jeudi, juin 10 2010

SSTIC'10 : comptes-rendus live

De nombreux blogs tiennent en live le CR du SSTIC, c'est encore mieux que d'y être (en tous cas, sur la conf du moment...). Cette année, j'ai choisi de live blogguer via mon identi.ca. Peut-être que je ferai une construction finale, mais pas sûr.

Si vous voulez d'autres points de vue :

Twitter (#sstic2010, #sstic)

Les blogs :

   * par Mat chez Hurukan
   * par Erwan sur n0secure 
   * par Vanhu
   * par Sid

Crédits à Sid pour quelques adresses...

mardi, mars 2 2010

ESEC v3

Le 2 février, j'étais invité par nono à la troisième journée de conférences de l'ESEC, laboratoire de sécurité de Sogeti. Levée du corps à 5h30 pour prendre le train une heure plus tard. Quelques deux heures plus tard, direction l'étoile pour passer la journée dans le 16è. Je remonte l'avenue Foch et profite de la visite pour regarder les immeubles particuliers. Clairement, je n'ai pas encore les moyens...

Après avoir mappé la veille, je trouve sans difficulté les locaux. Prise de badge et direction le sous-sol où l'équipe de Fred attend que les invités remplissent la salle. Jus d'orange, thé et viennoiseries à volonté. Pas de doute, on sait recevoir. Ça a un air de SSTIC connu, étrange. Je retrouve quelques têtes connues dans l'assemblée, as usual. Un œil au programme, l'autre sur les publicités insérées dans la plaquette. Pas de doute, lorsque l'on est habitué à du LaTeX, ça choque. Deux conférences le matin, trois conférences l'après-midi. Au vue de mon billet de train, faudra que j'écourte en fin de journée pour retrouver la campagne. Les conférences, comme je l'apprendrai au cours de la journée, seront agrémentées de longues coupures qui permettent de socialiser. Un peu trop longues à mon goût, j'aurai préféré des présentations un peu plus étoffées et moins de temps pour siroter ;)

Rentrons dans le vif du sujet avec Jean-Baptiste Bédrune qui s'attaque à la protection des contenus. Il liste d'abord quelques outils qui permettent de protéger ce sacro saint contenu, comme les DRM, les solutions satellites (DAC, ECM, EMM...), les solutions pour le streaming (TPM+DADVSI+CLUF). Après cette introduction musclée, on attaque le vif du sujet, puisque la journée est placée sous le signe de l'attaque. Il montre donc que la protection avec des clés qui sont stockées sur le poste après le premier visionnage permet de les récupérer à loisir, que l'antidebugging est pour les kiddies, tout comme l'obfuscation algorithmique. Une autre solution consiste à récupérer la source par un enregistrement tiers, avec l'exemple d'un fichier AAC protégé. Il suffit de le passer en MP3 pour perdre cette protection (même si cela n'a pas été évoqué, on pensera à l'enregistrement d'un film par une caméra vidéo, ce qui casse le mécanisme anti-copie, mais pas l'empreinte). Il évoquera enfin l'asymétrie entre la protection (que l'on peut considérer comme lourde) et la déprotection (qui est un mécanisme faible). Un DRM est une protection de code, ce qu'il assimile à de la sécurité par l'obscurité. Le combat est perdu d'avance, déprotéger est beaucoup plus facile que protéger.

C'est Alexandre Gazet qui prendra la suite de Jean-Baptiste, dans la continuité de sa présentation sur les contenus numériques, il parlera du contrôle d'accès pour le contenu payant. Bien sûr, pour nous, frenchies, ça rime avec une date et une chaîne : 1984 : canal+. La suite viendra quelques douze années plus tard avec canalsat, TPS et ABSat. C'est l'emploi de la norme DVB, avec en général l'affranchissement d'une voie de retour. Alexandre présente les deux modes de piratage connus : partage des mots de contrôle (CW ou control word) et/ou le partage des cartes. De ces faits réels, il décide de nous montrer que ce business peut être lucratif en analysant le cas de deux sociétés fictives, créé pour l'occasion (le cas d'étude, pas les sociétés ;)). La première est spécialisée dans la vente de matériel, la deuxième, dans la vente de cartes. C'est une bonne conférence, sympathique. J'y découvre un business que j'ignorais totalement, n'ayant jamais eu que les chaînes nationales à la maison et aucun matériel à portée.

Le repas est présenté sous forme de lunch. On est globalement très gâté avec un niveau élevé (œufs de caille en cuisson devant vos yeux, foie gras, fromage de qualité...). Promis, je ne comparerai pas avec un certain restaurant universitaire.

