1 – Quels sont les apports du langage Rust en matière de sécurité ?
2 – Les options de compilation de GCC pour sécuriser vos programmes
3 – Cacher un malware dans le code source d’une application C avec Unicode
En savoir plus12,90 € TTC
p. 06 Récit de la compromission d’Elyze, l’appli #1 de l’élection présidentielle
p. 12 Vulnérabilités Windows : protéger votre mot de passe
p. 24 Analyse statique des exécutables Windows : la structure PE
p. 30 Introduction
p. 31 Langages de programmation et sécurité informatique
p. 40 Les options de compilation : Fun with Flags
p. 48 Cheval de Troie : retour aux sources
p. 52 Vigrid, un Cyber Range français
p. 64 SWEETLEMONADE : un bootkit pour les firmwares UEFI
p. 74 Débuter avec la Cyber Threat Intelligence à destination des blueteams
La tension sur le marché de l’emploi informatique ne cesse de se durcir depuis plusieurs années. Si le problème est multifactoriel, la cause principale reste une forte croissance des besoins en spécialistes comparativement au nombre de profils disponibles sur le marché de l’emploi. Cela commence dès le lycée avec les filières scientifiques trop boudées par les lycées puis, dans l’enseignement supérieur, avec les cursus informatiques peinant toujours à attirer les étudiants et tout particulièrement les étudiantes. Ainsi, trop peu de jeunes diplômés arrivent sur le marché de l’emploi comparativement aux besoins des entreprises qui ne cessent de croître. De plus, la période COVID-19 a fait la démonstration de la possibilité d’accomplir la plupart des fonctions à distance sans impacter la productivité. Certaines entreprises sont prêtes à proposer du full remote à des salariés éloignés géographiquement, voire laisser leurs salariés résider dans un autre pays afin de réussir à trouver des talents. Si certaines entreprises parisiennes peuvent ainsi compenser leurs difficultés de recrutement en allant chercher des salariés en province sans leur imposer un déménagement, pour les employeurs en région, cette pratique assèche le vivier des ingénieurs qui avaient fait le choix de vivre éloignés de Paris. De la même manière, des entreprises américaines commencent déjà, sur certains profils, à proposer du full remote à des ingénieurs français avec des niveaux de rémunération sur lesquels les entreprises françaises auront bien du mal à s’aligner. Il reste à espérer pour l’industrie française que le phénomène restera marginal, car les marges ne sont pour l’instant pas les mêmes.
Évidemment, pour les ingénieurs sur le marché, qu’ils soient néo-diplômés ou expérimentés, la situation est des plus confortables notamment s’ils sont spécialisés dans certaines des filières les plus recherchées telles que la cybersécurité, le cloud ou le développement sur les stacks logicielles les plus demandées. Non seulement ils ont le choix des entreprises, mais surtout, ils sont en position de force pour négocier les conditions de leur embauche et se font démarcher au quotidien par les cabinets de recrutement qui peinent à fournir les profils recherchés à leurs clients.
Côté employeur, la situation se tend. Dans certaines structures, le réveil post-COVID19 est brutal avec des salariés refusant de revenir en présentiel, certains ayant même déménagé sans prévenir leur employeur pour un meilleur cadre de vie. D’autant que beaucoup peuvent se payer le luxe de poser leur démission avant même d’avoir trouvé un nouvel employeur, assurés d’obtenir un emploi aux conditions souhaitées avant la fin de leur préavis. Et s’il n’est jamais agréable de voir ses salariés partir, cela peut être désastreux dans le contexte actuel. Il pourrait être tentant de répondre comme Joe Biden aux entrepreneurs confrontés à ces difficultés : « Pay them more! ». Pourtant, la rapide inflation des rémunérations des ingénieurs n’est pas si simple à gérer et est source de tensions dans les équipes, quand des collaborateurs en poste voient arriver de nouveaux collègues avec des conditions bien meilleures que les leurs. Et tant que la situation ne sera pas équilibrée avec de nouvelles grilles de rémunération à peu près stables, les problématiques RH resteront complexes, avec des collaborateurs changeant très rapidement de poste et des équipes impossibles à stabiliser. En attendant, certains tentent de mettre en place des stratégies de réorientation professionnelle interne en formant leurs collaborateurs vers les métiers informatiques ou misent sur l’apprentissage en espérant qu’une fois formés, ces collègues resteront dans l’entreprise…
Et pour les plus jeunes, encore indécis quant à la filière vers laquelle s’orienter, faites de l’informatique et notamment de la cybersécurité, ce sont très certainement des métiers pour lesquels l’emploi restera pour longtemps florissant !e en acceptant de jouer contre des adversaires ne respectant pas les règles auxquelles elle se soumet.
Cédric Foll / cedric@miscmag.com / @follc
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
Je dois avouer que l’exploration des langages de programmation a toujours été pour moi une intarissable source de fascination. J’ai passé des nuits, lorsque j’étais étudiant, à découvrir de nouveaux langages et mettais un point d'honneur à proposer une solution pour les travaux pratiques dans des langages improbables. Je me suis passionné pour tous ceux qui sortaient du cadre des langages impératifs plus ou moins objet que j’abordais en cours pour me perdre dans les langages fonctionnels paresseux sans effets de bord, les langages par contraintes ou les premiers langages de scripts à typage dynamique qui commençaient à se développer tels que Ruby et Python, après avoir un peu expérimenté Perl.
Lorsque l’on compare les langages avec une optique de sécurité informatique, il est naturel de penser à Rust et son borrow checker, ou aux nombreuses erreurs de gestion de la mémoire en C. Il existe cependant de nombreux autres axes permettant de différencier les langages !
Dans le domaine de la sécurité informatique, une vulnérabilité est définie par la norme ISO 27001 comme « une faiblesse d'un actif ou d'un contrôle qui pourrait potentiellement être exploitée par une ou plusieurs menaces ». Le système d’exploitation Microsoft Windows 10 n’échappe pas à ces vulnérabilités.