Traces évidentes...

Mon ami et camarade Daniel Reynaud vient enfin d'ouvrir un blog. Daniel est chercheur en sécurité, principalement orienté sur les problèmes de malware et de virus. Nous avons eu l'occasion de nous revoir lors du SSTIC'08, Daniel, donnant tout comme moi, une rump. Le sujet abordé était la sécurité des extensions Mozilla Firefox.

Après quelques contacts avec Tristan, que je connais par mes activités dans le libre, nous avons pu faire ouvrir un bug sur le bugzilla du logiciel. Vous pourrez retrouver toute l'information sur ce problème sous le numéro 442153.

Daniel et son collaborateur remontaient différents problèmes :

1. l'intégrité des modules complémentaires n'est pas vérifiée après l'installation de ces derniers, c'est à dire que ceux-ci peuvent être modifiés après installation sans que l'utilisateur ne soit mis au courant (ni même le logiciel),
2. les modules complémentaires peuvent être installés par n'importe quelle application tierce,
3. un module complémentaire peut être supprimé de la liste des modules installés sans pour autant être supprimé ou desactivé,
4. les modules complémentaires peuvent refuser au gestionnaire de module leur désinstallation.

Ceci étant, en combinant les différents choix, nous obtenons une belle exploitation pour un malware ou un virus, qui se voit l'opportunité d'avoir une place au chaud avec de bonnes combinaisons (accès aux mots de passe de l'application, accès à internet via l'aplication, ...). La question semble donc relativement sérieuse.

Voici les réponses apportées par l'équipe en charge des problèmes de sécurité de Mozilla Firefox :

1. certains modules ont besoin de modifier des fichiers après leur installation, il est donc impossible de restreindre cette fonctionnalité. Il semble même étrange que l'on souhaite restreindre les droits d'écriture d'un module à son strict répertoire.,
2. c'est tout de même bien pratique que skype puisse installer un module sans l'intervention de l'utilisateur,
3. la correction sera peut être apportée dans Mozilla Firefox 4,
4. c'est une mauvaise configuration du module (?) qui a des droits complets sur le système.

Au-delà des problèmes réels soulevés, je trouve que la réponse est un peu rapide et légère. Pourquoi ? Parce que les reproches qui ont été fait par le passé à ActiveX se retrouvent également ici. Une trop grande permissivité permet à un attaquant d'atteindre de manière plus rapide son but. Ainsi, la sécurité est encore une fois sacrifiée pour la sacro sainte utilisabilité.

Attention cependant, on dit que l'avenir de la bureautique ou du poste de travail se transfère des systèmes d'exploitation vers les navigateurs. Avec de tels choix de design et de réaction, il sera intéressant de suivre l'évolution des malwares et virus désirant choisir ces biais, cela pourrait donner de belles choses (une pensée émue pour MS Blaster ;))

