MISC N°
Numéro
96

Blockchain : un réel progrès pour la sécurité ?

Temporalité
Mars/Avril 2018
Image v3
Blockchain : un réel progrès pour la sécurité ?
Article mis en avant

Résumé

Depuis quelques mois, il devient très difficile de passer à côté du flot de paroles confuse qu’entoure l’engouement pour ce qui que l’on nomme « blockchain » et plus particulièrement son application pour les « crypto-monnaies ». Cela au point que les nouveaux pratiquants de cette religion viennent de s’approprier le préfixe crypto, au grand dam de ceux qui la pratiquent réellement (oui, la cryptographie).

Dans ce numéro...


Tout d'abord, et pour reprendre les lignes du dernier édito, dans le cadre du retour aux sources de la ligne éditoriale de MISC, je vais focaliser les thématiques traitées dans les dossiers sur des aspects purement techniques. Bien entendu, certaines seront liées à de nouvelles tendances et comporteront parfois des approches générales du point de vue de la sécurité (conteneurs, blockchain). Tandis que d’autres seront déjà connues, mais avec une approche plus pointue dans les sujets traités (spoil : si tout se passe bien, le prochain dossier sera sur les attaques par canaux auxiliaires avec, au menu, de la crypto, mais aussi des attaques sur les caches – tiens donc !).
Début octobre 2017, une vulnérabilité a été découverte par Chris Salls dans l’implémentation de l’appel système waitid [1] au sein du noyau GNU/Linux, permettant notamment d’écrire des données dans l’espace mémoire réservé au noyau. Cet article tente de retracer de façon détaillée l’étude de la cause de celle-ci ainsi que les différents obstacles rencontrés lors de son exploitation.
La fin d’année 2017 a été riche en mise à disposition de logiciels libres pour les fans de rétroconception. Dans cet article, nous allons voir deux de ces outils : cutter, une interface graphique au programme radare2 et RetDec, un décompilateur basé sur LLVM. Cet article présentera ces deux outils et leur utilisation avec un exemple dont nous possèderons le code source afin de plus facilement visualiser leur fonctionnement.
L’Active Directory ne fait pas le bonheur (de l’auditeur), mais il y contribue. Brique fondamentale, mais fragile des édifices informatiques, il est à la fois complexe à mettre en place et incroyablement utile lors d’une tentative de compromission. Focus sur un outil performant pour découvrir et exploiter un AD, puis retour d’expérience réel sur son utilisation.
La blockchain (chaîne de blocs) est surtout connue pour ses monnaies virtuelles notamment ses applications phares Bitcoin et Ethereum. Mais cette technologie peut nous apporter bien plus en termes d’applications de sécurité.
Une décennie après la publication du papier « Bitcoin : A Peer-to-Peer Electronic cash system » de Satoshi Nakamoto, la technologie « Blockchain » derrière la monnaie virtuelle Bitcoin continue d’attirer l’attention. De nouveaux projets qui s’annoncent disruptifs se basant sur la blockchain ne cessent de proliférer et de voir le jour. Avec l’intérêt croissant pour cette nouvelle technologie, les monnaies électroniques se multiplient et commencent à drainer des masses financières importantes, attisant de facto l’avidité des attaquants. Un nouveau terrain de jeu s’ouvre ainsi devant eux et donne naissance à de nouvelles attaques. L’une des plus marquantes est l’exploitation d’une vulnérabilité sur un smart-contract en juillet 2017 qui a notamment permis à un groupe d’attaquants de dérober presque instantanément l’équivalent de 26 millions d’euros. Cet article présente les blockchains Bitcoin et Ethereum et détaille l’exploitation de la vulnérabilité présente sur les wallets multisig v1.5 de Parity.
Aujourd’hui, utiliser des cryptomonnaies sur un périphérique mobile exige de dégrader les protocoles afin de tenir compte des capacités de stockage et de bande passante limitée de ces périphériques. Cette dégradation protocolaire a-t-elle des impacts sur la sécurité ? Comment utiliser des portefeuilles légers avec confiance ?
L’engouement croissant pour la technologie blockchain se traduit par une explosion du cours des différentes crypto-monnaies, qui séduisent aussi bien les curieux que les professionnels de la spéculation financière. Ainsi, acquérir du bitcoin ou autre altcoin n’a jamais été aussi attractif. En parallèle, l’activité de minage s’est elle aussi développée, et il est devenu très compliqué d’acquérir suffisamment de matériel pour pouvoir s’y adonner de façon rentable. C’est pourquoi des personnes peu scrupuleuses ont mis au point des logiciels de minage indésirables, utilisant les ressources matérielles d’utilisateurs non avertis dans le but de générer des crypto-monnaies pour leurs concepteurs.
Cet article est le second d'une mini-série sur le C++, ou plutôt sur les binaires compilés depuis C++, leurs particularités, comment les concepts du langage se retrouvent parfois dans le binaire final.
Rendre vulnérable un code sûr, réaliser une porte dérobée indétectable, voici quelques possibilités des attaques par faute. Faites chauffer votre amplificateur RF, nous allons faire des étincelles !
Depuis fin 2014, différents constructeurs d’appareils mobiles, et en particulier de smartphones, annoncent avec fierté l’ajout et l’amélioration progressive d’une nouvelle technique de protection contre le traçage des téléphones : le changement aléatoire d’adresse MAC (MAC address randomization). Il était effectivement temps de s’attaquer au problème du traçage physique, attaque triviale devenue extrêmement problématique depuis la prolifération massive de ce genre d’appareils.
La messagerie électronique est une des applications les plus utilisées d'Internet. Il est donc naturel de s'intéresser à la sécurité des protocoles servant à l'acheminement des courriers électroniques. En première approche, il existe deux éléments à regarder : la sécurité des communications, qui est généralement assurée par SSL/TLS, et la protection des contenus, qui peut être assurée par S/MIME ou OpenPGP. C'est sur le premier point que porte cet article.

