MISC N°
Numéro
121

Sécurité & langages de programmation

Temporalité
Mai/Juin 2022
Image v3
Sécurité & langages de programmation
Article mis en avant

Résumé

Je dois avouer que l’exploration des langages de programmation a toujours été pour moi une intarissable source de fascination. J’ai passé des nuits, lorsque j’étais étudiant, à découvrir de nouveaux langages et mettais un point d'honneur à proposer une solution pour les travaux pratiques dans des langages improbables. Je me suis passionné pour tous ceux qui sortaient du cadre des langages impératifs plus ou moins objet que j’abordais en cours pour me perdre dans les langages fonctionnels paresseux sans effets de bord, les langages par contraintes ou les premiers langages de scripts à typage dynamique qui commençaient à se développer tels que Ruby et Python, après avoir un peu expérimenté Perl.

Dans ce numéro...


La tension sur le marché de l’emploi informatique ne cesse de se durcir depuis plusieurs années. Si le problème est multifactoriel, la cause principale reste une forte croissance des besoins en spécialistes comparativement au nombre de profils disponibles sur le marché de l’emploi. Cela commence dès le lycée avec les filières scientifiques trop boudées par les lycées puis, dans l’enseignement supérieur, avec les cursus informatiques peinant toujours à attirer les étudiants et tout particulièrement les étudiantes. Ainsi, trop peu de jeunes diplômés arrivent sur le marché de l’emploi comparativement aux besoins des entreprises qui ne cessent de croître...
En cherchant à comprendre le fonctionnement d’une application de recommandations électorales, j’ai découvert une vulnérabilité me permettant de modifier les programmes électoraux affichés à ses 2 millions d’utilisateurs.
Dans le domaine de la sécurité informatique, une vulnérabilité est définie par la norme ISO 27001 comme « une faiblesse d'un actif ou d'un contrôle qui pourrait potentiellement être exploitée par une ou plusieurs menaces ». Le système d’exploitation Microsoft Windows 10 n’échappe pas à ces vulnérabilités.
Il existe deux principales méthodes pour trier rapidement des exécutables suspects : les lancer dans une sandbox (analyse dynamique) et l'analyse... statique. Lors de la première partie, nous avons énuméré et discuté de certaines caractéristiques du format Portable Executable (PE) pour déceler des anomalies parfois utilisées par les auteurs de malwares. Nous proposons dans cette deuxième partie de détailler la structure PE, tout en continuant à étudier comment elle est utilisée par le code malveillant.
Lorsque l’on compare les langages avec une optique de sécurité informatique, il est naturel de penser à Rust et son borrow checker, ou aux nombreuses erreurs de gestion de la mémoire en C. Il existe cependant de nombreux autres axes permettant de différencier les langages !
Machines et développeurs ont parfois du mal à communiquer. D’un côté l’esprit humain, avec sa volonté d’abstraire et de penser fonctionnel. De l’autre côté, la machine et sa froide rigueur électronique. Entre les deux, il y a un pont : le compilateur. Mais comment prend-il en compte les aspects sécurité ?
Le premier novembre 2021, les CVE-2021-42574 et CVE-2021-42694 étaient rendues publiques. Ces deux CVE rendent comptent des limitations de l’utilisation de caractères Unicode dans les identifiants, commentaires et/ou chaînes de caractères littérales de codes sources. Elles sont intéressantes par deux aspects : elles sont relativement agnostiques au langage de programmation sous-jacent, et elles utilisent comme cheval de Troie le rendu fait par certains outils, notamment les forges logicielles en ligne, de certains caractères Unicode.
La cybercriminalité explosant, disposer d’outils d’entraînement pour les cybercombattants est devenu primordial. C’est la mission d’un Cyber Range. Vigrid est une extension open source gratuite transformant le fameux logiciel de virtualisation GNS3 en un tel outil, industrialisé et aux fonctions avancées.
Les bootkits : discrétion, persistance et privilèges maximaux. Dans cet article, nous concevons un bootkit visant les firmwares UEFI et nous montrons comment l’utiliser pour devenir super-utilisateur d’une machine.
L'usage d'une intelligence de la menace destinée à la cybersécurité se développe au sein des blueteams. Il est nécessaire de définir les bonnes pratiques liées à son utilisation. Qu'est-ce que la Cyber Threat Intelligence(CTI) ? Comment gérer ses données et enfin comment les exploiter ? Cet article se concentre sur les besoins des équipes de cybersécurité en matière de CTI.

Magazines précédents

Les derniers articles Premiums

Les derniers articles Premium

Stubby : protection de votre vie privée via le chiffrement des requêtes DNS

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Depuis les révélations d’Edward Snowden sur l’espionnage de masse des communications sur Internet par la NSA, un effort massif a été fait pour protéger la vie en ligne des internautes. Cet effort s’est principalement concentré sur les outils de communication avec la généralisation de l’usage du chiffrement sur le web (désormais, plus de 90 % des échanges se font en HTTPS) et l’adoption en masse des messageries utilisant des protocoles de chiffrement de bout en bout. Cependant, toutes ces communications, bien que chiffrées, utilisent un protocole qui, lui, n’est pas chiffré par défaut, loin de là : le DNS. Voyons ensemble quels sont les risques que cela induit pour les internautes et comment nous pouvons améliorer la situation.

Surveillez la consommation énergétique de votre code

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Être en mesure de surveiller la consommation énergétique de nos applications est une idée attrayante, qui n'est que trop souvent mise à la marge aujourd'hui. C'est d'ailleurs paradoxal, quand on pense que de plus en plus de voitures permettent de connaître la consommation instantanée et la consommation moyenne du véhicule, mais que nos chers ordinateurs, fleurons de la technologie, ne le permettent pas pour nos applications... Mais c'est aussi une tendance qui s'affirme petit à petit et à laquelle à terme, il devrait être difficile d'échapper. Car même si ce n'est qu'un effet de bord, elle nous amène à créer des programmes plus efficaces, qui sont également moins chers à exécuter.

Donnez une autre dimension à vos logs avec Vector

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Avoir des informations précises et détaillées sur ce qu’il se passe dans une infrastructure, et sur les applications qu'elle héberge est un enjeu critique pour votre business. Cependant, ça demande du temps, temps qu'on préfère parfois se réserver pour d'autres tâches jugées plus prioritaires. Mais qu'un système plante, qu'une application perde les pédales ou qu'une faille de sécurité soit découverte et c'est la panique à bord ! Alors je vous le demande, qui voudrait rester aveugle quand l'observabilité a tout à vous offrir ?

Body