rulururu

post Vuvuzelas : la monnaie de la piece des footeux

June 13th, 2010

Filed under: Uncategorized — gryzor @ 13:35

Comme c’est ironique… Les footeux qui depuis des années adorent brailler, klaxonner à pas d’heure “ON A GAGNÉ” sans la moindre considération pour les gens qui ne s’intéressent pas à ce “sport”, ou simplement essaient de dormir la nuit, sont à présent incommodés par le bruit du stade. C’est quand même dingue, on ne s’entend plus brailler devant sa télé!

Vuvuzelas, pourvu que ça dure 🙂

Je dirais même :
Brrrrruuuuuuuuuuuuuuuuuu!

post Formalisme

April 1st, 2010

Filed under: Uncategorized — gryzor @ 00:44

Le formalisme que nous trouvons dans nos contrats, que la Justice et que les administrations nous imposent m’a toujours fasciné, et, je l’avoue, sa simple existence me dépasse encore.

Je me souviens des jeux de billes dans la cour de récréation, en primaire. Celui qui avait une bille à mettre en jeu la posait au sol, traçait une ligne à la craie. Celui qui voulait gagner la bille se plaçait donc derrière la ligne. Et à ce moment, avant que le lanceur ne passe à l’action, le premier récitait, aussi vite que possible, une phrase, qui était toujours la même. Je ne me souviens malheureusement plus de la formulation exacte, mais cette phrase ressemblait à “Derrière la ligne, pas en biais, sans clin d’oeil, sans rebond” et contenait d’autres mentions “légales”. À l’époque déjà, je trouvais que ce système était “trop”, que nous connaissions les règles, et que les réciter à toute vitesse n’apportait rien à nos échanges.

Le formalisme nous entoure, en particulier dans le “monde numérique”. Notamment, pas un “service en ligne” sans des clauses que, si nous prenions le temps de lire et de comprendre, nous refuserions horrifiés. Je me lance avec quelques exemples : ici, ici ou encore ici (citations non ciblées, je suis sûr qu’on trouve facilement pire). Par chance, nous (les Utilisateurs) sommes trop paresseux pour ce faire. Je dérive du sujet, et m’arrêterai donc ici, mais la CNIL a du pain sur la planche pour sensibiliser le public à la maîtrise de ses données personnelles.

Mais pour conclure à charge des amateurs de formalisme, à quoi ressemblerait notre vie si nous devions intégrer ces clauses légales partout? Acheter du pain chez le boulanger, conduire les enfants du voisin, promener son chien… sont autant de prises de risques insupportables, n’est-ce pas ?

post Sécurité des échanges chiffrés

July 19th, 2009

Filed under: Sécurité — gryzor @ 10:03

Il y a un peu plus d’un an, nous avons été frappés par la fameuse faille OpenSSL sur les systèmes Debian.
Pour résumer rapidement, l’espace de définition des clés de chiffrement s’est trouvé réduit de plusieurs milliards de milliards à 32767. Donc, si vous disposiez d’une clé SSL vulnérable, je n’avais que 32767 essais (maximum) à faire pour usurper votre identité sur votre système.

De manière assez curieuse, cette faille est restée très longtemps (presque 2 années!) en production sans que personne ne s’en aperçoive.

Cet article propose une chose que nous aurions pu faire avant (et que nous pouvons faire aujourd’hui) pour détecter ce problème beaucoup plus rapidement. Il s’agit simplement de s’appuyer sur l’audit public. Cette proposition est particulièrement pertinente pour l’utilisation de OpenSSH, mais doit probablement pouvoir s’élargir à d’autres usages.

Voici la proposition : modifier OpenSSH (ou OpenSSL?) pour qu’il compare chaque nouvelle clé publique reçue avec les clés déja connues. Si la clé reçue est la même qu’une clé déja connue, prévenir l’utilisateur.

Voilà, c’est tout.

Bien entendu, certaines personnes (et moi le premier) utilisent la même clé sur plusieurs systèmes. Les personnes qui font cela savent qu’ils le font, et ne seront pas perturbées par l’avertissement. En revanche, quand il s’agira d’une clé fraichement générée, je pense qu’il serait particulièrement intéressant d’être au courant que c’est la même clé.

