Informatique en vrac
Wednesday, 28. February 2007, 22:04:00
Au niveau algorithmique cette clé se situe juste avant la Processing Key. La découverte n'apporte rien de plus (en tout cas pour le moment) mais on peut saluer l'exploit technique.
Sur Slashdot, la nouvelle est discutée, ça parle entre autres du système de révocation de AACS et on se demande si les groupes derrière la protection vont bientôt mettre ce système en marche.
Pour mieux comprendre le fonctionnement de tout ça je vous invite à lire mon précédent billet sur AACS ou encore mieux une explication du standard par arnezami nommée Understanding AACS (including Subset-Difference).
J'aurais bien aimé lire cette doc, seulement je suis très occupé en ce moment. Il faut dire que je suis un peu seul dans les bureaux de l'entreprise où je bosse actuellement puisque 90% des employés sont en grève (vidéo France3) et réclament une hausse des salaires.
Etant en CDD, je ne participe pas à ce mouvement mais j'espère qu'une solution sera trouvée rapidemment qui puisse satisfaire tout le monde. Demain mes collègues vont débuter leur 4ième journée de protestation.
Et pendant ce temps là en France... le gouvernement travaille à nous fournir un Internet
Reprenant deux propositions d'un groupe de travail sur la cybercriminalité, le Gouvernement a décidé de créer un pôle unique de signalement des sites à contenus illicites et un certificat de sûreté des contenus proposés sur la toile.
(...)
Annoncé par le Premier ministre lors du Comité interministériel sur la société de l'information (Cisi) du 11 juillet 2006, un "label citoyen" sera mis en place cette année pour certifier la sûreté des contenus. Il distinguera, parmi les fournisseurs d'accès à internet et de services en ligne, ceux qui s'engagent pour une plus grande sécurisation des usages.
Reste à savoir qui va décider ce qui est, ou non, un contenu illicite et quel sera exactement le rôle des FAI dans cette histoire (un bon gros filtrage liberticide comme en Chine ou la fermeture sauvage de sites Internet sans même prendre soin de prévenir leur propriétaire).
On tente alors de nous rassurer sur le côté démocratique de cette mise en cage de l'Internet français en ces termes :
Selon les recommandations faites en avril 2006 par le Forum des droits sur l'internet, une telle marque de confiance comporterait 70 engagements.
On suppose alors que le gouvernement s'est concerté avec le fameux Forum des droits sur l'internet afin de ne pas faire n'importe quoi...
On se rend alors sur le site du Forum des droits sur l'internet (un lien est présent depuis la page du gouvernement) et on télécharge l'"Avis du Forum des droits sur l'internet sur le projet de Commission nationale de déontologie des services de communication au public en ligne" au format PDF...
Mais l'avis du Forum est tout sauf rassurant comme l'explique ces permières lignes :
En premier lieu, les acteurs déplorent qu'une concertation ouverte à l'ensemble des acteurs marchands et non marchands n'ait pas eu lieu sur un texte de cette importance.
C'est beau la démocratie !
Le dossier du grouvernement continue sa plaidoirie en nous rappelant sa lutte contre le spam et la mise en place de la plateforme signal-spam.
J'en avais parlé à son lancement. On nous avais fait différentes promesses, notamment la possibilité de signaler du spam. Cette fonctionnalité aurait dû être disponible durant le dernier trimestre de l'année précédente mais rien n'a été fait.
D'ailleurs on peut toujours lire sur la page : "Le site Signal Spam permettra bientôt aux utilisateurs enregistrés de signaler des messages de spam".. "Bientôt" ça fait une, deux ou trois années ?
Sans compter le blog en silence radio depuis le 14 Septembre 2006
Mais ce qui fait le plus peur dans cette page c'est sans doute l'information suivante :
C'est pour dire dans qu'elle merde on est !Parallèlement, le Réseau national de télécommunications pour la technologie, l’enseignement et la recherche (Renater), qui relie un grand nombre d’organismes français, a pour mission d’assurer en toutes circonstances la sécurité du réseau, notamment lors de la mise en œuvre des plans anti-terroristes.
Certes le CERT-Renater se tiens informé des dernières failles de sécurité mais nous fait aussi part des intrusions hebdomadaires dont il est victime (voir les STAT) et pour un réseau censé nous protéger des attaques terroristes ce n'est pas très rassurant 
De toute façon on s'en fout, après tout nos centrales nucléaires sont encore moins bien protégées...
Le plus simple serais de ne pas relier les réseaux les plus sensibles à Internet. Ca éviterait par exemple de voir un pirate réussir à bloquer le réseau de distribution d'essence argentin par l'intrusion dans le S.I. du secrétariat à l'Energie du pays.
Mais personne ne semble s'intéresser à la protection de l'information, surtout pas les entreprises qui utiliseront la suite bureautique de Google, rendant leurs données accessibles à une multinationnale américaine.
Heureusement que les membres du projet Honeynet sont là pour nous rappeler les problèmes de sécurité concernant les applications web par le biais d'un document nommé Know your Enemy: Web Application Threats.
Certes rien de nouveau mais c'est un bon concentré des failles web existantes et ça parle aussi des honeypots PHP
On regrettera éventuellement l'absence d'un paragraphe sur les attaques par Cross-site Request Forgery (CSRF)
WIDGETIZE