Archives de catégorie : Articles

Article détaillé sur un sujet sécurité.

Venez échanger avec nous sur Discord!

Bonjour à tous!

Dorénavant, il sera possible à la communauté Comptoir-Sécu de discuter facilement par le biais de notre serveur Discord!

Alors oui, pour les vieux briscards qui nous suivent depuis le début, certains se souviennent d’un canal IRC qui avait déjà été créé dans ce but précis….avec un succès mitigé. Disons qu’à l’heure du smartphone et de la connexion multi-clients, IRC n’est peut-être plus la solution la plus pratique. Je sais que nous allons faire crier quelques puristes, mais on prend le risque ;).

Pour nous rejoindre, rien de plus simple, il suffit de vous créer un compte Discord et d’aller sur la page suivante:

http://discord.gg/m5mHGHb

Vous pouvez aussi utiliser le widget ci-dessous :

Au plaisir de vous retrouver en ligne!

Flattr this!

Le comptoir vous attend aux Assises de la Sécurité 2016

Bonjour à tous!

Pour la troisième année consécutive, le comptoir est présent aux Assises de la Sécurité!  C’est officiel, nous faisons partie des meubles.

Au programme cette année, pas de live, mais plein d »interviews que nous vous préparerons avec amour pour publication dans les jours à venir. Oui, promis, on fera en sorte d’être plus rapide qu’avec la Nuit du Hack ;). Justin vous prépare même une petite surprise audiovisuelle, vous verriez son agenda, un vrai ministre.

La première journée a commencée sur les chapeaux de roues, malgré un réveil à  4h30 pour sauter dans un des premiers avions en direction de Nice, nous avons eux quelques déconvenues. Il faut croire que notre pilote avait un peu trop bu à notre santé la veille (ok, la raison officielle était juste « il n’a pas pu venir »). Ce retard, plus les légendaires bouchons monégasques, nous ont malheureusement fait rater l’ouverture traditionnelle de l’ANSSI.

Nous nous sommes rattrapés, après avoir repris des forces à grands coups de petits fours, en participant à la conférence de presse de Guillaume Poupard qui se déroulait juste après. Si vous cherchez des retours à chaud, suivez nous sur Twitter @comptoirsecu!

Comme chaque années, si certains d’entre vous ont la chance d’être présent pour l’événement, n’hésitez pas à venir nous voir en soirée pour discuter…et boire un verre ;).

Flattr this!

Les conférences de Sécurité pour les Nuls (en France)

Ces derniers temps, beaucoup de personnes (étudiants souvent) me demandent comment s’améliorer en sécurité. Un des éléments de ma réponse est : « Sortez de chez vous, allez voir ce qui se passe dans des conférences de sécurité! »

Malheureusement, quand on est débutant dans ce milieu, on est rapidement perdu; chaque conférence a son type de public et de sujets. Dans cet article, je vais essayer de clarifier tout cela, en parlant des conférences françaises (non non, je ne suis pas chauvin!).

Continuer la lecture de Les conférences de Sécurité pour les Nuls (en France)

Flattr this!

Pwn2Own 2014 : Les résultats sont toujours aussi catastrophiques

Pour ceux qui ne connaissent pas, le Pwn2Own est un concours (présentement sponsorisé par HP) au cours duquel des chercheurs en sécurité sont mis au défi de prendre le contrôle d’un ordinateur.

Encore une fois cette année, le navigateur est la voie royale de l’attaquant, accompagné des éternels Adobe Flash et Adobe Reader.

Mozilla Firefox, Google Chrome, Internet Explorer et Safari se sont fait retourner lors de cette 8ème édition. Ici l’excuse de l’obsolescence ne passe pas, avec un Windows 8 64 bits comme support.

Il semblerait que Vupen se soit assagi, en effet, cette année, point de cachotteries de la part de notre revendeur de 0day, toutes les vulnérabilités exploitées auraient été divulguées aux éditeurs respectifs.

vupen-proactive

On ne peut s’empêcher d’être un peu défaitiste en voyant ces résultats. Cela me fait un peu penser au concours Pwn2Kill organisé par l’ESEIA lors de leur « iAWACS ». Ce concours demandait aux participants de faire passer un malware à l’insu des grands antivirus du marché.

A priori, il n’y a pas eu de nouvelle session depuis 2010, mais les deux sessions de 2009 et 2010 ont montré une victoire écrasante des attaquants. L’ensemble des charges malveillantes était passé, aucun moteur antivirus ne les avait détectés.

On est en droit de se demander si les éditeurs font les efforts nécessaires en interne pour éprouver efficacement la sécurité de leurs produits avant de les diffuser au grand public.

Nous sommes désormais dans une course aux fonctionnalités, il est plus tentant d’être le premier à sortir une nouvelle version innovante. On le voit très bien avec l’envolée ridicule des numéros de version des navigateurs.
Un bel exemple est Google Chrome. Il fut un temps ou le changement du numéro majeur de version d’un navigateur était significatif. Il y a longtemps que l’on n’y fait plus attention avec Chrome, qui en est à sa version… 32.

Les récompenses offertes aux chercheurs en échange de la révélation de ces vulnérabilités atteignent des sommes colossales. Cette dernière édition du Pwn2Own ne totalise pas moins de 850 000 dollars de « bounty » !

Mais après tout, est-ce tant que ça pour un éditeur comme Microsoft ou Google ? Peut-être est-il plus intéressant pour eux de payer pour les résultats de ces chercheurs plutôt que de les payer pour les faire chercher en interne.

schneier2

Doit-on baisser les bras, arrêter de nous échiner à mettre à jour notre ordinateur et nos logiciels ? Abandonner les antivirus, firewall et autre outil de sécurisation ? Bien sûr que non !

La sécurité absolue n’existe pas, et ces concours nous le prouvent, cependant, toutes ces mesures de sécurité ne sont pas pour autant totalement inutiles. Une quantité astronomique de malware circule sur Internet, un Windows obsolète ne tient que quelques heures avant d’être infecté une fois connecté.

Les vulnérabilités présentées sont le fruit d’experts dans le domaine, ils ont investi un temps considérable dans leurs découvertes, et ces vulnérabilités seront patchées par leurs éditeurs.

Ce n’est pas parce qu’il restera toujours possible d’entrer chez vous avec un tank ou un expert en crochetage qu’il ne faut plus prendre la peine de fermer la porte à clé.

Flattr this!