Je déteste ce mal être autant que je l'affectionne. Il me fait sentir vivant autant qu'il me tue. Être obligé d'écrire pour éviter d'exploser, être obligé de souffrir pour éviter d'imploser. Que n'ai-je de soucis de me pardonner afin de pouvoir vivre librement, simplement. Dire je t'aime serait un cadeau, mais aussi un délit. Et je ne peux l'exprimer et je me dois d'attendre, tout en me vidant de mon sang d'encre, dégoulinant, suicide sur papier. Ailleurs. C'est là-bas que je voudrais être. Surfer, boire, manger, m'amuser, rigoler. Aimer le soleil, boire et mourir. Non, au lieu de cela, je suis raisonnable, terriblement, à l'extrême. Je me tue, à petit feu. Il est un temps où mon alter ego sortait, la nuit, pour écrire, pour diffamer la vie, lui cracher sa rancœur. Et puis la vie a changé, la vie a évolué, à voulu faire croire à une chance. Une illusion, le temps de l'éclipse. Et maintenant, elle voudrait revenir me conter ses doux rêves. Elle m'arrache le peu d'énergie et de volonté que j'avais accumulés. Je préférerai coder un noyau. Ça aussi j'en suis incapable, cela aussi, elle me l'a volé. Le bit s'accélère, le cœur s'agite. Il a ses raison que la raison. On connaît la chanson. Merci, rideau, on range. Raz le bol, mais vraiment. J'avance, je recule, je touche, je passe, impair et manque. Que veux-tu à la fin ? Oui, non, peut être, pourquoi pas, mais. Où est donc Ornicar ? On se le demande. En ballade à Oz, du moins, la dernière fois qu'on l'a vu. Cependant, il ne la connaissait pas, elle. Oui, et alors ? En musique, ce serait un nouveau style, mélange de classique et de jazz, mais rien à voir avec du Gershwin. Non, une vraie fusion atomique. Elle se cherche sans se trouver, je l'ai trouver sans la chercher. Attendre, encore, toujours. Attendre. Vingt, trente, quatre-vingt. je ne fais qu'un passage de toute façon, pourquoi m'embarrasser ? Parce que je ne supporte pas la vie sans. C'est réellement triste à dire. Ça me tue, à petit feu. Des erreurs, encore et toujours. Pourquoi faut-il être né scorpion avec un caractère de grenouille ? Marée basse, ramassage de coquillages. Mais la marée monte vite, et je me retrouve noyé. Enfoui sous le sable et la vase, à côté d'une Saint Jacques qui me fait la conversation. Ça brasse à droite, ça brasse à gauche. Ça monte, ça descend. Que dois-je faire ? Là est la vraie question. J'aimerai bien qu'elle existe, parfois, qu'elle ne soit pas que le reflet schizophrène de mon élucubration féminine. Au moins, elle saurait. Non, elle sait. Elle remplace l'amour par la haine, la bonté par le cynisme, la mansuétude par l'implacabilité. Mais au moins, elle vit. Moi, j'existe. Comment peut-on se complaire à vivre toute une vie dans un rôle de Diafoirus ? C'est bénin, petit, idiot. Je vaux mieux, je vaux cent fois mieux. Mais j'ai décidé d'obéïr, de vivre cette vie et pas une autre, de perdre la mienne, parce que c'est le mieux. Je ne le regrette pas, je me lamente, je fais mon Jérémie. Je sais où est le bon, où est le meilleur. C'est Lui, mais moi, je la voudrais Elle. Que puis-je faire contre cela ? Rien. J'écris, c'est pour me calmer, je vis parce que c'est là mon devoir. Oui, j'ai mal, et alors ? Il n'y a que moi, il n'y a toujours eu que moi. Quand bien même je serai une perfection, l'adoption ne semble pas être de ce monde. Il faudrait oublier d'être une figure de Lui, pour vivre dans ce monde là. Je ne peux pas, car sans Lui, je ne suis plus moi. Parole de Linnet. J'en ai marre. Une chanson, aux voisins les voisines. L'air trotte, mais le contenu en est bien vide, comme tout le reste. Vomir. Bientôt. Vite. Je déteste cela. Je continue à me vider, pourtant. Quel fou, ce poète, qui voulait jouer à quatre mains. Quel insensé. Il m'a tué. On dirait du homard, mais sans aire. On dirait l'imaginaire de Pérec, mais pas la version de Marie-jo. Elle va bien, elle, d'ailleurs -- merci.

Je te le dis quand même.

Laurent Bloch, pour qui j'ai le plus grand respect, a écrit pendant ce dernier mois, un certain nombre de billets quant à sa nouvelle fonction de DSI à l'Université Dauphine. Cela n'est pas sans faire écho chez moi de nombreuses réflexions dûes à mon ancien poste d'assistant Ingénieur au sein de l'Université de Limoges. Ayant vécu pendant trois ans cette situation, je peux me targuer d'avoir un peu plus de recul sur le vécu intérieur, même si Laurent a, quant à lui, beaucoup plus d'expérience que moi dans notre domaine.

Ce qui est regrettable, en université, si ce n'est des castes dont je ne parlerai même pas, c'est la centralisation et la décentralisation, le tout dans un instantanée. En gros, il semble que la révolution culturelle de 1968 soit restée dans les mœurs et qu'il soit interdit d'interdire, qu'on ne puisse mener une réflexion à terme que si tout le monde est unanimement du même avis. Difficile dans ces conditions d'avancer de manière sereine et intelligente. Le bien commun étant souvent l'ennemi de l'évolution, mais l'épouse du statu quo.

Je me souviens, avec tendresse, de l'année où Blaster est sorti. Premier vers, à mon sens, intéressant, qui s'attaquait à notre ami windows XP. La faille est révélée, deux semaines plus tard, un exploit est fonctionnel. Il ne reste plus qu'à attendre quinze jours pour voir un vers s'emparer du pactole. La réaction de mon supérieur technique, à cette époque, celui-là même qui ne savait pas détarer un paquet en ligne de commande ou qui tapait à deux doigts et qui croyait encore que windows était un système d'exploitation, m'avait ordonné de mettre l'affaire sous silence pour ne surtout pas affoler la population de mes collègues. À la rentrée, nous avons donc fait un déverminage en bonne et due forme.

