Archives

« Pas de risques pour les clients »… plutôt que de jouer le mutisme et l’immersion périscopique comme cela avait été le cas lors du hack des fichiers « secureID » chez RSA, la première réaction d’EMC a été de minimiser l’intrusion probable de ses réseaux et la publication sur Pastebin de près de 300 Mo de code source d’ESX server. Certes, ces informations sembleraient dater de 2003, mais des affaires comparables (ainsi le précédent de la diffusion de sources d’origine Symantec, NAV et PC Anywhere) laissent craindre qu’une analyse poussée du contenu puisse aider des pirates à concevoir d’exceptionnels exploits explosifs. L’origine de la fuite est encore très incertaine.

Selon la Cour des comptes, avec une progression de +62% sur 10 ans (soit deux à trois fois plus que l’inflation en France), les droits d’auteurs ne connaissent pas la crise. Nos confrères de Numérama, rappellent les excès des organismes de gestion et font remarquer l’écart entre la réalité économique de l’industrie des contenus de divertissement et la prétendue crise dont parlent les acteurs de cette même industrie. Se pose également, face à ces bénéfices plus que confortables, la question de l’utilité réelle de la commission Hadopi et de ses frais de fonctionnement, ainsi que le bien fondé des taxes imposées sur les supports (disques durs externes, supports CD et DVD, projet de taxe « antipirate » sur les abonnements Internet, taxe « cloud » etc.).

Si l’on excepte les grands infrastructures stratégiques nationales (scada notamment) et l’entretien nécessaire de l’appareil administratif, aucune autre industrie du secteur privé représentant aussi peu dans le PIB de la nation ne bénéficie de prébendes systématiques aussi élevées tirées sur le trésor public.

La société d’études Pricewaterhousecoopers vient de publier, à l’occasion du salon Infosec Londres, les résultats d’une étude sur l’état de la sinistralité informatique non accidentelle en Grande Bretagne (447 entreprises consultées). Selon les résultats de l’enquête, une grande entreprise sur sept aurait été hackée avec succès au cours des 12 mois précédents. Une tentative d’intrusion par semaine, tel serait le rythme des attaques ; proportion qui diminue avec la taille de l’entreprise, puisque dans la tranche PME, cette fréquence ne passe pas le seuil d’une attaque par mois. Les cas de vols et usurpations d’identités (ou d’identifiants) ont été multipliés par 3 depuis 2008, visant essentiellement les services financiers. Pourtant, constate le PwC, 20% des entreprises concernées consacrent moins de 1% de leur budget TIC à la défense des systèmes. Restons dans les estimations financières en relevant deux autres chiffres, ceux des montants moyens des pertes occasionnées par les intrusions effectives : entre 110 000 et 250 000 Livres Sterling côté grandes entreprises, et entre 15 000 et 30 000 Livres côté PME.

L’évolution des budgets sécurité Britanniques ne s’avère guère éloignée de celle constatée en France. En moyenne, les RSSI bénéficient d’une enveloppe de 8% du budget TIC de leur entreprise, tandis que les sociétés qui ont fait les frais d’une attaque consacrent… 6,5% du budget TIC. Minoration superstitieuse ?

Parfois, les communiqués de presse font peur à la France qui a Peur. La dernière production de Bit9 débute par l’affirmation suivante : « Dans une étude réalisée auprès des responsables européens de la technologie informatique, 50% des entreprises françaises interrogées ont déclaré qu’elles s’attendent à une cyber-attaque dans les six prochains mois. Contrairement aux autres régions interrogées, les concurrents commerciaux sont considérés en France comme les premiers coupables (45 pour cent) »… alors que la psychose de l’espionnite concurrentielle ne touche en moyenne qu’entre 31 et 35 % les « responsables » des autres pays d’Europe.

