Misc HS 22

Sécurité système & logiciel

Exploitation et contre-mesures

Plus de détails

14,59 € TTC

 
Sommaire :

Actus

p. 08 Côté livres
p. 10 Entretien avec Nicolas Ruff, acteur historique du monde de la sécurité informatique

Radio logicielle

p. 18 Identification automatique de signaux grâce à la fonction d’autocorrélation

Dossier : Sécurité système & logiciel

p. 36 Return oriented programming 101
p. 52 Du code et des coquilles : fondamentaux pour l’écriture de shellcodes
p. 66 En sécurité sous les drapeaux
p. 76 Dora au pays du kernel debugging
p. 90 Use-After-Free dans le noyau Linux

Système

p. 102 Introduction aux TPM (Trusted Platform Modules)
p. 112 Applications des TPM

Réseau

p. 120 Avec le Spanning Tree Protocol, suis-je en sécurité dans mon réseau ?

Édito :

Des fondamentaux

Computer science is no more about computers than astronomy is about telescopes, biology is about microscopes or chemistry is about beakers and test tubes. 

Michael R. Fellows et Ian Parberry

La bonne connaissance de son domaine, tant du point de vue historique que sur les enjeux techniques actuels, permet de trouver des solutions élégantes aux problèmes auxquels nous sommes confrontés. Plus encore, il permet d’éviter de réinventer la roue ou le fameux syndrome « not invented here », mais aussi de connaître les limites des solutions envisagées. Une réflexion pertinente autour de la sécurité, qui touche de très nombreux domaines pour ne pas dire tous, nécessite donc un savoir généraliste important. Seulement, même si questionner les grands paradigmes de l’informatique ou de la science est ancré dans l’ADN de ce que l’on a appelé « hacking » (les moins jeunes se rappelleront d’ezines qui contenaient parfois autant de philosophie ou récits d’expériences que de techniques pures), il manque un bout du puzzle. Quand bien même l’on a appliqué la notion de hacking à de nombreux domaines qui ne sont pas liés à l’informatique, il faut admettre qu’il s’agit plus d’un vernis pour « faire cool » ou pour vendre que d’une réelle réappropriation de connaissances particulières ou de proposer une approche singulière.

Les fondamentaux, qu’il s’agisse d’informatique ou autre, ne reposent pas uniquement sur des choix techniques. Et c’est bien là qu’il y a un angle mort. Comment questionner un domaine si l’on ignore ses paradoxes et la manière dont on les a dépassés ? Car les directions prises sont autant d’intuitions et de subterfuges afin de contourner des problèmes qui semblaient indépassables. La première partie du 20ème siècle en mathématiques regorge d’exemples, tel que le paradoxe de Russell (cf. le paradoxe du barbier) où l’une des solutions apportées par ce dernier, la fameuse théorie des types, est empreinte de philosophie. Le cloisonnement entre les sciences n’était pas ce qu’il est aujourd’hui et bien des scientifiques portaient de nombreuses casquettes (juriste, personnalité politique, philosophe, etc.). Derrière un certain mythe de la démocratisation de la connaissance, il y a une surspécialisation autant qu’il y a une perte des savoirs. Combien d’ingénieurs connaissent bien l’histoire de leur domaine ? Combien de développeurs peuvent expliquer les choix, les paradigmes des langages qu’ils utilisent ? Certes, certains auront parfois assisté à des cours de philosophie des sciences ou auront lu un peu de critique, mais l’effort investi ne permet pas plus qu’une simple introduction. Le fossé entre ceux qui analysent un domaine et ceux qui le pratiquent est énorme. L’épistémologie, un domaine qui nous permet entre autres de comprendre la production de la connaissance, a beau toujours avoir une science de retard, en faire l’économie c’est prendre le risque de répéter infiniment les mêmes erreurs.

Derrière le côté tragi-comique de cette répétition, la sécurité informatique se nourrit de ces erreurs. L’enjeu de la compréhension des fondamentaux est d’autant plus crucial que l’informatique représente l’une des choses les plus complexes jamais produites. Halvarflake nous rappelait d’ailleurs dans l’une de ses excellentes keynotes [0] que produire un device simple est beaucoup plus coûteux que de produire un device complexe et de simuler une forme de simplicité. Inutile de rappeler le rôle de la complexité et son impact dans le monde de la sécurité ni celui de l’aspect financier. Même si l’on peut trouver des raisons valables à l’existence de ces problèmes (le marché, la rétrocompatibilité ou que sais-je), en sortir nécessitera a minima de comprendre comment et pourquoi nous nous sommes retrouvés là !

Émilien GASPAR / gapz / eg@miscmag.com

[0] Security, Moore’s law, and the anomaly of cheap complexity, CyCon 2018

A propos du magazine
Logo

LE MAGAZINE POUR LES EXPERTS DE LA SéCURITé informatique multiplateformes

Face à la transformation digitale de notre société et l’augmentation des menaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 15 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.

Déjà vus

Nouveaux produits