Sécurité info - Page 66

La dernière fois que j'ai vu une occurrence d'ANSSI dans une news, c'était ^^

Ils sont vraiment chiants avec ça… ça va encore faire un bordel et ralentir les PCs.

Ça reste malheureusement important

(enfin pris le temps de lire l'article, merci les vacances )

C'est peut-être juste une impression, mais je trouve ça toujours impressionnant la relative simplicité avec laquelle les auteurs de ce type de papier expliquent comment exploiter la faille, après avoir passé des pages à présenter ce qui pour moi demande un sacré paquet de synchronisation et d'essais dans le vent avant de donner quoi que ce soit d'exploitable Très bien détaillé en tout cas !

J'imagine qu'ils ont cherché par fuzzing en se basant sur les failles précédentes un peu du même style.
C'est les premières failles qui ont dû être vraiment coton à trouver, le résultat d'un bon coup de bol ou de génie (rayer les mentions inutiles).

Et c'est clair qu'ils ont bien expliqué le truc
(cela dit, il faut modérer un peu la gravité du truc : la majorité des attaques passent par des failles bien connues)

flanker (./1956) :
J'imagine qu'ils ont cherché par fuzzing en se basant sur les failles précédentes un peu du même style.

Effectivement, et la méthode est expliquée dans le paragraphe "Discovery".

Oui et j'ai l'impression qu'ils peuvent en trouver à l'infini avec ça... On va finir par nous faire des proços sans predictive branching...

La performance des processeurs non superscalaires sans branch prediction est inférieure, hélas

Dans la série des processeurs buggés avec lesquels on peut faire des bêtises... possible deadlock sur les Cortex-A77: .

Ça me fait penser que, qu'est-ce qu'il en est devenu des anti-virus ? Pourquoi est-ce qu'en 2023 la seule solution est de patcher en hardware (ou au mieux avec un gros hack en firmware) chaque petite potentielle faille quasi-inexploitable à moins qu'on vise spécifiquement un certain individu ? Alors qu'avant on considérait que c'était normal d'avoir un antivirus ? C'est comme la politique Apple "on ne permet rien qui interagisse avec le système à moins que c'est nous qui l'implémentons" (raison pour laquelle seul Shazam peut avoir un raccourci privilégié dans le Control Center, c'est honteux). Je comprends, et je vois d'où on vient, mais franchement ce serait pas plus simple de faire un truc en software qui détecte ces conditions ?

Ah mais les antivirus restent nécessaires sur les postes clients (même si maintenant on parle plutôt d’EDR pour les entreprises). Cependant, la priorité a toujours été au bouchage de failles en priorité. L’antivirus ne détecte que des choses connues.

Je comprends, je pense quand-même que c'est impossible de boucher toutes les failles possibles au niveau hardware, que ce genre de failles pourra se trouver presque à l'infini et à chaque nouvelle révision de processeur. Les EDR c'est clair que c'est bien comme tel, mais ça n'a pas de sens sur un poste familial par exemple. Et comme tu dis, les antivirus sont faciles à contourner avec des malwares polymorphiques.

Oui, les EDR ne fonctionnent vraiment que pour les entreprises. Au final, tu n'auras jamais quelque chose de correct sans combler les failles matérielles, les failles logicielles (et en mettant à jour, donc), avec de l'antivirus, une bonne conception de ton réseau et surtout une bonne hygiène informatique (mais cette dernière ne suffit pas, il est facile de se faire avoir par un hameçonnage).

Sans oublier : un responsable sécurité compétent !

Zerosquare (./1964) :
Sans oublier : un responsable sécurité compétent !

Et à qui on donne un budget correct !

Et redondé !
(le responsable, pas forcément le budget )

« défense en profondeur »

J’espère qu’ils paient quand même leur licence !