Donc, dans les 6 mois à venir, le tissu informatico-industriel National va se faire Tsunamiser par des hordes de botnets lancés à 45% par des concurrents, et à 65% par des petits hackers Chinois. Madame Desachy, l’Anssi et les limiers de l’IRCGN devraient prendre des leçons. Cà, c’est de la défense proactive de première qualité, de la divination mathématique de haut vol. Sur quelles bases scientifiques reposent ces estimations ? Mystère. Quels éléments concrets viennent étayer ces craintes ? Nul ne le sait. Mais, continue l’étude, « Les autres menaces identifiées sont les hacktivistes / les organisations anonymes (35 pour cent), les pirates électroniques (31 pour cent) et les employés mécontents (29 pour cent) ». Reste 5 % dans lequel doivent probablement se réunir les employés mécontents appartenant à des organisations anonymes en dehors des heures de travail et se livrant à des activités de pirates électroniques, et quelques islamistes pédophiles téléchargeurs massifs. Et l’étude de préciser que sur un millier de responsables informatiques de France, Allemagne, Espagne et Royaume-Uni, « 58 pour cent pensent qu’il existe aujourd’hui plus d’attaques organisées par des hackeurs, groupes criminels organisés et des états-nations qu’auparavant. Seul 11 pour cent pensent qu’il n’existe aucune menace et qu’il ne s’agit que de sensation médiatique ». Métrique intéressante qui mesure ce que l’on « pense » et ce que l’on « voit dans les journaux ».

Et l’étude de continuer sur une longue énumération des risques et des méthodes d’attaques, des craintes et des superstitions. L’exposition aux risques des bases de données, l’importance stratégique des fichiers comportant des données personnelles ou des informations financières, le danger que représentent les multiples troyens, rootkits, abominables prises USB laissées à l’abandon dans les bras irresponsables des employés… Ah, DLP, quand tu nous tiens !

Si un tel « sondage d’opinion » portant sur des impressions n’apporte strictement rien en terme de métrique scientifique (il s’agit en fait d’une « quantification de la peur par type de menace »), ce genre d’étude fait tout de même ressortir l’état de psychose dans lequel certains responsables informatiques sont plongés. De Loppsi en LCEN, l’instillation de la terreur fait son chemin, et les menaces, même les plus improbables (les attaques Chinoises par exemple, ou l’ennemi de l’intérieur qui ne cherche qu’à couler l’entreprise qui le nourrit en période de crise) prennent plus de corps que la négligence caractérisée d’une politique de déploiement de correctifs traitée par-dessus la jambe. C’est le « je ne sais quoi » et le « presque rien » Jankélévichien qui fait osciller le responsable d’entreprise entre l’état de préoccupation et l’état de paranoïa.

Certes, les risques existent. Mais l’expérience nous apprend qu’une grande majorité d’entre eux ont moins pour origine les hacktivistes ou les déferlantes virales que l’usage irréfléchi d’une configuration par défaut, l’adoption trop rapide d’une technique (technologie disent les journaux branchés) dont les plâtres n’ont pas été essuyés. L’étude commanditée par Bit9 est à lire absolument, car elle reflète les craintes de ceux qui chapotent généralement les RSSI… et non la réalité de la sinistralité. C’est donc un livre ouvert sur les incompréhensions, un dictionnaire indispensable pour apprendre à vendre l’idée de la sécurité, celle qui n’est pas et n’a jamais été un poste de profit, et qui passe si mal lorsque l’on tente d’en exposer simplement les tenants et les aboutissants. Mais il n’est pas nécessaire de lire les centaines d’autres rapports du même calibre, ceux-là même qui cherchent à quantifier des avis et des impressions plutôt que des recensements d’attaques réelles ou des statistiques directement tirées des logs de nos machines.

Je profite des 10 minutes d’inattention de la rédaction (partie s’encanailler en Bretagne Grande à l’occasion d’Infosec), pour faire part à mes lectrices adorées d’un article signée par ma charmante consœur* Florence Waters, qui travaille au Telegraph. Le papier en question tient en une photographie, celle d’un DVD-R (enregistrable) sur lequel serait contenu l’original du film Millenium 1 (version Hollywood). Ledit DVD-R est griffonné d’un feutre rageur « The Girl with the dragon tatoo » (en Français : Les hommes qui n’aimaient pas les femmes, titre d’un roman à succès du regretté Stieg Larsson). Le long-métrage de David Fincher avec le beau sur-mâle Daniel Craig déjà piraté ? Que nenni ! Nous explique Florence. C’est là un véritable original garanti sur facture, étudié pour, provocateur par esprit marketing. Et ma consœur d’expliquer « Sony (…) designed the DVD (…) to reflect the hacker theme of the movie, and perhaps also to highlight the growing problem of pirate copying » ( Sony a dessiné ce DVD pour illustrer le thème du hacker présent dans le film, et peut-être pour mettre en relief le problème croissant des copies pirates). Or donc, Hacker==Pirate, si l’on comprend bien Sony, entreprise réputée pour sa maîtrise et sa connaissance en matière de sécurité informatique, auteur de rootkits de protection remarquables, animateur d’un jeu en réseau pour Playstation et Ordinateurs Anonymes Associés (aka DdoS) qui a su conquérir le monde entier). Nilhil nove sub sole. D’ailleurs, il n’existe aucun véritable hacker au sein des équipes sécurité de Sony… si c’était le cas, cela se saurait.