Voilà, avec un tel système, je pense que 15 jours après la mise en production de la faille OpenSSL, la communauté se serait rendue compte que quelque chose ne tournait pas rond. Mieux vaut tard que jamais, je propose donc de modifier les outils pour lesquels ce type de process peut améliorer la sécurité (pour moi, au minimum, c’est le cas pour OpenSSH).

Les crédits de cette idée vont à X. Desurmont PhD.

post Santé et téléphones portables : et si on commençait par le début ?

March 29th, 2009

Filed under: Innovation — gryzor @ 21:57

Il est de bon ton de nos jours de questionner la salubrité publique de l’utilisation généralisée des téléphones portables, et des antennes déployées sur le territoire, en particulier pour ce qui concerne la santé des enfants. En soi il est extrêmement louable que la société s’intéresse [enfin] au sujet.
Si l’on considère l’évolution de la conception des téléphones, on observe :mobile_phone_evolution_g

1) Miniaturisation. C’est bien d’avoir un téléphone qui tient dans la poche.

2) Disparition de l’antenne extérieure. Et ceci nous est imposé par les marketeux parce que ça fait “has been”. Sauf qu’une antenne extérieure, c’est beaucoup moins d’ondes émises dans nos oreilles, cerveaux et ceux de nos bambins.

Et si on commençait par demander aux fabriquants de nous [re]proposer des téléphones avec antenne extérieure ?

Les crédits de cette idée vont à X. Desurmont PhD.

post Les milliards d’euros de l’État français

February 8th, 2009

Filed under: Uncategorized — gryzor @ 15:58

Ce jeudi 5 février, vous avez peut-être, comme moi, écouté notre Président à la télévision.

Je n’ai pas tout suivi, mais je l’ai entendu expliquer que les milliards d’euros prêtés aux banques feraient des intérêts qui seraient utilisés pour de grandes actions sociales. Voilà une bonne nouvelle.

Merci donc à la crise, sans laquelle ces milliards d’euros seraient restés à dormir sans générer d’intérêts.

Et merci, cher Nicolas, pour cet applomb si savoureux.

post Téléchargements, piratage, et moines copistes

November 11th, 2008

Filed under: Innovation — gryzor @ 15:42

Une grande actualité politique, qui nous concerne tous, est la mise en place de législations pour mettre fin (ou limiter) le téléchargement illégal de fichiers, également appelé “piratage”, notamment multimédias. On entend beaucoup de discours, qui nous parlent de “comportements moyenâgeux, où, sous prétexte que c’est du numérique, chacun pourrait librement pratiquer le vol à l’étalage” (copyright Sarkozy, cf ici). Un point qui me semble tout à fait significatif sur ce discours, est l’idée que les évolutions de la technique ne doivent pas impacter les modèles de distribution et de rémunération des auteurs.

Puisqu’on parle de Moyen-âge, ceci me rappelle un ancien état de fait, peut-être pas si lointain. Dans ces périodes reculées, les seuls instruits étaient (en gros) le clergé, et les moines disposaient du privilège (et du temps) de s’instruire, de copier les livres et de maintenir des bibliothèques pour érudits. Ceci a été chamboulé par une invention technique : la machine à imprimer de notre ami Gutenberg. À l’époque, cela n’a pas plu, car cela remettait en cause le privilège des copistes… Mais le bien commun a triomphé : la multiplication des livres a ouvert la voie, lentement, à l’instruction de masses : le modèle de partage et de transmission de l’information en a été totalement remis à plat, et, semble-t-il dans une bonne direction.

L’informatique, et le réseau, c’est l’imprimerie puissance 10. Bien entendu, cela remet en question les intérêts particuliers de distributeurs, qui se retrouvent dans un système où ils n’apportent plus aucune valeur. Qui peut s’étonner de voir leurs profits chûter ? C’est une bonne chose, cela prouve qu’une certaine révolution est en marche. La révolution du partage total de l’information. Cela a pris du temps pour l’imprimerie, et cela en prendra également à notre siècle. Mais les positions de dinosaures affichées par nos politiques me font sourire.

C’est une grande chance de vivre une telle période. Et au passage, salutation aux quelques artistes intelligents qui ont déja compris que ce changement est en marche, et qui l’accompagnent!

post Nouvelle attaque web

August 31st, 2008

Filed under: Sécurité — gryzor @ 08:01

Le monde de la sécurité web est impressionnant. Il regorge d’attaques parfois bien tordues, et difficiles à comprendre, et une fois de temps en temps, on nous “découvre” une nouvelle technique. Cette fois-ci c’est CSRF. Le point particulier de ce genre d’attaque, c’est qu’il n’y a rien de nouveau à savoir, n’importe qui ayant fait un tout petit peu de web la maîtrise déja… mais jusqu’ici sans le savoir. Bref, si cela doit démontrer une chose, c’est que personne ne maîtrise [plus] la sécurité du web.

