Sécurité

Il faut rendre les notifications d’incidents de sécurité obligatoires

Sénat (GNU FDL)
Retour sur le Paquet télécoms

J’évoquais voilà un an la volonté émise par l’Union européenne de rendre obligatoire la notification des incidents de sécurité dont sont victimes les opérateurs de communications électroniques, lorsqu’ils ont un impact sur des données personnelles. Cette disposition a été adoptée lors du vote final du « Paquet télécoms » au mois de novembre 2009 (un article à ce sujet et un résumé des dispositions sur le site de l’Union européenne).

La proposition de loi Détraigne/Escoffier

La France pourrait adopter très rapidement une telle disposition. En effet, une proposition de loi « visant à mieux garantir le droit à la vie privée à l’heure du numérique » (voir le dossier législatif), a été déposée au Sénat par M. Yves Détraigne et Mme Anne-Marie Escoffier et elle sera débattue dès ce 23 mars. Ce texte a pour objectif affirmé d’appliquer dès que possible un certain nombre de dispositions du Paquet télécoms. La commission des lois a déposé son rapport le 24 février dernier. On trouve dans ce texte plusieurs mesures portant notamment sur:

l’information des usagers sur l’utilisation des données personnelles (notamment sur le régime des cookies) ;
le droit à l’oubli ;
une clarification du statut de l’adresse IP ;
et l’obligation pour tous les responsables de traitements de données à caractère personnel de notifier la CNIL en cas d’atteintes à ces traitements.

Plus précisément, après l’examen par la commission des lois, l’article 7 serait ainsi rédigé :

L’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :

« Art. 34. – Le responsable du traitement met en oeuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel traitées contre toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation, la diffusion, le stockage, le traitement ou l’accès non autorisés ou illicites.

« En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant « informatique et libertés », ou, en l’absence de celui-ci, la Commission nationale de l’informatique et des libertés. Le correspondant « informatique et libertés » prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l’intégrité et de la confidentialité des données et informe la Commission nationale de l’informatique et des libertés. Si la violation a affecté les données à caractère personnel d’une ou de plusieurs personnes physiques, le responsable du traitement en informe également ces personnes. Le contenu, la forme et les modalités de cette information sont déterminés par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés. Un inventaire des atteintes aux traitements de données à caractère personnel est tenu à jour par le correspondant « informatique et libertés ».

« Les dispositions du présent article ne s’appliquent pas aux traitements de données à caractère personnel désignés à l’article 26.

« Des décrets, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés aux 2° et 6° du II de l’article 8. »

C’est un réel progrès par rapport aux dispositions prévues dans la directive européenne. En effet, celle-ci se limite, à cause de son contexte, aux opérateurs de communications électroniques. La proposition de loi est ici plus rationnelle en ce qu’elle fait peser les mêmes responsabilités à tous les responsables de traitement.

A quelle situation cherche-t-on à répondre ?

Sans vouloir faire de reproches à l’un ou l’autre, les pays qui ont de tels régimes de notification nous montrent qu’en réalité ce ne sont pas les opérateurs qui rencontrent le plus d’incidents, mais beaucoup plus souvent les professionnels du commerce électronique. Certainement parce qu’ils sont beaucoup plus nombreux que les opérateurs de communications électroniques et peut-être parce que la sécurité des traitements de données personnelles y est malheureusement parfois jugée moins prioritaire ou trop coûteuse.

Ainsi, on apprenait vendredi que les clients du groupe hôtelier Wyndham ont été victimes pour la troisième fois (!) d’une attaque réussie contre le système d’information de cette entreprise. Et les exemples sont extrêmement nombreux aux Etats-Unis, à cause de l’obligation de notification qui tend à se généraliser (avec à la clé un projet de législation fédérale). Ainsi, le site databreaches.net (qui affiche comme titre presque comme un service fédéral « Bureau de la sécurité inadaptée« ) se fait fort de référencer toutes les attaques qui touchent des données personnelles.

En Europe des alertes semblables sont rares, en France elles sont quasi inexistantes. Pourtant, certains sites d’information se font fort de mettre en avant les failles de sécurité (et j’avais expliqué les risques juridiques inhérents à cette activité ici). En octobre dernier, une attaque réussie contre un commerçant espagnol avait des répercussions jusqu’en Finlande. Encore en Finlande, on apprenait cette semaine que près de 100.000 références bancaires ont été dérobées dans les ordinateurs d’un commerce.