Bon quand-même hein, j'y ai pensé moi à stocker ma phrase dans un password manager, bien sûr. Mais je ne ferais JAMAIS confiance à un truc centralisé comme LastPass. Je ne comprends pas que ça fait plus de dix ans qu'on le dit à tue-tête et les gens CONTINUENT de faire confiance à des trucs centralisés / cloud. Y compris des gens très pointilleux sur la sécurité. Je me rappelle avoir stocké brièvement une phrase de récupération (pas pour la crypto, je ne sais plus pourquoi maintenant) sur mon NAS, puis après réflexion dans un fichier keepassX stocké sur mon compte MEGA. Mais même ça je ne pense pas que c'est si sécurisé donc je l'ai changée puis bougée (dans ma tête, mais là je réfléchis à louer un emplacement sécurisé, et mettre les prochaines clés que j'aurai besoin de générer sur une clé USB, elle aussi cryptée avec cette clé que je connais maintenant par-coeur, ou une autre que j'apprendrai pour l'occasion, mais j'avoue que l'idée d'un accident cérébral est préoccupante ; le père d'un pote a eu ça, et il ne pouvait vraiment plus se rappeler des mots de passe, ce qui a causé beaucoup de soucis à sa femme je pense que la solution c'est d'apprendre la clé à un proche auquel je peux faire confiance, puis un autre quand il crève, etc.).

Tu passes pour un autiste à mémoriser des mdp par coeur peut-être, mais c'est ceux qui ne veulent pas le faire qui sont punis au final pour leur jugement.

Pour rappel :

Brunni (./1973) :
j'avoue que l'idée d'un accident cérébral est préoccupante ; le père d'un pote a eu ça, et il ne pouvait vraiment plus se rappeler des mots de passe, ce qui a causé beaucoup de soucis à sa femme

Sans aller jusqu'à imaginer un cas comme ça, si tu as peur d'oublier quelques mots de passe critiques, tu peux les écrire sur papier et les stocker dans un mini coffre-fort. Et pour plus de sécurité, tu peux par exemple rajouter un caractère bidon à une position prédéterminée, pour que même si quelqu'un vole et casse le coffre, il n'arrive à rien.

Et pour ce qui est des clés USB sécurisées, demande à Flan ^^

Je trouve qu'au final, c'est un équilibre à trouver entre la confiance que tu peux accorder à l'entreprise en termes de sécurité (Google, Apple et Microsoft sont a priori plutôt bons pour ça), en terme de confidentialité, le risque dont tu veux te prémunir (je n'aurais pas la même politique pour du perso ou du pro, et encore, ça dépendra du domaine d'activité), …

Au final, les mots de passe sont dans un Keepass, avec les moins sensibles également dans le trousseau Apple. Le mot de passe maître est sur une feuille de papier avec les instructions pour récupérer tout ça.

flanker (./1975) :
Je trouve qu'au final, c'est un équilibre à trouver entre la confiance que tu peux accorder à l'entreprise en termes de sécurité (Google, Apple et Microsoft sont a priori plutôt bons pour ça)

Je n'en mettrais pas ma main à couper. MS a été assez négligent récemment (cf. ./1972) ; il y a plus d'une fois où Apple a laissé des failles dormir pendant plusieurs mois avant de les corriger, etc.

./1974> pour le coffre-fort physique (que je n'ai pas), et bonne idée le caractère bidon
A noter que même s'il y a cette phrase de passe dans un coffre, si elle est volée, ça me paraît pas simple pour le voleur de savoir où l'appliquer... (porte et serrure, toujours )

Perso je fais confiance à Bitwarden. Si un jour j'ai une IP fixe (on peut toujours rêver) et que j'arrive à maintenir mon serveur online, je migrerai sous Vaultwarden (ça marche très bien pour une asso ).

Un coffre-fort physique ? Pour le côté ignifuge (fréquent), mais pour le reste, c’est franchement inutile je pense ; c’est plus simple de laisser le document rangé dans la maison.

Tiens, ça m'étonne de toi, ça ^^

Je fais toujours une différence entre pro et perso, et il faut faire en fonction de l'analyse de risque. Au niveau pro, bien évidemment les documents sont dans une armoire forte.
En perso, il n'y a à peu près aucune chance qu'une personne vienne spécifiquement chez moi récupérer ma liste de mots de passe, et le cambrioleur susceptible de viser ma maison n'aura aucune compétence en informatique (sinon, il ne serait pas en train de me cambrioler).