôtel et direction le a href=http://www.aubureaurennes.fr/ hreflang=fr title=Au BureauBureau/a pour un repas emen famille/em. Et puis l'inévitable détour par la rue de la soif. Ça fait partie des choses qui ne changent pas au SSTIC./p pstrongMercredi 9 juin 2010 - Jour 1/strong/p pLa conférence commence à l'heure, mais dans le noir. C'est un truc nouveau ça... Avec les badges à imprimer soi-même, on sent que 2010 est une année de grand changement ;)/p ul liemSystèmes d'informationnbsp;: les enjeux et les défis pour le renseignement d'origine technique/em par Bernard Barbier, a href=http://www.defense.gouv.fr/dgse hreflang=fr title=Direction Générale de la Sécurité ExtérieureDGSE/a. Le directeur technique de cet organe de renseignement nous livre un panorama des activités de renseignement technique et quelques réflexion sur les enjeux de la sécurité informatique. En dehors de comparaisons entre le nombre de bonshommes aux US et en France, quelques perspectives historiques et des informations relativement floues sur les moyens à disposition, on a surtout eu droit à des banalités. Dommage, je suis sûr qu'il aurait pu raconter pleins de trucs nettement plus intéressants. Un poil de réflexion sur la nécessité de développer des capacitées de lutte informatique offensive, mais rien de transcendant. J'aurais peut-être dû en profiter pour récupérer de la soirée d'hier... Ah si, y'avait une info quand mêmenbsp;: la DGSE veut recruter 100 personnes par an. Va y avoir de la concurrence avec l'ANSSI...br /strongUpdate/strongnbsp;: Suite à quelques discussions que j'ai eu durant la pause, je tiens à préciser qu'il est effectivement très louable que la DGSE soit venu faire un talk au SSTIC, avec ce type de contenu que certains ont pu, je n'en doute pas, trouver intéressant. Néanmoins, si le sujet est effectivement intéressant, j'ai tout de même trouvé le contenu assez conforme à ce qui se dit déjà sur le sujet, d'où la déception. Vala, j'espère que c'est plus clair./li liema href=http://www.sstic.org/2010/presentation/Tatouage_imagerie_medicale/ hreflang=fr title=Tatouage de données d#8217;imagerie médicalenbsp;: applications et méthodesTatouage de données d#8217;imagerie médicalenbsp;: applications et méthodes/a/em par a href=http://public.enst-bretagne.fr/~gcoatrie/ hreflang=fr title=Gouenou CoatrieuxGouenou Coatrieux/a de a href=http://www.telecom-bretagne.eu/ hreflang=fr title=Télécom BretagneTélécom Bretagne/a. Une présentation sur, comme son titre l'indique, les applications possibles du watermarking pour la protection du contenu multimédia de santé. En l'occurence, il s'agit essentiellement de l'insertion de méta-données pour assurer l'authenticité des informations reçuesnbsp;: contrôle d'intégrité, détection et localisation des anomalies sur de l'imagerie, traçabilité des données, protection du dossier patient, etc. On aura aussi droit à une petite partie sur l'enrichissement des données médicales bien que ne relevant pas vraiment de la sécurité. S'en suivra une discussion sur les méthodes de tatouage en fonction des propriétés recherchéessup[a href=http://sid.rstack.org/pnote-410-1 id=rev-pnote-410-11/a]/sup et des données manipulées, avec un focus sur la perceptibilité du tatouage d'images. Avec en sus pas mal d'informations sur les techniques d'imagerie médicale. Une très bonne présentation pour découvrir les techniques et problématiques de watermarking dans un contexte particulier. Pour les aspects sécurité, je n'ai pas trouvé d'intérêt évident par rapport à un système de signature classique.br /strongUpdate/strongnbsp;: en fait, si, y'a un vrai intérêt, faut que je complète/modifie les entrées à updater quand j'aurais le temps.../li liema href=http://www.sstic.org/2010/presentation/CyberDefense/ hreflang=fr title=Visualisation et analyse de risque dynamique pour la cyber-défenseVisualisation et analyse de risque dynamique pour la cyber-défense/a/em par Philippe Lagadec, a href=http://www.nc3a.nato.int/ hreflang=fr title=NATO C3 AgencyOTAN/NC3A/a. Introduction sur l'approche cyber-défense de l'OTAN avec une jolie variation de a href=http://fr.wikipedia.org/wiki/Roue_de_Deming hreflang=fr title=Roue de Demingroue de Deming/a. Ça manquait... Philippe présente deux outils, démos à l'appui. Le premier est un outil de visualisation, CIAPsup[a href=http://sid.rstack.org/pnote-410-2 id=rev-pnote-410-22/a]/sup, a été développé à des fins d'aide à la décision. Pas mal d'informations accessibles et pleins de vue disponibles, avec a href=http://earth.google.fr/ hreflang=fr title=Google EarthGoogle Earth/a inside. Le second, DRAsup[a href=http://sid.rstack.org/pnote-410-3 id=rev-pnote-410-33/a]/sup, est un outil d'analyse de risque temps réel et de contre-mesure. Peu de détails techniques globalement, ça faisait un peu presentation commerciale, mais sans rien à vendre ;) Sinon montrer des travaux de Ramp;D de l'OTAN./li liema href=http://www.sstic.org/2010/presentation/CASTAFIOR_Detection_automatique_de_tunnels_illegitimes_par_analyse_statistique/ hreflang=fr title=CASTAFIORnbsp;: détection automatique de tunnels illégitimes par analyse statistiqueCASTAFIORnbsp;: détection automatique de tunnels illégitimes par analyse statistique/a/em par Fabien Allard et Mathieu Morel, Thales. On a donc un outil de détection des tunnels cachés. Une grosse partie très intéressante sur les hypothèses et la théorie sous-jacente. Grosso modo, ils génèrent par apprentissage des empreintes sur une dizaine de paramètres comme la répartition temporelle et volumétrique de différents protocoles. Partant de l'hypothèse que l'encapsulation du tunnel altère peu ces caractéristiques, la reconnaissance des protocoles encapsulés se fait par une classification basée sur ces empreintes précalculées. Les résultats expérimentaux présentés sont intéressants, avec 96% de taux de classification correcte, et des faux positifs qui tournent sous les 5%. Avec des temps de calcul en dessous de la milliseconde et un nombre de paquets nécessaires assez bas. La question de l'impact de l'algorithme de chiffrement et de la compression sur le résultat a été laissée de côté. Une bonne question à la fin sur la reconnaissance d'un tunnel IP avec pas mal de protocoles concurrents encapsulés./li /ul pPause déjeuner.../p ul liema href=http://www.sstic.org/2010/presentation/Reflexions_pour_un_plan_d_action_contre_les_botnets/ hreflang=fr title=Réflexions pour un plan d#039;action contre les botnetsRéflexions pour un plan d'action contre les botnets/a/em par Éric Freyssinet, Gendarmerie Nationale. Après une présentation des activités de la gendarmerie en matière de criminalité informatique, on passe au sujet principal de la présentation. Mise en bouche par un slide de généralités, suivie d'un panorama d'affaires plus ou moins récentesnbsp;: les ISP véreux comme a href=http://arstechnica.com/security/news/2008/09/bad-seed-isp-atrivo-cut-off-from-rest-of-the-internet.ars hreflang=en title=Bad seed ISP Atrivo cut off from rest of the InternetAtrivo/a et a href=http://en.wikipedia.org/wiki/McColo hreflang=en title=McColoMcColo/a, la fermeture de Waldedac par Microsoft, le modèle de distribution de a href=http://en.wikipedia.org/wiki/Gumblar hreflang=en title=GumblarGumblar/a et le démantèlement de a href=http://defintel.blogspot.com/2009/10/mariposa-botnet-analysis.html hreflang=en title=Mariposa Botnet AnalysisMariposa/a. Pour combattre les botnets, l'auteur propose des actions possibles ciblant toutes les populations impliquéesnbsp;: attaquants, victimes, opérateurs, éditeurs, chercheurs, etc. Il nous parlera de sensibilisation, de mutualisation des efforts de détection et partage des données, réaction coordonnée des différents acteurs, etc. Un a href=http://www.interpol.int/Public/TechnologyCrime/WorkingParties/default.asp hreflang=en title=IT Crime - Regional Working Partiesgroupe de travail au niveau d'Interpol/a est donné en exemple. Côté évolutions législatives, on citera des provisions pour bloquer une propagation, autoriser la prise de contrôle d'un botnet, taper sur le spam en étendant la LCEN, etc. choses qui ne seraient pas très simples avec l'arsenal juridique actuel./li liema href=http://www.sstic.org/2010/presentation/virtdbg/ hreflang=fr title=virtdbg: un débogueur noyau utilisant la virtualisation matériellevirtdbg: un débogueur noyau utilisant la virtualisation matérielle/a/em par Christophe Devine et Damien Aumaitre, a href=http://esec.fr.sogeti.com/blog/index.php hreflang=fr title=BLOG Équipe Ramp;D (ESEC)SOGETI ESEC/a. Ce projet est de l'absence de débugger ring0 adapté à l'analyse de fonctionnalités de Windows 7 comme PatchGuard et les systèmes de DRM. Du fait de grosses limitations sur l'injection de code dans le noyau, en particulier parce que PatchGuard est là pour l'empêcher, le choix se porte sur la virtualisation matérielle avec un debugger sur hyperviseur. La grosse partie du milieu porte sur l'implémentation à base de board FPGA et du code qui reprend les a href=http://www.sstic.org/2008/presentation/Voyage_au_coeur_de_la_memoire/ hreflang=fr title=Voyage au coeur de la mémoiretravaux présentés par Damien en 2008/a. Tout est largement décrit dans les actes. Donc, RTFM. Quand ils seront en ligne. Forcément. Une ch'tite démo, et hop. Du bon boulot./li liema href=http://www.sstic.org/2010/presentation/Analyse_de_programme_par_tracage/ hreflang=fr title=Analyse de programme par traçageAnalyse de programme par traçage/a/em par Daniel Reynaud, Jean-Yves Marion et Wadie Guizani. J'ai malheureusement perdu un peu le fil, mais il semble que ça parle d'analyser des blobs binaires en s'appuyant sur des traces mémoire d'exécution. L'auteur propose un outil appelé a href=http://code.google.com/p/tartetatintools/ hreflang=en title=tartetatintoolsTraceSurfer/a qui s'accompagne d'un plugin IDA pour traiter les traces générées. Il permet d'y importer des traces, permettant typiquement de débloquer un désassemblage IDA, comme montré en démo. Une étude a été faite sur un gros set de malware, avec des résultats sympas qui sont dans les actes. Présentation claire est intéressante, mais bon, faut suivre./li liema href=http://www.sstic.org/2010/presentation/Interessez_vous_au_droit/ hreflang=fr title=Intéressez vous au droit... avant que le droit ne s#039;intéresse à vousIntéressez vous au droit... avant que le droit ne s'intéresse à vous/a/em par Éric Barbry, Cabinet Alain Bensoussan Avocats. Présentation très dynamique sous le signe du ema href=http://www.vie-publique.fr/decouverte-institutions/citoyen/citoyennete/definition/devoirs-definition/que-signifie-nul-n-est-cense-ignorer-loi.html hreflang=fr title=Que signifie quot;nul n#8217;est censé ignorer la loiquot; ?nul n'est censé ignorer la loi/a/em... L'auteur nous explique que le DSI/RSSI a un métier style homme orchestre à multiples facettes qui engage sa responsabilité sur de nombreux terrains, ce qui le place devant un nombre impressionnant d'écueils juridiques. C'est très vivant, c'est drôle, ça part dans tous les sens et ça tape sur tout le mondenbsp;: la surveillance, Facebook, les réseaux sociaux, le emCloud/em, les clauses contractuelles, le droit à l'image, l'usurpation d'identité, le droit d'auteur et même le phishing... De manière plus sérieuse, il insiste sur la responsabilité au titre des fautes et/ou des infractions au code pénal qu'on comment, mais aussi au titre de la négligence fautive. Et on a contexte juridique chargénbsp;: LSQ, LSI, LSF, LCEN, HADOPI, loi sur les jeux d'argent, etc. Avec 2010 comme millésime particulièrement vivant... Présentation intéressante qui met le doigt sur les risques juridiques qui se profilent pour les internautes en général et l'entreprise en particulier avec les lois passées dernièrement ou à venir dans les prochains mois et qui propose quelques pistes d'outillage juridique en conclusion. Un intermède non technique particulièrement divertissant./li /ul pFin de journée, miam, glou et dodo.../p pstrong Jeudi 10 juin 2010 - Jour 2/strong/p pComme chaque année, le jeudi est la journée la plus chargée du SSTIC par la technicité des sujets abordés d'une part, et la durée du fait des rumps et du tant attendu social event d'autre part./p ul liemPresentation des résultats du a href=http://communaute.sstic.org/ChallengeSSTIC2010 hreflang=fr title=Challenge SSTIC 2010challenge/a/em par Raphaël Rigo, ANSSI, et solution par Arnaud Ébalard, EADS Innovation Works. Vous connaissez le a href=http://sid.rstack.org/blog/index.php/409-challenge-win hreflang=fr title=Challenge win!classement/a qui est en ligne depuis une semaine. Arnaud prend ensuite la parole pour présenter comment il a résolu le défi. Les huit solutions sont a href=http://communaute.sstic.org/ChallengeSSTIC2010 hreflang=fr title=Challenge SSTIC 2010disponibles en ligne/a. Je vous invite chaudement à aller les lire, c'est super intéressant et, pour ne rien gâter, ne se ressemblent pas. Raphaël reviendra préciser quelques points techniques du challenge... Et promouvoir, ô surprise, la a href=http://www.ssi.gouv.fr/site_rubrique27.html hreflang=fr title=L#039;ANSSI recrutecampagne de recrutement de l'ANSSI/a... Décidément ;)/li liema href=http://www.sstic.org/2010/presentation/Securite_plateforme_execution_Java/ hreflang=fr title=Sécurité de la plate-forme d#039;exécution Javanbsp;: limites et propositions d#039;améliorationsSécurité de la plate-forme d'exécution Javanbsp;: limites et propositions d'améliorations/a/em par Christian Brunette, David Pichardie, Frédéric Guihery, Goulven Guiheux et Guillaume Hiet, Amossys-INRIA-Silicom. La présentation est basée sur les résultats de a href=http://www.ssi.gouv.fr/site_article226.html hreflang=fr title=Sécurité et langage Javatravaux demandés par l'ANSSI sur la sécurité de Java/a. Ça commence par une présentation de l'architecture générale de l'environnement Java, des propriétés et des mécanismes de sécurité, avec un focus sur JPSA. On enchaîne avec des exemples de problèmes récurrent de sécurité dans les applications Javanbsp;: mauvaise utilisation des mécanismes fournis, ambiguités ou mécompréhension avec la bibliothèque standard, failles de la JVM elle-même. Les auteurs poursuivent avec des propositions pour améliorer la sécurité des applications Javanbsp;: guides de développement/configuration/déploiement, audit de la bibliothèque standard, limitation de la surface d'attaque avec par exemple de la modularité, l'application du contrôle d'accès et, gros morceau, travailler sur le code et les fonctionnalités fournies par la JVM pour la renforcer. On termine avec une proposition pour l'extension de la vérification de bytecode. Bonne présentation générale, pas technique mais synthétique et claire./li liema href=http://www.sstic.org/2010/presentation/Analyse_de_l_efficacite_du_service_fourni_par_une_IOMMU/ hreflang=fr title=Analyse de l#039;efficacité du service fourni par une IOMMUAnalyse de l'efficacité du service fourni par une IOMMU/a/em par Éric Lacombe, Fernand Lone Sang, Vincent Nicomette et Yves Deswarte, LAAS/CNRS. La présentation commence par la description des attaques DMA qu'une a href=http://en.wikipedia.org/wiki/IOMMU hreflang=en title=IOMMUIOMMU/a est censé prévenir. Vient ensuite une présentation de la a href=http://www.intel.com/technology/itj/2006/v10i3/2-io/7-conclusion.htm hreflang=en title=Intel® Virtualization Technology for Directed I/Otechnologie Intel VT-d/a qui fournit un service de traduction d'adresses pour les requêtes DMA permettant de contrôler l'accès à la mémoire par certains périphériques. Viennent deux catégories de vecteurs d'attaque. La première catégorie vise la reconfiguration de l'unité de traduction, lui permettant d'accéder à des zones de mémoire a priori interdites. La seconde catégorie vise le système d'entrées/sorties via les métadonnées fournies aux contrôleurs d'I/O en usurpant l'identité d'un périphérique. Une preuve de concept exploitant ce dernier vecteur est démontrée. Avec un scénario d'attaque visant à réaliser un ARP cache poisoning en injectant directement des trames ethernet dans la mémoire des cibles via son méchant 3vil iPod de n'hack3r./li liema href=http://www.sstic.org/2010/presentation/Peut_on_faire_confiance_aux_cartes_reseau/ hreflang=fr title=Quelques éléments en matière de sécurité des cartes réseauQuelques éléments en matière de sécurité des cartes réseau/a/em par Guillaume Valadon, Loic Duflot, Olivier Levillain et Yves-Alexis Perez, ANSSI. La présentation traite de failles dans le firmware des cartes réseau, en discutant de l'exploitation d'une a href=http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0104 hreflang=en title=CVE-2010-0104faille particulière des cartes réseau Broadcom/a qui touche le a href=http://en.wikipedia.org/wiki/Alert_Standard_Format hreflang=en title=Alert Standard Formatprotocole ASF/asup[a href=http://sid.rstack.org/pnote-410-4 id=rev-pnote-410-44/a]/sup avec en particulier les fonctionnalités de gestion distante fournies par RMCPsup[a href=http://sid.rstack.org/pnote-410-5 id=rev-pnote-410-55/a]/sup/RSPsup[a href=http://sid.rstack.org/pnote-410-6 id=rev-pnote-410-66/a]/sup. Ces flux d'administration sont traités directement par la carte, indépendamment de l'hôte et de son OS. Les auteurs présentent la a href=http://www.ssi.gouv.fr/site_article187.html