L'autre affaire sympathique se résume au crédit dont chaque laboratoire dispose. Pour une année donnée, on vous octroie une somme. Si cette somme s'avère ne pas être dépensée, non seulement on vous reprend le surplus, mais l'année d'après, vous aurez moins de crédit. C'est un traitement intelligent, n'est-ce pas ? De ce fait, j'ai vu fleurir des imprimantes laser couleur, des caméras IP, sans qu'il n'y ait de réel besoin, tout cela afin de garder les crédits qui seraient royalement octroyés l'année suivante. On parle souvent de déficit, j'aurai plutôt tendance à visualiser une gestion hors du temps.

Pour finir, je ne parlerai pas des passe-droits, de promotions douteuses, de grilles de salaire improbables, ni de l'armée mexicaine d'une vingtaine de personnes là où la moitié suffisent amplement. Je ne parlerai pas non plus de pressions irrespectueuse d'hommes envers leurs collègues ou de réflexions à des subordonnés que la politesse même ne pourrait tolérer.

Non, au lieu de cela, je vous dirai que je garde un très bon souvenir de ma période de travail à l'université, j'y ai passé du bon temps, découvert quelques gens intéressants (mais aussi de vrais salauds), qu'il y a la possibilité d'amener d'extraordinaires changements, mais que cela passera par une meilleure gestion des ressources humaines, qu'il faut une vraie gestion de carrière, un turn-over plus important (quoi, un poste à vie, ce n'est pas une promotion ?) et un peu de confrontation avec la production en entreprise privée.

Je dédie ce billet à Laurent, qui a su me l'inspirer, mais également à tous mes collègues qui me lisent, et qui se reconnaîtrons, d'un côté ou de l'autre de la barrière :) (Pour Régis, PP et Pierre, je ne me fais pas de soucis, hihi !)

Le 13 janvier 2007, je réservais un nouveau nom de domaine, après m'en être concerté avec mon binôme de toujours. Ce nom aura une consonnance anglaise : keepin. Mais qu'est ce que cela veut dire ? Il y a plusieurs approches. La première voie que nous avons adoptée est que keepin est la contraction de to keep in touch, qui signifie garder le contact. Il y a un autre sens qui peut être to keep someone in someting, ce qui signifie approvisionner quelqu'un. Et bien keepin, c'est un peut tout cela. Ça permet de garder le contact avec ses proches, sa famille, ses amis, ses associations, son entreprise, et ça permet d'approvisionner de nouvelles tout votre entourage.

Dans les faits ? Keepin est donc une SARL ouverte par quatre copains le 02 avril 2008 (certains verront le clin d'œil) qui a pour objectif de permettre au public, particulier ou professionnel, de garder le contact, à travers des listes de discussion.

J'ai d'ores et déjà reçu de nombreuses remarques, quasi immédiates, de la part de copains informaticiens, criant à qui voulait l'entendre que ce n'était en rien une évolution et que beaucoup de monde proposait déjà ce service. Alors dans ce premier billet consacré à keepin, je vais tâcher d'expliquer pourquoi nous avons choisi de proposer ces fonctions :

• nous garantissons un service sans publicité : non seulement il n'y a pas de bannière publicitaire, mais nous n'ajoutons pas de fioriture dans les mails que vous transmettez vis nos services. Contrairement à certains concurrents, vos mails sont une priorité pour nous, ainsi, nous les remettons à vos destinataires tel quels, sans ajout ou une dégradation d'une quelconque nature,

• par le jeu des listes privées, seules les personnes inscrites à votre liste peuvent poster des messages, ce qui vous garantie la limitation des spams et des virus à leur maximum,

• nous respectons vos données personnelles. Aucune donnée n'est revendue, seules les données essentielles à notre service, couvrant l'aspect légal, vous sont demandées. Tout comme vous, nous tenons à notre identité et pour cela nous respectons la vôtre,

• plus qu'une seule adresse à retenir pour joindre tous vos contacts en une seule fois. Fini la galère de gestion des alias, des copies carbones qui ne fonctionnent pas. Ici, vous avez des administrateurs qui peuvent ajouter ou supprimer des adresses mails sur la liste, pour le reste, les utilisateurs n'ont qu'à se servir de leur logiciel de courrier habituel.