Le point le plus amusant avec CSRF, c’est qu’il s’appuie sur une fonctionnalité fondamentale du web, présente depuis les version les plus antiques de HTTP : la possibilité d’inclure et d’adresser des éléments depuis d’autres sites web. Depuis quelques années, nous nous moquons des institutions dont les avocats ont créé une charte Internet qui interdit la création de liens hypertextes ou l’inclusion d’image ou d’autres objets sans leur accord. Avec CSRF, la question se pose : et s’ils avaient eu raison ?!

post Sécurité du modèle de développement des Logiciels Libres (2ème partie : quelques attaques)

August 30th, 2008

Filed under: Sécurité — gryzor @ 15:56

La plupart des projets développés en Logiciels Libres s’appuient sur des communautés de développeurs, qui se créent et évoluent au fil du temps selon les intérêts et talents de chacun. La méritocratie à la base de la constitution de ces communautés est-elle bien suffisante pour garantir l’intégrité des développeurs qui rejoignent un projet ?

Il semble que les projets LL disposent de peu de critères objectifs et stricts pour décider d’accorder à un contributeur des droits d’écriture sur tout ou partie du code. Les système simplement basés sur le vote des membres en place sont attaquables, par exemple par des attaques sociales. Un attaquant peut tâcher de devenir sympathique aux yeux de quelques membres clés, et cela peut suffire, en manifestant sa présence sur un salon IRC, et en envoyant les bons patches au bon moment…

Mettons nous à la place de vendeurs de Logiciels propriétaires/privatifs, qui n’ont pour certains eu de cesse ces derniers temps que de décrier les Logiciels Libres pour défendre leur bifsteak. Les moyens mis en oeuvre par ces acteurs sont parfois douteux, comme on le voit plus ou moins couramment lors de certaines campagnes de lobbying auprès d’institutions politiques. Ces vendeurs/éditeurs disposent de moyens colossaux, et peuvent vouloir nuire à tel ou tel projet, voire vouloir discréditer le Logiciel libre dans son ensemble. Si j’étais à leur place, je considérerais que payer des “taupes” pour infiltrer des projets et y semer du code dormant sur la durée pourrait être un moyen relativement efficace de parvenir à mes fins.

À la place, notamment, des distributions Linux, je me méfierais.

Suggestions :

  • Formaliser un délai minimum et incompressible entre les premiers contacts avec un développeur et son admission au titre de commiteur
  • Formaliser une politique sur le volume de code envoyé avant de gagner le moindre droit de commit
  • Formaliser une procédure de parrainage
  • Exiger une preuve d’identité de chaque développeur (et pourquoi pas un jour mettre en place une liste noire centralisée d’indésirables ?)

Aucun de ces moyens ne suffit à garantir l’intégrité d’un développeur, mais leur application conjointe pourrait ralentir considérablement les agissements d’un attaquant.

post Sécurité du modèle de développement des Logiciels Libres (1ère partie : les bonnes nouvelles)

August 30th, 2008

Filed under: Sécurité — gryzor @ 15:34

Le développement de logiciels libres relève, dans la plupart des cas, d’une initiative communautaire.
Une communauté de développeurs s’agglomère autour d’un projet, de manière relativement naturelle, en fonction des intérêts et des compétences des contributeurs.
Ainsi, pour joindre un projet et contribuer à son développement, il faut :

  • s’y intéresser. Que ce soit de manière personnelle, ou pour le compte d’une entité qui pousse à le faire contre un intéressement matériel, par exemple.
  • l’intéresser. Il s’agit de la fameuse notion de méritocratie que nous trouvons dans nombre de grands projets.

Tout est question de confiance et de légitimité gagnée. Logiquement, un contributeur qui propose ses compétences sur un projet ne reçoit pas au départ une très grande confiance : ses patches sont relus et (éventuellement) appliqués par d’autres, on ne lui demande pas son avis pour les questions d’architecture.
Quand la sauce prend (après quelques patches*(semaines|mois|années)), le projet peut commencer à reconnaître ce contributeur, et à lui attribuer des fonctions officielles. C’est ainsi que l’on gagne son “droit de commit”.

