jp.gaulier.info/blog

Je ne sais pas si le SSTIC sera une bonne cuvée cette année, mais j'en attends beaucoup de choses. Ce qui est intéressant de noter, en tous cas, c'est le jeu des chaises musicales, qui chaque année se réduit. Là, il fallait être sur les starting blocs :

Le début de la course, avec un petit problème sur le caddie de diamond qui sera réglé moins de deux heures plus tard (12h18) :

Subject: Inscriptions SSTIC 2008
Date: Tue, 15 Apr 2008 10:21:01 +0200

Un petit mail, à peine vingt-quatre heures après, pour faire part des 250 premières places vendues, avec social event :

Subject: Infos Inscriptions SSTIC08
Date: Wed, 16 Apr 2008 11:18:04 +0200

Allez, ça fait deux jours, faut pas abuser, même une administration aurait eu le temps de commander un aller-retour pour Hong Kong :

Subject: Inscriptions SSTIC08 - C'est fini...
Date: Thu, 17 Apr 2008 19:35:07 +0200

Il y a deux leçons à tirer de cela :

• le SSTIC est un événement très prisé, tout le monde ne peut pas y assister et c'est l'endroit où l'on se doit d'être dans notre métier
• à quand un SSTIC d'hiver ?

Toujours pour rester dans les annonces chaudes, maître ès Ruff nous pointe un papier des plus intéressant. En indien (et oui, il faut se mettre à l'heure de la mondialisation !) dans le texte :

In our experiments, we generate exploits from a patch in only a few minutes. Modern threats such as the Slammer worm have empirically demonstrated that once an exploit is available, most vulnerable hosts can be compromised in minutes.

Ma little traduction :

Durant nos expériences, nous avons [automatiquement] généré des exploits à partir d'un patch de sécurité en seulement quelques minutes. Les menaces modernes telles que le ver Slammer ont démontré de manière empirique que dès qu'un exploit est disponible, la plupart des hôtes vulnérables peuvent être compromis en quelques minutes.

La mafia n'a plus qu'à bien se tenir, les script kiddies arrivent.

Pour ceux qui sont assoiffés de connaissance, le papier en question est disponible sur le site de David Brumley

Pour rappel, les inscriptions pour la JSSI de l'OSSIR sont toujours ouvertes !

EDIT : ne trouvez-vous pas que ce communiqué de presse pour la JSSI est absolument fabuleux ?

Ca y est, les inscriptions sont enfin ouvertes ! Et pour ma part, j'ai déjà réservé mon billet pour les trois jours à Rennes avec Social Event inclus.

Tout ce que l'on sait pour le moment, c'est que ça se déroule à Rennes et que les repas du midi seront pris au RU. Il y a fort à parier que l'on se retrouve de nouveau cette année dans un amphi de Beaulieu.

Pour ma part, les conférences me mettent en appétit, avec tout particulièrement :

Jour 1

• la keynote de maître Marcus "ès" Ranum
• le Social Engineering en audit présenté par Michel IWOCHEWITSCH
• l'expertise judiciaire sur les téléphones mobiles. Samuel Dralet nous ayant déjà parlé un peu de la question lors de sa conférence sur les autopsies à l'OSSIRB.
• le speech de mister moutane.
• piège d'un banker

Jour 2

• Sécurité Physique
• Déprotection semi-automatique de binaires
• analyse binaire au niveau noyau
• les speechs de pappy & Eric Filiol, Sid et Marie B. parce qu'ils le valent bien
• comme d'habitude, une grande impatience sur les rumps, avec peut être une petite surprise cette année.

Jour 3

• Walk on the wild side, du rétiaire
• SinFP, ne serait-ce que parce que c'est Patrice et que c'est un Breton !
• voyage au coeur de la mémoire
• dynamic malware analyses for dummies, parce que je me sens bien parmi les dummies pour le coup.

Ca fait un bien fout rien que de penser que l'on va enfin se retrouver dans un environnement cohérent, contrairement au reste de l'année où... Non, je ne préfère rien dire.

Notez que je n'ai inscrit ici que les confs qui paraissent me passionner, mais je pourrai avoir de bonnes surprises... ou pas !

Allez, les inscriptions à SSTIC, c'est par là

Prélude : mamie, si tu lis ce billet, livre-de-fesse n'est pas un site pornographique, mais un pseudo réseau social, qui au vu de ses traductions des conditions générales d'utilisation ne mérite pas tellement mieux que la pseudo traduction que je lui attribue :)

Non, vous comprenez, l'honneur avant tout ! Allez, on passe au vif du sujet :

Comme toute personne connectée, vous n'aurez pas échappé à la dernière déferlante d'Amérique du nord des derniers mois, à savoir livre-de-fesse. Étant plutôt informaticien dans la vie comme à la maison, les quelques copains que j'ai sont souvent issus du même milieu que moi. Alors fatalement, ils n'ont, eux non plus, pas échappé à ce matraquage en règle. Seulement, contrairement à la plupart de ces énergumènes, je n'ai pas de mac et je n'utilise pas msn(c), simplement parce que j'ai des convictions et que je les applique à ma conduite avant de vouloir les imposer aux autres :) De ce fait, mes charmant, mais néanmoins crédules copains ont ouvert un compte sur livre-de-fesse. Pourquoi je n'ouvrirai pas un compte sur livre-de-fesse.

