Introduction au dossier : La guerre des protocoles #IoT

Magazine
Marque
MISC
Numéro
86
|
Mois de parution
juillet 2016
|
Domaines


Résumé

Pèse-personne, babyphone, tapis de course, montre multisport, station météo, thermostat d’ambiance, lecteur multimédia, enceinte pour ne citer que mes objets connectés disposant d’une adresse IP. Et puis un cardiofréquencemètre parlant le protocole ANT+, un bracelet de self tracking causant BLE, différents capteurs de ma station météo et mon thermostat au travers d’un protocole non spécifié dans leur documentation technique.


La suite est réservée aux abonnés. Déjà abonné ? Se connecter

Sur le même sujet

Auditer la sécurité d'une application iOS

Magazine
Marque
MISC
Numéro
106
|
Mois de parution
novembre 2019
|
Domaines
Résumé

Auditer la sécurité d'une application iOS n'est toujours pas une tâche aisée. Force est de constater que la plupart des auditeurs, amateurs de bug bounty ou autres curieux préfèrent travailler sur les applications Android malgré les récentes protections ajoutées au système d'exploitation de Google. Nous allons malgré tout essayer de présenter une méthodologie qui rend possible l'analyse orientée sécurité d'une application iOS, même sans jailbreak. Un bref rappel sera effectué pour ensuite introduire quelques outils et documentations apparues ces derniers mois.

Sondes de détection : performances, évaluations et biais

Magazine
Marque
MISC
Numéro
106
|
Mois de parution
novembre 2019
|
Domaines
Résumé

En avril 2019, l’ANSSI a qualifié les premières sondes pour assurer la supervision de sécurité de réseaux. Les opérateurs d’importance vitale (OIV), les opérateurs de services essentiels (OSE) et, d’une manière générale, les organismes opérant des fonctions sensibles disposent ainsi de produits français de confiance : Cybels Sensor de Thales et Trackwatch Full Edition de Gatewatcher.La méthodologie d’évaluation des sondes n’est, hélas, pas publique. Les ingénieurs sécurité et réseau devant intégrer ces sondes ne disposent donc pas de guides pour effectuer la recette de leur efficacité en production. Cet article propose un retour d’expérience sur l’évaluation des sondes, notamment sous l’angle de la performance. Cet aspect est, en effet, particulièrement significatif puisque le taux de détection d’une sonde diminue si elle est submergée, quand bien même elle serait équipée des meilleurs signatures et moteurs d’analyse.

Richelieu : solution du challenge de la DGSE

Magazine
Marque
MISC
Numéro
106
|
Mois de parution
novembre 2019
|
Domaines
Résumé

En mai 2019, la DGSE (Direction Générale de la Sécurité Extérieure) a organisé pour la première fois un challenge de sécurité informatique ouvert au public, qu’elle a baptisé Challenge Richelieu. Je vous invite à écouter la bande originale du Bureau des Légendes en fond sonore. Imprégnez-vous de cette atmosphère pleine de tension où les secrets sont rois, puis regardons ensemble ce que nous réservait ce challenge.

Aléa et cryptanalyse de générateurs

Magazine
Marque
MISC
Numéro
106
|
Mois de parution
novembre 2019
|
Domaines
Résumé

La plupart des applications en cryptographie moderne nécessitent à un moment ou un autre une source d’aléa [1]. Que ce soit pour chiffrer, générer des nonces, des clés ou même des sels cryptographiques. Mais comment générer de l’aléa sur nos ordinateurs qui sont des machines déterministes ?Dans cet article, nous allons nous intéresser à la place de l’aléa dans les algorithmes de chiffrements modernes. Puis nous verrons trois CTF ou le but est de cryptanalyser des générateurs de nombres aléatoires ; cela nous permettra d’en comprendre le fonctionnement et de voir quelques attaques sur des générateurs de nombres aléatoires.

Contournement de l'API Google Play Billing

Magazine
Marque
MISC
Numéro
106
|
Mois de parution
novembre 2019
|
Domaines
Résumé

D'après le blog [INVESP], le montant global des paiements dits « in-app » représentait environ 37 milliards de dollars (USD) en 2017 pour les applications mobiles (Android et Apple). Ce montant représente quasiment la moitié des revenus générés par les applications mobiles (48,2%), dépassant les revenus générés par les régies publicitaires (14%), ainsi que l'achat d'applications (37,8%). Il est donc important que la sécurité de ces paiements soit correctement implémentée afin d'éviter un manque à gagner pour les développeurs des applications. Dans le cadre de cet article, nous avons passé en revue 50 applications Android afin d'étudier le fonctionnement de l'API Google Play Billing et d'identifier les vulnérabilités liées à une mauvaise implémentation. Nous détaillerons en exemple des applications vulnérables.

Par le même auteur

Edito

Magazine
Marque
MISC
Numéro
106
|
Mois de parution
novembre 2019
|
Résumé

Lorsque l’on voulait débuter la sécurité il y a une vingtaine d’années, que ce soit sous l’angle offensif ou défensif, il était bien difficile d’expérimenter ses connaissances sauf à réaliser des pentests sauvages. La possibilité de disposer anonymement de connectivité réseau dans les chaînes de fastfood était de la science-fiction et c’est le plus souvent sur les bancs des écoles ou des universités que beaucoup ont fait leurs armes.

Édito

Magazine
Marque
MISC
Numéro
105
|
Mois de parution
septembre 2019
|
Domaines
Résumé
Cet été, en toute discrétion, Orange annonçait la fin de Cloudwatt par un simple mail à ses derniers clients.

Edito

Magazine
Marque
MISC
Numéro
104
|
Mois de parution
juillet 2019
|
Résumé
Après s’être régalé des premières asperges généreusement arrosées de muscat alsacien, l'esthète de la sécurité a pu savourer les débats enflammés accompagnant la sortie de Tchap, la messagerie instantanée de l’État. Passée l’agitation probablement accrue par un printemps pluvieux, il n’est pas inintéressant de revenir brièvement sur cet évènement.

Edito

Magazine
Marque
MISC
Numéro
103
|
Mois de parution
mai 2019
|
Résumé
Il y a quelques semaines, apparaissait sur mon fil Twitter, le constat d’échec (™ Nicolas Ruff) quant à la progression de la proportion de femmes dans la liste des speakers d’une petite conférence sécurité de province [1].

Edito

Magazine
Marque
MISC
Numéro
102
|
Mois de parution
mars 2019
|
Résumé
La Blockchain ou les habits neufs de l’empereur. Je crois qu’aucune technologie ne m’a jamais laissé aussi circonspect que la Blockchain (ou chaîne de blocs). Une technologie dont tout le monde a entendu parler alors qu’elle est conceptuellement particulièrement complexe, que tout le monde veut utiliser alors que le champ d’application est particulièrement réduit et inadapté, ou tout du moins inefficace, pour la plupart des usages.