-
S'abonnerAbonnez-vous à nos différents supports -
Magazines à l’unitéCommandez les nouvelles parutions ou complétez votre collection -
Livraison offerte à partir de 50€ d’achat ** Offre valable pour les numéros hors abonnements, livraison en France métropolitaine, appliquée une fois connecté !
- Kiosk OnlineLes magazines 100% online
- Diamond ConnectBase documentaire 100% digitale
Anciens Numéros
Exploit corner
p.04 CVE-2013-2094 : Linux kernel perf_events local root
Pentest corner
p.10 JSF : ViewState dans tous ses états
Forensic corner
p.20 Protection des mots de passe par Firefox et Thunderbird : analyse par la pratique
Dossier : Supervisez la sécurité de votre système d'information !
p.26 Préambule
p.27 Et vous, vous avez quoi dans vos logs ?
p.35 SIEM/IDS : l'union fait-elle la force ?
p.44 Surfez sur les réseaux avec NetFlow
p.50 Supervision des TLDs
Application
p.56 Tests de régression sécurité avec Selenium
Science & technologie
p.60 « Government compelled certificate creation » et interception de VPN SSL
Réseau
p.68 Fonctionnement de Suricata en mode IPS
p.74 Impacts d’IPv6 sur la privacy
La publication technique des experts de la sécurité offensive & défensive
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
Depuis que les firewalls, anti-virus, proxies et autres produits de sécurité existent, il a fallu mettre des informaticiens derrière des écrans pour lire ce que ces briques techniques pouvaient bien raconter, si les journaux vomis au kilomètre relevaient du bruit de fond d’Internet ou de quelque chose de plus dangereux nécessitant une intervention humaine.
Les tests logiciels sont nécessaires pour s'assurer du niveau de qualité de l'application développée. Dans le cadre des tests de sécurité, il est aussi possible d'intégrer des tests de régression sur des failles déjà découvertes. Ceci a pour but d'identifier les éventuelles régressions lors d'évolutions logicielles. Nous proposons dans cet article un exemple dans un contexte de tests de régression en environnement Web relatif aux failles XSS.
Le directeur général est allé négocier un important contrat dans un pays étranger [1]. Son officier de sécurité l’avait averti sur les risques d’interception par le gouvernement local et de ne jamais mentionner le montant de l’offre française par téléphone. Il a également fait attention à ne jamais mentionner d’informations sensibles ni dans sa chambre d’hôtel ni dans les locaux avant la réunion finale. Le seul moment où il a mentionné le montant avant la soumission officielle, était par e-mail à son directeur financier pour avoir son avis suite à un changement de dernière minute. Cet e-mail était transmis sur un canal chiffré, le VPN SSL de l’entreprise. Il avait pris soin de s’authentifier avec son token et de vérifier l’absence d’erreurs de certificats. Pourtant… pourtant le champion local avait, semble-t-il, eu vent du montant et, au dernier moment, baissé son offre… à peine cent mille euros en dessous de la sienne. Le contrat était perdu, des mois d’efforts qui se soldent par un échec.Comment ce concurrent a-t-il fait ? Une nouvelle vulnérabilité dans SSL ? Un Zero-Day sur le concentrateur VPN ? Ou avait-il déjà compromis le SI de l’entreprise [2] ? Rien de tout cela : dans ce cas le gouvernement locala simplement utilisé une vulnérabilité inhérente à la conception du modèle de confiance de distribution des certificats SSL, afin d'aider l'entreprise concurrente.Cette attaque est connue depuis des années et documentée de façon spécifique en 2010 par Christopher Soghoian et Sid Stamm [Gov Cert] et rend accessible ce type d'interception de communications chiffrées à de nombreux gouvernements.Dans un premier temps, nous exposerons le fonctionnement de l’attaque avec un exemple de mise en œuvre technique puis nous aborderons différentes contre-mesures.
