jp.gaulier.info/blog

Dernier jour, dernière fatigue de SSTIC pour cette année, avec pour une fois, un social event bien négocié.

Lire la suite

Compte rendu de la deuxième journée, après une courte nuit afin de produire un support propre pour ma rump. Note pour plus tard, penser à me faire un thème personnel pour beamer.

Lire la suite

La critique est facile, mais l'art est difficile. Je dis plus cela quant au calembour qui me sert de titre qu'au contenu de cet excellent SSTIC'08, sixième mouture du genre. Pour résumer, s'il en est, du bon, du très bon, de la fatigue, des contacts, des projets, du bon et encore du bon. Un poil moins fatigué à la sortie des confs. C'est quand la prochaine ?

Lire la suite

Je ne sais pas si le SSTIC sera une bonne cuvée cette année, mais j'en attends beaucoup de choses. Ce qui est intéressant de noter, en tous cas, c'est le jeu des chaises musicales, qui chaque année se réduit. Là, il fallait être sur les starting blocs :

Le début de la course, avec un petit problème sur le caddie de diamond qui sera réglé moins de deux heures plus tard (12h18) :

Subject: Inscriptions SSTIC 2008
Date: Tue, 15 Apr 2008 10:21:01 +0200

Un petit mail, à peine vingt-quatre heures après, pour faire part des 250 premières places vendues, avec social event :

Subject: Infos Inscriptions SSTIC08
Date: Wed, 16 Apr 2008 11:18:04 +0200

Allez, ça fait deux jours, faut pas abuser, même une administration aurait eu le temps de commander un aller-retour pour Hong Kong :

Subject: Inscriptions SSTIC08 - C'est fini...
Date: Thu, 17 Apr 2008 19:35:07 +0200

Il y a deux leçons à tirer de cela :

• le SSTIC est un événement très prisé, tout le monde ne peut pas y assister et c'est l'endroit où l'on se doit d'être dans notre métier
• à quand un SSTIC d'hiver ?

Toujours pour rester dans les annonces chaudes, maître ès Ruff nous pointe un papier des plus intéressant. En indien (et oui, il faut se mettre à l'heure de la mondialisation !) dans le texte :

In our experiments, we generate exploits from a patch in only a few minutes. Modern threats such as the Slammer worm have empirically demonstrated that once an exploit is available, most vulnerable hosts can be compromised in minutes.

Ma little traduction :

Durant nos expériences, nous avons [automatiquement] généré des exploits à partir d'un patch de sécurité en seulement quelques minutes. Les menaces modernes telles que le ver Slammer ont démontré de manière empirique que dès qu'un exploit est disponible, la plupart des hôtes vulnérables peuvent être compromis en quelques minutes.

La mafia n'a plus qu'à bien se tenir, les script kiddies arrivent.

Pour ceux qui sont assoiffés de connaissance, le papier en question est disponible sur le site de David Brumley

Pour rappel, les inscriptions pour la JSSI de l'OSSIR sont toujours ouvertes !

EDIT : ne trouvez-vous pas que ce communiqué de presse pour la JSSI est absolument fabuleux ?

Ca y est, les inscriptions sont enfin ouvertes ! Et pour ma part, j'ai déjà réservé mon billet pour les trois jours à Rennes avec Social Event inclus.

Tout ce que l'on sait pour le moment, c'est que ça se déroule à Rennes et que les repas du midi seront pris au RU. Il y a fort à parier que l'on se retrouve de nouveau cette année dans un amphi de Beaulieu.

Pour ma part, les conférences me mettent en appétit, avec tout particulièrement :

Jour 1

• la keynote de maître Marcus "ès" Ranum
• le Social Engineering en audit présenté par Michel IWOCHEWITSCH
• l'expertise judiciaire sur les téléphones mobiles. Samuel Dralet nous ayant déjà parlé un peu de la question lors de sa conférence sur les autopsies à l'OSSIRB.
• le speech de mister moutane.
• piège d'un banker

Jour 2

• Sécurité Physique
• Déprotection semi-automatique de binaires
• analyse binaire au niveau noyau
• les speechs de pappy & Eric Filiol, Sid et Marie B. parce qu'ils le valent bien
• comme d'habitude, une grande impatience sur les rumps, avec peut être une petite surprise cette année.

