As anticipated in public comments, the Linux Foundation is already beginning a campaign to rewrite history and mislead Linux users. Their latest PR release can be found at: https://www.linux.com/news/greg-kh-update-linux-kernel-46-next-week-new-security-features, which I encourage you to read so you can see the spin and misleading (and just plain factually incorrect) information presented. If you've read any of our blog posts before or are familiar with our work, you'll know we always say "the details matter" and are very careful not to exaggerate claims about features beyond their realistic security expectations (see for instance our discussion of access control systems in the grsecurity wiki). In a few weeks I will be keynoting at the SSTIC conference in France, where a theme of my keynote involves how little critical thinking occurs in this industry and how that results in companies and users making poor security decisions. So let's take a critical eye to this latest PR spin and actually educate about the "security improvements" to Linux 4.6.
La majorité des abonnements à Internet proposés par les fournisseurs français incluent une box permettant à l'utilisateur de bénéficier pleinement de tous les services proposés dans leur offre. Ces équipements permettent de réduire considérablement les connaissances techniques nécessaires à l'installation d'Internet au domicile. A notre connaissance, relativement peu d'études ont analysé la sécurité de ces BOX ADSL. Cet article présente une méthodologie innovante d'analyse de sécurité ainsi que des premiers résultats.
Dans un premier temps nous proposons une méthode permettant d'intercepter et d'analyser tous les protocoles réseaux mis en oeuvre lors du démarrage d'une BOX ADSL. Cette méthode nous a permis de réaliser une étude comparative de différentes BOX utilisées par les opérateurs français. L'application de cette méthode a permis de révéler un problème de sécurité potentiel pour deux d'entre elles. Nous présentons ensuite une plateforme d'expérimentation permettant d'exploiter les faiblesses identifiées.