Entre temps, une autre consœur (décidément) Phalène de La Valette, du Fig, laisse entendre que l’idée viendrait en fait de David Fincher lui-même. « Coco, mon directeur artistique et mon poisson rouge pensent que ça fait couleur bocal ». Qu’importe l’origine, le résultat est là.

Quant à moi, maman de charmants ados qui considèrent la chose audio-vidéo comme de peu de bien et brouet de consommation courante (donc valant à peine le prix de la galette de polycarbonate sacrifiée pour passer la série « Desperate Houswife » à un copain) je me mets à la place de nos chers (très très chers d’ailleurs) employés-de-bureau-de-la-Rue-du-Texel. Car quand on se drape de la toge de l’éducation, de la sensibilisation des foules, lorsque l’on doit inciter au respect et à la décence devant le dénuement extrême dans lequel le piratage pousse des entreprises comme Sony, on a un peu de mal à expliquer que « non, tout çà c’est rien qu’à du marqueutinje, que le piratage c’est le mal et que Sony avec sa campagne, est en train de pousser l’aïeul dans un massif d’Urtica dioica ». Ils n’ont pas la vie facile, à l’Hadopi. Entre les rapports à faire écrire par les autres, des chiffres à interpréter de manière politique, des sous-traitants de la surveillance à surveiller, si en plus il faut expliquer la différence entre le véritable piratage et le racolage vulgaire, on n’est pas sorti du MacDo…

Et puis, entre nous, vous ne trouvez pas cette campagne un rien sexiste ? Pour une fois qu’une fille est plus à l’aise derrière Wireshark que devant ses fourneaux, qu’elle ne répond pas aux canons sexuels de la blonde évanescente arborant un 95C dans une robe-fourreau qui en dévoile plus qu’elle n’en cache (tenue pratique pour farfouiller dans une armoire 19 pouces, tiens)… Le genre féminin hacker n’est pas conforme ou conformiste, il faut l’associer à un acte de piratage. D’accord, elle n’est pas blanc-bleu, la miss Lisbeth Salander, avec ses remote sur les machines des gens qu’elle a dans le collimateur. Mais c’est toujours pour la bonne cause, et c’est pas prouvable… 100% plausible deniability proof, elle est sacrément forchiche, Lisbeth. En outre, comparer un sploit du calibre de ceux qu’elle utilise à une vulgaire utilisation de DVD-Schrink, c’est limite insultant. Ajoutons que lorsque les mecs sont aux commandes, alors Total Respect. Pas une seconde un Sony ou un Universal n’aurait osé concevoir une illustration de DVD semblable dans un film mettant en scène un hacker mâle. La trilogie Matrix en pseudo .mkv ? La bande annonce de Johnny Memonic sur www. Warner.nu/megaTopDownload ? Operation Espadon en basse définition, bande son cafouilleuse façon « cam » et streaming payant ? (remarquez, mesdames, que les nanas, dans ce film, ne sont pas particulièrement derrière les claviers). Le « vrai bon hacker », dans l’imagerie d’Epinal Hollywoodienne, c’est soit un ado boutonneux, nolife, binoclard et arborant un appareil dentaire digne des défenses du Mur de l’Atlantique, soit un suburb lover habillé grunge avec yeux bleus et barbe de 4-5 jours très précisément et qui doit nécessairement éveiller l’instinct maternel de ses voisines béates d’admiration mais tout de même larguées côté informatique. On n’y voit jamais une fille normale, qui se lève parfois du pied gauche, qui peste parce qu’elle a oublié de documenter un bout de code pondu il y a 4 mois, qui se désespère parce que précisément son mec ou son chef de service lui demande pour la énième fois « Pourquoi j’arrive pas à imprimer » alors qu’elle code une manière de weaponiser avec élégance le dernier CVE 2012-31334.

* eh oui, les correctrices ont aussi une carte de presse et sont donc considérées comme des journalistes

Les rapports Microsoft sont comme les radis et les « patchs Tuesday » : d’une régularité métronomique. Et c’est sans surprise que s’est faite l’annonce du tout dernier MS Security Intelligence Report consacré au semestre juillet-décembre 2011.

