{"id":72,"date":"2010-10-26T22:54:10","date_gmt":"2010-10-26T21:54:10","guid":{"rendered":"http:\/\/vdeffontaines.free.fr\/newblog\/?p=72"},"modified":"2010-12-19T18:28:02","modified_gmt":"2010-12-19T17:28:02","slug":"technologies-de-vulnerabilites","status":"publish","type":"post","link":"https:\/\/blog.gryzor.com\/index.php\/2010\/10\/26\/technologies-de-vulnerabilites\/","title":{"rendered":"Technologies de vuln\u00e9rabilit\u00e9s"},"content":{"rendered":"<p>L&#8217;ins\u00e9curit\u00e9 a son march\u00e9, et ses ph\u00e9nom\u00e8nes d&#8217;adoption, analysables de mani\u00e8re tr\u00e8s proche \u00e0 celle dont on consid\u00e8re l&#8217;adoption d&#8217;une technologie de produits par le march\u00e9.<br \/>\n<img src=\"http:\/\/static.arstechnica.net\/java_pdf_2009_2010.gif\" alt=\"Microsoft constate une augmentation massive des attaques sur technologie Java\" \/>.<br \/>\n(Source : <a href=\"http:\/\/arstechnica.com\/business\/news\/2010\/10\/microsoft-sees-unprecedented-wave-of-java-malware-exploits.ars\">arstechnica<\/a> )<br \/>\nLe march\u00e9 de l&#8217;ins\u00e9curit\u00e9 s&#8217;\u00e9tant structur\u00e9, les exploits se vendent, s&#8217;industrialisent et se propagent tr\u00e8s rapidement. On est vraiment tr\u00e8s loin des auteurs de virus &#8220;sympa&#8221; des ann\u00e9es 90.<br \/>\nCette fois-ci, Java est en cause. Tout simplement parce qu&#8217;il est devenu universel, install\u00e9 partout, et en particulier des syst\u00e8mes Desktop aux terminaux mobiles en tous genres y compris les t\u00e9l\u00e9phones dits intelligents, en passant par les serveurs web. Et parce qu&#8217;il est, semble-t-il, vraiment facile \u00e0 attaquer. Et ce qui tourne dans une machine virtuelle Java est bien loin de la couche d&#8217;analyse des antivirus.<br \/>\nJava dispose de toutes les qualit\u00e9s requises : la puissance d&#8217;un language complet, la difficult\u00e9 pour les administrateurs de comprendre les tenants et aboutissants en terme de s\u00e9curit\u00e9, un panel d&#8217;applications \u00e9crites par tout un chacun sans la moindre notion de ce qu&#8217;est la s\u00e9curit\u00e9. Et j&#8217;oubliais, Java et ses failles sont portables.<br \/>\nConsid\u00e9rons Java du point de l&#8217;utilisateur moyen, et regardons les processus \u00e0 suivre en cas de d\u00e9couverte d&#8217;une faille critique dans les versions install\u00e9es. L&#8217;utilisateur doit mettre \u00e0 jour :<br \/>\n&#8211; son ordinateur de bureau<br \/>\n&#8211; son t\u00e9l\u00e9phone portable<br \/>\n&#8211; sa voiture \/ son gps<br \/>\n&#8211; sa webcam, son alarme de maison, &#8230;<br \/>\n&#8211; bient\u00f4t, son frigo<br \/>\n&#8211; et j&#8217;en oublie<br \/>\nIl peut \u00e9galement tenter de s&#8217;assurer que les services en ligne critiques qu&#8217;il utilise sont \u00e0 jour.<br \/>\nEt je ne parle pas du niveau moyen et de la sensibilit\u00e9 \u00e0 la s\u00e9curit\u00e9 du d\u00e9veloppeur web moyen sur technologie Java.<br \/>\nQuand Java aura \u00e9t\u00e9 corrig\u00e9 (est-ce vraiment faisable? je ne suis pas bien plac\u00e9 pour le savoir), ou en tous cas quand le march\u00e9 se sera dot\u00e9 d&#8217;outils pour prot\u00e9ger un peu mieux ses applications Java, nul doute que ce march\u00e9 de l&#8217;ins\u00e9curit\u00e9 passera \u00e0 une nouvelle technologie. Pourquoi pas pdf? Notoirement, pdf est un language tr\u00e8s puissant, et encore tr\u00e8s facile \u00e0 attaquer. Son tour viendra sur le march\u00e9 de l&#8217;ins\u00e9curit\u00e9 de masse.<br \/>\n[Edit] : Adobe en est bien conscient, qui <a href=\"http:\/\/www.theregister.co.uk\/2010\/11\/19\/adobe_reader_sandbox\/\">annonce le sandboxing<\/a> de son reader pdf <\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;ins\u00e9curit\u00e9 a son march\u00e9, et ses ph\u00e9nom\u00e8nes d&#8217;adoption, analysables de mani\u00e8re tr\u00e8s proche \u00e0 celle dont on consid\u00e8re l&#8217;adoption d&#8217;une technologie de produits par le march\u00e9. . (Source : arstechnica ) Le march\u00e9 de l&#8217;ins\u00e9curit\u00e9 s&#8217;\u00e9tant structur\u00e9, les exploits se vendent, s&#8217;industrialisent et se propagent tr\u00e8s rapidement. On est vraiment tr\u00e8s loin des auteurs de [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[4,3],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/posts\/72"}],"collection":[{"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/comments?post=72"}],"version-history":[{"count":6,"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/posts\/72\/revisions"}],"predecessor-version":[{"id":90,"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/posts\/72\/revisions\/90"}],"wp:attachment":[{"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/media?parent=72"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/categories?post=72"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/tags?post=72"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}