Juillet / Août 2019

Misc 104

Masquez vos attaques

pour bien réussir vos missions Red Team

  1. De la reconnaissance à la post-exploitation : comment rester furtif
  2. Techniques pour déjouer les mécanismes de sécurité PowerShell
  3. Scripts malveillants sur Windows 10 : fonctionnement et contournements d'AMSI
En savoir plus

9,90 € TTC

Anciens Numéros

LIVRAISON OFFERTE en France Métropolitaine à partir de 50€
Misc 136

Misc 136

Novembre / Décembre 2024
14,90 €
Misc HS 30

Misc HS 30

Octobre / Novembre 2024
14,90 €
Misc 135

Misc 135

Septembre / Octobre 2024
12,90 €
Misc 134

Misc 134

Juillet / Août 2024
12,90 €
Misc HS 29

Misc HS 29

Juin / Juillet 2024
14,90 €
Misc 133

Misc 133

Mai / Juin 2024
12,90 €
Misc 132

Misc 132

Mars / Avril 2024
12,90 €
Misc HS 28

Misc HS 28

Février / Mars 2024
14,90 €
SOMMAIRE :

Exploit Corner

p. 06  Exploitation du CVE-2018-0977 dans le noyau Windows

Pentest Corner

p. 15  Fuddly : évaluation de la robustesse d’une cible

IoT Corner

p. 20  Dis, c’est quoi là haut dans le ciel ? - C’est un Linux, mon petit

Dossier

p. 24  Préambule
p. 25  Furtivité des opérations Red Team ou comment suivre une Kill Chain sans se faire voir
p. 32  Évolution de la sécurité de PowerShell et techniques de contournement
p. 40  AMSI : fonctionnement et contournements

Système

p. 48  ModSecurity : mise en place d’un WAF et configurations avancées
p. 58  Méthodologie d’OSINT orientée réseaux sociaux

Réseau

p. 66  Analyse et interception de flux des téléphones par satellite Iridium

Organisation & Juridique

p. 74  La gestion des incidents de sécurité : un cadre de gouvernance globale

éDITO :

Après s’être régalé des premières asperges généreusement arrosées de muscat alsacien, l'esthète de la sécurité a pu savourer les débats enflammés accompagnant la sortie de Tchap, la messagerie instantanée de l’État. Passée l’agitation probablement accrue par un printemps pluvieux, il n’est pas inintéressant de revenir brièvement sur cet évènement.

Tout d’abord, il convient de s'interroger sur la pertinence, voire au regard de certains commentateurs, la légitimité de l’État de mettre à disposition un système de messagerie instantanée pour ses agents. Partant du constat de l’engouement pour ce mode de communication, il semble plutôt opportun de proposer un tel service à ses agents si l’on souhaite éviter l'explosion du Shadow IT et les problèmes de sécurité associés. En premier lieu, l’usage de dispositifs de communication grand public pose le problème de la gestion des identités. Il est par exemple impossible lorsque l’on s’adresse à « Cédric Foll » sur un dispositif grand public de savoir s’il ne s’agit pas d’un compte créé par un tiers souhaitant usurper mon identité. Cette situation ne doit évidemment pas pouvoir exister dans un environnement professionnel s’appuyant sur des processus formalisés par les ressources humaines pour la gestion des identités. Le second problème est le niveau de confiance tout relatif pouvant être exigé de systèmes gratuits sans accord contractuel.

Aussi, pour une DSI, il semble tout à fait légitime de chercher à fournir ce service au même titre que la messagerie électronique. Cela pourrait sembler aussi naturel que la gestion des e-mails, mais si la plupart des fournisseurs de messagerie électronique libres ou propriétaires proposent une messagerie instantanée, elles sont généralement plus limitées fonctionnellement que celles grand public. De plus, XMPP n’ayant jamais connu le succès de SMTP, elles sont incapables de communiquer avec un système concurrent. Magie de l’industrie logicielle qui n’a pas adopté un standard ouvert, il est aujourd’hui nécessaire de jongler entre une dizaine de clients sur son smartphone pour échanger avec ses différents interlocuteurs. Comble de la fragmentation, Facebook propose aujourd’hui trois clients distincts incapables d’échanger entre eux.

