Novembre / Décembre 2018

Misc 100

SUPERVISION :

Retours d'expériences autour des SIEM

  1. Déploiement d’un SIEM : enjeux et retour d’expérience
  2. Développement d’un SIEM open source avec ELK
  3. Collecte des logs de systèmes industriels isolés
  4. Détection d’intrusion et supervision : s’interfacer avec Suricata
En savoir plus

8,90 € TTC

Anciens Numéros

LIVRAISON OFFERTE en France Métropolitaine à partir de 50€
Misc 136

Misc 136

Novembre / Décembre 2024
14,90 €
Misc HS 30

Misc HS 30

Octobre / Novembre 2024
14,90 €
Misc 135

Misc 135

Septembre / Octobre 2024
12,90 €
Misc 134

Misc 134

Juillet / Août 2024
12,90 €
Misc HS 29

Misc HS 29

Juin / Juillet 2024
14,90 €
Misc 133

Misc 133

Mai / Juin 2024
12,90 €
Misc 132

Misc 132

Mars / Avril 2024
12,90 €
Misc HS 28

Misc HS 28

Février / Mars 2024
14,90 €
sommaire

Tribune

p. 06  MISC 100, le changement c’est tout le temps

Malware Corner

p. 10  Analyse du malware bancaire GooTkit et de ses mécanismes de protection

Pentest Corner

p. 14  Quelques vulnérabilités du SDN

Forensic Corner

p. 24  10 ans de Suricata

Dossier

p. 38  Préambule
p. 39  Quelques enjeux pour votre SIEM
p. 46  Game of SOC : mise en place sans encombre d’une solution de SOC avec la stack Elastic
p. 57  Collecte de logs d’installations industrielles isolées
p. 64  Interfacer Suricata avec son écosystème de sécurité

Code

p. 72  Désérialisation Java : une brève introduction

Réseau

p. 78  Comment sécuriser la centralisation du calcul des routes d’un cœur de réseau ?

édito

Et de 100 !

Lecteur de GNU/Linux Magazine depuis le 1er numéro, j’ai passé grâce à ce magazine des dizaines d’heures à expérimenter les merveilles parfois incongrues des langages Scheme, les perles de Mongueurs, le ray tracing avec POV, ou encore les bases de l’administration système. J’ai parfois été dérouté par l'enthousiasme du rédacteur en chef pour GNU Hurd comme j’avais pu l’être à la lecture des articles sur Amiga ou BeOS par la rédaction de Dream mais, sans flagornerie, une très grande partie des compétences informatiques dont je disposais à la sortie d’école d’ingénieur, je la devais à la lecture de la presse spécialisée.

Ainsi, après avoir pu faire mes armes sur les concepts techniques généraux que GNU/Linux Magazine a très largement concouru à me faire acquérir, j’ai découvert dans ses colonnes la série mythique « Éviter les failles de sécurité dès le développement d'une application » co-écrite par Pappy Raynal, Christophe Grenier et Christophe Blaess. Cette série décrivant par le détail les joies des « stack overflow », des « formats strings » ou encore des « race conditions » avec ce côté délicieusement ludique qui allait devenir la marque de fabrique de MISC.

En effet, la philosophie de ces articles n’était évidemment pas de lister par le détail toutes les fonctions dangereuses de C et de proposer une méthodologie d’analyse de conformité d’un code source sur étagère en décrivant les options de grep et les regexp les plus efficaces. Les articles exposaient avec pédagogie et détails le principe des vulnérabilités ainsi que la manière de les exploiter. Disposer d’une description détaillée des attaques pour pouvoir les reproduire, sur son propre système (ou à la rigueur sur un challenge de sécurité ;)), était vraiment inédit dans le paysage éditorial français.

