pappy a écrit 279 commentaires

Merci :-D

N'oublions pas les auteurs, les relecteurs, les faiseurs-de-PAO, <msg perso>véro</msg perso> ... et les acheteurs.
C'est tout ça qui fait que ça marche.

Tu parles de quel édito ? Celui du HS (http://miscmag.com/fr/index.php?2007/10/05/35-plagiat-au-man(...) ou celui du dernier numéro (http://miscmag.com/fr/index.php?2007/10/31/37-invitation-au-(...) ?

En fait, le secret, c'est d'être dans de bonnes conditions pour "créer" : lumière tamisée, musique évocatrice, et plein de filles ... parce que les chiks, c'est chic. Bien sûr, je les trouve sur meetic, parce que meetic, c'est ... ? ;-)

Mouais, je vais me recoucher je crois, sinon, je vais être mort toute la journée. alors que j'ai besoin de rester vivant, rester vivant, ah ah ah ah rester viiiiivvvvvanntt (oups, pardon, je m'égare, un moment de fièvre nocture, et pourtant on n'est pas samedi).

Parfois, j'ai honte quand même ... ou pas :-D

Bonne question qu'on nous pose souvent !
La réponse est hélas non. Pour le coup, c'est vraiment un hors-série au sens premier du terme : il y a MISC regular, et en dehors, ce hors-série. Du coup, on ne pouvait pas le prévoir dans l'abonnement.
En revanche, on pourra le commander sur le site des éditions Diamond.
En tant que rédac chef, j'aimerais arriver à en faire un par an. Mais comme c'est BEAUCOUP de boulot et que j'ai d'autres métiers (et qq activités) à côté, on verra (j'ai qq idées de solutions en tête), mais encore faut-il que le sujet s'y prête.
Là, sur les pentest, il y avait largement matière à faire quelque chose de complet sans que ça fasse redite avec ce qui a déjà été publié (ce qui n'est d'ailleurs vraiment pas évident au bout de tout ce temps ! :-))
En tout cas, merci bcp (de ma part et de celles des auteurs) pour le "Cela semble passionnant, comme MISC l'est habituellement." :-D

Vous y (re)découvrirez un certain nombre de techniques d'ingénierie sociale.

Je ne sais pas trop comment on peut définir avec exactitude l'ingénirie sociale, mais il me semble que l'exploitation est liée à un côté technique (informaitque, téléphonie, etc.). Là, l'article en question dépasse ce cadre et porte sur les "failles" du cerveau, les biais cognitifs et/ou perceptifs, tout comme le profiling (ben oui, avant d'exploiter une faille, il y a toujours une phase de reconnaissance).

Je me permets d'ajouter aussi que nous avons sorti un hors-série sur les tests d'intrusion :
http://miscmag.com/fr/index.php?2007/10/05/36-hors-serie-1-l(...)

En gros, il s'agit de voir comment tester sa propre sécurité ...

À propos d'OO, on ne doit pas avoir la même lecture alors ...
L'auteur écrit que l'ouverture des données techniques, en matière de sécurité, n'est pas une bonne chose, il faut un minimum d'aspects fermés. Certes, l'obscurité est une composante de la sécurité dans le sens où ça retarde un attaquant malicieux. Pour autant, il ne dit à aucun moment que c'est la seule solution, ni la meilleure. Le constat est simplement que, en l'état, les attaques menées contre OO ne s'appliquent pas à MS Office parce que le code lié à la signature des documents n'est pas public.
Mais si demain quelqu'un révèle ce code, il pourra sans doute mener la même étude que celle sur OO : "Mais le fait que ce contrôle d'intégrité soit fermé ne permet pas d'en évaluer les qualités ou défauts.

Le polymorphisme cryptographique: ... mais il permet d'avoir un aperçu des techniques de polymorphismes (les plus anciennes, les techniques actuelles sont beaucoup plus complexes).

En tant qu'auteur de cet article, je veux bien que tu me donnes des sources là-dessus. Il me semble que tu devrais quand même (re)lire l'article parce qu'on ne se limite pas au xor, ni à une architecture classique d'un code polymorphe.

Un regret peut-être : pas d'article juridique ou organisationnel ...
Oui, oui, mais parfois, ce n'est pas possible :-( On se rattrapera dans le prochain.

