IT Security

InsomniHack 2012, c’est gagné !

Ajout du 9 mars 2012: SCRT vient de publier la solution de certaines épreuves du concours, ainsi qu’une vidéo de l’évènement ! = = = Insomni’Hack, c’était super ! Et je remercie tout le staff de la société SCRT, qui nous a concocté de très belles et motivantes épreuves, il y en avait vraiment beaucoup et de tout : Stéganographie, web, réseaux, exploitation, reverse-engineering, crypto, et j’en passe… Bref, c’était super (mais je viens de le dire) !

Drôle d’accroche marketing

Je n’ai pas pu m’empêcher de trouver surprenante la manière dont certaines sociétés proposent la location d’espaces d’archivage de documents confidentiels… Pour peu, on croirait qu’ils vous prennent pour un terroriste tout juste bon à résider dans un quartier de haute-sécurité 😉 J’ai reçu ceci dans ma boîte aux lettres professionnelle récemment : Si j’approuve totalement le concept en question, et que l’hébergement sécurisé de données reste utile, je pense sincèrement que l’accroche marketing est un tantinet décalée… à moins que ce ne soit justement fait volontairement pour que l’on se souvienne d’eux ?

Jurackerfest.ch : mes deux épreuves

 

Voilà, comme d’habitude je vous invite à télécharger la présentation (ou voir la vidéo de la conférence) que j’ai faite lors de la soirée du First Rézonance des Jura Security Days, ainsi que les deux épreuves (parmi les 10) que j’ai concoctées pour ce concours. Elles valaient chacune 500 points, signifiant ainsi qu’elles n’étaient point simples (pour rappel, les dix épreuves devaient être résolues en moins de deux heures !).

mille sept cent quatre-vingt quatre excuses

Je vous dois des excuses, j’ai fait une bourde.

Hier soir, 1784 courriels sont partis par inadvertance. Je faisais un test avec l’un de mes comptes Facebook (j’en ai une dizaine qui servent essentiellement pour des tests et pour les cours que je donne), test qui s’est finalement très mal passé (désolé), mais qui a engendré des effets secondaires très instructifs dont je vous livre la primeur.

L’une des fonctions les plus sournoises que les sites de réseaux sociaux ont inventé est la collecte automatique d’adresses email. Lors de cet essai, alors que je m’apprêtais à lui soumettre un petit jeu d’environ 200 adresses de courriel de tests, celui-ci a aspiré l’ensemble de mes contacts sans crier gare, soit 1784 adresses. C’est allé très vite et je n’ai pu arrêter l’envoi.

Cloud 2011 : Mais que fait la police ?

La pause estivale s’approche, et j’en profite pour vous livrer l’un des points sur lesquels je me démène en tant que RSSI.

*Stratégie Google/Apple en matière de Cloud – Aspects réglementaires*

 

Le constat est sans appel. Quelque soit le secteur d’activité, dans le privé, dans le public et même parfois dans l’armée, nombre de nos usagers sont désormais munis de smartphones Android et iPhone. Ces derniers sont souvent à usage mixte privé et professionnel, et synchronisent pêle-mêle contacts et courriels sensibles, rendez-vous galants et ragots facebookiens. Récemment, on a pu découvrir que les stratégies clairement édictées par Apple (iCloud) et Google (Google+) se moquent totalement des aspects SSI en matière de protection des données d’organismes privés ou étatiques, puisque ceux-ci proposent ni plus ni moins que le transfert intégral des données stockées sur ces smartphones dans leurs datacenters américains.

Ma présentation à la NDH2k11

Voilà c’est teminé. Et c’était bien… que dis-je, génial ! Il y a déjà plein de photos et de comptes-rendus sur Internet, je ne vous mettrai ici que celles qui me concernent.

J’ai parlé de la sécurité… il y a 20 ans ! Et oui, du temps du MO5, du temps du Commodore 64, du temps de l’Atari ST. Ca date ! Alors pour vous illustrer tout cela, outre ma présentation disponible en téléchargement sur mon site, je vous ai mis quelques photos prises par l’auteur de MO5.com, que j’ai retrouvé juste après mon speech et avec lequel on a remonté de très beaux souvenirs pendant une bonne heure !

En coup de vent

Pas trop d’inspiration en ce moment pour aller sur mon blog. Je prépare d’autres choses et ai d’autres préoccupations, ça arrive parfois.