hreflang=fr title=Peut-on encore faire confiance aux cartes réseau ?vulnérabilité qu'ils ont identifiée/a dans le traitement des messages RSP et les méthodes qu'ils ont utilisé pour comprendre le problème et l'exploiter, avec en particulier un debugger pour carte réseau qui sera démontré. La vulnérabilité et son exploitation sont décrites, et auraient bien été complètement démontrées si a href=http://fr.wikipedia.org/wiki/Loi_de_Murphy hreflang=fr title=Loi de MurphyMurphy/a ne s'en était pas mêlé. Dommage, d'autant que tout avait parfaitement fonctionné à a href=http://cansecwest.com/ hreflang=en title=CansecwestCansec/a fin mars :/ On termine avec quelques pistes de contre-mesures, comme ne pas utiliser ASF ;) Note intéressantenbsp;: si Broadcom semble avoir géré la vulnérabilité rapidement et produit un nouveau firmware dans le mois, les constructeurs ont mis plus de deux mois à le distribuer.../li liema href=http://www.sstic.org/2010/presentation/Honeynet_Project_en_2010/ hreflang=fr title=Honeynet Project en 2010Honeynet Project en 2010/a/em par Sébastien Tricaud, a href=http://www.honeynet.org/ hreflang=en title=Honeynet ProjectHoneynet Project/a. Le retour du come-back de la revanche des honeypots :) Sébastien, qui a été nommé CTO du Honeynet, nous présente un aperçu de la structure du projet, de sa philosophie, ses orientations et son positionnement sur des activités de recherche et la restitution au public des résultats, avec en particulier des a href=http://www.honeynet.org/project hreflang=en title=Projectsoutils/a et des a href=http://www.honeynet.org/papers hreflang=en title=Paperspapiers/a comme les fameux emKnow Your Enemies/em et les plus récents emKnow Your Tools/em. Suit une petite introduction à certains projets particuliers comme a href=http://nepenthes.carnivore.it/ hreflang=en title=NepenthesNepenthes/a/a href=http://dionaea.carnivore.it/ hreflang=en title=DionaeaDionaea/a qui vise à récupérer des malwares exploitant des failles connues et a href=http://code.google.com/p/phoneyc/ hreflang=en title=phoneycPhoneyC/a qui crawle le web pour récupérer du code malicieux. Un petit mot sur les a href=http://honeynet.org/challenges hreflang=en title=Challengeschallenges/a proposés et une invitation à aller résoudre le a href=http://honeynet.org/challenges/2010_4_voip hreflang=en title=Challenge 4 of the Forensic Challenge 2010 - VoIPchallenge du moment sur la VoIP/a. Le projet lance tous les ans pleins de projets, une vingtaine cette année, au a href=http://code.google.com/intl/fr/soc/ hreflang=en title=Google Summer of CodeSummer Google of Code/a. Pour le futur, en guise de conclusion, la mise en place d'une plate-forme d'échange de données et le développement de systèmes d'anonymisation des traces. Présentation sympathique, pour ceux qui s'interrogent sur les activités du Honeynet./li /ul pMiam time engaged. Retour à 14h30 pour la suite des hostilités./p ul liema href=http://www.sstic.org/2010/presentation/Securite_des_systemes_de_vote/ hreflang=fr title=La sécurité des systèmes de voteLa sécurité des systèmes de vote/a/em par a href=http://www.fconnes.org/fr/ hreflang=fr title=Frédéric ConnesFrédéric Connes/a, HSC. Un sujet polémique s'il en est. L'auteur commence par proposer quatre critères à réunir pour fournir un système de vote fiablenbsp;: disponibilité, intégrité, auditabilité et secret de vote. Aucun système actuel ne réunit ces quatre propriétés, d'où la recherche de protocoles permettant de fournir ces garanties. L'auteur propose d'introduire une référence indépendante. Première propositionnbsp;: double vote électronique et papier, avec comparaison des deux sur la base de recomptage papier aléatoires. Deuxième solutionnbsp;: fourniture d'un reçu de vote et publication sur un site web, mais pose des problèmes de complexité. L'auteur propose une troisième solution qui introduit une publication des votes pour garantir l'intégrité, tout en garantissant le secret du vote par le truchement d'une marque qui décorrèle l'identité du choix. L'électeur récupère un reçu lisant tous les choix de vote possibles. Sa propre marque se trouve en face de son choix. Les autres choix sont liés à des marques valides, liées par le passé à ces choix. Ce modèle préserverait le secret du choix de l'électeur et lui fournit sa propre marque, en face de son choix. Cela lui donnera aussi la possibilité de vérifier après publication les autres choix figurant sur son reçu. La génération de la marque est évidemment une étape cruciale, ainsi que la récupération des autres marques. Des solutions sont proposées, je vous invite à aller voir les actes pour les détails et réponses à diverses objections. Globalement, si le protocole a l'air de tenir la route, il se pose tout de même la question de la mise en #339;uvre de la vérification du vote qui nécessite la participation de tous les votants. Là, je rejoins l'a href=http://vanhu.free.fr/blog/index.php?post/2010/06/10/SSTIC-2010%2C-Day-2 hreflang=fr title=SSTIC 2010, Day 2avis un peu pessimiste de Vanhu/anbsp;: les gens ont déjà du mal à aller voter massivement, si en plus il est nécessaire que chacun vérifie son votre individuellement... Et je ne parle pas du problème de l'implémentation... En tout cas, il faut saluer l'approche ouverte et difficile de proposer un protocole, de plus intéressant, sur un sujet aussi sensible. Chapeau./li liema href=http://www.sstic.org/2010/presentation/Applications_Facebook_Quels_Risques_pour_l_Entreprise/ hreflang=fr title=Applications Facebooknbsp;: quels risques pour l#039;entreprise ?Applications Facebooknbsp;: quels risques pour l'entreprise ?/a/em par Alban Ondrejeck, Francois-Xavier Bru et Guillaume Fahrner. On commence par une description du modèle d'application Facebook et une discussion sur la vulnérabilité des applications et leurs capacités de nuisance, en particulier quand elles sont malveillantes. La stratégie d'attaque proposait consiste à fournir une application malveillante qui va réaliser à l'insu de ses utilisateurs des actions plus ou moins sympa. La diffusion reposera sur d'une part la création de profils fictifs et d'autre part sur la promotion automatique de l'application à l'installation sur, par exemple, le mur de l'utilisateur pour créer un effet viral. Les expériences réalisées par les auteurs sont intéressantes, en particulier la courbe d'évolution du nombre d'utilisateurs qui installent l'application. Côté Facebook, aucun contrôle a priori, par contre, retrait de l'application suite à des plaintes d'utilisateurs. Par contre, l'application pouvait être remise en ligne immédiatement sous un nom différent... On finit par des recommandations qui tournent essentiellement autour de la formation. Belle démonstration de diffusion virale de code malicieux via Facebook./li liema href=http://www.sstic.org/2010/presentation/Projet_OpenBSC/ hreflang=fr title=Projet OpenBSCProjet OpenBSC/a/em par Harald Welte. Bien que les protocoles soient publics, GSM/3G est un sujet très peu abordé par les étude sécurité du fait du monde très fermé qu'est l'industrie de la téléphonie. L'accès au hardware, aux logiciels et à la documentation est à un prix prohibitif quand il est seulement possible. Bref, GSM, c'est certes la voix, mais c'est également un transport pour pleins d'autres applications relevant du monitoring/administration/maintenance d'équipements distants et du transfert d'informations. La sécurité GSM/3G est en retard d'une bonne dizaine d'année par rapport aux réseaux IP traditionnels, alors que les conséquences sont énormes considérant la pénétration de la technologie dans de nombreux domaines. Le projet a href=http://openbsc.osmocom.org/ hreflang=en title=OpenBSCOpenBSC/a est de fournir le matériel nécessaire à l'étude et l'amélioration de la sécurité des infrastructure GSM/3G, avec en particulier les problèmes de spécifications, d'implémentation et d'opération. Le problème peut être pris du côté du téléphone, mais cela pose pleins de difficultés, en particulier pour faire ce qu'on veut du module GSM. Il peut aussi être pris du côté du réseau qui semble nettement plus simple à appréhender, et là que se situe OpenBSC qui propose une implémentation libre d'un réseau GSM qui s'expose à une BTSsup[a href=http://sid.rstack.org/pnote-410-7 id=rev-pnote-410-77/a]/sup comme un BSCsup[a href=http://sid.rstack.org/pnote-410-8 id=rev-pnote-410-88/a]/sup via une interface A-bis. Il se trouve qu'au-delà des travaux de sécurité prévus à l'origine, un vingtaine d'OpenBSC se trouvent être utilisés sur de vrais réseaux GSM. Les derniers slides posent pleins de problèmes connus ou constater pendant le développement de l'outil avec pas mal de soucis de vie privée à la clé. Quelques considérations sur le fuzzing GSM, en particulier par insertion de trafic sur le lien A-bis entre la BTS et et le BSC. En conclusion, l'auteur pointe le manque de sécurité et de robustesse des implémentations GSM disponibles sur le marché et invite tout le monde à s'intéresser au GSM parce que bon... TCP/IP, c'est emso last decade/em ;) Du lourd, ça fait parfois peur.../li /ul pEt maintenant, c'est l'heure de la fameuse séance de rumpsnbsp;! Je vous livre les titres, auteurs et éventuels commentaires à l'arrache, donc pas forcément de manière exhaustive. Je complèterai plus tard si nécessaire./p ul liemRump session/em ul liemKesse SSTIC/em par le CO de la conférence. Des chiffres sur l'organisation du SSTICnbsp;: 450 inscrits, en 25h, 358 badges imprimés à l'avance, 12 secondes pour le scan à l'entrée, 27 femmes, 11 CO et 19 CP, association loi 1901, 77kEUR de dépenses vs 74kEUR de recettes, 34% du budget pour le emSocial Event/em, 30% pour le RU et 12% pour les pausessup[a href=http://sid.rstack.org/pnote-410-9 id=rev-pnote-410-99/a]/sup, 467 pages dans les actes, 22 soumissions dont 13 retenues./li liemRetex sur pentest Blackberry Enterprise Server/em, Ary Kokos. Trois compromissions complètes de BES en pentest via des failles triviales. Un mot de passe par défaut MS SQL permet d'enregistrer un compte admin qu'on utilise pour déclencher des fonctionnalité de synchro et de journalisation pour récupérer des informations, déployer des applications sur les terminaux, faire du DoS, bouncer les emails au niveau du serveur pour les espionner./li liem1,$s/blonde/geek/g/em, Renaud Bidou qui bâche cher sur le cloud et certains flames sur les WAF... Y'en a un qui prend, ça solde ses comptes en live.../li liemTiming attack en pause café sur les cartes à puce pour machines automatiques/em, Florian Gleis et Pierre Capillon. Une carte à puce pour acheter du café, avec un système mal foutu au niveau de l'enchainement des opérations pour la gestion de la emfidélité/em, laquelle est incrémentée *avant* de débiter la carte du prix du café. Du coup, ça fait pleins de cafés gratis./li liemAnalyse de mémoire flash de téléphone portable/em, Christophe Grenier. Challenge d'analyse de la mémoire d'un téléphone Sony avec un scénario alambiqué et deux dumps mémoire. Quelques coups de Photorec patcher pour les originalités du a href=http://en.wikipedia.org/wiki/Wear_leveling hreflang=en title=Wear LevelingWear Leveling/a plus tard, c'est fini.../li liema href=http://www.netglub.org/ hreflang=en title=NetglubNetglub/a, Really Open Source Information Gathering/emnbsp;: outil libre de data mining, extraction d'information et de knowledge management sur un principe distribué. Démo sympa./li lia href=http://www.freesec.com/ hreflang=fr title=Free SecurityLaurent Dupuis/a qui présente deux projets. Le premier est un spider appelé Bubulle qui nourrit le moteur de recherche QSWX. Le second est SecurityGarden, une ferme d'outils à la Packetstorm, mais green ;) Le tout en ligne fin de semaine prochaine normalement.../li liemChallenge BOSS/em, Caroline Fontaine. Le BOSS est un challenge autour de la stéganographie dont le but est de retrouver sur un lot de 1000 images les 500 qui contiennent un message. Le but est de stimuler la recherche en stéganologie./li liemDESIIR/em, Pascal Sitbon, Arnaud Tarrago et Pierre Nguyen. Dispositif d'échange sécurisé via USB, évolution du a href=http://actes.sstic.org/SSTIC09/Rump2009/SSTIC09-Rump-Tarrago-Sitbon-DESIIR.pdf hreflang=fr title=DESIIRmême projet présenté l'an dernier en rump/a./li liemFiabilisation d'outils/em, Aurélien Bordes. Butnbsp;: contourner des cas où pwdump ne fonctionne pas. Solutionnbsp;: abus des fonctionnalités de réplication de l'AD par spoofing pour récupérer les bases d'utilisateur. Démo à l'appui. Quotenbsp;: eml'AD, c'est un peu la déchetterie du système d'information/em :)/li liema href=http://www.decalage.info/exefilter hreflang=fr title=ExeFilter - un framework libre pour filtrer les fichiers et les contenus actifsExeFilter/a contre les méchants PDF/em, Philippe Lagadec. Une démo d'ExeFilter sur du filtrage/nettoyage de documents PDF vérolés./li liemWeblogic for fun amp;amp; profit/em. Possibilité d'attaquer anonymement la a href=http://en.wikipedia.org/wiki/Java_Naming_and_Directory_Interface hreflang=en title=Java Naming and Directory InterfaceJNDI/a de l'outil via son protocole propriétaire T3. On voit bien le but du jeu, pour les moyens, c'était un peu rapide.../li liemQuand les intruseurs font du monitoring temps réel/em, Denis Ducamp. La présentation d'un projet, a href=http://www.ikare-monitoring.com/ hreflang=en title=IkareIkare/a, sur le maintien du niveau de sécurité suite à des tests d'intrusion en testant régulièrement des sets de propriétés réduits./li liemRDP 2 TCP/em Nicolas Collignon, Romain Raboin. Encapsulation de TCP sur RDP vers un Terminal Server et rebond sur le réseau interne. Démo du PoC, codé à l'arrache pendant le voyage vers Rennes, qui foire au premier essai. Retour dans quelques minutes pour la fin.../li liemOracle a new hop/em. Démo de tunneling à travers une base Oracle à base d'injection SQL puis élévationd e privilèges via PL-SQL pour faire des requêtes HTTP. J'adore :)/li liema href=http://www.secdev.org/projects/scapytain/ hreflang=en title=ScapytainScapytain/a/em, Philippe Biondi. Un slideware en Gimp pour présenter une framework de gestion de campagnes de tests à base de a href=http://www.secdev.org/projects/scapy/ hreflang=en title=ScapyScapy/a./li liemRDP 2 TCP, le retour de la démo foirée/em. Et... bingo, ça marche \o//li /ul/li /ul pEt c'est la fin. Direction le emSocial Event/em qui s'est déroulé, comme l'an dernier, au a href=http://www.lecoq-gadby.com/ hreflang=fr title=Le Coq GadbyCoq Gadby/a. Évènement une nouvelle fois réussi grâce à une météo certes maussade mais clémente côté précipitations, un ambiance très décontractée, un cadre agréable et une cuisine sympathique. Ensuite, ce fut le cortège vers la Rue de la Soif, avec une grosse concentration de SSTICers collés au comptoir du Barantic. Enfin, la foule s'est éclatée entre les différents bars de nuit du quartier sur la promesse de se retrouver le vendredi matin. Quelque chose me dit que l'amphi devrait être plutôt... Clairsemé demain matin... Mais chuuuuut.../p pbr //p pVous pouvez également suivre le SSTIC sur Twitter (a href=http://twitter.com/search?q=%23sstic2010 hreflang=fr title=sstic2010 on Twitter#sstic2010/a, a href=http://twitter.com/search?q=%23sstic hreflang=fr title=sstic on Twitter#sstic/a) et Identi.ca (a href=http://identi.ca/search/notice?q=sstic2010 hreflang=fr title=Text search#sstic2010/a, a href=http://identi.ca/search/notice?q=sstic hreflang=fr title=Text search#sstic/a), ainsi que sur d'autres fils et blogs sur lesquels les billets commencent à fleurir çà et lànbsp;:/p ul lipar a href=http://pentester.fr/blog/index.php?post/2010/06/09/Et-c-est-reparSSTIC... hreflang=fr title=Et c#039;est reparSSTIC...Mat chez Hurukan/a./li lipar a href=http://www.n0secure.org/2010/06/sstic-2010-cest-parti.html hreflang=fr title=SSTIC 2010 c#039;est partiErwan sur n0secure/a avec un billet par interventionnbsp;!/li lipar M. Vanhunbsp;: ul lia href=http://vanhu.free.fr/blog/index.php?post/2010/06/09/SSTIC-2010%2C-Day-1 hreflang=fr title=SSTIC 2010, Day 1Jour 1/a./li lia href=http://vanhu.free.fr/blog/index.php?post/2010/06/10/SSTIC-2010%2C-Day-2 hreflang=fr title=SSTIC 2010, Day 2Jour 2/a./li /ul/li lipar a href=http://identi.ca/jpgaulier hreflang=fr title=jpgaulierJean-Philippe sur Identi.ca/a./li /ul div class=footnotesh4Notes/h4 p[a href=http://sid.rstack.org/rev-pnote-410-1 id=pnote-410-11/a] Robustesse, invisibilité, capacité, etc./p p[a href=http://sid.rstack.org/rev-pnote-410-2 id=pnote-410-22/a] Consolidated Information Assurance Picture/p p[a href=http://sid.rstack.org/rev-pnote-410-3 id=pnote-410-33/a] Dynamic Risk Assessment/p p[a href=http://sid.rstack.org/rev-pnote-410-4 id=pnote-410-44/a] Alert Standard Format/p p[a href=http://sid.rstack.org/rev-pnote-410-5 id=pnote-410-55/a] Remote Management and Control Protocol/p p[a href=http://sid.rstack.org/rev-pnote-410-6 id=pnote-410-66/a] RMCP Security-Extensions Protocol/p p[a href=http://sid.rstack.org/rev-pnote-410-7 id=pnote-410-77/a] Base Transceiver Station/p p[a href=http://sid.rstack.org/rev-pnote-410-8 id=pnote-410-88/a] Base Station Controler/p p[a href=http://sid.rstack.org/rev-pnote-410-9 id=pnote-410-99/a] Soit 58kEUR de bouffe/boisson.../p/div
2:59
En direct du SSTIC, le retour...
