Actualités

Le billet de Matthew Green, cryptographe, professeur et chercheur à l’Université John Hopkins, achève le travail de sape progressif qui a touché PGP durant ces derniers mois. « it’s time for PGP to die » affirme-t-il. La nature des clefs, l’obligation de partage desdites clefs, préalable obligatoire avant tout échange, difficultés en matière d’authentification de […]

Le Clusif a publié un guide intitulé « Gestion des vulnérabilités informatiques : vers une meilleure gestion des risques» , et destiné à faciliter la navigation des responsables Infosec dans l’océan de normes, règlementations et pratiques. ISO 27000, Bâle II, PCI-DSS, ETSI ISI, recommandations du SANS, conséquences de la LPM, contraintes liées à la notion […]

C’est Guillaume Poupard, patron de l’Anssi, qui ouvrait la quatorzième édition des Assises de la Sécurité. Une quasi « première prise de contact » officielle avec l’industrie infosec, un discours attendu qui devait confirmer (ou non) le cap donné par son prédécesseur Patrick Pailloux. Un Patrick Pailloux qui s’était montré plus que prudent l’an passé, […]

Mehari (MEthod for Harmonized Analysis of Risk) est une méthode Française destinée à accompagner pas à pas le responsible sécurité dans l’identification et l’analyse de risque. Née au milieu des années 90 sous l’égide du Clusif, elle adopte le modèle Open Source en 2010 pour mieux faciliter son adoption et surtout se montrer l’égale d’approches […]

Cette technique décrite sur le blog de Dr Web n’est pas sans rappeler ce « proof of concept » très visionnaire développé en 2010 par Itzik Kotler et Ziv Gadot : le botnet qui prend ses ordres d’une publication en ligne ou d’un réseau social. Mais celui découvert par les chasseurs de virus Russes n’est […]

A moins d’avoir passé les 15 derniers jours dans la caverne de Platon, l’homme du siècle s’est ému au rythme des annonces concernant le bug bash Shellshock. Le dernier soubresaut était celui d’Apple qui vient d’annoncer, sans la moindre précision aucune (histoire de préserver la tradition) la publication des correctifs pour Maverick, Mountain Lion et […]

Le Point Exquis de l’affaire du Grand Chiffre d’Apple, c’est le blogueur Orin Kerr (du Washington Post) qui le détecte. En écrivant tout d’abord un article assez peu réfléchi sur « la légèreté d’Apple », édito conservateur arguant du fait que Cupertino fait ainsi le jeu des trafiquants de drogue, des cyber-pédophiles et des djihadistes […]

Conséquence de l’annonce du chiffrement fort d’Apple se pose également la question de l’obsolescence tant du noyau que du mécanisme de chiffrement lui-même. De mémoire de gourou de la cryptanalyse, et à l’exception de l’inviolable « one time pad », il n’existe aucun système qui ne se casse avec le temps. C’est d’ailleurs sur ce […]

La course à la rustine CVE-2014-7169, alias Shellshock, alias bash bashing, a dû passablement occuper le week-end des développeurs de bon nombre d’outils serveurs. Chez Oracle, on annonce fièrement la disponibilité de 6 correctifs (Database Appliance, Exadata Storage Server Software, Exalogic, Exalytics, Linux 4, 5, 6 et 7 ainsi que Solaris 8, 9, 10 et […]

La presse, les pirates auteurs de virus, les éditeurs, les responsables sécurité… Shellshock, la faille bash, a fait réagir tout le monde, partout, en moins de 24 heures. Sauf, peut-être, les chasseurs de failles eux-mêmes. La presse, tout d’abord, puisque 48 heures après les premières alertes, les journaux grand public (dont les quotidiens gratuits) se […]