La DINSIC [1] s’est donc engagée dans la conception d’un système basé sur le protocole Matrix en s’appuyant sur des briques de logiciels libres afin de proposer un système utilisable entre les administrations. Certains choix d’implémentation peuvent paraître étonnants comme la possibilité de déchiffrer les pièces jointes [2] au niveau des serveurs afin qu’elles puissent être analysées par un antivirus centralisé. Mais si ce choix peut paraître discutable, il est documenté et c’est bien aux maîtrises d’ouvrage d’arbitrer les risques.

Annoncé début 2018, le système est officiellement publié en version bêta mi-avril et accessible pour tous les agents disposant d’une adresse e-mail d’un sous-domaine de gouv.fr. Malheureusement, dès le lendemain de l’annonce, une faille de sécurité exploitant un bug dans le parsing des adresses e-mail est publiée permettant de créer un compte sur le système, d'interagir avec les usagers légitimes et d’accéder aux salons de discussion publics. Ces révélations ont déchaîné les trolls se gaussant de l’incapacité de l’État à fournir une solution fiable et affirmant qu’il était bien plus sûr d’utiliser un système gratuit grand public… Ce qui rétrospectivement peut faire sourire quand une faille dans WhatsApp permettant l’injection de code arbitraire était découverte quelques semaines plus tard après avoir été utilisée contre des activistes [3].

D’ailleurs, pouvoir interagir avec des agents de l’État, comme il est déjà possible de le faire par e-mail, ou accéder aux données des salons publics visibles par un bon million de personnes ne devrait pas inquiéter outre mesure les ministères utilisant le logiciel. Les conséquences ont plutôt été au niveau de l’image de marque et ont certainement causé quelques nuits blanches aux équipes de communication de la DINSIC qui ont eu à gérer le bad buzz, ce qu’ils ont d’ailleurs plutôt bien fait.

Cédric FOLL / cedric@miscmag.com / @follc

[1] https://www.numerique.gouv.fr/dinsic/ 

[2] https://www.tchap.gouv.fr/faq/ 

[3] https://korii.slate.fr/tech/mettez-jour-whatsapp-vite-pegasus-nso-group-faille-spyware

La publication technique des experts de la sécurité offensive & défensive

Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.

Introduction au dossier : Masquez vos attaques pour bien réussir vos missions Red Team
MISC n°104

Il y a quatre ans déjà sortait le hors-série n°12, dédié aux tests d’intrusion avec de nombreux articles touchant à l’approche « Red Team ». Pour rappel, l’objectif de ce type de mission est de se mettre dans la peau d’un attaquant cherchant à s’introduire, par tous les moyens nécessaires, dans le système d’information de la cible.

ModSecurity : mise en place d’un WAF et configurations avancées
MISC n°104

Les sites web subissent des attaques permanentes, de par l’évolution des technologies, il devient complexe de s’assurer que l’ensemble du périmètre hébergé soit à jour et exempt de failles de sécurité. Dans ces conditions, l’utilisation d’un Web Application Firewall ou WAF peut apporter une réponse à ces problématiques. En effet, les WAF sont devenus incontournables dans le domaine de la sécurité et font partie de la brique essentielle de protection des plus grands sites Internet.

Fuddly : évaluation de la robustesse d’une cible
MISC n°104

Après avoir introduit Fuddly [1] au travers de la modélisation d’un protocole dans le précédent article [2], nous poursuivons par la pratique. Sont ainsi présentées différentes approches complémentaires pour l’évaluation de la robustesse d’une cible mettant en œuvre le protocole modélisé au sein du framework. Et pour conclure, nous abordons brièvement l’outil mis à disposition pour faciliter l’analyse des résultats recueillis.

Ce magazine est intégralement disponible sur Linux Magazine Connect
© 2024 - LES EDITIONS DIAMOND