L'après-midi reprend avec la présentation pour laquelle je suis venu principalement. En effet, Arnauld a commencé à travailler depuis plusieurs mois sur les réseaux sociaux et c'est un peu l'accomplissement de tout cet acharnement. On commence d'ailleurs magnifiquement par Fred qui nous fait patienter et chauffe la scène en précisant que si jamais la démo ne fonctionne pas, ce sera à cause du chat. En effet, quelques informations plus tard, on apprend qu'un des serveurs pour la démo est le PC d'un des conférenciers, hébergé chez lui et que son chat reboot de manière régulière le pc ou tout au moins, s'amuse avec le clavier. La présentation s'ouvre sur un panorama des réseaux sociaux, en rappelant que c'est un effet localisé. En effet, si Orkut est le premier réseau social au Brésil, ce n'est pas le cas ailleurs. En France, c'est Viadéo et LinkedIn qui tiennent le haut du pavé pour la partie pro et facebook pour les particuliers. Une petite statistique, ça ne fait jamais de mal : aux États-Unis, 54% des entreprises bloquent les réseaux sociaux pour des questions de productivité.

On passe sur le fond de l'étude. On s'intéresse à LinkedIn et facebook. Un premier test sur la collecte directe et indirecte est effectué. Les deux comportements des moteurs s'opposent. Facebook rend les informations privées inaccessibles (son créateur s'en repent aujourd'hui), mais laisse l'ensemble des contacts accessible. Chez linkedIn, on a accès au profil, pas forcément à ses contacts. Il faut alors passer par les groupes pour trouver des cohérences. La démonstration est effectuée sur la personne de Fred, innocente victime "Head of IT security R&D at Sogeti/CapGemini & Chief". Oui, ça pète.

On passe à facebook qui va en prendre pour son grade. On nous évoque la possibilité de traitement automatisé des données, malgré les restrictions sur le javascript, la présence des e-mails dans des images et des captchas, tout se passe très bien. On est rassuré, c'est pas demain que nos données seront à l'abri. On passe à la partie la plus inquiétante. Les applis tiers. En effet, celles-ci ne sont ni hébergées, ni vraiment validées par facebook. En effet, elles sont tiers, mais complètement. Hébergées sur des serveurs distants. Autant dire que vous pourriez mettre la nasa en orbite. La démonstration est flagrante. Un utilisateur ouvre sa page, lance l'application ("où qu'il est le mignon petit chat tout kawaï") et le puppet master prend la main sur son poste via le canal de contrôle, tout en ayant utilisé une faille du navigateur. C'est simple, c'est propre, c'est beau.

Amis utilisateurs qui lisez ce blog (là, ça fait pas très crédible, j'admets), n'utilisez aucune application tiers sur facebook.

Je termine ma journée par la conférence attendue de Damien Aumaître. Son exposé portera sur la protection physique du poste utilisateur. Pour cela, il y a plusieurs moyens : récupérer le mot de passe, installer un trojan, installer des fichiers compromettants (clears... quoi ?), utiliser une clé U3, usage d'un keylogger (jolie vidéo au passage, Jack Bauer n'a qu'à bien se tenir !), on terminera cette longue liste par le dernier jouet de sieur Aumaître : l'amélioration présentée à SSTIC'09 par monsieur Devine en attaquant le bus DMA. Plutôt que d'utiliser de longues phrases, ça se résume en quelques mots :

dévérouillage d'un pc sous windows seven 64 bits en insérant une carte PCMCIA pendant dix secondes puis en tapant n'importe quel mot de passe dans la mire de saisie. Pouf, on est system. C'est toujours aussi magique.

Voilà, c'est l'heure du train et j'ai un excellent Pratchett à finir (the fifth elephant). Ce fut plaisant, bien que les pauses soient un peu longues et qu'une ou deux conférences auraient été appréciées, je dois dire que je reconnais là la patte d'un des créateurs de SSTIC et que j'apprécie.

À l'heure où un certain labo va disparaître, il est réjouissant de voir que d'autres pètent la forme et font avancer notre matière avec des retours intéressants. À noter également que l'aspect offensif apparaît de plus en plus (le blog de la sécurité offensive, la conférence hackito ergo sum...) et qu'il se pourrait que ce changement de comportement prouve une certaine maturité parmi les acteurs en lice.

Merci à Arnauld pour l'invitation et à Fred de ne pas m'avoir envoyé les vigiles à l'entrée :p

mardi, décembre 22 2009

Sécurité, quoi ?

La sécurité est un échec. C'est le titre qu'avait choisi Nicolas Ruff pour son talk à SSTIC en 2009. Depuis, il a entretenu sur son blog un certain nombre de billets étayant son propos. Si je suis de l'avis de ce maître es Ruff, je vais plus loin en affirmant que la sécurité informatique n'existe pas. En effet, quid du débordement de tampon si au moment de remplir son contenu on vérifie les entrées ? Comment avoir une injection SQL lorsque la requête est correcte et contenue dans sa sémantique ? Et qu'est ce qu'une politique de sécurité sinon un ensemble d'usage intelligent, de procédure de suivi et de tableaux de bords ? C'est dans cette approche que j'ai lu "So Long, And No Thanks for the Externalities".

