Le 29/06/2017 à 08h 25

Pour ceux qui sont encore sous Windows 7 et qui seraient tentés par un test, l’ANSSI a publié il y a déjà un certain temps un guide explicatif sur les différentes options, leurs apports, et comment mettre ça en place au niveau d’une entreprise. Très instructif :



République Française

Le 27/06/2017 à 12h 28

Pourquoi est ce que c’est forcément “sale” qu’une entreprise pousse ses propres produits via ses propres services ? Chacun est maître en sa demeure, que je sache…

Le 19/06/2017 à 11h 12

C’est normal que le nombre dans les cases en bleu (Total) ne correspond pas du tout à la somme des différents supports ? Je rate quelque chose ?

Le 16/06/2017 à 10h 55

La plupart des logiciels (IHM notamment) et des drivers pour communiquer avec les automates ne sont pas portés sur d’autres plate-formes, ceci explique cela.



Après, des postes Windows ne présentent pas forcément plus de risques si ils sont bien managés (au niveau des mises à jour, par exemple), que la GPO en place est bien pensée, et qu’on met en place les contre-mesures adéquates au niveau réseau (filtrage de la télémétrie, interdiction de la navigation web sur les postes sensibles, etc).



Microsoft a considérablement investi dans la sécurité et implémente (dans Windows 10 tout du moins) un nombre assez important de contre-mesures dans le noyau que le noyau Linux ne possède pas (le projet KSPP est censé répondre à ce besoin, sauf qu’à part copier/coller le code Grsec, ben…). Exemple, la plupart des DLL sensibles et des modules du noyau Windows sont compilés avec l’ASLR, le CFG (Control Flow Guard), ça n’a plus rien à voir avec le noyau NT d’XP. Edge bénéficie d’ailleurs de ces mêmes protection, et est revenu en un temps record au niveau de Chrome à ce sujet (reste Firefox qui se traîne, mais ça devrait évoluer plus vite maintenant qu’ils découpent mieux leurs processus avec Electrolysis)

Le 16/06/2017 à 09h 30

Et il a totalement raison.



Dans le cas qui nous intéresse, pour les systèmes industriels, les architectures sécurisées et les normes en vigueur dans le domaine (IEC 62443) imposent des réseaux séparés protégés en coupure par un firewall, une définition de zones ayant des niveaux de sécurité différent, des contrôle de flux entre ces zones, ce genre de joyeusetés.



Comme d’habitude dans les commentaires NXi, il y a toujours des gens qui ont des solutions magiques à des problèmes complexes.



Je penserais à dire aux gens de la sécurité industrielle de Schneider qu’un VLAN c’est bien suffisant, qu’il y a pas besoin de ségmenter les réseaux.



Des architectures pas trop crades pour l’ICs, ça ressemble à ça :https://ics-cert.us-cert.gov/Secure-Architecture-Design



Cisco et Rockwell utilisent plutôt ce genre de trucs :http://www.industrial-ip.org/~/media/WLANArchitecture.ashx



Bref.

Le 21/03/2017 à 20h 16

J’ai trouvé ça terriblement nul personnellement. Au début de la saison on se dit “mouais pourquoi pas”, et en fait ça va de mal en pis. Les combats sont un peu nuls (Colleen Wing remonte un peu le niveau), mais toute la partie “je reviens dans l’entreprise qui porte mon nom”, c’est un copié/collé du premier Batman de Nolan, en moins bien.



J’avais déjà été déçu par Luke Cage, après un Daredevil que j’avais trouvé super (sauf la seconde partie de la saison deux) et un Jessica Jones plus que correct (les deux acteurs principaux portent la série aussi).



J’espère qu’ils vont muscler leur jeu pour Defenders, parce que là…

Le 16/03/2017 à 14h 33

Ca tombe bien, la Model 3 est à 35 000$ et attaque ce marché ;)

Le 08/03/2017 à 14h 36

Rien ne passe sur ton ordi par défaut (mode client), seulement si tu paramètres le logiciel en mode relais ou point de sortie.

