Commentaires sur : biorootkit http://bruno.kerouanton.net/blog/2007/08/27/biorootkit/ bilingual blog about IT security and more Thu, 21 Aug 2008 00:02:41 +0000 http://wordpress.org/?v=2.5.1 Par : kinsk http://bruno.kerouanton.net/blog/2007/08/27/biorootkit/#comment-1809 kinsk Mon, 03 Sep 2007 07:13:30 +0000 http://bruno.kerouanton.net/blog/2007/08/27/biorootkit/#comment-1809 Egalement possesseur d'une clé Sony Fingerprint, je ne l'ai jamais ni installé ni utilisé. De manière (in)conciente et intuitive je me doutais de ce genre de problème sans jamais n'avoir tenté de le démontrer. Par contre, ceci dépasse le cadre du nouveau rootkit Sony, existe -t- il des solutions sérieuses pour protéger des données confidentielles sur des clés USB dans un environnement professionnel exclusivement Windowsien? Je suis à la recherche de ce type de solution depuis quelques temps et je n'ai pour l'instant rien trouvé de très convaincant. Les consignes d'utilisation du type "Seuls les fichiers ne présentant pas de caractère stratégique peuvent être copiés ..." certainement indispensables d'un point de vue légal ne résistent en effet pas très longtemps à l'épreuve de la vie réelle. Le chiffrement des données sur les clés USB est donc vital, mais pour passer des solutions individuelles et souvent contraingantes à une solution généralisable en entreprise il y a un pas qu'il semble difficile de franchir. Egalement possesseur d’une clé Sony Fingerprint, je ne l’ai jamais ni installé ni utilisé.
De manière (in)conciente et intuitive je me doutais de ce genre de problème sans jamais n’avoir tenté de le démontrer.
Par contre, ceci dépasse le cadre du nouveau rootkit Sony, existe -t- il des solutions sérieuses pour protéger des données confidentielles sur des clés USB dans un environnement professionnel exclusivement Windowsien?
Je suis à la recherche de ce type de solution depuis quelques temps et je n’ai pour l’instant rien trouvé de très convaincant.
Les consignes d’utilisation du type “Seuls les fichiers ne présentant pas de caractère stratégique peuvent être copiés …” certainement indispensables d’un point de vue légal ne résistent en effet pas très longtemps à l’épreuve de la vie réelle.
Le chiffrement des données sur les clés USB est donc vital, mais pour passer des solutions individuelles et souvent contraingantes à une solution généralisable en entreprise il y a un pas qu’il semble difficile de franchir.

]]> Par : fropert http://bruno.kerouanton.net/blog/2007/08/27/biorootkit/#comment-1807 fropert Thu, 30 Aug 2007 07:44:52 +0000 http://bruno.kerouanton.net/blog/2007/08/27/biorootkit/#comment-1807 Hello Bruno, Je ne m'y connais pas vraiment en biométrie. J'ai donc quelques questions. Qu'appelles-tu les dangers inhérents liés en parti à la partie software ? Pourrait'on faire une généralité concernant la gestion software des fingerprint sur le marché (je pense à IBM) ? Que penser de la librairie bioapi qui semble très utilisée sous Linux ? @+ Hello Bruno,

Je ne m’y connais pas vraiment en biométrie. J’ai donc quelques questions.

Qu’appelles-tu les dangers inhérents liés en parti à la partie software ?

Pourrait’on faire une généralité concernant la gestion software des fingerprint sur le marché (je pense à IBM) ?

Que penser de la librairie bioapi qui semble très utilisée sous Linux ?

