Mot-clé - sécurité

Fil des billets - Fil des commentaires

mardi, janvier 4 2011

Blague technophile

Marc dit à Georges d'expliquer SSO. Et Georges Lucas.

Je dois avouer être assez fier ;)

vendredi, octobre 1 2010

Loopbacked ?

Véridique, ce jour :

Pouvez-vous me dire à quelle machine ou serveur correspond l'IP 127.0.0.1 ?

Et ouais...Il y a des lectures qui se perdent...

lundi, septembre 20 2010

Menus changements

L'année aura été longue, très longue. Beaucoup moins de publications sur ce blog, beaucoup moins de travail personnel. Pour autant, cela n'est pas dû à une vie personnelle particulièrement riche. Non. Mon activité professionnelle m'a amené à piloter un projet suffisamment important pour que le soir, de guerre las, je sois psychologiquement et intellectuellement fatigué, n'ayant que pour envie de légumiser. Combien il est bon d'apprécier être à pied d'égalité avec une carotte ou une pomme de terre, pouvoir se raconter des blagues à faire rougir un radis.

Pour autant, cela n'a pas bien fait avancer mon business, ni mes prétentions. Alors, que se passe-t-il ?

Cela fait plus ou moins deux années que je cherche de manière plus ou moins active un emploi qui me permettrait d'aller au-delà de ce que je fais actuellement. Finalement, mon âge aura été le facteur le plus handicapant de toutes mes recherches et s'avère en désaccord avec la bienséance française. Quelqu'un de moins de trente ans, semble-t-il, ne peut pas assurer de manière cohérente, des responsabilités à un haut niveau. Ou peut-être faut-il avoir fait X ou l'ENA. Toujours est-il, qu'en désespoir de cause et après avoir passé une année à mi-temps dans le train, j'ai élargi mon champ de recherche.

Ainsi, il me faut remercier toutes les entreprises qui m'ont permis de faire ce choix délicat : Orange, Nexans, Canon, l'Éducation Nationale, Lemahieu, Taste, le CHU de Rennes, RTL, GSanté, Glon, Abaka et Thomson.

Un grand merci, car sans vous, sans votre volonté, je n'aurai jamais franchis le pas de quitter cette belle ville de province qu'est Rennes pour aller conquérir la capitale française. Sans jambage, j'officialise donc ce gros changement qui intervient dans ma vie, je deviens parisien (tête de chien). Le pire, c'est que cela me ravit. J'avais en effet besoin d'avancer, de changer les choses, bousculer les événements, rencontrer des gens, vivre et sortir. J'étouffe dans mon habitude établie et j'aspire à du changement. C'est au moins radical.

J'ai donc accepté une mutation au sein de mon entreprise. Cela a l'avantage de me faciliter la liaison, tout en me laissant l'opportunité de nouvelles perspectives. En l'état, je suis donc le nouveau responsable du consulting sécurité de mon agence parisienne. Enfin, je le serai, dans 11 jours. Un service à monter, une offre à créer, des choses intéressantes pour une vision de la sécurité tangente. En effet, j'ai le plaisir et l'avantage de traiter la sécurité au quotidien au sein de la production, la vraie, celle qui ne souffre pas qu'un délire stalinien vienne mettre son grain de sable dans la production d'une usine, où l'arrêt d'une heure d'une machine revient à perdre quelques millions d'euros. C'est sous cet angle que j'ai déjà commencé la préparation de mon offre et c'est sous cet angle que je compte bien m'y attaquer.

De toute façon, il serait prétentieux et complétement stupide de ma part de vouloir entrer sur un marché saturé où bon nombre de sociétés ont déjà le meilleur de la production mondiale : EADS IW, ESEC, Atlab, HSC... D'ailleurs, si vous avez besoin d'un audit, je ne puis que vous conseiller leurs services, ce sont les meilleurs.

Nouvelle vie, nouvelles envies. Pour l'instant, je lorgne sur un appartement dans le carré magique de Vincennes, le temps nous dira s'il est mien ou non. Tous les whois à changer, rien que d'y penser, ça me fait rêver... Cartons en préparations, formulaires de changement d'adresse, relocalisation. Bref, que du bonheur.

En attendant ce mois d'octobre un peu chargé, mois qui verra le bilan de trente années écoulées, je me focalise sur la fin de mon projet, histoire de terminer ce que j'ai commencé et qui devrait gentiment m'amener jusqu'à mes vacances d'été... en octobre.

Des nouvelles quelque peu personnelles, soit, mais comme je n'ai pas le droit de parler de ce que je fais dans mon travail, ça limite mes interventions au droit, à l'informatique et à l'actualité. Et ces temps-ci, je n'ai pas envie d'en parler, ou du moins, d'en écrire. Sachez cependant que je garde au frais un petit billet sur tcp/ip, que j'espère avoir le courage d'écrire d'ici peu.

Pour terminer, sachez que j'ai des articles en préparation sur IPv6, pour de la publi papier et qu'une formation sur le droit et les NTIC va bientôt être disponible à la commande chez formation libre. Si vous êtes d'ores et déjà intéressé par cette formation, vous pouvez m'écrire en privé, en attendant la publication officielle sur le site (et vraisemblablement sur ce blog).

Amis du web, joyeux lundi !

jeudi, juin 10 2010

SSTIC'10 : comptes-rendus live

De nombreux blogs tiennent en live le CR du SSTIC, c'est encore mieux que d'y être (en tous cas, sur la conf du moment...). Cette année, j'ai choisi de live blogguer via mon identi.ca. Peut-être que je ferai une construction finale, mais pas sûr.

Si vous voulez d'autres points de vue :

Twitter (#sstic2010, #sstic)

Les blogs :

   * par Mat chez Hurukan
   * par Erwan sur n0secure 
   * par Vanhu
   * par Sid

Crédits à Sid pour quelques adresses...

jeudi, mai 20 2010

Ouverture de Formation Libre au public

Pour ceux qui suivent régulièrement ce blog, vous savez que je m'investis depuis un peu plus de deux ans dans ma société, nommée Keepin. Nous commençons à avoir des retours intéressants, mais j'en dirai plus un peu plus tard. Si j'en parle aujourd'hui, c'est parce que nous venons d'ouvrir un nouveau service de formation à distance, fort de nos six ans d'expérience à l'École Ouverte Fracophone.

