samedi 31 mai 2008

Pot pourri

La semaine dernière a été chargée, pour cause d'audit. Encore un grand moment de bonheur, dont je réserve les meilleures feuilles aux amateurs de cocktails de fruits (que mon chef soit rassuré s'il me lit, aucun secret professionnel n'est trahi à cette occasion ;).

Comme je ne peux rien raconter de mes activités (contrairement à d'autres), je vais me contenter de ce que je fais le mieux, à savoir bâcher :)

  1. Tout d'abord le compte-rendu de la journée Vista du GuWiV m'a mis en joie : [...] Les "retours vers XP" représentent une frange infime des utilisateurs et relève plus du buzz geeko-journalistique que d'une réalité de terrain. [...]
  2. Toujours dans ce même compte-rendu, je tombe sur le site d'un participant émérite du groupe SharePoint France. Très Web 2.0 isn't it ?
  3. Saviez-vous qu'il existe mieux que la "fameuse" norme ISO 27001 ? Je veux parler de ISO 29147, la norme du ... responsible disclosure. On s'inscrit où pour être certifié ?
  4. Voici quelques sociétés dont je peux librement parler, puisqu'elles m'ont envoyé un authentique spam. La première c'est Ergonomiko : franchement, vous trouvez leur site ergonomique ? La deuxième (dont je tairai le nom) propose une sensibilisation à la sécurité en ligne : SecureMan.
  5. Pour ceux qui ont déjà entendu parlé de Windows Home Server (tout un concept), sachez que le système est totalement inutilisable si vous avez plus d'un disque dur. Le tout à cause de la gestion des Alternate Data Streams (comme quoi ça sert à quelque chose cette feature !). Il faut attendre le Power Pack 1 (sans rire).
Passons maintenant à mon sujet favori : les conférences de sécurité. La semaine prochaine vous aurez le choix entre SSTIC'08 et des séminaires Technet. Personnellement je me rends à SSTIC, car on m'a vendu ça :

Par la suite, un complice interne m'a signalé qu'on aurait plutôt son voisin sur les genoux cette année ...

Si vous avez encore le courage après ça, vous pouvez rempiler sur la Nuit du Hack (14/15 juin) puis HackerSpaceFest (16/22 juin). Ca fera quelques Miles en plus sur le passe Navigo ... ou pas.

PS. Inutile de me harceler par mail, le forum de "hackers" fermé par la police cette semaine, c'est celui-là (source: l'Underground).

mercredi 28 mai 2008

Compte-rendu de la JSSI 2008

La Journée Sécurité organisée par l'OSSIR (JSSI) s'est tenue jeudi dernier à Paris.

Cette année le thème était "Anonymat, vie privée et gestion d'identité". Un sujet qui ne m'évoque absolument rien, d'autant que les conférences étaient plus orientées "santé" que "Web 2.0". J'y allais donc "pour voir".

Je dois dire que grâce à des intervenants de qualité, je ne me suis pas ennuyé (même si aucun des sujets abordés ne me sera d'une quelconque utilité professionnelle immédiate). Parmi les points mémorables de la journée :

  • La plaidoirie de Maitre Bensoussan.
  • "Le secret médical, ça commence par ne pas appeler les patients par leur nom dans la salle d'attente".
  • "Le commercial était chaud comme une baraque à frites" - en parlant du Data Loss (ou Leak) Prevention, le nouveau truc à la mode. Note : contrairement aux IDS, là on est sûr dès le début qu'une solution technique de DLP n'a aucun sens.
  • "Dans une omelette au lard, la poule est concernée, mais le cochon est impliqué".
J'ai pu également noter au cours de quelques conférences récentes que le système informatique de l'éducation nationale est réellement à la pointe des nouvelles technologies. Par exemple :
  • VPN IPSEC site à site entre des milliers de sites, certains à travers des liaisons lentes et peu fiables (ex. Saint Pierre et Miquelon).
  • Hébergement de milliers de sites utilisateurs, non administrés et souvent écrits en PHP, avec 1,5 million de hits par jour.
  • Roaming WiFi à l'échelle mondiale.
  • Fédération d'identité à une échelle trans-nationale.
Ca laisse rêveur quand on voit la complexité du déploiement d'un WiFi Guest dans la plupart des grandes entreprises françaises ...

Le clou de la journée reste quand même le réseau WiFi du site (je ne parle pas du hotspot Orange, mais bien du SSID local, probablement à usage privé).

Constatant une performance anormalement basse sur la bande WiFi, je suspecte tout d'abord un problème radio ou un abus de ressources. Après un rapide monitoring du trafic ambiant, il n'en est rien : la cause du problème est une émission massive (plusieurs centaines par seconde) de requêtes ARP (identifiables par leur taille) sur le réseau local protégé en ... WEP.

Cette consommation de bande passante durant au-delà du raisonnable (plusieurs heures !), je fais le tour des rares personnes ayant un laptop sur les genoux (on n'est pas au SSTIC), puis je filtre sur le critère laptop sous Linux.