Et le prix dans tout cela ?

À oui, le prix. Nous ne sommes pas un œuvre bénévole et charitable, contrairement à beaucoup de choses que nous avons monté (alt87, la Freeduc-sup, l'Éof...), alors qu'en est-il ?

Nous avons beaucoup travaillé sur la question afin d'offrir des tarifs les plus bas au public. Ainsi, nos prix partent de 21 centimes par personne et par mois et sont dégressifs en fonction du pack choisi. Cependant, pour des contraintes de gestion et de facilité, nous avons décidé qu'une seule personne puisse acheter le pack pour le groupe. Nous vous laissons le plaisir de gérer la caisse communautaire :)

Pour ceux qui cherchent à faire le calcul, le premier pack pour dix personnes est à 25 euros. Dans une année, il y a douze mois (si cela n'a pas changé), ce qui donne (25 (€) / 10 (personnes)) / 12 mois = 20,8 cents. Pour le prix, je vous invite à trouver mieux, sans pub, sans spam et en conservant votre vie privée, tout cela en conservant la plus grande simplicité à chaque étape !

Voilà, une première approche de keepin, j'aurai l'occasion de revenir sur la question dans d'autres billets.

Dernier jour, dernière fatigue de SSTIC pour cette année, avec pour une fois, un social event bien négocié.

La critique est facile, mais l'art est difficile. Je dis plus cela quant au calembour qui me sert de titre qu'au contenu de cet excellent SSTIC'08, sixième mouture du genre. Pour résumer, s'il en est, du bon, du très bon, de la fatigue, des contacts, des projets, du bon et encore du bon. Un poil moins fatigué à la sortie des confs. C'est quand la prochaine ?

Ca y est, les inscriptions sont enfin ouvertes ! Et pour ma part, j'ai déjà réservé mon billet pour les trois jours à Rennes avec Social Event inclus.

Tout ce que l'on sait pour le moment, c'est que ça se déroule à Rennes et que les repas du midi seront pris au RU. Il y a fort à parier que l'on se retrouve de nouveau cette année dans un amphi de Beaulieu.

Pour ma part, les conférences me mettent en appétit, avec tout particulièrement :

Jour 1

• la keynote de maître Marcus "ès" Ranum
• le Social Engineering en audit présenté par Michel IWOCHEWITSCH
• l'expertise judiciaire sur les téléphones mobiles. Samuel Dralet nous ayant déjà parlé un peu de la question lors de sa conférence sur les autopsies à l'OSSIRB.
• le speech de mister moutane.
• piège d'un banker

Jour 2

• Sécurité Physique
• Déprotection semi-automatique de binaires
• analyse binaire au niveau noyau
• les speechs de pappy & Eric Filiol, Sid et Marie B. parce qu'ils le valent bien
• comme d'habitude, une grande impatience sur les rumps, avec peut être une petite surprise cette année.

Jour 3

• Walk on the wild side, du rétiaire
• SinFP, ne serait-ce que parce que c'est Patrice et que c'est un Breton !
• voyage au coeur de la mémoire
• dynamic malware analyses for dummies, parce que je me sens bien parmi les dummies pour le coup.

Ca fait un bien fout rien que de penser que l'on va enfin se retrouver dans un environnement cohérent, contrairement au reste de l'année où... Non, je ne préfère rien dire.

Notez que je n'ai inscrit ici que les confs qui paraissent me passionner, mais je pourrai avoir de bonnes surprises... ou pas !

Allez, les inscriptions à SSTIC, c'est par là

La nouvelle Journée Sécurité des Systèmes d'Information, organisée comme chaque année par l'OSSIR, est de retour. Cette année, le thème choisi porte sur l'anonymat, la vie privée et la gestion de l'identité. C'est un thème on ne peut plus d'actualité, puisque après la fureur du web 2.0, on commence à se poser de réelles questions sur le problème : 'mais au fait, à qui viens-je de donner mes informations et les droits d'exploitations ?".