Ce papier sort des laboratoires de Microsoft et se propose en un peu moins de douze pages d'analyser l'impact de la sécurité et de sa non applicabilité en terme de bénéfice ou, en des mots plus simples, pourquoi les utilisateurs choisissent (consciemment ou non) de ne pas appliquer les consignes de sécurité que les RSSI et leurs services tentent désespérément de faire comprendre et suivre. Ainsi, en quelques paragraphes, Cormac s'attaque à l'intérêt de la complexité des mots de passe, la détection du phishing par les utilisateurs, les certificats SSL et le danger de l'attaque par interception. À chaque fois il nous présente le coût, les bénéfices potentiels et les bénéfices actuels. C'est ainsi que sur la problématique du phishing, il sort l'équation simple, mais criante de vérité : sur 180 000 000 américains connectés, le coût du phishing est estimé à 60 000 000 de dollars sur une année. Il en fait alors un calcul simple, le coût du phishing revient à 33 cents par utilisateur. Il ramène ensuite cela au coût à l'heure d'un salaire de base, soit 7,25 $. En résultat, on obtient que si le temps dévolu à éduquer votre interlocuteur dépasse 2 minutes et 34 secondes, l'enseignement revient plus cher que le préjudice lui-même. Je n'évoquerai pas même ici l'entretien réccurrent nécessaire à la tâche. Si je vous laisse lire le contenu de l'article pour que vous en goûtiez la substantifique moelle, je dévoile une partie de l'intérêt de la conclusion. En effet, si le bilan peut sembler à la fois pessimiste et terriblement réaliste, il ouvre tout de même vers une note d'espoir. Si l'éducation n'est pas la panacée, apprendre en s'amusant peut être la voie de l'avenir.

mardi, août 18 2009

What is réseau social ?

Il faut six secondes à la fontaine pour remplir mon verre. Il est interdit de marcher sur les verrières du toit. Le troisième étage nécessite une authentification, alors que je peux me balader librement dans d'autres étages. Je travaille dans un endroit étonnant, je vis des choses passionnantes.

Actuellement, je travaille en pointillé sur deux sujets de recherche (pointillés élastiques, dois-je préciser) car je ne prends pas suffisamment de temps pour mener à bien mes expérimentations et en tirer les conclusions qui sont dues. Le travail s'accumulant, à travers mes différentes activités, étant une autre charge morale dont je me passerai volontiers. Je suis actuellement dans l'état d'un légume qui ne sait faire que lire. Bref. Je disais donc que j'ai deux sujets de recherche, spécifiquement en sécurité informatique. Celui qui nous intéresse présentement concerne les réseaux sociaux. J'étudie l'impact de ces derniers sur notre vie quotidienne, sur la gestion de l'anonymat, sur l'intrusion dans la vie privée et ce que l'on peut en faire. Cela pourrait paraître plus sociologique qu'informatique, mais après tout, notre science est grande.

J'ai pris contact avec un inconnu anonyme que nous appellerons xxx, sous un compte anonyme et proposé une connexion amicale. Ce qui a gentiment été accepté. Ce test m'amène à d'autres tests pour l'étude dont je reparlerai ultérieurement, si j'aboutis. Après avoir tenté quelques échanges par l'intermédiaire du moteur interne, sans réponse, j'ai enfin reçu un message ce matin :

Vous ne respectez pas le principe de ce réseau social auquel je me soumets volontiers moi-même : assumer son identité réelle. Vous n'avez qu'un faux profil, sans photos, sous pseudo dont l'unique but apparemment était de me compter parmi vos connaissances (puisque vous n'en avez pas d'autres). Je préfère donc mettre fin à cette imposture, cher yyy.

Bien qu'ayant uniquement contacté xxx sur son compte anonymisé, mes investigations m'ont permis de retrouver son identité réelle, identité à qui j'ai demandé d'être en relation, sans plus d'incursion dans sa vie privée. Connexion acceptée. Ce compte de recherche n'avait que deux connexions, reliées apparemment à la même personne.

Ce que nous pouvons retirer de cette première expérience, malgré la rudesse des propos de l'interlocuteur, est plutôt satisfaisant. En effet, on en considère les faits suivants :

  • - l'usager partage facilement ses données
  • - l'usager s'attend à un mimétisme (je partage mes photos, tu dois donc partager tes photos)
  • - l'usager souhaite voir un profil, même s'il est bidon (nom, prénom, âge, activité sexuelle)
  • - l'usager ne souhaite pas être une cible directe (création d'un réseau bidon avec émulation simulée pour travail sur cible)

Si l'on dérive sur notre cible (le mot n'est pas ici péjoratif), il est surprenant de constater qu'on me reproche d'être anonyme, alors que je parle à un autre anonyme.