Jour 3

• Walk on the wild side, du rétiaire
• SinFP, ne serait-ce que parce que c'est Patrice et que c'est un Breton !
• voyage au coeur de la mémoire
• dynamic malware analyses for dummies, parce que je me sens bien parmi les dummies pour le coup.

Ca fait un bien fout rien que de penser que l'on va enfin se retrouver dans un environnement cohérent, contrairement au reste de l'année où... Non, je ne préfère rien dire.

Notez que je n'ai inscrit ici que les confs qui paraissent me passionner, mais je pourrai avoir de bonnes surprises... ou pas !

Allez, les inscriptions à SSTIC, c'est par là

Prélude : mamie, si tu lis ce billet, livre-de-fesse n'est pas un site pornographique, mais un pseudo réseau social, qui au vu de ses traductions des conditions générales d'utilisation ne mérite pas tellement mieux que la pseudo traduction que je lui attribue :)

Non, vous comprenez, l'honneur avant tout ! Allez, on passe au vif du sujet :

Comme toute personne connectée, vous n'aurez pas échappé à la dernière déferlante d'Amérique du nord des derniers mois, à savoir livre-de-fesse. Étant plutôt informaticien dans la vie comme à la maison, les quelques copains que j'ai sont souvent issus du même milieu que moi. Alors fatalement, ils n'ont, eux non plus, pas échappé à ce matraquage en règle. Seulement, contrairement à la plupart de ces énergumènes, je n'ai pas de mac et je n'utilise pas msn(c), simplement parce que j'ai des convictions et que je les applique à ma conduite avant de vouloir les imposer aux autres :) De ce fait, mes charmant, mais néanmoins crédules copains ont ouvert un compte sur livre-de-fesse. Pourquoi je n'ouvrirai pas un compte sur livre-de-fesse.

Site sobre d'approche, si vous voulez en savoir plus, il va falloir se coltiner les CGUs, ou conditions générales d'utilisation. Pour le commun des mortels, c'est quelque chose d'assez incompréhensible. Un condensé de pseudo droit, sous une forme pseudo juridique. Un truc qui dit souvent que vous avez tous les torts et que vous ne pouvez rien demander à l'entreprise qui gère le site/service sur lequel vous êtes inscrit. Bien souvent, ces CGUs, équivalent des lignes en petites lettres sur de juteux contrats, révèlent de vrais trésors d'inventivité de la part de leurs créateurs. Je n'ai malheureusement pas la stature d'un maître Éolas pour vous parler de droit, mais rien ne m'empêche d'appuyer là ou ça fait mal.

Le danger n'est pas toujours là où on peut le croire, alors avant de vous jeter sur un nouveau service disponible sur Internet, soyez curieux et voyez si ça ne va pas chauffer pour votre matricule en retour de bâton.

Allez, on passe sur la partie intéressante du site : conditions générales d'utilisation ou comment faire n'importe quoi, n'importe où

Lire la suite

La nouvelle Journée Sécurité des Systèmes d'Information, organisée comme chaque année par l'OSSIR, est de retour. Cette année, le thème choisi porte sur l'anonymat, la vie privée et la gestion de l'identité. C'est un thème on ne peut plus d'actualité, puisque après la fureur du web 2.0, on commence à se poser de réelles questions sur le problème : 'mais au fait, à qui viens-je de donner mes informations et les droits d'exploitations ?".

