Skip to main content
KAIZER ONION

Back in the city (San Francisco)

Je suis actuellement à  San Francisco pour une formation Checkpoint.
La formation (de type bootcamp) est intense mais très utile. Les labs sont consistants et bien détaillés.

La formation est animé par Barry Stiefel. Il modère aussi le forum cpug qui comprends un peu près 17 000 utilisateurs et 36 000 posts sur checkpoint.

Je profite de l’occasion pour partager avec vous la vue de mon hotel.

SonicWall fidèlise ses clients

SonicWall a bien compris le modèle commercial de la réussite.

Une fois le client démarché, et conquis par la solution, on implémente la solution. Jusque là , tout va bien. Ensuite, SonicWall innove et utilise le vieille adage qui dit:
“On se rend compte de ce que l’on a une fois qu’on l’a perdu”.

C’est comme ça que le service de vérification de licences du constructeur a cessé de fonctionner, entraînant l’invalidation des licences utilisateurs.
Résultat : toutes les fonctionnalités proposés par SonicWall ont été désactivées, genre plus d’antispam, d’antivirus, de listes noires ou de filtrage de contenu. Comme a dit Cédric Blancher:
Un Massive Epic Fail qui devrait nous rappeler quelques fondamentaux….

En effet, s’ils ont bien assimilé le concept commercial, ce n’est pas encore le cas pour leur modèle de sécurité…

Voici le bulletin d’information officiel pour plus d’information.

Le social engineering n’a pas de limite

L’ingénierie sociale (social engineering en anglais) est la discipline consistant à  obtenir quelque chose (un bien ou une information) en exploitant la confiance mais parfois également l’ignorance ou la crédulité de tierces personnes. Il s’agira pour les personnes usant de ces méthodes d’exploiter le facteur humain, qui peut être considéré comme le maillon faible de tout système de sécurité. Kevin Mitnick, avec son ouvrage L’art de la supercherie a théorisé et popularisé cette pratique. dixit Wikipédia.

La dernière trouvaille dans le domaine, est d’utiliser la loi Hadopi et sa réponse graduée. Pour rappel, cette loi qui a été votée le 31 octobre dernier a pour but de suspendre votre abonnement internet en cas de téléchargement illégal répété.

L’idée est de profiter de la situation en diffusant des mails en masse en se faisant passer pour l’Autorité de régulation des mesures techniques qui est en charge de traquer les pirates du net.

Le piège est simple : un texte d’avertissement sur une probable action illicite sur le téléchargement et un lien renvoyant sur un programme de 33 ko qui est censé contenir les preuves de vos copies. Sauf que ce fichier, un code malicieux, qui a pour mission de télécharger un cheval de Troie, sur votre ordinateur.

La suite tout le monde peut se l’imaginer, votre antivirus détecte le cheval de Troie et vous continuez de travailler normalement ou, vous n’avez pas d’antivirus à  jour et c’est la catastrophe !!

RFID ou Read Further Into Devices

Il y a quelques semaines se déroulait la grande messe de la sécurité à  Luxembourg : le hack.lu.

Les talks se sont enchaînés sur 3 jours.
Comme dans toute conférence, il y a à  boire et à  manger du bon et du mauvais, mais le cru de cette année fut relativement bon. Nous avons pu assister à  des tracks de qualité.
En autre le talk de Saumil Shah sur l’exploitation de faille dans les navigateurs web. Il comparait la structure système du navigateur web à  un système d’exploitation, d’ailleurs c’était assez drôle car il disait que la sécurité des navigateurs web est équivalente à  la sécurité des OS en 1990.

Adam Laurie était aussi présent. Je l’avais déjà  vu à  la Defcon 16 pendant la présentation de Zac Franken.
Ceci dit, Adam nous a parlé de RFID et plus précisément des puces RFID utilisé dans le passeport biométrique. On a pu voir à  quel point cette technologie est sécurisée. Cela m’a donné envie de creuser le sujet…

Continue reading

La protection des données personnelles

Après les nombreuses interrogations suscités par la loi sur la protection des données personnelles du 2 août 2002, l’équipe de développement de Firefox annonce enfin un module Private browsing mode. Vous allez me dire que depuis 2004, Safari (le navigateur le plus rapide) propose cette fonction.
Certes, mais ce n’est pas parce que Safari est le navigateur le plus rapide, qu’il est le plus utilisé.

Donc cette nouvelle fonctionnalité va faire du bien aux utilisateurs.
La roadmap de Firefox 3.1 est assez impressionnante.

Proxy Tunneling

Qu’est ce que le proxy tunneling.

C’est un bon moyen de surfer toute la journée sans que votre patron sans doute … Ou, un problème que toutes les entreprises rencontrent.

Question de positionnement …

En tout état de cause, le problème est bien présent et depuis longtemps. Voici une démonstration.



L’idée n’est pas de descendre Webwasher, car cela fonctionne avec n’importe quel autre proxy. Maintenant pour contrer le problème, vous pouvez toujours mettre en place du contrôle d’application, faire une white list de vos site “https” ou encore désactiver les paramètres de connexion votre navigateur web via les GPO.