Les articles de Sylvain Nayrolles







CVE-2015-7547

MISC n° 086 | juillet 2016 | Sylvain Nayrolles
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Rares sont les CVE qui ont la chance d'avoir un nom, un logo et un site internet à leur effigie. Ce dernier n'a pas eu cette chance, mais cela n'enlève rien à son intérêt. Il concerne la résolution DNS via l'utilisation de la fonction getaddrinfo au sein de la glibc.

Lire l'extrait


Back to Basics : l'assembleur

GNU/Linux Magazine n° 201 | février 2017 | Sylvain Nayrolles - Tristan Colombo
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Ah, que de bons souvenirs avec l'assembleur ! Je ne sais pas pour vous, mais moi je n'y ai touché qu'une fois, en licence (de nos jours on dit L3), pour parvenir péniblement à réaliser une division. Des années plus tard, je me dis que j'ai peut-être raté quelque chose et qu'à défaut de devenir un pro de l'assembleur, il pourrait être...

Lire l'extrait

De la sécurité vers la confidentialité des données

MISC n° 088 | novembre 2016 | Sylvain Nayrolles
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Historiquement, la sécurité des données au sein des applications web était dévolue aux outils ou aux protocoles utilisés. Elle ne fait que très rarement partie du processus de développement. Reposant essentiellement sur une architecture client-serveur, où ce dernier est le garant de l'intégrité, et optionnellement de la sécurité des données,...

Lire l'extrait


Return Oriented Programming

GNU/Linux Magazine n° 203 | avril 2017 | Sylvain Nayrolles
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Les techniques d'exploitation de failles applicatives ont énormément évolué avec l'avènement de moyens de protection toujours plus sophistiqués. Le Return Oriented Programming ou ROP ne permet pas d'injecter du code, mais bien d'exploiter l'existant pour détourner le comportement nominal d'un logiciel via une classe de failles bien particulière.

Lire l'extrait

Address Space Layout Randomization

GNU/Linux Magazine n° 204 | mai 2017 | Sylvain Nayrolles
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Brad Spengler, le leader du projet grsecurity, exprimait, lors de son intervention au SSTIC 2016, son agacement à lier la sécurité d'une application à son implémentation. Pour lui, la sécurisation d'une application ne doit pas se faire via la recherche de bugs dans cette dernière, mais doit être assurée par la plateforme sur laquelle elle...

Lire l'extrait


L'art du reverse avec Radare2

GNU/Linux Magazine n° 206 | juin 2017 | Sylvain Nayrolles
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Dans un article de MISC de mai 2013, Nicolas RUFF faisait une introduction au reverse engineering, en concluant sur la nécessité de développer en France cette compétence décrite comme le « Graal » en sécurité informatique. Dans cet article, il réalisait un éloge du logiciel IDA et de son géniteur, et ce à juste titre. Mais le monde Linux a...

Lire l'extrait