Ce modèle permet aux acteurs de se connaître avant de s’accorder la confiance de modifier le coeur des projets en question.

Bien entendu, les procédures diffèrent selon les projets. Très souvent, tout ceci est extrêmement informel. Mais pour certains gros projets, les choses ont été quelque peu structurées. Le projet Apache, par exemple,

  • fait voter les membres pour déterminer si une personne devrait gagner des droits de commit
  • exige la signature papier d’un accord au sujet de la propriété intellectuelle du projet : http://www.apache.org/licenses/icla.pdf.

post Naviguer de manière sécurisée

July 13th, 2008

Filed under: Sécurité — gryzor @ 16:43

Comme l’ont souligné plusieurs conférences du SSTIC, la sécurité des navigateurs web les plus utilisés est catastrophique. Je ne parle même pas d’internet explorer, le sujet a été exploré de multiples fois. Firefox n’est pas en reste : les worms, bankers et derniers virus en tous genre commencent à le gérer, ce qui souligne bien qu’il est vulnérable, d’une manière ou d’une autre à des attaques (cf la conférence du SSTIC sur Anserin).

Certaines recherches (EDIT : et la pratique) ont montré que Firefox est extrêmement perméable à des attaques visant l’utilisateur final : il est possible d’installer des extensions “fantômes”, c’est à dire que l’utilisateur de firefox n’a aucun moyen de détecter qu’une extension a été installée : aucune confirmation n’est demandée, l’extension n’apparaît pas dans la liste…

Par ailleurs, les extensions Firefox ne sont aucunement bridées : il s’agit de code qui tourne avec les privilèges système de l’utilisateur qui a lancé firefox, ni plus ni moins : une extension peut donc modifier à la volée les pages web avant affichage, envoyer des données confidentielles sur un canal caché, par exemple.

Le tableau n’est donc pas brillant, et les “protections” positionnées par certains sites web sensibles (comme celui de votre banque) ne sont pas de nature à [me] rassurer, puisque, bien sûr, éminement contournables!

Les mesures que je m’auto-préconise sont donc désormais :

– Rester en veille pour voir peut-être un jour l’émergence d’un navigateur conçu dès le départ pour être sécurisé

– Dans l’immédiat, utiliser des navigateurs alternatifs “spécialisés” pour les tâches sensibles. On peut citer, parmi d’autres, Konqueror, epiphany. Avec un peu de chance, ces navigateurs sont trop peu utilisés pour être ciblés par les auteurs de malware (en tous cas, de malware de masse…). Bien que je n’aie pas spécialement plus confiance dans leur design (parfois très proche de firefox d’ailleurs…), j’espère tomber dans une “niche”.

– Dans le même registre, mais de manière un peu plus stricte, s’appuyer sur la sécurité et le système de privilèges sous-jacent : créer des utilisateurs systèmes dédiés à mes tâches “sécurisée” comme payer mes impôts, me connecter sur le site de ma banque… Peut-être un système à trois niveaux pourrait-il se révéler intéressant :

  • un compte utilisateur pour le surf en zone non maîtrisée, dont je nettoyerais le profil à chaque démarrage du navigateur
  • un compte pour surfer sur les sites dont j’ai l’habitude, mais auxquels je n’accorde pas une grande confiance, dont j’auditerais la configuration aussi souvent que possible. Cette approche est cependant très limitée du fait de la mode du web 2.0… les sites web intègrent des “contenus” venant de leurs utilisateurs ou d’autres sites web…
  • enfin, un compte pour les applications sensibles. Avec la même restriction que ci-dessus, mais je me permets d’espérer que les administrateurs du site web de ma banque garderont la clairvoyance de ne pas passer leurs applications en Web 2.0…

– Utiliser des extensions pour améliorer la sécurité de Firefox, comme NoScript. Mais je reste persuadé que cela revient à appliquer des emplâtres sur une jambe de bois.

– Essayer d’auditer régulièrement la configuration de Firefox de chaque utilisateur de mes systèmes, et notamment les extensions installées/activées. J’en dirai un peu plus à ce sujet prochainement car j’ai des choses sur le feu …

ruldrurd
« Previous PageNext Page »
Powered by WordPress, Web Design by Laurentiu Piron
Entries (RSS) and Comments (RSS)