Actualités

S’il est des institutions bancaires qui ont, au fil des années, voué un véritable culte d’ouverture et de transparence, ce sont bien les banques des pays du Golfe Persique. Déjà, en 2013, deux banques (d’Oman et des E.A.U.) ont laissé échapper des centaines d’identités bancaires qui ont facilité la razzia des billetteries automatiques du monde […]

Mention spéciale à Florian Hammers (Tenable) avec son « 8 security lessons from 8bit games », qui a su faire salle comble avec un parterre de spectateurs attendant un cours magistral sur le retrogaming/retrohacking à grand renfort de C64, Pet Comodore et autres Oric Atmos et ZX81. Hélas il n’en fût rien, le discours se […]

Moins d’IoT, plus de rançons, de crimes, de spam, de pluies de malwares et de bot-herders avec la conférence de Maxim Goncharov (Trend Micro) « Criminal Hideouts for Lease: Bulletproof Hosting Services ». Cette présentation avait déjà été donnée à l’occasion de Pac_Sec, au Japon. Qui, au sein de la communauté des Cert et autres […]

La seconde couche était passée par Axelle « Cryptax » Apvrille (Fortinet). Une approche plus technique, les objets de l’Internet ayant fait l’objet d’une opération d’ingénierie inverse étant respectivement une paire de lunettes (sous Android), une brosse à dent (qui discute avec tout smartphone via une liaison BLE), et une …. Centrale d’alarme, également sous […]

Si, l’an passé, la conférence sécurité Genevoise avait bien timidement abordé les problèmes liés à la sécurité de l’informatique embarquée automobile, son édition 2016 a littéralement mis les pieds dans le plat de l’IoT. S’il fallait une seule phrase pour résumer le discours des chercheurs, ce serait « Peut mieux faire : de bonnes idées, […]

Mais quel rapport entre un radar et la SSI ? Trois fois rien, si ce n’est le devenir des IoT, l’évolution de la notion caduque de chiffrement, l’idée même que la confidentialité et l’authentification dépendent d’une approche palimpsestique des communications… Tout commence avec un article assez anodin publié sur le site officiel de l’armée US […]

Il est de tradition, dans le monde de la sécurité, de mésestimer certaines méthodes d’attaques jugées trop faciles. Le déni de service, par exemple. Ou pis encore, le « user interaction », autrement dit la nécessité d’obtenir un « accès à la console » pour que le vecteur d’attaque puisse remplir ses fonctions. Le beau […]

Darren Pauli, du Reg, rapporte les propos de Craig Smith qui, à l’occasion de la conférence Nullcon, a montré comment utiliser un nouveau type de vecteur d’infection virale : la sacro-sainte bagnole. Il y a, résume Pauli tellement d’informatique embarquée de nos jours qu’il est tout à fait envisageable de l’utiliser pour stocker des souches […]

Encore un article signé du Madrilène Jose Carlos Norte,cette fois-ci sur les méthodes de relevé d’empreintes numériques visant les usagers de TOR, le routeur-oignon. Norte ne recommande pas seulement une méthode, mais la concaténation d’une série de signes distinctifs. A commencer par les temps de réaction de la station de travail « cible » lorsqu’un […]

Les grands classiques sont indémodables : Avalanche de failles http et de trous de sécurité dans les consoles Web d’administration chez Cisco. Du côté des passerelles sans fil DPC3941 et DPC3939B tout d’abord, avec le colmatage du CVE-2016-1325. Un autre trou référencé CVE-2016-1327 est comblé (exploitable à distance) dans la famille des modems câble DPC2203. […]