mardi, octobre 14 2008

Appel à soumission pour le SSTIC'09

L'appel aux papiers vient d'être lancé pour SSTIC 2009, qui se déroulera du 3 au 5 juin de l'an de grâce 2009.

Pour faire court, voici le rappel des dates :

  • Date limite de soumission : 4 janvier 2009
  • Notification aux auteurs : 9 février 2009
  • Remise des versions finales (Word): 27 mars 2009
  • Remise des versions finales (LaTeX): 3 avril 2009
  • Déroulement du symposium : 3, 4 et 5 juin 2009

Le site n'est pas encore à jour, mais cela ne devrait pas tarder.

Une petite nouveauté, qui a son importance pour moi : je fais officiellement parti du comité de programme de SSTIC'09.

UPDATE : Le site est maintenant à jour

lundi, septembre 15 2008

SPAM de sécurité

Le démarchage publicitaire n'aura de cesse de me surprendre. On appelle en général cela du spam, suite à un sketch des monty python, ou plus généralement, dans la langue de Molière, un courrier indésirable. J'en reçois plusieurs par jour, comme toute personne ayant un tant soit peu de vie sur Internet, et je vis avec de manière générale. Aujourd'hui, j'ai cependant reçu un courrier que je n'ai jamais sollicité qui m'a fait grandement sourire :

From: "CELESTE" <celeste1354.mail@message-business.com>

To: "'jpgaulier'" <jpgaulier@causetoujours.fr> Subject: SPAM Faille DNS : testez gratuitement votre vulnérabilité Date: Mon, 15 Sep 2008 14:16:24 +0200 Reply-To: info@celeste.fr X-Mailer: MESSAGE BUSINESS Mail Sender, (c) www.message-business.com

Et oui, le sujet, fort intéressant, qui a été longuement médiatisé et dont j'ai déjà parlé repointe le bout de son nez. Alors que je pensais le sujet clos jusqu'à la prochaine boucle informatique d'à peu près trois ans (je me base sur mon expérience des chaînes de courrier), voilà qu'on me propose un service qui va tester si oui ou non je suis faillible, si mon système doit prendre peur ou faire ses valises, ou alors ricaner devant la menace qu'est Internet et la communauté de hacker qui le compose.

Je passe sur la présence des images bien sympathiques pour permettre de savoir si vous avez lu le mail en html ou non (tous mes mails sont lus en plain text, avec passage en html selon mon bon vouloir), j'en viens directement au contenu du mail :

La faille DNS constitue une des failles de sécurité les plus importantes sur les 5 dernières années. CELESTE vous propose de tester gratuitement votre vulnérabilité. Le test est disponible sur le Lab CELESTE, le site technique dédié aux professionnels et passionnés du secteur informatique et télécoms.

Je ne connaissais pas le FAI Celeste, ni ses activités de R&D en sécurité ; il faut dire que mon travail dans un environnement de production ne me facilite pas la vie au quotidien et encore moins la veille, mais je crois que je n'aurai pas loupé la naissance d'un important labo, ou du moins Sid et les autres en auraient parlé, ce doit donc être d'illustres inconnus. Ceux-ci se sont donc payés les services d'un spammeur officiel service de marketing ayant de bons gros fichiers d'emailing. Je ne suis pas dupe, cette adresse, je l'ai laissée à Solution Linux, je me doute bien qu'elle est réutilisée, mais je ne me souviens pas avoir coché une quelconque case autorisant cet usage. De ce fait, je pré-suppose que son emploi est illégal. On ne va pas pinailler sur ce point, la CNIL (la cour européenne non plus) ne réussissant déjà pas à se faire entendre sur le projet de loi Hadopi, ce n'est pas une banale revente d'une adresse mail qui changera les choses, mais je le note.

Tout cela pour dire que, même en utilisant des techniques dîtes de pirate, ou de mauvais enfants, certains pensent soi-disant au bonheur des autres. Si c'est pas beau la nature humaine !

En conclusion, cela me conforte dans l'idée de Keepin ne doit pas utiliser de telles techniques pour se faire connaître, même si le démarrage se fait lentement ; on, du moins moi, n'est pas prêt à voir des virus corriger des failles de sécurité contre notre gré ; on a de gros progrès à faire en matière d'application du droit et de protection des utilisateurs.

Pour ceux qui sont intéressés par le test, vous trouverez plus d'info sur la page de ces Méchants Garnements

vendredi, août 22 2008

Firefox, ou le MSIE du futur ?

Mon ami et camarade Daniel Reynaud vient enfin d'ouvrir un blog. Daniel est chercheur en sécurité, principalement orienté sur les problèmes de malware et de virus. Nous avons eu l'occasion de nous revoir lors du SSTIC'08, Daniel, donnant tout comme moi, une rump. Le sujet abordé était la sécurité des extensions Mozilla Firefox.

Après quelques contacts avec Tristan, que je connais par mes activités dans le libre, nous avons pu faire ouvrir un bug sur le bugzilla du logiciel. Vous pourrez retrouver toute l'information sur ce problème sous le numéro 442153.

Daniel et son collaborateur remontaient différents problèmes :

  1. l'intégrité des modules complémentaires n'est pas vérifiée après l'installation de ces derniers, c'est à dire que ceux-ci peuvent être modifiés après installation sans que l'utilisateur ne soit mis au courant (ni même le logiciel),
  2. les modules complémentaires peuvent être installés par n'importe quelle application tierce,
  3. un module complémentaire peut être supprimé de la liste des modules installés sans pour autant être supprimé ou desactivé,
  4. les modules complémentaires peuvent refuser au gestionnaire de module leur désinstallation.

Ceci étant, en combinant les différents choix, nous obtenons une belle exploitation pour un malware ou un virus, qui se voit l'opportunité d'avoir une place au chaud avec de bonnes combinaisons (accès aux mots de passe de l'application, accès à internet via l'aplication, ...). La question semble donc relativement sérieuse.

Voici les réponses apportées par l'équipe en charge des problèmes de sécurité de Mozilla Firefox :

  1. certains modules ont besoin de modifier des fichiers après leur installation, il est donc impossible de restreindre cette fonctionnalité. Il semble même étrange que l'on souhaite restreindre les droits d'écriture d'un module à son strict répertoire.,
  2. c'est tout de même bien pratique que skype puisse installer un module sans l'intervention de l'utilisateur,
  3. la correction sera peut être apportée dans Mozilla Firefox 4,
  4. c'est une mauvaise configuration du module (?) qui a des droits complets sur le système.

Au-delà des problèmes réels soulevés, je trouve que la réponse est un peu rapide et légère. Pourquoi ? Parce que les reproches qui ont été fait par le passé à ActiveX se retrouvent également ici. Une trop grande permissivité permet à un attaquant d'atteindre de manière plus rapide son but. Ainsi, la sécurité est encore une fois sacrifiée pour la sacro sainte utilisabilité.

Attention cependant, on dit que l'avenir de la bureautique ou du poste de travail se transfère des systèmes d'exploitation vers les navigateurs. Avec de tels choix de design et de réaction, il sera intéressant de suivre l'évolution des malwares et virus désirant choisir ces biais, cela pourrait donner de belles choses (une pensée émue pour MS Blaster ;))