Lorsque les clients sont avertis d’un tel incident avéré, cela leur permet de prendre des mesures. Par exemple, lorsque cela concerne leur numéro de carte bancaire, ils peuvent procéder à des vérifications plus approfondies qu’à l’habitude sur leurs relevés de compte et si nécessaire demander le renouvellement de leur carte compromise.

Enfin, il est très rare qu’une entreprise soit poursuivie au titre de l’article 226-17 du code pénal (pour défaut de sécurisation d’un traitement de données à caractère personnel). Non pas parce que de telles situations n’arrivent pas, mais très clairement, lorsqu’on compare au nombre d’incidents qui surviennent ailleurs dans le monde, parce qu’elles restent confidentielles. Je ne souhaite pas la multiplication de telles enquêtes, mais lorsqu’elles sont justifiées, la nouvelle rédaction de l’article 34 de la loi informatique et libertés sera soit plus dissuasive, soit plus facile à appliquer.

Cette proposition de loi remplit donc plusieurs objectifs :

rendre plus opérationnelle et plus claire l’obligation de sécurisation prévue par l’article 34 de la loi informatique et libertés ;
sensibiliser plus avant les responsables de traitement sur leurs obligations, ainsi que sur le rôle que peut jouer dans cette affaire le correspondant informatique et libertés ;
enfin, à permettre aux victimes d’être effectivement informées et de prendre toutes mesures pour prévenir un impact plus important sur leurs données personnelles.

Parmi les recommandations que je donnerais aux responsables de traitement – et donc aussi aux correspondants informatique et libertés qui sont mis en avant dans la proposition de loi – c’est de ne pas hésiter à déposer plainte lorsque de tels incidents sont découverts. En effet, le meilleur remède à ces attaques est de pouvoir en interpeller les auteurs et il ne nous est pas possible de le faire sans recueillir des preuves auprès des victimes et sans initier des enquêtes.

Koobface, un écosystème cybercriminel ou le conte des Mille et une nuits ?

Dancho Danchev revient dans son blog chez ZDNet sur le ver « Koobface ». Je vous propose un résumé de son article et quelques pointeurs.

Description de Koobface

Koobface est un ver qui utilise comme mode de propagation la messagerie du réseau social Facebook, mais aussi – selon les variantes – Twitter, hi5, Myspace, Bebo et Friendster. Les victimes sont redirigées vers un site où une mise à jour d’Adobe Flash leur est proposée qui est en fait un logiciel malveillant. (Pour plus d’informations voir l’article de Wikipédia en anglais, l’étude de Trend Micro publiée en Juillet 2009, ou cet article très détaillé sur abuse.ch de décembre 2009).

Dix informations intéressantes sur Koobface

Dancho Danchev nous explique que le botnet créé par Koobface n’est que le sommet de l’iceberg des activités menées par le groupe criminel qui gère Koobface au travers de dix informations intéressantes qu’il a pu collecter sur leur activité au cours des derniers mois.

On y découvre

des liens avec le botnet « Bahama »,
avec la publication en septembre dernier de faux messages publicitaires sur le site Web du New York Times
ou avec une attaque massive de type SEO (voir l’article que j’avais écrit sur ces techniques l’an dernier) contre près d’un million de sites Web en novembre dernier,
mais aussi des stratégies pour abuser les victimes utilisant MacOSX,
et des essais de différentes variantes d’attaques, et la diversification de ses moyens de propagation (Skype).

On note en lisant son article qu’une véritable guerre est menée entre Dancho Danchev et ce groupe, dont le blog a été l’objet d’attaques ciblées en déni de service distribué. Selon Danchev, il s’agit ici encore d’un groupe criminel d’origine Ukrainienne (j’avais évoqué l’entreprise aux activités louches qu’a mis au jour récemment François Paget lors du panorama sur la cybercriminalité du Clusif), qui se présente sous le sobriquet d’Ali Baba.

La suite des aventures, très sûrement dans les mois à venir, sur le blog de Dancho Danchev.