Le SIR,rappelons-le, est le résultat de métriques réalisées grâces aux remontées des honeypots « maison » de Microsoft, des statistiques des différents services « live » (messagerie hotmail, protection A.V. Live Essential etc.) et surtout aux retours effectués par la base installée des antivirus clients répartis dans le monde. Ce n’est donc pas une enquête d’opinion sur les risques fantasmés de la délinquance informatique, mais un cliché, un état des lieux de l’activité des malwares sur une période de 6 mois.

Le premier constat du SIR ressemble à un chant désespéré (ceux qui sont les plus beaux et les plus entêtants) : Conficker n’en finit pas de mourir à très petit feu. 1,7 million de systèmes étaient encore compromis fin 2011. 1,7 million de systèmes victimes donc d’une exploitation visant une faille comblée depuis belle lurette et combattue par tous les antivirus, même les plus poreux de la création. Au total, 220 millions d’ordinateurs auront subi les foudres de Conficker depuis sa naissance.

Pourquoi cette rémanence ? On est encore dans le registre des litanies et des ritournelles connues : le manque d’attention de la part des usagers, notamment en matière de complexité de mots de passe. Une négligence qui n’est pas sans rapport avec la persistance de Conficker, qui ne possède pas un dictionnaire d’attaques particulièrement performant et qui parvient pourtant à survivre. Autre terreau favorable à la survie de cette infection, le manque de suivi des politiques de mise à jour et de déploiement de correctif. Question d’autant plus épineuse pour Microsoft l’enquêteur qu’une partie de la réponse échappe totalement à Microsoft l’éditeur de systèmes d’exploitation. Les attaques fructueuses visent moins le noyau Windows que les applications Java/html. Cette confusion des genres entre la notion de « système d’exploitation non-patché » et de « système (tout court) non patché » fait encore des ravages. La faute peut-être à Microsoft, qui a trop mis en avant ses efforts fournis pour propager la bonne parole du TWC (informatique de confiance) et qui a polarisé toutes les attentions sur l’importance d’une bonne maintenance des noyaux. Mais l’informatique au quotidien, c’est 20 % à 50 % de Microsoft, 50 à 80 % de non-Microsoft qu’il faut également corriger. Las, la plateforme Windows ne possède pas d’outil natif de déploiement de correctifs universels.

Partant de ce constat, les tenants du « côté obscur de la force » en profitent. « Il n’y a pas de différence technique fondamentale entre une APT et une attaque générale, entre un assaut permanent et ciblé visant une grande entreprise et un botnet cherchant à recruter des machines zombies », explique Bernard Ourghanlian, Directeur Technique et Sécurité chez Microsoft. Les ingrédients ne changent pas, même si la recette, la façon d’utiliser les exploits, change avec le type d’attaque. Paradoxalement, jamais le secteur industriel n’a été aussi bien équipé. Les outils de protection, les firewalls, les IPS s’entassent sans parvenir à intercepter les tentatives d’intrusion. Eux aussi sont frappés du syndrome de la configuration par défaut, du mot de passe faible ou du correctif mal déployé.

Achevons cette lecture très rapide et superficielle du SIR avec deux notes optimistes. En premier lieu, la confirmation de la baisse progressive du spam : 35 milliards d’emails bloqués en janvier 2011, 13 à 14 milliards « seulement » interceptés en novembre-décembre (statistiques hotmail). Des proportions analogues ont été constatées par des opérateurs de messagerie cloud concurrents. L’autre bonne nouvelle concerne la bonne tenue du parc français aux infections et attaques diverses. Le taux d’infection oscille aux environs de 3,8 pour 1000 machines, à comparer aux 7,2 pour 1000 de la moyenne internationale. En revanche, les addware frappent plus fort que partout ailleurs, avec un taux d’espionniciels commerciaux passant la barre des 53%… contre 17 à 18% dans le reste du monde. Il n’existe pas d’explication plausible à ce particularisme national et à la bonne santé de ces hotbar et autres maladies transmissibles par navigateur.

La bataille dure depuis plus de 10 ans, les données PNR (Passenger Name Record) seront conservées 5 ans, ou 10ans, ou 15 ans sans que le moindre contrôle puisse être effectué : la « demande pressante » du gouvernement fédéral des Etats-Unis vient de recevoir l’accord du Parlement Européen pour conserver, sans le moindre contrôle possible, les données personnelles des voyageurs européens (biométriques, bancaires, ethniques, confessionnelles, de santé et d’orientation sexuelle). Cette décision a été approuvée par le parlement européen à 409 voix contre 226 et 33 abstentions, formalisant ainsi une disposition « provisoire » de plus de 7 ans et justifiée uniquement par l’éventuelle improbabilité d’un risque terroriste. Les représentants américains jubilent : le parlement s’est montré aussi ferme et aussi efficace et critique que la défunte Société des Nations. L’« article 29 Working Party » vient, par la même occasion, de prouver sa totale impuissance… voir son inutilité face à un tel bras de fer politique.

