Archives de catégorie : Non classé

Divulgation responsable de failles de sécurité : le parcours du combattant

Signaler une faille de sécurité n’est pas si simple que ça. Il faut savoir qui contacter, et ne pas être pris pour un méchant pirate.

Voici mon expérience avec des failles découvertes dans les modem SFR/Numericable (voir l’article dédié).

En tout, 14 mois se sont écoulés entre la découverte et la fin des corrections, pour de multiples raisons.

Continuer la lecture de Divulgation responsable de failles de sécurité  : le parcours du combattant

Failles de sécurité sur les modems SFR/Numericable

Au départ, je cherchais à désactiver automatiquement le WiFi de mon modem la nuit. Comme il y a une interface web d’administration du modem, j’ai essayé de scripter les opérations sur cette interface.

C’est en développant ce script que j’ai découvert plusieurs failles de sécurité dans cette interface d’administration. Dans certaines conditions, cela permettait à n’importe qui sur Internet de voir et modifier tous les paramètres du modem. Les failles les plus critiques ont maintenant été corrigées par SFR/Numericable.
Continuer la lecture de Failles de sécurité sur les modems SFR/Numericable

Quelques « anti-patterns » de sécurité informatique en entreprise

Voici des comportements que j’ai souvent vus en entreprise. Ils ont tous une logique certaine, mais cachent en général une négligence (et parfois méconnaissance) de la sécurité informatique.

Il faut dire que sécuriser, c’est des contraintes à court terme, pour (peut-être) réduire un risque à moyen terme. Donc ça va souvent à contre-courant.

Continuer la lecture de Quelques « anti-patterns » de sécurité informatique en entreprise

Un reverse-proxy Apache pour accéder à de vieux serveurs en SSLv3

La faille POODLE a entraîné la désactivation du protocole SSLv3 dans tous les navigateurs récents.

Problème : que faire pour de vieux services HTTPS qui ne savent pas faire mieux que du SSLv3 ?
Les navigateurs récents refusent d’y accéder,  donc il faudrait les patcher/reconfigurer pour qu’ils prennent en charge des protocoles plus sécurisés. Mais ce n’est pas toujours possible : soit parce que ces applications web ne sont plus supportées, soit parce que ce serait trop risqué ou coûteux.

Une solution de contournement peut être de mettre en place un reverse-proxy entre ces services et les navigateurs des utilisateurs.

Continuer la lecture de Un reverse-proxy Apache pour accéder à de vieux serveurs en SSLv3

Quoi raconter sur ce blog ?

Vous connaissez le syndrome de la page blanche ? ;-)

Non, en fait j’ai déjà quelques idées de choses à raconter :

  • Des tests et retours d’expérience sur Linux (à commencer par les distributions Ubuntu et Debian) : les outils que je trouve intéressants, les astuces, les bugs que je suis ou que j’ai pu aider à corriger etc
  • Des sujets autour de l’architecture et du développement Java et/ou Web
  • Ma (modeste) participation à ce beau projet qu’est Firefox OS
  • Et puis parler un peu de l’auto-hébergement : ses contraintes, ses solutions

En tous cas, c’est ce dont j’ai envie de parler pour l’instant… Il est pas impossible que je change d’avis en cours de route.

Mais comme c’est mon blog, je raconterai ce que je veux, na !