Le 24/02/2017 à 14h 58

Comme ils le disent, si pas de téléphone rooté, pas d’extraction possible. Il leur suffit de rajouter un check sur l’état de root du téléphone et d’empêcher l’usage de l’appli dans ce cas.

Le 24/02/2017 à 14h 40

Pour tous les esprits chagrins sur les questions d’extraction de la clé privée et de resignature et compagnie, les réponses du Guardian Project sont ici : Twitter

Le 24/02/2017 à 10h 05

Rien ne dit que la clé privée est accessible, justement. Le GitHub précise bien : “ProofMode app automatically generates a private/public OpenPGP keypair as a persistent “proof” identity within the app”



Le “within the app” est important je pense, les clés ne semblent pas accessibles.

Le 09/02/2017 à 15h 07

Je ne suis pas sûr que “sic !” soit ici employé comme il faut.



Cette expression désigne une retranscription verbatim d’un texte ou de n’importe quel support, pas cet espèce “d’étranglement” devant la stupidité d’un propos. C’est en général utilisé pour mettre en exergue une faute ou un propos particulier dans la retranscription.

Le 24/01/2017 à 18h 10

Qui parle de dépassé ? Faut arrêter la mauvaise foi et l’exagération constante un peu…

Le 11/01/2017 à 13h 13

Non je parle bien des deux, la plupart de la presse US, mais aussi Challenges chez nous, précise bien qu’elle n’aura probablement pas de poste chez Verizon…

Le 10/01/2017 à 20h 30

Vous êtes les seuls à mentionner que Marissa Mayer garde son poste, toute la presse US et française annonce qu’elle a été virée… " />" />



Google

Le 06/01/2017 à 17h 45

Sinon on peut aussi lire la news et se rendre compte qu’ils ne comptent pas, au contraire, pousser leur OS sur les véhicules :-)

Le 02/01/2017 à 11h 45

Au Luxembourg, c’est différent, les voitures haut de gamme sont souvent les voitures de fonction. N’importe quel bon développeur qui rentre dans une ESN luxembourgeoise correcte peut rouler en BMW ou Audi (et pas la version de base) en leasing :)

Le 02/01/2017 à 11h 42

Pour travailler avec un constructeur français sur la qualité logiciel (surtout sur la partie sécurité), aucune. Ils suivent la norme ISO26262, mais il n’y a pas de norme dédiée à la qualité logiciel (ça ne veut pas dire qu’ils n’en font pas, attention).



C’est cependant en cours de travail et standardisation, comme les différentes autorités régulatrices vont forcément le demander réglementairement (comme ça se fait dans l’aero avec la DO178) pour les véhicules autonomes.

Le 28/12/2016 à 16h 10

Pour ceux qui réinstallent from scratch, un guide utile :https://decentsecurity.com/enterprise/#/windows-7-fast-update/



Ne pas oublier d’installer la roll-up update aussi, ça corrige un paquet de soucis de qualité :https://www.catalog.update.microsoft.com/Search.aspx?q=KB3125574

Le 28/11/2016 à 13h 03

Over-The-Air. Désigne le mécanisme de mise à jour à distance.

Le 23/11/2016 à 10h 01

Je pose ça là, pour rester dans le thème :http://nymag.com/daily/intelligencer/2016/11/activists-urge-hillary-clinton-to-c…

Le 22/11/2016 à 16h 51

Au lieu de partir sur un truc formellement vérifié comme CertikOS… Là y’a pas de formel, donc inviolable/unhackable/whatever, c’est fortement improbable, surtout avec du C++.

Le 15/11/2016 à 09h 50

Cette politique ne concerne que les failles trouvées dans le cadre du Project Zero chez Google. Ce ne me semble pas choquant qu’en dehors de ce projet, cette politique ne s’applique pas. L’équipe de Zero gère ses deadlines et sa politique comme elle l’entend.

