Box verre-1

Shellshock

le .

Depuis quelques jours, Internet bruisse d'une nouvelle vulnérabilité nommée Shellshock découverte dans bash par Stéphane Chazelas le 12 septembre 2014, et publiée le 24 septembre. Cette vulnérabilité repose sur une erreur dans l'utilisation de variables d'environnement associées à une définition de fonction shell. L'exploitation de la vulnérabilité donne à l'agresseur accès à un interpréteur de commandes sur le système visé, avec les droits associés au processus attaqué.

Données nominatives et procédures de justice

le .

Collecte et licéité des preuves

Nous avons déjà abordé la question de la gestion des preuves dans une procédure de justice (qui, pour une entreprise, est souvent une procédure prud'hommale). Dans ce premier article, nous évoquons la collecte d'une preuve informatique, et le fait que cela ne s'improvise pas. Ce point de vue n'a pas changé.

Nous traitons ici d'un sujet connexe : l'exploitabilité devant un tribunal des éléments collectés.

Encore un clou dans le cercueil

le .

Fragilité de SHA1

Après Microsoft il y a près d'un an, c'est au tour de Google de pousser au déphasage de l'algorithme SHA1. Comme nous l'avons écrit il y a quelques mois, il est plus que temps.

Il est encore difficile de produire des collisions de condensats SHA1. Le coût d'une collisions (en temps de calcul) est aujourd'hui estimé aux environs de 2 millions de dollars. Cela laisse un tel calcul hors de portée du commun des mortels, mais c'est tout à fait à la portée d'un état ou d'une organisation bien dotée.