Nayrolles Sylvain

Nayrolles Sylvain

22 article(s)
Articles de l'auteur

Address Space Layout Randomization

Magazine
Marque
GNU/Linux Magazine
Numéro
204
Mois de parution
mai 2017
Spécialité(s)
Résumé

Brad Spengler, le leader du projet grsecurity, exprimait, lors de son intervention au SSTIC 2016, son agacement à lier la sécurité d'une application à son implémentation. Pour lui, la sécurisation d'une application ne doit pas se faire via la recherche de bugs dans cette dernière, mais doit être assurée par la plateforme sur laquelle elle s'exécute. L'ASLR fait partie de ces évolutions proposées par les systèmes d'exploitation, dans le but de complexifier l'exploitation de failles applicatives.

Return Oriented Programming

Magazine
Marque
GNU/Linux Magazine
Numéro
203
Mois de parution
avril 2017
Spécialité(s)
Résumé

Les techniques d'exploitation de failles applicatives ont énormément évolué avec l'avènement de moyens de protection toujours plus sophistiqués. Le Return Oriented Programming ou ROP ne permet pas d'injecter du code, mais bien d'exploiter l'existant pour détourner le comportement nominal d'un logiciel via une classe de failles bien particulière.

Back to Basics : l'assembleur

Magazine
Marque
GNU/Linux Magazine
Numéro
201
Mois de parution
février 2017
Spécialité(s)
Résumé
Ah, que de bons souvenirs avec l'assembleur ! Je ne sais pas pour vous, mais moi je n'y ai touché qu'une fois, en licence (de nos jours on dit L3), pour parvenir péniblement à réaliser une division. Des années plus tard, je me dis que j'ai peut-être raté quelque chose et qu'à défaut de devenir un pro de l'assembleur, il pourrait être intéressant d'en comprendre quelques rouages.

De la sécurité vers la confidentialité des données

Magazine
Marque
MISC
Numéro
88
Mois de parution
novembre 2016
Spécialité(s)
Résumé

Historiquement, la sécurité des données au sein des applications web était dévolue aux outils ou aux protocoles utilisés. Elle ne fait que très rarement partie du processus de développement. Reposant essentiellement sur une architecture client-serveur, où ce dernier est le garant de l'intégrité, et optionnellement de la sécurité des données, nous verrons comment les derniers standards du Web permettent aux développeurs de déporter le moteur cryptographique du côté du client et donc d'offrir une réelle confidentialité aux utilisateurs.