8,72 € TTC
p. 04 Exploitation du CVE-2015-4843
p. 10 C’est une bonne situation, ça, Scribbles ?
p. 14 Paniquez pas, on grep !
p. 22 Préambule
p. 23 Aperçu de la sécurité de Docker
p. 31 Introduction aux containers Linux
p. 40 Docker : les bons réflexes à adopter
p. 48 Docker, DevOps & sécurité : enfin réconciliés !
p. 54 Protection 802.1x et techniques de contournement
p. 62 Trouver efficacement les équipements réseau vulnérables à un PSIRT
p. 70 FreeOTP : authentification VPN à 2 facteurs open source
p. 78 Les CERT, acteurs de la cybersécurité internationale
The user’s going to pick dancing pigs over security every time™
Lors d’une conférence il y a quelques semaines, j’évoquais avec une collègue la GPDR et la nécessité selon moi d’une intervention des États pour contraindre les sociétés à protéger les données personnelles des usagers de leurs services numériques. Pour balayer devant ma porte, les administrations font souvent elles aussi preuve d’une coupable négligence et la sécurité est trop souvent considérée par les maîtrises d’ouvrage comme une brique technique pouvant être ajoutée en toute fin de projet par les maîtrises d’œuvre quand tout le reste est terminé. L’expression des besoins se résumant alors très schématiquement à « le niveau de sécurité doit être maximum sans perturber les utilisateurs, retarder la mise en service ou dépenser un euro de plus. Bonne chance les gars, on compte sur vous ! »
Pour revenir aux différents exemples de sociétés ayant perdu dans la nature la totalité de leurs données utilisateurs, mon interlocuteur m’opposait que Yahoo! était déjà un cadavre à la renverse quand ses données s’étaient faites pirater, qu’Ashley Madison était un marché de niche dont l’impact des pertes de ses bases était difficile à évaluer. Enfin pour Equifax, les utilisateurs présents dans leurs bases n’ayant pas choisi d’y être, la perte de confiance dans la sécurité de leurs données n’aurait pas forcément une grande incidence sur le business.
Peut être suis-je pessimiste, mais pour reprendre un exemple récent, je ne pense pas que la fuite de données personnelles conduise beaucoup d’utilisateurs à renoncer à gagner quelques euros sur leur prochaine course de taxi. Et par conséquent, je doute de la capacité des entreprises à assurer sans y être contraintes la sécurisation des données de leurs utilisateurs, il en est évidemment de même pour les téléservices des administrations pour lesquels il est de plus en plus rare de se voir proposer une alternative.
Mais trêve de défaitisme, cet édito est également l’occasion de vous faire part de deux ajustements dans le magazine.
Le premier est qu’à partir de ce numéro, Émilien Gaspar, déjà contributeur régulier de MISC et rédacteur en chef de plusieurs hors-séries va prendre en charge les dossiers. Il commence dès le numéro de janvier avec un dossier sur la sécurité des conteneurs, technologie ô combien à la mode qui a déferlé dans nos data centers pour devenir en quelques années incontournable.
Le second est que nous allons recentrer le magazine sur les sujets techniques. Certains d’entre vous nous ont fait part de leur réserve quant à quelques dossiers ou articles s’écartant un peu de la ligne éditoriale historique de MISC pour s’aventurer sur des sujets plus organisationnels. Nous en prenons donc acte et nous engageons dans un retour aux sources dès ce numéro.
Cedric Foll / cedric@miscmag.com / @follc
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
Depuis la création de chroot, que l’on situerait, après une datation au carbone 14, entre la fin des années 70 et le début des années 80, un grand chemin a été parcouru par les différentes techniques d’isolation au sein de l’espace utilisateur pour être aujourd’hui la pierre angulaire de nouvelles approches telles que le mouvement DevOps.
Nul besoin aujourd’hui de démontrer les nombreux avantages de Docker pour accélérer la mise à disposition de services numériques. Mais sécurité et agilité sont assez rarement conciliables : soit on veut faire plus rapide, mais moins sécurisé, soit on met plus de sécurité dans les process et donc on les ralentit. Comment peut-on réconcilier le DevOps avec l’aspect sécuritaire grâce à un environnement automatisé avec les conteneurs ?
Le premier CERT est né du constat d’un besoin de coordination entre les acteurs chargés de réagir aux cyber-incidents. Le FIRST, traduisant la nécessité d’élargir cette coordination à l’international, fut créé en 1990 afin d’offrir à la communauté de CERT naissante les moyens d’échange, de partage, susceptibles de conférer plus d’efficacité à leurs missions. Aujourd’hui, CERT de la première heure et organisations récemment créées, trouvent dans les outils de coordination internationale des espaces de rencontre, des moyens d’échange de données et offrent aussi aux nouveaux entrants des ressources (expérience, parfois financements). Depuis le début des années 90, le paysage des CERT a considérablement évolué. Se sont multipliées notamment les initiatives de coordination internationale dont l’observation permet de s’interroger sur les modalités conditionnant des relations efficaces, et de constater des freins à leur expansion.