Je vous laisse découvrir le communiqué de presse :

La société keepin est heureuse de vous présenter sa nouvelle offre de service : Formation libre.

Formation libre est une offre de formation continue professionnelle à distance dans le domaine de l'informatique, plus spécifiquement tournée vers les logiciels libres et issue d'une expérimentation éprouvée depuis plus de six ans.

La formation à distance a désormais acquis ses lettres de noblesses. Elle entre dans la culture des salariés comme une réponse au besoin permanent de se former sans perturber le rythme de travail. Elle répond aussi particulièrement bien aux besoins de personnes expatriées et aux milieux ruraux. Nous avons eu beaucoup de remarques de ce type via l'association École Ouverte Francophone que nous animons. 

déclare A. Mascret président de l'Éof.

La formation à distance présente aussi des avantages pour les salariés :

Certes il existe un planning pour le cours, mais la liberté dont on dispose dans l'organisation devient rapidement un avantage. Ceux dans lesquels on est plus à l'aise peuvent être traités plus rapidement laissant ainsi plus de temps pour les autres… La formation à distance demande une plus grande maturité, mais elle permet d'avoir une aide plus personnalisée… 

déclarent P. Lapage et F. Tocquaine dans une interview sur la formation à distance (Linux Pratique Août 2009)

Par ailleurs, toutes les études semblent confirmer que, dans le domaine informatique, le secteur des logiciels libres représente, au niveau mondial, celui qui aura le plus fort taux de croissance dans les 4 à 5 ans qui viennent et l'enquête que nous avons mené sur le territoire Francophone en 2009 nous a confirmé cela… 

complète A. Mascret.

C'est donc tout naturellement que les créateurs de la société Keepin, également spécialistes dans le domaine de la formation à distance et dans celui les logiciels libres ont décidé de proposer une solution adaptée.

Formation libre propose d'ores et déjà six formations dans les domaines du système et des réseaux basés sur les Logiciels Libres.

Idéalement conçues pour s'intégrer au rythme de travail de l'entreprise ou du salarié, ces formations se déroulent à distance, sur trois semaines, représentant un équivalent temps plein de cinq jours.

Dans leurs conceptions, les cursus permettent l'adaptation du rythme de l'apprentissage aux contraintes du salarié et de son activité professionnelle mais peuvent être également suivies en dehors du temps de travail dans le cadre du DIF (Droit Individuel à la Formation) par exemple. La formule 'à distance' devient aussi plus économique en coûts et en fatigue. Elle évite les absences, les déplacements, les frais de restauration ou d'hébergement.

Tout au long de chaque formation, des formateurs, à la fois professionnels et spécialistes du domaine abordé, accompagnent, aident et conseillent les auditeurs sur toutes les difficultés qu'ils peuvent rencontrer.

Pour toute information : contact_AT_formation-libre.fr

Visitez le site des formations.

mardi, mars 2 2010

ESEC v3

Le 2 février, j'étais invité par nono à la troisième journée de conférences de l'ESEC, laboratoire de sécurité de Sogeti. Levée du corps à 5h30 pour prendre le train une heure plus tard. Quelques deux heures plus tard, direction l'étoile pour passer la journée dans le 16è. Je remonte l'avenue Foch et profite de la visite pour regarder les immeubles particuliers. Clairement, je n'ai pas encore les moyens...

Après avoir mappé la veille, je trouve sans difficulté les locaux. Prise de badge et direction le sous-sol où l'équipe de Fred attend que les invités remplissent la salle. Jus d'orange, thé et viennoiseries à volonté. Pas de doute, on sait recevoir. Ça a un air de SSTIC connu, étrange. Je retrouve quelques têtes connues dans l'assemblée, as usual. Un œil au programme, l'autre sur les publicités insérées dans la plaquette. Pas de doute, lorsque l'on est habitué à du LaTeX, ça choque. Deux conférences le matin, trois conférences l'après-midi. Au vue de mon billet de train, faudra que j'écourte en fin de journée pour retrouver la campagne. Les conférences, comme je l'apprendrai au cours de la journée, seront agrémentées de longues coupures qui permettent de socialiser. Un peu trop longues à mon goût, j'aurai préféré des présentations un peu plus étoffées et moins de temps pour siroter ;)

Rentrons dans le vif du sujet avec Jean-Baptiste Bédrune qui s'attaque à la protection des contenus. Il liste d'abord quelques outils qui permettent de protéger ce sacro saint contenu, comme les DRM, les solutions satellites (DAC, ECM, EMM...), les solutions pour le streaming (TPM+DADVSI+CLUF). Après cette introduction musclée, on attaque le vif du sujet, puisque la journée est placée sous le signe de l'attaque. Il montre donc que la protection avec des clés qui sont stockées sur le poste après le premier visionnage permet de les récupérer à loisir, que l'antidebugging est pour les kiddies, tout comme l'obfuscation algorithmique. Une autre solution consiste à récupérer la source par un enregistrement tiers, avec l'exemple d'un fichier AAC protégé. Il suffit de le passer en MP3 pour perdre cette protection (même si cela n'a pas été évoqué, on pensera à l'enregistrement d'un film par une caméra vidéo, ce qui casse le mécanisme anti-copie, mais pas l'empreinte). Il évoquera enfin l'asymétrie entre la protection (que l'on peut considérer comme lourde) et la déprotection (qui est un mécanisme faible). Un DRM est une protection de code, ce qu'il assimile à de la sécurité par l'obscurité. Le combat est perdu d'avance, déprotéger est beaucoup plus facile que protéger.

C'est Alexandre Gazet qui prendra la suite de Jean-Baptiste, dans la continuité de sa présentation sur les contenus numériques, il parlera du contrôle d'accès pour le contenu payant. Bien sûr, pour nous, frenchies, ça rime avec une date et une chaîne : 1984 : canal+. La suite viendra quelques douze années plus tard avec canalsat, TPS et ABSat. C'est l'emploi de la norme DVB, avec en général l'affranchissement d'une voie de retour. Alexandre présente les deux modes de piratage connus : partage des mots de contrôle (CW ou control word) et/ou le partage des cartes. De ces faits réels, il décide de nous montrer que ce business peut être lucratif en analysant le cas de deux sociétés fictives, créé pour l'occasion (le cas d'étude, pas les sociétés ;)). La première est spécialisée dans la vente de matériel, la deuxième, dans la vente de cartes. C'est une bonne conférence, sympathique. J'y découvre un business que j'ignorais totalement, n'ayant jamais eu que les chaînes nationales à la maison et aucun matériel à portée.