Site sobre d'approche, si vous voulez en savoir plus, il va falloir se coltiner les CGUs, ou conditions générales d'utilisation. Pour le commun des mortels, c'est quelque chose d'assez incompréhensible. Un condensé de pseudo droit, sous une forme pseudo juridique. Un truc qui dit souvent que vous avez tous les torts et que vous ne pouvez rien demander à l'entreprise qui gère le site/service sur lequel vous êtes inscrit. Bien souvent, ces CGUs, équivalent des lignes en petites lettres sur de juteux contrats, révèlent de vrais trésors d'inventivité de la part de leurs créateurs. Je n'ai malheureusement pas la stature d'un maître Éolas pour vous parler de droit, mais rien ne m'empêche d'appuyer là ou ça fait mal.

Le danger n'est pas toujours là où on peut le croire, alors avant de vous jeter sur un nouveau service disponible sur Internet, soyez curieux et voyez si ça ne va pas chauffer pour votre matricule en retour de bâton.

Allez, on passe sur la partie intéressante du site : conditions générales d'utilisation ou comment faire n'importe quoi, n'importe où

Lire la suite

La nouvelle Journée Sécurité des Systèmes d'Information, organisée comme chaque année par l'OSSIR, est de retour. Cette année, le thème choisi porte sur l'anonymat, la vie privée et la gestion de l'identité. C'est un thème on ne peut plus d'actualité, puisque après la fureur du web 2.0, on commence à se poser de réelles questions sur le problème : 'mais au fait, à qui viens-je de donner mes informations et les droits d'exploitations ?".

Pour ma part, c'est très présent en tous cas, car il n'y a pas dix minutes, j'ai rédigé un long mail à quelques copains expliquant pourquoi je n'utiliserai pas fesse-book. En effet, des conditions générales d'utilisation, les fameuses CGUs, traduites à la va comme je te pousse par des pseudo étudiants ou lycéens (non, pitié, ne me dîtes pas que c'est le travail d'un pro !) feraient pousser des champignons en plein milieu du béton de Tchernobyl.

Cette année, on aura beaucoup parlé d'anonymat et de liberté, entre autre avec les JO de Pékin. On pensera également à l'histoire de noeud Tor qui avait permis à un chercheur en sécurité de malencontreusement tomber sur des données confidentielles.

Au programme donc, on fera un petit tour en médecine, on se frottera à un opérateur mobile, on passera par les gentils petites fourmis de MENESR avant de se finir par un bon coup de droit. Non, il n'y a pas à dire, un bon concentré pour ressortir au fait de ce qui va encore longuement marquer les conversations cette année.

Alors, en attendant SSTIC qui ne devrait plus tarder à ouvrir ses inscriptions (au plus tard dans deux semaines d'après des sources proches du dossier), n'hésitez pas à venir vous faire du bien à la JSSI.

EDIT : le G29 (les CNIL européenne pour faire court) vient d'adopter un texte qui oblige les moteurs de recherche à anonymiser les données collecter au bout de six mois maximum (13 à 18 mois actuellement). Comme quoi, ce sujet est vraiment d'actualité ;)

Nous avons le privilège de recevoir le président de l'OSSIR en notre belle contrée bretonne. Il fera un retour sur les failles de 2007. Nous enchaînerons toujours sur 2007 avec Hervé Troalic qui s'attachera plus particulièrement aux attaques des applications web. Ça promet de beaux débats. N'hésitez surtout pas à vous joindre à nous, l'entrée est libre et gratuite. Quelqu'un a t-il suggéré que la sortie soit payante ? ;-)

Le programme et la localisation, c'est sur la page de l'OSSIR Bretagne

PS : rien à voir avec l'OSSIR, quoi que, il semblerait que j'ai enfin réussi à me motiver sur l'avancement de la doc de scapy

De mes lectures, mes préférées restent tout de même les RFCs. Je dois ça à mon karma psycho-rigide, paraît-il. De ces RFCs, j'aime particulièrement celles devenues standards, mais également celles qui tendent à la réalité quantique de la science informatique. Il en est ainsi de la sacro-sainte 1149. L'année dernière, à la même époque, je m'esclaffais devant mon supérieur qui me prenait enfin pour un barge de voir une création si merveilleuse prendre une belle vie dans le si parfait ascii art. Cette année, on est gâté :

• Naming Rights in IETF Protocols