Mai / Juin 2019

Misc 103

Pentest Windows : Outils & techniques

  1. Sécurité des relations d'approbation Active Directory
  2. Compromission de postes de travail avec LAPS et PXE
  3. Retour sur les faiblesses de l'authentification Windows
En savoir plus

8,90 € TTC

Anciens Numéros

LIVRAISON OFFERTE en France Métropolitaine à partir de 50€
Misc 136

Misc 136

Novembre / Décembre 2024
14,90 €
Misc HS 30

Misc HS 30

Octobre / Novembre 2024
14,90 €
Misc 135

Misc 135

Septembre / Octobre 2024
12,90 €
Misc 134

Misc 134

Juillet / Août 2024
12,90 €
Misc HS 29

Misc HS 29

Juin / Juillet 2024
14,90 €
Misc 133

Misc 133

Mai / Juin 2024
12,90 €
Misc 132

Misc 132

Mars / Avril 2024
12,90 €
Misc HS 28

Misc HS 28

Février / Mars 2024
14,90 €
SOMMAIRE :

Exploit Corner

p. 06  CVE-2019-8942 et 2019-8943 : exécution de code dans WordPress

Pentest Corner

p. 12  Fuddly : introduction de l’outil et développement d’un protocole

Forensic Corner

p. 18  Where’s my memory ?

Dossier

p. 26  Préambule
p. 27  La face cachée des relations d’approbation
p. 39  Compromission de postes de travail grâce à LAPS et PXE
p. 46  Retour sur les faiblesses de l’authentification Windows

Réseau

p. 56  Présentation de l’HIDS Wazuh

Système

p. 66  KeePass multiplateforme en authentification forte avec une YubiKey

Organisation & Juridique

p. 76  Comment concevoir son référentiel « protection de la vie privée » en cohérence avec le référentiel SSI ?

éDITO :

Il y a quelques semaines, apparaissait sur mon fil Twitter, le constat d’échec (™ Nicolas Ruff) quant à la progression de la proportion de femmes dans la liste des speakers d’une petite conférence sécurité de province [1]. Ce symposium étant assez ancien et les programmes avec la liste des conférenciers étant toujours en ligne, force est de constater que le nombre de femmes conférencières est resté en 15 ans relativement constant. Participant moi aussi, très modestement, à l’organisation d’une conférence sécurité [2], j’apportais ma pierre à l'édifice en exposant les difficultés d’attirer des soumissions de conférencières et que même avec toutes les bonnes volontés du monde cela restait une gageure. 

Mais, au-delà de cet aspect très émergé de l’iceberg se pose la question de notre échec collectif à faire progresser la proportion de femmes dans les métiers de l’informatique et tout particulièrement dans ceux de la sécurité.

Lorsque j’ai commencé ma carrière, peu après l’extinction des dinosaures, j’avais une chef, elle-même sous l’autorité d’une DSI et globalement il y avait un bon tiers de femmes dans les équipes informatiques. Et puis, au gré de mes affectations successives, des pots de départs en retraite et des recrutements, la proportion de collègues informaticiennes s’est petit à petit réduite jusqu’à passer sous la barre des 10%. Mon expérience pourrait sembler non représentative, mais les études montrent qu’il s’agit d’une tendance [3] générale et les femmes sont aujourd’hui surtout présentes dans les équipes fonctionnelles et UX/UI [4]. Cette évolution est d’autant plus alarmante quand les profils qualifiés deviennent une ressource rare.

Ce constat plutôt sombre amène deux questions. D’abord, où avons-nous (les vieux de ma génération) failli pour avoir fait de nos métiers un repoussoir pour cinquante pour cent de la population ?  Ensuite, quels sont les leviers pour réduire l’écart de représentativité des femmes dans nos métiers ?

Pour la première question, il faut avouer que nous avons certainement trop tardivement pris en compte ce problème et que nous sommes arrivés à une si faible représentativité de femmes qu’elles ont souvent l’impression d’être des bêtes curieuses. Pire encore, il y a encore des crétins pour considérer que lorsqu’une conférence, un article ou un projet ne leur plaît pas, le fait que le travail ait été produit par une femme est une circonstance aggravante. 

Pour la seconde, j’ai bien peur que le retard pris soit si important qu’il prendra des années à se réduire, d’autant que nous avons en France une très faible proportion de femmes dans les filières informatiques et que celle-ci semble encore reculer. Nous sommes certainement arrivés au point où, au-delà des chartes, de la mise en avant des femmes s'illustrant dans ces carrières, d'associations telles que #JamaisSansElles ne suffiront peut-être plus et qu’une politique non plus incitative, mais prescriptive ne finisse par être nécessaire. L’accès des femmes à ces métiers est un véritable enjeu pour lequel nous devons collectivement œuvrer en tant que parents, enseignants et professionnels.

Cédric FOLL / cedric@miscmag.com / @follc

[1] https://www.sstic.org/

[2] https://2019.pass-the-salt.org/

[3] https://www.lemonde.fr/campus/article/2017/10/03/dans-les-filieres-high-tech-la-part-des-etudiantes-diminue_5195651_4401467.html

[4] https://www.ovh.com/fr/blog/parite-dans-la-tech-ou-sont-les-femmes/

La publication technique des experts de la sécurité offensive & défensive

Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.

Introduction au dossier : Test d’intrusion en environnement Windows
MISC n°103

« L'échec est le fondement de la réussite. » Lao Tseu « Windows et la sécurité », telle était l’accroche de la couverture du deuxième numéro de MISC, il y a maintenant…. longtemps (on s’épargnera d’ailleurs de compter les années pour de ne pas donner le vertige à certains).

Where’s my memory ?
MISC n°103

L’analyse de la mémoire n’est pas forcément complexe, mais elle demande des connaissances. Peut-on à partir d’une formation rendre l’analyse de la mémoire rapide et diffuser la connaissance à son équipe ?

Fuddly : introduction de l’outil et développement d’un protocole
MISC n°103

Cet article présente Fuddly, un framework de fuzzing et de manipulation de données, écrit en python sous GPLv3, qui fournit de nombreuses briques que l’on retrouve dans d’autres framework de fuzzing, mais qui se différencie par la flexibilité de représentation des données et la diversité des altérations qu’il rend possible.

Ce magazine est intégralement disponible sur Linux Magazine Connect
© 2024 - LES EDITIONS DIAMOND