Le repas est présenté sous forme de lunch. On est globalement très gâté avec un niveau élevé (œufs de caille en cuisson devant vos yeux, foie gras, fromage de qualité...). Promis, je ne comparerai pas avec un certain restaurant universitaire.

L'après-midi reprend avec la présentation pour laquelle je suis venu principalement. En effet, Arnauld a commencé à travailler depuis plusieurs mois sur les réseaux sociaux et c'est un peu l'accomplissement de tout cet acharnement. On commence d'ailleurs magnifiquement par Fred qui nous fait patienter et chauffe la scène en précisant que si jamais la démo ne fonctionne pas, ce sera à cause du chat. En effet, quelques informations plus tard, on apprend qu'un des serveurs pour la démo est le PC d'un des conférenciers, hébergé chez lui et que son chat reboot de manière régulière le pc ou tout au moins, s'amuse avec le clavier. La présentation s'ouvre sur un panorama des réseaux sociaux, en rappelant que c'est un effet localisé. En effet, si Orkut est le premier réseau social au Brésil, ce n'est pas le cas ailleurs. En France, c'est Viadéo et LinkedIn qui tiennent le haut du pavé pour la partie pro et facebook pour les particuliers. Une petite statistique, ça ne fait jamais de mal : aux États-Unis, 54% des entreprises bloquent les réseaux sociaux pour des questions de productivité.

On passe sur le fond de l'étude. On s'intéresse à LinkedIn et facebook. Un premier test sur la collecte directe et indirecte est effectué. Les deux comportements des moteurs s'opposent. Facebook rend les informations privées inaccessibles (son créateur s'en repent aujourd'hui), mais laisse l'ensemble des contacts accessible. Chez linkedIn, on a accès au profil, pas forcément à ses contacts. Il faut alors passer par les groupes pour trouver des cohérences. La démonstration est effectuée sur la personne de Fred, innocente victime "Head of IT security R&D at Sogeti/CapGemini & Chief". Oui, ça pète.

On passe à facebook qui va en prendre pour son grade. On nous évoque la possibilité de traitement automatisé des données, malgré les restrictions sur le javascript, la présence des e-mails dans des images et des captchas, tout se passe très bien. On est rassuré, c'est pas demain que nos données seront à l'abri. On passe à la partie la plus inquiétante. Les applis tiers. En effet, celles-ci ne sont ni hébergées, ni vraiment validées par facebook. En effet, elles sont tiers, mais complètement. Hébergées sur des serveurs distants. Autant dire que vous pourriez mettre la nasa en orbite. La démonstration est flagrante. Un utilisateur ouvre sa page, lance l'application ("où qu'il est le mignon petit chat tout kawaï") et le puppet master prend la main sur son poste via le canal de contrôle, tout en ayant utilisé une faille du navigateur. C'est simple, c'est propre, c'est beau.

Amis utilisateurs qui lisez ce blog (là, ça fait pas très crédible, j'admets), n'utilisez aucune application tiers sur facebook.

Je termine ma journée par la conférence attendue de Damien Aumaître. Son exposé portera sur la protection physique du poste utilisateur. Pour cela, il y a plusieurs moyens : récupérer le mot de passe, installer un trojan, installer des fichiers compromettants (clears... quoi ?), utiliser une clé U3, usage d'un keylogger (jolie vidéo au passage, Jack Bauer n'a qu'à bien se tenir !), on terminera cette longue liste par le dernier jouet de sieur Aumaître : l'amélioration présentée à SSTIC'09 par monsieur Devine en attaquant le bus DMA. Plutôt que d'utiliser de longues phrases, ça se résume en quelques mots :

dévérouillage d'un pc sous windows seven 64 bits en insérant une carte PCMCIA pendant dix secondes puis en tapant n'importe quel mot de passe dans la mire de saisie. Pouf, on est system. C'est toujours aussi magique.

Voilà, c'est l'heure du train et j'ai un excellent Pratchett à finir (the fifth elephant). Ce fut plaisant, bien que les pauses soient un peu longues et qu'une ou deux conférences auraient été appréciées, je dois dire que je reconnais là la patte d'un des créateurs de SSTIC et que j'apprécie.

À l'heure où un certain labo va disparaître, il est réjouissant de voir que d'autres pètent la forme et font avancer notre matière avec des retours intéressants. À noter également que l'aspect offensif apparaît de plus en plus (le blog de la sécurité offensive, la conférence hackito ergo sum...) et qu'il se pourrait que ce changement de comportement prouve une certaine maturité parmi les acteurs en lice.

Merci à Arnauld pour l'invitation et à Fred de ne pas m'avoir envoyé les vigiles à l'entrée :p

samedi, février 20 2010

Mise à jour du mémoire sur AES

En attendant mon compte rendu sur le séminaire de l'ESEC, un petit billet pour vous faire patienter :

Pour ceux qui s'en souviennent, j'ai fait le Conservatoire National des Arts et Métiers. Dans ce cursus, il y avait une épreuve qui s'apparente à la rédaction d'un mémoire de maîtrise. Ça remonte déjà à 2004 tout cela. On venait de terminer Game Over (salon du jeu vidéo sur plate-forme libre, première édition) et j'ai rédigé ça en 4 semaines. Autant dire que pour moi, c'était alors un travail de titan, puisque je n'avais aucune connaissance en cryptographie, si ce n'est le fonctionnement de l'algorithme RSA, décrit quelques années plus tôt dans un cours de math... Il a fallut que je me fade toute l'histoire, puis que je découvre le NIST et les FIPS. Le tout dans un anglais moins assuré qu'aujourd'hui. J'y ai passé des jours et des nuits, le tout en travaillant, bien sûr.

