Janvier / Février 2015

Misc 77

SÉCURITÉ DES MOYENS DE PAIEMENT :

COMMENT FACILITER LES ÉCHANGES TOUT EN ÉVITANT LA FRAUDE ?

1 - Introduction au paiement par carte bancaire
2 - Le paiement en ligne, comment ça marche ?
3 - Les chasseurs de cartes, des criminels organisés !
4 - Skimming et analyse forensique
5 - Pour aller plus loin : le bitcoin, une monnaie décentralisée

Cliquez sur la couverture pour découvrir le sommaire et des extraits du magazine !

En savoir plus

8,90 € TTC

Anciens Numéros

LIVRAISON OFFERTE en France Métropolitaine à partir de 50€
Misc 136

Misc 136

Novembre / Décembre 2024
14,90 €
Misc HS 30

Misc HS 30

Octobre / Novembre 2024
14,90 €
Misc 135

Misc 135

Septembre / Octobre 2024
12,90 €
Misc 134

Misc 134

Juillet / Août 2024
12,90 €
Misc HS 29

Misc HS 29

Juin / Juillet 2024
14,90 €
Misc 133

Misc 133

Mai / Juin 2024
12,90 €
Misc 132

Misc 132

Mars / Avril 2024
12,90 €
Misc HS 28

Misc HS 28

Février / Mars 2024
14,90 €

Au sommaire de ce numéro :

Exploit Corner
p. 05  Exploitation de la CVE-2014-7228 : exécution distante de code dans Joomla! / Akeeba Kickstart

Pentest Corner
p. 12  « Hookons » avec JavaSnoop !

Forensic Corner
p. 18  Utilisation de l'analyseur de performances en live forensic Windows

Dossier
p. 24  Préambule
p. 25  La carte bancaire, comment ça marche ?
p. 30  Cartes bancaires et e-commerce
p. 36  Organisation d'un groupe cybercriminel de chasseurs de cartes
p. 40  Fraude aux mouchards bancaires (« skimming ») et analyse forensique
p. 49  Le bitcoin : de l'argent liquide numérique

Application
p. 58  Manipulation du trafic et des protocoles réseaux en userland (partie 1/2)

Science & technologie
p. 64  Surveillance généralisée : quid de la confidentialité  persistante ?

Société
p. 70  Quel plan d’action pour la diffusion, l’explication et la mise en application de la nouvelle PSSI de l’État ?

Réseau
p. 78  Utilisation d’une sonde de détection (suricata) comme contre-mesure à l’usurpation d’e-mails

EDITO :

Auto-nécrologie d’un rédacteur en chef (mais pas que) 

Après de nombreuses années au service de MISC en tant que rédacteur en chef, il nous quitte. Certains diront « enfin », les plus joueurs qu’il nous double. En tout cas, il en avait une belle paire et se défonça pour ce magazine au point de se mettre carpette. Enfin ...
tapis. C’est donc avec émotion, tremblant, chancelant, limite brelan, que je rédige ce dernier édito, cette auto-nécrologie. 

Résumé pour les pressés : ô range, ô désespoir, ô vieillesse ennemie ! 

Malgré un QI avoisinant les 0x539, il tomba tardivement dans la sécurité, en 1996 pour ses 24 ans. Certains lecteurs n’étaient même pas nés (escalope). Il considéra savoir faire des trucs seulement 5 ans plus tard. Puis vinrent 7-8 années « faciles » où il apprit autant qu’il pratiqua. Depuis, il est sur la pente descendante au niveau technique (enfin, grâce à son arthrite, il la descend lentement) et ascendante au niveau social (il parle même avec des commerciaux). Maintenant, il « hacke » des humains et le système autant que possible : bref, il est à la fin. Et pourtant, il continue à apprendre et à avancer : pourquoi ? 

Premier âge : salut baby, ça hack ? 

Il commença par expérimenter la « sécurité » sur l’énorme réseau de l’INRIA (surtout la baie b) pendant sa thèse. Il pouvait jouer, découvrir, tester avec talc, pratiquement tout était permis tant qu’il ne détruisait rien et prévenait les admins quand il voyait des trucs abusifs (merci Denis). Il en tenait une sacrée couche. 

