uste un billet rapide pour faire acte de présence, et répondre d'un coup à quelques mails. Oui, ce blog est silencieux depuis plus de deux semaines, ce qui doit constituer la plus longue période d'inactivité depuis sa création en octobre 2005, sans pour autant relever de la mort clinique. Donc non, je n'ai pas déserté ces lignes. Et pour répondre à certains, je ne fais pas non plus l'objet de pressions suite au dernier billet comme ils ont pu l'imaginer (?!).
L'absence de nouveau contenu n'est imputable qu'à un cruel manque de temps à y consacrer, pour en particulier faire avancer la rédaction d'une poignée de billets en souffrance depuis bien trop longtemps et qui, je l'espère, se débloqueront d'ici la fin de l'année. En particulier un qui parle vaguement de Cloud Computing et un second sur l'intérêt des tests d'intrusion, même si je me suis fait griller une partie de l'argumentation par SecurityVibes...
Et pendant ce temps, l'Internet mondial qui ne s'arrête jamais continue de nous faire sourire...
Et pour quand même dire quelque chose d'autre que "coucou je suis là", vous aurez probablement remarqué que deux des logiciels dont on parle régulièrement dès lors qu'il s'agit de 0day se font exploiter via une nouvelle faille en ce moment même. Je ne devrais pas vous surprendre en vous apprenant qu'il s'agit du duo de choc, j'ai nommé Adobe Reader et Acrobat. La vulnérabilité touche les versions 8 et 9 des produits et permet l'exécution de code arbitraire manifestement via des fichiers PDF présentant des flux compressés.
Adobe se montre une nouvelle fois avare en détails pratiques sur la faille en question avec un bulletin publié hier des plus pauvres de ce point du vue. Ceci dit, les lecteurs tenaces n'auront qu'à approfondir un des liens donnés ici pour trouver des détails que d'aucuns pourraient juger inopportun de vous livrer ici. Heureusement, ce bulletin nous donne une solution de contournement totalement "inédite". Car là encore, personne ne sera surpris par la méthode : interdire l'exécution du JavaScript. Encore une fois... Mais pas que. On pourra aussi utiliser le tout nouveau "JavaScript Blacklist Framework'' pour lequel une règle spécifique est fournie. De quoi, assurément, se prendre à espérer pouvoir un jour gérer correctement le JavaScript de manière générique... Après tout, il n'est pas trop tard pour se fendre d'une lettre au Père Noël...
Certains, plus pragmatiques, auront enfin fini par pencher pour l'utilisation d'un autre lecteur de PDF... Sans support JavaScript...
Et maintenant qu'on approche du nouvel an, les paris s'ouvrent sur les tendances 2010. Si vous avez cinq minutes à tuer, allez donc lire les dix prédictions que font Mark Weatherford, CISO de l'État de Californie, et Dan Kaminsky, qu'on ne présente plus, pour l'an prochain. De quoi nous parlent-ils ? De montée en compétences des organisations en sécurité informatique, de réseaux sociaux, d'infrastructures critiques, de cloud computing et de criminalité informatique. Rien de bien original, si ce n'est la sortie du marché des produits et technologies inefficaces en sécurité informatique que prédit Dan Kaminsky. Si seulement ça pouvait être vrai...
En fait, si on se prenait à vouloir de meilleures prédictions, peut-être aurait-on plus de chance en demandant à Google... Non ? Non...