Les motifs de conservation des données relèvent de la fantaisie la plus pure. Les « crime grave » entraînent une conservation des données pour 10 ans. Un crime grave qualifie toute faute passible de 3 ans de prison aux USA, soit par exemple une récidive de conduite en état d’ivresse. Si les soupçons de terrorisme sont invoqués, les données sont conservées 15 ans. Or l’histoire du DHS et de l’Immigration Service fourmille d’exemples de femme enceinte ou d’enfants en bas âge emprisonnés sous prétexte de soupçon terroriste, soupçon généralement provoqué par une homonymie : it’s the law. Un simple tampon en provenance d’un état d’Afrique du Nord peut provoquer un long interrogatoire et une éventuelle « reconduite au frontières », ce qui fait cher pour une semaine de vacances en Tunisie… La rétention des données peut s’étendre jusqu’à 15 ans, la notion de « faits de terrorisme » n’impliquant pas, Outre Atlantique, une participation directe à un acte de guérilla.

En théorie, les passagers des vols transatlantiques auront droit de consultation et de modification, voir pourront adresser un recours administratif et judiciaire en cas d’usage abusif. Encore faudrait-il avoir une preuve de cet usage abusif et les moyens financiers d’un tel recours (ledit recours étant soumis au mécanisme juridique américain). Il n’existe, en France, depuis l’éclatement d’Edwige par recommandation de la Cnil, aucun fichier contenant autant de données personnelles aussi sensibles.

Le cybercrime aussi important que le trafic de drogue ? Laissez-nous rire, écrivent Dinei Florencio et Cormac Herley, deux chercheurs de Microsoft dans les colonnes du New York Times. Selon les prétendus experts que l’on interroge ou les rapports annuels que l’on consulte, les cybermafias de tous horizons afficheraient un chiffre d’affaires cumulé variant entre 144 milliards et 1000 milliards de dollars expliquent Florencio et Herley. Chiffre absurde, estiment-ils, et qui ne reposent que sur la projection linéaire de quelques déclarations de pertes. Il suffit qu’une victime affiche 25 000 dollars de pertes pour que le « trou de la sécu » (rité informatique) multiplie ce chiffre par un facteur de 40 000 et on atteint rapidement le milliard de dollar.

Et les deux confrères d’expliquer à demi-mots que les seuls chiffres sur lesquels peuvent compter les politiques (notamment le Sénat US) sont émis par des entreprises du secteur de la sécurité informatique et des agences de sécurité gouvernementales, tous, donc, juge et parti, aucun n’ayant intérêt à voir ces chiffres se dégonfler.

Il y a pratiquement un an jour pour jour, Raoul Chiesa donnait, à l’occasion de la conférence Hackito Ergo Sum de Paris, une conférence détaillant les chiffres de l’Unicri, et remplaçant les cyber-mafias à sous la toise du grand banditisme (diapositive 9/96). Comment peut-on comparer les quelques malheureux (et déjà impressionnants) 1,6 milliard de dollars raflés par les professionnels du faux viagra et les 72 milliards de dollars que constitue le trafic de cocaïne à destination des USA et de l’Europe ? Dans la tranche napolitaine du crime organisé, les nouvelles technologies ne représentent qu’un fin glacis de confiture entre les épaisses couches de la prostitution, de la drogue, de la contrefaçon de biens matériels ou du trafic d’êtres humains. Recette sinistre que l’univers du business tente d’accommoder à sa sauce.

A périodes régulières, les vendeurs de DLP nous assènent des statistiques catastrophistes nous apprenant que le véritable ennemi, le pirate hideux qui ruine l’industrie se trouve au sein même de l’entreprise, puis c’est au tour des vendeurs de défenses périmétriques qui nous affirment le contraire, en nous faisant comprendre qu’il est impératif de mieux « blinder » nos réseaux contre une agression extérieure permanente, un déluge d’APT qui viennent jusque dans nos bras, égorger… etc. La cyberdélinquance existe, le fait est incontestable. Mais les marchands d’armes de défense, à force d’exagérer l’ampleur du danger réel, sont en train de se décrédibiliser. La « crise financière mondiale » n’explique pas tout. Certaines contre-performances du secteur sont, pour beaucoup, provoquées par une très nette baisse de confiance des clients envers les acteurs du marché.