24 février 2010 by Éric Freyssinet Cybercriminalité Sécurité 1

Panorama Cybercriminalité 2009 du CLUSIF

Le CLUSIF présentait mercredi 13 janvier 2010 son panorama 2010 sur la cybercriminalité. Je n’étais pas sur la scène cette année, en effet nous avions invité Isabelle Ouellet de la Sûreté du Québec pour représenter les services d’enquête. A noter enfin les travaux présentés par François Paget sur une société Ukrainienne.

La présentation est disponible en téléchargement sur le site du Clusif et la vidéo le sera d’ici quelques jours.

Comme chaque année, il s’agit d’offrir un regard sur les événements de l’année passée en matière de cybercriminalité et de sécurité des systèmes d’information et d’envisager leur impact sur la France en particulier pour l’année ou les années à venir. L’ensemble des membres du groupe de travail ont alternativement pointé des faits d’actuailité de 2009 qui leur semblaient importants, en ont discuté, et ensuite un certain nombre d’entre nous ont été choisis pour les présenter. Le travail s’est donc enrichi cette année par l’apport de personnalités étrangères (notamment canadienne et roumaine) et par un rallongement de la présentation pour intégrer les risques numériques.

En italique mes commentaires personnels éventuels.

Sécurité du GSM: Alain THIVILLON (Consultant chez HSC) a présenté les risques autour de la confidentialité des communications GSM qui ont été dévoilés cette année. Une raison de plus de s’intéresser en 2010 aux risques inhérents aux terminaux mobiles (systèmes d’exploitation plus ouverts, logiciels malveillants, connexion permanente…).
Services généraux sur IP: sécurité périmétrique ou incendie, réseaux de commande industrielle, gestion de l’alimentation électrique, etc., l’ensemble des services généraux basculent dans le monde IP et il devient de plus en plus criant que la sécurité de ces services contre les atteintes classiquement rencontrées dans les réseaux IP n’est pas prise en compte. La présentation reprend des cas concrets d’atteintes à des systèmes de vidéo surveillance notamment.
Câbles et ruptures de service: Pascal LOINTIER (Président CLUSIF) reprend alors la parole pour rappeler les différents incidents survenus en 2009 sur des infrastructures de réseau ou d’énergie transcontinentales ou locales. Il conclut sur la nécessité de toujours prévoir une double adduction sur les sites critiques.
Cloud computing: Les offres d’hébergement mutualisé « dans le nuage » ont de plus en plus de succès, qu’il s’agisse de gestion complète de son courrier électronique, de son back office ou de sa présence commerciale. Le but de cette évocation est de rappeler qu’il s’agira toujours d’hébergement physique avec les risques inhérents et qu’il faudra toujours y regarder de près quant au lieu de stockage des données (risques juridiques et sécuritaires) ou aux garanties de reprise d’activité: la délégation de la sécurité ne veut pas dire sécurité absolue.
ANSSI – retour d’expérience sur une attaque en déni de service: après avoir présenté la nouvelle agence créée en juillet 2009, qu’il a rejointe à ce moment-là pour diriger le CERTA, Franck VEYSSET est revenu sur les enseignements de la gestion d’une attaque en déni de service contre un serveur Web de l’administration. L’impact sur l’ensemble des services de messagerie ou même d’accès Internet a été immédiat et la réponse a été tant technique que judiciaire. Ainsi, des règles de routage (blackholing) ont permis au bout de quelques heures de diminuer l’impact et l’enquête judiciaire a conduit dans les jours suivants à la saisie d’ordinateurs qui servaient en France – à leur insu – à relayer cette attaque. Virut semblerait être le logiciel malveillant exploité pour exercer cette attaque.
Réseaux sociaux, menaces opportunités et convergence: Yann LE BEL (SNCF). On ne peut plus en douter aujourd’hui, au-delà de leur usage classique, les réseaux sociaux sont le lieu de tous les phénomènes sécuritaires des années à venir (gestion des conflits sociaux, communication des groupes criminels, rencontre avec les victimes, atteinte à l’image ou à la vie privée, diffusion de logiciels malveillants et autres méthodes d’escroquerie, etc.). 2010 devrait confirmer cette tendance et on peut parier sur une explosion de l’actualité sécuritaire autour des réseaux sociaux.
Carte bancaire: Fabien DAVID (Telindus), la carte bancaire est l’objet de toutes les attentions en 2009. La carte à puce EMV n’est toujours pas universelle, le modèle de sécurité PCI est discuté, les malwares apparaissent sur les guichets automatiques de banque et certains schémas ne résistent pas au passage à l’an 2010… Beaucoup de travail en vue pour les spécialistes.
Web 2.0, le 5ème pouvoir: Isabelle OUELLET (Sûreté du Québec) questionne l’impact du WEB 2.0 sur la société et l’émergence d’un cinquième pouvoir qui vient remettre en cause le pouvoir des médias, des gouvernements, et notamment des services de police. Sont cités notamment des cas de justice populaire numérique.