Je ne résiste cependant pas à vous mettre quelques coquilles et choses amusantes trouvées récemment sur la toile !

… Ainsi que les dernières nouvelles informatiques me concernant….

Marketing opt-out fail !

And this one is quite funny… as it comes from a famous security brand who should know a little bit about security and encryption…

They made two huge mistakes, let’s see that in 10 quick steps…

Jurackerfest.ch challenges

I’m currently preparing some challenges for the Jurackerfest.ch event ! There will be two categories for challengers : Beginners and Specialists. The_ Beginners challenges_ are purposely there to show newbies how security can be defeated, and to stimulate students that aren’t yorking in the IT security field yet to learn IT Security. The Specialists challenges are more classical, in a way that we can find in other security challenges, but I hope to be able to make some very special challenges, weird and tricky too…

April Fool’s day

Definitely not a good idea to do… April fool’s day ! Non, ce n’est franchement pas une bonne idée de faire cela… Poisson d’avril !  

Insomni’hack 2011 c’est fini

Et c’était très bien ! Tant les six conférences que le concours 😉

Une superbe organisation, des épreuves très stimulantes et bien conçues, une logistique sympathique. au final, plus de 100 personnes pour les conférences, et près de 200 pour le concours, autant dire que c’était une réussite totale. Merci aux organisateurs pour ce bel évènement.

Usurpation d’identité ?

Hier soir, j’ai eu un moment de doute en recevant un email de la part de Facebook.

Il y a quelque temps, j’y ai créé un compte de test afin d’y vérifier les paramètres de sécurité, pour pouvoir évaluer la viabilité de la solution et préparer mes cours. Ne cherchez pas à m’y retrouver, je ne suis pas présent sur Facebook, point.

La nouvelle stratégie des géants de l’IT 2.0

Cela fait longtemps que je voulais l’écrire, ce billet, mais je ne trouvais pas le bon moment. Me voilà cependant lancé dans la démarche car Microsoft vient de frapper deux fois en un mois, avec Windows Mobile 7 d’une part, et Hotmail d’autre part. Pour le premier des deux coups, je suis assez peu convaincu de l’effet qui sera certainement un coup d’épée dans l’eau, mais cela n’est pas gênant dans mon argumentaire car le concept que je souhaite développer est cependant présent.

La stratégie de tous les nouveaux acteurs du monde IT 2.0 est simple : Faire (encore plus) de chiffre, gagner (encore plus) de sous… Et les perdants n’auront d’autre choix que de se faire dépecer par des comme vient de l’être Novell, qui a notamment cédé tous ses brevets à… Microsoft. Mais pour gagner de l’argent, il faut équiper les utilisateurs et les entreprises de produits périmables, inventer de nouveaux besoins etc. Pas toujours facile en ces temps de « crise », mais les stratèges commerciaux ont des des atouts en poche :

Petites histoires d’Internet… que personne ne voudrait vivre

La Confédération et les cantons suisses ont mis le paquet en terme de sensibilisation du public aux risques d’Internet, à l’aide d’un nouveau site web : www.petiteshistoiresdinternet.ch qui illustre sous forme de 10 petites bandes dessinées les problèmes les plus courants que les usagers peuvent avoir en utilisant Internet. Les histoires qu’elle contient présentent des situations dangereuses sur le web et indiquent comment les reconnaître et les éviter. Le but de cette publication est de renforcer la sécurité et la confiance de la population en matière d’utilisation des technologies de l’information et de la communication.

stress test

Je suis dans ma période « étude de malwares », histoire de me remettre un peu dans le bain… Les 1082 virus détecté sur *mon* PC, c’est vrai !!! Mais promis, c’était un test de scan de virus inactivés, histoire de voir un peu comment mon antivirus fonctionnait et quel était son taux de reconnaissance… Ah, et si vous voulez savoir comment je me suis procuré autant de virus, il existe des collections sur le net, à destination des chercheurs et reversers.

one man show

Décidément je passe relativement souvent à la télé (si, si, une à 2 fois par an, c’est déjà bien…) L’émission de la TSR Nouvo, ainsi que son site Internet www.nouvo.ch sont consacrés aux nouvelles technologies, tendances et autres aspects technophiles. J’ai eu la chance d’y être interviewé le mois dernier lors d’une émission sur la protection des données personnelles sur Internet (avec une vidéo bonus en bas de la page), et la seconde chance d’avoir un extrait diffusé lors du téléjournal du dimanche soir.