Pour ma part, c'est très présent en tous cas, car il n'y a pas dix minutes, j'ai rédigé un long mail à quelques copains expliquant pourquoi je n'utiliserai pas fesse-book. En effet, des conditions générales d'utilisation, les fameuses CGUs, traduites à la va comme je te pousse par des pseudo étudiants ou lycéens (non, pitié, ne me dîtes pas que c'est le travail d'un pro !) feraient pousser des champignons en plein milieu du béton de Tchernobyl.

Cette année, on aura beaucoup parlé d'anonymat et de liberté, entre autre avec les JO de Pékin. On pensera également à l'histoire de noeud Tor qui avait permis à un chercheur en sécurité de malencontreusement tomber sur des données confidentielles.

Au programme donc, on fera un petit tour en médecine, on se frottera à un opérateur mobile, on passera par les gentils petites fourmis de MENESR avant de se finir par un bon coup de droit. Non, il n'y a pas à dire, un bon concentré pour ressortir au fait de ce qui va encore longuement marquer les conversations cette année.

Alors, en attendant SSTIC qui ne devrait plus tarder à ouvrir ses inscriptions (au plus tard dans deux semaines d'après des sources proches du dossier), n'hésitez pas à venir vous faire du bien à la JSSI.

EDIT : le G29 (les CNIL européenne pour faire court) vient d'adopter un texte qui oblige les moteurs de recherche à anonymiser les données collecter au bout de six mois maximum (13 à 18 mois actuellement). Comme quoi, ce sujet est vraiment d'actualité ;)

Nous avons le privilège de recevoir le président de l'OSSIR en notre belle contrée bretonne. Il fera un retour sur les failles de 2007. Nous enchaînerons toujours sur 2007 avec Hervé Troalic qui s'attachera plus particulièrement aux attaques des applications web. Ça promet de beaux débats. N'hésitez surtout pas à vous joindre à nous, l'entrée est libre et gratuite. Quelqu'un a t-il suggéré que la sortie soit payante ? ;-)

Le programme et la localisation, c'est sur la page de l'OSSIR Bretagne

PS : rien à voir avec l'OSSIR, quoi que, il semblerait que j'ai enfin réussi à me motiver sur l'avancement de la doc de scapy

De mes lectures, mes préférées restent tout de même les RFCs. Je dois ça à mon karma psycho-rigide, paraît-il. De ces RFCs, j'aime particulièrement celles devenues standards, mais également celles qui tendent à la réalité quantique de la science informatique. Il en est ainsi de la sacro-sainte 1149. L'année dernière, à la même époque, je m'esclaffais devant mon supérieur qui me prenait enfin pour un barge de voir une création si merveilleuse prendre une belle vie dans le si parfait ascii art. Cette année, on est gâté :

• Naming Rights in IETF Protocols

Nous aurons l'immense plaisir d'accueillir Franck Veysset, président de l'Observatoire de la Sécurité des Systèmes d'Information et des Réseaux le 8 avril à Thomson. Il fera un retour sur les attaques majeures qui se sont déroulées en 2007 ; il reviendra sur les impacts et en tirera quelques préconisations. C'est intéressant que des seniors de la sécurité et qui ont un impact sur la communauté française et internationale puisse faire part de leur avis sur la question et donner leur vision et approche de la sécurité, ou parfois, du manque de sécurité ;)

Le deuxième intervenant est Hervé Troalic. Il travaille actuellement chez Orange Business Services, qui n'était encore il n'y a pas si longtemps Silicomp/AQL, la cellule sécurité existant depuis de nombreuses années dans cette société. Il reviendra sur les attaques des applications web et plus particulièrement sur les XSS, les injections, ou pourquoi un firewall et un antivirus ne sont plus suffisants dans ces configurations d'attaque.