Il est tout aussi surprenant que de nouveaux arrivants sur le réseaux pensent devoir définir des règles de fonctionnement, alors que, disons le bien, ils ne savent pas épeler RFC. C'est d'un sarcasme à toute épreuve :)

En tous cas, merci à cette cible anonyme, si un jour elle se reconnaît, pour cette étude. J'aurai préféré, de loin, biaiser le résultat. (Spéciale dédicace à pp.)

vendredi, juin 26 2009

De l'autre côté du SSTIC -- fin

Rappel des épisodes précédents :
Premier jour SSTIC'09
Deuxième jour SSTIC'09

Lire la suite...

lundi, juin 15 2009

De l'autre côté du SSTIC -- suite

Rappel de l'épisode précédent

Le matin du jeudi, c'est l'ode au fuzzing.

Lire la suite...

mardi, juin 9 2009

De l'autre côté du SSTIC

Toute personne ayant remarqué une référence mythologique pourra découvrir à loisir les différents degrés de cette mélodie ici décrite.

Lire la suite...

mardi, avril 21 2009

Tiens, tiens, tiens.

Cela pourrait être le titre d'une rubrique (certains qui ont du temps diraient bien un site). On pouvait lire ici et que Google Labs lançait un nouveau service de recherche sur les images similaires. Jusque là, pas de quoi fouetter un chat. Sauf que cela pose plusieurs questions très intéressantes.

Lire la suite...

mardi, avril 14 2009

Paf, la bibliothèque

Faisant suite à un billet de d. sur les mises à jour des bibliothèques et d'un second passage de Fred, je me suis penché sur l'outil checkrestart fourni par le paquet debian-goodies.

Lire la suite...

lundi, mars 23 2009

Petit résumé pratique à l'usage des futurs JSSIens (2009).

Surtout parce que mes élèves me l'ont demandé, je retranscris ici quelques moments de la journée de conférences que l'OSSIR organise chaque année. Une journée à Paris. Pour cette édition, nous avions sept conférences et une table ronde. Le thème de la journée était les nouveaux visages de l'insécurité informatique. Au menu, des gens de tous horizons, des rencontres sympathiques et des thèmes alléchants.

Première astuce : devenir adhérent.

En effet, adhérer à l'association coûte 45 euros. Vous ne repartez pas avec un dvd bonus, mais vous assistez à l'assemblée générale, avez le droit de vote et ça vous permet de ne payer l'entrée à la JSSI à hauteur de 15 euros (75 pour les non adhérents). Et comme dit un membre : adhérer à l'OSSIR et aller à la JSSI, ça me coûte moins cher que d'aller à la JSSI toute seule, et en plus, le repas est offert. Bon, d'accord, présenté comme cela, ça fait un peu rat, mais en cette belle période prolifique en dépressions (bancaires ou mentales), ça fait du bien de s'imaginer qu'on ait le maître du monde.

Une bonne session, ça se commence tôt. Prévoyez d'être là vers 8h40. Pour les provinciaux, je vous incite à trouver à loger à Paris la veille, ça permet d'arriver sereinement et surtout d'être frais dans ses basckets. Prévoyez du côté de la Santé, mais pas la peine de maltraiter quelqu'un pour y passer une nuit. Privilégiez les amis ou hôtel (j'en profite pour remercier mes hôtes d'une nuit : It waz Ubba wonderful, fanx!). Pour être sûr que vous êtes bien inscrit, assurez-vous d'avoir reçu un mail du trésorier de l'association.

Cette année, on a commencé les hostilités avec François Paget qui a fait la démonstration que dans la réalité virtuelle, on peut reproduire l'ensemble des malwares que l'on connaît dans la vie réelle, tout comme des vers ou des virus, ou encore effectuer du fishing. Je conseille la lecture des travaux, surtout si vous avez déjà traîné sur seconde life, ça vous incitera à ne plus parler à personne.

C'est ensuite une rencontre inattendue. Stéphane Koch, qui est arrivé à la bourre (si, si, je balance et j'assume) nous a fait un retour assez soutenu sur les enjeux de l'e-réputation. Je sais qu'il a enregistré sa conférence. Je ne sais pas si elle sera en ligne, mais je vous conseille de vous intéresser au monsieur et à ses travaux. Comme toujours, dès que ça touche la relation humaine et les relations sociales, ça me transcende. Il m'a presque convaincu de m'ouvrir un compte facebook pour surveiller les âneries que les autres pourraient dire ou publier sur moi. D'ailleurs, ça m'a donné une idée de travaux rapide et efficace. La suite, très vite... ou ça restera confidentiel.

