Misc 97

Forensic Corner

p. 06  Archéologie numérique

Exploit Corner

p. 14  Fini le bac à sable. Avec le CVE-2017-3272, devenez un grand !

Pentest  Corner

p. 18  Pentest dans les réseaux CAN : des standards à la pratique

Dossier

p. 28  Préambule
p. 29  Vérifier un code PIN
p. 36  Des attaques en boîte grise pour casser des implémentations cryptographiques en boîte blanche
p. 45  Meltdown et attaques sur KASLR : les attaques par canal auxiliaire passent à la vitesse supérieure
p. 52  Attaques par canaux auxiliaires sur AES – Partie 1

Système  

p. 58  SMTP : la « killer app » de DNSSEC

Réseau

p. 64  Compromission de claviers sans fil 2.4Ghz
p. 74  Evolution des architectures de sécurité réseau en entreprise – Partie 1

Application 

p. 66  Conpot : l'art de faire mûrir ses pommes en simulant un système de contrôle industriel (ICS)

Vous croyez qu'une bande d'énarques a un beau jour d'été inventé un algo meilleur que celui de Gale Shapley ? [1][2] 

Août 2017, petite discussion fictive entre deux conseillers dans les couloirs de l’administration centrale du Ministère de l’Enseignement supérieur, de la Recherche et de l’Innovation.

• On a communiqué largement durant tout l’été sur les ratés d’Admission Post Bac, les bacheliers sans affectation et le tirage au sort dans les filières en tension. Il nous faut une nouvelle application, la ministre s’est engagée à ce qu’il n’y ait plus ce type de problèmes l’année prochaine.
  
  
• Mais vous avez prévu d’ouvrir plus de places dans l’enseignement supérieur ? Parce qu’avec 800.000 candidats pour 650.000 places, vous ne pourrez pas faire des miracles…
  
  
• Ni le ministère ni les universités n’ont de marges de manœuvre budgétaires, nous restons à moyens constants.
  
  
• Alors vous pensez introduire des mécanismes de sélection pour l’entrée à l’université ?
  
  
• L’opinion publique n’est pas prête pour ça. Pas plus que d’accepter de continuer les tirages au sort...
  
  
• C’est la quadrature du cercle, cette question. Vous avez réussi l’année dernière à faire porter la responsabilité sur le logiciel et, même si l’opinion publique ous a plutôt bien suivi, vous ne pourrez pas rejouer la même partition une fois de plus. D’autant que plusieurs voix divergentes se sont fait entendre telles que celle de la Cour des comptes et jusque dans votre majorité [3]. 
  
  
• Avec Admission Post Bac, la totalité des vœux était centralisée et un algorithme tournait pour proposer une affectation au maximum de candidats [4]. Comme il y avait moins de places que de candidats, que personne n’a voulu assumer d’introduire une sélection, on a tiré au hasard les étudiants qui pourraient aller en STAPS et en psycho. Avec le nouveau dispositif, nous allons remettre l’humain au cœur en nous appuyant sur les établissements. Les candidats saisiront leurs vœux comme avant, puis on enverra le tout aux établissements qui se débrouilleront avec.
  
  
• Donc l’idée est de remplacer un processus automatisé par une gestion manuelle de 850.000 bacheliers. Mais étudier autant de dossiers va prendre un temps fou aux établissements !
  
  
• En fait, c’est un peu plus que ça, car, contrairement à Admission Post Bac, il n’y aura plus de hiérarchisation des vœux. Les établissements recevront tous les dossiers sans savoir si c’est le premier choix du candidat ou le dernier. Avec 7 vœux en moyenne l’année dernière, cela fera environ 5.000.000 de dossiers à étudier. À vrai dire, on anticipe que les établissements râlent un peu et que certains s’opposent à réaliser le classement. Si c’est le cas, on pourra toujours leur mettre sur le dos la responsabilité des dysfonctionnements.

Pour revenir à des questions de sécurité des systèmes d’information et d’analyse de risques, je n’envie pas les nuits à venir des RSSI et responsables de l’application ParcourSup ces prochaines semaines. Nous ne vivons pas tous les jours le crash test d’une application concernant une population de 800.000 utilisateurs sous l’attention de tous les médias en direct. Préparez votre popcorn le 22 mai prochain !

Cedric Foll / cedric@miscmag.com / @follc

[1] https://twitter.com/Ipochocho/status/983827378572054528

[2] Conférence inaugurale de Claire Mathieu au Collège de France expliquant l'algorithme Gale et Shappley et son application sur Admission Post Bac (à partir de la 54ème minute) : http://www.college-de-france.fr/site/claire-mathieu/inaugural-lecture-2017-11-16-18h00.htm

[3] Cours des comptes : « ces défauts ne sont pas techniques, mais relèvent de dispositions juridiques et de décisions politiques » ; Cédric Villani : « ce qui a « buggé » dans APB, ce n’est pas le logiciel, mais bien l’État » http://mobile.lemonde.fr/idees/article/2017/12/06/cedric-villani-ce-qui-a-bugge-dans-apb-ce-n-est-pas-le-logiciel-mais-bien-l-etat_5225204_3232.html?xtref=https://fr.m.wikipedia.org/&xtmc=apb&xtcr=1

[4] http://mobile.lemonde.fr/campus/article/2017/12/05/parcoursup-qui-succede-a-apb-risque-de-creer-du-stress-continu-pour-les-candidats-et-leurs-familles_5224705_4401467.html