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/sstic.png alt=Logo SSTIC style=float:right; margin: 0 0 1em 1em; //p span class=lettrineC/span pontrairement à une habitude bien ancrée, j'ai décidé d'éclater ce compte-rendu du SSTIC en trois billets, un pour chaque jour, ou presque. À la relecture, j'ai en effet l'impression qu'un seul billet est déjà lourd à lire déjà à la fin de la première journée, donc si ça regroupe les trois.../p pVoici donc le retour sur la seconde journée, la plus chargée, que je mets rapidement en ligne avant d'attaquer le a href=http://sid.rstack.org/blog/index.php/412-en-direct-du-sstic-la-revanche hreflang=fr title=En direct du SSTIC, la revanche...troisième jour/a./p pstrong Jeudi 10 juin 2010 - Jour 2/strong/p pComme chaque année, le jeudi est la journée la plus chargée du SSTIC par la technicité des sujets abordés d'une part, et la durée du fait des rumps et du tant attendu social event d'autre part./p ul liemPresentation des résultats du a href=http://communaute.sstic.org/ChallengeSSTIC2010 hreflang=fr title=Challenge SSTIC 2010challenge/a/em par Raphaël Rigo, ANSSI, et solution par Arnaud Ébalard, EADS Innovation Works. Vous connaissez le a href=http://sid.rstack.org/blog/index.php/409-challenge-win hreflang=fr title=Challenge win!classement/a qui est en ligne depuis une semaine. Arnaud prend ensuite la parole pour présenter comment il a résolu le défi. Les huit solutions sont a href=http://communaute.sstic.org/ChallengeSSTIC2010 hreflang=fr title=Challenge SSTIC 2010disponibles en ligne/a. Je vous invite chaudement à aller les lire, c'est super intéressant et, pour ne rien gâter, ne se ressemblent pas. Raphaël reviendra préciser quelques points techniques du challenge... Et promouvoir, ô surprise, la a href=http://www.ssi.gouv.fr/site_rubrique27.html hreflang=fr title=L#039;ANSSI recrutecampagne de recrutement de l'ANSSI/a... Décidément ;)/li liema href=http://www.sstic.org/2010/presentation/Securite_plateforme_execution_Java/ hreflang=fr title=Sécurité de la plate-forme d#039;exécution Javanbsp;: limites et propositions d#039;améliorationsSécurité de la plate-forme d'exécution Javanbsp;: limites et propositions d'améliorations/a/em par Christian Brunette, David Pichardie, Frédéric Guihery, Goulven Guiheux et Guillaume Hiet, Amossys-INRIA-Silicom. La présentation est basée sur les résultats de a href=http://www.ssi.gouv.fr/site_article226.html hreflang=fr title=Sécurité et langage Javatravaux demandés par l'ANSSI sur la sécurité de Java/a. Ça commence par une présentation de l'architecture générale de l'environnement Java, des propriétés et des mécanismes de sécurité, avec un focus sur JPSA. On enchaîne avec des exemples de problèmes récurrent de sécurité dans les applications Javanbsp;: mauvaise utilisation des mécanismes fournis, ambiguités ou mécompréhension avec la bibliothèque standard, failles de la JVM elle-même. Les auteurs poursuivent avec des propositions pour améliorer la sécurité des applications Javanbsp;: guides de développement/configuration/déploiement, audit de la bibliothèque standard, limitation de la surface d'attaque avec par exemple de la modularité, l'application du contrôle d'accès et, gros morceau, travailler sur le code et les fonctionnalités fournies par la JVM pour la renforcer. On termine avec une proposition pour l'extension de la vérification de bytecode. Bonne présentation générale, pas technique mais synthétique et claire./li liema href=http://www.sstic.org/2010/presentation/Analyse_de_l_efficacite_du_service_fourni_par_une_IOMMU/ hreflang=fr title=Analyse de l#039;efficacité du service fourni par une IOMMUAnalyse de l'efficacité du service fourni par une IOMMU/a/em par Éric Lacombe, Fernand Lone Sang, Vincent Nicomette et Yves Deswarte, LAAS/CNRS. La présentation commence par la description des attaques DMA qu'une a href=http://en.wikipedia.org/wiki/IOMMU hreflang=en title=IOMMUIOMMU/a est censé prévenir. Vient ensuite une présentation de la a href=http://www.intel.com/technology/itj/2006/v10i3/2-io/7-conclusion.htm hreflang=en title=Intel® Virtualization Technology for Directed I/Otechnologie Intel VT-d/a qui fournit un service de traduction d'adresses pour les requêtes DMA permettant de contrôler l'accès à la mémoire par certains périphériques. Viennent deux catégories de vecteurs d'attaque. La première catégorie vise la reconfiguration de l'unité de traduction, lui permettant d'accéder à des zones de mémoire a priori interdites. La seconde catégorie vise le système d'entrées/sorties via les métadonnées fournies aux contrôleurs d'I/O en usurpant l'identité d'un périphérique. Une preuve de concept exploitant ce dernier vecteur est démontrée. Avec un scénario d'attaque visant à réaliser un ARP cache poisoning en injectant directement des trames ethernet dans la mémoire des cibles via son méchant 3vil iPod de n'hack3r./li liema href=http://www.sstic.org/2010/presentation/Peut_on_faire_confiance_aux_cartes_reseau/ hreflang=fr title=Quelques éléments en matière de sécurité des cartes réseauQuelques éléments en matière de sécurité des cartes réseau/a/em par Guillaume Valadon, Loic Duflot, Olivier Levillain et Yves-Alexis Perez, ANSSI. La présentation traite de failles dans le firmware des cartes réseau, en discutant de l'exploitation d'une a href=http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0104 hreflang=en title=CVE-2010-0104faille particulière des cartes réseau Broadcom/a qui touche le a href=http://en.wikipedia.org/wiki/Alert_Standard_Format hreflang=en title=Alert Standard Formatprotocole ASF/asup[a href=http://sid.rstack.org/pnote-411-1 id=rev-pnote-411-11/a]/sup avec en particulier les fonctionnalités de gestion distante fournies par RMCPsup[a href=http://sid.rstack.org/pnote-411-2 id=rev-pnote-411-22/a]/sup/RSPsup[a href=http://sid.rstack.org/pnote-411-3 id=rev-pnote-411-33/a]/sup. Ces flux d'administration sont traités directement par la carte, indépendamment de l'hôte et de son OS. Les auteurs présentent la a href=http://www.ssi.gouv.fr/site_article187.html hreflang=fr title=Peut-on encore faire confiance aux cartes réseau ?vulnérabilité qu'ils ont identifiée/a dans le traitement des messages RSP et les méthodes qu'ils ont utilisé pour comprendre le problème et l'exploiter, avec en particulier un debugger pour carte réseau qui sera démontré. La vulnérabilité et son exploitation sont décrites, et auraient bien été complètement démontrées si a href=http://fr.wikipedia.org/wiki/Loi_de_Murphy hreflang=fr title=Loi de MurphyMurphy/a ne s'en était pas mêlé. Dommage, d'autant que tout avait parfaitement fonctionné à a href=http://cansecwest.com/ hreflang=en title=CansecwestCansec/a fin mars :/ On termine avec quelques pistes de contre-mesures, comme ne pas utiliser ASF ;) Note intéressantenbsp;: si Broadcom semble avoir géré la vulnérabilité rapidement et produit un nouveau firmware dans le mois, les constructeurs ont mis plus de deux mois à le distribuer.../li liema href=http://www.sstic.org/2010/presentation/Honeynet_Project_en_2010/ hreflang=fr title=Honeynet Project en 2010Honeynet Project en 2010/a/em par Sébastien Tricaud, a href=http://www.honeynet.org/ hreflang=en title=Honeynet ProjectHoneynet Project/a. Le retour du come-back de la revanche des honeypots :) Sébastien, qui a été nommé CTO du Honeynet, nous présente un aperçu de la structure du projet, de sa philosophie, ses orientations et son positionnement sur des activités de recherche et la restitution au public des résultats, avec en particulier des a href=http://www.honeynet.org/project hreflang=en title=Projectsoutils/a et des a href=http://www.honeynet.org/papers hreflang=en title=Paperspapiers/a comme les fameux emKnow Your Enemies/em et les plus récents emKnow Your Tools/em. Suit une petite introduction à certains projets particuliers comme a href=http://nepenthes.carnivore.it/ hreflang=en title=NepenthesNepenthes/a/a href=http://dionaea.carnivore.it/ hreflang=en title=DionaeaDionaea/a qui vise à récupérer des malwares exploitant des failles connues et a href=http://code.google.com/p/phoneyc/ hreflang=en title=phoneycPhoneyC/a qui crawle le web pour récupérer du code malicieux. Un petit mot sur les a href=http://honeynet.org/challenges hreflang=en title=Challengeschallenges/a proposés et une invitation à aller résoudre le a href=http://honeynet.org/challenges/2010_4_voip hreflang=en title=Challenge 4 of the Forensic Challenge 2010 - VoIPchallenge du moment sur la VoIP/a. Le projet lance tous les ans pleins de projets, une vingtaine cette année, au a href=http://code.google.com/intl/fr/soc/ hreflang=en title=Google Summer of CodeSummer Google of Code/a. Pour le futur, en guise de conclusion, la mise en place d'une plate-forme d'échange de données et le développement de systèmes d'anonymisation des traces. Présentation sympathique, pour ceux qui s'interrogent sur les activités du Honeynet./li /ul pMiam time engaged. Retour à 14h30 pour la suite des hostilités./p ul liema href=http://www.sstic.org/2010/presentation/Securite_des_systemes_de_vote/ hreflang=fr title=La sécurité des systèmes de voteLa sécurité des systèmes de vote/a/em par a href=http://www.fconnes.org/fr/ hreflang=fr title=Frédéric ConnesFrédéric Connes/a, HSC. Un sujet polémique s'il en est. L'auteur commence par proposer quatre critères à réunir pour fournir un système de vote fiablenbsp;: disponibilité, intégrité, auditabilité et secret de vote. Aucun système actuel ne réunit ces quatre propriétés, d'où la recherche de protocoles permettant de fournir ces garanties. L'auteur propose d'introduire une référence indépendante. Première propositionnbsp;: double vote électronique et papier, avec comparaison des deux sur la base de recomptage papier aléatoires. Deuxième solutionnbsp;: fourniture d'un reçu de vote et publication sur un site web, mais pose des problèmes de complexité. L'auteur propose une troisième solution qui introduit une publication des votes pour garantir l'intégrité, tout en garantissant le secret du vote par le truchement d'une marque qui décorrèle l'identité du choix. L'électeur récupère un reçu lisant tous les choix de vote possibles. Sa propre marque se trouve en face de son choix. Les autres choix sont liés à des marques valides, liées par le passé à ces choix. Ce modèle préserverait le secret du choix de l'électeur et lui fournit sa propre marque, en face de son choix. Cela lui donnera aussi la possibilité de vérifier après publication les autres choix figurant sur son reçu. La génération de la marque est évidemment une étape cruciale, ainsi que la récupération des autres marques. Des solutions sont proposées, je vous invite à aller voir les actes pour les détails et réponses à diverses objections. Globalement, si le protocole a l'air de tenir la route, il se pose tout de même la question de la mise en #339;uvre de la vérification du vote qui nécessite la participation de tous les votants. Là, je rejoins l'a href=http://vanhu.free.fr/blog/index.php?post/2010/06/10/SSTIC-2010%2C-Day-2 hreflang=fr title=SSTIC 2010, Day 2avis un peu pessimiste de Vanhu/anbsp;: les gens ont déjà du mal à aller voter massivement, si en plus il est nécessaire que chacun vérifie son votre individuellement... Et je ne parle pas du problème de l'implémentation... En tout cas, il faut saluer l'approche ouverte et difficile de proposer un protocole, de plus intéressant, sur un sujet aussi sensible. Chapeau./li liema href=http://www.sstic.org/2010/presentation/Applications_Facebook_Quels_Risques_pour_l_Entreprise/ hreflang=fr title=Applications Facebooknbsp;: quels risques pour l#039;entreprise ?Applications Facebooknbsp;: quels risques pour l'entreprise ?/a/em par Alban Ondrejeck, Francois-Xavier Bru et Guillaume Fahrner. On commence par une description du modèle d'application Facebook et une discussion sur la vulnérabilité des applications et leurs capacités de nuisance, en particulier quand elles sont malveillantes. La stratégie d'attaque proposée consiste à fournir une application malveillante qui va réaliser à l'insu de ses utilisateurs des actions plus ou moins sympa. La diffusion reposera sur d'une part la création de profils fictifs et d'autre part sur la promotion automatique de l'application à l'installation sur, par exemple, le mur de l'utilisateur pour créer un effet viral. Les expériences réalisées par les auteurs sont intéressantes, en particulier la courbe d'évolution du nombre d'utilisateurs qui installent l'application. Côté Facebook, aucun contrôle a priori, par contre, retrait de l'application suite à des plaintes d'utilisateurs. Par contre, l'application pouvait être remise en ligne immédiatement sous un nom différent... On finit par des recommandations qui tournent essentiellement autour de la formation. Belle démonstration de diffusion virale de code malicieux via Facebook./li liema href=http://www.sstic.org/2010/presentation/Projet_OpenBSC/ hreflang=fr title=Projet OpenBSCProjet OpenBSC/a/em par Harald Welte. Bien que les protocoles soient publics, GSM/3G est un sujet très peu abordé par les étude sécurité du fait du monde très fermé qu'est l'industrie de la téléphonie. L'accès au hardware, aux logiciels et à la documentation est à un prix prohibitif quand il est seulement possible. Bref, GSM, c'est certes la voix, mais c'est également un transport pour pleins d'autres applications relevant du monitoring/administration/maintenance d'équipements distants et du transfert d'informations. La sécurité GSM/3G est en retard d'une bonne dizaine d'année par rapport aux réseaux IP traditionnels, alors que les conséquences sont énormes considérant la pénétration de la technologie dans de nombreux domaines. Le projet a href=http://openbsc.osmocom.org/ hreflang=en title=OpenBSCOpenBSC/a est de fournir le matériel nécessaire à l'étude et l'amélioration de la sécurité des infrastructure GSM/3G, avec en particulier les problèmes de spécifications, d'implémentation et d'opération. Le problème peut être pris du côté du téléphone, mais cela pose pleins de difficultés, en particulier pour faire ce qu'on veut du module GSM. Il peut aussi être pris du côté du réseau qui semble nettement plus simple à appréhender, et là que se situe OpenBSC qui propose une implémentation libre d'un réseau GSM qui s'expose à une BTSsup[a href=http://sid.rstack.org/pnote-411-4 id=rev-pnote-411-44/a]/sup comme un BSCsup[a href=http://sid.rstack.org/pnote-411-5 id=rev-pnote-411-55/a]/sup via une interface A-bis. Il se trouve qu'au-delà des travaux de sécurité prévus à l'origine, un vingtaine d'OpenBSC se trouvent être utilisés sur de vrais réseaux GSM. Les derniers slides posent pleins de problèmes connus ou constater pendant le développement de l'outil avec pas mal de soucis de vie privée à la clé. Quelques considérations sur le fuzzing GSM, en particulier par insertion de trafic sur le lien A-bis entre la BTS et et le BSC. En conclusion, l'auteur pointe le manque de sécurité et de robustesse des implémentations GSM disponibles sur le marché et invite tout le monde à s'intéresser au GSM parce que bon... TCP/IP, c'est emso last decade/em ;) Du lourd, ça fait parfois peur.../li /ul pEt maintenant, c'est l'heure de la fameuse séance de rumpsnbsp;! Je vous livre les titres, auteurs et éventuels commentaires à l'arrache, donc pas forcément de manière exhaustive. Je complèterai plus tard si nécessaire./p ul liemRump session/em ul liemKesse SSTIC/em par le CO de la conférence. Des chiffres sur l'organisation du SSTICnbsp;: 450 inscrits, en 25h, 358 badges imprimés à l'avance, 12 secondes pour le scan à l'entrée, 27 femmes, 11 CO et 19 CP, association loi 1901, 77kEUR de dépenses vs 74kEUR de recettes, 34% du budget pour le emSocial Event/em, 30% pour le RU et 12% pour les pausessup[a href=http://sid.rstack.org/pnote-411-6 id=rev-pnote-411-66/a]/sup, 467 pages dans les actes, 22 soumissions dont 13 retenues./li liemRetex sur pentest Blackberry Enterprise Server/em, Ary Kokos. Trois compromissions complètes de BES en pentest via des failles triviales. Un mot de passe par défaut MS SQL permet d'enregistrer un compte admin qu'on utilise pour déclencher des fonctionnalité de synchro et de journalisation pour récupérer des informations, déployer des applications sur les terminaux, faire du DoS, bouncer les emails au niveau du serveur pour les espionner./li liem1,$s/blonde/geek/g/em, Renaud Bidou qui bâche cher sur le cloud et certains flames sur les WAF... Y'en a un qui prend, ça solde ses comptes en live.../li liemTiming attack en pause café sur les cartes à puce pour machines automatiques/em, Florian Gleis et Pierre Capillon. Une carte à puce pour acheter du café, avec un système mal foutu au niveau de l'enchainement des opérations pour la gestion de la emfidélité/em, laquelle est incrémentée *avant* de débiter la carte du prix du café. Du coup, ça fait pleins de cafés gratis./li liemAnalyse de mémoire flash de téléphone portable/em, Christophe Grenier. Challenge d'analyse de la mémoire d'un téléphone Sony avec un scénario alambiqué et deux dumps mémoire. Quelques coups de Photorec patcher pour les originalités du a href=http://en.wikipedia.org/wiki/Wear_leveling hreflang=en title=Wear LevelingWear Leveling/a plus tard, c'est fini.../li liema href=http://www.netglub.org/ hreflang=en title=NetglubNetglub/a, Really Open Source Information Gathering/emnbsp;: outil libre de data mining, extraction d'information et de knowledge management sur un principe distribué. Démo sympa./li lia href=http://www.freesec.com/ hreflang=fr title=Free SecurityLaurent Dupuy/a qui présente deux projets. Le premier est un spider appelé Bubulle qui nourrit le moteur de recherche QSWX. Le second est SecurityGarden, une ferme d'outils à la Packetstorm, mais green ;) Le tout en ligne fin de semaine prochaine normalement.../li liemChallenge BOSS/em, Caroline Fontaine. Le BOSS est un challenge autour de la stéganographie dont le but est de retrouver sur un lot de 1000 images les 500 qui contiennent un message. Le but est de stimuler la recherche en stéganologie./li liemDESIIR/em, Pascal Sitbon, Arnaud Tarrago et Pierre Nguyen. Dispositif d'échange sécurisé via USB, évolution du a href=http://actes.sstic.org/SSTIC09/Rump2009/SSTIC09-Rump-Tarrago-Sitbon-DESIIR.pdf hreflang=fr title=DESIIRmême projet présenté l'an dernier en rump/a./li liemFiabilisation d'outils/em, Aurélien Bordes. Butnbsp;: contourner des cas où pwdump ne fonctionne pas. Solutionnbsp;: abus des fonctionnalités de réplication de l'AD par spoofing pour récupérer les bases d'utilisateur. Démo à l'appui. Quotenbsp;: eml'AD, c'est un peu la déchetterie du système d'information/em :)/li liema href=http://www.decalage.info/exefilter hreflang=fr title=ExeFilter - un framework libre pour filtrer les fichiers et les contenus actifsExeFilter/a contre les méchants PDF/em, Philippe Lagadec. Une démo d'ExeFilter sur du filtrage/nettoyage de documents PDF vérolés./li liemWeblogic for fun amp;amp; profit/em. Possibilité d'attaquer anonymement la a href=http://en.wikipedia.org/wiki/Java_Naming_and_Directory_Interface hreflang=en title=Java Naming and Directory InterfaceJNDI/a de l'outil via son protocole propriétaire T3. On voit bien le but du jeu, pour les moyens, c'était un peu rapide.../li liemQuand les intruseurs font du monitoring temps réel/em, Denis Ducamp. La présentation d'un projet, a href=http://www.ikare-monitoring.com/ hreflang=en title=IkareIkare/a, sur le maintien du niveau de sécurité suite à des tests d'intrusion en testant régulièrement des sets de propriétés réduits./li liemRDP 2 TCP/em Nicolas Collignon, Romain Raboin. Encapsulation de TCP sur RDP vers un Terminal Server et rebond sur le réseau interne. Démo du PoC, codé à l'arrache pendant le voyage vers Rennes, qui foire au premier essai. Retour dans quelques minutes pour la fin.../li liemOracle a new hop/em. Démo de tunneling à travers une base Oracle à base d'injection SQL puis élévationd e privilèges via PL-SQL pour faire des requêtes HTTP. J'adore :)/li liema href=http://www.secdev.org/projects/scapytain/ hreflang=en title=ScapytainScapytain/a/em, Philippe Biondi. Un slideware en Gimp pour présenter une framework de gestion de campagnes de tests à base de a href=http://www.secdev.org/projects/scapy/ hreflang=en title=ScapyScapy/a./li liemRDP 2 TCP, le retour de la démo foirée/em. Et... bingo, ça marche \o//li /ul/li /ul pEt c'est la fin. Direction le emSocial Event/em qui s'est déroulé, comme l'an dernier, au a href=http://www.lecoq-gadby.com/ hreflang=fr title=Le Coq GadbyCoq Gadby/a. Évènement une nouvelle fois réussi grâce à une météo certes maussade mais clémente côté précipitations, un ambiance très décontractée, un cadre agréable et une cuisine sympathique. Ensuite, ce fut le cortège vers la Rue de la Soif, avec une grosse concentration de SSTICers collés au comptoir du Barantic. Enfin, la foule s'est éclatée entre les différents bars de nuit du quartier sur la promesse de se retrouver le vendredi matin. Quelque chose me dit que l'amphi devrait être plutôt... Clairsemé demain matin... Mais chuuuuut.../p div class=footnotesh4Notes/h4 p[a href=http://sid.rstack.org/rev-pnote-411-1 id=pnote-411-11/a] Alert Standard Format/p p[a href=http://sid.rstack.org/rev-pnote-411-2 id=pnote-411-22/a] Remote Management and Control Protocol/p p[a href=http://sid.rstack.org/rev-pnote-411-3 id=pnote-411-33/a] RMCP Security-Extensions Protocol/p p[a href=http://sid.rstack.org/rev-pnote-411-4 id=pnote-411-44/a] Base Transceiver Station/p p[a href=http://sid.rstack.org/rev-pnote-411-5 id=pnote-411-55/a] Base Station Controler/p p[a href=http://sid.rstack.org/rev-pnote-411-6 id=pnote-411-66/a] Soit 58kEUR de bouffe/boisson.../p/div
June 10, 2010
10:44
En direct du SSTIC...