Éric Barbry était notre juriste cette année. Toutes les bonnes conférences ont un juriste. Pas de juriste, fuyez, c'est une mauvaise conférence. Le nôtre est issu du cabinet Bensoussan, cabinet bien connu du milieu. Et là, j'ai bondi deux ou trois fois de mon siège. Parce que déjà "Internet et Création" n'est pas une loi, cher maître, mais un projet de loi. Et pour moi, ça change beaucoup de choses. Monsieur Barbry fait parti du comité de l'OSSIR qui a rédigé un rapport sur les logs, rapport que l'on espère bientôt voir apparaître dans les bacs d'ailleurs. En tous cas, récupérez les slides dès que vous le pourrez, parce que vous allez découvrir que la loi française ne sait pas définir ce que sont des logs, et là, c'est drôle. Bon, ça n'empêchera personne de vous accuser de n'importe quoi. D'ailleurs, il citera entre autre une documentation intéressante de la CNIL que je vous invite à consulter, entre autre les feuillets 5 et 6.

Allez, un petit paragraphe plein de mots clés pour les psycho-rigides qui me lisent, les autres, vous pouvez aller directement au paragraphe suivant :

  • Tout le monde est FAI
  • Si vous êtes hébergeur, vous avez un devoir légal de filtrage de la pédo pornographie et des jeux de hasard (L335-12 du CPI)
  • Que la vie privée résiduelle ne doit pas remplacer votre travail (Jurisprudence Franck.L/Entreprise Martin), pas plus que le fait d'écrire (185 mails) à votre maman (en un mois) [Si quelqu'un à la bonne ref...]
  • Il est illégal d'exporter des données à caractère personnel hors de l'Union Européenne (Arnaud, si tu me lis et que tu as la ref...)
  • Le CRU a une bonne politique pour les logs.

S'en est suivi la table ronde animée par Hervé Schauer. Je n'ai pas pris beaucoup de notes car il est toujours délicat d'avoir une table ronde équilibrée avec un beau débat et un public présent. Cependant, quelques points intéressants. Nous sommes actuellement à l'âge d'or de la sécurité et nous ne nous en rendons que peu compte. Il y a beaucoup de données volatiles et beaucoup de données perdu. Que peut-on faire contre cela ? Vous trouverez ici une illustration intéressante de ce support volatile. Il a également été fait question de la jeune génération constitué de la portion allant de 16 à 22 ans. Ces gens là sont presque nés avec un téléphone mobile à l'oreille et la caméra au bout du doigt. Il est fréquent de trouver des vidéos de tout et n'importe quoi, comme des jeunes qui filment le matraquage en règle d'un adulte ou encore la vidéo d'un prof en colère filmé à son insu et souvent hors contexte. Et bien, ces mêmes jeunes là laissent leur portable en mode vidéo pendant que vous tapez le mot de passe de contrôle parental. Prenez gare mes amis, l'époque du changement de clavier à la volée est venu. Enfin, pour les parents qui tapent à deux doigts.

Vînt enfin l'heure tant attendue du repas. Je traîne en salle de conférence parce que je souhaite absolument discuter avec Stéphane Koch. Certains diront que j'ai fait mon cinéma, mais d'autres penseront que c'est un moment de débat intéressant. Moi, j'ai apprécié, surtout d'avoir des points de vue de personnes intelligentes et réfléchies. Débats sur le vote électronique, Internet et création, la politique, les jeunes, Albanel, la politique, la sécurité, les artistes, la politique, la sécurité, les réseaux sociaux. Fallait pas m'inviter.

L'après-midi sera plus technique. On commence par maître ès Ruff qui fait un état de l'art de la virtualisation, en ayant pompé la plupart de ses définitions sur Wikipedia. Rien de révolutionnaire, mais pas mal de petits points à voir et à fouiner dès que les diapos seront en ligne. Toujours des anecdotes sympathique et un personnage immense (mais tout de même, les définitions prisent dans wikipedia, pas universalis :p).

S'en suit une conférence sur les Software as a service plus communément appelés SaaS. Je n'ai pas apprécié du tout, mais ça n'a rien à voir avec l'intervenant ou le contenu de la présentation. Je n'aime pas les SaaS, je suis contre l'externalisation, alors là, c'est le pompon. Il en faut, me glisse ce cher président de l'OSSIR. Je dois être trop jeune pour comprendre. Quand j'aurai des poils au menton, ça ira mieux. En attendant, je m'assieds et je me tais. (ITIL, c'est le mal.)

On terminera la journée avec deux interventions. La première sur les rootkits navigateurs. Rien de bien neuf pour moi sur la partie firefox, j'avais bossé avec danyboy sur la présentation à mozilla, on retrouvait exactement les même concepts. J'ai incité les auteurs à tirer les oreilles à Mozilla. À force de le dire, on va peut être se faire entendre. La gestion des modules dans mozilla firefox : It's not a feature, it's a bug!

