juin 16th, 2010

Posté on 16 Juin 2010 at 11:31

Bizploit est un environnement gratuit de test de pénétration orienté ERP… le premier du genre. Le progiciel principalement visé est SAP, mais est capable de s’adapter à d’autres programmes

Posté on 16 Juin 2010 at 11:27

Flash Player : à patcher d’urgence ! outre une collection impressionnante de trous (32, pas moins), ce bouchon coupe court à certains « proofs of concept » et exploits publiés

Hadopi, sur-accident du premier Albaniciel

Posté on 16 Juin 2010 at 11:07

Comme prévu, pourrait-on dire, les indiscrétions du programme de « surveillance » Hadopi commercialisé 2€ par mois par Orange a fait les frais d’un décorticage détaillé. de la part d’une équipe connue sous le nom de « Cult of the dead Hadopi ». Une analyse de l’analyse est aimablement fournie par Cédric Blancher, lequel nous apprend qu’il y a dans ce code-là de la graine de botnet (pas d’authentification du code expédié par le serveur central, possibilité de prise de contrôle à distance via un proxy de « détournement »), botnet lui-même fortement envisageable compte-tenu des faiblesses de l’infrastructure elle-même. Et ce n’est qu’un début, précise le Cult of the Dead Hadopi… il y a encore du potentiel dans ce programme-là.

Un logiciel de protection possédant tout ce qu’il faut pour fabriquer un botnet et compromettre des milliers de machines, le tout payé avec l’argent des victimes consentantes sous le douteux prétexte de veiller à la bonne santé financière d’un quarteron de marchands de musique essentiellement de variétés …. Cela ne rappelle-t-il rien aux habitués de la sphère sécurité ? Mais oui, bien sûr… le « botnet Sony BMG » qui valu à ses auteurs une place méritée sur Wikipedia. Qui donc, après un tel exploit (au sens « sécurité informatique » du terme) osera reprendre le flambeau et envisager de se lancer dans le négoce des hadopiciels sans craindre un « reverse engineering » ravageur ?

Et c’est sans parler de l’atteinte à l’image de marque. Les persifleurs auront beau jeu de demander à Orange (le FAI) si les offres de services « antivirus en ligne » protègent efficacement contre leurs propres productions internes… Les maraîchers de la Rue Saint Denis vanteront la qualité de leurs agrumes « garantis sans pesticides ni virus »… les truands entre eux en plaisanteront : « Si jamais tu te fais serrer, on t’apportera des clémentines… parce que les oranges, par les temps qui courent… ». Nos confrères des hebdos du Mercredi sombreront dans la facilité et titreront « Orange, Oh désespoir ! »… Quand aux journalistes de la presse spécialisée, il s’en trouvera bien un ou deux pour se demander si la LCEN ne pourrait être appliquée dans toute sa rigueur. Car après tout, cette branche de l’Opérateur Historique Français ne s’est-elle pas rendue coupable de « faire publicité », de diffuser, de détenir, de commercialiser un outil pouvant manifestement porter atteinte à des systèmes d’information ? La balle est dans le camp de Maître Eolas.

Cet esprit de sel mis à part, et en faisant abstraction des « dommages collatéraux » qu’auraient pu occasionner ce programme bâclé et dangereux, on peut se demander si la logique d’entreprise et la notion de recherche de profit n’est pas incompatible avec les impératifs de l’appareil d’Etat.

Peut-on conclure que l’application d’une loi sotte ne peut engendrer que des sottises ? Que l’hypothèse que nous soulevions le 15 juin dernier se confirme ?–à savoir que le business model d’un Hadopiciel géré par des entreprises privées fait que ladite entreprise n’a aucun intérêt à voir disparaître les pirates puisqu’ils constituent le terreau d’un fond de commerce profitable. Que toute extension Européenne d’un équivalent d’Hadopi (Acta notamment) aura des conséquences probablement semblables… mais à l’échelle Européenne, donc d’une gravité bien plus grande encore.

Mais ce qui fut le plus riche d’enseignements dans cette triste histoire, c’est la source même de cette révélation, ainsi que le médium qui a permis que l’information circule. C’est grâce à l’activité, à la vigilance de la liste Full Disclosure, que beaucoup voudraient voir disparaître, qu’une telle menace a pu être exposée au grand jour. C’est grâce à cette liberté de parole qui a encore droit de cité dans certains pays étrangers que le danger a pu être écarté. C’est grâce au travail d’un petit groupe qu’un « grand groupe » a dû faire machine arrière et reconsidérer l’opportunisme de son action.

