tag:blogger.com,1999:blog-16926911.comments2024-01-07T10:33:46.825+01:00newsoft's fun blognewsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.comBlogger1085125tag:blogger.com,1999:blog-16926911.post-25513910090100947272017-10-31T09:47:40.971+01:002017-10-31T09:47:40.971+01:00@AbouDjaffar effectivement, je protège plus de gen...@AbouDjaffar effectivement, je protège plus de gens au quotidien dans mon travail que le nombre d'inscrits au MOOC de l'ANSSI ;)newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-12457906251667512372017-10-30T18:16:08.372+01:002017-10-30T18:16:08.372+01:00Bon sinon, ta contribution au mois de la cybersécu...Bon sinon, ta contribution au mois de la cybersécuritay, c'est quoi pour de vrai ?<br />Travailler chez Google ?<br />;-)Jacques Raillanehttps://twitter.com/AbouDjaffarnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-26040186602607980282017-10-30T16:07:40.415+01:002017-10-30T16:07:40.415+01:00Question nom de domaine, signalons aussi que, quan...Question nom de domaine, signalons aussi que, quand on s'inscrit, le message de confirmation vient de secnumacademie.onlineformapro.com, <b>pas</b> de secnumacademie.gouv.fr, ce qui casse <a href="https://www.ssi.gouv.fr/particulier/precautions-elementaires/5-reflexes-a-avoir-lors-de-la-reception-dun-courriel/" rel="nofollow">un conseil de sécurité de l'ANSSI</a>.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-78341210318740669172017-06-15T15:22:08.006+02:002017-06-15T15:22:08.006+02:00Atention, véritables morceaux de véritable troll i...Atention, véritables morceaux de véritable troll inside… je rejoins un peu ce que raconte Nicolas à propos de la « la couverture médiatique nationale quasi nulle"<br /><br />Mais vrai, quoi, faut admettre que la communauté sécu est malaimée, brimée, incomprise. Déjà, un comité de lecture qui se décarcasse pour éliminer les conférences trollesques, les hacks de bagnoles, le FUD de l’attaque Wireless des drones ou des portes de garage… qui fait en sorte que IVRE ou IDA soient classé dans la catégorie « outils pour Newbie » tellement c’est du réchauffé. Faudrait pas voir à confondre les Sstic et la Defcon, cette foire du trône de l’Infosec… Passant, toi qui entre ici, abandonne tout espoir. Car c’est ici le domaine de la randomisation des adresses mémoire, des side attack chevelues, des virtuoses du dump mémoire, là où le vulgaire déni de service, le phishing et le « replay » n’évoquent que mépris et lassitude.<br />Et puis, on ne peut inviter n’importe qui. Vrai quoi, c’est pas parce qu’il paye son entrée comme tout le monde qu’il a le droit d’écrire ce qu’il lui plait. D’ailleurs, un journaliste couvre parfois jusqu’à 4 évènements par jour. Ergo, il serait de bon ton d’imposer par décret le règlement de toutes les manifestations publiques à la gente scribaillonne. Cela éviterait de voir publier des bêtises. La sélection par le ticket d’entrée en quelques sortes. De cette manière, ils ne couvriraient plus que les soirées patronage et les réunions de l’amicale boulistes. <br />Et puis, ils n’ont qu’à faire comme tout le monde… s’ils veulent participer, ils doivent prévoir plusieurs mois à l’avance la couverture de l’évènement, prendre des cours de compilation de noyau et de lecture d’assembleur dans le texte et, le jour venu, espérer décrocher une place dans la ruée des réservations en ligne. On se demande encore comment ces tâcherons du clavier peuvent hésiter un seul instant entre la couverture des législatives et une causerie fondamentale sur la reconstruction des fonctions virtualisées. Sont inconscients ou quoi ?<br />Encore n’avons-nous pas abordé l’une des requêtes les plus désolantes du monde des médias : ils veulent comprendre. Pauvres fous ! Car cela nécessiterait un minimum d’explications, de vulgarisation, voir -pardonnez l’indécence des mots qui vont suivre- la rédaction d’un COMMUNIQUE DE PRESSE expliquant en termes simples les rouages des quatre ou cinq travaux les moins abstrus. Que de temps perdu. Celui, déjà, utilisé pour critiquer les articles quotidiennement publiés par la presse grand public à propos de Heartbleed, Wannacry, Stuxnet ou l’attaque de la cinquième chaîne.