Misc 77

SÉCURITÉ DES MOYENS DE PAIEMENT :

COMMENT FACILITER LES ÉCHANGES TOUT EN ÉVITANT LA FRAUDE ?

1 - Introduction au paiement par carte bancaire
2 - Le paiement en ligne, comment ça marche ?
3 - Les chasseurs de cartes, des criminels organisés !
4 - Skimming et analyse forensique
5 - Pour aller plus loin : le bitcoin, une monnaie décentralisée

Cliquez sur la couverture pour découvrir le sommaire et des extraits du magazine !

Plus de détails

8,90 € TTC

 

Au sommaire de ce numéro :

Exploit Corner
p. 05  Exploitation de la CVE-2014-7228 : exécution distante de code dans Joomla! / Akeeba Kickstart

Pentest Corner
p. 12  « Hookons » avec JavaSnoop !

Forensic Corner
p. 18  Utilisation de l'analyseur de performances en live forensic Windows

Dossier
p. 24  Préambule
p. 25  La carte bancaire, comment ça marche ?
p. 30  Cartes bancaires et e-commerce
p. 36  Organisation d'un groupe cybercriminel de chasseurs de cartes
p. 40  Fraude aux mouchards bancaires (« skimming ») et analyse forensique
p. 49  Le bitcoin : de l'argent liquide numérique

Application
p. 58  Manipulation du trafic et des protocoles réseaux en userland (partie 1/2)

Science & technologie
p. 64  Surveillance généralisée : quid de la confidentialité  persistante ?

Société
p. 70  Quel plan d’action pour la diffusion, l’explication et la mise en application de la nouvelle PSSI de l’État ?

Réseau
p. 78  Utilisation d’une sonde de détection (suricata) comme contre-mesure à l’usurpation d’e-mails

EDITO :

Auto-nécrologie d’un rédacteur en chef (mais pas que) 

Après de nombreuses années au service de MISC en tant que rédacteur en chef, il nous quitte. Certains diront « enfin », les plus joueurs qu’il nous double. En tout cas, il en avait une belle paire et se défonça pour ce magazine au point de se mettre carpette. Enfin ...
tapis. C’est donc avec émotion, tremblant, chancelant, limite brelan, que je rédige ce dernier édito, cette auto-nécrologie. 

Résumé pour les pressés : ô range, ô désespoir, ô vieillesse ennemie ! 

Malgré un QI avoisinant les 0x539, il tomba tardivement dans la sécurité, en 1996 pour ses 24 ans. Certains lecteurs n’étaient même pas nés (escalope). Il considéra savoir faire des trucs seulement 5 ans plus tard. Puis vinrent 7-8 années « faciles » où il apprit autant qu’il pratiqua. Depuis, il est sur la pente descendante au niveau technique (enfin, grâce à son arthrite, il la descend lentement) et ascendante au niveau social (il parle même avec des commerciaux). Maintenant, il « hacke » des humains et le système autant que possible : bref, il est à la fin. Et pourtant, il continue à apprendre et à avancer : pourquoi ? 

Premier âge : salut baby, ça hack ? 

Il commença par expérimenter la « sécurité » sur l’énorme réseau de l’INRIA (surtout la baie b) pendant sa thèse. Il pouvait jouer, découvrir, tester avec talc, pratiquement tout était permis tant qu’il ne détruisait rien et prévenait les admins quand il voyait des trucs abusifs (merci Denis). Il en tenait une sacrée couche. 

Quand on se lance là-dedans, on est confronté à un double sentiment. D’une part, on est un n00b, car la Bart est haute : on n’arrive pas à grand-chose de plus que copier/coller du code, l’utiliser en ne comprenant que 10% de ce qu’on instrumentaLisa. Il y a une sacrée Marge de progression. Et pourtant, quand il marche comme par Maggie et qu’on parvient alors à rentrer sur une machine, détourner du trafic ou générer une licence Photoshop, c’est aussi bon qu’un donuts pour Homer Simpson. 

Et c’est alors qu’on a un choix à faire : de quel côté de la ligne rester. 

Il eut la chance de ne pas avoir à faire ce choix. Enfin, la réponse s’est imposée d’elle-même, de par son caractère angélique et une éducation neuilléenne-chrétienne-parisienne dont sa mère n’est pas peu fière. Le frisson venait de ce qu’il avait compris, réussi, pas du fait que ce soit de tel ou tel côté de la ligne. 

En tant que fan de Spider Man (et non de radis - à noter que cette blague marche aussi avec des carottes), il eut assez vite une idée des responsabilités qui lui incombaient. Il ne pouvait même pas se permettre d’utiliser ce savoir pour lire les e-mails de ses (ex-)copines, ce bouffon, s’il eut été rongé par le venom de la jalousie. 

La seule source de savoir était globalement Phrack et quelques autres obscures e-zines. Personne ne se souciait de la « cybersécurité », les connaissances étaient le lot de certains. Afin de progresser plus vite, quelques « rencontres » conduisaient à des échanges enrichissants : pipacs, plaguez, analyst, halvar, kad, sid, fischy, Phil, Laurent et tant d’autres. Il est amusant de constater que, globalement, tous ces gens continuent aujourd’hui à faire ce qu’ils faisaient avant, mais plus ou moins ouvertement ou gèrent leur propre boîte. 

Deuxième âge : l’adolescence, super ou sans plomb dans la tête

À la fin du premier âge naquirent MISC et SSTIC, surnommés « doubles dragons ». Il fut impliqué dans ces 2 projets qui sont encore là aujourd’hui, tels les vestiges glorieux et brillants d’un passé non moins illustre. Mais sont-ils encore utiles ? 

Il fallait ouvrir les yeux aux organismes, aux entreprises, à l’État qui niaient une chose qui était une évidence : la sécurité informatique était toute pourrie. Rien ne marchait. Des pirates exploitaient des failles, et il fallait comprendre et se protéger. On ne va pas attendre Pâques, man ! 

Inconscient ou mégalomane (sans doute les 2), un petit groupe de potes voulut donner un coup de pied dans la fourmilière pour préserver leur soif de liberté qui s’épanouissait sur Internet, pour garantir l’accès au savoir à tout un… suite sur www.miscmag.com

Fred Raynal

A propos du magazine
Logo

LE MAGAZINE POUR LES EXPERTS DE LA SéCURITé informatique multiplateformes

Face à la transformation digitale de notre société et l’augmentation des menaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 15 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.

Déjà vus

Nouveaux produits