Cybermanœuvres interarmées : pour les Français y’en a plus (bis)

Posté on 16 Juin 2010 at 11:03

Tiens, voilà du potin, voilà du potin : dans les pages intérieures de notre confrère Security News, ce papier intitulé « Les prochaines manœuvres CyberStorm vont mettre à mal la coopération internationale en matière de sécurité ».

– J’lis pas l’angliche, m’nadjudant.

– Sergent-chef Duclavier, c’est la raison pour laquelle vous n’êtes que Sergent-chef et que je vais prendre du galon. Mais bon : dans les grandes lignes, le gouvernement Américain, ses First, ses Cert, ses grandes entreprises et responsables d’infrastructure (dont 9 sociétés en informatique, 6 fournisseurs d’énergie, 2 compagnies aériennes) effectuent régulièrement un exercice simulant une « cyberattaque ». C’est la troisième du genre, et ça revient comme les radis, comme Satory, comme le 14 juillet, et comme la corvée d’pluches… mais tous les deux ans, en septembre. C’est pas franchement une méga-journée Pentest, rapport au fait que les canons sont chargés à blanc et les attaques franchement virtuelles. De la cyberguerre d’opérette en somme. Mais çà permet de voir tout de même si le piquet d’incendie est encore capable de réagir correctement et dans les temps.

– Mais m’nadjudant, nous sommes une armée moderne… avec des machines à éplucher les patates. Et puis, moi, les virusses et les malouaires, j’les crains pas avec mon Olivetti mécanique. Y’a que vous qui-z-avez un ordinateur Bull BM60.

– Assez de sarcasme, c’est réservé aux-z-officiers et à ceux qui vont le devenir. Mais le point important n’est pas là. Cette année, ces grandes manœuvres seront internationales, avec les cyberdéfenseurs Canadiens, Britanniques, Néo-Zélandais et 9 pays européens invités à participer. C’est confirmé par les Kiwis.

– Mais m’nadjudant, Etats-Uniens, Canadiens, Néo-Zélandais, Australiens, Britanniques… c’est pas nos ennemis numériques ? Ceux de l’Alliance UKUSA ? Les fomenteurs d’Echelon ? Faut dire que j’y comprends plus rien. La semaine dernière, c’était les cyberaccords Salt du désarmement numérique et l’entente cordiale entre le Kremlin et Washington dans une sorte d’Internationale de la Cyberdéfence. Si le Grand Large copine avec les Grandes Steppes, on est comme qui dirait encerclé. R’marquez, chanter l’Internationale, j’ai rien contre… j’ai appris le Drapeau Rouge pendant mon stage commando à la Légion.

– Mais-z-ici, vous êtes à l’Intendance, et c’est interdit. Et puis, on est en pleine reconfiguration géostratégique, d’autant plus épineuse que l’ennemi a oublié Clausewitz et un peu trop lu Mao… il se fond dans le cyberespace comme un poisson dans l’eau. Du fait, nous luttons contre un ennemi intérieur et extérieur insaisissable, voir des groupuscules de technoterroristes eux-mêmes manipulés par d’autres groupuscules politico-religieux évoluant dans un no-mans-land aussi indéfini qu’international. Je doute qu’un jour Jean-Christophe Victor parvienne à nous faire un « dessous des cartes » qui nous aide un jour à comprendre cet imbroglio.
– C’est qui, Jean-Christophe Victor ? un Général ?
– Sergent-chef Duclavier, c’est la raison pour laquelle vous n’êtes que Sergent-chef. En attendant, inspection des disques durs dans 20 minutes. Si je vois un octet pas nettoyé ou une clef USB pas correctement chiffrée avec la grille qui va bien, j’vous colle trois jours. Rompez.

Posté on 16 Juin 2010 at 10:46

178 personnes arrêtées en Europe et aux USA, principalement en Espagne, dans le cadre d’une enquête internationale visant un réseau de trafic de fausses cartes de crédit. MSNBC rapporte que l’escroquerie porterait sur 20M€, 120 000 cartes volées, 5000 clonées.

Posté on 16 Juin 2010 at 10:36

Budgets des cyberpoliciers Britanniques, selon le Reg, réduits de 30% par rapport à l’an passé. Précisons que les budgets initiaux étaient élevés et utilisés parfois de singulière façon

Publicité

MORE_POSTS

Archives

juin 2010
lun mar mer jeu ven sam dim
« Mai   Juil »
 123456
78910111213
14151617181920
21222324252627
282930