-
S'abonnerAbonnez-vous à nos différents supports -
Magazines à l’unitéCommandez les nouvelles parutions ou complétez votre collection -
Livraison offerte à partir de 50€ d’achat ** Offre valable pour les numéros hors abonnements, livraison en France métropolitaine, appliquée une fois connecté !
Misc 85
TESTS D'INTRUSION INTERNES :
ATTAQUES ET CONTRE-MESURES
1 - Contournement des outils de durcissement des postes de travail
2 - Active Directory : comment se protéger contre les dernières techniques offensives ?
3 - Retour d'expérience : le best of des attaques originales
4 - État de l'art des attaques sur un réseau interne
8,90 € TTC
Anciens Numéros
SOMMAIRE :
Forensic Corner
p. 04 Quand la Threat Intel rencontre le DFIR – 1ère partie
Pentest Corner
p. 12 Attaque d'un réseau Windows avec Responder
Malware Corner
p. 18 Analyse du rançongiciel TeslaCrypt
Dossier
p. 24 Préambule
p. 25 Techniques actuelles de contournement de politiques de restrictions logicielles
p. 34 Active Directory : nouveaux challenges à venir
p. 42 Ouvrir des portes avec des cadenas
p. 50 Les réseaux : toujours sujets à des attaques
Cryptographie
p. 60 #Implémentation d'AES : la nitroglycérine
Système
p. 68 Pentest z/OS
Organisation & Jurdique
p. 76 APT – Qui sont les attaquants ?
EDITO :
La fin de la vie privée ? En 2010, Jean-Marc Manach publiait « La vie privée, un problème de vieux cons ? ». Cet ouvrage discute, pour la mettre à mal, l’opinion répandue selon laquelle les natifs du numérique considéreraient qu’il est légitime d’être tracé numériquement et que leur vie privée est une marchandise échangée contre le droit d’accéder gratuitement à des services en ligne.
La fortune des géants d’Internet, à commencer par Google et Facebook, s’est bâtie sur la monétisation des données personnelles. Ces entreprises ont eu le génie de transformer les usagers de leurs services, non plus en clients, mais en produits à vendre à leurs annonceurs. Le cœur de métier de Facebook ou Google est finalement celui d’une régie publicitaire. Cela a d’ailleurs été parfaitement résumé par un ancien employé de Facebook : « les meilleurs esprits de ma génération se consacrent à faire cliquer des gens sur des pubs ».
Ces sociétés ont accumulé au fil des années plus de données sur la population mondiale que n’en a jamais rêvé de détenir tout état totalitaire (ou pas). Mais ce trésor numérique n’est pas l’apanage des entreprises du GAFA, il est également présent au sein de sociétés dont Internet n’est pas le coeur de l’activité telles que des banques, des sociétés d’assurance, des supermarchés… Le fait que des sociétés puissent détenir tant d’informations personnelles est déjà inquiétant en soi, mais vient s’ajouter un problème devenant de plus en plus criant année après année. Le niveau d’insécurité sur Internet est croissant avec des belligérants disposant de moyens de plus en plus importants (au hasard les services spéciaux de tous les pays) alors que sécuriser son système d’information est de plus en plus compliqué avec des problématiques telles que le BYOD, la généralisation du chiffrement (adieux les IPS), le protocole HTTP(S) qui remplace progressivement tous les autres (autoriser le port 443 vers ses serveurs revient quasiment à un « permit ip any any »).
Ainsi, la diffusion de données compromises contenant des informations nominatives se multiplie. Le dernier événement en date, au moment de la rédaction de cet édito, concerne le cabinet Mossack Fonseca. La moralité supposée de la clientèle de ce cabinet peut rendre ce leak plutôt sympathique, mais comment se réjouir de la diffusion de données personnelles sur la place publique tout en prétendant défendre le droit à la vie privée? Ce qui rend absolument effarant ce nouveau scandale est l’extrême vulnérabilité des données personnelles dématérialisées. Qui plus est, dans ce cas, ce sont les données personnelles d’hommes et de femmes parmi les plus puissants et les plus riches de la planète. Et ce ne sont pas des données d’un niveau de confidentialité moyenne telles que des adresses ou des numéros de téléphone, mais précisément ce que ces personnes voulaient garder sous le sceau du secret le plus absolu. Des données qui ont conduit à la démission du Premier ministre islandais en quarante-huit heures, fait trembler le gouvernement de la première puissance économique mondiale.
Ces événements démontrent clairement que la sécurité des données est un des principaux enjeux de ces prochaines années. Le nouveau règlement européen de protection des données personnelles prévoit d’ailleurs la désignation d’un « Data Protection Officer » (DPO) sous deux ans pour toutes les administrations ou sociétés traitant des données personnelles. À mesure que les menaces augmentent et que la richesse de nos vies numériques se développe, la divulgation de données personnelles est un risque que nous sommes de moins en moins enclins à accepter et qui ne doit pas devenir une fatalité.
Cédric Foll / @follc / cedric@miscmag.com
La publication technique des experts de la sécurité offensive & défensive
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
La pratique d’un test d’intrusion externe pour un auditeur s’apparente souvent à une partie de roulette. Outre les compétences et l’expérience, à moins de recourir à des techniques de social engineering et autres envois de messages piégés, la compromission du réseau cible tient pour beaucoup à la chance. Et pour une fois, l’avantage est plutôt du côté du défenseur. À moins de disposer d’une surface d’attaque monstrueuse, tout en étant particulièrement peu regardant sur ce qui se passe sur son réseau. L’insécurité généralisée d’Internet faisant que lorsque l’on dispose de failles béantes son réseau tombe sous les coups de boutoir des scripts kiddie bien avant le passage d’un auditeur.
De nombreuses publications détaillent le mode opératoire des attaques APT (Advanced Persistent Threat), ces attaques qui ciblent des entités diverses et variées afin de leur dérober leurs propriétés intellectuelles ou encore de les espionner. Ces attaques suivent généralement le même schéma connu et reconnu. Par contre, peu d’informations sont disponibles sur les attaquants. Certains chercheurs exposent des identités réelles d’attaquants, mais cela ne fournit pas forcément d’information sur les différents profils présents dans les groupes APT. Le but de cet article est de fournir une vue plus précise sur les profils composant ces groupes d’attaquants, ainsi que la façon dont ils sont structurés.
Le Mainframe, objet souvent mystérieux parfois qualifié de « relique » est entouré d'une aura toute particulière. Technologie des années 60, mais néanmoins massivement utilisée de nos jours par des banques, assurances ou encore des compagnies aériennes, sa sécurité reste moins publiquement discutée que d'autres systèmes tels qu'Un*x ou Windows. Étant un point critique du SI, un audit intrusif est primordial. Quelle démarche suivre lorsque l’on est confronté à ce type de système ? Quels outils utiliser ? Et surtout, quels réflexes adopter ?
