ÉDITa Quand le sage montre la lune, l'idiot regarde le doigt

ÉDITa Quand le sage montre la lune, l'idiot regarde le doigt

Perdus entre les déboires de l'équipe de France de football (le mot « équipe » est-il d'ailleurs approprié ?) et la réforme des retraites, les rédacteurs de MISC ont décidéde changer de ligne. Maintenant, on va vendre du temps de cerveau disponible, avec des titres racoleurs et des filles à moitié nues pour parler de heap spraying.

Dossier spécial: des jeux pour l'été, et plus si affinités

I.:été,on aime bien lire des magazines inavouables sur la plage, de ceux qu'on trouve souvent chez belle-maman ou son coiffeur (bien sûr, puisqu'on ne les achètejamais).

Donc,pour soutenir la Presse, MISC fait pareil: de l'actu hot, torride, brûlante! Des scoops! Des exclus! Bref, un vrai numéro de l'été. Et comme tout numéro de l'été qui se respecte, nous vous avons concocté un cahier spécial jeux (enfin, c'est encore une foisRenaud Bidou qui s'y est collé - merci). Forcément, on a arrangé ça à notre sauce...

SSTIC 8, encore un coup de bâton

Pour la première fois en huit ans, je n'étais pas à Rennes pour cet événement incontournable. Au-delà des conférences sur lesquelles je ne porterai donc aucun jugement, je noteraijuste l'ouverture par la DGSE, un événement en soi qui marque un profond changement dans le milieu. Sans parler de la campagne de recrutement organisée par tout le monde (DGSE, ANSSI et nombreuses entreprises)...

S'il faut y voir certainement un signe de regain économique, est-ce pour autant aussi le signe d'une prise de conscience de la nécessité d'agir dans ce secteur?

Lors de son discours d'ouverture, M. Barbier, Directeur Technique de la DGSE, a reconnu que la France avait des années de retard dans la lutte offensive. Lors de sondiscours de clôture, M. Pailloux, Directeur de l'ANSSI, a présenté les défis de ce secteur,l'angle géopolitique qui l'accompagne et la difficulté à sécuriser les systèmes.

Dansces deux discours tenus par des représentants de l'État, ce qui me frappe, c'estla franchiseet la volonté d'avancer. Àtitre totalement personnel. ça me fait particulièrement plaisir,d'une part que ces paroles soient tenues, et d'autre part à SSTIC, car ça faisait partiedes objectifsque je m'étais secrètement fixés en contribuant au lancement de SSTIC.

Hapodi & Orange: quand le marketing s'emmêle?

Hélas, cette même lucidité fait souvent défaut à nos entreprises, ce qui est d'autant plus inquiétant quand elles sont opératrices d'infrastructures critiques.

Anticipant la mise en place d'HADOPI, Orange a lancé une offre à 2€ pour éviter les téléchargements. En quelques jours, il s'est passé autant de choses qu'avec l'équipe de France en Afrique du Sud:

- Le serveur contrôlant le logiciel avait sa console d'administration accessible sur Internet avec loginlmot de passe par défaut (admin/admin).

- Les données collectées étaient publiquement accessibles.

- Lelogiciel comportait plusieurs mentions à HADÛPI alors que, dans un premier temps, les responsables d'Orange déclaraient que leur logiciel n'avait aucun rapport avec cette institution.

- Le logiciel comportait une faille énorme permettant même à ma grand-mère d'élever ses privilèges au niveau SYSTEM.

Sic'étaitla période du rugby, on pourrait parler de grand chelem. Quoi qu'il en soit,j'ai lanaïvetéde penser que jamais des ingénieurs n'auraient poussé à sortir un tel « truc ».

Alors, sije me réjouis de voir l'État commencer à se donner les moyens d'agir dans ce secteur, je me demande quand les entreprises lui emboîteront le pas...

Sur ce, c'est l'été. On peut se demander si un ver va apparaître, qui va se faire exclure de Black Hat, et si le ticket de métro va encore augmenter en douce au mois d'août, pendant que tout le monde sera sur la plage.

Bonne lecture et attention aux coups de soleil !

Fred Raynal

Rendez-yous au 3 septembre 2010 pour le n051 !

www.miscmaa.com

MISCest ëdilll par Los Éditions Dlamond B.P. 20142/67603 Sillestai Cedex Tél.:0367100020

Fax:0367100021 E-mail: cial@ed-diamond.com Service commerciat: abo@ed.~iai'\lond.com Sites: www.misci'\lag.com

www.ed-diamond.com

IMPRIMÉ en Allemagne -PRINTED ln Germany Dépôt IlIgal: A parution

N'ISSN: 1631-9036

Directeur de publication: Arnaud Metzler Chef des rédactions: Denis Bador Rielacteur en chef: Frédllric Raynal Secrétaire de rédection : Yéronique Wilhelm Conception graphique: Kathrin Troeger Res

Ser 1

Frence :

(uniq 1pour les dépositaires de presse) MLP Rllassort: Plate-forme de Salnt-Barthélemy-d'Anjou.

Till. : 02 41 2753 12

Plate-forme de Saint-Quentin-Fallavier.

TIII.:O474826304

Sorvlce des ventes: Distri-médias: Tel. : 05 34 52 34 01 Mefritw" >. \

~~1 _{-_.o<a}

Commission Paritaire: K 81190 Périodicité: Bimestrielle Prix do vonto : 8 Euros

dessins adressés a MISC,(publiés ou /1O!1;nesont rii",ndus, nll6nvd)lés.

Les indicalions cie prix et tfadresses #guranl dans les pages rédacliOni1<olles sont données a /iITed'inro_IIon, sans aucun but pub/icilai16.

des outilsutilisllsafin de meilre en place une défef1se adéquate.

MISCpropose des articles complets et pedagogiques afin d'anticiper au mieux les risques liés au piratage el!es solutions pour y remédier. plésentant pour cela des techniques _es autant que défensives, leurs avantages et leurs limftes. des facettes -. pour ~r tous les enjeux cie la sécurité infonnatique.

mmom

U&

~

~

fmll.aI.tltUü l!l!J\'G!U!f.!.W

PENTEST CORNER

[14-17] EXÉCUTION DE COMMANDES PAR ORACLE SANS EXPLOIT

SOCIÉTÉ

[50-56] ISO 27005 : INTRODUCTION À LA GESTION DES RISQUES EN SÉCURITÉ DES SYSTÈMES D'INFORMATION

RÉSEAU

[59-67] ANALYSE DE L'ÉTABLISSEMENT D'UN TUNNEL DNS

SYSTÈME

[68-75] UN PARE-FEU USB QUI BLOQUE AUSSI DES VIRUS

APPLICATION

[76-77] LES MODÈLES DE SÉCURITÉ DANS LES WAF

[78-82] VISUALISATION DE FLUX RÉSEAU:

FLOWVIEWER, FLOWGRAPHER, FLOWTRACKER

ABONNEMENT

[33, 57 et 58] BON D'ABONNEMENT ET DE COMMANDE

Misc N"50 - Juillet/Août 2010