Les articles de MISC N°60

Article mis en avant

Introduction au dossier : Cloud computing et sécurité : une difficile cohabitation ?

Depuis quelques années maintenant, un domaine de l'informatique est en pleine expansion : le cloud computing. Qu'est-ce donc que cette informatique en nuage qui suscite de telles passions ? Un certain nombre d'acronymes gravitent autour. On entend parler, par exemple, de SaaS (Software as a Service), PaaS (Platform as as Service).

Cet article revient sur la vulnérabilité Xorg publiée fin 2011 sous l'identifiant CVE-2011-4029. Cette dernière exploite une condition de concurrence (en anglais « race condition ») qui permet à un utilisateur local de positionner les droits en lecture sur n'importe quel fichier du système. L'exploitation s'appuie sur la façon maladroite dont le serveur X manipule des fichiers temporaires.
Depuis 2009, le « mouvement » NoSQL est apparu afin de s'écarter du modèle relationnel des bases de données traditionnelles. Le terme NoSQL pour « Not Only SQL » représente bien cet état d'esprit. Nombreux de ses défenseurs affirment que les bases de données de type NoSQL sont plus sûres que les bases de données relationnelles. Typiquement, l'argument mis en avant est l'absence d'injection SQL sur ce type de bases. Bien que cet argument ne soit pas totalement faux, nous verrons dans cet article les différentes attaques possibles sur ce type de bases et qu'il reste du chemin à parcourir afin d'élever le niveau de sécurité des bases NoSQL.
Les malwares modernes sont en constante évolution. Parmi ces malwares, la catégorie la plus distribuée actuellement est celle des chevaux de Troie (également appelés « troyens » ou « trojans »), qui constituent probablement le plus grand risque pour les internautes. Ces malwares ont pour but de dérober certaines informations sur un système qu’ils ont infecté. Ils peuvent être utilisés pour obtenir des documents sensibles et/ou confidentiels d’entreprises, mais également pour dérober diverses informations sur des ordinateurs d’internautes lambda. Les chevaux de Troie évoluent en termes de technicité pour poursuivre leur but : infecter le système quelle que soit sa configuration, obtenir l’information recherchée, et se maintenir si nécessaire sur le système, le plus longtemps possible.
Poussées par la promesse de gains financiers importants, de plus en plus d'entreprises envisagent d'avoir recours à des services de Cloud Computing, mais sans avoir nécessairement conscience que cette transition nécessite de repenser l'ensemble de la sécurité des traitements informatiques de l'entreprise.
« Left my data in El Dropbox, I gotta get, I got-got ta get it » A Tribe Called Quest (Dropbox remix) Dropbox est un service emblématique du « Cloud ». Nous vous proposons de partir à sa découverte en nous penchant sur l'entreprise éponyme avant d'évoquer deux incidents de sécurité majeurs dont elle et ses clients furent victimes. Enfin, nous allons nous intéresser aux coulisses du service.
Pourquoi le réseau joue-t-il un rôle fondamental pour le cloud (« l’informatique dans les nuages ») ? Sans réseau, pas de cloud. Sans une certaine qualité de service, une expérience utilisateur variable et potentiellement médiocre. Sans sécurité réseau, une disponibilité aléatoire. Pour beaucoup d’utilisateurs, le réseau ne devient un point critique que lorsque celui-ci ne se comporte pas « comme d’habitude ». Peu de métriques, que ce soit de performances, de sécurité ou encore d’évolution du réseau sont définies, mesurées et encore moins activement supervisées. Le réseau est bien trop souvent relégué et comparé à un élément d’infrastructure « de base », comme l’eau et l’électricité : vital, mais ca reste « juste un tuyau ». Et s’il est assez « gros », entendons par là au niveau de la bande passante (pour beaucoup de personnes, c’est tout ce qui compte), tout va bien.
« Hey! You! Get off of my cloud, don't hang around 'cause two's a crowd, on my cloud » (Rolling Stones) Deux secteurs innovent ou adoptent précocement les nouvelles technologies Internet : l'industrie pornographique légale et le cybercrime. Le Cloud Computing n'échappe pas à cette règle non écrite. Nous verrons dans cet article comment et pourquoi les cybercriminels se sont rués vers le nuage.
Entrés dans le domaine de la sécurité SI par le « cassage » des hashs de mots de passe, quels sont aujourd'hui les apports du GPGPU en SSI ? Tour d'horizon des applications possibles et exemple pratique par l'implémentation d'une fonction de hachage cryptographique sur GPU.
Canyoucrackit.co.uk est un challenge de sécurité qui a su faire parler de lui. Derrière ce défi se cache une campagne de recrutement d'un nouveau genre lancée par les services secrets britanniques. Ces derniers promettaient en effet un poste à ceux capables de résoudre leur énigme. Après une analyse du phénomène canyoucrackit, nous proposerons une solution détaillée de ce challenge.
La plupart des entreprises garantissent la disponibilité de leurs serveurs web vis-à-vis d’Internet. Mais qu’en est-il de la disponibilité de leurs accès à Internet et l’éventuelle fuite de données confidentielles via les accès de leurs propres employés ? C’est ce qui va être traité dans cet article.
Au milieu du mois de février 2011 éclatent en Libye des manifestations qui dégénèrent rapidement en révolte. En Tunisie et en Égypte, les deux pays voisins, les populations se sont soulevées et ont chassé leurs dirigeants. Le cyberespace a, dit-on, joué un rôle majeur dans le succès des révoltes populaires : on parle des révolutions Facebook. Mais le contexte libyen est différent : la population est moins « connectée » qu’en Tunisie ou en Égypte (§I) ; le régime est décidé à tenir sa place, les rebelles à combattre, la violence qui se déchaîne transforme la révolte en guerre civile ; la communauté internationale intervient ; les armes parlent. Le cyberespace n’en demeure pas moins central dans le conflit (§II), devenant un lieu d’affrontement et un objet de lutte entre partisans et adversaires du régime du colonel Kadhafi. L’après-Kadhafi sera le temps des bilans, mais aussi des révélations (§III).