Quand on se lance là-dedans, on est confronté à un double sentiment. D’une part, on est un n00b, car la Bart est haute : on n’arrive pas à grand-chose de plus que copier/coller du code, l’utiliser en ne comprenant que 10% de ce qu’on instrumentaLisa. Il y a une sacrée Marge de progression. Et pourtant, quand il marche comme par Maggie et qu’on parvient alors à rentrer sur une machine, détourner du trafic ou générer une licence Photoshop, c’est aussi bon qu’un donuts pour Homer Simpson. 

Et c’est alors qu’on a un choix à faire : de quel côté de la ligne rester. 

Il eut la chance de ne pas avoir à faire ce choix. Enfin, la réponse s’est imposée d’elle-même, de par son caractère angélique et une éducation neuilléenne-chrétienne-parisienne dont sa mère n’est pas peu fière. Le frisson venait de ce qu’il avait compris, réussi, pas du fait que ce soit de tel ou tel côté de la ligne. 

En tant que fan de Spider Man (et non de radis - à noter que cette blague marche aussi avec des carottes), il eut assez vite une idée des responsabilités qui lui incombaient. Il ne pouvait même pas se permettre d’utiliser ce savoir pour lire les e-mails de ses (ex-)copines, ce bouffon, s’il eut été rongé par le venom de la jalousie. 

La seule source de savoir était globalement Phrack et quelques autres obscures e-zines. Personne ne se souciait de la « cybersécurité », les connaissances étaient le lot de certains. Afin de progresser plus vite, quelques « rencontres » conduisaient à des échanges enrichissants : pipacs, plaguez, analyst, halvar, kad, sid, fischy, Phil, Laurent et tant d’autres. Il est amusant de constater que, globalement, tous ces gens continuent aujourd’hui à faire ce qu’ils faisaient avant, mais plus ou moins ouvertement ou gèrent leur propre boîte. 

Deuxième âge : l’adolescence, super ou sans plomb dans la tête

À la fin du premier âge naquirent MISC et SSTIC, surnommés « doubles dragons ». Il fut impliqué dans ces 2 projets qui sont encore là aujourd’hui, tels les vestiges glorieux et brillants d’un passé non moins illustre. Mais sont-ils encore utiles ? 

Il fallait ouvrir les yeux aux organismes, aux entreprises, à l’État qui niaient une chose qui était une évidence : la sécurité informatique était toute pourrie. Rien ne marchait. Des pirates exploitaient des failles, et il fallait comprendre et se protéger. On ne va pas attendre Pâques, man ! 

Inconscient ou mégalomane (sans doute les 2), un petit groupe de potes voulut donner un coup de pied dans la fourmilière pour préserver leur soif de liberté qui s’épanouissait sur Internet, pour garantir l’accès au savoir à tout un… suite sur www.miscmag.com

Fred Raynal

La publication technique des experts de la sécurité offensive & défensive

Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.

Introduction au dossier : Des achats en toute sécurité : comment faciliter les échanges tout en évitant la fraude ?
MISC n°77

Une nouvelle année commence, et si j'ai souhaité à ma famille, à mes amis, santé et réussite (ce que je vous souhaite aussi amis lecteurs), je n'ai pas particulièrement pensé à leur souhaiter une année sans fraude bancaire. Pourtant la plupart d'entre nous sortent à peine d'une période d'application frénétique d'un comportement, qu'on pourrait juger à risque, développé tout au long de l'année : l'utilisation insouciante de la carte bancaire.

« Hookons » avec JavaSnoop !
MISC n°77

L’auditeur le plus motivé peut se retrouver désappointé lors de l’audit d’une application client-lourd développée en Java. On décompile et on regarde le code source ? Pourquoi se donner tant de mal ? Cet article présente le logiciel JavaSnoop, qui facilite l’audit d’applications Java en permettant d’intercepter et de modifier à la volée les appels aux méthodes Java, puis nous conclurons par un cas pratique d’utilisation.

La carte bancaire, comment ça marche ?
MISC n°77

Carte bleue, carte gold, carte sans contact, quel que soit son petit nom, la carte de paiement fait partie des piliers technologiques des échanges monétaires mondiaux.

Ce magazine est intégralement disponible sur Linux Magazine Connect
© 2024 - LES EDITIONS DIAMOND