Le 07/10/2016 à 07h 18

Un début de réponse ici :http://caramba.inria.fr/hsnfs1024.html



“Pour parvenir à ce résultat, nous avons triché. Délibérément. Nous avons choisi le nombre premier qui définit le problème spécialement de sorte à ce que le calcul soit facile. Mais la trappe que l’on a ainsi fabriquée est subtile, et non détectable.



Malheureusement, pour la plupart de nombres premiers aujourd’hui utilisés en cryptographie, aucune garantie n’est fournie qui permette d’exclure qu’ils aient été truqués de la sorte, avec une trappe. En l’absence de trappe, les casser serait 16 millions de fois plus dur que ce que nous avons entrepris.”

Le 04/10/2016 à 19h 41

Hé oui, on appelle ça la vérification formelle :)

Le 19/08/2016 à 13h 37

Oh ils ont juste embauché tous les spécialistes de la Carnegie Mellon en automatique et en intelligence artificielle pour bosser dans leur labo ATC, une paille…



https://www.fastcompany.com/3046902/fast-feed/carnegie-mellon-in-a-crisis-after-…

Le 19/08/2016 à 13h 35

Ce n’est pas aussi simple que cela malheureusement :https://tech.slashdot.org/story/16/07/30/0140251/uber-doesnt-decrease-drunk-driv…

Le 26/07/2016 à 15h 22

C’est d’un ridicule ces hashtags partout bon sang…

Le 14/07/2016 à 19h 49

Vache, sacré bestiau…

Le 28/06/2016 à 15h 41

Tu peux aussi lire ce que dis la loi Badinter sur la responsabilité des conducteurs vis-à-vis des piétons. C’est de la simple logique qu’en cas d’accident entre deux tonnes de métal et un être biologique d’environs 75 kilos, la faut incombe toujours au propriétaire du véhicule (dans 99% des cas).

Le 06/06/2016 à 11h 53

Taziden aussi ne semble pas avoir été conquis par le personnage : Twitter

Le 12/05/2016 à 20h 38

On peut utiliser toutes les pirouettes sémantiques qu’on souhaite, ça n’en reste pas moins intellectuellement faux. Si chiffrer et déchiffrer supposent une connaissance de la clé utilisée pour chiffrer quelque chose, décrypter implique une non-connaissance de cette clé. A partir de là, comment justifie-t-on crypter ? Comment rend tu quelque chose “cryptique”, comme tu dis, sans connaître la clé ?



Et c’est intéressant que tu parles de l’implicite en informatique, parce que ce qui est aussi implicite, c’est d’admettre qu’il y a usage d’une clé quand on parle de cryptographie. Donc crypter est un non-sens intellectuel.

Le 11/05/2016 à 11h 26

Chiffrement*

Le 10/05/2016 à 13h 10

Parce que c’est pas possible de faire du QoS en IPv6 ? Première nouvelle…



(Hint :http://www.netdummy.net/qos.html)

Le 22/04/2016 à 17h 02

On dit région Grand Est, depuis peu :-)

Le 14/04/2016 à 16h 49

Il y a bien une atténuation dans la fibre, elle est même théoriquement supérieure à celle d’un câble coaxial… :)

Le 12/04/2016 à 17h 06

Aeris est notoirement extrémiste dans ses positions et ses recommandations en ce qui concerne le chiffrement TLS. Croiser les résultats, c’est mieux :



https://www.ssllabs.com/ssltest/analyze.html?d=wordpress.com&s=192.0.78.17

Le 30/03/2016 à 16h 58

T’arrêtes jamais de la ramener pour rien dire toi ? " />

Le 30/03/2016 à 13h 57

“Une fois l’ensemble des photos mises en ligne, Google Photos suggère automatiquement la création d’un album lié à l’événement en question, avec un classement par lieu visité.”



