articles
réactions
Jeff - 22.11.2006 | 0 réactions | #link | rss
Un article, récemment publié par le Monde, jette le discrédit sur les moyens les plus utilisés pour protéger les échanges en ligne, que ce soit le commerce électronique, la signature de mails, etc.

En gros, des chercheurs ont repris des méthodes bien connues des experts carte-à-puce, consistant par exemple à mesurer les temps de calculs en fonction de certains paramètres (timing attacks, exemple non récent avec ssh), les consommations de courant en fonction des opérations (sur un PC, ca marche tout de suite moins bien), l'utilisation des zones mémoires, etc. Bref, cela revient à observer le programme au travers de son comportement et des paramètres visibles. D'où le nom de "side-channel analysis".

Un des gros problèmes que les chercheurs ont eu en essayant de transposer ces attaques provient du fait que les PCs actuels exécutent une foultitude de tâches et que cela génère énormément de bruit. En clair, on ne sait plus trop ce que l'on mesure, il faut donc appliquer des méthodes statistiques sur un plus grand nombre d'échantillons.
Dans le cas qui nous intéresse, les chercheurs ont utilisé les fonctionnalités multitâches des nouveaux processeurs pour exécuter leur programme de mesure en parallèle avec l'application de chiffrement. Cela permet en effet d'avoir une finesse intéressante et des résultats plus révélateurs: une clé RSA 512bits en quasiment un coup (un chiffrement).

Alors bien sûr, l'article se veut alarmiste, écartant nombre d'hypothèses pour conclure à un raz de marée sécuritaire menaçant des empires tel qu'Intel. Mouais. Cette pratique, ne l'oublions pas, est habituelle. En crypto, beaucoup d'attaques ont principalement un effet d'annonce, mais pas de conséquences immédiates. C'est le cas pour les algorithmes de hachage par exemple. Ou pour l'utilisation du RSA < 1024bits ou du 3DES dans les cartes à puces: on sait que l'entropie est "faible", que les clés seront cassables dans 5-10 ans, mais concrètement il n'y a personne capable de le démontrer dans la nature. Un bon indice est fourni par toutes les compétitions de cassage de clé basées sur du calcul distribué.

Cependant, il ne faut pas non plus dénigrer la chose. Ces attaques sont en train de fleurir de tous les côtés, que ce soit concernant RSA dans le cas présent ou l'AES. Toutes bénéficient en pratique de l'existence de fonctionnalités multitâches, même si en théorie cela ne permet qu'une amélioration de leur efficacité (hardware-based multithreading vs software-based, émulé par l'OS), encore une fois au niveau du bruit notamment. Et en fait, le risque était connu depuis quelques années.

Le problème est que cette technologie se généralise aux processeurs pour Monsieur-tout-le-monde, à savoir Pentium4, PentiumD, etc. Même les instructions VT ont mis plus de temps à être proposées.
Jeff - 17.11.2006 | 0 réactions | #link | rss
Pour ceux qui ne le sauraient pas encore, de nombreux changements sont en cours dans toute la région Genève-Annemasse-Annecy. Quel intérêt? Eh bien plusieurs justement.
C'est important non seulement pour la vie courante (train, etc) mais également pour envisager les futures tendances immobilières, par exemple. Et oui, car pour avoir vécu l'arrivée du TGV à Marseille, je peux témoigner de l'importance de certains événements. Comme par exemple:


  • Ligne TGV Paris-Genève: prévue pour 2009, cette ligne fait gagner 20 min sur l'actuelle liaison, renforce la desserte locale, etc. Elle permettra de connecter, à priori, le réseau grande vitesse français avec le réseau suisse.

  • L'autoroute Annecy-Genève (A41): ce tronçon d'autoroute, après une courte interruption, sera terminé vers 2010. 19 km qui relieront directement Annecy à Genève... Bon évidemment, faudra surement s'attendre à quelques péages au passage.

  • "Etoile Annemasse Genève": Annemasse prévoit de rénover le quartier de la gare pour 2010. Actuellement dans un état de délabrement avancé, cette zone va faire peau neuve nous dit-on. A priori, même (surtout) le vieil entrepôt désafecté et certains immeubles centenaires vont disparaître.

  • Le rectangle d'or: sous ce nom pompeux se cache un projet d'amménagement commun au Pays de Gex et à Genève. Ce projet comprend des logements mais aussi des zones d'activités de nature "internationale" (en rapport avec les nombreuses organisations présentes), "haute technologie" (en rapport avec le CERN, notamment) et "accompagnement de l'aéroport".

  • La porte sud (Archamps - St Julien), les TPG à St Julien, etc, etc.



On peut donc voir que la région est en pleine mutation, tirée par le marché de l'emploi notamment, et une économie un peu particulière... Y aura-t-il encore une place pour les "non-frontaliers" du côté français? Les zones "dortoir" se généraliseront-elles? Quelle vie culturelle pour toutes ces régions?
Jeff - 14.11.2006 | 1 réactions | #link | rss
La publicité à outrance sur les chaînes privées françaises, voilà bien quelquechose qui me saoule; et pourtant, je viens de découvrir avec stupeur que la France restait une exception dans le domaine... avec peu de publicités (comparé aux US, c'est sûr, mais personne ne les envie vraiment sur ce point) et des chaînes publiques qui ne saucissonnent pas leur films.

Un "traitement de faveur" (excusez du peu) qui est en passe de disparaître au profit d'une politique bien plus agressive pour le téléspectateur lambda;
Article "Que Choisir"

Il semblerait que les publicités vont se multiplier, se greffant directement dans les films ou polluant l'esprit des plus jeunes avec des idées de pâte à tartiner ou de soda à outrance.