<br />Car ne nous y trompons pas. Les papiers les plus tapageurs ne sont que l’écho de la flamme alarmiste entretenue avec constance par ceux-là mêmes qui vivent de la SSI. Je ne citerais aucun nom d’éditeur d’antivirus, de vendeur de firewall, de boutiquier de l’Appliance ou de refourgueur de services Cloud cybersécurisé. Eux, au moins, savent vendre l’idée de SSI. Mal, très mal, mais avec efficacité. Le mauvais « faire savoir » est paradoxalement le fait de ceux qui, en théorie, possèdent le bon « savoir faire » et qui dépêchent dans les allées des Sstic les chercheurs de leurs « response team ». En fait, la presse, c’est un peu comme un registre à décalage au bout d’un bus SPI : non seulement ce n’est pas normé par un protocole précis, mais il faut en contrôler l’alimentation. Garbage in, garbage out. Avec parfois le risque d’injecter du Big Endian et voir en ressortir du Little. <br />La profession est pessimiste et désabusée ? Parce qu’elle est autiste, incapable de communiquer, ne sait pas accepter cette part de trahison qui lui permettra de se vendre. Il faudrait, par exemple, pour chaque « prez » SSTICienne, la passion d’un Kafeine, les envolées lyriques d’un Ivan le F0u (combien me manquent ses collections de Chokapikz) et la simplicité vulgarisatrice d’un Schneier, d’un Fred Cohen ou d’un Charly Miller. <br />Andrea Barissani -Première No Such Con je crois - avait plaidé en ce sens. Il semble avoir prêché dans le désert. <br /><br />Fin du troll<br />(ou pas)zenographiehttps://www.blogger.com/profile/17781923958496103141noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-40189388825395214452017-06-15T14:26:25.574+02:002017-06-15T14:26:25.574+02:00Salut,
Je dois t'avouer que pour ma seconde p...Salut,<br /><br />Je dois t'avouer que pour ma seconde présence au SSTIC, j'ai ressenti cette déception.<br />Le fait qu'il y a trop de présentations de l'ANSSI, bon... C'est vrai et j'avoue que c'est légèrement énervant. D'un autre côté, sans beaucoup de soumissions, c'est assez normal.<br />Ce qui me déçoit vraiment c'est de remarquer que le SSTIC ne présente QUE des conf' sur de la recherche pour des outils qui ne seront probablement jamais utilisés en production, sans parler du fait que je vois plus un effet de "sécurité = one man show" (comme tu le dis si bien) que "sécurité = science".<br />Pourtant, je suis jeune dans la profession, et j'ai pas non plus une expérience et des connaissances aussi évoluées que les tiennes (et de beaucoup d'autres). Mais je me demande aujourd'hui s'il est vraiment utile que je dépense encore 290e pour assister au SSTIC...<br /><br />Pour être honnête, j'ai cru faire parti d'un jury de doctorant ayant terminés leurs études et qui présentent leurs travaux des quelques mois/années de recherche passées. C'est intéressant, bien présenté mais, cela reste pour beaucoup de la recherche, non pragmatique.<br /><br />Quant à l'ouverture à l'internationale, je suis aussi totalement d'accord avec toi. Le SSTIC est et restera certainement francophone, "trop" à mon sens. Non seulement cet événement n'est pas connu à l'étranger, et il a l'inconvénient d'être quasiment à 100% en Français. J'entends bien qu'il est beau de défendre sa langue natale mais de là à inventer des mots en français pour définir un terme anglophone... Le français n'est que la 8e langue la plus parlée dans le monde.<br /><br />Si j'étais un peu moins inexpérimenté, je tenterais une soumission. Mais si c'est pour me la faire refuser au profit d'une conférence sur un parser de fichier PDF en OCaml, je préfèrerais plutôt proposer mes travaux à une conférence à l'étranger. Mes travaux auront au moins l'intérêt d'être vu par un plus grand nombre et donc susciter un intérêt différent.<br /><br />On devrait plutôt tous se voir comme une entité soudée et qui veut améliorer les choses ensemble. Sauf que malheureusement, l'ANSSI est "souveraine" !Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-88111371483132117172017-06-14T11:27:10.331+02:002017-06-14T11:27:10.331+02:00Ma réponse (longue) à @Anonyme1 - partie 3:
"...Ma réponse (longue) à @Anonyme1 - partie 3:<br /><br /><i>"le désespoir – ou le cynisme – qui frappe la profession." : je n'ai pas du tout le même avis, et là j'ai plutôt l'impression que c'est toi qui est désespéré ! (Sans aucune attaque personnelle : on a tous le droit d'avoir des hauts et des bas)</i><br /><br />Pas du tout, je suis juste consterné de voir que ça n'avance pas en France alors qu'à l'international des gens essaient de faire avancer le schmilblick dans un état d'esprit positif (je pense à U2F, CSP, etc.).<br /><br />Toutes les personnes du privé - et du public - avec qui j'ai pu discuter sont généralement très pessimistes/critiques envers la structure qui les emploie. Ça ne libère pas vraiment les énergies.newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-25893440594422431582017-06-14T11:26:53.618+02:002017-06-14T11:26:53.618+02:00Ma réponse (longue) à @Anonyme1 - partie 2:
TV5 /...Ma réponse (longue) à @Anonyme1 - partie 2:<br /><br /><i>TV5 / merci de ne pas diffuser le nom etc. : LOL (oui, c'était un peu risible). D'un autre côté, ils ont dû avoir du mal à obtenir l'autorisation de présenter et doivent certainement faire des compromis avec la hiérarchie dont nous n'avons aucune idée...</i><br /><br />Oui mais nous n'avons pas à être les témoins/otages de leurs problèmes internes.<br /><br /><i>"rien d’actionnable pour les participants" : il y avait quand même qq conseils génériques, mais c'est vrai, aucun conseil technique. Après, je l'ai vu comme une conférence de clôture dont le but était justement d'avoir une histoire rafraichissante, à la différence des papiers dont l'objectif est plus scientifique.</i><br /><br />Ok, de ce point de vue ça se défend.<br /><br /><i>"Il va être difficile pour le secteur privé de monter en puissance tant qu’il reste infantilisé par les autorités. " : remarque gratuite, non vérifiable.</i><br /><br />... et pourtant confirmée en « off » par de nombreux industriels présents dans la salle. L'ANSSI ne donne pas les IOCs aux industriels car "ils vont les perdre ou les revendre". Sans parler des systèmes de labellisation qui assurent que seuls les industriels "compatibles ANSSI " puissent travailler, mais c'est un autre débat.<br /><br /><i>"la recherche en sécurité – au moins en France – reste au point mort depuis des années" : mais non ! Pas du tout ! Enfin ça dépend sur quoi ! Sur quels faits tangibles reposes-tu cette affirmation ?!</i><br /><br />Donne-moi un contre-exemple de progrès significatif ? Tout ce que je vois c'est qu'après avoir dépensé des milliards en cyber, personne n'est capable de garantir qu'il est protégé contre WannaCry deux mois après la sortie du patch Microsoft ... on se croirait encore à l'époque de ILoveYou.vbs !<br /><br /><i>"La cause en est que la sécurité ne se conçoit pas comme une science qui avance au rythme de l’innovation incrémentale, mais comme un one-man show" : personnellement, je préfère la 1ere option. L'option one-man show est divertissante mais totalement inutile. Mais je n'ai pas bien compris si tu pensais que c'était la 1 ou la 2 actuellement.</i><br /><br />Je pense comme toi : il faudrait devenir une science (option 1) alors que nous suivons majoritairement l'option 2.<br /><br /><i>présentation PDF parser : je ne suis pas vraiment du domaine, mais si les autres recherches que tu cites font pareil, alors cela démontre que la relecture a été victime de sclérose franchouillarde ;) Dommage que les reviewers n'aient pas vu cela, car la relecture est faite justement pour pointer des choses de ce style.</i><br /><br />Je suis d'accord. Après on m'a expliqué en « off » que cette présentation ne parlait pas de PDF mais d'interface graphique à scikit-learn. J'avoue que ça n'est pas ce que j'avais compris (même après avoir lu le papier).<br /><br /><i>"nombre de présentations sur le Reverse Engineering semble disproportionné" : il n'est pas forcément facile dans un comité de programme de gérer les articles qu'on reçoit. Il y a des années où c'est tjrs la même chose. Que faire ? Mettre un quota par sujet ?... Et passer à côté d'un bon article. Réponse pas évidente.</i><br /><br />Augmenter l'intérêt de soumettre à la conférence pour accroitre la diversité des sujets. Je ne sais pas comment faire ça, par contre :)newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-5908637360734393112017-06-14T11:26:15.612+02:002017-06-14T11:26:15.612+02:00Ma réponse (longue) à @Anonyme1 - partie 1:
Par c...Ma réponse (longue) à @Anonyme1 - partie 1:<br /><br /><i>Par contre, j'aime le fait que tu partages une vision qui n'est pas que positive : à l'issu de toutes confs, on n'entend que des gens dire c'était génial etc. en oubliant qu'il y a des défauts à tout, et qu'en parler, c'est aussi construire.</i><br /><br />Ouf ! Je ne suis pas complètement fou alors :)<br /><br /><i>"soumettre à SSTIC n'a plus aucun intérêt" : pas complètement d'accord. L'intérêt est grand sur le territoire français. Il est vrai en revanche, qu'à l'international il n'y a aucune visibilité, ce qui fait d'ailleurs que c'était mon 1er SSTIC...</i><br /><br />Il me semble que l'intérêt en France a aussi beaucoup diminué. Tout le monde se connait ; il est rare qu'un jeune consultant issu de la génération Z sorte du bois avec un papier de recherche exceptionnel. Les jeunes sont tous trop occupés à faire du Bug Bounty maintenant de toute façon :)<br /><br /><i>"le long processus des actes n'est pas compatible avec le rythme médiatique" : c'est vrai, mais c'est bien (à mon avis). Il y a suffisamment de conférences à la BlackHat hyper médiatiques, alors pour une fois, avoir un vrai bon papier à lire, c'est cool. Et à long terme, n'en retire-t-on pas plus ?</i><br /><br />Je ne sais pas, l'informatique avance aussi très vite. Si tu regardes les papiers sur Android de plus de 2 ans, il n'y a presque plus rien d'applicable à un Android 6.0.<br /><br />C'est vraiment compliqué de faire avancer la science de manière durable ... ou de créer des outils pérennes.