Exploit Corner

p. 06 CVE-2020-3433 : élévation de privilèges sur le client VPN Cisco AnyConnect

Pentest Corner

p. 14 Les lolbas, des amis qui vous veulent du bien

Forensic Corner

p. 20 Investigation numérique de l’image disque d’un environnement Windows

Dossier

p. 30 Introduction
p. 31 Cas pratique sur la sécurisation d'un cluster Kubernetes
p. 42 Grandeur et décadence de Kubernetes : attaquer le futur Cloud OS
p. 50 Sécurité réseau dans un cluster Kubernetes

Système

p. 59 Orchestration d’analyse
p. 66 Manipulation de tokens, impersonation et élévation de privilèges

Cryptographie

p. 76 Encore StopCovid, ou stop ?

Ce n’est pas une révolution technologique qui vient de précipiter un changement majeur dans l’organisation du travail des équipes IT et des architectures de sécurité, mais un virus même pas informatique. S’il y a quelques mois, nous avons tous dû bricoler dans l’urgence des solutions pour assurer une continuité de service, nous ne mesurions pas que ces quelques semaines de confinement allaient conduire à une généralisation accélérée du télétravail [1] sans probable retour arrière possible.

Si beaucoup d’administrations et d’entreprises pouvaient encore se montrer assez réticentes quant au travail à distance, une page s’est définitivement tournée. Espérons que cet épisode a sonné le glas de la croyance selon laquelle le rôle principal du manager consistait à regarder au-dessus de l’épaule de ses collaborateurs, ces grands enfants cherchant à en faire le moins possible, pour vérifier qu’ils ne passaient pas trop de temps sur Facebook. D’autant que dans un contexte de fortes tensions dans le recrutement des profils IT, il va être difficile de trouver des candidats chez les entreprises considérant encore nécessaire d’infliger trois heures de trajet quotidien depuis la banlieue parisienne pour démarrer des VM chez AWS ou analyser les évènements du SIEM. Il va falloir trouver mieux que des baby-foot et du café gratuit pour faire déplacer cinq jours par semaine les salariés dans l’open space.

Pour tous ceux qui ont découvert le télétravail mi-mars, d’importants chantiers d’architecture de sécurité vont devoir s’engager pour repenser tous les bricolages déployés à la hâte. S’il a fallu tolérer des accès VPN depuis le poste familial avec une simple authentification par login et mot de passe avant de rebondir en RDP sur le poste de travail resté au bureau sur lequel on aura pris soin de désactiver les mises à jour pour éviter un reboot, il faut admettre qu’il s’agit d’un PCA un peu fragile et artisanal. Ainsi, beaucoup de chantiers de sécurité patiemment mis en place depuis des années perdent tout leur sens dans un contexte où la mobilité n’est plus l’exception, mais la norme. Nous ne risquons plus de voir beaucoup de projets de NAC et de 802.1x sur les prises de bureau en 2021, de segmentations en centaines de VLAN utilisateurs ou encore de firewalls avec des dizaines de règles de sécurité basées sur des adresses IP « de confiance » pour pouvoir continuer à utiliser des applications critiques sur Windows NT4 sans enchaîner les nuits blanches.

A contrario, les projets d’authentification forte, de gestion fine des accès par profil utilisateur plutôt que par IP de poste de travail, de SSO ou, pour reprendre un concept à la mode, d’architecture « Zero Trust », vont probablement remonter en tête de liste des chantiers prioritaires pour 2021. Les structures qui n’engagent pas très vite ces chantiers techniques s’exposent à des désastres en matière de sécurité faute d’avoir correctement pensé la dépérimétrisation de leur système d’information. Et pour celles qui sont tentées par l’immobilisme et espèrent réussir à faire revenir tous leurs salariés sur site, elles risquent de faire fuir leurs collaborateurs qui se sont habitués à des journées allégées du temps de transport quotidien.

Même si certains courageux n’ont pas hésité à braver le frimas rigoureux du mois d’octobre sous les nuages monégasques pour assurer une veille active en matière de sécurité, il est à regretter l’annulation, au moins physiquement, de la plupart des évènements de cybersécurité de l’année. Espérons que l’année 2021 soit plus clémente en la matière afin que nous puissions à nouveau nous retrouver autour d’une bière lors des différents évènements qui ponctuent l’année. MISC sera d’ailleurs une nouvelle fois présent au FIC à Lille au mois de janvier et partenaire de l’évènement Cyber Cup, un concours proposant plusieurs épreuves techniques allant du Forensic au CTF en passant par l’OSINT, le Bug Bounty, l’IA ou l’E-Sport ! En espérant vous y retrouver une nouvelle fois !

Cedric Foll / cedric@miscmag.com / @follc

[1] Quelques jours par semaine, plus rarement en full remote.