Le coupable est identifié : c'est un consultant travaillant dans une société réputée en matière de sécurité WiFi (elle est passée sur TF1, c'est dire). Non seulement ce consultant n'utilise pas AirCrack en mode -ptw, mais surtout ... il n'a jamais trouvé que la clé WEP ne faisait que 64 bits !

dimanche 25 mai 2008

Annonce légale

Je connais quelqu'un qui vend une place pour SSTIC'08, toutes options, état neuf, prix coûtant. Donc n'hésitez pas à me contacter par mail ou dans les commentaires : premier arrivé, premier servi.

PS#0 Cet article de Réseaux et Télécoms m'a bien fait rire :
Certification 27001 : Les RSSI de grands groupes disent non merci !

PS#1 Je suis toujours fasciné par cette bannière publicitaire qui tourne sur le site de SecuObs depuis quelques mois :

Who needs VPN4U Services ? Hotspot Wireless Users at risk of having personal datas stolen like passwords ! Home Internet Users, Cable and DSL providers don't filtering exploits ! International Internet Users living where Governments prevent users from enjoying Internet, USA IP = no controls ! 36 USD/year

PS#2 Je vous laisse savourer cette perle sur l'underground (un sujet à la mode en ce moment), lue dans le Hacker News Magazine de novembre dernier. Notez bien qu'il n'est pas question de Paradis du Fruit :)

lundi 19 mai 2008

"Sans la liberté de blâmer, il n'est point d'éloge flatteur"

Pas beaucoup d'activité sur ce blog en ce moment, c'est probablement signe que je prépare activement ma rump session du SSTIC [*]

Mais j'ai quand même pris le temps de lire la presse sécurité bi-mensuelle ce week-end. Et il faut bien l'admettre : le dernier Hakin9 est ... pas mal du tout !

Qu'est-ce qui a changé ? Tout ! (Y compris la mise en page d'ailleurs)

  • Les auteurs sont de langue française, c'est donc la fin des traductions hasardeuses.
  • Les auteurs sont des professionnels, ayant travaillé dans le domaine dont ils parlent. Les articles sont structurés et apportent une vraie valeur ajoutée (fini les articles d'étudiants découvrant l'injection de DLL).
  • Les fautes de style, d'orthographe et de grammaire sont beaucoup moins nombreuses. Ca n'est probablement pas le fait du comité de relecture (en tout cas il ne semblait pas y en avoir dans les précédents numéros), mais plutôt de la qualité intrinsèque des auteurs.
La seule chose qui subsiste, ce sont les publicités kitsch :)

Sur le fond, voici une revue de quelques articles phares :
  • Sécurité Oracle, par un formateur Oracle ayant travaillé plusieurs années dans cette même société. Avec des techniques (telles que l'exploration des tables v$*) qui donnent envie de lire un dossier sur la sécurité des bases de données dans MISC (le serpent de mer ...).
  • Sécurité MySQL, par un hébergeur. Plutôt orienté configuration donc, mais techniquement valable.
  • Fuite d'information via un ordinateur portable volé, un sujet à la mode qui fera plaisir à l'inventeur de l'offensics. Note : l'article est disponible en ligne sur le site de Hakin9 sous forme PDF.
  • Sécurité BlueTooth, avec des vraies captures d'écran du "fameux" logiciel FTS4BT. Ca prouve que l'auteur est au fait des dernières attaques, mais à $10,000 la licence on peut quand même se poser des questions sur la provenance de ces screenshots ;)
PS. Bon anniversaire à mon droïde préféré, à savoir :










[*] Ou la présentation de SandMan à BlackHat US 2008. Il n'y a qu'en Europe où vous n'aurez pas le droit à cette conférence, pour une raison indépendante de ma volonté ;)

dimanche 18 mai 2008

Comment passer une soirée réussie ?

L'expérience de ce week-end prouve qu'il faut respecter plusieurs critères simples, mais complètement contre-intuitifs. En voici donc la primeur :

  1. Ne rien tenter d'organiser. Celui qui organise essaie de trouver une date qui plaise à tout le monde, en général la seule où il n'est pas dispo.
  2. Prévenir les gens 2h avant la soirée, afin qu'ils ne puissent pas invoquer des prétextes fallacieux tels que "j'ai peut-être escalade".
  3. Ne pas tenter s'alimenter, sinon l'épineux problème du choix va se poser. De toute façon, dans la bière, il y a à boire et à manger.
  4. Ne donner aucune consigne stressante pour les invités, du type "apportez à manger pour un nombre de personnes compris entre 3 et 20". Statistiquement, il y aura alors 50% bière et 50% vodka, ce qui est parfait (la nature est bien faite).
  5. Ne pas inviter de jeunes. Ils boivent du Coca avec sucre.
  6. Ne pas inviter l'underground. Comme ils n'ont pas de sous, ils font leurs courses chez Leader Price.
  7. Ne pas épuiser les sujets Debian et LatexBeamer avant la fin de la première bouteille de vodka.
Attention ces critères n'ont été testés que sur des individus reconnus geeks incurables. Je décline toute responsabilité en cas d'utilisation sur un public moins averti.