Actus

p. 08 Côté livres
p. 10 Entretien avec Nicolas Ruff, acteur historique du monde de la sécurité informatique

Radio logicielle

p. 18 Identification automatique de signaux grâce à la fonction d’autocorrélation

Dossier : Sécurité système & logiciel

p. 36 Return oriented programming 101
p. 52 Du code et des coquilles : fondamentaux pour l’écriture de shellcodes
p. 66 En sécurité sous les drapeaux
p. 76 Dora au pays du kernel debugging
p. 90 Use-After-Free dans le noyau Linux

Système

p. 102 Introduction aux TPM (Trusted Platform Modules)
p. 112 Applications des TPM

Réseau

p. 120 Avec le Spanning Tree Protocol, suis-je en sécurité dans mon réseau ?

Des fondamentaux

Computer science is no more about computers than astronomy is about telescopes, biology is about microscopes or chemistry is about beakers and test tubes. 

Michael R. Fellows et Ian Parberry

La bonne connaissance de son domaine, tant du point de vue historique que sur les enjeux techniques actuels, permet de trouver des solutions élégantes aux problèmes auxquels nous sommes confrontés. Plus encore, il permet d’éviter de réinventer la roue ou le fameux syndrome « not invented here », mais aussi de connaître les limites des solutions envisagées. Une réflexion pertinente autour de la sécurité, qui touche de très nombreux domaines pour ne pas dire tous, nécessite donc un savoir généraliste important. Seulement, même si questionner les grands paradigmes de l’informatique ou de la science est ancré dans l’ADN de ce que l’on a appelé « hacking » (les moins jeunes se rappelleront d’ezines qui contenaient parfois autant de philosophie ou récits d’expériences que de techniques pures), il manque un bout du puzzle. Quand bien même l’on a appliqué la notion de hacking à de nombreux domaines qui ne sont pas liés à l’informatique, il faut admettre qu’il s’agit plus d’un vernis pour « faire cool » ou pour vendre que d’une réelle réappropriation de connaissances particulières ou de proposer une approche singulière.

Les fondamentaux, qu’il s’agisse d’informatique ou autre, ne reposent pas uniquement sur des choix techniques. Et c’est bien là qu’il y a un angle mort. Comment questionner un domaine si l’on ignore ses paradoxes et la manière dont on les a dépassés ? Car les directions prises sont autant d’intuitions et de subterfuges afin de contourner des problèmes qui semblaient indépassables. La première partie du 20ème siècle en mathématiques regorge d’exemples, tel que le paradoxe de Russell (cf. le paradoxe du barbier) où l’une des solutions apportées par ce dernier, la fameuse théorie des types, est empreinte de philosophie. Le cloisonnement entre les sciences n’était pas ce qu’il est aujourd’hui et bien des scientifiques portaient de nombreuses casquettes (juriste, personnalité politique, philosophe, etc.). Derrière un certain mythe de la démocratisation de la connaissance, il y a une surspécialisation autant qu’il y a une perte des savoirs. Combien d’ingénieurs connaissent bien l’histoire de leur domaine ? Combien de développeurs peuvent expliquer les choix, les paradigmes des langages qu’ils utilisent ? Certes, certains auront parfois assisté à des cours de philosophie des sciences ou auront lu un peu de critique, mais l’effort investi ne permet pas plus qu’une simple introduction. Le fossé entre ceux qui analysent un domaine et ceux qui le pratiquent est énorme. L’épistémologie, un domaine qui nous permet entre autres de comprendre la production de la connaissance, a beau toujours avoir une science de retard, en faire l’économie c’est prendre le risque de répéter infiniment les mêmes erreurs.

Derrière le côté tragi-comique de cette répétition, la sécurité informatique se nourrit de ces erreurs. L’enjeu de la compréhension des fondamentaux est d’autant plus crucial que l’informatique représente l’une des choses les plus complexes jamais produites. Halvarflake nous rappelait d’ailleurs dans l’une de ses excellentes keynotes [0] que produire un device simple est beaucoup plus coûteux que de produire un device complexe et de simuler une forme de simplicité. Inutile de rappeler le rôle de la complexité et son impact dans le monde de la sécurité ni celui de l’aspect financier. Même si l’on peut trouver des raisons valables à l’existence de ces problèmes (le marché, la rétrocompatibilité ou que sais-je), en sortir nécessitera a minima de comprendre comment et pourquoi nous nous sommes retrouvés là !

Émilien GASPAR / gapz / eg@miscmag.com

[0] Security, Moore’s law, and the anomaly of cheap complexity, CyCon 2018