Introduction au dossier : Python au service de la recherche et l’exploitation de vulnérabilités

Le grand public est familiarisé, ne serait-ce qu’inconsciemment, au concept de puce de sécurité de par l’usage quotidien et depuis de nombreuses années des cartes à puce dans le domaine bancaire ou des cartes SIM dans la téléphonie mobile. Des puces dédiées à la sécurité ont également fait leur apparition dans certains de nos équipements du quotidien (ordinateur portable, smartphone), qu’il s’agisse de microcontrôleur dédié disposant de fonctionnalités liées à la cryptographie (stockage de clef de chiffrement) tel un TPM, ou d’un mode d’exécution sécurisé intégré au processeur principal, à l’instar de SGX pour Intel, de TrustZone chez ARM et de PSP pour AMD.

D’aucuns n’auront loupé l’explosion du nombre d’utilisateurs de l’application de messagerie instantanée Signal, soit au travers de l’actualité, soit car leur infrastructure était tout simplement dans les choux ce 15 janvier 2021, précisément à cause de cette nouvelle charge (on ne connaît pas précisément l’ordre de grandeur). Signal n’a d’ailleurs pas été le seul à connaître ce récent succès, d’autres applications telles que Telegram ont annoncé avoir eu 25 millions de nouveaux utilisateurs en l’espace de 72 heures. Derrière cette migration massive vers des applications de messagerie dites alternatives, une simple, mais non des moindres, annonce d’une future mise à jour des conditions d’utilisation du service WhatsApp, touchant notamment à l’épineuse question des données personnelles.

David Bizeul et Guillaume Arcas, tous deux bien connus du monde de la sécurité informatique et notamment de la réponse à incident, vous livrent ici leurs parcours, points de vue et conseils quant aux enjeux de cet incroyable domaine qu’est la sécurité.