@+

]]> Par : Bruno Kerouanton http://bruno.kerouanton.net/blog/2007/08/27/biorootkit/#comment-1803 Bruno Kerouanton Tue, 28 Aug 2007 09:44:42 +0000 http://bruno.kerouanton.net/blog/2007/08/27/biorootkit/#comment-1803 En effet, cela est une attitude un peu ironique de la part de l'éditeur... En général les solutions biométriques "grand public" ne sont que des gadgets qui donnent une impression de sécurité, j'en avais acheté quelques unes (u-are-u par exemple) à une époque pour m'amuser un peu, mais le constat était le même : si le périphérique électronique était grosso-modo bien conçu, la partie logicielle associée était systématiquement vérolée de partout, soit par simple incompréhension de la biométrie et de ses dangers inhérents, soit par incompétence des développeurs et chefs de projets. Dommage. J'ai toujours ces gadgets chez moi, en espérant qu'un jour, une personne sensée saura écrire des pilotes pour Linux qui tiennent la route... encore faut-il effectuer de la rétro-ingéniérie sur les pilotes d'origine pour comprendre les protocoles obscures et propriétaire mis en oeuvre. Sinon, je ne connais pas "Bugs" sur France4 ! Disons que comme je ne regarde pas la télévision, forcément ceci peut expliquer cela ;) Et maintenant que je suis en Suisse c'est encore plus compromis : d'où je suis la TNT n'émet que 4 chaînes nationales dont 1 en allemand, le réseau hertzien ne fonctionne pas, et l'ADSL ne permet pas le transport de la télévision. Restent 2 alternatives si je souhaite bénéficier des programmes : l'abonnement au cable, ou un VPN avec ma freebox française, encore faut-il que je voie comment encapsuler des flux RTSP haut débit vers la suisse... Un sujet d'étude intéressant et à suivre ! En effet, cela est une attitude un peu ironique de la part de l’éditeur…

En général les solutions biométriques “grand public” ne sont que des gadgets qui donnent une impression de sécurité, j’en avais acheté quelques unes (u-are-u par exemple) à une époque pour m’amuser un peu, mais le constat était le même : si le périphérique électronique était grosso-modo bien conçu, la partie logicielle associée était systématiquement vérolée de partout, soit par simple incompréhension de la biométrie et de ses dangers inhérents, soit par incompétence des développeurs et chefs de projets. Dommage. J’ai toujours ces gadgets chez moi, en espérant qu’un jour, une personne sensée saura écrire des pilotes pour Linux qui tiennent la route… encore faut-il effectuer de la rétro-ingéniérie sur les pilotes d’origine pour comprendre les protocoles obscures et propriétaire mis en oeuvre.

Sinon, je ne connais pas “Bugs” sur France4 ! Disons que comme je ne regarde pas la télévision, forcément ceci peut expliquer cela ;) Et maintenant que je suis en Suisse c’est encore plus compromis : d’où je suis la TNT n’émet que 4 chaînes nationales dont 1 en allemand, le réseau hertzien ne fonctionne pas, et l’ADSL ne permet pas le transport de la télévision. Restent 2 alternatives si je souhaite bénéficier des programmes : l’abonnement au cable, ou un VPN avec ma freebox française, encore faut-il que je voie comment encapsuler des flux RTSP haut débit vers la suisse… Un sujet d’étude intéressant et à suivre !

]]> Par : Da Scritch http://bruno.kerouanton.net/blog/2007/08/27/biorootkit/#comment-1802 Da Scritch Mon, 27 Aug 2007 16:13:12 +0000 http://bruno.kerouanton.net/blog/2007/08/27/biorootkit/#comment-1802 J'avais vu encore plus drôle, et bien avant la sortie de Vista : Microsoft qui dans la brochure publicitaire pour leur Fingerprint Reader annonce à la fois qu'il supprime le besoin de connaître les mots de passe mais recommande de ne pas l'utiliser pour accéder à un site bancaire. Si si ... http://dascritch.net/blog.php/post/2005/04/25/129-longhorn-shipping Dans ce domaine, les vendeurs ont pas encore passé le stade du gadget. Bon, je vous laisse, y'a “Bugs” sur France 4, qui tient largement plus du documentaire quand on est confronté à autant d'amateurisme J’avais vu encore plus drôle, et bien avant la sortie de Vista : Microsoft qui dans la brochure publicitaire pour leur Fingerprint Reader annonce à la fois qu’il supprime le besoin de connaître les mots de passe mais recommande de ne pas l’utiliser pour accéder à un site bancaire. Si si … http://dascritch.net/blog.php/post/2005/04/25/129-longhorn-shipping

Dans ce domaine, les vendeurs ont pas encore passé le stade du gadget.

Bon, je vous laisse, y’a “Bugs” sur France 4, qui tient largement plus du documentaire quand on est confronté à autant d’amateurisme

]]>