Magazines précédents

Les derniers articles Premiums

Les derniers articles Premium

Stubby : protection de votre vie privée via le chiffrement des requêtes DNS

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Depuis les révélations d’Edward Snowden sur l’espionnage de masse des communications sur Internet par la NSA, un effort massif a été fait pour protéger la vie en ligne des internautes. Cet effort s’est principalement concentré sur les outils de communication avec la généralisation de l’usage du chiffrement sur le web (désormais, plus de 90 % des échanges se font en HTTPS) et l’adoption en masse des messageries utilisant des protocoles de chiffrement de bout en bout. Cependant, toutes ces communications, bien que chiffrées, utilisent un protocole qui, lui, n’est pas chiffré par défaut, loin de là : le DNS. Voyons ensemble quels sont les risques que cela induit pour les internautes et comment nous pouvons améliorer la situation.

Surveillez la consommation énergétique de votre code

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Être en mesure de surveiller la consommation énergétique de nos applications est une idée attrayante, qui n'est que trop souvent mise à la marge aujourd'hui. C'est d'ailleurs paradoxal, quand on pense que de plus en plus de voitures permettent de connaître la consommation instantanée et la consommation moyenne du véhicule, mais que nos chers ordinateurs, fleurons de la technologie, ne le permettent pas pour nos applications... Mais c'est aussi une tendance qui s'affirme petit à petit et à laquelle à terme, il devrait être difficile d'échapper. Car même si ce n'est qu'un effet de bord, elle nous amène à créer des programmes plus efficaces, qui sont également moins chers à exécuter.

Donnez une autre dimension à vos logs avec Vector

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Avoir des informations précises et détaillées sur ce qu’il se passe dans une infrastructure, et sur les applications qu'elle héberge est un enjeu critique pour votre business. Cependant, ça demande du temps, temps qu'on préfère parfois se réserver pour d'autres tâches jugées plus prioritaires. Mais qu'un système plante, qu'une application perde les pédales ou qu'une faille de sécurité soit découverte et c'est la panique à bord ! Alors je vous le demande, qui voudrait rester aveugle quand l'observabilité a tout à vous offrir ?

Body