mercredi, novembre 25 2009
Par Cedric Pernet le mercredi, novembre 25 2009, 10:37
Petit post rapide pour signaler l'existence du nouveau site web du CERT (Computer Emergency Response Team) Société Générale.
Ce nouveau CERT français est composé d'une équipe de passionnés, très impliqués dans la sécurité informatique. Ce CERT est dédié à la réponse à incidents, à la prévention de fraudes sur Internet, et à l'investigation sur des cas de fraude au niveau mondial.
N'hésitez pas à nous contacter à l'adresse de courriel indiquée sur le site web. Clef PGP disponible.
aucun rétrolien
Par Cedric Pernet le mercredi, novembre 25 2009, 10:33
A quick post here to announce the brand new website of the Computer Emergency Response Team (CERT) Societe Generale.
This new french CERT is composed of a team of passionate people, deeply involved in computer security. This CERT is dedicated to incident handling, cybercrime prevention and investigation worldwide.
Feel free to contact us at the e-mail address given on the website. PGP key available.
un rétrolien
vendredi, août 14 2009
Par Cedric Pernet le vendredi, août 14 2009, 19:01
Bonsoir à tous,
Comme certains d'entre vous l'auront remarqué, mon blog était indisponible pendant une longue semaine ...
J'aimerais pouvoir dire que je me suis fait rooter comme certains français bien connus du monde de la sécurité informatique, mais il n'en était rien.
L'explication tient comme souvent dans la maladresse de l'admin : j'ai consciencieusement effacé complètement la base de donnée du blog en pensant qu'il s'agissait d'une toute autre base lors d'une opération de maintenance.
J'ai récupéré un backup qui datait de septembre 2008, et j'ai comblé tous les posts manquants depuis cette date par le contenu du cache Google... J'ai tout remis en forme, par contre j'ai perdu vos commentaires sur les derniers posts, veuillez m'excuser... Ca m'apprendra à ne pas faire de backup plus fréquent sur ce blog...
J'en ai profité pour changer l'interface, la dernière ayant subi de nombreuses critiques ...
Les liens en marge ne sont pas à jour non plus, ce sera fait dans les jours prochains...
Et malheureusement, mais c'était un mal nécessaire, le lien vers le flux RSS a changé. Je suppose donc que certains lecteurs qui ne vont jamais sur le blog ne verront pas les nouveaux posts avant un bout de temps :-/
A bientôt pour de nouveaux posts !
aucun rétrolien
samedi, juin 20 2009
Par Cedric Pernet le samedi, juin 20 2009, 00:00
Paco Hope just released a remix of the famous Paul Simon song "50 ways to leave your lover".
It's called "50 Ways to Inject Your SQL" and is available on Youtube here.
I like it, it's elegant and funny. Great job, Paco ! :-)
Thanks to Bruno and Marc who made me discover this great song ;-)
mercredi, janvier 7 2009
Par Cedric Pernet le mercredi, janvier 7 2009, 13:00
J'ai posté hier mon estimation de l'évolution de la cybercriminalité en 2009 sur le blog du CERT Lexsi. Je vous renvoie donc là-bas si ça vous intéresse... ;-)
lundi, janvier 5 2009
Par Cedric Pernet le lundi, janvier 5 2009, 13:00
Youpi, MISC 41 est sorti.
Ce numéro fête les 7 ans du magazine et comprend un dossier très intéressant :
"La Cybercriminalité ... Où quand le net se met au crime organisé"
Vous y trouverez un de mes articles, intitulé "Blanchiment d'argent sur Internet". Je n'en dis pas plus ... ;-)
mardi, novembre 25 2008
Par Cedric Pernet le mardi, novembre 25 2008, 13:00
Vous vous souvenez peut-être de cet évènement judiciaire survenu en 2004. Une enseignante américaine de 40 ans, Julie Amero, se trouvait dans une salle de classe avec ses élèves et un ordinateur, lorsque le navigateur Internet Explorer de ce dernier s'est mis à ouvrir de multiples fenêtres (pop ups) contenant de la pornographie.Je schématise beaucoup mais vous pourrez trouver de nombreux articles sur le net si vous voulez en savoir plus (wikipedia).
Plainte fût déposée, et l'affaire s'est éternisée.