La partie sur Internet Explorer ne m'a pas intéressé, je pense que vous vous en doutez. Une réaction intéressante d'un de mes collègues de l'OSSIR : mais avec quel navigateur libre et sécurisé peut-on alors surfer ? La question reste ouverte, si vous avez des propositions, les commentaires sont à vous. Moi, j'affectionne links et w3m.

Pour clore cette journée, une présentation qui aurait plu à une bonne partie de mes élèves qui ont passé une partie de leur temps sur la signature numérique et la création d'un HIDS : les fonctions de hachage, un domaine à la mode. Petit rappel sur ce que c'est, à quoi ça sert. Comment est mort md5, une fois... deux fois... trois fois, adjugé vendu. Pourquoi le SHA n'est il pas mieux loti et l'état du concours du NIST pour remplacer MD5. C'était tout simplement passionnant.

Fin de la journée, un peu de rangement, serrage de paluches et à l'année prochaine. Le train me ramène vers Rennes, et Pratchett m'accompagne tout au long des deux heures de rang.

Ce poste est dédié à Philippe qui' m'a demandé un retour sur ma journée à Paris.

lundi, mars 16 2009

SSTIC09, c'est parti

Pour tous les lecteurs de ce blog intéressés par la sécurité informatique, sachez que les inscriptions pour SSTIC 09 sont ouvertes depuis 10h55 ce matin. Voici l'extrait du mail :

Les inscriptions pour l'édition 2009 de SSTIC sont ouvertes.

Le symposium se déroulera les 3, 4 et 5 juin 2009 à Rennes sur le campus de Beaulieu.

Cette année, le social event pourra accueillir tous les participants, c'est pour cette raison que les places sont à un prix unique (sauf tarif étudiant). Le prix inclut également les trois déjeuners au restaurant universitaire du CROUS.

La gestion des inscriptions est assurée par Diamond Editions aux adresses suivantes :

- Plein Tarif (230 EUR) http://ed-diamond.com/produit.php?p...

- Tarif Étudiant (60 EUR) http://ed-diamond.com/produit.php?p...

Comme d'habitude: - la règle du "premier arrivé premier servi" est appliquée - il n'est pas possible de réserver des places (si vous passez par bon de commande, pensez à motiver vos services administratifs) - il n'est pas possible d'acheter une entrée pour un ou deux jours uniquement - il n'est pas possible d'acheter des places "sans repas" ou "sans social event" - un justificatif est nécessaire pour le tarif étudiant/sans-emploi - vous vous engagez à ne pas acheter de places pour les revendre aux enchères

Le programme est en ligne à l'adresse suivante :

http://www.sstic.org/SSTIC09/progra...

jeudi, février 19 2009

Pré-programme de SSTIC'09 en ligne

Rien que pour vos mirettes, le squelette du programme de cette nouvelle mouture de SSTIC est en ligne. Je vous laisse aller consulter.

message personnel : oliv, ton flux rss, c'est pas la joie :-/

lundi, février 9 2009

Si vous ne le saviez pas encore

Je m'occupe avec mon camarade et ami Olivier Heen (avec un H), de la section bretonne de l'OSSIR. Un groupe intéressant, entre une vingtaine et une trentaine de participants, en fonction des sujets abordés. On ne pourra d'ailleurs que remercier les industriels et les universitaires qui nous accueillent une après-midi une fois tous les deux mois. Pour l'édition de février, nous serons à Thomson Rennes.

Je prends le temps de faire un billet, car, chose rare, nous ne ferons que du logiciel libre, avec la présentation d'Hynesim, une plate-forme distribuée de simulation réseau hybride et d'IP Morph, un mystificateur d'outil de prise d'empreinte. De quoi me mettre en appétit et de se faire une bonne séance, d'autant plus qu'une bonne partie des compétences mondiales en prise d'empreinte système se trouvent en Bretagne !

Pour ceux qui veulent en savoir plus, ou venir (c'est libre et gratuit), n'hésitez pas à consulter la page de l'OSSIR Bretagne

mercredi, octobre 15 2008

Gomor, sa vie, son blog

Mon camarade Gomor, de son appellation cybernétique, vient d'ouvrir son blog et il nous encourage à le faire savoir. Dont acte.

Mais avant de vous donner l'adresse de cette nouvelle source d'information, un rapide portrait. Gomor est un spécialiste en sécurité, plus spécifiquement la partie qui touche aux réseaux. Ainsi, il est l'auteur de SSL Capable Netcat, mais également du fabuleux SinFP. Sur ce dernier outil, nous avons eu droit à un talk lors du dernier SSTIC, ainsi que quelques articles dans MISC à propos de la prise d'empreinte.