Pour ma part, c'est très présent en tous cas, car il n'y a pas dix minutes, j'ai rédigé un long mail à quelques copains expliquant pourquoi je n'utiliserai pas fesse-book. En effet, des conditions générales d'utilisation, les fameuses CGUs, traduites à la va comme je te pousse par des pseudo étudiants ou lycéens (non, pitié, ne me dîtes pas que c'est le travail d'un pro !) feraient pousser des champignons en plein milieu du béton de Tchernobyl.

Cette année, on aura beaucoup parlé d'anonymat et de liberté, entre autre avec les JO de Pékin. On pensera également à l'histoire de noeud Tor qui avait permis à un chercheur en sécurité de malencontreusement tomber sur des données confidentielles.

Au programme donc, on fera un petit tour en médecine, on se frottera à un opérateur mobile, on passera par les gentils petites fourmis de MENESR avant de se finir par un bon coup de droit. Non, il n'y a pas à dire, un bon concentré pour ressortir au fait de ce qui va encore longuement marquer les conversations cette année.

Alors, en attendant SSTIC qui ne devrait plus tarder à ouvrir ses inscriptions (au plus tard dans deux semaines d'après des sources proches du dossier), n'hésitez pas à venir vous faire du bien à la JSSI.

EDIT : le G29 (les CNIL européenne pour faire court) vient d'adopter un texte qui oblige les moteurs de recherche à anonymiser les données collecter au bout de six mois maximum (13 à 18 mois actuellement). Comme quoi, ce sujet est vraiment d'actualité ;)

De mes lectures, mes préférées restent tout de même les RFCs. Je dois ça à mon karma psycho-rigide, paraît-il. De ces RFCs, j'aime particulièrement celles devenues standards, mais également celles qui tendent à la réalité quantique de la science informatique. Il en est ainsi de la sacro-sainte 1149. L'année dernière, à la même époque, je m'esclaffais devant mon supérieur qui me prenait enfin pour un barge de voir une création si merveilleuse prendre une belle vie dans le si parfait ascii art. Cette année, on est gâté :

• Naming Rights in IETF Protocols

Pas beaucoup de publication cette année sur ce blog, ça se fait désertique et silencieux, en dehors de quelques coutures en LaTeX (ça, c'est pour les statistiques ;)). C'est le résultat d'une année chaotique, occupée, préoccupée, dense, fatigante, stressante. Oh, il y aurait beaucoup à dire, mais il y en a encore beaucoup plus qui ne peut pas se dire. Non, ce que je peux noter, c'est que de nombreux sujets qui m'intéressaient, et pour certains que j'ai présenté ou gribouillé, ne sont pas apparus. Je pense entre autre au résumé du sstic 2007 qui était prêt et qui n'a jamais été publié. On attend toujours l'ouverture des inscriptions pour 2008. Prévision de booking en trois jours, attention !

J'attends toujours mon diplôme homologué par le Conservatoire, histoire d'être rassuré lorsque j'aurai ce foutu papier entre les mains, tourner complètement la page. Les attestations, c'est bien, mais le papier de l'imprimerie nationale, c'est mieux !

Comme vous l'aurez peut être constaté, les élections locales se sont déroulées il y a peu, ce que j'en retiens :

• Alain Rodet, élu au premier tour. Limoges à gauche depuis plus de cent ans, la ville piétine, mais on ne voit pas pourquoi. On devrait obliger les candidats à ne pas pouvoir briguer plus de deux mandats consécutifs, ça renouvellerait le parterre.
• 53 % de la population rennaise a voté, 3% de blanc. Le maire a été élu à 60 %. Si on fait un calcul rapide, l'élection amène à un choix de la gouvernance par 30 % de la population. Pourquoi ne pas changer la méthode de vote, et par la même, la constitution ?

Vous l'aurez également noté, on parle beaucoup de licence globale ces temps-ci. Certains qui se sont ardemment battu comme moi pour son adoption, contrairement à ce qu'a proposé le futur ex directeur de la FNAC et qui est tout simplement liberticide et catastrophique, certaines major sont en train de faire volte face. Non, non, l'idée ne vient pas d'en bas, il y a des génies qui y ont pensé avant hier, c'est tout !

Le seul vrai point négatif dans tout cela : je n'ai pas avancé la documentation de scapy comme je le souhaitais en juin dernier. J'ai du retard, il va falloir que je m'y plonge sérieusement !

Pour finir sur un vrai point positif : Pour être écolo, ne mettez pas votre planche de surf sur la voiture lorsque vous allez bosser, mais seulement quand vous allez à la mer ! (Parle à ma main ! (c)Terminator3)