Ma réaction de l'époque fut de me dire que l'on risquait de voir se profiler de nombreuses plaintes du même type, étant donné le nombre d'utilisateurs à qui cela arrive à des moments plus ou moins incongrus. Je pensais que l'affaire allait être jugée rapidement et que Julie s'en tirerait sans trop de soucis. Je me trompais lourdement.
L'affaire a duré jusqu'à maintenant. Le jugement définitif a été rendu lundi dernier et Julie est enfin débarassée de ce poids et de cette honte qui planait sur elle.
Néanmoins, bien que cette partie de l'histoire soit intéressante, la partie cachée l'est tout autant : les analyses forensic pratiquées sur le poste de travail concerné.
Alex Eckelberry de Sunbelt, expert qu'il n'est plus nécessaire de présenter, a réuni une équipe de bénévoles pendant le procès afin de proposer leur expertise forensic. L'équipe composée d' Alex, Glenn Dardick, Joel A. Folkers, Alex Shipp, Eric Sites, Joe Stewart, et Robin Stuart, s'est donc retrouvée avec une image de type "ghost" à analyser.
Alex et son équipe ont fourni un travail de qualité, qui est résumé succintement dans un excellent document publié par Alex sur le blog de Sunbelt.
Ce document, très bien rédigé, est clair et précis, même pour l'utilisateur moyen. Sa lecture est très plaisante, et éducative. Alex explique une bonne partie des recherches effectuées, et les résume en termes très simples. Je ne peux que lui tirer mon chapeau, me rappellant certains moments de ma propre expérience professionnelle au cours desquels je devais expliquer de façon très schématique et claire certains concepts de sécurité informatique à des personnes qui n'avaient aucune connaissance particulière. Mais revenons-en à nos moutons.
Ce document montre à quel points certaines pratiques peuvent être nuisibles à l'enquête forensic, et nous rappelle quelques bonnes pratiques. Je tiens à souligner quelques points évoqués largement dans le document:
- L'image fournie pour analyse à l'équipe était un "ghost". Bien que ce genre d'image puisse être générée de façon assez précise, il n'en reste pas moins souhaitable de *toujours* faire une image saine du disque à analyser au moyen d'outils reconnus, pas forcément très chers d'ailleurs : un "dd" (ou un "dd rescue") est gratuit et efficace par exemple. Une image EnCase est également une bonne chose. Le but est d'avoir une image *complète* et *bit à bit* du disque.
- Certaines données manquaient à l'équipe forensic, notamment les logs de Firewall. Une analyse forensic ne fournit pas forcément les mêmes résultats quand il manque de l'info...
- La présence de documents dans le "Temporary Internet Files" n'est qu'un élément à charge, pas une preuve. Le fait qu'il y ait des images pornos dedans ne veut pas forcément dire qu'elles sont arrivées par une navigation volontaire de l'utilisateur.
- En l'absence d'éléments tangibles, on ne doit jamais "supposer". Quand je lis qu'une personne dit des énormités dans un procès du genre "je n'ai jamais vu ça, donc ça ne doit pas exister", j'ai les cheveux qui se hérissent... (pour certaines mauvaises langues, il m'en reste encore un peu :-p)
- Le manque de compétences et de connaissances de certains "IT managers" et autres, confrontés à la défense, se révèlent désastreux. Que dire d'autre, quand on lit que "un lien html qui devient rouge quand on clique dessus et qu'on visite une page, c'est parce que c'est javascripté" ... No comment.
Je vais en rester là, n'ayant pas envie de passer ma soirée à troller sur certains aspects de cette affaire. Notre pauvre Julie, dont je n'imagine même pas la souffrance morale qu'elle a subi, peut néanmoins remercier des personnes intègres et compétentes comme les analystes forensic qui ont travaillé bénévolement pour elle, sans quoi le procès aurait pu prendre une toute autre tournure :-/
lundi, novembre 24 2008
Par Cedric Pernet le lundi, novembre 24 2008, 13:00
Et voilà, les 2 jours d'Infosec sont passés... J'ai un peu tardé pour écrire ce billet mais j'avais tout simplement la flemme de faire la photo rituelle des "goodies" accumulées lors des 2 jours.
