Exploit corner
p.04 CVE-2013-2094 : Linux kernel perf_events local root
Pentest corner
p.10 JSF : ViewState dans tous ses états
Forensic corner
p.20 Protection des mots de passe par Firefox et Thunderbird : analyse par la pratique
Dossier : Supervisez la sécurité de votre système d'information !
p.26 Préambule
p.27 Et vous, vous avez quoi dans vos logs ?
p.35 SIEM/IDS : l'union fait-elle la force ?
p.44 Surfez sur les réseaux avec NetFlow
p.50 Supervision des TLDs
Application
p.56 Tests de régression sécurité avec Selenium
Science & technologie
p.60 « Government compelled certificate creation » et interception de VPN SSL
Réseau
p.68 Fonctionnement de Suricata en mode IPS
p.74 Impacts d’IPv6 sur la privacy
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
Depuis que les firewalls, anti-virus, proxies et autres produits de sécurité existent, il a fallu mettre des informaticiens derrière des écrans pour lire ce que ces briques techniques pouvaient bien raconter, si les journaux vomis au kilomètre relevaient du bruit de fond d’Internet ou de quelque chose de plus dangereux nécessitant une intervention humaine.
Le directeur général est allé négocier un important contrat dans un pays étranger [1]. Son officier de sécurité l’avait averti sur les risques d’interception par le gouvernement local et de ne jamais mentionner le montant de l’offre française par téléphone. Il a également fait attention à ne jamais mentionner d’informations sensibles ni dans sa chambre d’hôtel ni dans les locaux avant la réunion finale. Le seul moment où il a mentionné le montant avant la soumission officielle, était par e-mail à son directeur financier pour avoir son avis suite à un changement de dernière minute. Cet e-mail était transmis sur un canal chiffré, le VPN SSL de l’entreprise. Il avait pris soin de s’authentifier avec son token et de vérifier l’absence d’erreurs de certificats. Pourtant… pourtant le champion local avait, semble-t-il, eu vent du montant et, au dernier moment, baissé son offre… à peine cent mille euros en dessous de la sienne. Le contrat était perdu, des mois d’efforts qui se soldent par un échec.Comment ce concurrent a-t-il fait ? Une nouvelle vulnérabilité dans SSL ? Un Zero-Day sur le concentrateur VPN ? Ou avait-il déjà compromis le SI de l’entreprise [2] ? Rien de tout cela : dans ce cas le gouvernement locala simplement utilisé une vulnérabilité inhérente à la conception du modèle de confiance de distribution des certificats SSL, afin d'aider l'entreprise concurrente.Cette attaque est connue depuis des années et documentée de façon spécifique en 2010 par Christopher Soghoian et Sid Stamm [Gov Cert] et rend accessible ce type d'interception de communications chiffrées à de nombreux gouvernements.Dans un premier temps, nous exposerons le fonctionnement de l’attaque avec un exemple de mise en œuvre technique puis nous aborderons différentes contre-mesures.
La sécurité informatique se développe de plus en plus aujourd'hui vers de la sécurisation en amont (analyse de risques, pentest) et en aval (inforensique, réponse à incidents), mais peu sur les problématiques de détection des attaques et de surveillance de l'état de sécurité du SI. Pourtant, le monitoring permet d'obtenir un état précis et continu du niveau de sécurité d'un système d'information. Cette surveillance est opérée en pratique par des IDS (ou Systèmes de Détection d'Intrusions), et une corrélation des alertes remontées par chacun de ces outils peut être réalisée par un SIEM (Security Information and Event Management).Nous allons dans cet article tenter de vérifier s'il est réellement utile de s'équiper d'un SIEM pour monitorer son système d'information, ou si des IDS suffisent à eux seuls à assurer un bon niveau de détection.