Moins que ta grand-mère ?
En fait, ma grand-mère m'adore :-D

Merci d'avoir complété les info :-)

... Pappy ait toujours une bonne raison de me détester ...
Rien ne pourra venir troubler la quiètude qui m'envahit le jour même de mon anniversaire ... et je ne suis pas (trop) rancunier ;)

Bon, puisque je dois m'y commer, MISC 18 aussi est sorti. D'ailleurs, à partir de ce numéro, il sortira vers le 10 du mois, et non plus en fin de mois.

Le dossier de ce numéro est consacré au thème de la dissimulation d'information. Il est traité au travers de 4 articles : la stéganographie moderne, les canaux cachés, l'anonymisation et enfin les techniques anti-forensics pour système de fichiers ext2/3.

En dehors de ça, on y traite aussi de l'attaque de Kevin Mitnick contre Shinomura, de l'étude d'un crackme sous Linux (et sa fabrication), de la notion d'active defense, et de fonctions de hash (cf. les "cassages" récents), et plein d'autres choses ...

Allez voir sur : http://www.miscmag.com(...)

Je l'ai le tord de présent que cela puisse intéresser d'autre lecteur de MISC ...

Tu es sympa de te proposer en tant que porte parole des lecteurs de MISC ;)

Mais je maintiens que si tu te poses des questions :
1. tu peux aussi me contacter : figure toi que j'ai d'autres choses à faire que de lire tous les forums du web ...
2. tu peux éviter d'insinuer des éléments de réponses (complètement faux qui plus est) dans ta question.

Apres un rapide passage sur les 10 derniers numéro j'en ai compté 2 mais je peux me tromper, ...

Non, non, tu ne te trompes pas.
Suite à ces articles, des "personnes" se sont plaintes qu'il révélait des articles sur des techniques liées à des trojans (c'est mal) ... Il a préféré attendre que tout cela se calme, ce que je comprends tout à fait.

les deux trés bons articles sur la creations de cheval de troie "furtif"

Après porte parole des lecteurs, tu deviens porte parole du rédac chef ? ;-)
Il me semble avoir déjà dit qu'ils étaient effectivement excellents : merci de confirmer.

Pour les étudiants je peux confirmer ...

Trop merci de confirmer !
Tu veux devenir aussi porte-parole de MISC ?

Ce sont des données vérifiables pas de rumeurs et elles peuvent refléter l'importance d'un auteur.

Non, pas de l'importance, mais plutôt de la disponibilité. Tu ne voudrais pas devenir porte-parole des auteurs tant qu'on y est ? ;)

Dans les commentaire du blog d'Eolas on peut lire quelques commentaire élogieux sur MISC, mais plus inquiètent on y évoque de possible lien avec un employé de Virguard , qu'en est il réellement ?

Ce genre de commentaire m'agace. Ca encourage une pseudo-rumeur. Plutôt que de poser des questions "en l'air" sur des forums et autre site, est-ce que le bon sens ne voudrait pas de les poser directement aux personnes concernées ?
Et ça fait 2 fois que tu me fais le coup en peu de temps ...

Cela étant dit, je vais apporter quelques précisions :
- oui, Eyal Dotan a écrit à plusieurs reprises dans MISC ;
- ses articles (3 ou 4, je n'ai plus mes archives sous la main), écrit en collaboration avec une autre personne, traitent de l'injection de code ou du détournement d'API ;
- je choisis les articles qui sont publiés selon plusieurs critères, et aucun d'eux n'est lié au nom de l'auteur ou son affiliation. Ce qui me préoccupe plutôt, c'est que le lecteur y trouve son compte ;
- oui, de nombreux auteurs travaillent aussi dans différentes entreprises ... et certaines d'entre elles sont des entreprises du "monde de la sécurité". Pourtant, j'aimerais que quelqu'un me montre une pub déguisée dans un seul de ces articles ;
- en dehors de "professionels de la sécurité", il y a aussi des chercheurs qui écrivent pour MISC. Et même des étudiants ! Bref, n'importe qui écrit en fait, tant que c'est intéressant.

Personnellement ça me ferait mal que MISC prenne le même chemin que fr.comp.securite post modération.

Désolé de te décevoir, mais MISC est déjà modéré ... par moi. Au cas où tu ne l'aurais pas remarqué, il n'y pas d'article pour expliquer comment faire tomber Internet en 30s, pirater la NSA, et détruire tous les firewalls de la terre (voire des environs).
Mais que veux tu dire (sous-entendre) exactement ? MISC n'est pas un forum où les gens discutent, trollent, etc... donc j'ai du mal à voir l'analogie.

