novembre 27th, 2009

La Conférence Développeurs Microsoft USA en ligne : toutes les vidéos en accès gratuit ainsi que les analyses en français sur Multimedia et Azure, Silverlight 4, Visual Studio ou IE9.0.

Autant les premiers communiqués de l’Owasp (Open Web Application Security Project) se limitaient à une sorte d’inventaire des risques pouvant mettre en danger une architecture Web, autant l’édition 2010 est une petite merveille d’information structurée, de renseignements utiles… En un mot, la préversion de ce « hit parade des dangers Web et comment les éviter » frise une bonne méthode ou une analyse de risques. Ce n’est pourtant pas de cette manière qu’est présenté ledit document. C’est tout au plus un vadémécum qui renvoie aux autres ouvrages publiés par l’Owasp, et qui, eux, plongent plus profondément sur les méthodes de développement. Sur une vingtaine de pages, ce guide dresse tout d’abord une liste des attaques les plus courantes. Pour chaque attaque, une fiche pratique d’une page pose les deux questions fondamentales de l’administrateur Web (suis-je vulnérable et comment puis-je m’en préserver), accompagne ces interrogations d’une explication lapidaire d’un scénario d’attaque, et fournit une série d’URLs pointant sur les chapitres de référence soit d’un ouvrage de l’Owasp, soit d’un document du CWE.

Ah !Si les « top ten » du Sans, du CSI-FBI et autres organismes pouvaient être aussi clairs…

Tout commence par un bulletin d’alerte 977981 et un billet sur le blog du MSRC, qui préviennent tous deux d’une faille à priori non exploitée publiquement affectant I.E. 6 et 7. Le conseil logique étant bien entendu de « migrer vers I.E. 8 » ou, tout au moins, de désactiver l’active scripting, compte tenu du fait qu’un PoC relativement instable est publié dans les colonnes du Bugtraq. Mais deux jours ne se sont pas écoulés après cette annonce qu’une autre alerte est émise… I.E. 8 est à son tour victime d’un défaut facilitant une attaque en cross-site scripting provoqué, comble de l’ironie, par un mécanisme servant à protéger le navigateur contre les XSS. La présence de ce trou a été révélée par Dan Goodin, correspondant du Register aux USA. Les détails sur l’exploitation et l’origine de l’information n’ont pas été dévoilés au moment où nous rédigeons ces lignes.

Anxieux s’abstenir, brigbrotherophobe, passez votre chemin. Wired nous apprend que la filiale US de DeCode Genetics, une entreprise Islandaise spécialisée dans l’analyse génétique vient de déposer le bilan. Sic transit gloria mundi.

Et les défenseurs des libertés individuelles s’en émeuvent. Car DeCode US possède un fichier et une collection d’empreintes à faire pâlir le réalisateur de Bienvenue à Gattaca. Car tout comme dans le film d’Andrew Nicoll, cette entreprise était spécialisée dans la détection des risques de maladies ou de prédispositions génétiques. Que va devenir ce thésaurus ? Le repreneur, Saga, assure que jamais ces données ne seront revendues à des médecins, des employeurs ou pire, des compagnies d’assurance. Mais rien n’interdit, craignent certaines ligues de défense de la vie privée, que ces mêmes données soient revendues à des laboratoires, après anonymisation, et que ladite anonymisation puisse être levée grâce à des séries de recoupements.