Lire la suite...

mardi, août 18 2009

What is réseau social ?

Il faut six secondes à la fontaine pour remplir mon verre. Il est interdit de marcher sur les verrières du toit. Le troisième étage nécessite une authentification, alors que je peux me balader librement dans d'autres étages. Je travaille dans un endroit étonnant, je vis des choses passionnantes.

Actuellement, je travaille en pointillé sur deux sujets de recherche (pointillés élastiques, dois-je préciser) car je ne prends pas suffisamment de temps pour mener à bien mes expérimentations et en tirer les conclusions qui sont dues. Le travail s'accumulant, à travers mes différentes activités, étant une autre charge morale dont je me passerai volontiers. Je suis actuellement dans l'état d'un légume qui ne sait faire que lire. Bref. Je disais donc que j'ai deux sujets de recherche, spécifiquement en sécurité informatique. Celui qui nous intéresse présentement concerne les réseaux sociaux. J'étudie l'impact de ces derniers sur notre vie quotidienne, sur la gestion de l'anonymat, sur l'intrusion dans la vie privée et ce que l'on peut en faire. Cela pourrait paraître plus sociologique qu'informatique, mais après tout, notre science est grande.

J'ai pris contact avec un inconnu anonyme que nous appellerons xxx, sous un compte anonyme et proposé une connexion amicale. Ce qui a gentiment été accepté. Ce test m'amène à d'autres tests pour l'étude dont je reparlerai ultérieurement, si j'aboutis. Après avoir tenté quelques échanges par l'intermédiaire du moteur interne, sans réponse, j'ai enfin reçu un message ce matin :

Vous ne respectez pas le principe de ce réseau social auquel je me soumets volontiers moi-même : assumer son identité réelle. Vous n'avez qu'un faux profil, sans photos, sous pseudo dont l'unique but apparemment était de me compter parmi vos connaissances (puisque vous n'en avez pas d'autres). Je préfère donc mettre fin à cette imposture, cher yyy.

Bien qu'ayant uniquement contacté xxx sur son compte anonymisé, mes investigations m'ont permis de retrouver son identité réelle, identité à qui j'ai demandé d'être en relation, sans plus d'incursion dans sa vie privée. Connexion acceptée. Ce compte de recherche n'avait que deux connexions, reliées apparemment à la même personne.

Ce que nous pouvons retirer de cette première expérience, malgré la rudesse des propos de l'interlocuteur, est plutôt satisfaisant. En effet, on en considère les faits suivants :

  • - l'usager partage facilement ses données
  • - l'usager s'attend à un mimétisme (je partage mes photos, tu dois donc partager tes photos)
  • - l'usager souhaite voir un profil, même s'il est bidon (nom, prénom, âge, activité sexuelle)
  • - l'usager ne souhaite pas être une cible directe (création d'un réseau bidon avec émulation simulée pour travail sur cible)

Si l'on dérive sur notre cible (le mot n'est pas ici péjoratif), il est surprenant de constater qu'on me reproche d'être anonyme, alors que je parle à un autre anonyme.

Il est tout aussi surprenant que de nouveaux arrivants sur le réseaux pensent devoir définir des règles de fonctionnement, alors que, disons le bien, ils ne savent pas épeler RFC. C'est d'un sarcasme à toute épreuve :)

En tous cas, merci à cette cible anonyme, si un jour elle se reconnaît, pour cette étude. J'aurai préféré, de loin, biaiser le résultat. (Spéciale dédicace à pp.)

vendredi, juin 26 2009

De l'autre côté du SSTIC -- fin

Rappel des épisodes précédents :
Premier jour SSTIC'09
Deuxième jour SSTIC'09

Lire la suite...

mardi, juin 9 2009

De l'autre côté du SSTIC

Toute personne ayant remarqué une référence mythologique pourra découvrir à loisir les différents degrés de cette mélodie ici décrite.

Lire la suite...

lundi, mars 23 2009

Petit résumé pratique à l'usage des futurs JSSIens (2009).

Surtout parce que mes élèves me l'ont demandé, je retranscris ici quelques moments de la journée de conférences que l'OSSIR organise chaque année. Une journée à Paris. Pour cette édition, nous avions sept conférences et une table ronde. Le thème de la journée était les nouveaux visages de l'insécurité informatique. Au menu, des gens de tous horizons, des rencontres sympathiques et des thèmes alléchants.

Première astuce : devenir adhérent.

En effet, adhérer à l'association coûte 45 euros. Vous ne repartez pas avec un dvd bonus, mais vous assistez à l'assemblée générale, avez le droit de vote et ça vous permet de ne payer l'entrée à la JSSI à hauteur de 15 euros (75 pour les non adhérents). Et comme dit un membre : adhérer à l'OSSIR et aller à la JSSI, ça me coûte moins cher que d'aller à la JSSI toute seule, et en plus, le repas est offert. Bon, d'accord, présenté comme cela, ça fait un peu rat, mais en cette belle période prolifique en dépressions (bancaires ou mentales), ça fait du bien de s'imaginer qu'on ait le maître du monde.

Une bonne session, ça se commence tôt. Prévoyez d'être là vers 8h40. Pour les provinciaux, je vous incite à trouver à loger à Paris la veille, ça permet d'arriver sereinement et surtout d'être frais dans ses basckets. Prévoyez du côté de la Santé, mais pas la peine de maltraiter quelqu'un pour y passer une nuit. Privilégiez les amis ou hôtel (j'en profite pour remercier mes hôtes d'une nuit : It waz Ubba wonderful, fanx!). Pour être sûr que vous êtes bien inscrit, assurez-vous d'avoir reçu un mail du trésorier de l'association.

Cette année, on a commencé les hostilités avec François Paget qui a fait la démonstration que dans la réalité virtuelle, on peut reproduire l'ensemble des malwares que l'on connaît dans la vie réelle, tout comme des vers ou des virus, ou encore effectuer du fishing. Je conseille la lecture des travaux, surtout si vous avez déjà traîné sur seconde life, ça vous incitera à ne plus parler à personne.

