Retour
Misc 114
Misc 114
Misc 114
Misc 114
Misc 114
Misc 114
Misc 114
Misc 114
Misc 114
Misc 114
Misc 114
Misc 114
Mars / Mars 2021

Misc 114

Puces sécurisées

À la découverte de la sécurité matérielle

  1. SE, TPM, TEE : tour d’horizon des environnements sécurisés
  2. Découverte de la puce sécurisée de Google Titan M
  3. Les protections des Secure Elements contre les attaques physiques

En savoir plus

9,90 € TTC

Anciens Numéros

LIVRAISON OFFERTE en France Métropolitaine à partir de 50€
Misc 136

Misc 136

Novembre / Décembre 2024
14,90 €
Misc HS 30

Misc HS 30

Octobre / Novembre 2024
14,90 €
Misc 135

Misc 135

Septembre / Octobre 2024
12,90 €
Misc 134

Misc 134

Juillet / Août 2024
12,90 €
Misc HS 29

Misc HS 29

Juin / Juillet 2024
14,90 €
Misc 133

Misc 133

Mai / Juin 2024
12,90 €
Misc 132

Misc 132

Mars / Avril 2024
12,90 €
Misc HS 28

Misc HS 28

Février / Mars 2024
14,90 €
SOMMAIRE :

Exploit Corner

p. 06 Spectre, 3 ans après

Pentest Corner

p. 14 Exploration du standard HITAG2 utilisé pour le verrouillage des véhicules grâce à la SDR

Forensic Corner

p. 26 Le Bruit de fond d'Internet

Dossier

p. 30 Introduction
p. 31 Les environnements sécurisés
p. 38 Découverte de la puce Titan M a.k.a Citadel
p. 48 Les protections des Secure Elements contre les attaques physiques

Réseau

p. 56 La téléportation, de la fiction au SDN

Code

p. 66 Stocker ses secrets dans Git, une mauvaise pratique pouvant avoir de lourdes conséquences

Organisation & juridique

p. 76 Où en est-on du Pearl Harbor numérique ?

éDITO :

Ayant commencé ma carrière comme pentester avant de devenir RSSI puis DSI, la lecture de ce Tweet [1] m’a rappelé quelques souvenirs vécus d’un côté ou de l’autre de la force.

Il faut reconnaître que certaines équipes de production ont encore une compréhension très limitée des menaces et des faiblesses de leur SI. Beaucoup de RSSI ont croisé des collègues réfractaires à tout ce qui risquait de leur compliquer la vie quand bien même les préconisations étaient la base de l’hygiène informatique. Qui ne s’est pas vu un jour ou l’autre répondre après avoir demandé le déploiement de règles de filtrages sur les réseaux internes ou la nécessité d’un audit de sécurité avant mise en production d’une application sensible : « on a toujours fait comme ça et on n’a jamais eu de problèmes » ?

A contrario, quand on débute comme RSSI, il est naturel d’adopter une posture zélée en voulant s’aligner sur les meilleures pratiques sans considérer l’adéquation des mesures de sécurité avec les besoins métiers et les enjeux de la structure. Après être passé de l’autre côté du miroir, mon RSSI a voulu m’imposer, pour utiliser Skype, de faire tourner le logiciel dans une VM sur un VLAN distinct de la machine physique et réinitialisée après chaque utilisation. Cette recommandation aurait pu se concevoir dans certains environnements, mais pour des salles de TP en université, il y avait de quoi sourire… D’ailleurs, lorsque je donne un cours d’introduction aux analyses de risques, je n’oublie jamais de remercier ce RSSI pour m’avoir fourni ce magnifique exemple démontrant l’intérêt de la démarche pour éviter les mesures de réductions de risques totalement disproportionnées au regard des besoins de sécurité.

Plus récemment, j’ai essuyé quelques critiques d’ultras de la sécurité après avoir choisi un logiciel de visioconférence non souverain alors qu’il existait tant d’alternatives sécurisées fonctionnant, selon eux, tout aussi bien pour peu que les utilisateurs se donnent la peine de couper caméras et micros, investissent dans un poste de travail avec une GPU récente et renoncent à enregistrer leurs réunions.

Car ce qu’oublient ces prescripteurs zélés de la sécurité, c’est qu’à moins de travailler dans quelques structures très sensibles, leur employeur ne va jamais choisir d’abandonner SAP pour un ERP open source donnant toute satisfaction dans une poignée de PME quand bien même sa sécurité est bien meilleure parce qu’il est en cours de certification CSPN par l’ANSSI. La sécurité n’est qu’un des très nombreux paramètres entrant en ligne de compte dans le choix d’une solution par les directions métiers et techniques, loin derrière l’adéquation aux besoins fonctionnels.

Il est temps que nous mettions fin au mythe du RSSI mangeant tout seul à la cantine après s’être mis à dos tous les collègues. Le travail est d’identifier les risques et de proposer des mesures de réduction proportionnées au regard des spécificités de la structure, pas de vouloir imposer des mesures disproportionnées. C’est l’art de manier le compromis, comprendre les enjeux métiers de son organisation et placer correctement le curseur en travaillant de concert avec les directions métiers et opérationnelles afin ne pas prendre de risques inconsidérés sans dégrader le niveau de service apporté aux usagers.

Cedric Foll / cedric@miscmag.com / @follc

[1] Les RSSI, ce cauchemar pour les gens opérationnels qui cherchent à travailler efficacement :-( :

https://twitter.com/acontios_net/status/1360263189074743296?s=21

Découvrir

La publication technique des experts de la sécurité offensive & défensive

Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.

Introduction au dossier : Puces sécurisées - À la découverte de la sécurité matérielle
MISC n°114

Le grand public est familiarisé, ne serait-ce qu’inconsciemment, au concept de puce de sécurité de par l’usage quotidien et depuis de nombreuses années des cartes à puce dans le domaine bancaire ou des cartes SIM dans la téléphonie mobile. Des puces dédiées à la sécurité ont également fait leur apparition dans certains de nos équipements du quotidien (ordinateur portable, smartphone), qu’il s’agisse de microcontrôleur dédié disposant de fonctionnalités liées à la cryptographie (stockage de clef de chiffrement) tel un TPM, ou d’un mode d’exécution sécurisé intégré au processeur principal, à l’instar de SGX pour Intel, de TrustZone chez ARM et de PSP pour AMD.

Exploration du standard HITAG2 utilisé pour le verrouillage des véhicules grâce à la SDR
MISC n°114

Depuis de nombreuses années, l’ouverture des véhicules ne se fait plus en insérant une clé dans une serrure mécanique comme c’était le cas auparavant. Le verrouillage, et même parfois l’allumage des phares, peuvent être réalisés à partir d’une transmission radio entre la clé et le véhicule. Cette fonctionnalité, devenue essentielle, doit nous questionner sur la sécurité mise en œuvre. Nous allons voir que jusqu’à récemment, beaucoup de systèmes de verrouillage déployés sont vulnérables à des attaques peu sophistiquées qui nécessitent peu de moyens.

Découverte de la puce Titan M a.k.a Citadel
MISC n°114 Free

La puce Titan M ou Citadel est une puce sécurisée sur laquelle repose en grande partie la sécurité des terminaux Android de Google, la gamme Pixel. Dans cet article, nous détaillerons le fonctionnement interne et les usages de ce composant pour lequel peu d’information publique est disponible à ce jour. Nous donnerons également plusieurs pistes pour aider le rétro-ingénieur à travailler sur ce projet.

Ce magazine est intégralement disponible sur Linux Magazine Connect
Découvrir MISC Connect
© 2024 - LES EDITIONS DIAMOND