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/sstic.png alt=Logo SSTIC style=float:right; margin: 0 0 1em 1em; //p span class=lettrineC/span p'est parti. La a href=http://www.sstic.org/2010/ hreflang=fr title=SSTIC 2010huitième édition du SSTIC/a vient d'ouvrir ses portes, la salle commence à se remplir doucement./p pComme les années précédentes, je vais me remettre à l'exercice du rendu des talks en live. Et si je n'abandonne pas ce qui me reste de fierté d'ici la fin de la semaine, je parviendrai peut-être à ne pas céder à la tentation de copier/coller le a href=http://communaute.sstic.org/CompteRenduCollaboratif hreflang=fr title=Environnement de travail collaboratifcompte-rendu collaboratif/a lancé sur a href=http://wave.google.com/about.html hreflang=en title=Google WaveGoogle Wave/a. Ceci dit, pour le moment, il n'y a pas grand chose à aller pomper :)/p pstrongMardi 8 juin 2010 - Jour 0/strong/p pArrivé à Rennes vers 18h, hôtel et direction le a href=http://www.aubureaurennes.fr/ hreflang=fr title=Au BureauBureau/a pour un repas emen famille/em. Et puis l'inévitable détour par la rue de la soif. Ça fait partie des choses qui ne changent pas au SSTIC./p pstrongMercredi 9 juin 2010 - Jour 1/strong/p pLa conférence commence à l'heure, mais dans le noir. C'est un truc nouveau ça... Avec les badges à imprimer soi-même, on sent que 2010 est une année de grand changement ;)/p ul liemSystèmes d'informationnbsp;: les enjeux et les défis pour le renseignement d'origine technique/em par Bernard Barbier, a href=http://www.defense.gouv.fr/dgse hreflang=fr title=Direction Générale de la Sécurité ExtérieureDGSE/a. Le directeur technique de cet organe de renseignement nous livre un panorama des activités de renseignement technique et quelques réflexion sur les enjeux de la sécurité informatique. En dehors de comparaisons entre le nombre de bonshommes aux US et en France, quelques perspectives historiques et des informations relativement floues sur les moyens à disposition, on a surtout eu droit à des banalités. Dommage, je suis sûr qu'il aurait pu raconter pleins de trucs nettement plus intéressants. Un poil de réflexion sur la nécessité de développer des capacitées de lutte informatique offensive, mais rien de transcendant. J'aurais peut-être dû en profiter pour récupérer de la soirée d'hier... Ah si, y'avait une info quand mêmenbsp;: la DGSE veut recruter 100 personnes par an. Va y avoir de la concurrence avec l'ANSSI...br /strongUpdate/strongnbsp;: Suite à quelques discussions que j'ai eu durant la pause, je tiens à préciser qu'il est effectivement très louable que la DGSE soit venu faire un talk au SSTIC, avec ce type de contenu que certains ont pu, je n'en doute pas, trouver intéressant. Néanmoins, si le sujet est effectivement intéressant, j'ai tout de même trouvé le contenu assez conforme à ce qui se dit déjà sur le sujet, d'où la déception. Vala, j'espère que c'est plus clair./li liema href=http://www.sstic.org/2010/presentation/Tatouage_imagerie_medicale/ hreflang=fr title=Tatouage de données d#8217;imagerie médicalenbsp;: applications et méthodesTatouage de données d#8217;imagerie médicalenbsp;: applications et méthodes/a/em par a href=http://public.enst-bretagne.fr/~gcoatrie/ hreflang=fr title=Gouenou CoatrieuxGouenou Coatrieux/a de a href=http://www.telecom-bretagne.eu/ hreflang=fr title=Télécom BretagneTélécom Bretagne/a. Une présentation sur, comme son titre l'indique, les applications possibles du watermarking pour la protection du contenu multimédia de santé. En l'occurence, il s'agit essentiellement de l'insertion de méta-données pour assurer l'authenticité des informations reçuesnbsp;: contrôle d'intégrité, détection et localisation des anomalies sur de l'imagerie, traçabilité des données, protection du dossier patient, etc. On aura aussi droit à une petite partie sur l'enrichissement des données médicales bien que ne relevant pas vraiment de la sécurité. S'en suivra une discussion sur les méthodes de tatouage en fonction des propriétés recherchéessup[a href=http://sid.rstack.org/pnote-410-1 id=rev-pnote-410-11/a]/sup et des données manipulées, avec un focus sur la perceptibilité du tatouage d'images. Avec en sus pas mal d'informations sur les techniques d'imagerie médicale. Une très bonne présentation pour découvrir les techniques et problématiques de watermarking dans un contexte particulier. Pour les aspects sécurité, je n'ai pas trouvé d'intérêt évident par rapport à un système de signature classique.br /strongUpdate/strongnbsp;: en fait, si, y'a un vrai intérêt, faut que je complète/modifie les entrées à updater quand j'aurais le temps.../li liema href=http://www.sstic.org/2010/presentation/CyberDefense/ hreflang=fr title=Visualisation et analyse de risque dynamique pour la cyber-défenseVisualisation et analyse de risque dynamique pour la cyber-défense/a/em par Philippe Lagadec, a href=http://www.nc3a.nato.int/ hreflang=fr title=NATO C3 AgencyOTAN/NC3A/a. Introduction sur l'approche cyber-défense de l'OTAN avec une jolie variation de a href=http://fr.wikipedia.org/wiki/Roue_de_Deming hreflang=fr title=Roue de Demingroue de Deming/a. Ça manquait... Philippe présente deux outils, démos à l'appui. Le premier est un outil de visualisation, CIAPsup[a href=http://sid.rstack.org/pnote-410-2 id=rev-pnote-410-22/a]/sup, a été développé à des fins d'aide à la décision. Pas mal d'informations accessibles et pleins de vue disponibles, avec a href=http://earth.google.fr/ hreflang=fr title=Google EarthGoogle Earth/a inside. Le second, DRAsup[a href=http://sid.rstack.org/pnote-410-3 id=rev-pnote-410-33/a]/sup, est un outil d'analyse de risque temps réel et de contre-mesure. Peu de détails techniques globalement, ça faisait un peu presentation commerciale, mais sans rien à vendre ;) Sinon montrer des travaux de Ramp;D de l'OTAN./li liema href=http://www.sstic.org/2010/presentation/CASTAFIOR_Detection_automatique_de_tunnels_illegitimes_par_analyse_statistique/ hreflang=fr title=CASTAFIORnbsp;: détection automatique de tunnels illégitimes par analyse statistiqueCASTAFIORnbsp;: détection automatique de tunnels illégitimes par analyse statistique/a/em par Fabien Allard et Mathieu Morel, Thales. On a donc un outil de détection des tunnels cachés. Une grosse partie très intéressante sur les hypothèses et la théorie sous-jacente. Grosso modo, ils génèrent par apprentissage des empreintes sur une dizaine de paramètres comme la répartition temporelle et volumétrique de différents protocoles. Partant de l'hypothèse que l'encapsulation du tunnel altère peu ces caractéristiques, la reconnaissance des protocoles encapsulés se fait par une classification basée sur ces empreintes précalculées. Les résultats expérimentaux présentés sont intéressants, avec 96% de taux de classification correcte, et des faux positifs qui tournent sous les 5%. Avec des temps de calcul en dessous de la milliseconde et un nombre de paquets nécessaires assez bas. La question de l'impact de l'algorithme de chiffrement et de la compression sur le résultat a été laissée de côté. Une bonne question à la fin sur la reconnaissance d'un tunnel IP avec pas mal de protocoles concurrents encapsulés./li /ul pPause déjeuner.../p ul liema href=http://www.sstic.org/2010/presentation/Reflexions_pour_un_plan_d_action_contre_les_botnets/ hreflang=fr title=Réflexions pour un plan d#039;action contre les botnetsRéflexions pour un plan d'action contre les botnets/a/em par Éric Freyssinet, Gendarmerie Nationale. Après une présentation des activités de la gendarmerie en matière de criminalité informatique, on passe au sujet principal de la présentation. Mise en bouche par un slide de généralités, suivie d'un panorama d'affaires plus ou moins récentesnbsp;: les ISP véreux comme a href=http://arstechnica.com/security/news/2008/09/bad-seed-isp-atrivo-cut-off-from-rest-of-the-internet.ars hreflang=en title=Bad seed ISP Atrivo cut off from rest of the InternetAtrivo/a et a href=http://en.wikipedia.org/wiki/McColo hreflang=en title=McColoMcColo/a, la fermeture de Waldedac par Microsoft, le modèle de distribution de a href=http://en.wikipedia.org/wiki/Gumblar hreflang=en title=GumblarGumblar/a et le démantèlement de a href=http://defintel.blogspot.com/2009/10/mariposa-botnet-analysis.html hreflang=en title=Mariposa Botnet AnalysisMariposa/a. Pour combattre les botnets, l'auteur propose des actions possibles ciblant toutes les populations impliquéesnbsp;: attaquants, victimes, opérateurs, éditeurs, chercheurs, etc. Il nous parlera de sensibilisation, de mutualisation des efforts de détection et partage des données, réaction coordonnée des différents acteurs, etc. Un a href=http://www.interpol.int/Public/TechnologyCrime/WorkingParties/default.asp hreflang=en title=IT Crime - Regional Working Partiesgroupe de travail au niveau d'Interpol/a est donné en exemple. Côté évolutions législatives, on citera des provisions pour bloquer une propagation, autoriser la prise de contrôle d'un botnet, taper sur le spam en étendant la LCEN, etc. choses qui ne seraient pas très simples avec l'arsenal juridique actuel./li liema href=http://www.sstic.org/2010/presentation/virtdbg/ hreflang=fr title=virtdbg: un débogueur noyau utilisant la virtualisation matériellevirtdbg: un débogueur noyau utilisant la virtualisation matérielle/a/em par Christophe Devine et Damien Aumaitre, a href=http://esec.fr.sogeti.com/blog/index.php hreflang=fr title=BLOG Équipe Ramp;D (ESEC)SOGETI ESEC/a. Ce projet est de l'absence de débugger ring0 adapté à l'analyse de fonctionnalités de Windows 7 comme PatchGuard et les systèmes de DRM. Du fait de grosses limitations sur l'injection de code dans le noyau, en particulier parce que PatchGuard est là pour l'empêcher, le choix se porte sur la virtualisation matérielle avec un debugger sur hyperviseur. La grosse partie du milieu porte sur l'implémentation à base de board FPGA et du code qui reprend les a href=http://www.sstic.org/2008/presentation/Voyage_au_coeur_de_la_memoire/ hreflang=fr title=Voyage au coeur de la mémoiretravaux présentés par Damien en 2008/a. Tout est largement décrit dans les actes. Donc, RTFM. Quand ils seront en ligne. Forcément. Une ch'tite démo, et hop. Du bon boulot./li liema href=http://www.sstic.org/2010/presentation/Analyse_de_programme_par_tracage/ hreflang=fr title=Analyse de programme par traçageAnalyse de programme par traçage/a/em par Daniel Reynaud, Jean-Yves Marion et Wadie Guizani. J'ai malheureusement perdu un peu le fil, mais il semble que ça parle d'analyser des blobs binaires en s'appuyant sur des traces mémoire d'exécution. L'auteur propose un outil appelé a href=http://code.google.com/p/tartetatintools/ hreflang=en title=tartetatintoolsTraceSurfer/a qui s'accompagne d'un plugin IDA pour traiter les traces générées. Il permet d'y importer des traces, permettant typiquement de débloquer un désassemblage IDA, comme montré en démo. Une étude a été faite sur un gros set de malware, avec des résultats sympas qui sont dans les actes. Présentation claire est intéressante, mais bon, faut suivre./li liema href=http://www.sstic.org/2010/presentation/Interessez_vous_au_droit/ hreflang=fr title=Intéressez vous au droit... avant que le droit ne s#039;intéresse à vousIntéressez vous au droit... avant que le droit ne s'intéresse à vous/a/em par Éric Barbry, Cabinet Alain Bensoussan Avocats. Présentation très dynamique sous le signe du ema href=http://www.vie-publique.fr/decouverte-institutions/citoyen/citoyennete/definition/devoirs-definition/que-signifie-nul-n-est-cense-ignorer-loi.html hreflang=fr title=Que signifie quot;nul n#8217;est censé ignorer la loiquot; ?nul n'est censé ignorer la loi/a/em... L'auteur nous explique que le DSI/RSSI a un métier style homme orchestre à multiples facettes qui engage sa responsabilité sur de nombreux terrains, ce qui le place devant un nombre impressionnant d'écueils juridiques. C'est très vivant, c'est drôle, ça part dans tous les sens et ça tape sur tout le mondenbsp;: la surveillance, Facebook, les réseaux sociaux, le emCloud/em, les clauses contractuelles, le droit à l'image, l'usurpation d'identité, le droit d'auteur et même le phishing... De manière plus sérieuse, il insiste sur la responsabilité au titre des fautes et/ou des infractions au code pénal qu'on comment, mais aussi au titre de la négligence fautive. Et on a contexte juridique chargénbsp;: LSQ, LSI, LSF, LCEN, HADOPI, loi sur les jeux d'argent, etc. Avec 2010 comme millésime particulièrement vivant... Présentation intéressante qui met le doigt sur les risques juridiques qui se profilent pour les internautes en général et l'entreprise en particulier avec les lois passées dernièrement ou à venir dans les prochains mois et qui propose quelques pistes d'outillage juridique en conclusion. Un intermède non technique particulièrement divertissant./li /ul pFin de journée, miam, glou et dodo.../p pstrong Jeudi 10 juin 2010 - Jour 2/strong/p pComme chaque année, le jeudi est la journée la plus chargée du SSTIC par la technicité des sujets abordés d'une part, et la durée du fait des rumps et du tant attendu social event d'autre part./p ul liemPresentation des résultats du a href=http://communaute.sstic.org/ChallengeSSTIC2010 hreflang=fr title=Challenge SSTIC 2010challenge/a/em par Raphaël Rigo, ANSSI, et solution par Arnaud Ébalard, EADS Innovation Works. Vous connaissez le a href=http://sid.rstack.org/blog/index.php/409-challenge-win hreflang=fr title=Challenge win!classement/a qui est en ligne depuis une semaine. Arnaud prend ensuite la parole pour présenter comment il a résolu le défi. Les huit solutions sont a href=http://communaute.sstic.org/ChallengeSSTIC2010 hreflang=fr title=Challenge SSTIC 2010disponibles en ligne/a. Je vous invite chaudement à aller les lire, c'est super intéressant et, pour ne rien gâter, ne se ressemblent pas. Raphaël reviendra préciser quelques points techniques du challenge... Et promouvoir, ô surprise, la a href=http://www.ssi.gouv.fr/site_rubrique27.html hreflang=fr title=L#039;ANSSI recrutecampagne de recrutement de l'ANSSI/a... Décidément ;)/li liema href=http://www.sstic.org/2010/presentation/Securite_plateforme_execution_Java/ hreflang=fr title=Sécurité de la plate-forme d#039;exécution Javanbsp;: limites et propositions d#039;améliorationsSécurité de la plate-forme d'exécution Javanbsp;: limites et propositions d'améliorations/a/em par Christian Brunette, David Pichardie, Frédéric Guihery, Goulven Guiheux et Guillaume Hiet, Amossys-INRIA-Silicom. La présentation est basée sur les résultats de a href=http://www.ssi.gouv.fr/site_article226.html hreflang=fr title=Sécurité et langage Javatravaux demandés par l'ANSSI sur la sécurité de Java/a. Ça commence par une présentation de l'architecture générale de l'environnement Java, des propriétés et des mécanismes de sécurité, avec un focus sur JPSA. On enchaîne avec des exemples de problèmes récurrent de sécurité dans les applications Javanbsp;: mauvaise utilisation des mécanismes fournis, ambiguités ou mécompréhension avec la bibliothèque standard, failles de la JVM elle-même. Les auteurs poursuivent avec des propositions pour améliorer la sécurité des applications Javanbsp;: guides de développement/configuration/déploiement, audit de la bibliothèque standard, limitation de la surface d'attaque avec par exemple de la modularité, l'application du contrôle d'accès et, gros morceau, travailler sur le code et les fonctionnalités fournies par la JVM pour la renforcer. On termine avec une proposition pour l'extension de la vérification de bytecode. Bonne présentation générale, pas technique mais synthétique et claire./li liema href=http://www.sstic.org/2010/presentation/Analyse_de_l_efficacite_du_service_fourni_par_une_IOMMU/ hreflang=fr title=Analyse de l#039;efficacité du service fourni par une IOMMUAnalyse de l'efficacité du service fourni par une IOMMU/a/em par Éric Lacombe, Fernand Lone Sang, Vincent Nicomette et Yves Deswarte, LAAS/CNRS. La présentation commence par la description des attaques DMA qu'une a href=http://en.wikipedia.org/wiki/IOMMU hreflang=en title=IOMMUIOMMU/a est censé prévenir. Vient ensuite une présentation de la a href=http://www.intel.com/technology/itj/2006/v10i3/2-io/7-conclusion.htm hreflang=en title=Intel® Virtualization Technology for Directed I/Otechnologie Intel VT-d/a qui fournit un service de traduction d'adresses pour les requêtes DMA permettant de contrôler l'accès à la mémoire par certains périphériques. Viennent deux catégories de vecteurs d'attaque. La première catégorie vise la reconfiguration de l'unité de traduction, lui permettant d'accéder à des zones de mémoire a priori interdites. La seconde catégorie vise le système d'entrées/sorties via les métadonnées fournies aux contrôleurs d'I/O en usurpant l'identité d'un périphérique. Une preuve de concept exploitant ce dernier vecteur est démontrée. Avec un scénario d'attaque visant à réaliser un ARP cache poisoning en injectant directement des trames ethernet dans la mémoire des cibles via son méchant 3vil iPod de n'hack3r./li liema href=http://www.sstic.org/2010/presentation/Peut_on_faire_confiance_aux_cartes_reseau/ hreflang=fr title=Quelques éléments en matière de sécurité des cartes réseauQuelques éléments en matière de sécurité des cartes réseau/a/em par Guillaume Valadon, Loic Duflot, Olivier Levillain et Yves-Alexis Perez, ANSSI. La présentation traite de failles dans le