C'est ensuite une rencontre inattendue. Stéphane Koch, qui est arrivé à la bourre (si, si, je balance et j'assume) nous a fait un retour assez soutenu sur les enjeux de l'e-réputation. Je sais qu'il a enregistré sa conférence. Je ne sais pas si elle sera en ligne, mais je vous conseille de vous intéresser au monsieur et à ses travaux. Comme toujours, dès que ça touche la relation humaine et les relations sociales, ça me transcende. Il m'a presque convaincu de m'ouvrir un compte facebook pour surveiller les âneries que les autres pourraient dire ou publier sur moi. D'ailleurs, ça m'a donné une idée de travaux rapide et efficace. La suite, très vite... ou ça restera confidentiel.

Éric Barbry était notre juriste cette année. Toutes les bonnes conférences ont un juriste. Pas de juriste, fuyez, c'est une mauvaise conférence. Le nôtre est issu du cabinet Bensoussan, cabinet bien connu du milieu. Et là, j'ai bondi deux ou trois fois de mon siège. Parce que déjà "Internet et Création" n'est pas une loi, cher maître, mais un projet de loi. Et pour moi, ça change beaucoup de choses. Monsieur Barbry fait parti du comité de l'OSSIR qui a rédigé un rapport sur les logs, rapport que l'on espère bientôt voir apparaître dans les bacs d'ailleurs. En tous cas, récupérez les slides dès que vous le pourrez, parce que vous allez découvrir que la loi française ne sait pas définir ce que sont des logs, et là, c'est drôle. Bon, ça n'empêchera personne de vous accuser de n'importe quoi. D'ailleurs, il citera entre autre une documentation intéressante de la CNIL que je vous invite à consulter, entre autre les feuillets 5 et 6.

Allez, un petit paragraphe plein de mots clés pour les psycho-rigides qui me lisent, les autres, vous pouvez aller directement au paragraphe suivant :

  • Tout le monde est FAI
  • Si vous êtes hébergeur, vous avez un devoir légal de filtrage de la pédo pornographie et des jeux de hasard (L335-12 du CPI)
  • Que la vie privée résiduelle ne doit pas remplacer votre travail (Jurisprudence Franck.L/Entreprise Martin), pas plus que le fait d'écrire (185 mails) à votre maman (en un mois) [Si quelqu'un à la bonne ref...]
  • Il est illégal d'exporter des données à caractère personnel hors de l'Union Européenne (Arnaud, si tu me lis et que tu as la ref...)
  • Le CRU a une bonne politique pour les logs.

S'en est suivi la table ronde animée par Hervé Schauer. Je n'ai pas pris beaucoup de notes car il est toujours délicat d'avoir une table ronde équilibrée avec un beau débat et un public présent. Cependant, quelques points intéressants. Nous sommes actuellement à l'âge d'or de la sécurité et nous ne nous en rendons que peu compte. Il y a beaucoup de données volatiles et beaucoup de données perdu. Que peut-on faire contre cela ? Vous trouverez ici une illustration intéressante de ce support volatile. Il a également été fait question de la jeune génération constitué de la portion allant de 16 à 22 ans. Ces gens là sont presque nés avec un téléphone mobile à l'oreille et la caméra au bout du doigt. Il est fréquent de trouver des vidéos de tout et n'importe quoi, comme des jeunes qui filment le matraquage en règle d'un adulte ou encore la vidéo d'un prof en colère filmé à son insu et souvent hors contexte. Et bien, ces mêmes jeunes là laissent leur portable en mode vidéo pendant que vous tapez le mot de passe de contrôle parental. Prenez gare mes amis, l'époque du changement de clavier à la volée est venu. Enfin, pour les parents qui tapent à deux doigts.

Vînt enfin l'heure tant attendue du repas. Je traîne en salle de conférence parce que je souhaite absolument discuter avec Stéphane Koch. Certains diront que j'ai fait mon cinéma, mais d'autres penseront que c'est un moment de débat intéressant. Moi, j'ai apprécié, surtout d'avoir des points de vue de personnes intelligentes et réfléchies. Débats sur le vote électronique, Internet et création, la politique, les jeunes, Albanel, la politique, la sécurité, les artistes, la politique, la sécurité, les réseaux sociaux. Fallait pas m'inviter.

L'après-midi sera plus technique. On commence par maître ès Ruff qui fait un état de l'art de la virtualisation, en ayant pompé la plupart de ses définitions sur Wikipedia. Rien de révolutionnaire, mais pas mal de petits points à voir et à fouiner dès que les diapos seront en ligne. Toujours des anecdotes sympathique et un personnage immense (mais tout de même, les définitions prisent dans wikipedia, pas universalis :p).

S'en suit une conférence sur les Software as a service plus communément appelés SaaS. Je n'ai pas apprécié du tout, mais ça n'a rien à voir avec l'intervenant ou le contenu de la présentation. Je n'aime pas les SaaS, je suis contre l'externalisation, alors là, c'est le pompon. Il en faut, me glisse ce cher président de l'OSSIR. Je dois être trop jeune pour comprendre. Quand j'aurai des poils au menton, ça ira mieux. En attendant, je m'assieds et je me tais. (ITIL, c'est le mal.)

On terminera la journée avec deux interventions. La première sur les rootkits navigateurs. Rien de bien neuf pour moi sur la partie firefox, j'avais bossé avec danyboy sur la présentation à mozilla, on retrouvait exactement les même concepts. J'ai incité les auteurs à tirer les oreilles à Mozilla. À force de le dire, on va peut être se faire entendre. La gestion des modules dans mozilla firefox : It's not a feature, it's a bug!

La partie sur Internet Explorer ne m'a pas intéressé, je pense que vous vous en doutez. Une réaction intéressante d'un de mes collègues de l'OSSIR : mais avec quel navigateur libre et sécurisé peut-on alors surfer ? La question reste ouverte, si vous avez des propositions, les commentaires sont à vous. Moi, j'affectionne links et w3m.

Pour clore cette journée, une présentation qui aurait plu à une bonne partie de mes élèves qui ont passé une partie de leur temps sur la signature numérique et la création d'un HIDS : les fonctions de hachage, un domaine à la mode. Petit rappel sur ce que c'est, à quoi ça sert. Comment est mort md5, une fois... deux fois... trois fois, adjugé vendu. Pourquoi le SHA n'est il pas mieux loti et l'état du concours du NIST pour remplacer MD5. C'était tout simplement passionnant.

