C’est un dialogue d’outre-tombe, entre deux récents disparus.
D’un côté, Paul Allen, emporté par un cancer en ce début de semaine, l’un des fondateurs de Microsoft, grand collectionneur de guitares électriques, mécène, startupeur en série, et surtout principal pourvoyeur financier du projet Seti ( Search for extraterrestrial intelligence). Pour que les équipes du Seti puissent construire leur grand réseau de radiotélescopes et participer notamment aux mesures des jets astrophysiques à haute énergie, il signa un chèque de 25 millions de dollars.
De l’autre, le cosmologiste Stephen Hawking, qui a quitté le monde des sciences en mars dernier. Son livre postume « Brief Answers to the Big Questions », également sorti cette semaine, tente de répondre aux questions existentielles que se posent les habitants de la terre : l’avenir de l’homme dans un monde dominé par l’I.A., le transhumanisme, l’absence de déité dirigeant l’univers… et ce clin d’œil au Seti : « Il existe des formes de vie intelligentes dans l’univers. Nous devons nous garder de répondre jusqu’à ce que nous disposions d’un peu plus d’informations » (« There are forms of intelligent life out there. We need to be wary of answering back until we have developed a bit further »).
Après 4 ans d’existence discrète, une faille affectant libssh 0.8.4 et 0.7.6 vient d’être colmatée. Le problème n’affecte que les serveurs, ce qui provoque une certaine fébrilité dans les rangs de certains éditeurs. Cisco, mais également Red Hat, Suse, Canonical et consorts alertent leurs administrateurs et les poussent à boucher le trou CVE-2018-10933.
L’exploitation de la faille semble excessivement simple. Il suffit à un poste client d’envoyer un message de d’approbation d’authentification (SSH2_MSG_USERAUTH_SUCCESS) en lieu et place d’une demande (SSH2_MSG_USERAUTH_REQUEST). En d’autres termes, le requérant utilise un message que seul le serveur serait en droit d’émettre. Une « cuti-réaction » logicielle est disponible sur Github.
50 000 USD d’amende, l’obligation de restituer les gains mal acquis et 8 mois d’assignation à résidence. Tel est le verdict condamnant Sudhakar Reddy Bonthu, l’un des patrons d’Equifax qui avait vendu des actions de l’entreprise avant que l’annonce de la fuite de 143 millions d’identités ait été rendue publique. Jun Ying, CIO d’une branche de l’entreprise à l’époque, avait été inculpé pour des motifs comparables et avait plaidé coupable.
Plus que quelques jours pour enfiler une polaire et se précipiter à Yverdon les Bain, sur les rivages du lac de Neuchatel pour assister à Black Alps du 8 au 9 novembre. Deux jours d’ateliers et de conférences InfoSec animées par quelques célébrités : Axelle Apvrille, Renaud Lifchitz, Paul Rascagnères…
Suivre ensuite l’autoroute en direction de Lausanne, Genève, Annecy et cap sur Grenoble, ou se déroulera, le 16 novembre, l’édition 2018 de GreHack qui accueillera notamment Marius Muench venu parler des Screaming Channels, Mathieu Cunche et Leonardo Cardoso, explorateurs de l’inaudible, Charles Guillemet, entre open source et électronique sécurisée… l’équipe de Cnis Mag sera heureuse de vous y rencontrer.
Une traversée de massif central plus tard, BotConf, sixième édition, se tiendra à Toulouse du 4 au 7 décembre prochain (le premier jour étant réservé aux «ateliers »). Les inscriptions sont encore ouverte, la liste des interventions arrêtée.
20 jours plus tard, il faut cingler vers Leipzig où se déroulera le traditionnel 35C3 du 27 au 30 décembre. La date d’achat des tickets d’entrée « officielle » est fixée au 8 novembre… si tout n’est pas déjà parti durant la période de prévente.