Bref, j'ai été un peu déçu cette année ... Encore plus de commerciaux mais bon c'est le jeu après tout... Par contre, j'ai été déçu par :
- le lieu : je préfère largement le CNIT mais bon, travaux obligent, cela ne semblait pas possible cette année.
- les exposants: j'ai eu l'impression qu'il y en avait moins, certains grands noms manquaient (Symantec par exemple), et un ami m'a indiqué qu'il y avait une 30ène d'exposants en moins par rapport à l'an dernier (je n'ai pas vérifié cette information).
- les goodies: de moins en moins... :-p
- les visiteurs: où sont passés tous les potes qui y venaient les années précédentes ?
J'ai apprécié:
- Les confs: il y en avait de bonne qualité, et pas trop commerciales.
- Le soin apporté à certains stands : celui de Secure Computing en particulier était magnifique.
- L'ambiance de certains stands : étonnante même, la présence de certains alcools en dégustation sur certains espaces.
- Le coin café assez à l'écart finalement.
Pour finir, je salue chaleureusement tous ceux que j'ai pu croiser à Infosec 2008, en particulier les copains de chez INL (Jérôme, Vincent, et toute la clique), Thomas, Denis B., Marc O., Jérôme A., Antoine P., Nicolas B., Marc B., les gens de chez Lexsi, et un certain SRT... ;-)
Enfin, voilà quelques photos : le stand INL, le Knight de chez Bull, et ma récolte de goodies ;-)
See ya @infosec 2009 ;-)
lundi, septembre 15 2008
Par Cedric Pernet le lundi, septembre 15 2008, 22:23
After all these years of fighting and helping to fight cybercrime, I'm quite used to any kind of cybercrime. I've seen a lot of evil actions, but one that always gets me angry is when innocent people are involved. Such an act has been done these days. One of the biggest
demoscene website,
Nectarine, has been hacked. It could have been hacked by a white hat (although I'm still not okay with this), or by someone at least not willing to destroy any data. It has not been the case.
All data on Nectarine have gone. Database. PHP code. Music. Everything. The hacker left nothing but a huge anger and pain for all people like me (not even talking of the poor administrators). Can you imagine working on a website for more than eight years, collecting computer music, distributing it to a whole big community of sceners, and then *bang* a stupid hacker comes and throw all you've done to /dev/null... ? I guess it would drive anyone totally mad.
Maybe the guy was a newbie, so proud of his ability to exploit a loosy vulnerability, and so stupid that he deleted the whole stuff when trying to delete the log files. Maybe not. We'll probably never know. The pity is the administrator of the website had no backup, which is silly, for sure.
The french administrator, known in the scene under the nickname "Yes", has been requesting financial help on a new
website to restore the data. Quite logically, he didn't want to try it himself, conscious that this kind of operation needs strong forensic skills. After a week, the demo scene community had provided him with enough money to have the hard disks sent to a professional company specialized in data recovering.
This shows that some moral values are still present these days in the demoscene. And it definitely reminds me of those good old times, back in 1988-1992, when we were all swapping demodisks by snail mail (=usual mail) with long personnal letters, always mentioning at the end that we were part of a fictious "Friendship rulz" movement. I guess you can say we were already doing a lot of social networking at that time ;-)
If you want to see some great demos on any platform, you can download thousands on
pouet. I suggest you to start with some 64k demo like
this one. Have phun ;-)
mardi, juillet 29 2008
Par Cedric Pernet le mardi, juillet 29 2008, 22:38
Ok, temps de faire le point par ici... Les reproches des amis/contacts et un certain sentiment de culpabilité ont eu raison de moi, voilà un nouveau post... Pas forcément intéressant d'ailleurs, autant vous prévenir tout de suite.
Bref, j'ai été très occupé ces derniers mois, mes amis et certaines connaissances savent pourquoi... Toujours est-il que le peu de temps libre que j'avais a été consacré à des distractions totalement saines (oui, c'est très sain la bière...) et non-informatiques (photographie, ballades, sport, etc.).