Le passage du « droit à l’oubli » à « l’obligation d’oubli par voie règlementaire au niveau Européen » a du mal à passer auprès des grands Maître Brasseurs de l’Identité et de la donnée Personnelle. A commencer par Facebook, Google et Twitter, explique Marc Cherki du Figaro.fr, qui chacun commence à dégainer leurs avocats pour entamer un tir de barrage destiné à bloquer le projet de Viviane Redding (vice-président et commissaire européen chargé de la Justice, des Droits fondamentaux et de la Citoyenneté).

Les arguments de la défense du « We do not forgive. We do not forget » reposent sur ce que l’on pourrait appeler une cyclic redondancy error : il n’est pas possible, estiment-ils, de purger toute trace d’identité sur les réseaux sociaux, puisqu’il pourra toujours exister quelque part une copie en cache ou sur un site Web des traces numériques d’une personne. Tâche insurmontable, vaine, donc à ne pas faire.

Las, il faut se rappeler que la plus grosse mémoire (cache à la surface de la planète, probablement après celle de la NSA) est celle de Google. La présence de Google, le moteur de recherche, ainsi que de Blogger, la plateforme de blogging de Google, entravent le nettoyage efficace de Google Plus, le réseau social. Cyclic Redondancy Error, redo from start.

En outre, purger à la fois Facebook, Google et Twitter obligerait les forces en présence à s’entendre sur certains points techniques et stratégiques liés à leur trésor de guerre : les informations personnelles. Il est plus facile de s’allier pour que précisément cette situation n’arrive jamais. S’ajoute à ceci un autre problème, celui de la taille de la grenouille et du bœuf numérique, autrement dit du poids représentatif réel de ces grands réseaux sociaux. La question avait déjà été soulevée aux débuts de l’Internet grand public, avant l’explosion de la « bulle » des années 2000 : les fournisseurs d’accès montraient une réticence certaine à purger de leurs bases les comptes e-mail abandonnés ou inutilisés, car chaque compte, chaque nom, chaque identité était valorisée et servait de base spéculative servant d’indicateur à la capitalisation boursière de l’entreprise. Le phénomène se reproduit, amplifié, avec les réseaux Twitter, Google Plus ou Facebook. En ces temps de Bulle Deux-point-Zéro, toute tentative de régulation ne peut donc être la bienvenue.

La publication d’un nouveau numéro de Phrack est toujours un évènement. Le numéro 68 vient de sortir, et débute avec un hommage à un disparu célèbre : Dennis Ritchie, l’un des pères du langage C et d’Unix. Départ discret d’un géant de l’informatique qui, au regard du bruit médiatique que soulèvent certains blogueurs mondains ou patrons « créateurs par croissance externe», montre à quel point le futile et le marketing revêtent plus d’importance aujourd’hui que l’intelligence et le véritable génie créateur.

Beaucoup de hack orienté « mémoire »dans ce numéro. Mémoire au sens humain du terme, mémoire au sens memaloc/jemaloc aussi. Et aucune incursion dans le domaine matériel en revanche, pas même sous la forme d’une petite intrusion jtag ou assimilée. L’équipe revient aux fondamentaux de la revue. Pour les ethno-historiens du hack, à lire, donc, l’éditorial consacré à Dennis Ritchie, le profil de Phenoelit sous forme de questionnaire de Proust à la sauce binaire, augmenté d’un passage résumant l’origine et les buts de PH-Neutral. De l’humain encore avec un courrier des lecteurs d’une incroyable drôlerie, ou encore avec un historique des écoles de demomakers Grecs et des cyber-affrontements entre hackers Coréens du Nord et du Sud. Psychologie et sociologie du hacking enfin avec un amusant papier non signé intitulé « le bonheur dans le hacking »… le texte contient quelques vérités intéressantes.

Le reste demeure très « Phrack Way » : rootkit pour plateforme Android, cracking des white-box (deux Alka-Selzer sur le plan de la compréhension), exploiting the jemalloc memory manager (trois Alka-Selzer), IIS 7.5 remote heap overflow (un seul Alka-Selzer)… la liste est longue, les sujets très divers, tous aussi passionnants les uns que les autres. A télécharger donc, même si les antivirus Sophos considèrent cette littérature comme « infectée » (voir l’hilarant courrier des lecteurs, faire un seek sur le mot « CISSP »).