<br /><br /><i>"la couverture médiatique nationale est quasi nulle" : hélas vrai, et bien dommage. J'ai juste vu un article dans le Monde sur la présentation sur TV5. Mais ce n'est pas une erreur rédhibitoire, ça peut se fixer dans d'autres éditions ?</i><br /><br />Non car pour attirer la presse (même spécialisée) il faudrait :<br />(1) Offrir le billet aux journalistes ;<br />(2) Présenter des sujets plus sexy.<br />Les journalistes ne vont pas faire un papier sur un plugin IDA :) De ce point de vue le CCC est une belle réussite. Les seules présentations SSTIC qui ont un peu été citées à l'extérieur sont le retour d'expérience sur TV5 et le tracking de téléphones par VoLTE. Ta présentation sur les brosses à dents connectées pourrait en faire partie ; l'IoT c'est tendance ;)<br /><br /><i>Permettre à de jeunes consultants isolés en SSII de se faire connaitre : moyennement d'accord sur l'objectif. Le but d'une conférence, pour moi, n'est certainement pas de promouvoir un chercheur pour qu'il se fasse recruter ailleurs. Une conférence, ce n'est pas un tremplin de carrière. Un peu de passion quoi ! ;) Moi je veux que les meilleurs présentent. Bon, ok, les gars de l'ANSSI, vous êtes bons, mais il faut un peu de diversité.</i><br /><br />D'un autre côté, qu'est-ce qui va motiver un chercheur à écrire un papier de 20 pages et à le présenter ? (Hors académiques dont c'est le métier bien sûr). Parce que je ne connais personne qui a la passion pour Latex :)<br /><br /><i>"piédestal aux différents bureaux de l’ANSSI" : affirmation gratuite et non vérifiable.</i><br /><br />Je donne simplement mon point de vue, qui est : la présentation sur TV5 n’apportait aucun élément technique exploitable et mettait simplement en avant l’expertise interne du bureau « réponse aux incidents ».newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-21220080291383884312017-06-13T13:53:43.637+02:002017-06-13T13:53:43.637+02:00En tant qu'une des personnes à l'origine d...En tant qu'une des personnes à l'origine de SSTIC, quelques remarques sur les origines du SSTIC, à une époque où on parlait “sécu”, pas SSI et encore moins cyber, qui expliquent pourquoi certaines choses sont comme ça aujourd’hui (ce qui ne veut pas dire qu’elles n’ont ou ne vont pas évoluer) :<br /><br />1. Le premier but de SSTIC était de rassembler des gens intéressés par la sécu et surtout, venant d’horizons différents, pour éviter le malheureux effet d’entre-soi. Du coup, encore aujourd’hui, on y trouve des académiques, des gouvernementaux et des industriels, plus quelques étudiants. Ce brassage est une particularité de SSTIC et une de ses richesses je crois : isoler les uns ou les autres ne permettra à personne d’évoluer.<br /><br />2. La conférence et les articles étaient en Français et uniquement en Français à l’époque car il fallait créer et dynamiser un écho-système national qui était totalement inexistant en 2002-2005. Et vu le niveau d’anglais de nos concitoyens, le Français était indispensable. Le CO a dernièrement fait évoluer cela car la problématique a bien changé.<br /><br />3. SSTIC se voulait - et se veut toujours - un moyen de diffuser des connaissances au plus grand nombre. Pour cela, il faut produire les connaissances (les articles, et personne ne me fera croire qu’on apprend autant ou plus dans des slides) et les mettre à disposition du plus grand nombre (d’où prix ridiculement bas de l’inscription par rapport aux conf sécu habituelles, un tarif étudiant ou chômeur, et la mise à disposition des articles et maintenant des vidéos). Peut-être que le pavé^w^w la version papier pourrait, avantageusement pour la planète, être remplacée par un pdf généré à partir de rst ou Markdown. Cela permettait aussi aux auteurs de rendre leurs écrits plus tard.<br /><br />Quant à parler de l’ANSSI, un petit édito de 2014 : http://www.miscmag.com/?p=125<br />On peut reconnaître certaines évolutions, lentes certes, mais avérées. Mais tellement lentes …<br /><br />Dernier point sur l’organisation de SSTIC : tous les organisateurs passés et présents ont tjr été preneur d’idées et d’aides pour mettre en place la meilleure conférence possible. N’hésitez pas à vous impliquer ! <br />Cette conférence n’appartient à aucune organisation ou entreprise - même quand elles sont sur-représentées - si ce n’est ceux qui veulent y contribuer _bénévolement_ (en participant, en intervenant, en organisant). Fred R. - pappynoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-81357861221311006722017-06-13T11:22:32.574+02:002017-06-13T11:22:32.574+02:00C'est nul comme argument la popularité des lan...C'est nul comme argument la popularité des langages sur SO. Selon ce classement, l'assembleur serait plus populaire que Perl, VBA, Go, Scale, Groovy, Lua, VB6, ou bien sur Haskell.