firmware des cartes réseau, en discutant de l'exploitation d'une a href=http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0104 hreflang=en title=CVE-2010-0104faille particulière des cartes réseau Broadcom/a qui touche le a href=http://en.wikipedia.org/wiki/Alert_Standard_Format hreflang=en title=Alert Standard Formatprotocole ASF/asup[a href=http://sid.rstack.org/pnote-410-4 id=rev-pnote-410-44/a]/sup avec en particulier les fonctionnalités de gestion distante fournies par RMCPsup[a href=http://sid.rstack.org/pnote-410-5 id=rev-pnote-410-55/a]/sup/RSPsup[a href=http://sid.rstack.org/pnote-410-6 id=rev-pnote-410-66/a]/sup. Ces flux d'administration sont traités directement par la carte, indépendamment de l'hôte et de son OS. Les auteurs présentent la a href=http://www.ssi.gouv.fr/site_article187.html hreflang=fr title=Peut-on encore faire confiance aux cartes réseau ?vulnérabilité qu'ils ont identifiée/a dans le traitement des messages RSP et les méthodes qu'ils ont utilisé pour comprendre le problème et l'exploiter, avec en particulier un debugger pour carte réseau qui sera démontré. La vulnérabilité et son exploitation sont décrites, et auraient bien été complètement démontrées si a href=http://fr.wikipedia.org/wiki/Loi_de_Murphy hreflang=fr title=Loi de MurphyMurphy/a ne s'en était pas mêlé. Dommage, d'autant que tout avait parfaitement fonctionné à a href=http://cansecwest.com/ hreflang=en title=CansecwestCansec/a fin mars :/ On termine avec quelques pistes de contre-mesures, comme ne pas utiliser ASF ;) Note intéressantenbsp;: si Broadcom semble avoir géré la vulnérabilité rapidement et produit un nouveau firmware dans le mois, les constructeurs ont mis plus de deux mois à le distribuer.../li liema href=http://www.sstic.org/2010/presentation/Honeynet_Project_en_2010/ hreflang=fr title=Honeynet Project en 2010Honeynet Project en 2010/a/em par Sébastien Tricaud, a href=http://www.honeynet.org/ hreflang=en title=Honeynet ProjectHoneynet Project/a. Le retour du come-back de la revanche des honeypots :) Sébastien, qui a été nommé CTO du Honeynet, nous présente un aperçu de la structure du projet, de sa philosophie, ses orientations et son positionnement sur des activités de recherche et la restitution au public des résultats, avec en particulier des a href=http://www.honeynet.org/project hreflang=en title=Projectsoutils/a et des a href=http://www.honeynet.org/papers hreflang=en title=Paperspapiers/a comme les fameux emKnow Your Enemies/em et les plus récents emKnow Your Tools/em. Suit une petite introduction à certains projets particuliers comme a href=http://nepenthes.carnivore.it/ hreflang=en title=NepenthesNepenthes/a/a href=http://dionaea.carnivore.it/ hreflang=en title=DionaeaDionaea/a qui vise à récupérer des malwares exploitant des failles connues et a href=http://code.google.com/p/phoneyc/ hreflang=en title=phoneycPhoneyC/a qui crawle le web pour récupérer du code malicieux. Un petit mot sur les a href=http://honeynet.org/challenges hreflang=en title=Challengeschallenges/a proposés et une invitation à aller résoudre le a href=http://honeynet.org/challenges/2010_4_voip hreflang=en title=Challenge 4 of the Forensic Challenge 2010 - VoIPchallenge du moment sur la VoIP/a. Le projet lance tous les ans pleins de projets, une vingtaine cette année, au a href=http://code.google.com/intl/fr/soc/ hreflang=en title=Google Summer of CodeSummer Google of Code/a. Pour le futur, en guise de conclusion, la mise en place d'une plate-forme d'échange de données et le développement de systèmes d'anonymisation des traces. Présentation sympathique, pour ceux qui s'interrogent sur les activités du Honeynet./li /ul pMiam time engaged. Retour à 14h30 pour la suite des hostilités./p ul liema href=http://www.sstic.org/2010/presentation/Securite_des_systemes_de_vote/ hreflang=fr title=La sécurité des systèmes de voteLa sécurité des systèmes de vote/a/em par a href=http://www.fconnes.org/fr/ hreflang=fr title=Frédéric ConnesFrédéric Connes/a, HSC. Un sujet polémique s'il en est. L'auteur commence par proposer quatre critères à réunir pour fournir un système de vote fiablenbsp;: disponibilité, intégrité, auditabilité et secret de vote. Aucun système actuel ne réunit ces quatre propriétés, d'où la recherche de protocoles permettant de fournir ces garanties. L'auteur propose d'introduire une référence indépendante. Première propositionnbsp;: double vote électronique et papier, avec comparaison des deux sur la base de recomptage papier aléatoires. Deuxième solutionnbsp;: fourniture d'un reçu de vote et publication sur un site web, mais pose des problèmes de complexité. L'auteur propose une troisième solution qui introduit une publication des votes pour garantir l'intégrité, tout en garantissant le secret du vote par le truchement d'une marque qui décorrèle l'identité du choix. L'électeur récupère un reçu lisant tous les choix de vote possibles. Sa propre marque se trouve en face de son choix. Les autres choix sont liés à des marques valides, liées par le passé à ces choix. Ce modèle préserverait le secret du choix de l'électeur et lui fournit sa propre marque, en face de son choix. Cela lui donnera aussi la possibilité de vérifier après publication les autres choix figurant sur son reçu. La génération de la marque est évidemment une étape cruciale, ainsi que la récupération des autres marques. Des solutions sont proposées, je vous invite à aller voir les actes pour les détails et réponses à diverses objections. Globalement, si le protocole a l'air de tenir la route, il se pose tout de même la question de la mise en #339;uvre de la vérification du vote qui nécessite la participation de tous les votants. Là, je rejoins l'a href=http://vanhu.free.fr/blog/index.php?post/2010/06/10/SSTIC-2010%2C-Day-2 hreflang=fr title=SSTIC 2010, Day 2avis un peu pessimiste de Vanhu/anbsp;: les gens ont déjà du mal à aller voter massivement, si en plus il est nécessaire que chacun vérifie son votre individuellement... Et je ne parle pas du problème de l'implémentation... En tout cas, il faut saluer l'approche ouverte et difficile de proposer un protocole, de plus intéressant, sur un sujet aussi sensible. Chapeau./li liema href=http://www.sstic.org/2010/presentation/Applications_Facebook_Quels_Risques_pour_l_Entreprise/ hreflang=fr title=Applications Facebooknbsp;: quels risques pour l#039;entreprise ?Applications Facebooknbsp;: quels risques pour l'entreprise ?/a/em par Alban Ondrejeck, Francois-Xavier Bru et Guillaume Fahrner. On commence par une description du modèle d'application Facebook et une discussion sur la vulnérabilité des applications et leurs capacités de nuisance, en particulier quand elles sont malveillantes. La stratégie d'attaque proposait consiste à fournir une application malveillante qui va réaliser à l'insu de ses utilisateurs des actions plus ou moins sympa. La diffusion reposera sur d'une part la création de profils fictifs et d'autre part sur la promotion automatique de l'application à l'installation sur, par exemple, le mur de l'utilisateur pour créer un effet viral. Les expériences réalisées par les auteurs sont intéressantes, en particulier la courbe d'évolution du nombre d'utilisateurs qui installent l'application. Côté Facebook, aucun contrôle a priori, par contre, retrait de l'application suite à des plaintes d'utilisateurs. Par contre, l'application pouvait être remise en ligne immédiatement sous un nom différent... On finit par des recommandations qui tournent essentiellement autour de la formation. Belle démonstration de diffusion virale de code malicieux via Facebook./li liema href=http://www.sstic.org/2010/presentation/Projet_OpenBSC/ hreflang=fr title=Projet OpenBSCProjet OpenBSC/a/em par Harald Welte. Bien que les protocoles soient publics, GSM/3G est un sujet très peu abordé par les étude sécurité du fait du monde très fermé qu'est l'industrie de la téléphonie. L'accès au hardware, aux logiciels et à la documentation est à un prix prohibitif quand il est seulement possible. Bref, GSM, c'est certes la voix, mais c'est également un transport pour pleins d'autres applications relevant du monitoring/administration/maintenance d'équipements distants et du transfert d'informations. La sécurité GSM/3G est en retard d'une bonne dizaine d'année par rapport aux réseaux IP traditionnels, alors que les conséquences sont énormes considérant la pénétration de la technologie dans de nombreux domaines. Le projet a href=http://openbsc.osmocom.org/ hreflang=en title=OpenBSCOpenBSC/a est de fournir le matériel nécessaire à l'étude et l'amélioration de la sécurité des infrastructure GSM/3G, avec en particulier les problèmes de spécifications, d'implémentation et d'opération. Le problème peut être pris du côté du téléphone, mais cela pose pleins de difficultés, en particulier pour faire ce qu'on veut du module GSM. Il peut aussi être pris du côté du réseau qui semble nettement plus simple à appréhender, et là que se situe OpenBSC qui propose une implémentation libre d'un réseau GSM qui s'expose à une BTSsup[a href=http://sid.rstack.org/pnote-410-7 id=rev-pnote-410-77/a]/sup comme un BSCsup[a href=http://sid.rstack.org/pnote-410-8 id=rev-pnote-410-88/a]/sup via une interface A-bis. Il se trouve qu'au-delà des travaux de sécurité prévus à l'origine, un vingtaine d'OpenBSC se trouvent être utilisés sur de vrais réseaux GSM. Les derniers slides posent pleins de problèmes connus ou constater pendant le développement de l'outil avec pas mal de soucis de vie privée à la clé. Quelques considérations sur le fuzzing GSM, en particulier par insertion de trafic sur le lien A-bis entre la BTS et et le BSC. En conclusion, l'auteur pointe le manque de sécurité et de robustesse des implémentations GSM disponibles sur le marché et invite tout le monde à s'intéresser au GSM parce que bon... TCP/IP, c'est emso last decade/em ;) Du lourd, ça fait parfois peur.../li /ul pEt maintenant, c'est l'heure de la fameuse séance de rumpsnbsp;! Je vous livre les titres, auteurs et éventuels commentaires à l'arrache, donc pas forcément de manière exhaustive. Je complèterai plus tard si nécessaire./p ul liemRump session/em ul liemKesse SSTIC/em par le CO de la conférence. Des chiffres sur l'organisation du SSTICnbsp;: 450 inscrits, en 25h, 358 badges imprimés à l'avance, 12 secondes pour le scan à l'entrée, 27 femmes, 11 CO et 19 CP, association loi 1901, 77kEUR de dépenses vs 74kEUR de recettes, 34% du budget pour le emSocial Event/em, 30% pour le RU et 12% pour les pausessup[a href=http://sid.rstack.org/pnote-410-9 id=rev-pnote-410-99/a]/sup, 467 pages dans les actes, 22 soumissions dont 13 retenues./li liemRetex sur pentest Blackberry Enterprise Server/em, Ary Kokos. Trois compromissions complètes de BES en pentest via des failles triviales. Un mot de passe par défaut MS SQL permet d'enregistrer un compte admin qu'on utilise pour déclencher des fonctionnalité de synchro et de journalisation pour récupérer des informations, déployer des applications sur les terminaux, faire du DoS, bouncer les emails au niveau du serveur pour les espionner./li liem1,$s/blonde/geek/g/em, Renaud Bidou qui bâche cher sur le cloud et certains flames sur les WAF... Y'en a un qui prend, ça solde ses comptes en live.../li liemTiming attack en pause café sur les cartes à puce pour machines automatiques/em, Florian Gleis et Pierre Capillon. Une carte à puce pour acheter du café, avec un système mal foutu au niveau de l'enchainement des opérations pour la gestion de la emfidélité/em, laquelle est incrémentée *avant* de débiter la carte du prix du café. Du coup, ça fait pleins de cafés gratis./li liemAnalyse de mémoire flash de téléphone portable/em, Christophe Grenier. Challenge d'analyse de la mémoire d'un téléphone Sony avec un scénario alambiqué et deux dumps mémoire. Quelques coups de Photorec patcher pour les originalités du a href=http://en.wikipedia.org/wiki/Wear_leveling hreflang=en title=Wear LevelingWear Leveling/a plus tard, c'est fini.../li liema href=http://www.netglub.org/ hreflang=en title=NetglubNetglub/a, Really Open Source Information Gathering/emnbsp;: outil libre de data mining, extraction d'information et de knowledge management sur un principe distribué. Démo sympa./li lia href=http://www.freesec.com/ hreflang=fr title=Free SecurityLaurent Dupuis/a qui présente deux projets. Le premier est un spider appelé Bubulle qui nourrit le moteur de recherche QSWX. Le second est SecurityGarden, une ferme d'outils à la Packetstorm, mais green ;) Le tout en ligne fin de semaine prochaine normalement.../li liemChallenge BOSS/em, Caroline Fontaine. Le BOSS est un challenge autour de la stéganographie dont le but est de retrouver sur un lot de 1000 images les 500 qui contiennent un message. Le but est de stimuler la recherche en stéganologie./li liemDESIIR/em, Pascal Sitbon, Arnaud Tarrago et Pierre Nguyen. Dispositif d'échange sécurisé via USB, évolution du a href=http://actes.sstic.org/SSTIC09/Rump2009/SSTIC09-Rump-Tarrago-Sitbon-DESIIR.pdf hreflang=fr title=DESIIRmême projet présenté l'an dernier en rump/a./li liemFiabilisation d'outils/em, Aurélien Bordes. Butnbsp;: contourner des cas où pwdump ne fonctionne pas. Solutionnbsp;: abus des fonctionnalités de réplication de l'AD par spoofing pour récupérer les bases d'utilisateur. Démo à l'appui. Quotenbsp;: eml'AD, c'est un peu la déchetterie du système d'information/em :)/li liema href=http://www.decalage.info/exefilter hreflang=fr title=ExeFilter - un framework libre pour filtrer les fichiers et les contenus actifsExeFilter/a contre les méchants PDF/em, Philippe Lagadec. Une démo d'ExeFilter sur du filtrage/nettoyage de documents PDF vérolés./li liemWeblogic for fun amp;amp; profit/em. Possibilité d'attaquer anonymement la a href=http://en.wikipedia.org/wiki/Java_Naming_and_Directory_Interface hreflang=en title=Java Naming and Directory InterfaceJNDI/a de l'outil via son protocole propriétaire T3. On voit bien le but du jeu, pour les moyens, c'était un peu rapide.../li liemQuand les intruseurs font du monitoring temps réel/em, Denis Ducamp. La présentation d'un projet, a href=http://www.ikare-monitoring.com/ hreflang=en title=IkareIkare/a, sur le maintien du niveau de sécurité suite à des tests d'intrusion en testant régulièrement des sets de propriétés réduits./li liemRDP 2 TCP/em Nicolas Collignon, Romain Raboin. Encapsulation de TCP sur RDP vers un Terminal Server et rebond sur le réseau interne. Démo du PoC, codé à l'arrache pendant le voyage vers Rennes, qui foire au premier essai. Retour dans quelques minutes pour la fin.../li liemOracle a new hop/em. Démo de tunneling à travers une base Oracle à base d'injection SQL puis élévationd e privilèges via PL-SQL pour faire des requêtes HTTP. J'adore :)/li liema href=http://www.secdev.org/projects/scapytain/ hreflang=en title=ScapytainScapytain/a/em, Philippe Biondi. Un slideware en Gimp pour présenter une framework de gestion de campagnes de tests à base de a href=http://www.secdev.org/projects/scapy/ hreflang=en title=ScapyScapy/a./li liemRDP 2 TCP, le retour de la démo foirée/em. Et... bingo, ça marche \o//li /ul/li /ul pEt c'est la fin. Direction le emSocial Event/em :)/p pbr //p pVous pouvez également suivre le SSTIC sur Twitter (a href=http://twitter.com/search?q=%23sstic2010 hreflang=fr title=sstic2010 on Twitter#sstic2010/a, a href=http://twitter.com/search?q=%23sstic hreflang=fr title=sstic on Twitter#sstic/a) et Identi.ca (a href=http://identi.ca/search/notice?q=sstic2010 hreflang=fr title=Text search#sstic2010/a, a href=http://identi.ca/search/notice?q=sstic hreflang=fr title=Text search#sstic/a), ainsi que sur d'autres fils et blogs sur lesquels les billets commencent à fleurir çà et lànbsp;:/p ul lipar a href=http://pentester.fr/blog/index.php?post/2010/06/09/Et-c-est-reparSSTIC... hreflang=fr title=Et c#039;est reparSSTIC...Mat chez Hurukan/a./li lipar a href=http://www.n0secure.org/2010/06/sstic-2010-cest-parti.html hreflang=fr title=SSTIC 2010 c#039;est partiErwan sur n0secure/a avec un billet par interventionnbsp;!/li lipar M. Vanhunbsp;: ul lia href=http://vanhu.free.fr/blog/index.php?post/2010/06/09/SSTIC-2010%2C-Day-1 hreflang=fr title=SSTIC 2010, Day 1Jour 1/a./li lia href=http://vanhu.free.fr/blog/index.php?post/2010/06/10/SSTIC-2010%2C-Day-2 hreflang=fr title=SSTIC 2010, Day 2Jour 2/a./li /ul/li lipar a href=http://identi.ca/jpgaulier hreflang=fr title=jpgaulierJean-Philippe sur Identi.ca/a./li /ul div class=footnotesh4Notes/h4 p[a href=http://sid.rstack.org/rev-pnote-410-1 id=pnote-410-11/a] Robustesse, invisibilité, capacité, etc./p p[a href=http://sid.rstack.org/rev-pnote-410-2 id=pnote-410-22/a] Consolidated Information Assurance Picture/p p[a href=http://sid.rstack.org/rev-pnote-410-3 id=pnote-410-33/a] Dynamic Risk Assessment/p p[a href=http://sid.rstack.org/rev-pnote-410-4 id=pnote-410-44/a] Alert Standard Format/p p[a href=http://sid.rstack.org/rev-pnote-410-5 id=pnote-410-55/a] Remote Management and Control Protocol/p p[a href=http://sid.rstack.org/rev-pnote-410-6 id=pnote-410-66/a] RMCP Security-Extensions Protocol/p p[a href=http://sid.rstack.org/rev-pnote-410-7 id=pnote-410-77/a] Base Transceiver Station/p p[a href=http://sid.rstack.org/rev-pnote-410-8 id=pnote-410-88/a] Base Station Controler/p p[a href=http://sid.rstack.org/rev-pnote-410-9 id=pnote-410-99/a] Soit 50kEUR de bouffe/boisson.../p/div
June 09, 2010
9:18
En direct du SSTIC...