Voilà, le tableau étant peint, vous pouvez maintenant aller visiter son nouveau blog, Protocol Hacking, qui promet de belles analyses.

Courage Patrice, ça prend du temps de bloguer. Bienvenu dans la blogosphère !

mardi, octobre 14 2008

Appel à soumission pour le SSTIC'09

L'appel aux papiers vient d'être lancé pour SSTIC 2009, qui se déroulera du 3 au 5 juin de l'an de grâce 2009.

Pour faire court, voici le rappel des dates :

  • Date limite de soumission : 4 janvier 2009
  • Notification aux auteurs : 9 février 2009
  • Remise des versions finales (Word): 27 mars 2009
  • Remise des versions finales (LaTeX): 3 avril 2009
  • Déroulement du symposium : 3, 4 et 5 juin 2009

Le site n'est pas encore à jour, mais cela ne devrait pas tarder.

Une petite nouveauté, qui a son importance pour moi : je fais officiellement parti du comité de programme de SSTIC'09.

UPDATE : Le site est maintenant à jour

lundi, septembre 15 2008

SPAM de sécurité

Le démarchage publicitaire n'aura de cesse de me surprendre. On appelle en général cela du spam, suite à un sketch des monty python, ou plus généralement, dans la langue de Molière, un courrier indésirable. J'en reçois plusieurs par jour, comme toute personne ayant un tant soit peu de vie sur Internet, et je vis avec de manière générale. Aujourd'hui, j'ai cependant reçu un courrier que je n'ai jamais sollicité qui m'a fait grandement sourire :

From: "CELESTE" <celeste1354.mail@message-business.com>

To: "'jpgaulier'" <jpgaulier@causetoujours.fr> Subject: SPAM Faille DNS : testez gratuitement votre vulnérabilité Date: Mon, 15 Sep 2008 14:16:24 +0200 Reply-To: info@celeste.fr X-Mailer: MESSAGE BUSINESS Mail Sender, (c) www.message-business.com

Et oui, le sujet, fort intéressant, qui a été longuement médiatisé et dont j'ai déjà parlé repointe le bout de son nez. Alors que je pensais le sujet clos jusqu'à la prochaine boucle informatique d'à peu près trois ans (je me base sur mon expérience des chaînes de courrier), voilà qu'on me propose un service qui va tester si oui ou non je suis faillible, si mon système doit prendre peur ou faire ses valises, ou alors ricaner devant la menace qu'est Internet et la communauté de hacker qui le compose.

Je passe sur la présence des images bien sympathiques pour permettre de savoir si vous avez lu le mail en html ou non (tous mes mails sont lus en plain text, avec passage en html selon mon bon vouloir), j'en viens directement au contenu du mail :

La faille DNS constitue une des failles de sécurité les plus importantes sur les 5 dernières années. CELESTE vous propose de tester gratuitement votre vulnérabilité. Le test est disponible sur le Lab CELESTE, le site technique dédié aux professionnels et passionnés du secteur informatique et télécoms.

Je ne connaissais pas le FAI Celeste, ni ses activités de R&D en sécurité ; il faut dire que mon travail dans un environnement de production ne me facilite pas la vie au quotidien et encore moins la veille, mais je crois que je n'aurai pas loupé la naissance d'un important labo, ou du moins Sid et les autres en auraient parlé, ce doit donc être d'illustres inconnus. Ceux-ci se sont donc payés les services d'un spammeur officiel service de marketing ayant de bons gros fichiers d'emailing. Je ne suis pas dupe, cette adresse, je l'ai laissée à Solution Linux, je me doute bien qu'elle est réutilisée, mais je ne me souviens pas avoir coché une quelconque case autorisant cet usage. De ce fait, je pré-suppose que son emploi est illégal. On ne va pas pinailler sur ce point, la CNIL (la cour européenne non plus) ne réussissant déjà pas à se faire entendre sur le projet de loi Hadopi, ce n'est pas une banale revente d'une adresse mail qui changera les choses, mais je le note.

Tout cela pour dire que, même en utilisant des techniques dîtes de pirate, ou de mauvais enfants, certains pensent soi-disant au bonheur des autres. Si c'est pas beau la nature humaine !

En conclusion, cela me conforte dans l'idée de Keepin ne doit pas utiliser de telles techniques pour se faire connaître, même si le démarrage se fait lentement ; on, du moins moi, n'est pas prêt à voir des virus corriger des failles de sécurité contre notre gré ; on a de gros progrès à faire en matière d'application du droit et de protection des utilisateurs.

Pour ceux qui sont intéressés par le test, vous trouverez plus d'info sur la page de ces Méchants Garnements

vendredi, août 22 2008

Firefox, ou le MSIE du futur ?

