Spécial sécurité : Hacker Croll fait s'extasier les médias et AVG répare Windows avec Linux
Aujourd'hui, nos confrères de CNIS, magazine spécialisé dans la sécurité informatique, se penchent sur le cas Hacker Croll, le jeune hacker clermontois qui a réussi à s'introduire dans les systèmes de Twitter et qui a finalement été arrêté par la police. CNIS revient aussi sur le dernier CD-Rom gratuit d'AVG qui permet à un administrateur, depuis une interface Linux, de réparer et de désinfecter un Windows endommagé. Nos confrères signalent aussi la modification par Cisco de son calendrier de publication de correctifs ainsi que la tenue prochaine de la première conférence Hackito ergo sum à Paris, en avril.
Sommaire :
1 - Affaire Hacker Croll : quand la France s’extasie
2 - AVG, un « disque miracle » pour initiés
3 - Cisco, changement de calendrier de patch
4 - Hackito ergo sum, le Tout Paris du hacking
1) Affaire Hacker Croll : quand la France s’extasie
La mise en garde à vue de « Hacker Croll » fait couler beaucoup d’encre dans les quotidiens nationaux. De Libé au Monde en passant par un double article dans 20 Minutes ou une interview sur Europe 1, nos confrères semblent se retenir pour ne pas encenser le génie et l’astuce du « pirate de Twitter ». Ce n’est pourtant qu’un hack très classique, débutant par un détournement de boîte email (selon un procédé qui avait déjà coûté très cher à Sarah Palin). Le détail précis de l’histoire est fourni par Damien Bancal dans les colonnes de Zataz.
Plus que le hack lui-même, c’est la manière dont a été médiatisée l’affaire qui est riche d’enseignements. L’action de « hacker croll » relève plus du fantasme angélique du justicier masqué que de celui du dangereux cyber-truand. En revanche, les raccourcis de certains de nos confrères titrant sur un véritable détournement de Twitter ou la découverte d’informations confidentielles piochées sur le compte du Président des Etat- Unis prouvent à quel point l’usage de certains services Internet possède encore un parfum de magie ou de science de très haut niveau. L’on pourrait également se demander pour quelle raison des messageries « cloudifiées » à destination grand-public sont encore utilisées par le personnel d’une entreprise commerciale… et surtout par des cadres dirigeants ou appartenant aux hautes sphères opérationnelles. On doute que la leçon soit retenue que l’exploit du jeune Clermontois améliore les choses dans les années à venir …
2) AVG, un « disque miracle » pour initiés
AVG diffuse gratuitement un « CD-Rom de récupération-désinfection », à base de noyau Linux, et destiné aux utilisateurs de machines Windows en détresse. Un certain niveau de connaissances est conseillé avant que de lancer ce « live CD », puisque l’interface « graphique » s’appelle Midnight Commander (branche Linuxienne du Norton Commander de John Socha) et l’éditeur « par défaut » n’est autre que vi. De quoi traumatiser un Microsoftophile pour le restant de ses jours. Les « power users », en revanche, trouveront là un outil pratique, immédiatement disponible, et plus simple à mettre en œuvre qu’un disque de récupération fabriqué « à la main », à grands renforts de Bart’s PE et autres accessoires.
3) Cisco, changement de calendrier de patch
C’est avec la dernière livraison de rustines (7 failles IOS, dont 5 risques de DoS et 2 risques de redémarrage de programme) que Cisco annonce un décalage du calendrier de ses « bug fix ». A partir du 26 mars, les bulletins d’alerte sécurité IOS seront émis tous les quatrièmes mercredis des mois de mars et septembre. Ceci ne présumant pas de la sortie de correctifs « hors calendrier » lorsque le niveau d’alerte l’exige.
4) Hackito ergo sum, le Tout Paris du hacking
Le programme de la première conférence Hackito ergo sum vient d’être arrêté et publié sur le site de la manifestation. Durant 3 jours, du 8 au 10 avril prochain, plusieurs spécialistes sécurité se succèderont dans les locaux de l’espace Main d’œuvre, 1 Rue Charles Garnier à Saint-Ouen(M°Porte de Clichy).
Rodrigo Branco parlera de TPM, Benjamin Henrion titillera les routeurs ADSL de certains FAI d’Outre Quiévrain, Carlos Sarraute de Core Security dissertera sur le pentesting, et son collègue de travail, Luis Alvarez Medina, dévoilera certains aspects aussi intéressants qu’indiscrets d’Internet Explorer. A ne pas manquer non plus un petit voyage dans la mémoire physique d’OS/X, par Mathieu Suiche le papa de Sandman, une virée dans le monde de la VoIP et de ses vulnérabilités, par Sandro Gauci, immédiatement suivi, communauté de thème oblige, par un exposé du Maître de Cérémonie et organisateur Philippe Langlois, qui conviera l’assistance à visiter le royaume du SS7. L’on reparlera également de crack du GSM, de FPGA avec notamment une description des travaux de Sébastien Bourdeauducq sur Milkymist, de crochetage de serrures… sans oublier l’inévitable concours « stop the Fed » que l’on pourrait rebaptiser en «découvrez les barbouzes ».