Une entreprise criminelle au microscope

Petite particularité pour cette année avec la présentation de François PAGET (McAFEE Labs) des résultats de ses recherches (avec un autre expert Dirk KOLLBERG) sur une entreprise ukrainienne aux activités manifestement douteuses et parfois illégales.

I[…] – et les sociétés qui lui sont directement liées (I[…], V[…], W[…], K[…], …) – produit notamment des faux antivirus et autres spywares ou scarewares (voir par exemple cet article sur Wikipédia). Pendant plusieurs mois ces experts ont amassé des dizaines de gigaoctets de documents sur les activités de cette société et exploré sa présence sur les réseaux sociaux.

Les enseignements: cette société a pignon sur rue, est organisée comme n’importe quelle SSII, recrute dans les grandes universités ukrainiennes (et certains de ses anciens employés sont maintenant dans de grands groupes internationaux) et elle réalise un chiffre d’affaires ahurissant (180 millions de dollars en un an). Elle dispose même d’un support technique pour ses clients malheureux, destiné à les arnaquer dans la durée !

Affaire à suivre donc !

Enquête sinistralité

Dans l’actualité du CLUSIF, le lancement de son enquête 2010 sur la sinistralité. L’enquête se déroulera au cours des six semaines à venir auprès des grandes entreprises et des administrations. A partir de mars, un groupe de travail étudiera les résultats de cette enquête.

16 janvier 2010 by Éric Freyssinet Cybercriminalité Prospective Sécurité 2

Attaque contre A5/3 / Kasumi ?

Un court point sur ce dossier. J’avais évoqué il y a quelques jours l’attaque présentée par Karsten Nohl au 26C3 contre A5/1, le protocole utilisé par la liaison radio des connexions GSM 2G. Des scientifiques israéliens ont publié un article (A Practical-Time Attack on the A5/3 Cryptosystem Used in Third Generation GSM Telephony, Orr Dunkelman, Nathan Keller, et Adi Shamir – le Shamir du RSA) dans lequel ils décrivent une attaque dite en « sandwich » contre le protocole de chiffrement A5/3 (ou Kasumi) des réseaux GSM de troisième génération (et qu’on peut éventuellement adapter aux réseaux 2G, ce que l’attaque réussie contre A5/1 rendrait urgent selon certains spécialistes).

Il semblerait qu’il faille un grand nombre (plusieurs millions) de messages « à clair connu » pour réaliser en pratique cette nouvelle attaque, ce qui correspondrait en réalité à une très très très longue conversation ;
En conclusion de leur article, les auteurs rappellent que leur démonstration ne conduit pas à dire qu’on peut facilement attaquer Kasumi/A5/3 tel qu’implémenté dans les réseaux GSM, mais que la conception même de Kasumi (dérivé de Misty1) a introduit des défauts qui le fragilisent grandement (défauts dont ne souffrirait pas Misty1).

Donc: non, A5/3 ou Kasumi n’est pas encore craqué, en revanche ses fondements sont fragilisés.

13 janvier 2010 by Éric Freyssinet Sécurité 0

Conférences cyber des semaines à venir

Quelques conférences cyber des semaines à venir :

Demain, 13/01/2010, 15h, Cercle national des armées, Panorama de la Cybercriminalité – Bilan de l’année 2009, CLUSIF – Club de la sécurité de l’information français ;
04/02/2010, 9h à 17h15, ISEP, Université des correspondants informatiques et libertés (CIL), AFCDP – Association française des correspondants aux données personnelles ;
31/03 et 01/04/2010, Lille Grand Palais, 4ème Forum international sur la cybercriminalité, Gendarmerie nationale, avec le soutien financier de la Commission Européenne.

N’hésitez notamment pas à vous inscrire nombreux au FIC 2010.

