sstic
A first glance at the U2F protocol Dans les protocoles d’authentification à deux facteur du web, on a souvent le choix entre des « authenticators » qui fonctionnent sur un secret partagé et qui génèrent une clef dérivée du temps, stockée en base, donc potentiellement récupérable. Et l’authentification via SMS,
sstic
Et c’est reparti pour une nouvelle session de SSTIC. Pour les recalés du 3DSecure et du copier-coller de CB vous pouvez toujours profiter de l’événement sur le stream. (sauf pour la conf d’ouverture). Soyez rassuré, votre CR du SSTIC sera rédigé par votre serviteur ;). Conférence d’ouverture
sstic
Cette année, l’amphi du SSTIC est bien clairsemé. Heureusement que les conf ne reprenaient qu’a 9h45… 🙂 PyCAF – un framework d’audit de configurations L’audit de conf, c’est la tâche fastidieuse mais nécessaire, du suivis de guidelines à la validation du durcissement d’un OS. Souvent lors
sstic
SSL-TLS 3 ans plus tard Un retour sur les nombreuses vulnérabilités SSL/TLS qui ont frappé ces 3 dernières années. Entre les problèmes dans l’automate chargé de contrôler la séquence de négociation TLS, ce n’est pas les problèmes qui manquent. Certains bugs TLS reviennent, par exemple, le GotoFail
sstic
Bon, c’est repartis pour un nouveau SSTIC. Cette année, les actes sont très réussis, et Très épais… ça pèse lourd dans le sac. Le ton est donné, cette année il y aura du lourd 😉 Sécurité et ingénierie dans chromium – Julien Tinnes En 2005 on essayait de chopper des 0-dayz
sstic
C’est peut-être lié à l’effet streaming (on me souffle que ça sera mis en ligne sous réserve de l’obtention de l’accord des orateurs), mais je trouve que SSTIC à été très peu blogué cette année. Surtout commenté sur twitter, qui à apparemment supplanté les blogs pour
sstic
Bon, bah on est reparti, de pas trop bonne heure :] cette année on à eu 15min de sommeil potentiel en plus. Certains ne se sont pas couchés, d’autres ont été raisonnable mais l’amphi est quand même rempli. Fuzzgrind sous windows par Sébastien Lecomte A la base était fuzzgrind,
sstic
Allez on est reparti ! (Si je dit une connerie, hésitez pas à lâcher un commentaire pour que je corrige ça ) Edit: j’ai regardé, j’ai pas vu grand monde blogguer JavaCard Par Guillaume Bouffard Jean-Louis Lanet Hop, un rappel sur le fonctionnement des JavaCard. Bon en gros, c’est
sstic
Bon, vu qu’il y à un streaming ICI, je vais peut-être lever le pied sur le liveblogging :] Keynote d’ouverture – Travis Goodspeed Une preuve de concept est une preuve valide par construction (au sens mathématique), c’est pourquoi, avec ce concept en tête, que Travis Goodspeed a créé le
sstic
Par Ludovic Mé (supélec) (edit: slides) Faire face aux cybermenaces => détecter (les attaques) ^ former (des experts en SSI) Bon bah l’orateur vas nous parler de ce qu’il fait depuis 20 ans, et bien que le titre ne lui plaise pas il va parler quand même. Il n’
sstic
Par Davide Canali (Edit: slides) L’hébergement mutualisé, c’est l’enfer niveau sécurité. Des millions d’utilisateurs, pas de contrôle sur la machine, plein de petits sites et une surface d’attaque ENOOOORME. L’orateur à donc testé l’efficacité de ces hébergeurs. Il a donc pris plein d’
sstic
Par Dimitri Kirchner (Amossys) Une histoire d’un séjour dans un hôtel avec un prompt truecrypt et LE doute, est-ce que l’evil-maid est passé par là ? Bah on à un TPM sur le PC, et on a un téléphone qui lui reste sur nous… on va donc partir du