Misc 86

Exploit Corner :

p. 04 CVE-2015-7547

Malware Corner :

p. 10 Pleased to meet you, my name is Petya !

Forensic Corner :

p. 18 Quand la Threat Intelligence rencontre le DFIR – 2ème partie

Dossier :

p. 24 Préambule
p. 25 Une approche de l’Internet des objets en entreprise et de la dépérimétrisation
p. 34 Réseau sans fil 802.15.4 et sécurité
p. 42 Tout, tout, tout, vous saurez tout sur le ZigBee
p. 52 Analyse radiofréquence d’une clé de voiture

Code :

p. 61 L'impact réel de la cryptographie obsolète sur la sécurité

Système :

p. 70 Windows 10 : confidentialité et sécurité de vos données

Organisation & Jurdique :

p. 78 Simulation d’attaque APT

Jurassic Park II : le retour éphémère du dinosaure

Françaises, Français, Belges, Belges, geeks velus élevés au Coca light, à la pizza et autres RST de cuisine, fétichistes du silicon plus dans la valley que dans les seins, virtuoses de l’ARP aux doigts volants, tels Christian, sur le clavier, amateurs de bits surtout bien RAID, pervers du test de pénétration et autres back orifices, public chéri mon amour : bonjour !

Je trouve impressionnant que vous soyez aussi nombreux à me (re)lire. En ce qui me concerne, j’aimerais mieux faire autre chose que rédiger cet édito. Je me réjouis toutefois à l’idée des gloussements étouffés que vous pousserez à la lecture d’un calembour, de vos regards bovins qui éclaireront vos visages à la lecture d’un calDüsseldorf, ou des larmes que vous verserez devant tant de calamités.

Que s’est-il passé depuis ma pseudo-retraite dans le petit monde de la SSI française ? L’ANSSI a continué à labelliser tout et n’importe quoi, les gros acteurs ont continué à racheter tout et n’importe quoi, et les APTs ont continué à défoncer tout et n’importe quoi. Rien de nouveau en fait.

Ah si, ma fille, Romane, 3 mois, à qui je dédie cet édito pour quand elle saura lire. On m’avait promis l’enfer, mais avec elle, je ne suis pas au feu tous les jours, car elle est loin d’être la pire, Romane. Mais je m’éloigne, ceci n’a aucun rapport, à la différence de la naissance de ma fille qui en a nécessité.

Je m’imagine déjà dans quelques années tentant de lui expliquer ce que j’ai fait de ma vie, et le monde parallèle sans loi (lex en latin) et sans yack de l’Internet. Et comme on dit en SSI, para : no yack ! Alors, quels animaux pouvons-nous rencontrer dans le pays merveilleux de la SSI ?

Chief Information Security Officer : Un bon CISO est un CISO mort ! À cause de son surmenage, il court de réunion en réunion, jusqu’à l’épuisement. Pour y remédier, les anglo-saxons les nomment en duo, afin d’avoir une paire de CISO. En Chine, où ils sont bien plus nombreux, on parle de CISO 27000. C’est censé être le coordinateur de tout ce qui touche à la sécu, mais c’est bien souvent un placard où les moyens ne sont à la hauteur ni des besoins, ni des attaquants.

Le malware analyst : Le malware analyst est à la sécurité ce que le cuisinier de fastfood est à la gastronomie. Il abat un travail considérable et répétitif, enchaînant les analyses tel Lance Armstrong au Tour de France. Passant de sa sandbox préférée à son SIEM, il ne touche jamais à son IDA, car il s’appuie sur l’unpacker Lewis ne perd jamais. Il se rend ainsi compte que les menaces avancées le sont autant que toi lecteur à l’issue de cet édito.

Le pentester : Aspirant à rooter globalement n’importe quel serveur qui passe sous son nmap à l’aide d’une injection SQL aveugle déclenchant un remote heap overflow dans le kernel dudit serveur, la plupart du temps, admin/admin lui suffit pour atteindre son objectif. La satisfaction de la réussite laisse alors place au désespoir en l’espèce humaine. Parfois, une dose hors norme de stéroïdes est nécessaire, c’est la méthode Charlyze, pour un test Theron, mais c’est aussi rare qu’une fille dans le public de SSTIC.

Le vuln researcher : Un bon 0 day est un 0 day vivant, sauf pour le projet 0 de Google qui, avec un talent indéniable (James, Dan, Tavis, Ide, et plus), met la sauce Tartare pour en tuer autant qu’ils peuvent en les disclosant parfois sauvagement pour faire bouger les éditeurs :

« tu devrais te consacrer aux JAR, je passe mon temps à trouver des vulns, tellement c’est troué » dit Dan à Ide. Au moins, en Ormandy, les gars avaient une chance de gagner contre les nazis... Là, pour tenter d’imposer ses muscles auprès des éditeurs, Google y va à coups de chocs, c’est de la comm’ Taser, mais pour autant, il restera toujours des bugs.

Finalement, on se rend compte que ce n’est pas tant la fonction que la bonne volonté et les compétences qui font bouger les lignes. La SSI est une aventure humaine avant tout, destinée à protéger nos données tel un cardinal protégeant ses prêtres. Parfois, il y a des fuites (et tant mieux). Il faut donc se bouger et sensibiliser tout le monde, pas que les « hackers » qui le sont déjà, aux notions élémentaires de sécurité, nos données étant partout, tripotées par n’importe qui. Sinon, comme on dit à Lyon : Noël à confesse, Pâques dans les fesses.

Alors voilà, public chéri mon amour, tu comprends pourquoi je voudrais faire autre chose qu’écrire cet édito : je baisse ! Plutôt que de glousser bêtement en cherchant les calStuttgart de ce texte, il me semble que toi aussi tu as mieux à faire, comme tourner les pages de ce magazine pour te cultiver, si tu ne veux pas terminer comme le sot 6 de Francfort, hein mon chou, comme une veille croûte.

Sur ces paroles angéliques, je retourne dans ma retraite aux Îles Marquises à me faire des couilles en or en mangeant des bonbons, c’est ce qu’on appelle le cyber-lingot. En réalité, je suis ravi de vivre cette époque de révolution technologique et sociétale en essayant d’y apporter ma modeste contribution. Quand on peut vivre d’une de ses passions, c’est quand même un luxe, il ne faudrait pas que mon Alzheimer me le fasse oublier.

Fred RAYNAL (a.k.a. pappy avant d’avoir été pappa, fondateur de MISC canal historique) @fredraynal / @MISCRedac