<br /><br />Tout le monde utilise pandoc, alors qu'il est bien écrit dans un language "de niche, inusité dans l'industrie".<br /><br />Tout le monde utilise des logiciels en python récupérés sur Github, qui sont insupportables à installer.bartavellehttps://www.blogger.com/profile/18407459635724924478noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-85749012777192457032017-06-13T10:12:54.293+02:002017-06-13T10:12:54.293+02:00Merci pour ce précieux retour, pour certains quelq...Merci pour ce précieux retour, pour certains quelques soit leurs niveaux ils préserveront leurs éthique et leurs alignements sur les valeurs partagés. <br />Il existent encore des meet tout les premiers vendredi du mois ;-) <br />Avec de véritables échanges et quelque soit le niveau ! <br /><br />Le cocon de la communauté se resserre et s'épure, mais un chat reconnait toujours un chat. C'est très bien que certains ne voit que par la "Cyber", au moins on est sur d'y trouver un parfum de bullshit derrière. D'autres n'étant pas baigné de la même culture vont plus parler d'infosec ou d'offsec. <br /><br />Il faut rester ce que l'on est intérieurement et ne pas se laisser pervertir par la société de consommation à coup de gros $$$. Une passion a jsute besoin de volonté et <br />d'épanouissement personnel à travers elle. <br /><br />Comme on peu le lire dans l'essai de pekka himanem<br /><br />"Il y a une différence entre être triste en permanence et avoir trouvé une passion dans la vie pour<br />laquelle on accepte également d'assumer des choses moins amusantes mais néanmoins nécessaires. <br />(L'éthique hacker, trad. Claude Leblanc, p.35, Exils Éditeur, 2001) "<br /><br />.::. HyP .::.HyP @hyp_h5phttp://h5p3r1on.blogspot.fr/noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-90447459728966488182017-06-13T10:09:20.180+02:002017-06-13T10:09:20.180+02:00plutôt d'accord sur l'ensemble .. pour moi...plutôt d'accord sur l'ensemble .. pour moi aucune prez intéressante. Hormis le hacking de TV5 qui faisait un peu film d'espionnage<br />ca gave un peu toute ces présentation useless full théorie ca me rappel la FAC..ou les vidéos youtube de placement de produit...<br /><br />Qui irait code un truc en OCAML a part un stagiaire de la fac ?<br /><br />au SSTIC2018 je prédis un scanner de port en ADA <3Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-89133172563587017792017-06-12T23:51:26.054+02:002017-06-12T23:51:26.054+02:00Il va être difficile de répondre à tous ces commen...Il va être difficile de répondre à tous ces commentaires dans un pied de page ...<br /><br />@Anonyme1: je te réponds par email car tu m'as donné ton identité :)<br /><br />@Anonyme2: je ne sais pas par où commencer. Il y a 351 agents de l'ANSSI sur LinkedIn, et je pense que les agences de renseignement étrangères présentes à SSTIC ne sont pas privées de prendre des photos. Au vu du vocabulaire que tu emploies, je pense que tu lis trop de livres sur la "cyberguerre" :)<br /><br />Le vrai problème c'est que je suis le seul à publiquement critiquer l'ANSSI, tous les autres se taisent ou règlent leur linge sale en famille. Du coup, pas d'amélioration possible puisque tout est déjà officiellement parfait.<br /><br />@Anonyme3: OCaml est un langage de niche, inusité dans l'industrie. C'est un fait mesurable:<br />https://insights.stackoverflow.com/survey/2017#technology-programming-languagesnewsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-26768996109652254302017-06-12T19:14:17.287+02:002017-06-12T19:14:17.287+02:00Il s'agit peut-être aussi de ne pas mélanger c...Il s'agit peut-être aussi de ne pas mélanger certaines choses. Je crois au fait que le milieu de l'infosec, et plus particulièrement de l'OffSec a changé. Il s'est professionnalisé et policé. On ne peut plus imaginer un petit lien qui passe sur IRC mettant en évidence une belle injection SQL...<br /><br />Le contenu et l'ambiance de conférences comme le SSTIC n'ont pas évité cette influence à mon avis. Les anciens sont toujours là mais ils n'ont peut-être plus l'envie de transmettre ce qui était encore palpable jusqu'au début des années 2010. C'est à dire l'envie de montrer des trucs oufs sans prise de tête, de rire grassement au dépends d'institutions sacrées, de prendre sous son aile des nouveaux passionnés (on a plutot tendance à les couler aujourd'hui). L'arrivée de gens techniquement doués mais sans l'esprit contribue aussi à modeler le cadre actuel.<br /><br />Voila pour l'ambiance. Sur les relations ANSSI-entreprises, je crois que newsoft est dans le vrai quand il parle d'infantilisation. Néanmoins je crois pour ma part que c'est pas forcément une mauvaise chose: la plupart des boites piquent éhontément des mots qui avaient du sens pour faire du buzz et se substituer aux acteurs qui ont vraiment quelque chose à dire. Les gros rafflent tous les marchés, sous-traitent ou bâclent les missions, sont abonnés à toutes les aides (et pleurent pour les subventions) de l'état et s'en foutent royalement de la sécurité. L'ANSSI en a ptet marre de piffer ces gars-là au boût d'un moment aussi (mais ça leur fera la bite quand même <3).Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-75837483938461020552017-06-12T18:52:12.800+02:002017-06-12T18:52:12.800+02:00Ce moment gênant où même le programme de la nuit d...Ce moment gênant où même le programme de la nuit du hack est plus attrayant que celui du sstic...<br /><br />Laissons le sstic aux chercheurs académiques, et tout le reste à ceux qui veulent du contenu vraiment réutilisable pour faire avancer le schmilblik.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-42306215588317725532017-06-12T15:59:45.744+02:002017-06-12T15:59:45.744+02:00Salut,
Sur la distance entre le monde de la sécu...Salut, <br /><br />Sur la distance entre le monde de la sécurité opérationnelle et celui de la recherche académique: (Disclaimer: je viens de passer 5 ans en milieu académique)<br /><br />Effectivement, les liens entre ces deux mondes mériteraient d'être étendus...<br />Il faut cependant noter que les académiques qui soumettent et présentent au SSTIC essaient de faire ce pas. Ce n'est pas une conf académique, donc ça sert à peu près à rien sur un CV académique (ce que je regrette). Certains le font quand même, ce qui plutôt bien :-)<br /><br />De même sur les citations IEEE/ACM, pour la petite histoire, on m'a déjà reproché d'avoir cité un "petit blog personnel". Il s'agissait de Phrack ;-)<br /><br /><br />Pour troller un peu: Se plaindre que du code soit en OCaml, ça sert à quoi ? Ça change quoi pour l'utilisateur ? <br />J'aime pas OCaml. Mais j'aime pas Java non plus. Si je trouve un bon outil en java, bah tant pis, je l'utilise quand même. <br />Ça serait en node.js, là je comprendrais ;-)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-33117633379925836352017-06-12T15:58:57.538+02:002017-06-12T15:58:57.538+02:00Bonjour,
Passons sur tes conclusions hâtives il m...Bonjour,<br /><br />Passons sur tes conclusions hâtives il me semble sur les raisons pouvant amener un aussi faible taux de soumissions de papiers (la logique voulant d'énumérer toutes les causes possibles et de toutes les étudier plutôt que de ne privilégier celle qui nous sied le plus). Passons également sur le fait que lorsqu'un service de renseignement effectue une opération clandestine informatisée l'on appelle cela du renseignement d'origine électromagnétique (vulgairement de l'espionnage), sur le fait que le service principal de défense informatique Français ne puisse révéler les noms de ses agents (qui sont des cibles pour d'autres services puisque gérant des informations sensibles), ni qu'il ne puisse communiquer ses outils sous peine qu'ils deviennent contre-détectés. Ne parlons pas non plus de l'attribution qui a un but éminemment politique et qui n'est communiquée officiellement non pas pour amuser la galerie lors d'une conférence, mais qui l'est de façon réfléchie et pragmatique, pour envoyer un message à un pays à un moment jugé opportun (e.g DNC Hack). Passons enfin sur le fait que tu n'as visiblement pas bien suivi la présentation SecuML, que tu fais un amalgame bien trop rapide entre trois outils qui n'ont ni le même but ni la même approche, et que tu aurais peut-être mieux fait de t'abstenir de poser tes questions. Je ne parle pas non plus de ce que tu considères comme des sujets intéressants absents de la présentation ("Cloud", "Machine Learning") et qui peuvent raisonner différemment aux oreilles d'autres personnes (manquent également "Blockchain", "IOT" et "DarkWeb"). Une solution à ce problème serait peut-être de soumettre toi-même ?<br /><br />Si j'ai pris un peu de mon temps pour répondre à charge à ton billet, c'est parce que je ne m'explique pas comment une personne qui m'a paru l'air sympathique et compétente de prime abord peut être aussi agressive et négative. On dirait que lorsque les sujets touchent de près ou de loin à l'ANSSI ou au SSTIC (voire d'autres parfois), tout est prétexte à la critique gratuite. Tout ce que tu dis à leur encontre est négatif, rarement positif. Je conviens que bien des aspects sont critiquables, mais tes critiques systématiques et sans concessions frisant la monomanie deviennent assez pesantes. Si tu n'avais que peu d'audience après tout ce ne serait pas si grave, mais tu ne te rends pas compte du nombre de personnes qui t'écoutent comme un gourou et qui boivent tes paroles sans réfléchir ni jamais les remettre en question. Ce que tu reproches à certains dans les couloirs de la conférence tu le fais en public. C'est vraiment dommage.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-50105292453896322322017-06-12T15:33:12.171+02:002017-06-12T15:33:12.171+02:00(suite)
