MISC N°50 – JUILLET/AOÛT 2010 – Chez votre marchand de journaux

Le tout nouveau Misc est disponible dès maintenant chez votre marchand de journaux et sur notre site marchand.

> >

Où trouver MISC près de chez vous (Entrez un code postal) ------------- Exploit Corner : [04-07] Exploitation du décodeur de fonte WOFF de Firefox Malware Corner : [08-13] Propagation virale sur terminaux mobiles : la viabilité du vecteur Bluetooth Pentest Corner : [14-17] Exécution de commandes par ORACLE sans exploit (Pour visualiser le sommaire complet, voir ci-dessous)

Sommaire (suite)

Dossier : La Sécurité des jeux

• [18] Préambule
• [19-23] La protection des jeux vidéo : fouilles archéologiques
• [24-32] La protection des jeux vidéo : du CD-Rom à l’activation en ligne
• [35-41] Mauvais usage et détournement des jeux en ligne
• [42-49] Dans l’enfer de World Of Warcraft

Société

• [50-56] ISO 27005 : introduction à la gestion des risques en sécurité des systèmes d’information

Réseau

• [59-67] Analyse de l’établissement d’un tunnel DNS

Système

• [68-75] Un pare-feu USB qui bloque aussi des virus

Application

• [76-77] Les modèles de sécurité dans les WAF
• [78-82] Visualisation de flux réseau : FLOWVIEWER, FLOWGRAPHER, FLOWTRACKER

Édito :

Quand le sage montre la lune, l’idiot regarde le doigt

Perdus entre les déboires de l’équipe de France de football (le mot " équipe " est-il d’ailleurs approprié ?) et la réforme des retraites, les rédacteurs de MISC ont décidé de changer de ligne. Maintenant, on va vendre du temps de cerveau disponible, avec des titres racoleurs et des filles à moitié nues pour parler de heap spraying.

Dossier spécial : des jeux pour l’été, et plus si affinités
L’été, on aime bien lire des magazines inavouables sur la plage, de ceux qu’on trouve souvent chez belle-maman ou son coiffeur (bien sûr, puisqu’on ne les achète jamais). Donc, pour soutenir la Presse, MISC fait pareil : de l’actu hot, torride, brûlante ! Des scoops ! Des exclus ! Bref, un vrai numéro de l’été. Et comme tout numéro de l’été qui se respecte, nous vous avons concocté un cahier spécial jeux (enfin, c’est encore une fois Renaud Bidou qui s’y est collé - merci). Forcément, on a arrangé ça à notre sauce...

SSTIC 8, encore un coup de bâton
Pour la première fois en huit ans, je n’étais pas à Rennes pour cet événement incontournable. Au-delà des conférences sur lesquelles je ne porterai donc aucun jugement, je noterai juste l’ouverture par la DGSE, un événement en soi qui marque un profond changement dans le milieu. Sans parler de la campagne de recrutement organisée par tout le monde (DGSE, ANSSI et nombreuses entreprises)...
S’il faut y voir certainement un signe de regain économique, est-ce pour autant aussi le signe d’une prise de conscience de la nécessité d’agir dans ce secteur ? Lors de son discours d’ouverture, M. Barbier, Directeur Technique de la DGSE, a reconnu que la France avait des années de retard dans la lutte offensive. Lors de son discours de clôture, M. Pailloux, Directeur de l’ANSSI, a présenté les défis de ce secteur, l’angle géopolitique qui l’accompagne et la difficulté à sécuriser les systèmes.
Dans ces deux discours tenus par des représentants de l’État, ce qui me frappe, c’est la franchise et la volonté d’avancer. À titre totalement personnel, ça me fait particulièrement plaisir, d’une part que ces paroles soient tenues, et d’autre part à SSTIC, car ça faisait partie des objectifs que je m’étais secrètement fixés en contribuant au lancement de SSTIC.

Hapodi & Orange : quand le marketing s’emmêle ?
Hélas, cette même lucidité fait souvent défaut à nos entreprises, ce qui est d’autant plus inquiétant quand elles sont opératrices d’infrastructures critiques.
Anticipant la mise en place d’HADOPI, Orange a lancé une offre à 2€ pour éviter les téléchargements. En quelques jours, il s’est passé autant de choses qu’avec l’équipe de France en Afrique du Sud :
- Le serveur contrôlant le logiciel avait sa console d’administration accessible sur Internet avec login/mot de passe par défaut (admin/admin).
- Les données collectées étaient publiquement accessibles.
- Le logiciel comportait plusieurs mentions à HADOPI alors que, dans un premier temps, les responsables d’Orange déclaraient que leur logiciel n’avait aucun rapport avec cette institution.
- Le logiciel comportait une faille énorme permettant même à ma grand-mère d’élever ses privilèges au niveau SYSTEM.
Si c’était la période du rugby, on pourrait parler de grand chelem. Quoi qu’il en soit, j’ai la naïveté de penser que jamais des ingénieurs n’auraient poussé à sortir un tel " truc ".
Alors, si je me réjouis de voir l’État commencer à se donner les moyens d’agir dans ce secteur, je me demande quand les entreprises lui emboîteront le pas...

Sur ce, c’est l’été. On peut se demander si un ver va apparaître, qui va se faire exclure de Black Hat, et si le ticket de métro va encore augmenter en douce au mois d’août, pendant que tout le monde sera sur la plage.

Bonne lecture et attention aux coups de soleil !

Fred Raynal