MISC n° 090 - 01/03/2017

Édito

MISC n° 090 | mars 2017 | Cédric Foll
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

L’IA, c’est plus fort que toi. Ces dernières semaines, quelques articles ont relayé la première victoire d’une intelligence artificielle contre des joueurs professionnels de Poker.

Lire l'extrait

Authentification interprotocolaire sous Windows et élévation de privilèges

MISC n° 090 | mars 2017 | Christophe GARRIGUES
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Plusieurs vulnérabilités d’élévation de privilèges ont été découvertes sur les systèmes Windows ces derniers temps, reposant sur un même concept. Bien qu’elles aient été rectifiées, elles révèlent en réalité un problème bien plus profond, qui lui, n’est pas corrigé. En effet, la force d’interopérabilité entre les protocoles...

Lire l'extrait

Injection de DLL dans le service IKEEXT : un moyen (encore) efficace pour élever ses privilèges sous Windows

MISC n° 090 | mars 2017 | Clément Labro
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Sur les systèmes Windows, l'injection de DLL dans le service IKEEXT est un sujet qui remonte à la fin de l'année 2012. Il s'agit d'une faiblesse donnant lieu à une élévation de privilèges sous certaines conditions. Introduit sous Vista, ce problème n'a cependant été corrigé qu'à partir de Windows 8.1. Or, les systèmes Windows 7/Server 2008 R2...

Lire l'extrait

À la découverte de Mirai

MISC n° 090 | mars 2017 | Vincent Mélin
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Le malware Mirai a fait beaucoup parler de lui durant le second semestre 2016. Outre son utilisation dans des attaques DDoS « massives », c’est aussi parce que c’est un exemple de l’usage d’équipements tels que des routeurs, des caméras IP ou des enregistreurs vidéos qu’il a défrayé la chronique.

Lire l'extrait

Signal, Telegram et consorts : des messageries vraiment sécurisées ?

MISC n° 090 | mars 2017 | Cédric Foll
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

S’il est un sujet relatif à la sécurité dont le grand public s’est emparé ces dernières années c’est bien celui de la vie privée. Grâce aux révélations de Snowden, aux leaks sauvages de données personnelles défrayant la chronique chaque mois ou encore aux publicités ciblées de plus en plus invasives, le grand public a largement saisi...

Lire l'extrait

Dans la jungle des messageries instantanées

MISC n° 090 | mars 2017 | Saad Kadhi
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Armée d’ordiphones et de tablettes, une part substantielle de l’humanité utilise très fréquemment des applications de messagerie instantanée pour communiquer. Les solutions ne manquent pas dans ce domaine. Elles sont même surabondantes. Mais vues des angles croisés de la sécurité et du respect de la vie privée, leurs similitudes ne sautent...

Lire l'extrait

Telegram, la controversée

MISC n° 090 | mars 2017 | Jef Mathiot
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Très prisée du grand public — ses développeurs revendiquent 100 millions d’utilisateurs actifs chaque mois — l’application de messagerie Telegram est disponible sur quasiment toutes les plateformes mobiles ou desktop. Elle fait aussi l’objet de critiques régulières, souvent sévères. En matière de sécurité, Telegram est-elle une...

Lire l'extrait

Chiffrement de messagerie quasi instantanée : à quel protocole se vouer ?

MISC n° 090 | mars 2017 | Florian Maury
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Telegram, WhatsApp, Signal, OTR… et autant de protocoles de messagerie quasi instantanée, de modèles de sécurité et de protocoles cryptographiques : lesquels choisir ? Et si la solution idéale n’était pas dans la liste précédente ? Cet article évoque les limites de plusieurs de ces solutions, et présente le cœur cryptographique de...

Lire l'extrait

Présentation de l’attaque Man In The Contacts pour piéger les utilisateurs de WhatsApp, Signal et Telegram

MISC n° 090 | mars 2017 | Jérémy Matos
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

L’année 2016 a marqué l’essor du chiffrement de bout en bout pour les messageries mobiles, avec notamment l’activation d’un tel protocole pour WhatsApp en avril. Mais aussi avec l’engouement autour de l’application Signal suite aux recommandations d’Edward Snowden [1]. Véritable progrès pour la vie privée de ses utilisateurs, c’est...

Lire l'extrait

Durcissement des commutateurs HP Comware

MISC n° 090 | mars 2017 | Éric BEAULIEU
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Les commutateurs réseau (que l’on appelle communément des switchs) sont les équipements informatiques situés au plus près du poste de travail de l’utilisateur (ou des serveurs). Il est donc important – dans une optique de défense en profondeur – d’assurer la sécurité de ces dispositifs. Nous nous attacherons dans cet article à...

Lire l'extrait

Usurpations de préfixes en BGP

MISC n° 090 | mars 2017 | Guillaume Valadon
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Le sujet des usurpations de préfixes en BGP (en anglais BGP hijacking) est récemment revenu au goût du jour à travers différents rapports publics décrivant leurs utilisations dans un but offensif. Cet article propose de faire le point sur ce sujet en commençant par des rappels sur BGP et le contexte des usurpations récentes. Il décrit ensuite les...

Lire l'extrait

L’évolution de la fonction CIL vers la fonction DPO

MISC n° 090 | mars 2017 | Denis Virole
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données définit dans la section 4, articles 37, 38 et 39 la désignation du Délégué à la Protection des Données, ses...

Lire l'extrait

Psychologie… et mots de passe

MISC n° 090 | mars 2017 | Laurent Levier
  • Actuellement 0 sur 5 étoiles
  • 1
  • 2
  • 3
  • 4
  • 5

La qualité de l’authentification constitue de nos jours l’unique moyen de protection de la vie privée et de l’accès à l’information. Mais très souvent celle-ci n’est constituée que d’un mot de passe dont la fabrication repose sur des individus aux comportements stéréotypés, permettant une forte prédictibilité des choix.

Lire l'extrait