C’est déjà le cas depuis plus d’un an chez moi… Il m’a toujours synchronisé les photos, et proposé des “histoires” et des albums automatiquement… " />" />

Le 29/03/2016 à 09h 08

Une simple vérification du timing suffirait à contrecarrer ce genre de dispositif, même si les distances sont assez courtes, ce genre de hack rajoute une latence mesurable et détectable :)

Le 09/03/2016 à 12h 42

C’est curieux que personne ici ne parle du cours de Yann LeCun au Collège de France, qui a pourtant été largement médiatisé lors de la conférence d’ouverture il y a quelques semaines, et qui est le père de l’apprentissage profond par convolution.



AlphaGo n’utilise pas exclusivement cette technique, mais le cour est intéressant car il est donné par une pointure mondiale sur le sujet, et parce que ça permet de bien situer ce qu’il est aujourd’hui capable d’attendre de la part de ces techniques. La labellisation automatique à la fin de la conférence d’ouverture est assez bluffante par sa précision (le tout en temps réel s’il vous plaît).





C’est dispo ici :http://www.college-de-france.fr/site/yann-lecun/course-2015-2016.htm

Le 23/02/2016 à 10h 46

Pour l’avoir fait, je t’assure que tu peux :)



Si certains veulent s’en convaincre, un peu de lecture :



http://www.autosec.org/publications.html

Le 22/02/2016 à 13h 39

Gros +1.



Je travaille là-dessus en ce moment, et cette nouvelle est complètement folle, quand je vois avec quelle facilité on arrive à contrôler la voiture à partir du bus CAN. Avant, il fallait à minima passer par un autre système pour accéder aux ECUs intéressant, maintenant on rajoute directement un point d’accès connecté dessus…



Sécurisé avec Knox, ça fait bien rire…

Le 12/02/2016 à 13h 27

Pensez à tester votre nouvelle conf’ une fois déployée :)



https://tools.keycdn.com/http2-test

Le 12/02/2016 à 11h 04

Et si tu es sous Debian stable, ça ne suffira pas à activer l’ALPN, il faut recompiler le binaire en utilisant la dernière version d’OpenSSL (ou autre fork). Ce n’est pas la mort, mais ce n’est clairement pas pratique pour qui veux gérer ses mises à jour via le gestionnaire de paquets.



NginX fournit cependant des dépôts Debian, RHEL et Suse :

http://nginx.org/en/linux_packages.html#mainline



Ça te permet d’avoir une version à jour :)

Le 08/02/2016 à 16h 10

C’est intéressant de voir Google choisir ce type de solution technique, là où Skype était P2P à ses débuts et est passé à un modèle client-serveur suite au rachat de Microsoft :)

Le 04/01/2016 à 15h 08

Non, ça n’ouvrirait la porte à rien du tout, la démarche scientifique ne fonctionne pas comme ça. Tu ne peux pas conclure d’une exposition aïgue positive qu’il y aurait un effet chronique à trouver.



Et ce ne serait un pavé dans la mare de rien du tout, ce ne serait pas surprenant non plus qu’à force d’augmenter la puissance appliquée pour les tests, on finisse bien par trouver quelque chose, mais c’est encore un autre biais…

Le 30/12/2015 à 11h 58

Chouette, on va pouvoir disséminer plein de malwares avec les ports USB intégrés, et sans doute faire plein de choses intéressantes avec le Wi-Fi en local sur ces bornes… :)



(Et puis les voisins directs auront une connexion gratos, not bad !)

Le 03/12/2015 à 09h 48

Pour suivre de près tout les travaux sur le sujet en ce moment, c’est vraiment une thèse excellente et qui a la grand mérite de clarifier beaucoup de concepts sur les botnets.



On a énormément de chance de voir une telle ressource publiée en français ! :)

Le 21/10/2015 à 15h 44

Curieuse image d’illustration, en anglais le terme safety ne désigne pas la sécurité au sens ou on l’entend, et encore moins la sécurité informatique… :)