Fin de la journée, un peu de rangement, serrage de paluches et à l'année prochaine. Le train me ramène vers Rennes, et Pratchett m'accompagne tout au long des deux heures de rang.

Ce poste est dédié à Philippe qui' m'a demandé un retour sur ma journée à Paris.

mercredi, octobre 15 2008

Gomor, sa vie, son blog

Mon camarade Gomor, de son appellation cybernétique, vient d'ouvrir son blog et il nous encourage à le faire savoir. Dont acte.

Mais avant de vous donner l'adresse de cette nouvelle source d'information, un rapide portrait. Gomor est un spécialiste en sécurité, plus spécifiquement la partie qui touche aux réseaux. Ainsi, il est l'auteur de SSL Capable Netcat, mais également du fabuleux SinFP. Sur ce dernier outil, nous avons eu droit à un talk lors du dernier SSTIC, ainsi que quelques articles dans MISC à propos de la prise d'empreinte.

Voilà, le tableau étant peint, vous pouvez maintenant aller visiter son nouveau blog, Protocol Hacking, qui promet de belles analyses.

Courage Patrice, ça prend du temps de bloguer. Bienvenu dans la blogosphère !

mardi, octobre 14 2008

Appel à soumission pour le SSTIC'09

L'appel aux papiers vient d'être lancé pour SSTIC 2009, qui se déroulera du 3 au 5 juin de l'an de grâce 2009.

Pour faire court, voici le rappel des dates :

  • Date limite de soumission : 4 janvier 2009
  • Notification aux auteurs : 9 février 2009
  • Remise des versions finales (Word): 27 mars 2009
  • Remise des versions finales (LaTeX): 3 avril 2009
  • Déroulement du symposium : 3, 4 et 5 juin 2009

Le site n'est pas encore à jour, mais cela ne devrait pas tarder.

Une petite nouveauté, qui a son importance pour moi : je fais officiellement parti du comité de programme de SSTIC'09.

UPDATE : Le site est maintenant à jour

lundi, septembre 15 2008

SPAM de sécurité

Le démarchage publicitaire n'aura de cesse de me surprendre. On appelle en général cela du spam, suite à un sketch des monty python, ou plus généralement, dans la langue de Molière, un courrier indésirable. J'en reçois plusieurs par jour, comme toute personne ayant un tant soit peu de vie sur Internet, et je vis avec de manière générale. Aujourd'hui, j'ai cependant reçu un courrier que je n'ai jamais sollicité qui m'a fait grandement sourire :

From: "CELESTE" <celeste1354.mail@message-business.com>

To: "'jpgaulier'" <jpgaulier@causetoujours.fr> Subject: SPAM Faille DNS : testez gratuitement votre vulnérabilité Date: Mon, 15 Sep 2008 14:16:24 +0200 Reply-To: info@celeste.fr X-Mailer: MESSAGE BUSINESS Mail Sender, (c) www.message-business.com

Et oui, le sujet, fort intéressant, qui a été longuement médiatisé et dont j'ai déjà parlé repointe le bout de son nez. Alors que je pensais le sujet clos jusqu'à la prochaine boucle informatique d'à peu près trois ans (je me base sur mon expérience des chaînes de courrier), voilà qu'on me propose un service qui va tester si oui ou non je suis faillible, si mon système doit prendre peur ou faire ses valises, ou alors ricaner devant la menace qu'est Internet et la communauté de hacker qui le compose.

Je passe sur la présence des images bien sympathiques pour permettre de savoir si vous avez lu le mail en html ou non (tous mes mails sont lus en plain text, avec passage en html selon mon bon vouloir), j'en viens directement au contenu du mail :

La faille DNS constitue une des failles de sécurité les plus importantes sur les 5 dernières années. CELESTE vous propose de tester gratuitement votre vulnérabilité. Le test est disponible sur le Lab CELESTE, le site technique dédié aux professionnels et passionnés du secteur informatique et télécoms.

Je ne connaissais pas le FAI Celeste, ni ses activités de R&D en sécurité ; il faut dire que mon travail dans un environnement de production ne me facilite pas la vie au quotidien et encore moins la veille, mais je crois que je n'aurai pas loupé la naissance d'un important labo, ou du moins Sid et les autres en auraient parlé, ce doit donc être d'illustres inconnus. Ceux-ci se sont donc payés les services d'un spammeur officiel service de marketing ayant de bons gros fichiers d'emailing. Je ne suis pas dupe, cette adresse, je l'ai laissée à Solution Linux, je me doute bien qu'elle est réutilisée, mais je ne me souviens pas avoir coché une quelconque case autorisant cet usage. De ce fait, je pré-suppose que son emploi est illégal. On ne va pas pinailler sur ce point, la CNIL (la cour européenne non plus) ne réussissant déjà pas à se faire entendre sur le projet de loi Hadopi, ce n'est pas une banale revente d'une adresse mail qui changera les choses, mais je le note.

Tout cela pour dire que, même en utilisant des techniques dîtes de pirate, ou de mauvais enfants, certains pensent soi-disant au bonheur des autres. Si c'est pas beau la nature humaine !

En conclusion, cela me conforte dans l'idée de Keepin ne doit pas utiliser de telles techniques pour se faire connaître, même si le démarrage se fait lentement ; on, du moins moi, n'est pas prêt à voir des virus corriger des failles de sécurité contre notre gré ; on a de gros progrès à faire en matière d'application du droit et de protection des utilisateurs.

Pour ceux qui sont intéressés par le test, vous trouverez plus d'info sur la page de ces Méchants Garnements

mercredi, septembre 3 2008

Google Chrome (tm)

On ne parle plus que de cela sur tous les médias qui se veulent proche du IT. Ça, c'est quoi ? C'est le navigateur proposé par la société Google, nommé Google Chrome. Jusqu'à présent, la firme de Mountain view restait assez discrète quant à son offre logicielle, mais là, c'est un sacré pavé dans la marre, un pied de nez à leur concurrent direct, Microsoft. Tristan Nitot dit souvent que le futur de l'informatique passera par le navigateur, véritable système d'exploitation du futur. Il semblerait que Google partage la même vision. Ainsi, en proposant un logiciel en beta, comme à leur habitude, Google compte frapper vite et fort pour détrôner MSIE. Voit-on ici l'apocalypse (qui signifie révélation, pour les profanes) du grand Evil qu'est Google ? Disons que c'est un sérieux pas en avant.En effet, si Google, en plus de connaître le web par cœur, de pouvoir vous profiler par les publicités sur lesquelles vous cliquez détient en plus votre navigation, la vie privée n'a plus de sens.

