mai, 2009

C’est cette semaine que se déroule le « meeting 0.42 » de l’Owasp. Le 6 Mai à 17H 30 plus exactement, dans l’amphi 2 de l’Epitech. Outre un rappel de l’agenda de l’association, il sera donné deux conférences, l’une intitulée « Attaques sur les Web Services », par Renaud Bidou, Directeur Technique de DenyAll, l’autre portant le titre de «Software Security Initiatives in the Real World » par Claudio Merloni. Comme à l’accoutumé, l’entrée est libre est gratuite, mais il est vivement conseillé d’envoyer un courriel aux organisateurs à l’adresse meetings@owasp.fr, avec comme sujet « Inscription » et dans le corps de l’email les noms et prénoms des personnes assistant à la présentation. Les CISSP apprendront avec bonheur que la participation à cette conférence compte pour un CPE …

Une nouvelle salve de vulnérabilités affectant des produits de sécurité vient d’être tirée par Thierry Zoller. L’une concerne un problème dans le traitement des fichiers CAB dans Nod32, une seconde signale diverses possibilités de contournement ou d’évasion dans la gestion des fichiers ZIP et RAR dans différents produits McAfee,, la troisième est un résumé des deux précédentes (évasion via RAR,ZIP,CAB, pas de correctifs connus ou publiés) dans plusieurs logiciels de TrendMicro.

La politique de divulgation responsable ainsi que le renom de Thierry Zoller dans le domaine des failles affectant les antivirus n’est un secret pour personne. Certainement pas, en tous cas, chez les éditeurs d’A.V. L’on s’étonne pourtant de la lenteur avec laquelle les éditeurs en question persistent à répondre ou à admettre l’existence d’une faille, une fois confrontés à la menace d’une divulgation publique.

Du 28 au 30 octobre prochain se déroulera Hack.Lu, la convention Luxembourgeoise consacrée à la sécurité des systèmes d’information. Comme chaque année, c’est aux alentours du mois d’avril que sont lancés les appels à communication, relayés notamment sur la liste Full Disclosure, le blog de Thierry Zoller. Le programme n’est pas plus imposé que celui des autres grandes manifestations du genre… tout au plus sait-on que l’on pourra aborder des thèmes aussi variés que les honeypots, les machines à voter, les réseaux sans fil, la recherche de preuve, l’inventaire des failles… Le Grand Duché étant situé à moins de 3 heures (par temps brumeux) de la Ville Capitale de France, ce serait un péché de ne pas y participer.