MISC HS n° 009 - 01/06/2014

Analyses de code et recherche de vulnérabilités

MISC HS n° 009 | juin 2014 | Marie-Laure Potet - Josselin Feist - Laurent Mounier
  • Currently 0 out of 5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

La recherche de vulnérabilités est généralement menée en plusieurs étapes : identifier des parties du code potentiellement dangereuses puis étudier la possibilité de les exploiter, par exemple pour corrompre la mémoire. Dans cet article, nous montrons comment des techniques d'analyse statique de code apportent une aide significative à ces étapes.

Lire l'extrait

Redécouverte et exploitation du Pwn2Own 2012 Android

MISC HS n° 009 | juin 2014 | André Moulu
  • Currently 0 out of 5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Vous êtes habitués aux articles rédigés par les gagnants du Pwn2Own chaque année ? Pourtant cela manque cruellement dans le Pwn2Own Mobile... Cet article a pour but de corriger le tir en vous proposant de redécouvrir la vulnérabilité utilisée par l'équipe de MWR Labs pour exploiter un Samsung Galaxy S3 au Pwn2Own 2012, puis de développer un...

Lire l'extrait

Revue de code : à la recherche de vulnérabilités

MISC HS n° 009 | juin 2014 | Fabien Jobin
  • Currently 0 out of 5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Toute personne s’intéressant à la sécurité informatique connaît les tests d’intrusion applicatifs (pentest) pour la recherche de failles. Quelques-uns connaissent la revue de code source orientée sécurité. En revanche, une très faible minorité veut en faire : lire du code toute la journée semble moins attractif que d’exploiter une...

Lire l'extrait

Analyse de firmwares : cas pratique de la backdoor TCP/32764

MISC HS n° 009 | juin 2014 | Eloi Vanderbéken
  • Currently 0 out of 5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

À l'heure de l'Internet of Things, de la suspicion généralisée envers les codes fermés des matériels embarqués (en particulier ceux des routeurs) et de la démocratisation des outils de reverse engineering hardware, l'étude de firmwares est de plus en plus répandue. Dans cet article, nous verrons comment procéder à l'analyse du firmware de...

Lire l'extrait

Oracle : de la base au système

MISC HS n° 009 | juin 2014 | R1
  • Currently 0 out of 5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Les bases de données en général, dont Oracle, sont installées au cœur des réseaux et interagissent avec un grand nombre de systèmes de l'entreprise. Le peu de protections dont elles bénéficient contraste avec la criticité des informations qu'elles possèdent. Si le risque souvent retenu se limite au vol d'informations, les possibilités de...

Lire l'extrait


Java Card dans tous ses états !

MISC HS n° 009 | juin 2014 | Guillaume Bouffard - Tiana Razafindralambo
  • Currently 0 out of 5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

L'année 2013 a été une année assez « riche » en termes de découverte et d'exploitation de 0-day dans la nature en ce qui concerne la famille Java (1). Java Card fait tout aussi bien partie de cette famille. Néanmoins, son processus d'évaluation suit un tout autre chemin et les attaques découvertes jusqu'à maintenant n'en sont pas moins...

Lire l'extrait

Limites et mérites de l'évaluation des logiciels

MISC HS n° 009 | juin 2014 | Céline Boyer
  • Currently 0 out of 5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Les militaires ont été les premiers à tenter « d'industrialiser » un processus permettant d'évaluer la sécurité des systèmes informatiques. Ces travaux ont été à l’origine en 1984 de la parution du « livre orange » dont l'impact sur ces sujets fut déterminant. D'autres travaux en ont découlé avec la parution en 1991 des ITSEC puis...

Lire l'extrait