Ma passion pour les attaques informatiques ne faiblissant pas, c’est pendant mon stage ingénieur comme apprenti pentester que je suis tombé sur le hors-série « sécurité informatique » de GNU/Linux Magazine aka MISC 0 aka le numéro à la tête de mort vert fluo. Le niveau de technicité des articles pourrait faire sourire les lecteurs les plus hardcores de MISC aujourd’hui, mais au début des années 2000, les techniques présentées étaient peu documentées, jalousement gardées secrètes. Un nmap suivi d’un Nessus étaient facturés au prix fort par les cabinets de conseil qui se multipliaient sentant l’effet d'aubaine. Découvrir dans ce numéro ce qui constituait l’expertise technique jalousement gardée par la société avait de quoi faire souffler un petit vent de panique parmi les collègues.

MISC a été rapidement rejoint par une multitude de magazines plus ou moins sérieux. Je vous invite d’ailleurs à vous replonger dans toutes ces parutions plus ou moins éphémères sur le génial site « Magazine Abandonware » [1] pour quelques minutes de nostalgie. Si certains d’entre eux proposaient un contenu rédactionnel de qualité et des articles rédigés par des spécialistes du domaine, d’autres étaient rédigés dans une syntaxe qu’un professeur des écoles pourrait qualifier « d’en cours d’acquisition » et promettaient de devenir un h4ck3r sans rien comprendre des architectures systèmes et des protocoles réseaux.

À la différence de ces magazines qui ne sont restés en kiosque que de quelques mois à quelques années, MISC a été pensé autour de valeurs que nous nous efforçons de continuer à faire vivre 17 ans plus tard :

  • être un magazine de référence francophone pour la sécurité des systèmes d’informations traités sous un angle technique ;
  • couvrir autant des mécanismes de défense que d’informatique offensive ;
  • élargir parfois le champ d’études sur des domaines organisationnels ou juridiques sans que cela n’empiète sur le cœur de la ligne éditoriale ;
  • maintenir une qualité éditoriale et rédactionnelle propre à intéresser les spécialistes de la sécurité des SI tout en gardant des articles suffisamment didactiques et accessibles pour ne pas être totalement hermétique pour un lectorat débutant dans le domaine de la sécurité.

Pour finir cet édito, je souhaiterais remercier toutes les personnes sans qui MISC ne serait pas ce qu’il est aujourd’hui :

  • Frédéric Raynal sans qui ce magazine n’aurait jamais vu le jour.
  • Les Éditions Diamond pour avoir fait vivre ce magazine depuis 17 ans et tout particulièrement à Véro puis Aline qui assurent le secrétariat de rédaction. Merci à elles d’avoir géré l’incapacité à peu près générale des auteurs de MISC à utiliser correctement des feuilles de style sous LibreOffice. Incompétence d’ailleurs très largement partagée par les (co-)rédacteurs en chef qui se sont succédé.
  • Tous les auteurs de MISC qui font la richesse éditoriale de ce magazine et la diversité des articles. Les anciens auteurs assurant également, avec la rédaction, la relecture de tous les articles avant publication.
  • Un immense merci enfin à tous nos lecteurs sans qui nous ne serions plus là aujourd’hui !


Cedric Foll / cedric@miscmag.com / @follc

[1] http://www.abandonware-magazines.org/

La publication technique des experts de la sécurité offensive & défensive

Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.

Introduction au dossier : Supervision : retours d'expériences autour des SIEM
MISC n°100

Un SIEM, pour Security Information and Event Management, cherche à répondre à une problématique en apparence plus simple que l’acronyme lui-même...

MISC n°100, le changement, c’est tout le temps
MISC n°100 Free
Ô temps ! suspends ton vol, et vous, heures propices ! Suspendez votre cours !
Analyse du malware bancaire Gootkit et de ses mécanismes de protection
MISC n°100 Free

GootKit est un malware bancaire assez répandu depuis quelques années et présentant un certain nombre de caractéristiques intéressantes. Sa payload principalement écrite en JavaScript a déjà fait l'objet d'un article dans votre magazine préféré [1]. Nous nous concentrerons ici sur l'écosystème local de GootKit et plus précisément sur son dropper ou plutôt son loader, en perpétuelle évolution dont l'architecture et les fonctionnalités méritent une étude détaillée.

Ce magazine est intégralement disponible sur Linux Magazine Connect
© 2024 - LES EDITIONS DIAMOND