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/sstic.png alt=Logo SSTIC style=float:right; margin: 0 0 1em 1em; //p span class=lettrineC/span p'est parti. La a href=http://www.sstic.org/2010/ hreflang=fr title=SSTIC 2010huitième édition du SSTIC/a vient d'ouvrir ses portes, la salle commence à se remplir doucement./p pComme les années précédentes, je vais me remettre à l'exercice du rendu des talks en live. Et si je n'abandonne pas ce qui me reste de fierté d'ici la fin de la semaine, je parviendrai peut-être à ne pas céder à la tentation de copier/coller le a href=http://communaute.sstic.org/CompteRenduCollaboratif hreflang=fr title=Environnement de travail collaboratifcompte-rendu collaboratif/a lancé sur a href=http://wave.google.com/about.html hreflang=en title=Google WaveGoogle Wave/a. Ceci dit, pour le moment, il n'y a pas grand chose à aller pomper :)/p pstrongMardi 8 juin 2010 - Jour 0/strong/p pArrivé à Rennes vers 18h, hôtel et direction le a href=http://www.aubureaurennes.fr/ hreflang=fr title=Au BureauBureau/a pour un repas emen famille/em. Et puis l'inévitable détour par la rue de la soif. Ça fait partie des choses qui ne changent pas au SSTIC./p pstrongMercredi 9 juin 2010 - Jour 1/strong/p pLa conférence commence à l'heure, mais dans le noir. C'est un truc nouveau ça... Avec les badges à imprimer soi-même, on sent que 2010 est une année de grand changement ;)/p ul liemSystèmes d'informationnbsp;: les enjeux et les défis pour le renseignement d'origine technique/em par Bernard Barbier, a href=http://www.defense.gouv.fr/dgse hreflang=fr title=Direction Générale de la Sécurité ExtérieureDGSE/a. Le directeur technique de cet organe de renseignement nous livre un panorama des activités de renseignement technique et quelques réflexion sur les enjeux de la sécurité informatique. En dehors de comparaisons entre le nombre de bonshommes aux US et en France, quelques perspectives historiques, l'organisation du renseignement en France et des informations sur les moyens à disposition, on a surtout eu droit à des choses relativement classiques et conformes à ce qui se dit, ici et ailleurs, sur le sujet. Dommage, je suis sûr qu'il aurait pu raconter pleins de trucs nettement plus intéressants. Un poil de réflexion sur la nécessité de développer des capacitées de lutte informatique offensive, mais rien de transcendant. On peut cependant saluer le fait que la DGSE se soit déplacée et ait pris la parole sur un sujet potentiellement casse-gueule. Ah si, y'avait une info quand mêmenbsp;: la DGSE veut recruter 100 personnes par an. Va y avoir de la concurrence avec l'ANSSI.../li liema href=http://www.sstic.org/2010/presentation/Tatouage_imagerie_medicale/ hreflang=fr title=Tatouage de données d#8217;imagerie médicalenbsp;: applications et méthodesTatouage de données d#8217;imagerie médicalenbsp;: applications et méthodes/a/em par a href=http://public.enst-bretagne.fr/~gcoatrie/ hreflang=fr title=Gouenou CoatrieuxGouenou Coatrieux/a de a href=http://www.telecom-bretagne.eu/ hreflang=fr title=Télécom BretagneTélécom Bretagne/a. Une présentation sur, comme son titre l'indique, les applications possibles du watermarking pour la protection du contenu multimédia de santé. En l'occurence, il s'agit essentiellement de l'insertion de méta-données pour assurer l'authenticité des informations reçuesnbsp;: contrôle d'intégrité, détection et localisation des anomalies sur de l'imagerie, traçabilité des données, protection du dossier patient, etc. On aura aussi droit à une petite partie sur l'enrichissement des données médicales bien que ne relevant pas vraiment de la sécurité. S'en suivra une discussion sur les méthodes de tatouage en fonction des propriétés recherchéessup[a href=http://sid.rstack.org/pnote-410-1 id=rev-pnote-410-11/a]/sup et des données manipulées, avec un focus sur la perceptibilité du tatouage d'images. Avec en sus pas mal d'informations sur les techniques d'imagerie médicale. Une très bonne présentation pour découvrir les techniques et problématiques de watermarking dans un contexte particulier. Contrairement à ce que beaucoup ont ressenti, y compris moi, il ne s'agissait pas de présenter une méthode pour inclure une signature par stéganographie, mais bel et bien d'une marque faisant office de signature, mais portant sur la sémantique du contenu contrairement à une signature numérique, qui porte sur le contenant. D'où la réflexion sur la résistance aux changements de formats par exemple. J'ai bien aimé en tout cas./li liema href=http://www.sstic.org/2010/presentation/CyberDefense/ hreflang=fr title=Visualisation et analyse de risque dynamique pour la cyber-défenseVisualisation et analyse de risque dynamique pour la cyber-défense/a/em par Philippe Lagadec, a href=http://www.nc3a.nato.int/ hreflang=fr title=NATO C3 AgencyOTAN/NC3A/a. Introduction sur l'approche cyber-défense de l'OTAN avec une jolie variation de a href=http://fr.wikipedia.org/wiki/Roue_de_Deming hreflang=fr title=Roue de Demingroue de Deming/a. Ça manquait... Philippe présente deux outils, démos à l'appui. Le premier est un outil de visualisation, CIAPsup[a href=http://sid.rstack.org/pnote-410-2 id=rev-pnote-410-22/a]/sup, a été développé à des fins d'aide à la décision. Pas mal d'informations accessibles et pleins de vue disponibles, avec a href=http://earth.google.fr/ hreflang=fr title=Google EarthGoogle Earth/a inside. Le second, DRAsup[a href=http://sid.rstack.org/pnote-410-3 id=rev-pnote-410-33/a]/sup, est un outil d'analyse de risque temps réel et de contre-mesure. Peu de détails techniques globalement, ça faisait un peu presentation commerciale, mais sans rien à vendre ;) Sinon montrer des travaux de Ramp;D de l'OTAN./li liema href=http://www.sstic.org/2010/presentation/CASTAFIOR_Detection_automatique_de_tunnels_illegitimes_par_analyse_statistique/ hreflang=fr title=CASTAFIORnbsp;: détection automatique de tunnels illégitimes par analyse statistiqueCASTAFIORnbsp;: détection automatique de tunnels illégitimes par analyse statistique/a/em par Fabien Allard et Mathieu Morel, Thales. On a donc un outil de détection des tunnels cachés. Une grosse partie très intéressante sur les hypothèses et la théorie sous-jacente. Grosso modo, ils génèrent par apprentissage des empreintes sur une dizaine de paramètres comme la répartition temporelle et volumétrique de différents protocoles. Partant de l'hypothèse que l'encapsulation du tunnel altère peu ces caractéristiques, la reconnaissance des protocoles encapsulés se fait par une classification basée sur ces empreintes précalculées. Les résultats expérimentaux présentés sont intéressants, avec 96% de taux de classification correcte, et des faux positifs qui tournent sous les 5%. Avec des temps de calcul en dessous de la milliseconde et un nombre de paquets nécessaires assez bas. La question de l'impact de l'algorithme de chiffrement et de la compression sur le résultat a été laissée de côté. Une bonne question à la fin sur la reconnaissance d'un tunnel IP avec pas mal de protocoles concurrents encapsulés./li /ul pPause déjeuner.../p ul liema href=http://www.sstic.org/2010/presentation/Reflexions_pour_un_plan_d_action_contre_les_botnets/ hreflang=fr title=Réflexions pour un plan d#039;action contre les botnetsRéflexions pour un plan d'action contre les botnets/a/em par Éric Freyssinet, Gendarmerie Nationale. Après une présentation des activités de la gendarmerie en matière de criminalité informatique, on passe au sujet principal de la présentation. Mise en bouche par un slide de généralités, suivie d'un panorama d'affaires plus ou moins récentesnbsp;: les ISP véreux comme a href=http://arstechnica.com/security/news/2008/09/bad-seed-isp-atrivo-cut-off-from-rest-of-the-internet.ars hreflang=en title=Bad seed ISP Atrivo cut off from rest of the InternetAtrivo/a et a href=http://en.wikipedia.org/wiki/McColo hreflang=en title=McColoMcColo/a, la fermeture de Waldedac par Microsoft, le modèle de distribution de a href=http://en.wikipedia.org/wiki/Gumblar hreflang=en title=GumblarGumblar/a et le démantèlement de a href=http://defintel.blogspot.com/2009/10/mariposa-botnet-analysis.html hreflang=en title=Mariposa Botnet AnalysisMariposa/a. Pour combattre les botnets, l'auteur propose des actions possibles ciblant toutes les populations impliquéesnbsp;: attaquants, victimes, opérateurs, éditeurs, chercheurs, etc. Il nous parlera de sensibilisation, de mutualisation des efforts de détection et partage des données, réaction coordonnée des différents acteurs, etc. Un a href=http://www.interpol.int/Public/TechnologyCrime/WorkingParties/default.asp hreflang=en title=IT Crime - Regional Working Partiesgroupe de travail au niveau d'Interpol/a est donné en exemple. Côté évolutions législatives, on citera des provisions pour bloquer une propagation, autoriser la prise de contrôle d'un botnet, taper sur le spam en étendant la LCEN, etc. choses qui ne seraient pas très simples avec l'arsenal juridique actuel./li liema href=http://www.sstic.org/2010/presentation/virtdbg/ hreflang=fr title=virtdbg: un débogueur noyau utilisant la virtualisation matériellevirtdbg: un débogueur noyau utilisant la virtualisation matérielle/a/em par Christophe Devine et Damien Aumaitre, a href=http://esec.fr.sogeti.com/blog/index.php hreflang=fr title=BLOG Équipe Ramp;D (ESEC)SOGETI ESEC/a. Ce projet est de l'absence de débugger ring0 adapté à l'analyse de fonctionnalités de Windows 7 comme PatchGuard et les systèmes de DRM. Du fait de grosses limitations sur l'injection de code dans le noyau, en particulier parce que PatchGuard est là pour l'empêcher, le choix se porte sur la virtualisation matérielle avec un debugger sur hyperviseur. La grosse partie du milieu porte sur l'implémentation à base de board FPGA et du code qui reprend les a href=http://www.sstic.org/2008/presentation/Voyage_au_coeur_de_la_memoire/ hreflang=fr title=Voyage au coeur de la mémoiretravaux présentés par Damien en 2008/a. Tout est largement décrit dans les actes. Donc, RTFM. Quand ils seront en ligne. Forcément. Une ch'tite démo, et hop. Du bon boulot./li liema href=http://www.sstic.org/2010/presentation/Analyse_de_programme_par_tracage/ hreflang=fr title=Analyse de programme par traçageAnalyse de programme par traçage/a/em par Daniel Reynaud, Jean-Yves Marion et Wadie Guizani. J'ai malheureusement perdu un peu le fil, mais il semble que ça parle d'analyser des blobs binaires en s'appuyant sur des traces mémoire d'exécution. L'auteur propose un outil appelé a href=http://code.google.com/p/tartetatintools/ hreflang=en title=tartetatintoolsTraceSurfer/a qui s'accompagne d'un plugin IDA pour traiter les traces générées. Il permet d'y importer des traces, permettant typiquement de débloquer un désassemblage IDA, comme montré en démo. Une étude a été faite sur un gros set de malware, avec des résultats sympas qui sont dans les actes. Présentation claire est intéressante, mais bon, faut suivre./li liema href=http://www.sstic.org/2010/presentation/Interessez_vous_au_droit/ hreflang=fr title=Intéressez vous au droit... avant que le droit ne s#039;intéresse à vousIntéressez vous au droit... avant que le droit ne s'intéresse à vous/a/em par Éric Barbry, Cabinet Alain Bensoussan Avocats. Présentation très dynamique sous le signe du ema href=http://www.vie-publique.fr/decouverte-institutions/citoyen/citoyennete/definition/devoirs-definition/que-signifie-nul-n-est-cense-ignorer-loi.html hreflang=fr title=Que signifie quot;nul n#8217;est censé ignorer la loiquot; ?nul n'est censé ignorer la loi/a/em... L'auteur nous explique que le DSI/RSSI a un métier style homme orchestre à multiples facettes qui engage sa responsabilité sur de nombreux terrains, ce qui le place devant un nombre impressionnant d'écueils juridiques. C'est très vivant, c'est drôle, ça part dans tous les sens et ça tape sur tout le mondenbsp;: la surveillance, Facebook, les réseaux sociaux, le emCloud/em, les clauses contractuelles, le droit à l'image, l'usurpation d'identité, le droit d'auteur et même le phishing... De manière plus sérieuse, il insiste sur la responsabilité au titre des fautes et/ou des infractions au code pénal qu'on comment, mais aussi au titre de la négligence fautive. Et on a contexte juridique chargénbsp;: LSQ, LSI, LSF, LCEN, HADOPI, loi sur les jeux d'argent, etc. Avec 2010 comme millésime particulièrement vivant... Présentation intéressante qui met le doigt sur les risques juridiques qui se profilent pour les internautes en général et l'entreprise en particulier avec les lois passées dernièrement ou à venir dans les prochains mois et qui propose quelques pistes d'outillage juridique en conclusion. Un intermède non technique particulièrement divertissant./li /ul pFin de journée, miam, glou et dodo... Et a href=http://sid.rstack.org/blog/index.php/411-en-direct-du-sstic-le-retour hreflang=fr title=En direct du SSTIC, le retour...à demain/a/p div class=footnotesh4Notes/h4 p[a href=http://sid.rstack.org/rev-pnote-410-1 id=pnote-410-11/a] Robustesse, invisibilité, capacité, etc./p p[a href=http://sid.rstack.org/rev-pnote-410-2 id=pnote-410-22/a] Consolidated Information Assurance Picture/p p[a href=http://sid.rstack.org/rev-pnote-410-3 id=pnote-410-33/a] Dynamic Risk Assessment/p/div
June 08, 2010
0:10
Du grain à moudre pour HADOPIstes en herbe...