J'ai craqué à un moment, j'ai passé quelques soirées à faire du développement PHP/MySQL (je suis en train de développer un forum...que je ne compte pas releaser pour le moment) et à faire un peu de Perl, mais globalement, je n'ai pas trop touché mes machines personnelles :-)
J'ai pas mal boosté mes contacts LinkedIn ces derniers mois, principalement parce que j'ai rejoins pas mal de groupes LI, et cela semble avoir été l'élément déclencheur pour que je reçoive pas mal d'invitations. Je suis même floodé par certaines grosses boites que je ne citerai pas :-p
J'en suis arrivé à un stade où je commence à perdre le contrôle de mon périmètre LinkedIn, dans le sens où jusqu'à présent je connaissais plutôt bien mes contacts. J'ai toujours eu hacker à coeur de n'envoyer des requêtes qu'à des personnes que je connaissais/respectais/admirais, et avec lesquelles j'ai échangé un certain nombre d'e-mails. Avec certains un contact plus chaleureux s'est développé et ces derniers me connaissent pour organiser des "bouffes de geeks" comme je les appelle, qui permettent de réunir des gens passionnés et de passer des soirées sympas. D'autres ne veulent pas en entendre parler, et préfèrent les petits restaus/bars intimistes où l'on ne peut jamais se réunir à plus de deux ou trois.
Mais là, rejoindre trop de groupes LI m'a fait accepter "par politesse" pas mal de LIers avec lesquels je n'ai pas échangé un mot. Bref, c'est un peu le bordel, et je commence à refuser des invitations, que je commence à percevoir comme une forme de spam...Surtout quand ces invitations sont génériques, et ne sont destinées qu'à faire de la collecte et devenir TopLinked...
Encore plus pernicieux, le coup du "bonjour j'ai vu que tu étais un ami de xxx, je me permet donc de te contacter, blablabla"... Politesse oblige, on se sent contraint d'accepter ce genre de requête... Et se retrouver avec un contact qu'on n'a pas forcément désiré. Si ça se trouve, j'ai moi même peut-être utilisé ce stratagème honteux avec certaines personnes (ais-je une mémoire sélective ? Maybe :-p)
A côté de ça, je ne peux nier les avantages obtenus par le biais de LI, qui reste un réseau plutôt "intéressé".
J'ai beaucoup moins de soucis sur Twitter :-p
aucun rétrolien
vendredi, février 8 2008
Par Cedric Pernet le vendredi, février 8 2008, 10:03
I've been publishing a short post about XSSED.COM on CERT LEXSI's weblog.
Here is the
link.
And thanks to
Reseaux-Télécoms.net for their nice
article about it.
aucun rétrolien
mercredi, janvier 30 2008
Par Cedric Pernet le mercredi, janvier 30 2008, 20:03
Voilà, Solutions Linux c'est fini pour moi, je viens d'y passer 2 journées très sympa ... J'ai pu constater que de plus en plus de commerciaux y sont présents, symboles d'une indéniable professionalisation de ce salon... De plus en plus de "costards", un peu moins de geeks, j'en étais presque dessus je dois bien l'avouer.
Et puis bon disons-le tout net : il fallait se lever tôt pour décrocher des goodies sympa. Il n'y en avait pas tant que ça, et la récolte a été bien maigre :
Parmi les bonnes surprises, j'ai eu le plaisir de voir qu'Ubuntu continue à se propager. Un stand officiel qui distribuait des Gutsy, un emplacement toujours rempli de geeks dans le "Village Linux", ça faisait plaisir.
Autre agréable constatation, l'
APRIL était très présent, et disposait de plus de place que l'an dernier... Je ne parlerais pas de leur débauche de fromages artisanaux déballés hier après 18h pour le pot de l'amitié, on les sentait à deux stands... Et pour un activiste anti-fromage comme moi c'était insupportable ;-))
Dans le genre "amusant mais un peu pitoyable", certains que je ne nommerais pas continuent à encore exhiber leurs Windows XP (ouf, ç'aurait pu être pire, ils auraient pu être sous Vista).
Je ne peux pas parler des conférences, je n'y ai pas assisté, ne trouvant pas le programme très intéressant finalement...
Bref, pour moi qui me déplace chaque année à ce salon, c'était comme d'habitude un moment fort agréable passé avec des amis, et j'en profite pour en saluer quelques-uns croisés pendant ces deux jours : les copains de chez INL (Eric,Vincent,Pierre, mention spéciale à Jérôme : bientôt papa, le pire est à venir mon grand :-p), ainsi que Nico R., Christophe G., Olivier M., François R., Frédéric C., Sébastien D., Julien M., Denis B., Jocelyn D., Olivier N. et tous les autres...
