Foll Cédric

Beaucoup d’outils de sécurité ont déjà été présentés dans MISC, mais nous souhaitions réaliser un numéro « hors-série » dédié aux différents logiciels pouvant se révéler indispensables à l’expert en sécurité que ce soit pour un pentest, une vérification du bon fonctionnement de ses mesures de protection ou pour un challenge de sécurité.

La cité d’Ankh-Morpork gazouillait depuis quelques jours en raison de la rumeur d’une nouvelle loi d’Havelock Vétérini, le tyran bienveillant. Cette loi baptisée « sous surveillance amicale » prévoyait le déploiement de mystérieuses boîtes octarines [2] dans toute la ville, capables d’écouter n’importe quelle conversation de la cité, afin de détecter tous les complots ourdis contre le praticien. Officieusement, elles pourraient aussi servir à distraire le guet lors de longues soirées d’hiver.

N’ayant pas encore atteint l’âge canonique me permettant d’écrire un édito à la troisième personne sans sombrer dans le ridicule, je me contenterai, en toute simplicité, de l’écrire à la première :p

Lorsque nous expliquerons à nos enfants qu’au début des années 2000 il n’était pas rare de relever ses mails au travers de flux sans chiffrement, ils nous regarderont avec un mélange d’incrédulité et de dédain. Nous sommes certainement la dernière génération à associer dans un réflexe pavlovien protocoles de messagerie à “ports TCP 110 et 143”. Certains de mes jeunes collègues ne savent même pas à quoi correspond le port 23.

Faire un dossier sur les réseaux industriels avait tout de l’arlésienne pour MISC. Cela fait des années que nous remettions régulièrement le sujet sur la table en réunion de rédaction sans réussir à trouver suffisamment d’auteurs motivés et calés sur le sujet pour avoir matière à faire un dossier sur la question.

Du jeune padawan au jedi accompli, nous avons certainement tous des souvenirs émus de nos soirées passées sur des challenges de sécurité. Qui parmi vous n’a pas perdu quelques nuits à taquiner du crackme à coup d’ollydbg et d’IDA Pro, à bruteforcer les adresses de retour sur la pile ? Ou encore à relire pour la quinzième fois le célèbre “Éviter les failles de sécurité dès le développement d'une application : les chaînes de format” [2] sans réussir à dompter totalement le %n?

Il n'est pas simple de définir correctement ce qu'est exactement un déni de service. Tout simplement parce qu'il y en a une infinité. La cible peut-être le service à un utilisateur, un logiciel client, un logiciel serveur, une machine complète, voire un ou plusieurs réseaux. L'attaque peut parfois n'être qu'un simple octet qui titille le bogue d'une application qui plantera.

Depuis les révélations d’Edward Snowden sur les programmes de surveillance de la NSA, plus personne n’oserait sérieusement affirmer que chiffrer les flux de données transitant sur Internet est optionnel. Internet est massivement surveillé, toute communication est susceptible d’être enregistrée, analysée ou encore consignée pendant des années. Ce n’est plus une crainte, c’est un fait.

Le Big Data est l’un des buzz de ces deux dernières années. Au-delà de l’aspect marketing largement relayé par les vendeurs de serveurs, d’espaces de stockage et de logiciels, le Big Data s’appuie sur plusieurs concepts techniques éprouvés ou émergents que nous allons exposer dans ce dossier.