actualité

Budget 2015, jeu d’argent en ligne et filtration de sites illégaux

Dans le nouveau budget 2015-2016 du Gouvernement du Québec, un des éléments mentionne le jeu d’argent en ligne et la perte de revenu de Loto-Québec.  La piste de solution retenue est la responsabilité pour les fournisseurs d’accès Internet de mette en place des systèmes de filtrage de sites Internet pour bloquer des sites non autorisé par le gouvernement du Québec.

Pour reprendre l’énoncé exact du budget

Une modification législative sera proposée afin d’instaurer une mesure de filtration des sites illégaux. Celle-ci prévoira qu’aucun fournisseur de services Internet ne pourra permettre l’accès à un site de jeux de hasard et d’argent en ligne dont le nom se retrouve sur une liste de sites à proscrire établie par Loto-Québec. L’application de cette mesure sera assurée par la Régie des alcools, des courses et des jeux, laquelle devra disposer des ressources nécessaires pour exercer ces nouvelles responsabilités

 

Vous pouvez consulter le Budget ici, l’énoncé est vers la fin de celui-ci dans la section sur le jeu en ligne .

Je ne tiens pas à commenter le jeu en ligne. Par contre,  le concept de filtration de sites Internet par le gouvernement est un concept qui me déplaît.  Cette approche ne fonctionne pas.  Elle a été testé dans d’autres pays avec aucun succès, les mesures technologiques sont facilement contournables, ces dispositions législatives ouvrent la porte à des abus pouvant impacter la liberté d’expression en plus d’impliquer des infrastructures supplémentaires auprès des fournisseurs Internet.

Déjà un grand nombre de citoyens utilisent des mandataires et des réseaux privés virtuels pour accéder à du contenus non accessible du Québec tel que la vidéo sur demande ou des systèmes similaires, alors imaginer que les joueurs en ligne n’utiliseront pas les mêmes techniques et qu’ils se limiterons qu’aux sites autorisés par le gouvernement est mal connaitre la technologie en cause et le fonctionnement d’Internet et des mécanismes de contrôles associés.

Les modifications législatives ne sont pas encore proposées, mais il convient de rester vigilant.  La neutralité Internet est un concept important et la mise en place de mesure technologique n’est jamais une bonne solution pour régler ce genre de problématique qui est avant tout politique.

 

 

Vulnérabilité relais courriel (sendmail.php) dans le thème WordPress « nolimits » de whoathemes

Le thème WordPress NoLimits de whoathemes intègre un script d’expédition de courriel (sendmail.php) non sécurisé permettant l’envoi de courriel à des tiers.

$to      = isset($_POST['to']) ? test_input($_POST['to']):'';
$name    = isset($_POST['name']) ? test_input($_POST['name']):'';
$email   = isset($_POST['email']) ? test_input($_POST['email']):'';
$subject = isset($_POST['subject']) ? test_input($_POST['subject']):'';
$phone   = isset($_POST['phone']) ? test_input($_POST['phone']):'';
$website = isset($_POST['website']) ? test_input($_POST['website']):'';
$country = isset($_POST['country']) ? test_input($_POST['country']):'';
$city    = isset($_POST['city']) ? test_input($_POST['city']):'';
$company = isset($_POST['company']) ? test_input($_POST['company']):'';
$content = isset($_POST['content']) ? test_input($_POST['content']):'';
$sitename = isset($_POST['sitename']) ? test_input($_POST['sitename']):'';
$siteurl = isset($_POST['siteurl']) ? test_input($_POST['siteurl']):'';

Vulnerabilité ntopng dans pfsense

J’ai expédié un avis de vulnérabilité la semaine dernière à l’équipe de pfsense concernant le package ntopng, pour votre information voici le commit de correction https://github.com/pfsense/pfsense-packages/commit/0e931059d5cf44828b0b1dd29a9102618d0ce2a1 . Pas besoin d’inclure de PoC, le diff est assez explicatif sur la vulnérabilité. Donc si vous utilisez le package ntopng v0.2, je vous invite à le mettre à jours.