- presentation PDF parser : je ne suis pa...(suite)<br /><br />- presentation PDF parser : je ne suis pas vraiment du domaine, mais si les autres recherches que tu cites font pareil, alors cela démontre que la relecture a été victime de sclérose franchouillarde ;) Dommage que les reviewers n'aient pas vu cela, car la relecture est faite justement pour pointer des choses de ce style.<br /><br />- "nombre de présentations sur le Reverse Engineering semble disproportionné" : il n'est pas forcément facile dans un comité de programme de gérer les articles qu'on recoit. Il y a des annees ou c'est tjrs la meme chose. Que faire ? Mettre un quota par sujet ?... et passer à coté d'un bon article. Réponse pas évidente.<br /><br />- "le désespoir – ou le cynisme – qui frappe la profession." : je n'ai pas du tout le meme avis, et là j'ai plutot l'impression que c'est toi qui est désespéré ! (sans aucune attaque personnelle : on a tous le droit d'avoir des hauts et des bas)<br /><br />Merci d'avoir partagé, et de me donner l'opportunité d'expliquer là où je suis d'accord et pas :)<br />@+Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-66230332436221402712017-06-12T15:32:59.678+02:002017-06-12T15:32:59.678+02:00Salut ! En fait, ta vision des choses me parait pe...Salut ! En fait, ta vision des choses me parait pessimiste. Par contre, j'aime le fait que tu partages une vision qui n'est pas que positive : à l'issu de toutes confs, on n'entend que des gens dire c'etait génial etc en oubliant qu'il y a des défauts à tout, et qu'en parler, c'est aussi construire.<br /><br />- le SSTIC est devenu un événement de l'ANSSI : oui, je suis assez d'accord. Il y avait trop de prez de l'ANSSI, meme si elles sont de bonnes qualité. En revanche, il est etonnant dans une conference avec comite de selection de voir autant de papiers issus d'un ou d'un autre comité de programme. Ca donne aux autres une impression de noyautage (je ne dis pas que c'est le cas, mais ca en donne l'impression extérieurement). Bon, les papiers pris étaient qd meme bons, ce qui compte malgré leur diversité.<br /><br />- "soumettre à SSTIC n'a plus aucun intéret" : pas complètement d'accord. L'intéret est grand sur le territoire francais. Il est vrai en revanche, qu'à l'international il n'y a aucune visibilité, ce qui fait d'ailleurs que c'était mon 1er SSTIC...<br /><br />- "le long processus des actes n'est pas compatible avec le rythme médiatique" : c'est vrai, mais c'est bien (à mon avis). Il y a suffisamment de conférences à la BlackHat hyper médiatiques, alors pour une fois, avoir un vrai bon papier à lire, c'est cool. Et à long terme, n'en retire-t-on pas plus ? A vérifier...<br /><br />- "la couverture médiatique nationale est quasi nulle" : hélas vrai, et bien dommage. J'ai juste vu un article dans le Monde sur la présentation sur TV5. Mais ce n'est pas une erreur redibitoire, ca peut se fixer dans d'autres éditions ?<br /><br />- Permettre à de jeunes consultants isolés en SSII de se faire connaitre : moyennement d'accord sur l'objectif. Le but d'une conférence, pour moi, n'est certainement pas de promouvoir un chercheur pour qu'il se fasse recruter ailleurs. Une conférence, ce n'est pas un tremplin de carrière. Un peu de passion quoi ! ;) Moi je veux que les meilleurs présentent. Bon, ok, les gars de l'ANSSI, vous etes bons, mais il faut un peu de diversité.<br /><br />- "piédestal aux différents bureaux de l’ANSSI" : affirmation gratuite et non vérifiable.<br /><br />- TV5 / merci de ne pas diffuser le nom etc : lol (oui, c'était un peu risible). D'un autre coté, ils ont du avoir du mal à obtenir l'autorisation de présenter et doivent certainement faire des compromis avec la hiérarchie dont nous n'avons aucune idée...<br /><br />- "rien d’actionable pour les participants" : il y avait quand meme qq conseils génériques, mais c'est vrai, aucun conseil technique. Après, je l'ai vu comme une conférence de cloture dont le but était justement d'avoir une histoire rafraichissante, à la différence des papiers dont l'objectif est plus scientifique.<br /><br />- "Il va être difficile pour le secteur privé de monter en puissance tant qu’il reste infantilisé par les autorités. " : remarque gratuite, non vérifiable.<br /><br />- "la recherche en sécurité – au moins en France – reste au point mort depuis des années" : mais non ! Pas du tout ! Enfin ca dépend sur quoi ! Sur quels faits tangibles reposes-tu cette affirmation ?!<br /><br />- "La cause en est que la sécurité ne se conçoit pas comme une science qui avance au rythme de l’innovation incrémentale, mais comme un one-man show" : personnellement, je prefere la 1ere option. L'option one-man show est divertissante mais totalement inutile. Mais je n'ai pas bien compris si tu pensais que c'etait la 1 ou la 2 actuellement.<br /><br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-1463377834714627252017-06-12T13:57:35.730+02:002017-06-12T13:57:35.730+02:00TV5Monde:
Mais au final, cette présentation ne fût...<i>TV5Monde:<br />Mais au final, cette présentation ne fût que le rappel de quelques conseils de base sur les mots de passe par défaut</i><br /><br />Cette présentation ne fût que la première présentation officielle de l'ANSSI en tant qu'entité ANSSI. Saluons la nouveauté et ne faisons pas trop la fine bouche, en espérons que le mouvement perdure et se bonifie avec l'age.<br />totonoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-47516258061042484882016-07-06T14:16:26.686+02:002016-07-06T14:16:26.686+02:00Newsoft et SecuriteOff règlent leurs comptes en pu...Newsoft et SecuriteOff règlent leurs comptes en public pour une histoire de lien... Après cette brillante démonstration, ils critiquent une tentative industrielle qui a , à tort, embarqué un caractériel notoire et ne pouvait donc se terminer que par un fiasco...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-16790670066384363312016-06-23T23:38:38.109+02:002016-06-23T23:38:38.109+02:00@SecuriteOff Editions,
Je vous ai déjà répondu su...@SecuriteOff Editions,<br /><br />Je vous ai déjà répondu sur Twitter (https://twitter.com/newsoft/status/744995065207099397) mais le format blog va me mettre une réponse plus circonstanciée.<br /><br />Le lien d'origine fonctionnait au 1er octobre 2014, comme en atteste Wikipedia: https://fr.wikipedia.org/wiki/Uhuru_(antivirus)#cite_note-4<br /><br />Lors d'une mise à jour ultérieure du site, ce lien est devenu non fonctionnel, sans redirection vers le nouvel article.<br /><br />Bien entendu il peut s'agir d'une erreur, mais je ne juge pas l'intention. Je dis simplement que votre site ayant la politique explicite de ne pas être indexé par les moteurs de recherche (http://securiteoff.com/robots.txt), il est impossible de découvrir le nouvel article sauf à en connaitre l'existence *et* à utiliser le moteur de recherche interne de votre site. Ce qui limite fortement sa visibilité, d'ailleurs le nouveau lien m'avait échappé en toute bonne foi.<br /><br />A contrario, les deux autres articles n'ont pas changé d'adresse et bénéficient de liens courts toujours valides:<br />http://url.exen.fr/106338/<br />http://url.exen.fr/107683/<br /><br />Je ne pense pas que cette polémique apporte grand'chose sur le fond, mais au moins vous disposez désormais de tous les éléments techniques pour comprendre ma démarche.newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-60963233792289865352016-06-23T19:59:47.564+02:002016-06-23T19:59:47.564+02:00Hey Philou de "La-direction-de-SecuriteOff-qu...Hey Philou de "La-direction-de-SecuriteOff-qui-ne-comprend-qu'une-seule-et-unique-personne-mais-ça-fait-toujours-mieux-de-faire-croire-qu'on-est-50", <br /><br />Ce tweet de 2014 montre que c'est bien newsoft qui a le dernier mot ;)<br /><br />https://twitter.com/newsoft/status/519059907526811648<br /><br />Bisous,<br /><br />SafestSneerAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-8349587809700422652016-06-23T14:44:44.979+02:002016-06-23T14:44:44.979+02:00Bonjour
"L'éditeur n'a pas jugé util...Bonjour<br /><br />"L'éditeur n'a pas jugé utile de rediriger les favoris antérieurs à la refonte du site (circa septembre 2015)." : nous attendons toujours que vous nous indiquiez votre source pour affirmer ceci ?<br /><br />Nous tenons à préciser que cette information est fausse. Vous avez ajouté cette phrase dans votre article après notre précédent commentaire précisant que l’articule en question était bel et bien en ligne. Et vous avez cru bon d'avoir le dernier mot en ajoutant votre EDIT...<br /><br /><br /><br />La direction de SecuriteOffAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-90675234068302427582016-06-20T22:50:03.161+02:002016-06-20T22:50:03.161+02:00En fait, on manque (enfin, moi j'en manque) d&...En fait, on manque (enfin, moi j'en manque) d'exemples concrets de bons investissements de l'Etat. Ce n'est pas Andromède, le Cloud souverain, qui peut redorer leur blason https://fr.wikipedia.org/wiki/Androm%C3%A8de_(cloud)<br /><br />Le crédit import recherche me semble détourné de son but initial. Dans les SSII, il y a des formations pour pondre un slideware suite à un projet pour faire croire qu'il y a eu de la R&D. Rien qu'installer une maquette et faire un PoC d'une solution sur étagère est éligible au CIR... Et hop on a une prime sans rien partager avec la communauté.Dnucnahttp://dnucna.blogspot.fr/noreply@blogger.com