12 janvier 2010 by Éric Freyssinet Cybercriminalité Prospective Sécurité 1

Palmarès des bugs de l’an 2010

Les deux bugs qui tiennent la corde pour le bug d’or de l’an 2010 ont tous les deux un impact sécuritaire: la carte bancaire allemande et l’antivirus de Symantec. Mais la liste ne s’arrête pas là…

La carte bancaire allemande

Beaucoup d’allemands ont eu la surprise dès le 1^e janvier 2010 de ne plus pouvoir payer ou retirer de l’argent avec leur carte bancaire. Plus de 23 millions de cartes sont concernées, que ce soit dans leur fonction de retrait ou d’achat. Le masque d’application de leur puce refuse de valider toute transaction relative à une date de 2010. On ne sait pas encore exactement quel est le défaut dans la programmation. Une routine de comparaison ? Un mode de stockage de la date ?

En tous cas, le fait que seules des cartes allemandes soient concernées, alors que les cartes françaises par exemple utilisent aussi le standard EMV (Europay Mastercard Visa) et son masque applicatif, peut nous permettre de présupposer qu’une personnalisation spécifique est en cause et non le standard EMV lui-même.

Gemalto, producteur des cartes bancaires en cause, a publié un communiqué de presse évoquant les mesures en cours de développement pour apporter une solution aux millions de porteurs, tandis que les banques ont dû modifier – de façon temporaire – le programme des terminaux et guichets automatiques pour accepter ces cartes.

Oberthur a quant à lui publié son propre communiqué de presse pour confirmer que ses cartes n’étaient pas concernées…

Un premier bug donc avec un impact assez fort sur une population qui est culturellement peu favorable aux paiements par carte bancaire (les allemands ont toujours préféré les paiements en liquide et utilisaient jusqu’à récemment surtout des cartes de retrait et très peu les cartes de paiement). Il faudra en tirer les leçons : l’évaluation sécuritaire des cartes bancaires à puce doit absolument contrôler les bugs applicatifs.

Les mises à jour Symantec

Le processus de mise à jour de certains produits de sécurité de la société Symantec (plus précisément ceux qui sont basés sur Symantec Endpoint Protection Manager) n’accepte plus les définitions de virus postérieures au 31 décembre 2009, 23:59:59… The Register publie deux articles à ce sujet le 05 janvier et le 09 janvier.

Symantec tient à jour des informations sur son site. En attendant qu’une correction soit apportée aux logiciels déployés, des mises à jour datées du 31/12/2009 avec un numéro de version qui croît maintenant rapidement ont été publiées, qui devraient être acceptées. De nombreux produits sont concernés: anti-virus, contrôle d’accès, protection contre les intrusions, et ce essentiellement pour des produits destinés à un environnement professionnel. Il semble que les administrateurs des clients concernés, qui basent leurs contrôles sur la date de mise à jour de l’anti-virus sur les postes de travail, vont avoir rapidement des soucis pour autoriser l’accès de leurs usagers au réseau.

Il semble qu’ici il s’agisse d’une erreur dans la routine qui compare les dates…

Autres bugs moins graves

SpamAssassin est un produit qui permet de filtrer les messages indésirables. Un bug a été détecté (voir ce court article ou celui-ci) dans une des routines attribuant des points supplémentaires aux messages simplement parce qu’ils étaient datés à partir de 2010 et ils se retrouvaient tous dans la boîte à Spam (le but de cette fonction était d’attribuer des points par défaut aux messages dont la date est trop éloignée) ! L’erreur avait été signalée plusieurs mois auparavant, mais incorrectement corrigée.

Espérons que la liste des bugs liés au passage à 2010 s’arrête là.

9 janvier 2010 by Éric Freyssinet Sécurité 1

Fin du feuilleton de la faille TLS/SSL ?

En Novembre était révélée une faille dans le protocole de sécurité TLS/SSL (dite faille de la renégociation). C’est Marsh Ray (de la société Phonefactor) qui avait fait cette découverte (mon article sur ce sujet) et plus tard, elle avait pu être exploitée contre Twitter (et le deuxième article ici).

L’IETF vient donc d’annoncer la validation de la modification apportée à la RFC du protocole TLS, comme nous le révèle Marsh Ray sur son blog. En résumé, il s’agit de la correction au protocole telle qu’elle avait été proposée initialement. Elle devra être appliquée tant sur les serveurs (les serveurs Web notamment) que sur les clients (vos navigateurs). Vous risquez donc de voir apparaître dans le futur des messages d’avertissement sur des connexions vers des serveurs en https:// dont la sécurité n’aura pas encore été renforcée.