Et pour finir, un peu de pub pour INL et leur produit phare NuFW, faut dire qu'ils font des t-shirts très sympas maintenant:
Nuuuuuuuupik ! :-)
aucun rétrolien
vendredi, janvier 11 2008
Par Cedric Pernet le vendredi, janvier 11 2008, 08:29
Eh oui, bientôt
Solutions Linux 2008 !
Il est grand temps de vous inscrire, si ce n'est déjà fait.
Pour ma part j"y serais les 29 et 30 janvier, et j'espère profiter de l'occasion pour revoir et rencontrer certains lecteurs de ce blog qui je le sens sera plus actif en 2008 ;-)
N'hésitez donc pas à me mailer si vous y allez, pour qu'on puisse s'y retrouver :-)
aucun rétrolien
samedi, janvier 5 2008
Par Cedric Pernet le samedi, janvier 5 2008, 19:14
Eh non, je ne ferais pas de post sur la vague Storm de noël-nouvel an ...
A la place, je me contenterais paresseusement de vous souhaiter une bonne année 2008.
Puisse cette année vous apporter santé, réussite, amour, bonheur et rires, parce qu'après tout, il n'y a pas que le boulot dans la vie ...
Je continue à n'avoir pas le temps de poster ici, mais pitié gardez-moi quand même dans vos flux RSS ;-))
Je me soupçonne d'avoir prochainement la volonté de reprendre ce blog en main ...
Et au pire, à bientôt à Solutions Linux !
aucun rétrolien
dimanche, novembre 25 2007
Par Cedric Pernet le dimanche, novembre 25 2007, 12:11
Bon ben comme chaque année, je suis allé faire un petit tour à Infosec... Enfin bon, quand je dis "petit tour" j'y suis passé les 2 matinées en fait...
Je ne parlerais pas des conférences, je n'ai pas eu le temps d'y assister ... Par contre Infosec comme d'habitude a été l'occasion pour moi de retrouver certains amis (plop les gens de chez INL en particulier) et ex-collègues (plop Olive,Gilles,Jocelyn...).
J'ai aussi fait le tour de tous les stands pour faire le plein de goodies, évidemment... La meilleure du salon étant pour moi... Ce splendide SNORT présent en quantité limitée au stand de
SourceFire :-)
Je vous le montre :
Voilà, il trône maintenant sur un moniteur chez moi... :-p
Next step : Solutions Linux en janvier ;-)
aucun rétrolien
vendredi, octobre 26 2007
Par Cedric Pernet le vendredi, octobre 26 2007, 15:46
Voici un autre
post que je viens de publier sur le blog du CERT Lexsi... Dans lequel je parle de certains hébergeurs en termes positifs cette fois-ci ;-)
aucun rétrolien
vendredi, octobre 12 2007
Par Cedric Pernet le vendredi, octobre 12 2007, 22:01
Well here are good news following the opening of the new .asia gTLD.
I've blogged about it
HERE.
This week-end I'm sick, so I guess I could find some time to blog at least one new post here ;-)
aucun rétrolien
jeudi, octobre 11 2007
Par Cedric Pernet le jeudi, octobre 11 2007, 16:43
Once again, I'm sorry but you have to click one step further,
HERE, to read a new post from me ;-)
aucun rétrolien
vendredi, août 31 2007
Par Cedric Pernet le vendredi, août 31 2007, 19:20
Je sais je sais, je délaisse un peu mon blog en ce moment...
Par contre je ne pouvais pas passer à côté de ce jour, qui est le blog day international :-)
En ce jour, nous sommes censés blogger sur 5 autres blogs qui ne se rapportent pas à notre domaine...
J'ai donc choisi des blogs d'amis, et d'autres blogs, mélangés.
Hop, sans plus attendre, la liste.
Lise-Laure Meyer's Blog
blog-not.com
Syphie.com
Morghot
Dream Theater Skyblog
aucun rétrolien
vendredi, août 10 2007
Par Cedric Pernet le vendredi, août 10 2007, 18:22
I wrote a post about Joe The Whistler on cert lexsi's weblog ... You can find it
here
To make it short, it is about this sad news that shook the phreakers world : "Joe the Whistler" left us some days ago.
aucun rétrolien
