Les attaques par canaux auxiliaires sont des attaques qui ne visent pas directement le programme que l’on veut attaquer, mais le vise indirectement en s’attaquant au système hôte du programme, comme un ordinateur. Il existe divers types d’attaques par canaux auxiliaires, ici nous nous intéressons à un cas particulier : les attaques qui visent à dérober de l’information en analysant la consommation électrique des appareils. Certes, ces attaques ne peuvent pas être menées par n’importe qui, encore moins des débutants et sont relativement difficiles à mettre en œuvre, car elles demandent des compétences particulières. Cependant, elles deviennent de plus en plus accessibles et ont la promesse de faire des dégâts considérables en cas de réussite. En effet, rien de moins qu’une clé privée de chiffrement peut être volée si une de ces attaques est menée à bien sur un appareil. Dans cet article, nous allons voir diverses façons de mener ces attaques, leur difficulté de mise en œuvre, nous verrons également des exemples pour comprendre leur fonctionnement et enfin nous verrons comment se prémunir de ces attaques.

Les RAT (Remote Access Trojan) sont un type de logiciel malveillant permettant de prendre le contrôle à distance d’une machine. Leurs fonctionnalités sont multiples : exécution de commandes, transfert de fichiers, vol de mots de passe ou de sessions, prise de captures d’écran, installation de keylogger, et bien plus encore. Une infection confère à l’attaquant le contrôle quasi total de l’ordinateur de la victime. Dans cet article, nous verrons comment implémenter certaines des fonctionnalités principales de ce type d’outil dans le langage C#.

Les blockchains sont partout. Il est nécessaire d’assurer leur sécurité et la confiance des utilisateurs avec des systèmes de consensus sûrs. Cependant, au-delà de la sécurité, d’autres sujets font surface, notamment des préoccupations écologiques avec des consommations d’énergie faramineuses des blockchains. Dans cet article, nous explorons les mécanismes de consensus de la blockchain basés sur la preuve d'enjeu, un modèle alternatif à la preuve de travail visant à sécuriser les réseaux décentralisés tout en réduisant la consommation d'énergie. Le principe de la preuve d'enjeu repose sur l'engagement des actifs numériques des participants pour valider les transactions et créer de nouveaux blocs. Cependant, cette approche n'est pas exempte de problèmes de sécurité comme nous allons le voir. Au fil de notre étude, nous présenterons et mettrons en parallèle deux techniques de consensus bien connues dans l’écosystème des blockchains, nous explorerons leurs différences et verrons pourquoi les acteurs veulent passer de l’une à l’autre.

Souvent utilisé par les administrateurs afin de stocker les secrets du système d'information, KeePass est une cible de choix pour les attaquants. Nous verrons dans cet article différentes techniques permettant d'extraire les mots de passe en clair lors de tests d'intrusion.

En presque 50 numéros du magazine, c'est la première fois qu'un projet en couverture impacte à ce point mon quotidien. Tout fier d'utiliser la même machine depuis plus de 13 ans, sans ralentissement notable ou mise à niveau autre qu'une carte graphique il y a une paire d'années, je pensais réellement que c'était une belle économie. Après tout, ceci veut dire « ne pas dépenser d'argent pour une nouvelle machine », ça semble logique. Et ça l'est... presque...

Comme pour tout le monde, les dernières factures de mon fournisseur d'énergie n'ont pas été une bonne nouvelle, bien au contraire. L'augmentation du coût de l'électricité a un impact notable sur nos finances et souvent, de manière générale, dès lors qu'il est question de technologie, faire des économies nécessite un certain investissement. L'idée est simple et consiste à engager un certain budget qui, dans un temps déterminé, sera remboursé par l'économie réalisée, puis deviendra un bénéfice net à long terme. Mais pour décider de ce qu'il faut changer, encore faut-il savoir où l'on peut effectivement faire des économies.

À l'arrivée de la carte Raspberry Pi Pico, la principale difficulté était de faire comprendre au plus grand nombre qu'il ne s'agissait absolument pas d'un SBC (Single Board Computer), comme tout le reste de la famille de Raspberry Pi qui l'a précédé, mais de quelque chose de totalement différent : une carte microcontrôleur plus proche d'un Arduino, d'un ESP8266 ou d'une Bluepill (STM32). Pas question donc de faire fonctionner une distribution comme Raspbian (maintenant Raspberry Pi OS) ou un système de type Unix comme GNU/Linux... Ah oui ? Vraiment ? Pas tout à fait... Floutons un peu les lignes, voulez-vous ?

Dans mes pérégrinations visant à remettre en marche mon projet d'ordinateur 8 bits construit autour d'un modeste, mais classique Zilog Z80, j'ai croisé la route d'une carte très intéressante et surtout, très peu chère. Mais jeter son dévolu sur un produit clairement destiné à un autre usage qu'un projet didactique est une aventure, un défi et un pari plus qu'une approche raisonnée. La carte en question est ce qui semble être un contrôleur industriel créé par une défunte société italienne, vendu aux enchères sur eBay et livrée sans EPROM, mais avec un schéma. Enchère gagnée, livraison réceptionnée, que l'aventure commence !