Misc 96

Blockchain : un réel progrès pour la sécurité ?

  1. Quelles applications de la blockchain pour la sécurité ?
  2. Parity multi-sig-wallet : retour sur un bug à 30 M$
  3. Quid de la sécurité des portefeuilles légers Bitcoin ?
  4. De Coinhive aux programmes malveillants : analyse du « mining » indésirable

Plus de détails

8,90 € TTC

 
Les avis des lecteurs sur ce numero ( - 0 Avis )

Aucun avis n'a été publié pour le moment.

Merci de vous connecter à votre compte afin de pouvoir publier votre avis.

Se connecter à votre compte

Vous aussi, donnez-nous votre avis

sommaire :

Exploit Corner

p. 04 Réalisation d’une preuve de concept pour la vulnérabilité CVE-2017-5123

Malware Corner

p. 12 Cadeaux de Noël aux reversers

Pentest Corner

p. 16 Utilisation de PowerSploit dans la vraie vie

Dossier

p. 24 Préambule
p. 25 Blockchain, nouveau paradigme de la sécurité ?
p. 34 Wallet Parity : exploitation d'une vulnérabilité à 30 millions de dollars
p. 42 Sécurité des portefeuilles légers Bitcoin
p. 46 Minage indésirable

Code

p. 58 Voyage en C++ie : les objets

Cryptographie

p. 66 Attaques par faute

Système

p. 66 MAC Adress Randomization : tour d'horizon

Réseau

p. 74 Analyse des configurations SSL/TLS de serveurs SMTP

edito :

Apocalypse et médiatisation en sécurité informatique

Tout d'abord, et pour reprendre les lignes du dernier édito, dans le cadre du retour aux sources de la ligne éditoriale de MISC, je vais focaliser les thématiques traitées dans les dossiers sur des aspects purement techniques. Bien entendu, certaines seront liées à de nouvelles tendances et comporteront parfois des approches générales du point de vue de la sécurité (conteneurs, blockchain). Tandis que d’autres seront déjà connues, mais avec une approche plus pointue dans les sujets traités (spoil : si tout se passe bien, le prochain dossier sera sur les attaques par canaux auxiliaires avec, au menu, de la crypto, mais aussi des attaques sur les caches – tiens donc !).

Nous sommes à peine quelques mois après l’annonce de Meltdown et Spectre en ce début d’année 2018, et l’on peut déjà rajouter un nouvel épisode à la série des apocalypses en sécurité informatique. XKCD [0] nous a d’ailleurs fait le plaisir de fuiter sa liste des futures CVE qui nous attendent cette année. Pour rappel, la fin du monde, en sécurité, c’est quand il y a eu tellement de progrès technique que nous ne sommes plus capables de corriger une faille sans avoir à changer une partie du système. Notez bien toute l’ironie du propos. Mais il ne faut pas tomber ici dans un relativisme qui mettrait sur un même pied d’égalité Meltdown/Spectre avec les failles qui ont connu un tant soit peu de médiatisation depuis que l’on a mis du marketing dans la boucle du responsible-disclosure.

Entre Heartbleed, Shellshock, une vilaine sqli dans Drupal ou WordPress, des flots d’attaques sur des implémentations de TLS, du RCE dans flash, de l’escape de VM sous Xen, du RCE sur Android, MS17-010 ou encore un mot de passe vide pour devenir root sur OSX : il faut tout de même convenir qu’avec Meltdown/Spectre, on a affaire à des vulnérabilités qui risquent de vivre un peu plus longtemps tant il va être compliqué, et c’est un euphémisme, de mettre à jour l’ensemble de ce qui est impacté (un peu près tout ce qui utilise un CPU : téléphones, routeurs, etc.). Cela va être d’autant plus compliqué du fait qu’il n’existe simplement pas de solution permettant de corriger entièrement le problème pour Spectre sur les systèmes existants, seulement quelques contre-mesures rendant plus difficile l’exploitation de la faille. La règle d’or qui consiste en l’application des mises à jour ne va pas tout résoudre, et nous ne sommes très certainement qu’au début d’une tendance qui va voir naître de plus en plus d’attaques visant le matériel, et donc une difficulté à trouver des remèdes logiciels efficaces. Mais qu’en est-il de l’impact réel de ces failles ? Car tout le monde n’est pas fournisseur de cloud (le prérequis pour exploiter la faille étant de pouvoir exécuter du code), et il est encore un peu tôt pour estimer les dégâts causés par ces vulnérabilités. La surmédiatisation des failles de sécurité entraînant la nécessaire expression des experts, Spectre et Meltdown ont connu un bel épisode les plaçant certainement devant l’invasion de sauterelles dans les évènements apocalyptiques. « Le Mensonge et la Crédulité s'accouplent et engendrent l'Opinion », écrivait Paul Valéry. Pour ceux qui cherchent une réflexion de qualité avec des explications accessibles sur Meltdown/Spectre, je vous conseille chaudement la lecture du billet Colin Percival sur le sujet [1].

Émilien Gaspar / gapz / eg@miscmag.com

[0] https://m.xkcd.com/1957/

[1] http://www.daemonology.net/blog/2018-01-17-some-thoughts-on-spectre-and-meltdown.html

A propos du magazine
Logo

LE MAGAZINE POUR LES EXPERTS DE LA SéCURITé informatique multiplateformes

Face à la transformation digitale de notre société et l’augmentation des menaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 15 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.

Déjà vus

Nouveaux produits