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/spy.png alt=checklist style=float:right; margin: 0 0 1em 1em; //p span class=lettrineI/span pl y a déjà eu pas mal de discussions autour des moyens que pourrait imposer HADOPI, prétendument pour la sécurisation de l'accès de l'abonné. En dehors des moyens de protection qu'on connaît bien, avait été évoquée l'éventualité d'un a href=http://www.pcinpact.com/actu/news/49218-hadopi-interoperabilite-logiciel-libre-payant.htm hreflang=fr title=Hadopinbsp;: des mouchards payants et non interopérablesmouchard/a surveillant les activités de l'utilisateur et lui permettant de démontrer son innocence en cas de besoin. Évidemment, ce genre de logiciel pose souvent plus de problèmes qu'il n'en résout, en particulier dès qu'il s'agit de sécurité.../p pPour illustrer cette affirmation, je prendrai comme exemple les récentes mésaventures d'un district de Pennsylvanie. Cet dernier fournit en effet à ses élèves un laptop équipé d'un logiciel d'administration distante, dont certaines fonctions relèvent de la surveillance. Or ce logiciel, installé sur plus de 2000 portables, s'avère présenter des a href=http://www.wired.com/threatlevel/2010/05/lanrev hreflang=en title=School Spy Program Used on Students Contains Hacker-Friendly Security Holefailles de sécurité/a a href=http://www.wired.com/threatlevel/2010/05/lanrev-security-holes/ hreflang=en title=Spyware Installed on Student Laptops Has More Security Problemsassez impressionnantes/a.../p pLe logiciel en question répondait au doux nom de a href=http://www.lanrev.com/ hreflang=en title=LANrevLANrev/a. Racheté depuis, il s'appelle à présent a href=http://www.absolute.com/fr_FR/products/absolute-manage hreflang=fr title=Absolute ManageAbsolute Manage/a. C'est, comme son nom l'indique, un logiciel de gestion de parc avec des fonctionnalité d'administration distante, principalement destiné aux postes mobiles apparemment./p pSi ce logiciel a fait les choux gras de Wired et d'une partie de la presse en ligne le mois dernier, c'est qu'il s'est trouvé impliqué dans une sombre histoire. Il a en effet pu être démontré que ce système avait servi à a href=http://www.wired.com/threatlevel/2010/04/webcamscanda/ hreflang=en title=School District Allegedly Snapped Thousands of Student Webcam Spy Picsprendre des photos des étudiants/a chez eux, à leur insu, à l'aide de la webcam du portable. Alors même que ce genre de fonctionnalité ne devait être activée qu'en cas de vol ou de perte de l'équipement. Pas glop.../p pCeci devrait donner du grain à moudre à ceux qui se posent des questions sur de possibles abus d'un tel système. Parce que ce genre d'interrogation s'applique tout autant à un possible mouchard HADOPI. Car une fois installé sur l'ordinateur de Mme Michu, qu'est-ce qui lui garantira ce que fera, ou pas, le logiciel espion en questionnbsp;? Ce n'est pas comme si a href=http://blogs.technet.com/b/markrussinovich/archive/2005/10/31/sony-rootkits-and-digital-rights-management-gone-too-far.aspx hreflang=en title=Sony, Rootkits and Digital Rights Management Gone Too Farune des grosses majors avait été prise la main dans le sac/a à poser du rootkit sur les machines de ses clients.../p pbr //p pBref, comme je le disais précédemment, LANrev présente de multiple vulnérabilités. La première, découverte par des gars de a href=http://www.leviathansecurity.com/ hreflang=en title=Leviathan SecurityLeviathan Security/a, est risible. Vraiment. Le serveur chiffre les messages envoyés aux clients avec une clé codée en dur. Donc extractible du binaire certes, mais surtout commune à tous les clients. On imagine aisément la suite face à une machine équipée du logiciel et dont on serait capable de détourner les fluxnbsp;: déchiffrement des communications à la volée, usurpation de l'identité du serveur, envoi de commandes arbitraires, etc. De même, on pourrait imaginer se faire passer pour un client légitime auprès du serveur et exploiter une éventuelle faille sur la station de management du parc... Et de là, pouvoir pousser du code sur l'ensemble des machines gérées.../p pQuoi qu'il en soit, le nouvel éditeur dit avoir identifié la faille lors du rachat du produit et travailler sur un correctif emqui utilisera OpenSSL/em. Il serait disponible le mois prochain. Bon ben si ça utilise a href=http://www.openssl.org/ hreflang=en title=OpenSSLOpenSSL/a, alors tout va bien dans le meilleur du monde. On espère juste qu'ils ne développeront pas a href=http://sid.rstack.org/blog/index.php/275-du-hasard-et-de-ses-consequences hreflang=fr title=Du hasard et de ses conséquencessous Debian/a ;) Plus sérieusement, je ne vois pas en quoi l'utilisation d'OpenSSL puisse rassurer qui que ce soit, sinon ceux qui ne comprennent rien à ce qui passe.../p pbr //p pMais c'est loin d'être fini. La seconde faille est presque meilleure... Ou pire... Question de point de vue.../p pDes troublions de l'a href=http://www.eecs.umich.edu/ hreflang=en title=University of Michigan - Electrical Engineering and Computer ScienceUniversité du Michigan/a se sont en effet penchés eux aussi sur la question. Ils ont a href=http://www.freedom-to-tinker.com/blog/jhalderm/schools-laptop-spying-software-exploitable-anywhere hreflang=en title=School#039;s Laptop Spying Software Exploitable from Anywherepublié des résultats un peu plus préoccupants/a. Car en fait, c'est toute la couche cryptographique qui semble pourrie jusqu'à la moelle. Et c'est peu de le dire./p pLes messages sont apparemment emauthentifiés/em au moyen d'une clé dite emSeedValue/em contenue dans chaque message. On pourrait s'attendre à ce qu'il s'agisse d'une somme d'intégrité, même de faible facture. Que nenninbsp;! Il s'agit du numéro de série à sept chiffres du serveur, chiffré avec une autre clé... Codée en dur elle aussi... Une habitude apparemment... Si on ajoute cette emSeedValue/em d'une entropie d'un vingtaine de bits à la sale manie de chiffrer les messages avec une clé unique commune à tous les clients de la planète, on comprends bien que la protection ne vaut pas tripette. Il est effet assez facile de forger des messages recevables par des clients quelconques, sans même avoir à capturer de communication préalablement à l'attaque comme le scénario initialement proposé par Leviathan Security l'exigeait./p pbr //p pAutant dire que nous avons là une bel exemple d'incompétence dont on aimerait qu'il soit isolé. Malheureusement, nous savons tous par expérience que ce n'est pas le cas./p pOr, quand je vois le a href=http://sid.rstack.org/blog/index.php/399-la-sagesse-des-shadock hreflang=fr title=La sagesse des Shadock...niveau de compétence/a des gens qui s'occupent du dossier HADOPI, je m'attends réellement au pire. Je ne peux en particulier pas m'empêcher de penser qu'il pourrait se passer quelque chose de très similaire avec un système de mouchards distribué. Un système qui offrirait via je ne sais quelle faille plus ou moins subtilesup[a href=http://sid.rstack.org/pnote-327-1 id=rev-pnote-327-11/a]/sup, le contrôle d'une bonne partie des ordinateurs personnels français à quelques gestionnaires de botnets à peine plus malins que les autres.../p pstrongUpdate/strongnbsp;: a href=http://sid.rstack.org/blog/index.php/413-hadopi-et-orange-unis-pour-le-pire#c5797 hreflang=fr title=HADOPI et Orange, unis pour le pire... - CommentairesYann me rappelle/a très justement l'a href=http://www.cse.umich.edu/~jhalderm/pub/gd/ hreflang=en title=Analysis of the Green Dam Censorware Systemaffaire Green Dam/a que j'avais citée l'an dernier a href=http://sid.rstack.org/blog/index.php/343-le-lundi-c-est-hadopi hreflang=fr title=Le lundi, c#039;est HADOPIen parlant d'HADOPI/a justement. Coïncidence, ou pas, on retrouve parmi les auteurs de l'analyse du logiciel un certain... a href=http://www.cse.umich.edu/~jhalderm/J. Alex Halderman/a... Encore un exemple flagrant de logiciel de sécurisation qui a vite fait plouf.../p pBotnets dont on imagine aisément la taille ainsi que les utilisations. Y compris, comble de l'ironie, servir de plate-forme de stockage et d'échange de contenus illicites en tout genre.../p div class=footnotesh4Notes/h4 p[a href=http://sid.rstack.org/rev-pnote-327-1 id=pnote-327-11/a] Ah ben justement, on parlait du a href=http://en.wikipedia.org/wiki/Sony_BMG_CD_copy_protection_scandal#Security_holes hreflang=en title=Sony BMG CD copy protection scandal - Security holesrootkit Sony-BMG/a plus haut.../p/div
June 07, 2010
13:08
Challenge win!
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/sstic.png alt=Logo SSTIC style=float:right; margin: 0 0 1em 1em; //p span class=lettrineL/span pe a href=http://communaute.sstic.org/ChallengeSSTIC2010 hreflang=fr title=Challenge SSTIC 2010palmares/a du a href=http://sid.rstack.org/blog/index.php/396-stimulant-intellectuel hreflang=fr title=Stimulant intellectuel...second challenge SSTIC/a vient de tomber. Je ne doute pas que a href=http://news0ft.blogspot.com/ hreflang=fr title=newsoft#039;s fun blogcertains/a ne manqueront pas d'y faire allusion, réveillant au passage quelques trolls bien velus. Aussi je tenais à adresser un clin d'#339;il sincère aux a href=http://natisbad.org/ hreflang=en title=Natisbad.org!deux/a a href=http://www.secdev.org/ hreflang=en title=SecDev.orggagnants/a. Qui s'avèrent être des collègues. Fait qui ne gâte rien au plaisir de les féliciter :)/p pLes solutions devraient être mises en ligne jeudi soir, après les rumps, me confie-t-on en régie... Si le timing de la journée et les conditions éthyliques le permettent. En attendant, vous pouvez toujours lire ce que a href=http://pentester.fr/blog/index.php?post/2010/06/03/Challenge-SSTIC-2010-in-a-nutshell hreflang=fr title=Challenge SSTIC 2010 in a nutshellMat a écrit chez Hurukan/a, il y a pratiquement tout.../p pstrongUpdate/strongnbsp;: les a href=http://communaute.sstic.org/ChallengeSSTIC2010 hreflang=fr title=Challenge SSTIC 2010solutions officielles sont en ligne/a, a href=http://pentester.fr/blog/index.php?post/2010/06/15/Challenge-SSTIC-2010-M%C3%A9thode-alternative hreflang=fr title=Challenge SSTIC 2010 - Méthode alternativeSoTTo propose une autre solution/a, une nouvelle fois chez Hurukan (hébergeur de solutions alternatives)./p
June 02, 2010
8:54
I can has famous too!
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/lock.png alt=Cadenas style=float:right; margin: 0 0 1em 1em; //p span class=lettrineE/span pn effet, tout comme a href=http://www.google.fr/ hreflang=fr title=Google SearchGoogle/a, a href=http://sid.rstack.org/blog/index.php/162-categorization-fail#c5688 hreflang=fr title=Categorization fail... - Commentairesça y est/a, moi aussi je suis disponible en a href=https://sid.rstack.org/blog/ hreflang=fr title=Ma petite parcelle d#039;Internet...HTTPS/a. Ainsi, vous pourrez consulter le contenu totalement public de ce blog a href=http://googleblog.blogspot.com/2010/05/search-more-securely-with-encrypted.html hreflang=en title=Search more securely with encrypted Google web searchen toute sécurité/a et protéger vos commentaires ultra-secrets a href=http://sid.rstack.org/blog/index.php/362-l-echec-de-l-apprentissage hreflang=fr title=L#039;échec de l#039;apprentissage...sans JavaScript/a. Ça fait rêver, heinnbsp;? Nonnbsp;? OK.../p pAlors pour faire encore mieux, a href=http://www.bnpparibas.net/banque/portail/particulier/Fiche?type=folderamp;identifiant=Service_WAP_20021220103332amp;bloc=blog_mobile hreflang=fr title=BNP Paribas - Le blog mobileà l'instar de la BNP/a qui n'en finit pas de nous l'annoncer à la radio, moi aussi a href=http://sid.rstack.org/blog/index.php/gallery/billets/408/ipad hreflang=fr title=ipadje suis disponible/a sur a href=http://www.apple.com/fr/ipad/ hreflang=fr title=Apple - iPadiPad/a. Et y'a même pas besoin de passer par la case a href=http://store.apple.com/fr hreflang=fr title=Bienvenue dans l#039;Apple StoreAppStore/a pour ça... Toujours pas ?!.../p pMais euh !!! ema href=http://www.youtube.com/watch?v=nxbzIkFtc9A hreflang=fr title=Daniel Balavoine quot;Le Chanteurquot;J'veux qu'on parle de moooaaaaaa !!!/a/em''.../p pCeci dit, pour en revenir au HTTPS, c'est surtout un test du a href=http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI hreflang=en title=SSL with Virtual Hosts Using SNIsupport SNI/a de Apache évoqué rapidement dans une a href=http://sid.rstack.org/blog/index.php/162-categorization-fail#c5663 hreflang=fr title=Categorization fail... - Commentairesdiscussion précédente/a. Parce que côté sécurisation, comment dire... D'abord, il n'y a pas de certificat correct proprement installé, donc perdu pour l'authentification et la sécurité du lien chiffré tout simplement. Et puis il y a tellement de contenu récupéré en clair sur des sites tiers qu'il y a largement de quoi injecter des saloperies là-dedans sans que votre browser n'y trouve rien à redire./p pEt puis surtout, ça ne m'empêche toujours pas de faire des stats ;)/p
May 27, 2010
13:46
Captcha fail ?
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/fail.png alt=Fail... style=float:right; margin: 0 0 1em 1em; //p span class=lettrineC/span pe captcha trouvé par a href=http://cupofsecurity.blogspot.com/ hreflang=fr title=Cup of SecurityJipe/a est-il le plus mauvais du mondenbsp;? Je n'irai pas jusqu'à l'affirmer, mais force est de constater qu'on a là un très bon candidat au titre.../p pimg src=http://www.privateoutlet.fr/user/captcha.php alt=Super captcha style=display:block; margin:0 auto; //p pJe vous laisse trouver pourquoi ;)/p
May 26, 2010
13:22
ITSec commercial FTW...
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/pub2.png alt=Publicité style=float:right; margin: 0 0 1em 1em; //p span class=lettrineU/span pne pub pour a href=http://www.ligattsecurity.com/ hreflang=en title=LIGATT SecurityLIGATT Security/a, la boîte du ema href=http://www.youtube.com/user/no1hacker hreflang=en title=Worlds No. 1 HackerWorld No.1 Hacker/a/em a href=http://www.ligattsecurity.com/about-us/gregory-evans-bio/ hreflang=en title=Gregory Evans BioGregory Evans/a.br / Ça m'a vaguement fait penser à a href=http://www.gratisweb.com/abacux/animados/kimble_themovie.swf hreflang=en title=Kimble Special Agentquelqu'un/a.../p object data=http://www.youtube.com/v/Wy9LELlwbZs type=application/x-shockwave-flash height=350 width=425 style=display:block; margin:0 auto;param name=movie value=http://www.youtube.com/v/Wy9LELlwbZs //objectbr / pEt vous pouvez aussi voir ses collègues./p object data=http://www.youtube.com/v/O67EGYYrzhA type=application/x-shockwave-flash height=350 width=425 style=display:block; margin:0 auto;param name=movie value=http://www.youtube.com/v/O67EGYYrzhA //objectbr / object data=http://www.youtube.com/v/LY_5aDhwCKo type=application/x-shockwave-flash height=350 width=425 style=display:block; margin:0 auto;param name=movie value=http://www.youtube.com/v/LY_5aDhwCKo //objectbr / pJe ne sais pas vous, mais le discours emon embauche des gentils pirates repentis pour vous protéger des méchants pirates qui vous veulent du mal/em, moi j'ai du mal.../p
13:05
Categorization fail...
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/accessforbidden.png alt=Accès interdit style=float:right; margin: 0 0 1em 1em; //p span class=lettrineU/span pn confrère mais néanmoins ami me faisait récemment remarquer que mon a href=http://sid.rstack.org/ hreflang=fr title=Page personnelle de Cédric Blanchersite perso/a était bloqué par le proxy filtrant déployé sur le réseau de son employeurnbsp;:/p preAccès à un site interdit. Le site auquel vous tentez d'accéder est classé dans la catégorie : emSocial Networking; Society and Lifestyles/em qui est une catégorie interdite car il ne présente pas, a priori, un intérêt professionnel/pre pPar contre, le a href=http://sid.rstack.org/blog/ hreflang=fr title=Ma petite parcelle d#039;Internet...blog/a, lui, est accessible. Il tombe en effet dans la catégorie emProductivity PG; Message Boards and Forums/em qui semble moins bloquée par les utilisateurs du produit, contrairement à la menace planétaire que représentent les réseau sociaux.../p pUne recherche rapide montre que c'est l'ami a href=http://www.websense.com/ hreflang=en title=WebsenseWebsense/a qui s'est loupé dans la a href=http://www.websense.com/content/urlcategories.aspx hreflang=en title=URL Categoriescatégorisation/a du site. Car si je conçois qu'on puisse considérer la lecture de mon blog comme une perte de productivité, j'ai du mal à imaginer en quoi quelques pages statiques peuvent constituer un réseau social... À la limite, qu'ils me collent dans en emBandwidth PG/em à cause des a href=http://sid.rstack.org/gallery/ hreflang=fr title=Photo Galleryphotos/a, voire des a href=http://sid.rstack.org/static/#Audio.2FVid.C3.A9o hreflang=fr title=Page personnelle de Cédric Blancher - Trucs divers - Audio/Vidéovieilles vidéos/a qui font hurler les a href=http://sid.rstack.org/blog/index.php/75-attention-cherie-ca-va-migrer hreflang=fr title=Attention chérie, ça va migrer...psychopathes/a qui me servent d'a href=http://www.crashdump.net/ hreflang=fr title=crashdump.nethébergeur/a.../p pC'est un peu le problème de ces services de listes noires. On ne sait jamais comment c'est maintenu, et en l'occurrence comment est fait le classement. On nous explique certes que la catégorisation met à profit une super technologie innovante, propriétaire et brevetée, ainsi qu'un peu de travail humain pour obtenir des résultats qui déchirentnbsp;:/p preWebsense utilizes a combination of proprietary classification software and human inspection techniques to categorize and maintain URLs to ensure real-time protection against today's blended threats./pre pÇa ne nous apprend pas grand chose. Et peut-être que la part de l'humain ne se résume qu'à l'intervention des webmasters pour indiquer l'erreur de classementsup[a href=http://sid.rstack.org/pnote-162-1 id=rev-pnote-162-11/a]/sup. En fait, je serais rudement curieux de connaître les critères qui ont amené leur moteur à penser qu'il s'agissait d'un site de réseau social./p pMais ce n'est pas bien grave au fond, puisque de toute manière, on a affaire à un problème inhérent à ce type de service dont on comprend bien que les gestionnaires, quels qu'ils soient, ne puissent pas catégoriser l'intégralité du web dans toute sa variété et ses langues sans se tromper. Et ce bien qu'ils s'en vantent.... Enfin, tout frustrant pour l'ego que puisse être la perte un lectorat ô combien désiré, il faut bien reconnaître que ce genre d'erreur n'est comparé aux monstrueuses boulettes que nous pondent régulièrement certains opérateurs de a href=http://en.wikipedia.org/wiki/DNSBL hreflang=en title=DNSBLlistes noires antispam/a qui n'hésitent pas à blacklister des FAI complets, voire des TLD. Ce qui fait relativiser l'efficacité de ces services, quand ils arrivent régulièrement à vous couper d'une partie du net.../p pCeci étant, si je n'aime pas les proxies web filtrant, ce n'est pas parce qu'ils bloquent mes pages. C'est parce qu'ils m'empêchent de faire une partie de mon travail. Et je pense partager cette constatation avec tous ceux qui font un tant soit peu de veille, dont une bonne partie se fait sur la toile. Je ne connais évidemment pas l'étendue des dégâts pour les autres secteurs d'activité, mais s'il y a une chose dont je suis sûr, c'est que dans le domaine de la sécurité informatique, c'est véritablement gonflant. Pour rester poli. Entre les erreurs de catégorisation, celles qui sont pour le moins exagéréessup[a href=http://sid.rstack.org/pnote-162-2 id=rev-pnote-162-22/a]/sup, et ce qui est compréhensible, mais ne nous aide pas à y accéder pour autant, il y a parfois de quoi être agacé.../p pEn fait, je ne comprend même pas que d'aucuns puissent simplement imaginer que quelqu'un qu'ils voudraient qualifier d'expert en sécurité informatique puisse se satisfaire d'un accès ainsi bridé dans son activité de tous les jours. Franchement, à part une crasse ignorance de ce qu'est ce métier, je ne vois pas. Et je ne parle même pas de certains qui voudraient qu'on s'en servent pour lancer des tests d'intrusion.../p pbr //p pMais pour en revenir à mes moutons, voila qui m'apprendra à dire du a href=http://sid.rstack.org/blog/index.php/241-la-face-cachee-des-choses hreflang=fr title=La face cachée des choses...mal des gens/a ;)/p div class=footnotesh4Notes/h4 p[a href=http://sid.rstack.org/rev-pnote-162-1 id=pnote-162-11/a] Ce que je me suis empressé de faire, évidemment ;)/p p[a href=http://sid.rstack.org/rev-pnote-162-2 id=pnote-162-22/a] Pas mal de repositories d'outils de pentest de font bloquer régulièrement par exemple.../p/div
May 24, 2010
18:46
La sagesse des Shadock...
