Exploit Corner

p. 06  Analyse du contournement de KTRR

Malware Corner

p. 12  Introspection et analyse de malware via LibVMI

IoT Corner

p. 20  Hacking IoT : test d’intrusion d’une caméra connectée

Dossier

p. 30  Préambule
p. 31  Namespaces et seccomp BPF : un zoom sur la conteneurisation Linux
p. 39  Qubes OS : un système d’exploitation raisonnablement sécurisé
p. 51  Sécurité de Debian Buster

Réseau

p. 58  Silent wire hacking : écouter le trafic sur les liens ethernet

Système

p. 66  L’en-tête HPKP pour sécuriser un peu plus les connexions sur Internet ?

Organisation & Juridique

p. 76  Guide de survie juridique : comment réagir en cas d’intrusion ?

La Blockchain ou les habits neufs de l’empereur

Je crois qu’aucune technologie ne m’a jamais laissé aussi circonspect que la Blockchain (ou chaîne de blocs). Une technologie dont tout le monde a entendu parler alors qu’elle est conceptuellement particulièrement complexe, que tout le monde veut utiliser alors que le champ d’application est particulièrement réduit et inadapté, ou tout du moins inefficace, pour la plupart des usages.

Nous avons d’un point de vue conceptuel une merveille d’élégance, un système réussissant à faire émerger l'harmonie au milieu du chaos. En effet, la Blockchain est une base de données réussissant le tour de force d’apporter un très haut niveau d’intégrité, de disponibilité et de preuve dans un environnement où personne ne peut se faire confiance. La perfection n’étant pas de ce monde, les performances en écriture sont très limitées et la consommation énergétique liée aux preuves de travail problématique. De plus, comme souvent lorsque les exigences de disponibilité et d’intégrité sont très fortes, la confidentialité est difficilement assurée. Ce dernier point étant d’ailleurs rayé d’un coup de plume, en effet, par conception les chaînes de blocs sont publiques. Ce n’est qu’à ce prix qu’elles peuvent être répliquées à l’infini. Elles sont ainsi toujours disponibles et l’authenticité de leur contenu est vérifiable par chacun.

Implémentée pour la première fois à grande échelle avec le Bitcoin, la viabilité du modèle théorique a été démontrée de manière particulièrement éblouissante. Dix ans après sa création, cette Blockchain évolue de manière totalement autonome, les auteurs l’ayant conçu pour qu’elle soit totalement décentralisée et coupée de ses créateurs qui ne peuvent plus la modifier. 

La flambée du Bitcoin ayant été très largement relayée par les médias, le terme de Blockchain a fini par être connu auprès du grand public et des décideurs qui se sont convaincus que c’était un truc important et qu’il fallait forcément en être. Si bizarrement aucun haut fonctionnaire ou cadre dirigeant n’a jamais convoqué son directeur informatique pour s’inquiéter de l’existence de projets intégrant des bases de données NoSQL, il en est tout autre pour la Blockchain. Combien de DSI se sont entendus dire ces derniers mois « J’espère que l’on n’est pas en train de rater le coche de la Blockchain, je veux d’ici la fin du mois un projet et on va mettre toutes les équipes de Com dessus »? Combien d’entre nous se sont retrouvés dans des réunions ubuesques où une personne, sans aucune compétence en informatique, voulait absolument utiliser la Blockchain comme base de données sans comprendre ni l'intérêt du système ni tous les inconvénients :

« Bon les gars, vous savez que nous devons développer une nouvelle application de gestion des fiches de paie ? La direction a insisté pour qu’elles soient stockées sur la Blockchain. Ils ont eu une présentation aux Assises de la sécurité et on leur a dit qu’avec cette techno les données sont infalsifiables et ne seront jamais perdues.

- Ils veulent rendre publiques les fiches de paie de toute la boite ? Qu’on les publie sur la Blockchain du Bitcoin ou d’Ethereum ?

- Mais non, c’est super confidentiel, on va faire tourner ça sur notre Cloud privé.

- OK, j’ai récupéré un vieux serveur sur lequel on faisait tourner nos bases de données. On va installer VirtualBox et faire tourner trois ou quatre VM avec Ethereum ça devrait suffire.

- Super ! Avec ça on est certain de ne jamais les perdre. On va pouvoir numériser toutes les archives et libérer un bureau. »

Bonne lecture et en vous souhaitant de beaux projets Blockchain en 2019 !

Cedric Foll / cedric@miscmag.com / @follc