Après quelques recherche sur google, il apparaît que en effet Eyal Dotan employés de TEGAM, a bien participé a des articles de MISC. Mais est ce un rédacteur occasionnel ou plus que cela ?

Là encore, à quoi rime ce genre de question ?
Est-ce que tu attends réellement avoir une réponse sérieuse et crédible en passant par un forum ? Un inconnu t'offre des fleurs et te dit qu'en plus Eyal est le petit-cousin par alliance de la tante du neuveu du 3ème beau-frère du copain de chambrée du rédac chef de MISC !!! Ouah !!! Le scoop !!!

Ceci étant dit, à MISC, en dehors de moi, il n'y a que des "rédacteurs occasionnels".

Maintenant, la prochaine fois que tu as des questions débiles (désolé, ça m'a échappé), n'hésite pas à me contacter pour obtenir les réponses.

Les énigmes ne sont pas là systématiquement. D'abord, c'est beaucoup plus difficile à écrire qu'un article normal. Et puis, comme tous les articles qui sont avant le dossier, ça tourne. Je veux dire que c'est la partie du magazine qui contient de rubriques qui apparaissent et disparaissent au gré des numéros : droit, guerre de l'info, vulnérabilité, crypto, énigme, et j'en oublie.

Happy gnu year quand même :)

Hum, hum ... l'équipe (enfin, je ne balancerai pas de noms) a connnu quelques soucis de synchronisation, retards, photon mal placé, optimisation de disque dur, interférence solaire, et autres mots de passe oublié par le boss...
Bref, tout ça pour dire que, désolé, on était un peu à la bourre (suivez mon regard ;-)

Un excellent article du non moins excellent Fabrice Rossi qui traite de l'architecture de sécurité en Java et paru dans MISC 7 :
http://www.miscmag.com/articles/index.php3?page=808(...)

Ahlala, cette auto-congratulation à la Jean Paul Ney !
Tu ferais pas partie de MISC, par hasard !?

En fait, c'est beaucoup plus subtil ...

Comme vous le savez, j'adore ma grand-mère, et elle me le rend bien. Elle a donc pris des cours d'informatique, et sort subtilement quelques messages bien comme il faut à la gloire de son petit-fils et de ses oeuvres.

Mais comme ma grand-mère est quelqu'un de très bien (je massacre le premier qui dit le contraire) et particulièrement subtil (je tiens d'elle d'ailleurs pour cela), elle sait que son petit-fils préféré (facile, je suis le seul en même temps ;-) bosse avec tout un tas de personnes super cools, et donc, elle les englobe dans ses félicitations, et elle souligne le magnifique travail d'équipe.

Elle est pas merveilleuse et subtile ma grand-mère quand même ? ;-)

PS: il est où le bouton pour dégonfler le melon ? Bon, je vais passer un coup de fil à ma grand-mère, elle va me remettre à ma place ;-)

On fait ce qu'on peut, merci pour les lauriers :-)

D'ailleurs, je rappelle que nous sommes ouverts aux suggestions, en particulier pour les thèmes des dossiers et des articles.

Une petite explication sur les "ventes" des majors :

http://www.kensei-news.com/bizdev/publish/factoids_us/article_23374(...)

Je confirme, on va essayer de faire cela régulièrement (ce qui ne veut pas dire non plus à chaque numéro ;-)
En fait, on s'est rendu compte que ce n'était pas si simple que ça à faire, et surtout à "dégrossir" pour donner les étapes successives vers la solution sans tout dévoiler d'un coup non plus.

Juste "merci" pour ce commentaire qui va ravir toutes les personnes qui collaborent à MISC :-)

Un rédac chef heureux

parce que, là, comme ça, tu connais le développeur de vi ?
C-x C-s :-)

vive maitretarot aussi ;-)

#include <stdio.h>

#include <errno.h>

#include <sys/types.h>

#include <unistd.h>



main(int argc, char **argv)

{

    FILE *mem = NULL;

    int addr = strtoul(argv[1], NULL, 16);

    char str[100];



    if ( !(mem = fopen("/proc/self/mem", "r"))) perror("fopen(mem)");

    if (fseek(mem, addr, SEEK_SET) < 0) perror("fseek()");

    if (! (i = fread(str, 1, sizeof(str)-1, mem)))  perror("fread()");

    fclose(mem);

    printf("fname=(%s) str=(%s) i=(%d)\n", fname, str, i);



    return 0;

}

non, toujours pas :-(

Recherche sur scalper, li0n, Ramen ... et d'autres pour d'autres services ;-/

Mort de rire :))))

Olivier -> +1