Tribune

p. 06  MISC 100, le changement c’est tout le temps

Malware Corner

p. 10  Analyse du malware bancaire GooTkit et de ses mécanismes de protection

Pentest Corner

p. 14  Quelques vulnérabilités du SDN

Forensic Corner

p. 24  10 ans de Suricata

Dossier

p. 38  Préambule
p. 39  Quelques enjeux pour votre SIEM
p. 46  Game of SOC : mise en place sans encombre d’une solution de SOC avec la stack Elastic
p. 57  Collecte de logs d’installations industrielles isolées
p. 64  Interfacer Suricata avec son écosystème de sécurité

Code

p. 72  Désérialisation Java : une brève introduction

Réseau

p. 78  Comment sécuriser la centralisation du calcul des routes d’un cœur de réseau ?

Et de 100 !

Lecteur de GNU/Linux Magazine depuis le 1er numéro, j’ai passé grâce à ce magazine des dizaines d’heures à expérimenter les merveilles parfois incongrues des langages Scheme, les perles de Mongueurs, le ray tracing avec POV, ou encore les bases de l’administration système. J’ai parfois été dérouté par l'enthousiasme du rédacteur en chef pour GNU Hurd comme j’avais pu l’être à la lecture des articles sur Amiga ou BeOS par la rédaction de Dream mais, sans flagornerie, une très grande partie des compétences informatiques dont je disposais à la sortie d’école d’ingénieur, je la devais à la lecture de la presse spécialisée.

Ainsi, après avoir pu faire mes armes sur les concepts techniques généraux que GNU/Linux Magazine a très largement concouru à me faire acquérir, j’ai découvert dans ses colonnes la série mythique « Éviter les failles de sécurité dès le développement d'une application » co-écrite par Pappy Raynal, Christophe Grenier et Christophe Blaess. Cette série décrivant par le détail les joies des « stack overflow », des « formats strings » ou encore des « race conditions » avec ce côté délicieusement ludique qui allait devenir la marque de fabrique de MISC.

En effet, la philosophie de ces articles n’était évidemment pas de lister par le détail toutes les fonctions dangereuses de C et de proposer une méthodologie d’analyse de conformité d’un code source sur étagère en décrivant les options de grep et les regexp les plus efficaces. Les articles exposaient avec pédagogie et détails le principe des vulnérabilités ainsi que la manière de les exploiter. Disposer d’une description détaillée des attaques pour pouvoir les reproduire, sur son propre système (ou à la rigueur sur un challenge de sécurité ;)), était vraiment inédit dans le paysage éditorial français.

Ma passion pour les attaques informatiques ne faiblissant pas, c’est pendant mon stage ingénieur comme apprenti pentester que je suis tombé sur le hors-série « sécurité informatique » de GNU/Linux Magazine aka MISC 0 aka le numéro à la tête de mort vert fluo. Le niveau de technicité des articles pourrait faire sourire les lecteurs les plus hardcores de MISC aujourd’hui, mais au début des années 2000, les techniques présentées étaient peu documentées, jalousement gardées secrètes. Un nmap suivi d’un Nessus étaient facturés au prix fort par les cabinets de conseil qui se multipliaient sentant l’effet d'aubaine. Découvrir dans ce numéro ce qui constituait l’expertise technique jalousement gardée par la société avait de quoi faire souffler un petit vent de panique parmi les collègues.

MISC a été rapidement rejoint par une multitude de magazines plus ou moins sérieux. Je vous invite d’ailleurs à vous replonger dans toutes ces parutions plus ou moins éphémères sur le génial site « Magazine Abandonware » [1] pour quelques minutes de nostalgie. Si certains d’entre eux proposaient un contenu rédactionnel de qualité et des articles rédigés par des spécialistes du domaine, d’autres étaient rédigés dans une syntaxe qu’un professeur des écoles pourrait qualifier « d’en cours d’acquisition » et promettaient de devenir un h4ck3r sans rien comprendre des architectures systèmes et des protocoles réseaux.

À la différence de ces magazines qui ne sont restés en kiosque que de quelques mois à quelques années, MISC a été pensé autour de valeurs que nous nous efforçons de continuer à faire vivre 17 ans plus tard :

• être un magazine de référence francophone pour la sécurité des systèmes d’informations traités sous un angle technique ;
• couvrir autant des mécanismes de défense que d’informatique offensive ;
• élargir parfois le champ d’études sur des domaines organisationnels ou juridiques sans que cela n’empiète sur le cœur de la ligne éditoriale ;
• maintenir une qualité éditoriale et rédactionnelle propre à intéresser les spécialistes de la sécurité des SI tout en gardant des articles suffisamment didactiques et accessibles pour ne pas être totalement hermétique pour un lectorat débutant dans le domaine de la sécurité.

Pour finir cet édito, je souhaiterais remercier toutes les personnes sans qui MISC ne serait pas ce qu’il est aujourd’hui :

• Frédéric Raynal sans qui ce magazine n’aurait jamais vu le jour.
• Les Éditions Diamond pour avoir fait vivre ce magazine depuis 17 ans et tout particulièrement à Véro puis Aline qui assurent le secrétariat de rédaction. Merci à elles d’avoir géré l’incapacité à peu près générale des auteurs de MISC à utiliser correctement des feuilles de style sous LibreOffice. Incompétence d’ailleurs très largement partagée par les (co-)rédacteurs en chef qui se sont succédé.
• Tous les auteurs de MISC qui font la richesse éditoriale de ce magazine et la diversité des articles. Les anciens auteurs assurant également, avec la rédaction, la relecture de tous les articles avant publication.
• Un immense merci enfin à tous nos lecteurs sans qui nous ne serions plus là aujourd’hui !

Cedric Foll / cedric@miscmag.com / @follc

[1] http://www.abandonware-magazines.org/