9 janvier 2010 by Éric Freyssinet Sécurité 0

26C3 – Conférence du CCC à Berlin (4 et fin)

Le 26C3 s’est donc terminé mercredi par un certain nombre de présentations intéressantes:

Mercredi

Mathias Payer, « SecuBT: Hacking the hackers with user-space virtualisation« , une plate-forme de virtualisation destinée à sécuriser l’exécution de code suspect (page Web du projet).
hunz, « Finding the key in the haystack: a practical guide to differential power analysis« , une présentation didactique sur les méthodes d’attaque des implémentations de chiffrement par analyse différentielle de la consommation.

Voilà ce que j’ai pu noter pendant ces quatre jours de présentations accessibles en ligne. Les ateliers et autres événements auxquels ne pouvaient évidemment accéder que les personnes présentes sur place diffusent quand même un certain nombre d’informations.

Enfin, vous pouvez visualiser les présentations diffusées maintenant sur CCC-TV. Cet article clôture donc ma revue du 26C3.

4 janvier 2010 by Éric Freyssinet Prospective Sécurité 2

Bonne année 2010 !

Que tous vos vœux se réalisent.

http://www.flickr.com/photos/queen_of_scum/ / CC BY-NC 2.0

1 janvier 2010 by Éric Freyssinet Actualité judiciaire Criminalistique numérique Cybercriminalité Juridique Prospective Sécurité 0

26C3 – Conférence du CCC à Berlin (3)

Troisième jour de cette conférence et la sélection que je vous en propose.

Mardi

Erik Tews, « DECT (part II), what has changed in DECT security after one year« . Auteur d’attaques contre WPA/TKIP (voir cet article), Erik Tews faisait le point (avec Karsten Nohl) une année après une présentation faite au 25C3 sur les défauts de sécurité du chiffrement DSC et DSAA utilisés par le standard de communication sans fil DECT (http://www.dedected.org/). Cette année, ils exposent des scénarios d’attaque contre DSC et le DECT Forum a d’ailleurs annoncé par avance un certain nombre d’évolutions à venir dans le standard.
Andrew Strutt (rodent) et DaBeave, « DDoS/botnet mitigation & hosting online communities« , sur l’impact des Botnets sur les communautés en ligne. En réalité une présentation très concrète sur la façon de sécuriser un serveur de communauté en ligne (forums Web, serveur IRC, etc…) contre les attaques typiques que peuvent créer les botnets et autres sources de problèmes.
Harald Welte, « Using OpenBSC for fuzzing of GSM handsets« , sur le développement d’OpenBSC, les découvertes sur les difficultés des implémentations des protocoles du GSM et les potentialités en termes d’expérimentation de sécurité.
Steven J. Murdoch, « Optimised to fail« , sur la sécurité des lecteurs de carte bancaire anglais destinés au commerce ou à la banque en ligne. Il propose un certain nombre de pistes d’amélioration.
Moti Yung, « Yes we can’t ! On kleptography and cryptovirology« , sur les diverses utilisations des techniques de chiffrement par les logiciels malveillants. Site web sur la cryptovirologie.
Dan Kaminsky, met en évidence dans sa présentation « Black Ops of PKI » un certain nombre de défauts dans les procédures prévues par le protocole X509 sous-jacent dans la gestion des infrastructures de gestion de clés publiques. Notamment le fait que sur Internet il existe une égalité de fait des autorités de certification, que la délivrance de certificats est le plus souvent basée sur le protocole DNS (très critiqué par Kaminsky), etc. Il passe notamment un certain temps à montrer les problèmes d’implémentation liés à l’encodage ASN.1 utilisé dans les certifications X509 (par Internet Explorer notamment, mais sans préciser la version). Il finit par une promotion appuyée de DNSSEC (par ici, un commentaire d’Ivan Ristić sur cette prestation). Pas très neuf au final, déjà développé par Kaminsky à Black Hat USA 2009, Toorcon, et peut-être à d’autres conférences.

Using OpenBSC for fuzzing of GSM handsets

31 décembre 2009 by Éric Freyssinet Prospective Sécurité 1