Mon ami et camarade Daniel Reynaud vient enfin d'ouvrir un blog. Daniel est chercheur en sécurité, principalement orienté sur les problèmes de malware et de virus. Nous avons eu l'occasion de nous revoir lors du SSTIC'08, Daniel, donnant tout comme moi, une rump. Le sujet abordé était la sécurité des extensions Mozilla Firefox.

Après quelques contacts avec Tristan, que je connais par mes activités dans le libre, nous avons pu faire ouvrir un bug sur le bugzilla du logiciel. Vous pourrez retrouver toute l'information sur ce problème sous le numéro 442153.

Daniel et son collaborateur remontaient différents problèmes :

  1. l'intégrité des modules complémentaires n'est pas vérifiée après l'installation de ces derniers, c'est à dire que ceux-ci peuvent être modifiés après installation sans que l'utilisateur ne soit mis au courant (ni même le logiciel),
  2. les modules complémentaires peuvent être installés par n'importe quelle application tierce,
  3. un module complémentaire peut être supprimé de la liste des modules installés sans pour autant être supprimé ou desactivé,
  4. les modules complémentaires peuvent refuser au gestionnaire de module leur désinstallation.

Ceci étant, en combinant les différents choix, nous obtenons une belle exploitation pour un malware ou un virus, qui se voit l'opportunité d'avoir une place au chaud avec de bonnes combinaisons (accès aux mots de passe de l'application, accès à internet via l'aplication, ...). La question semble donc relativement sérieuse.

Voici les réponses apportées par l'équipe en charge des problèmes de sécurité de Mozilla Firefox :

  1. certains modules ont besoin de modifier des fichiers après leur installation, il est donc impossible de restreindre cette fonctionnalité. Il semble même étrange que l'on souhaite restreindre les droits d'écriture d'un module à son strict répertoire.,
  2. c'est tout de même bien pratique que skype puisse installer un module sans l'intervention de l'utilisateur,
  3. la correction sera peut être apportée dans Mozilla Firefox 4,
  4. c'est une mauvaise configuration du module (?) qui a des droits complets sur le système.

Au-delà des problèmes réels soulevés, je trouve que la réponse est un peu rapide et légère. Pourquoi ? Parce que les reproches qui ont été fait par le passé à ActiveX se retrouvent également ici. Une trop grande permissivité permet à un attaquant d'atteindre de manière plus rapide son but. Ainsi, la sécurité est encore une fois sacrifiée pour la sacro sainte utilisabilité.

Attention cependant, on dit que l'avenir de la bureautique ou du poste de travail se transfère des systèmes d'exploitation vers les navigateurs. Avec de tels choix de design et de réaction, il sera intéressant de suivre l'évolution des malwares et virus désirant choisir ces biais, cela pourrait donner de belles choses (une pensée émue pour MS Blaster ;))

samedi, juillet 12 2008

Au secours, DNS est en danger

Je me serai sûrement bien passé de faire un billet sur ce sujet, mais trois éléments m'y poussent :

  • mon chef a lu libé et a trouvé l'article catastrophe
  • deux commerciaux de ma boîte m'ont dit "oh, tu as vu la faille énorme..."
  • Maître Bortzmeyer a pointé un écrit de Vixie qui me plaît

Dont acte. Oh là, là, on vient de découvrir une faille énorme sur l'implémentation du service DNS, la gestion des ports aléatoires, tout ça.. Voici ce qu'écrivait Paul Vixie en 1995. Il parle de la prévision des identifiants de requête :

With only 16 bits worth of query ID and 16 bits worth of UDP port number, it's hard not to be predictable. A determined attacker can try all the numbers in a very short time and can use patterns derived from examination of the freely available BIND source code. Even if we had a white noise generator to help randomize our numbers, it's just too easy to try them all.

Voici une traduction personnelle :

Avec seulement 16 bits pour l'ID de la requête et 16 bits pour le numéro de port UDP, il est difficile de ne pas être prévisible. Un attaquant déterminé peut essayer toutes les valeurs dans un temps très court et peut utiliser les expressions dérivées en examinant le code source de BIND librement disponible. Même si nous avions un générateur de bruit blanc pour nous aider à créer de l'aléa, cela reste encore bien trop facile d'essayer toutes les valeurs.

En gros, plus cela change...

Que cela ne vous empêche pas de mettre à jour vos systèmes, comme tous les jours.

lundi, juin 16 2008

Mes stats de SSTIC, jour III

Dernier jour, dernière fatigue de SSTIC pour cette année, avec pour une fois, un social event bien négocié.

Lire la suite...

mardi, juin 10 2008

Mes stats de SSTIC, jour II

Compte rendu de la deuxième journée, après une courte nuit afin de produire un support propre pour ma rump. Note pour plus tard, penser à me faire un thème personnel pour beamer.

Lire la suite...

- page 1 de 2