Mais que fait le ministre? Serait-il fan de la dernière Star'Ac, au point d'en supporter et les fausses notes et les 2h de pub?

Jeff - 03.11.2006 | 0 réactions | #link | rss
Les garçons naissent dans les choux, les filles dans les roses. D'entrée l'écart est posé, les goûts différenciés...


Petit clin d'oeil pour une demoiselle qui n'aura jamais vraiment réussi à comprendre l'intérêt de lire des bouquins de science-fiction, alors qu'il y a déjà tant de problèmes et d'histoires dans notre vie quotidienne. Quel intérêt peut-on avoir à se transposer dans une autre époque, d'autres lieux où s'imposent d'autres règles du jeu?

C'est vrai que cela peut sembler un tantinet maso voir même révélateur d'une fuite inconsciente des soucis quotidiens...

Qui sait... En tout cas, rien de meilleur qu'un bon space opéra à la Hamilton ou à la Simmons, histoire d'abattre non seulement les soucis du quotidien mais également les événements plus graves qui nous touchent tous. Il est bien plus rassurant de se laisser porter par l'imagination de l'auteur (et la sienne, si le roman est bien écrit), tout au long des millénaires -Dune- ou des années-lumière -Hypérion-. Si certains préfèrent faire travailler le lecteur entre 2 histoires parallèles qui finissent par se rejoindre dans un dénouement hallucinant (Niven, Bear...), d'autres le transportent dans des univers complètement décalés où la nature humaine est pourtant restée la même (Bordage).

Sans parler des sur-doués littéraires, n'ayons pas peur des mots, qui vous scotchent au livre et vous retournent la tête dans les dernières lignes (O. Scott Card par exemple); ou ceux qui avaient 33 ans d'avance sur leur temps (Clarke).

Sur ce, j'y retourne...
Jeff - 01.11.2006 | 0 réactions | #link | rss
Un petit billet sur ce thème qui me tient à coeur, tout du moins pour l'heure qui vient...

Tout d'abord qu'est-ce donc? Le social engineering, c'est du piratage informatique avec une pointe (euphémisme) de "social", c'est-à-dire une connotation humaine qui vise à mettre la victime en confiance pour l'amener à la faute.

Pour les connaisseurs, Kevin Mitnick fut un maître incontesté de cette pratique, à l'époque où elle n'était pas encore très répandue. Son histoire fut relatée dans un film, je crois, et dans un bouquin (the art of deception, de tête). Le monsieur a aujourd'hui réussi à se recycler en capitalisant sur ses succès passés... bref.

Les techniques utilisées sont infiniment variées. Exemples:
- par téléphone: "Oui bonjour. C'est le service informatique. Nous faisons des tests; pourriez-vous nous donner votre mot de passe?"
- par téléphone: "Bonjour, je vends des aspirateurs. Mais quel type d'antivirus utilisez-vous?"
- par mail: "Bonjour, je suis étudiant dans votre ancienne université. Pourriez-vous regarder mon CV en pièce jointe et cliquer OUI partout?"
- par mail: "Bonjour c'est votre banque. Nous faisons des tests de sécurité. Merci de rentrer votre PIN de carte bancaire ci-dessous."
- par mail: "Nous avons des billets de cinéma à vous offrir, de la part de votre société. Remplissez donc le formulaire en pièce-jointe."

Etc, etc, etc. Evidemment, plus le pirate mentionnera des repères connus de la victime, plus celle-ce sera mise en confiance et commettra la faute.

Rien de bien neuf jusque-là; cependant beaucoup ignorent l'efficacité de ces techniques. En considérant un minimum de critères tel que la taille de l'entreprise (plus c'est grand, moins les gens se connaissent) et la sensibilité des personnes en charge de l'informatique ("rien à foutre de ce mail..."), je pense que les 3/4 (si ce n'est la totalité) des sociétés peuvent être pénétrées par ce biais.

Et oui, fini le temps des systèmes complexes, des applications opaques et des réseaux-labyrinthes... Il est bien plus simple d'envoyer un économiseur d'écran moisi ou un CV vérolé. Gain de temps, gain d'argent, gain d'efficacité...

Quid de l'éthique? Ouais, ok, le pirate ne cherche pas à être éthique. Mais les professionnels de la sécurité, eux, devraient pourtant en garder un minimum. D'éthique. Tout le monde sait que le maillon faible reste et restera l'humain. De là à exploiter sa crédulité pour démontrer la viabilité d'un business-model, je trouve que c'est gonflé...

Tout comme l'on joue avec la crédulité d'un employé, la démonstration de l'efficacité du social engineering repose elle-aussi sur la méconnaissance de principes de base.

Cette tendance, d'ailleurs, est plus générale et concerne toutes les nouvelles technologies. A mon avis. Peu de personnes savent encore comment fonctionnent réellement les choses: plusieurs couches d'abstraction se sont surperposées entre elles et la réalité des choses. Et ces couches sont plus ou moins déformées, subjectives et orientées, afin de d'appuyer telle ou telle théorie voir même pour créer un besoin qui n'existait pas jusqu'alors. L'adjectif virtuel prend alors tout son sens.

En conclusion, 2 choses:
- l'histoire ne s'arrete surement pas là.
- le monde appartiendra à ceux qui voient à travers la matrice, c'est-à-dire à ceux qui savent encore comment elle marche...
FutureBlogs - v.0.8.6beta - Ce site est hébergé par http://monblog.ch