Vous pouvez retrouver l'intégralité de l'invitiation sur le site de l'OSSIR Bretagne

Pas beaucoup de publication cette année sur ce blog, ça se fait désertique et silencieux, en dehors de quelques coutures en LaTeX (ça, c'est pour les statistiques ;)). C'est le résultat d'une année chaotique, occupée, préoccupée, dense, fatigante, stressante. Oh, il y aurait beaucoup à dire, mais il y en a encore beaucoup plus qui ne peut pas se dire. Non, ce que je peux noter, c'est que de nombreux sujets qui m'intéressaient, et pour certains que j'ai présenté ou gribouillé, ne sont pas apparus. Je pense entre autre au résumé du sstic 2007 qui était prêt et qui n'a jamais été publié. On attend toujours l'ouverture des inscriptions pour 2008. Prévision de booking en trois jours, attention !

J'attends toujours mon diplôme homologué par le Conservatoire, histoire d'être rassuré lorsque j'aurai ce foutu papier entre les mains, tourner complètement la page. Les attestations, c'est bien, mais le papier de l'imprimerie nationale, c'est mieux !

Comme vous l'aurez peut être constaté, les élections locales se sont déroulées il y a peu, ce que j'en retiens :

• Alain Rodet, élu au premier tour. Limoges à gauche depuis plus de cent ans, la ville piétine, mais on ne voit pas pourquoi. On devrait obliger les candidats à ne pas pouvoir briguer plus de deux mandats consécutifs, ça renouvellerait le parterre.
• 53 % de la population rennaise a voté, 3% de blanc. Le maire a été élu à 60 %. Si on fait un calcul rapide, l'élection amène à un choix de la gouvernance par 30 % de la population. Pourquoi ne pas changer la méthode de vote, et par la même, la constitution ?

Vous l'aurez également noté, on parle beaucoup de licence globale ces temps-ci. Certains qui se sont ardemment battu comme moi pour son adoption, contrairement à ce qu'a proposé le futur ex directeur de la FNAC et qui est tout simplement liberticide et catastrophique, certaines major sont en train de faire volte face. Non, non, l'idée ne vient pas d'en bas, il y a des génies qui y ont pensé avant hier, c'est tout !

Le seul vrai point négatif dans tout cela : je n'ai pas avancé la documentation de scapy comme je le souhaitais en juin dernier. J'ai du retard, il va falloir que je m'y plonge sérieusement !

Pour finir sur un vrai point positif : Pour être écolo, ne mettez pas votre planche de surf sur la voiture lorsque vous allez bosser, mais seulement quand vous allez à la mer ! (Parle à ma main ! (c)Terminator3)

echo "I love you, Master. Ready to serve." | festival --tts

Il n'y a pas à dire, ça fait du bien de voir les copains et de continuer à tisser des liens. Un salon calme, avec un CNIT refait à neuf.

C'était sympa, mais je n'ai vraiment pas eu assez de temps pour faire tous les stands et j'ai surtout pas réussi à avoir le rubik's cube linux qui était trop classe :-/

Une fois n'est pas coutume, je vais relayer deux vidéos. La première est une réaction d'un groupe vert qui possède 42 sièges au parlement européen. En gros, cela relate que la copie n'est pas un vol, mais une perte de manne financière pour l'industrie du divertissement. Un point de réaction intéressant, à condition que l'action ne s'arrête pas là. La deuxième vient justement de cette même industrie. C'est un passage d'une émission sur une chaîne qui n'aura bientôt plus de pub et qui sera rémunérée par ma connexion internet. L'artiste, que j'apprécie énormément, est Peter Cincotti. Si vous aimez le jazz, c'est un must.

Lire la suite

Il y a quelques mois, le 19 juin 2007, Iliad, par l'intermédiaire du fournisseur Free, réalisait un rêve, défendu ici même avec force pendant les événements de la DADVSI. En effet, alors que le ministre de l'époque, RDDV, voulait imposer une riposte graduée, traquant les internautes pour quelques téléchargements, et fatalement la fin de l'ère de la toute puissance des majors, d'autres défendaient l'idée d'une rémunération plus juste, pour un avancement de la culture dans l'égalité et le plus grand bien de tous, majors comprises. Voici ici le retour sur ce service.

Lire la suite