En bon passionné que je suis, j'ai installé Chrome ce matin, voici quelques retours. Tout d'abord, il n'existe pour l'instant de version que pour windows, il a fallut que mon pc bureautique subisse la chose (heureusement qu'on nous oblige à avoir des consoles de jeu pour bosser au bureau !). Sur deux pc, première constatation, ça a du mal avec certains proxies... Je ne pourrai l'installer que sur un de mes postes. Mais avant de l'installer, je vais me rompre à quelque chose que j'aime par dessus tout, les Conditions Générales d'Utilisation, parce que vous pensez bien que je ne peux pas installer n'importe quoi contre mon gré, juste parce que c'est hype. Voici les passages qui m'ont le plus intéressés :

8.3 Google se réserve le droit, sans toutefois s'y engager, de pré-visualiser, réviser, marquer, filtrer, modifier, refuser ou retirer tout ou partie du Contenu issu de tout Service. Pour certains Services, Google peut fournir des outils destinés à éliminer par filtrage les contenus à caractère sexuel. Ces outils comprennent les paramètres de préférence SafeSearch (voir la page Web http://www.google.fr/help/customize.html#safe). En outre, il existe des logiciels et des services proposés dans le commerce qui visent à limiter l'accès aux éléments que vous pourriez juger inacceptables.

Ma foi, Google doit donc pouvoir pré-visualiser l'ensemble des pages que je vais consulter, que ce soit sur des sites publics ou des parties privées, voire non référencer. On peut me retirer une partie du contenu que je regarder ! Diantre.

10.2 Vous n'êtes pas autorisé (et ne pouvez pas autoriser un tiers) à copier, modifier, créer des travaux dérivés, faire de l'ingénierie inverse, décompiler ou tenter d'extraire de quelque manière que ce soit le code source du Logiciel ou d'une partie de celui-ci, à moins qu'une telle activité ne soit requise ou autorisée expressément par la loi ou qu'elle ne fasse l'objet d'une autorisation écrite expresse de Google.

C'est ballot, pour un logiciel libre.

12.1 Le Logiciel que vous utilisez est susceptible de télécharger et d'installer automatiquement des mises à jour fournies par Google. Ces mises à jour sont conçues pour améliorer, perfectionner et faire évoluer les Services et peuvent prendre la forme de corrections de bogues, d'améliorations de fonctionnalités, de nouveaux modules logiciels et de nouvelles versions. Vous acceptez de recevoir ces mises à jour (et autorisez Google à vous les fournir) dans le cadre de votre utilisation des Services.

En gros, si je veux rester à un état T de mon navigateur, application installée sur MON poste, je n'y ai pas droit. Je suis obligé de subir des contraintes si je veux pouvoir utiliser le soft...

13.2 Si vous souhaitez mettre fin à votre accord légal avec Google, vous pouvez le faire (a) en avertissant Google à tout moment et (b) en fermant vos comptes pour tous les Services que vous utilisez, lorsque cette option est mise à votre disposition par Google. Votre notification doit être envoyée par écrit à l'adresse postale de Google, qui est précisée au début des présentes Conditions.

Ahah, je suis sûr que tous les gens qui utilisent Gmail ne savent pas que pour fermer un compte il faut écrire à Google ... par courrier manuscrit :) Toujours est-il que si je ne souhaite plus utiliser ce logiciel, il faudra que je fasse un courrier à Google.

20.7 Les Conditions et les relations qui vous lient à Google dans le cadre des Conditions sont régies par la loi anglaise. Vous et Google vous engagez à vous soumettre à la juridiction exclusive des tribunaux d'Angleterre pour résoudre toute question légale en rapport aux Conditions. Nonobstant ce qui précède, vous admettez que Google demeure en droit de solliciter une procédure d'injonction (ou une mesure d'urgence équivalente) auprès de n'importe quelle juridiction.

La loi anglaise. Encore et toujours elle. Je suis FRANÇAIS, merci d'arrêter de m'assigner dans des juridictions qui n'ont rien à voir avec mon pays et qui ne sont pas compatible avec le droit de ce dernier. Par exemple, votre DMCA, vous pouvez vous le caler derrière l'oreille !

Bon, j'installe quand même, il faut bien pouvoir faire un billet après tout. J'ai quelques petits freeze de temps à autre, sur les temps de chargement d'un onglet, sûrement parce que, par défaut, il charge une page qui permet de voir tous les sites visités récemment sous forme de vignette. C'est agréable à la découverte, à l'usage, je ne sais pas. La fenêtre de vision n'est pas mal non plus, plus grande que celle sous mon Mozilla Firefox, on doit rejoindre ce que l'on trouve sous IE7, mais en mieux. Il trouve tout seul mon lecteur de flash.

Côté tests : - Acid2 : passage à 100% - Acid3 : passage à 77% - test de sécurité sur scanit : pas de faille avérée

Bon, on me glisse dans l'oreillette qu'on a tout de même trouvé quelque chose qui fait planter le navigateur : oh le joli poc.

Bien sûr, on ne se moque pas, c'est une bêta. En plus, on isole chaque onglet dans un processus. Il ne reste plus qu'à voir comment ils vont gérer la vie privée ainsi que les extensions.

À suivre donc, mais c'est une bonne nouvelle pour le petit monde de l'Internet, une très mauvaise pour l'avenir d'une certaine firme, et au moins un grand pas vers la Révélation ;)

vendredi, août 22 2008

Firefox, ou le MSIE du futur ?

Mon ami et camarade Daniel Reynaud vient enfin d'ouvrir un blog. Daniel est chercheur en sécurité, principalement orienté sur les problèmes de malware et de virus. Nous avons eu l'occasion de nous revoir lors du SSTIC'08, Daniel, donnant tout comme moi, une rump. Le sujet abordé était la sécurité des extensions Mozilla Firefox.

