A part of my life, between travels and IT

Pour ma première participation au SSTIC , j’aimerais aussi écrire quelques mots sur cette célèbre conférence sur la sécurité des technologies de l’information.

Ne vous attendez pas à un compte-rendus des différentes présentations, ce travail ayant déjà été fait sous form de live blogging, d’une manière très professionnelle par Sid sur son blog.
Mon article s’oriente plus vers ce qu’on fait Bruno Kerouanton ou encore NewS0ft sur leurs blogs respectifs. C’est-à-dire une réflexion de ce qu’est le SSTIC, mais en se plaçant du côté suisse…

[Read more →]

Tags: France, Security, Travel by admin
No Comments »

Un rapide retour sur les qualifications pour la CTF (Capture the Flag) de la prochaine édition de la DefCon, organisé par Kenshoto.
Les qualifications viennent de se terminer après deux jours (et deux nuits) de folie.
Malheureusement, étant à l’armée pour le prochain Euro 2008 , je n’ai pas pu faire grand chose. Les principaux membres de l’équipe, les Routards, se trouvaient à Lausanne, dans les bureaux de SCRT. Une autre partie, des français, se trouvaient à Paris ou encore à Dubaï.

UPDATE : Le détail des qualifications est disponible sur le site de l’équipe The Underminers. Une partie des épreuves n’ayant pas été trouvée par l’ensemble des équipes, j’aimerais signer l’excellente performence d’un des membres de l’autre équipe européenne, les Sexy Pandas, disponible sur leur blog.

En espérant pouvoir me rendre à Las Vegas du 8 au 10 août prochain…

Tags: Security by admin
1 Comment »

Comme prévu, j’ai participé à la première édition de Insomni’Hack, organisé par SCRT.

[Read more →]

Tags: Security, Switzerland by admin
No Comments »

Depuis la sortie de l’iPhone, beaucoup d’encre ont coulé concernant ce smartphone. Non pas à cause de l’iPhone proprement dit (on aime ou pas on aime pas), mais concernant la politique de vente d’Apple. Ce téléphone est conçu pour empêcher son utilisation tant qu’il n’a pas été activé chez l’opérateur de téléphonie choisi par Apple (AT&T aux USA, Orange en France et tout bientôt en Suisse avec Swisscom) moyennant un abonnement de deux ans.

[Read more →]

Tags: Security by admin
No Comments »

La sécurité informatique étant l’une de mes passions, je ne pouvais passer à côté de l’événement¹ de ce début d’année 2008, qui est plus en Suisse Romande ! Des amis² de la société SCRT à Lausanne organisent un coucours, Insomni’Hack, de Ethical Hacking le 8 février prochain.

Etant donné que le concours s’effectuera dans les locaux de SCRT, il faut biensûr s’inscrire. C’est gratuit, alors si vous aimez la sécurité informatique, le hacking, etc. n’hésitez pas, inscrivez-vous !

Tout comme un autre spécialiste du domaine qui prépare certaines épreuves, je serais de la partie !

1. Il faut biensûr relativer un peu [↩]
2. avec qui j’ai participé aux BlackHat Europe 2007 [↩]

Tags: Security, Switzerland by admin
2 Comments »

En ce jour de Noël, je vous souhaite un joyeux Noël à tous !

I wish you all a Merry Christmas !

Afin d’avoir un peu de lecture pour ses prochains jours, ou plutôt semaines, j’ai récemment acheté ses deux livres :

• The Shellcoder’s Handbook: Discovering and Exploiting Security Holes

Ce livre est un recueil des différents articles et publications disponibles sur internet. Mais il a le mérite de tout rassembler et de structuer tout cela, surtout que le sujet traité est très vaste.
N’hésitez pas à commander la deuxième édition qui corrige beaucoup d’erreurs (surtout dans les exemples).

• The Web Application Hacker’s Handbook: Discovering and Exploiting Security Flaws
  

Après avoir un suivi un excellent cours aux BlackHat Europe 2007 donnés par Dafydd Stuttard et Marcus Pinto sur la sécurité des applications Web, j’ai décidé d’acheter leur livre (qui vient de paraître) sur le même sujet.

Une fois que j’aurais eu le temps de les lire, je publirais un petit résumé de ses deux livres pour ceux que cela intéresse !

Tags: Security by admin
No Comments »

Depuis plusieurs années, j’utilise l’outil PHP W3PW pour gérer une liste de mots de passe, multi-utilisateurs et accessible avec un simple navigateur. L’outil est très simple, il permet juste de créer, modifier ou supprimer une entrée (mot de passe). Le tout est stocké dans une base de donnée MySQL et chiffré. Le mot de passe, qui permet de s’authentifier dans W3PW, est en faite la clé de chiffrement.

L’inconvénient principal de cette application est le suivant : il n’est pas possibler de changer le mot de passe¹ !

Etant donné que la fonction de chiffrement n’est pas la même entre les versions 1.30 et la 1.40 (la dernière disponible), j’ai donc écrit deux scripts PHP :

• Script de changement de mot de passe, avec migration de la version 1.30 vers la version 1.40
• Script de changement de mot de passe pour la version 1.40

1. La demande correspondante est disponible ici, mais elle n’a jamais été implémentée. [↩]

Tags: Security by admin
No Comments »

Suite à la demande de quelques internautes, j’ai décidé de publier mon mémoire de diplôme que j’ai effectué dans le cadre de mes études à l’Ecole d’Ingénieurs de Genève. Le sujet a été proposé par Gérald Litzistorf, responsable du laboratoire de Transmission de Données, maintenant spécialisé dans la sécurité informatique. Plusieurs publications y sont disponibles.

Ce mémoire, rédigé en 2001, avait pour sujet : Architecture réseau basée sur Windows 2000.  Voici les différents documents :

• Mémoire (aussi disponible sur le site du laboratoire)
• Annexe n°1
• Annexe n°2
• Annexe n°3
• Annexe n°4
• Annexe n°5
• Annexe n°6
• Annexe n°7
• Annexe n°8
• Annexe n°9
• Annexe n°10

Bonne lecture !

Tags: Security by admin
No Comments »

Durant la première semaine d’octobre, mon serveur a été victime d’attaque de SPAM dédiée, qui plus est, sur mon domaine (linuxch.org).
J’ai donc avec précaution garder les logs de mon serveur, afin d’en faire une analyse détaillée a posteriori.
La raison était simple : la source de l’attaque n’était pas unique, mais distribuée ! Donc à part bloquer toutes les requêtes SMTP ou stopper le serveur de mail, je n’avais de choix que d’atteindre que la tempête soit passée.

[Read more →]

Tags: Security by admin
No Comments »

After my security training in last June, I decided to take the GSEC certification.
The exam for this certification is splited in two exams, the first one and the second one To pass this certification, you have to pass the first one, and after the second one. If you fail the first exam, you can not take the second one.
Each exam take three hours, with 100 questions. You need 70 % or more to pass the certification. This certification is not so difficult but it is a good base to take some others certifications. I really would like to thank Jérôme for his help and availbility !
You can find my name on the GIAC website for the people who do not believe me
My next certification…it is a good question, but I do not know exactly because I will follow a fireman school during three weeks (every Monday and Wednesday evening, and every Saturday during the day). I’m beginning this school today evening !
But at this moment my main activity is to organize my Japan trip…many emails and calls, it is very interesting !

After my holiday, I think I will try to take the LPI certification. LPIC-101 and LPIC-102 will not be difficult, but LPIC-201 and LPIC-202 will be a good challenge for me !

Tags: Security by admin
No Comments »