MISC n° 071 - 03/01/2014


Découverte et exploitation d'une vulnérabilité dans la pile USB de Windows XP

MISC n° 071 | janvier 2014 | Fabien PERIGAUD (@0xf4b) - fperigaud@gmail.com
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

La démocratisation des périphériques permettant de « jouer » avec l'USB (teensy [1], facedancer [2]…) a rendu intéressante et accessible la recherche de vulnérabilités dans les piles USB des différents systèmes d'exploitation. Nous nous proposons de décrire dans cet article la découverte et l'exploitation d'une vulnérabilité touchant...

Lire l'extrait

L'intrusion d'un système VoIP Cisco

MISC n° 071 | janvier 2014 | Joffrey CZARNY
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Quand vous pensez sécurité VoIP, vous voyez surtout la sécurité autour du protocole SIP. Pourtant, dans les environnements Cisco, bien d'autres protocoles sont utilisés et permettent de mettre en évidence certaines lacunes, et non des moindres ! De plus, ici, nous ne parlons plus de VoIP, mais de communications unifiées ce qui implique une...

Lire l'extrait

ZeuS x64 : à Tor et à cri

MISC n° 071 | janvier 2014 | Nicolas Brulez
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Comme de plus en plus d'utilisateurs passent aux plateformes Windows 64 bits, il en va de même pour les logiciels malveillants. Ceci est également vrai pour le malware bancaire ZeuS. Cette évolution n'était probablement pas nécessaire vu que la majorité des gens utilisent encore des navigateurs 32 bits même sous systèmes 64 bits et que la...

Article gratuit !

TLS/SSL: do you wanna crypt to nite?

MISC n° 071 | janvier 2014 | Cédric Foll
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Depuis les révélations d’Edward Snowden sur les programmes de surveillance de la NSA, plus personne n’oserait sérieusement affirmer que chiffrer les flux de données transitant sur Internet est optionnel. Internet est massivement surveillé, toute communication est susceptible d’être enregistrée, analysée ou encore consignée pendant des...

Lire l'extrait

Les protocoles SSL et TLS

MISC n° 071 | janvier 2014 | Rémi Gacogne
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Le protocole SSL et son successeur TLS sont les pierres angulaires de la sécurité de nombreux services Internet. Suite aux récentes révélations d'Edward Snowden, le grand public et les médias se font l'écho de rumeurs plus ou moins fondées sur la sécurité de ces protocoles. Il est grand temps de dissiper les doutes en analysant leur...

Lire l'extrait

SSL/TLS : les autorités de certification

MISC n° 071 | janvier 2014 | Benjamin Sonntag
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Dans les protocoles SSL/TLS, on utilise, pour l'identification du serveur le plus souvent, des certificats X.509 signés par des autorités de certification. Mais qui sont ces sociétés, quels sont leurs pouvoirs, les déboires et les problèmes de confiance et de sécurité qu'elles posent à l'ère de la NSA, de Google et de l'informatique...

Lire l'extrait

Sommes-nous prêts à passer sous DNSSEC pour une navigation plus sécurisée ?

MISC n° 071 | janvier 2014 | Sandoche Balakrichenan
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Depuis de nombreuses années, l’attestation de l’authenticité des noms de domaines était effectuée par les Autorités de certification (AC). Une solution alternative a été recherchée suite à plusieurs attaques mettant en exergue la vulnérabilité de l’infrastructure AC. Le protocole DANE développé par l'IETF permet à un domaine...

Lire l'extrait

Infrastructures SSL

MISC n° 071 | janvier 2014 | Renaud Bidou
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Le chiffrement permet, dans une certaine mesure, de garantir la confidentialité des échanges aussi bien que celle des attaques. Entre capacités d’interception et d’écoute, détection des tentatives d’intrusion et gestion des performances, voyage aux limites du SSL dans les infrastructures.

Lire l'extrait

Content Security Policy en tant que prévention des XSS : théorie et pratique

MISC n° 071 | janvier 2014 | Laurent Butti
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

CSP est un mécanisme reposant sur la définition d'une politique de sécurité ainsi que de son application par le navigateur supportant ces fonctionnalités. Nous proposons dans cet article de décrire les fonctionnalités de ces nouveaux mécanismes de sécurité qui sont sans aucun doute prometteurs tout en s'efforçant d'évaluer la faisabilité de...

Lire l'extrait

Comment le réseau s’adapte-t-il face au phénomène « Big Data » ?

MISC n° 071 | janvier 2014 | Cédric llorens - Denis Valois
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Nous présentons dans cet article comment le réseau fait face au phénomène Big Data. Plusieurs angles sont abordés comme l’adaptation du réseau face à l’explosion du trafic, l’échange d’information entre les centres de données Big Data, l’accès des utilisateurs aux applications associées au Big Data et enfin, l’application des...

Lire l'extrait

Man in the (Android) mobile

MISC n° 071 | janvier 2014
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Android est-il en train de devenir le nouveau bac à sable des cybercriminels ? Le succès commercial croissant et l’accessibilité de l’API y contribuent fortement, en tout cas. Sous Android, il n’est pas nécessaire de maîtriser l’assembleur ou la pile d’exécution ARM pour monter des attaques juteuses et imparables. Il suffit de lire la...

Lire l'extrait

Canyoufindit.co.uk : le nouveau challenge du GCHQ

MISC n° 071 | janvier 2014 | Pierre Bienaimé
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Fin 2011, le GCHQ (Government Communications Headquarters, le service de renseignements du gouvernement britannique) avait su faire parler de lui en créant un challenge de sécurité informatique original intitulé Can You Crack It. Ce dernier a fait l'objet d'un article dans MISC n°60 [1]. Fort du succès rencontré par cette initiative, le GCHQ a...

Lire l'extrait