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/shadock.png alt=Shadock Einstein style=float:right; margin: 0 0 1em 1em; //p span class=lettrineI/span peml vaut mieux mobiliser son intelligence sur des conneries que de mobiliser sa connerie sur des choses intelligentes/em/p div style=text-align:right;emProverbe Shadock/em/div pC'est en m'adonnant au parcours quotidien des a href=http://sid.rstack.org/blog/index.php/394-bobine-de-fils hreflang=fr title=Bobine de fils...différents blogs que je suis activement/a qu'une nouvelle fois, je me suis pris à trouver ce dicton d'une actualité brûlante./p pD'abord avec la a href=http://www.numerama.com/magazine/15768-hadopi-le-ministere-avance-des-pistes-pour-la-securisation-de-l-acces-a-internet.html hreflang=fr title=Hadopinbsp;: le ministère avance des pistes pour la sécurisation de l#039;accès à Internetréponse tardive/a du Ministre de la Culture et de la Communication à la question écrite de François Loos sur l'incertitude chronique qui entoure la notion de négligence caractérisée introduite par a href=http://sid.rstack.org/blog/index.php/343-le-lundi-c-est-hadopi hreflang=fr title=Le lundi, c#039;est HADOPIHADOPI/a. Ensuite, avec cette a href=http://www.authueil.org/?2010/05/21/1619-massonnade-sur-la-lcen hreflang=fr title=Massonnade sur la LCENproposition de loi/a introduite par a href=http://www.senat.fr/senfic/masson_jean_louis01060r.html hreflang=fr title=Jean-Louis MassonJean Louis Masson/a qui, trouvant la LCEN un peu molle quant au traitement des blogueurs amateurs, voudrait que leur soit appliqué le régime aujourd'hui réservé aux publications professionnelles./p pSix mois presque jour pour jour après avoir été questionné sur les mesures de sécurisation à déployer pour ne pas tomber dans la fameuse négligence caractérisée mentionnée à l'article a href=http://www.legifrance.gouv.fr/affichTexteArticle.do?idArticle=JORFARTI000021208074amp;cidTexte=JORFTEXT000021208046amp;dateTexte=29990101amp;categorieLien=id hreflang=fr title=LOI n° 2009-1311 du 28 octobre 2009 relative à la protection pénale de la propriété littéraire et artistique sur internet - Article 8L. 335-7-1 du code de la propriété intellectuelle/a, la a href=http://questions.assemblee-nationale.fr/q13/13-63873QE.htm hreflang=fr title=Question n°63873 de M. François Loosréponse du ministère de la culture/a est enfin publiée. Les plus cyniques avaient prédit une réponse de normand, et ils ne sont, j'en suis sûr, pas déçu par le résultat. Par exemple, on n'apprendra rien de plus sur la caractérisation de la négligence puisque emles éléments constitutifs de cette contravention seront définis par un décret qui est en cours d'examen au Conseil d'État/em. Super.../p pEn ce qui concerne les moyens de protection à déployer, ce n'est guère mieux. On apprendra qu'il faut s'intéresser d'une part à la sécurisation de son poste de travail et d'autre part à celle de son boîtier de connexionsup[a href=http://sid.rstack.org/pnote-399-1 id=rev-pnote-399-11/a]/sup. Le premier point serait à gérer avec des solutions de contrôle parental, pour empêcher les marmots d'aller faire des conneries sur Internet je suppose, et des emsolutions de type pare-feu ou antivirus/em. Je ne sais pas ce que vous en pensez, mais le refrain eminstalle un pare-feu et un antivirus/em sonne à mes oreilles comme une rengaine qui a depuis longtemps a href=http://sid.rstack.org/blog/index.php/78-de-ces-firewalls-qui-ne-servent-a-rien hreflang=fr title=De ces firewalls qui ne servent à rien...démontré/a a href=http://sid.rstack.org/blog/index.php/405-antivirus-faut-il-encore-tirer-sur-l-ambulance hreflang=fr title=Antivirusnbsp;: faut-il encore tirer sur l#039;ambulance ?ses limites/a. Mais bon, puisqu'on nous le dit.../p pEn fait, c'est sur la sécurisation de la box que ça devient très drôle... Ou pas... C'est selon le point de vue. Ça rappelle aussi un peu un a href=http://sid.rstack.org/blog/index.php/404-du-delit-de-wi-fi-ouvert-en-allemagne hreflang=fr title=Du délit de Wi-Fi ouvert en Allemagne...jugement rendu récemment outre-Rhin/a... On nous explique en effet qu'il faut les protéger emau moyen de clés et de protocoles cryptographiques/em et de fournir en exemple les emclés WEP et WPA/em. Protection qui pourrait être emcomplétée par une restriction d'accès aux seuls périphériques préalablement déclarés par l'utilisateur/em, c'est à dire du emfiltrage MAC/em. Vous êtes sur le culnbsp;? Moi aussi.../p pOn doit être sacrément occupé au ministère de la culture. Parce que franchement... Six mois pour pondre une réponse de cet acabit, c'est un peu du foutage de gueule... Car non content d'aligner les lieux communs que sont le pare-feu, l'antivirus et le chiffrement du lien Wi-Fi, on y parvient tout de même à les accompagner de la préconisation d'un a href=http://sid.rstack.org/blog/index.php/57-pourquoi-c-est-pourri-le-wep-part-2-cassage-en-regle hreflang=fr title=Pourquoi c#039;est pourri le WEP... Part 2, cassage en règle !protocole connu pour être totalement inefficace/a depuis près de dix ans d'une part, et d'un mécanisme de contrôle d'accès aisément contournable qui demande des efforts de configuration et de maintenance loin d'être négligeables d'autre part. Genre, on va filer un protection de merde à Mme Michu, et histoire d'en rajouter une couche, on va lui demander de lister des adresses MAC.../p pLa loi HADOPI poursuit, nous a-t-on longuement expliqué dans l'hémicycle, un but pédagogique. Mais avant de vouloir se montrer pédagogue, encore faudrait-il maîtriser les sujets qu'on veut enseigner. Or, force est de constater que certains ont cruellement besoin de cours de rattrapage en ce qui concerne les moyens de sécurité.../p pbr //p pJean-Louis Masson s'inquiéte quant à lui de ce que des blogueurs anonymes puisse porter atteinte à autrui Aussi propose-t-il de leur interdire la couverture d'un pseudonyme, donc également l'anonymat, en les obligeant à s'identifier complètement. Passé le moment de réaction épidermique, c'est en relisant plus attentivement la a href=http://www.senat.fr/leg/ppl09-423.html hreflang=fr title=Proposition de loi tendant à faciliter l#039;identification des éditeurs de sites de communication en ligne et en particulier des quot;blogueursquot; professionnels et non professionnelsproposition en question/a qu'on s'aperçoit que M. Masson souffre lui aussi d'un mal dont l'étendue m'en finit pas d'inquiéter. Ce mal, que dis-je, cette épidémie, c'est le syndrome du emy'a un truc qui me dérange, mais j'y comprends rien, alors faisons une loi/em. Et de préférence en mélangeant tout, ce qui est d'autant plus facile qu'on n'y comprend rien. C'est d'ailleurs, paraît-il, en train de devenir un sport national en France.../p pPour, je cite, emfaciliter l'identification des éditeurs de sites de communication en ligne et en particulier des blogueurs professionnels et non professionnels/em, le sénateur de la Moselle ne trouve rien de mieux que d'obliger ces derniers à fournir leur identité complète, adresse et numéro de téléphone compris. Rien que ça. Sachant tout de même qu'au titre de la LCEN, ils sont déjà censés fournir ce genre d'informations à leur hébergeur. Lequel, pour le coup, est très facilement identifiable.../p pstrongUpdate/strongnbsp;: la a href=http://www.dailymotion.com/video/xdfadz_jl-masson-anonymat-des-blogueurs_news hreflang=fr title=JL Masson anonymat des blogueurspreuve en image/a que le raisonnement est sans queue ni tête, grâce à a href=http://www.jcdr.info/ hreflang=fr title=Faits et Opinions - le blog de Jcdr (Jean-Christophe Dupuis-Rémond)JCDR/anbsp;; on appréciera en particulier l'argument massue des contrôleurs de tout poilnbsp;: emsi les gens sont honnêtes, ils ne sont pas obligés de tenir des propos diffamatoires, ils ne sont pas obligés de tenir des propos injurieux/em. En bref, Dieu reconnaîtra les siens.../p pOn pourrait disserter des heures sur le a href=http://www.com-vat.com/commvat/2010/05/world-wild-web.html hreflang=fr title=Saint Internet, comédien et martyrbien fondé de l'anonymat sur Internet/a, avancer autant d'a href=http://www.korben.info/supprimer-lanonymat-des-blogueurs-nan-mais-dans-tes-reves.html hreflang=fr title=Supprimer l#8217;anonymat des blogueursnbsp;? Nan mais dans tes rêves !excellentes/a a href=http://www.rue89.com/2010/05/21/les-blogueurs-repliquent-au-senateur-qui-veut-leurs-noms-152132 hreflang=fr title=Les blogueurs répliquent au sénateur qui veut leurs nomsraisons/a d'en user qu'il y a de blogueurs sur la planète, expliquer à en plus finir la différence avec l'utilisation d'un pseudonyme, on n'en réglera pas moins le problème de fond, à savoir le mal que j'évoquais précédemment. Car comme beaucoup de modes, le sujet de la régulation de l'usage des nouvelles technologies semble servir de plus en plus de faire valoir à des esprits en mal de célébrité./p pDes gens qui cherchent leur quart d'heure de buzz en somme.../p div class=footnotesh4Notes/h4 p[a href=http://sid.rstack.org/rev-pnote-399-1 id=pnote-399-11/a] Moi qui croyais que ce dernier appartenait au FAI.../p/div
May 21, 2010
13:11
Antivirus : faut-il encore tirer sur l'ambulance ?
» ‎ Ma petite parcelle d'Internet...

pimg src=http://sid.rstack.org/blog/images/blindxing.png alt=Blind crossing style=float:right; margin: 0 0 1em 1em; //p span class=lettrineC/span pe mois de mai 2010 aura été chargé pour les pauvres responsables relations publiques des éditeurs d'antivirus. D'abord avec l'annonce en fanfare par a href=http://www.matousec.com/ hreflang=en title=MatousecMatousec/a d'une preuve de concept baptisée a href=http://www.matousec.com/info/articles/khobe-8.0-earthquake-for-windows-desktop-security-software.php hreflang=en title=KHOBE #8211; 8.0 earthquake for Windows desktop security softwareKHOBE, pour Kernel HOok Bypassing Engine/a, qui serait en mesure de contourner une liste de produits du marché longue comme le bras. Ensuite avec le challenge PWN2KILL organisé à l'occasion du a href=http://www.esiea-recherche.eu/iawacs_2010.html hreflang=en title=Second International Alternative Workshop on Aggressive Computing and Securitysecond iAWACS/a qui a href=http://www.esiea-recherche.eu/data/iawacs2010/pwn2kill/pwn2killdebrief.pdf hreflang=en title=iAWACS2010 PWN2KILL Debriefconcluera à la cécité des quinze produits testés/a face à trois des sept attaques proposées./p pAutant dire qu'ils avaient des arguments à affûter, nos chers éditeurs. Cependant, n'a-t-il pas toujours été a href=http://sid.rstack.org/blog/index.php/270-on-ne-s-ennuie-jamais-avec-la-securite hreflang=fr title=On ne s#039;ennuie jamais, avec la sécurité...un peu vain de lancer des défis de contournement d'antivirus/a dont on sait pertinemment quel en sera le résultatnbsp;? Y-a-t-il encore quelque chose à prouver dans le domainenbsp;?/p pLe contournement des antivirus, c'est un, sinon le, sujet tarte à la crème de la sécurité informatique. Car on sait que les antivirus peuvent être contournés. C'est un fait, c'est comme ça, et il faut apprendre à vivre avec. Et le seul bémol qui pourrait être mis à cette affirmation ne le serait pas du fait que certains outils soient meilleurs que d'autres, bien que ce soit vrai, mais parce que certaines techniques d'exploitation sont plus mauvaises que d'autres quant il s'agit de se passer en dessous du radar./p pCar le principal défaut des antivirus est qu'ils fonctionnent par analogie avec ce qu'on connaît. C'est évident pour les bases de signatures qui répertorient des empreintes de codes malveillants connus, mais c'est aussi vrai pour les analyses par heuristique ou par exécution en environnement restreint. En effet, ces dernières techniques, si elles ne reposent pas sur des signatures de code, fonctionnent tout même par la reconnaissance de comportements ou d'actions connues pour être malveillantes, ou semblent indiquer d'une tentative d'abus du système. Dès lors, il est évident que les nouveautés tout justes sorties du four qu'elles en sont encore chaudes ont de grandes chances de passer inaperçues./p pBref, parce qu'ils reposent sur des techniques d'identification de ce qui est mauvais, ils sont limités et ne peuvent détecter, par exemple, des techniques d'exploitation novatrices. C'est d'ailleurs la a href=http://www.cnis-mag.com/anti-virus-iawacs-matousec-les-%C2%AB-signes-%C2%BB-sont-furax.html hreflang=fr title=Anti-Virusnbsp;: iAwacs, Matousec, les quot;signésquot; sont furaxligne de défense des éditeurs/a, qui en profitent pour contre-attaquer en balaçant le vieil argument éculé de l'irresponsabilité de ceux qui se prennent à publier une technique de contournement./p pbr //p pCependant, même considérant cette limitation de principe, les antivirus sont pour autant loin d'être inutiles, en ce qu'ils devraient au moins nous débarrasser de toutes les saloperies qui tournent à n'en plus finir chez les diffuseurs de malwares. Sauf que déjà en 2007, le a href=http://www.heise.de/ct/ hreflang=de title=c#039;t Magazinmagazine allemand c't/a publiait une étude montrant une a href=http://www.channelregister.co.uk/2007/12/21/dwindling_antivirus_protection/ hreflang=en title=Anti-virus protection gets worsebaisse sérieuse de la capacité des antivirus du marché à détecter des codes nouveaux et des mutations de codes connus/a. Bref, que les moteurs heuristiques vantés à grand renfort de publicité avaient du plomb dans l'aile./p pEn outre, l'expérience montre qu'avec l'explosion de la vitesse de mutation des codes malveillants, les éditeurs d'antivirus ont de plus en plus de mal à suivre la cadence, même a href=http://sid.rstack.org/blog/index.php/378-av-caesar-infectori-te-salutant hreflang=fr title=AV Caesar, infectori te salutant...face à des codes datant d'une semaine ou deux/a et pas forcément obfusqués. D'autant qu'ils se trouvent dans une position bien inconfortable pour un défenseurnbsp;: être face à un attaquant qui a la connaissance parfaite de la performance de vos moyens de défense. En effet, il suffit à ce dernier d'évaluer son code contre une a href=http://www.virustotal.com/fr/ hreflang=fr title=Virustotalbatterie d'antivirus à jour/a et de le modifier jusqu'à ce qu'il passe à travers les mailles du filet avant de la lâcher dans la nature./p pBref, une situation pas glop qui devrait pousser à une humilité qui fait manifestement défaut dans le discours commercial des éditeurs d'antivirus qui n'hésitent pas à nous vendre de la protection 100% contre toutes les saloperies connues ou non. Il ne faut donc pas s'étonner qu'en tendant ainsi le bâton, les retours de manivelles soient sévères. Et ce n'est pas en créant des a href=http://amtso.org/ hreflang=en title=Anti-Malware Testing Standards Organizationgroupes d'évaluation indépendants fantoches/a qu'ils parviendront à retrouver un peu de crédibilité s'ils persistent dans cette voie./p pUne humilité qui devrait d'ailleurs se trouver accentuée par cette fâcheuse manie qu'on ces logiciels à générer des conflits sur les systèmes sur lesquels ils sont déployés. Quand ils ne se prennent pas l'a href=http://isc.sans.org/diary.html?storyid=8656 hreflang=en title=McAfee DAT 5958 Update Issuesenvie/a de vous a href=http://www.engadget.com/2010/04/21/mcafee-update--shutting-down-xp-machines/ hreflang=en title=Botched McAfee update shutting down corporate XP machines worldwideplanter les trois quarts de votre parc bureautique/a... Et quand on voit qu'en plus, on paie pour ça, je comprends que certains soient un peu amers.../p pbr //p pDonc, et bien que la messe soit dite depuis des années, il me semble que des piqûres de rappel régulières ne soient pas de trop remettre quelques pendules à l'heure. Cependant, il ne faudrait pas non plus tomber dans la facilité. Autant j'apprécie les a href=http://cansecwest.com/csw08/csw08-alvarez.pdf hreflang=en title=The Death of AV Defense in Depthnbsp;? - revisiting Anti-Virus Softwaretravaux de gens comme Thierry Zoller ou Sergio Alvarez/a qui démontrent que les antivirus peinent à fournir ce qu'on est en droit d'attendre d'eux, autant je suis plus perplexe devant la a href=http://www.theregister.co.uk/2010/05/07/argument_switch_av_bypass/ hreflang=en title=New attack bypasses virtually all AV protectionpublication de Matousec/a qui se résume à avancer des résultats sans les démontrer. Sans parler qu'en plus, a href=http://evilcodecave.blogspot.com/2010/05/ruining-myth-khobe-antivirus-earthquake.html hreflang=en title=Ruining a Myth - KHOBE The AntiVirus Earthquake - Pure Hysteriaelle ne présente aucune nouveauté/a./p pIl serait intéressant à mon sens de discuter les réponses qui sont faites par les éditeurs, et qui ressemblent singulièrement à celles fournies après le a href=http://www.esiea-recherche.eu/data/pwn2rm.pdf hreflang=en title=Anti-virus #8220;PWN2RM#8221; Challenge ResultsPWN2RM d'iAWACS 2009/a. À savoir que si ce genre de code peut faire ce qu'il a à faire, c'est que la machine est déjà infectée. Et que la suite ne serait plus de la responsabilité de l'antivirus, quand bien même aurait failli à sa mission de détection.../p

← Links n0secure.org - Sécurité... →

Jean-Marc's infotainment stream » Ma petite parcelle d'Internet...

Feeds

Ma petite parcelle d'Internet...