Cet article présente Fuddly, un framework de fuzzing et de manipulation de données, écrit en python sous GPLv3, qui fournit de nombreuses briques que l’on retrouve dans d’autres framework de fuzzing, mais qui se différencie par la flexibilité de représentation des données et la diversité des altérations qu’il rend possible.

Dans l’avant-dernière chronique, nous avions fait le bilan du secrétariat d’État au numérique. C’est au tour de l’institution la plus détestée de France de passer son examen. Ayant moi-même fait mes classes dans cette institution, il est tout à fait vraisemblable que je sois amenée à manquer de façon flagrante de neutralité.

L'apprentissage de la ligne de commandes nécessite de posséder un minimum de connaissances, notamment savoir de quoi est composé votre système de fichiers, comment vous y promener et surtout, connaître la syntaxe à adopter pour dialoguer avec votre système. Se contenter de recopier - de surcroît sans la comprendre - une ligne de code trouvée dans un livre ou une page web ne vous fera pas progresser (et peut s'avérer dangereux pour votre système...).

L’auditeur le plus motivé peut se retrouver désappointé lors de l’audit d’une application client-lourd développée en Java. On décompile et on regarde le code source ? Pourquoi se donner tant de mal ? Cet article présente le logiciel JavaSnoop, qui facilite l’audit d’applications Java en permettant d’intercepter et de modifier à la volée les appels aux méthodes Java, puis nous conclurons par un cas pratique d’utilisation.

Les atteintes aux données personnelles touchent indistinctement entreprises, institutions publiques et privées, acteurs civils et militaires, révélant l’existence de failles importantes dans l’organisation des systèmes et processus de sécurisation des données. Ces données attisent bien des convoitises en raison de leur nature spécifique, en raison de leur valeur propre. L’analyse des évènements les plus marquants en matière d’atteintes aux données permet de mettre en exergue les caractéristiques de cette forme d’incident (§1). Mais ces atteintes aux systèmes et aux données sont-elles uniquement des actes de délinquance ? Ne pourrait-on envisager qu’elles puissent être, dans certains cas, des agressions lancées contre l’espace informationnel d’un adversaire ? Ne doit-on pas s’interroger sur le possible recours à ces atteintes aux données dans le cadre d’opérations de guerre de l’information (§2) ?

Tout le monde connaît Vim, l'éditeur de texte en mode console. Tout le monde le connaît mais bien peu de monde l'utilise alors qu'il dispose de possibilités fantastiques. Je vous propose de revoir rapidement le fonctionnement de Vim et surtout d'apprendre à configurer votre éditeur pour qu'il vous réponde au doigt et à l'œil (en fait plus au doigt qu'à l'œil quand même...).

Sur les systèmes Windows, l'injection de DLL dans le service IKEEXT est un sujet qui remonte à la fin de l'année 2012. Il s'agit d'une faiblesse donnant lieu à une élévation de privilèges sous certaines conditions. Introduit sous Vista, ce problème n'a cependant été corrigé qu'à partir de Windows 8.1. Or, les systèmes Windows 7/Server 2008 R2 sont, encore aujourd'hui, largement présents dans les entreprises et force est de constater que son exploitation est toujours aussi simple et efficace.

Les flux d'actualités aux formats RSS ou Atom se sont propagés sur le Web et, même si les réseaux sociaux les ont quelque peu éclipsés, ils n'en restent pas moins un outil indispensable pour tous ceux qui pratiquent la veille, technologique en particulier. Beaucoup d'entre nous ont utilisé avec bonheur le service en ligne Google Reader. Mais sa disparition est prévue pour le 1er juillet... « Chat échaudé craint l'eau froide », pas question d'utiliser un autre service hébergé par un tiers. Alors, quelles solutions se présentent à vous ?