Après quelques contacts avec Tristan, que je connais par mes activités dans le libre, nous avons pu faire ouvrir un bug sur le bugzilla du logiciel. Vous pourrez retrouver toute l'information sur ce problème sous le numéro 442153.

Daniel et son collaborateur remontaient différents problèmes :

  1. l'intégrité des modules complémentaires n'est pas vérifiée après l'installation de ces derniers, c'est à dire que ceux-ci peuvent être modifiés après installation sans que l'utilisateur ne soit mis au courant (ni même le logiciel),
  2. les modules complémentaires peuvent être installés par n'importe quelle application tierce,
  3. un module complémentaire peut être supprimé de la liste des modules installés sans pour autant être supprimé ou desactivé,
  4. les modules complémentaires peuvent refuser au gestionnaire de module leur désinstallation.

Ceci étant, en combinant les différents choix, nous obtenons une belle exploitation pour un malware ou un virus, qui se voit l'opportunité d'avoir une place au chaud avec de bonnes combinaisons (accès aux mots de passe de l'application, accès à internet via l'aplication, ...). La question semble donc relativement sérieuse.

Voici les réponses apportées par l'équipe en charge des problèmes de sécurité de Mozilla Firefox :

  1. certains modules ont besoin de modifier des fichiers après leur installation, il est donc impossible de restreindre cette fonctionnalité. Il semble même étrange que l'on souhaite restreindre les droits d'écriture d'un module à son strict répertoire.,
  2. c'est tout de même bien pratique que skype puisse installer un module sans l'intervention de l'utilisateur,
  3. la correction sera peut être apportée dans Mozilla Firefox 4,
  4. c'est une mauvaise configuration du module (?) qui a des droits complets sur le système.

Au-delà des problèmes réels soulevés, je trouve que la réponse est un peu rapide et légère. Pourquoi ? Parce que les reproches qui ont été fait par le passé à ActiveX se retrouvent également ici. Une trop grande permissivité permet à un attaquant d'atteindre de manière plus rapide son but. Ainsi, la sécurité est encore une fois sacrifiée pour la sacro sainte utilisabilité.

Attention cependant, on dit que l'avenir de la bureautique ou du poste de travail se transfère des systèmes d'exploitation vers les navigateurs. Avec de tels choix de design et de réaction, il sera intéressant de suivre l'évolution des malwares et virus désirant choisir ces biais, cela pourrait donner de belles choses (une pensée émue pour MS Blaster ;))

samedi, août 2 2008

Et l'Université, alors ?

Laurent Bloch, pour qui j'ai le plus grand respect, a écrit pendant ce dernier mois, un certain nombre de billets quant à sa nouvelle fonction de DSI à l'Université Dauphine. Cela n'est pas sans faire écho chez moi de nombreuses réflexions dûes à mon ancien poste d'assistant Ingénieur au sein de l'Université de Limoges. Ayant vécu pendant trois ans cette situation, je peux me targuer d'avoir un peu plus de recul sur le vécu intérieur, même si Laurent a, quant à lui, beaucoup plus d'expérience que moi dans notre domaine.

Ce qui est regrettable, en université, si ce n'est des castes dont je ne parlerai même pas, c'est la centralisation et la décentralisation, le tout dans un instantanée. En gros, il semble que la révolution culturelle de 1968 soit restée dans les mœurs et qu'il soit interdit d'interdire, qu'on ne puisse mener une réflexion à terme que si tout le monde est unanimement du même avis. Difficile dans ces conditions d'avancer de manière sereine et intelligente. Le bien commun étant souvent l'ennemi de l'évolution, mais l'épouse du statu quo.

Je me souviens, avec tendresse, de l'année où Blaster est sorti. Premier vers, à mon sens, intéressant, qui s'attaquait à notre ami windows XP. La faille est révélée, deux semaines plus tard, un exploit est fonctionnel. Il ne reste plus qu'à attendre quinze jours pour voir un vers s'emparer du pactole. La réaction de mon supérieur technique, à cette époque, celui-là même qui ne savait pas détarer un paquet en ligne de commande ou qui tapait à deux doigts et qui croyait encore que windows était un système d'exploitation, m'avait ordonné de mettre l'affaire sous silence pour ne surtout pas affoler la population de mes collègues. À la rentrée, nous avons donc fait un déverminage en bonne et due forme.

L'autre affaire sympathique se résume au crédit dont chaque laboratoire dispose. Pour une année donnée, on vous octroie une somme. Si cette somme s'avère ne pas être dépensée, non seulement on vous reprend le surplus, mais l'année d'après, vous aurez moins de crédit. C'est un traitement intelligent, n'est-ce pas ? De ce fait, j'ai vu fleurir des imprimantes laser couleur, des caméras IP, sans qu'il n'y ait de réel besoin, tout cela afin de garder les crédits qui seraient royalement octroyés l'année suivante. On parle souvent de déficit, j'aurai plutôt tendance à visualiser une gestion hors du temps.

Pour finir, je ne parlerai pas des passe-droits, de promotions douteuses, de grilles de salaire improbables, ni de l'armée mexicaine d'une vingtaine de personnes là où la moitié suffisent amplement. Je ne parlerai pas non plus de pressions irrespectueuse d'hommes envers leurs collègues ou de réflexions à des subordonnés que la politesse même ne pourrait tolérer.

Non, au lieu de cela, je vous dirai que je garde un très bon souvenir de ma période de travail à l'université, j'y ai passé du bon temps, découvert quelques gens intéressants (mais aussi de vrais salauds), qu'il y a la possibilité d'amener d'extraordinaires changements, mais que cela passera par une meilleure gestion des ressources humaines, qu'il faut une vraie gestion de carrière, un turn-over plus important (quoi, un poste à vie, ce n'est pas une promotion ?) et un peu de confrontation avec la production en entreprise privée.

Je dédie ce billet à Laurent, qui a su me l'inspirer, mais également à tous mes collègues qui me lisent, et qui se reconnaîtrons, d'un côté ou de l'autre de la barrière :) (Pour Régis, PP et Pierre, je ne me fais pas de soucis, hihi !)