Litchfield sur le fuzzing et sur Oracle

le 18/05/2006, par Marc Olanié, Hacking, 396 mots

David Litchfield nous offre deux morceaux de bravoure cette semaine, tous deux publiés au fil de la Mailing List « Full Disclosure ». Le premier est un véritable traité de hacking et un appel à réflexion, sur une approche normée d'une sorte de « contrôle technique automobile » appliqué aux logiciels. How Secure is Software X ? demande l'expert es-failles Oracle ? Les techniques sont assez proches de celles décrites par Davide Del Vecchio ou Nicolas Grégoire dans les colonnes de CSO Magazine. L'on pourrait également y voir la pratique d'un Thierry Zoller lorsque celui-ci nous dévoile une dizaine de trous affectant les outils de décompactage de fichiers Zip, ARJ ou CAB de différents logiciels antivirus. Ou encore celle du désormais très discret et très silencieux http-equiv, qui exploita si longtemps les problèmes liés au « drag and drop » ou les buffer-overflows dans les requêtes « http GET». Hors, si l'on peut « automatiser » d'une certaine manière la recherche de failles en ayant recours à des astuces quasi antédiluviennes, l'on pourrait plus ou moins utiliser ces mêmes méthodes pour « certifier » le tout premier niveau de qualité d'un logiciel commercial, estime David Litchfield. Bien entendu, l'usage systématique de la méthode ne serait là que pour indiquer une sorte de « plus petit commun multiple » de la solidité d'un programme commercial... en aucun cas une assurance d'absolue résistance au hacking ou un label officiel de fiabilité. Litchfield n'ose pourtant pas poser la question qui fâche : si ces « vérifications de premier secours » sont connues de tout le monde, comment cela se fait-il qu'il puisse encore exister des exploits utilisant ces vieilles ficelles de l'overflow dans un champ de saisie ? La seconde lettre ouverte de David Litchfield, décidément très en verve, concerne ses relations avec Oracle. Des propos apaisants quoi que critiques, après les reproches acerbes émis durant les deux dernières semaines. « Oracle, The last word » veut clore la polémique et effacer l'image d'un Litchfield « anti 10 g ». « A nombre constant de trous de sécurité découverts, chaque nouvelle version d'Oracle qui paraît, admet-il, me demande considérablement plus de temps de travail pour détecter les instabilités ». On ne peut également que saluer l'art de l'understatement tout britannique avec lequel notre chasseur de failles parvient à encenser Mary Ann, la CSO d'Oracle, pour avoir « su avec patience dresser ce stégosaure empoté ». Même en envoyant des fleurs, Litchfield parvient à se montrer aussi venimeux qu'un conclave de prétendants à la Présidence de la République.

Microsoft coutumier des add-on non fonctionnelles et bogées

Vendredi dernier, la firme de Redmond a reconnu qu'elle avait dû réécrire 4 des 13 add-on de sécurité publiées lors du dernier Patch Tuesday. D'après le retour des utilisateurs, même une fois installées, les...

le 18/09/2013, par Gregg Keizer, adaptation Oscar Barthe, 463 mots

Google ne crypte pas efficacement les mots de passe Wi-Fi

Lorsqu'un utilisateur d'Android réalise une sauvegarde de son système, notamment en vue d'une réinitialisation de l'appareil, la firme de Mountain View accède immédiatement au clé de son réseau WiFi privé....

le 18/09/2013, par Oscar Barthe, 367 mots

2 millions de comptes clients de Vodafone Allemagne piratés

Un salarié travaillant pour un prestataire de Vodafone Allemagne est soupçonné d'être à l'origine du vol de données concernant deux millions de clients. Cette affaire n'est pas sans rappeler, par sa...

le 16/09/2013, par Serge LEBLAL, 364 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...