8,90 € TTC
p. 04 Petya or not Petya, that is the question
p. 10 Exploitation des injections de template dans Django
p. 16 Aller plus loin que l’événement 4624 : détecter les actions malveillantes sur un AD
p. 24 Préambule
p. 25 106 shades of Marble
p. 34 Shadow Brokers : courtier ou agent d’influence ?
p. 40 Soupe à l’.onion
p. 48 Lanceurs d’alerte : premier contact
p. 54 Voyage en C++ie : les symboles
p. 58 Devops, automatisation et gestion d’incidents
p. 69 Active Directory : transformer une faiblesse en point fort
p. 78 Les standards de cryptographie : de la théorie à la pratique
Plusieurs événements liés à la sécurité ont pu vous sortir de votre torpeur ensoleillée cet été. Par chance, si vous avez posé vos congés en août, vous ne risquiez pas de couvrir l’écran de votre smartphone de crème solaire.
Une première lecture ayant retenu mon intérêt est la publication d’un billet sur le blog de Quarkslab [1] d’une faille sur microcontrôleur utilisé notamment dans l’industrie automobile. Un détail retient particulièrement l’attention sur ce billet : le parcours du combattant de Quarkslab avant de pouvoir communiquer la faille. La lecture de la timeline à la fin du billet est particulièrement instructive et révélatrice de ce que vivent la plupart des chercheurs s’étant engagés dans une procédure de responsible disclosureen vue de la publication d’une vulnérabilité découverte. Une attitude qui n’encourage malheureusement pas les chercheurs à adopter une démarche responsable. Il est dommage qu’il soit plus simple de vendre une vulnérabilité à un broker contre quelques bitcoins que de publier la faille avec l’accord de l’éditeur après qu’il ait pu développer un correctif.
Mais l’événement qui a fait bruisser tout le petit monde de la sécurité des systèmes d’information cet été est certainement celui de la mésaventure de MalwareTech inculpé à la sortie de l’avion alors qu’il rentrait de la Defcon [2]. MalwareTech s’est retrouvé sous les projecteurs quelques semaines auparavant alors qu’il stoppait presque par hasard la propagation de Wannacry, le malware décrit par les médias comme une apocalypse allant détruire l’ensemble des systèmes d’information de la planète en un week-end. Si l’on se souvient que le vecteur d’infection de ce code malveillant le rendant si dangereux était basé sur ETERNALBLUE, l’outil probablement conçu par la NSA pour compromettre les systèmes d’exploitation Windows, découvrir que MalwareTech était quelques semaines plus tard mis en accusation et interrogé par le FBI pour un obscur code malveillant datant de 2015 [3] est quelque peu ironique.
Passée la franche rigolade de voir le FBI s’attaquer à un geek britannique de 22 ans rémunéré en pizza [4] pour avoir bloqué un ver informatique utilisant un code de la NSA qui n’aurait jamais dû se retrouver dans la nature, on peut s'interroger sur l’impact de ce genre de pratique sur la recherche en sécurité. Si les spécialistes en sécurité doivent s’attendre à ce genre d’intimidation par les services étatiques des pays dont ils passent la frontière, et en tout premier lieu par les États-Unis, la recherche publique et le partage d’informations risquent de ne pas faire long feu. Et, ce que malheureusement ne comprennent pas les tenants d’une approche prohibitive, c’est que brider la recherche ouverte n’a jamais amélioré la sécurité des utilisateurs, mais fait le lit du marché noir.
Cedric Foll / cedric@miscmag.com / @follc
[1] https://blog.quarkslab.com/vulnerabilities-in-high-assurance-boot-of-nxp-imx-microprocessors.html
[2] https://www.wired.com/story/marcus-hutchins-arrest
[3] https://doublepulsar.com/regarding-marcus-hutchins-aka-malwaretech-650c99e96594
[4] http://www.numerama.com/politique/258637-langlais-qui-a-stoppe-wannacrypt-gagne-un-an-de-pizzas-et-10-000-dollars.html
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
Depuis l’affaire Snowden, les lanceurs d’alerte, jusqu’alors plutôt focalisés sur les malversations financières ou les scandales d’État, ont commencé à divulguer des informations particulièrement intéressantes pour comprendre le mode de surveillance mis en place par la NSA et l’étendue de ses capacités techniques.
Avec Threat Intelligence et Machine Learning, l’autre buzzword du moment en sécurité est automatisation et orchestration. Cela se transforme facilement en projet géant visant à remplacer la masse salariale et accouchant d'une souris. Mais non ! Si ça arrive, c'est un problème de management (mais qu'est-ce qui ne l'est pas... ;-). L'objectif, le vrai, mettre les analystes là où ils ont le plus de valeur, l’analyse de l’incident, et pas à répéter des petites tâches sur des centaines ou milliers de serveurs.
Depuis maintenant plusieurs mois tout le monde reste suspendu à la question des mystérieux Shadow Brokers qui font fuiter les outils de l’APT Equation Group, aujourd’hui attribués à la puissante National Security Agency (NSA). Qui sont-ils et que cherchent-ils réellement à accomplir ? Essayons d’adopter une lecture critique et avertie des faits.