Lancement en mode béta de catégo.info

C’est avec plaisir que notre entreprise rend accessible en mode invitation notre plate-forme de gestion de la sécurité catégo.info. Ce produit à été développé pour aider les organisations à gérer de façon dynamique leur sécurité de l’information, notamment leur catégorisation, les analyses de risques et la rédaction de plan directeur.

Je tiens à remercier mon équipe, ainsi que mes clients qui ont participé au développement de cette plate-forme en ligne.

Pour plus d’information visitez decouvrez.catego.info ou sur catego.info

Conférence hackfest 2013 – Techniques d’évasion antivirale

Je serai conférencier pour l’édition 2013 du hackfest avec conférence sur les techniques d’évasion antivirale. Plus de détails à venir. Entre-temps, visiter le site du hackfest pour plus d’informations.

Techniques d’évasion antivirale

Pour chaque millier de variantes de virus, certains réussissent à survivre et à prospérer. Comment ont-ils passé à travers les mailles des filets et comment un attaquant pourrait s’en inspirer ?

Au cours des dernières années l’arsenal des solutions antivirales a évolué : sandboxing, systèmes de réputation, solutions cloud, analyse comportementale, etc. Mais pour chaque nouvelles défenses, des nouveaux vecteurs d’attaques ont fait leurs apparitions.

L’objectif de cette conférence est de comprendre comment ces mécanismes fonctionnent en détail analyser leurs vulnérabilités, et voir comment un attaquant peut les exploiter à son avantage et les utiliser pour contourner et affaiblir la sécurité d’une organisation.

En espérant vous y voir en grand nombre !

Rehausser sa sécurité informatique en 10 étapes

C’est avec plaisir que vous pouvez maintenant consulter mon article « Rehausser sa sécurité informatique en 10 étapes » paru dans la revue Via Bitume du mois de Juin.

Pour une entreprise, il est important de protéger ses données. Malheureusement pour plusieurs entreprises, un incident informatique est nécessaire avant de rehausser leur sécurité. Pourtant, les informations telles que les plans, propriétés intellectuelles, correspondances d’affaires et la comptabilité sont nécessaires au bon fonctionnement de l’entreprise. La sécurité de l’information consiste à garantir la confidentialité, l’intégrité et la disponibilité de ces données. Par où une entreprise doit-elle commencer? Voici dix éléments importants qui vous permettront d’avoir une sécurité à toute épreuve!

(suite…)

Implication dans XODA

J’ai décidé de me joindre à l’équipe de développement du logiciel libre XODA. C’est un logiciel simple permettant la gestion l’accès à des documents en lignes. La version 0.3.0 devrait sortir sous peu, plusieurs options additionnels est une sécurité accrue.

Bonne année 2011

J’en profite pour souhaiter à tous une bonne année 2011 !

Proposition de conférence pour Confoo 2011

À la suite de ma conférence de l’année dernière pour confoo, j’ai décidé de remettre l’expérience et de proposer une conférence pour l’édition 2011. Cette année j’ai soumis une proposition en lien avec la santé 2.0, la sécurité et les logiciels libres…

[MEDS-2010-5] Injection de NULL dans SmartOptimizer

Voici un avis de sécurité pour SmartOptimizer 1.7 et précédente. Une vulnérabilité permet des accès à des types de fichiers non autorisées (exemple code source des applications) en utilisant un null byte (%00) pour contourner la vérification des extensions valides. L’exploitation est très simple :

smartoptimizer/index.php?../index.php%00.js

Le développeur de ce logiciel à intégré un correctif, ainsi la version 1.8 corrige cette vulnérabilité et est disponible à l’adresse suivante : http://farhadi.ir/works/smartoptimizer

Go to Top