9,90 € TTC
p. 06 Vulnérabilités, Binary Diffing & Crashs
p. 12 Rakound : faire les poches de BloodHound
p. 22 Description du format de stockage forensique Encase/EWF
p. 30 Introduction
p. 31 MCO et MCS d’un parc de VM de grande entreprise
p. 42 Un aperçu de la sauvegarde
p. 48 Sécurité à l’exécution sous Linux
p. 56 Exploitation des ports de débogage USB des SoC
p. 64 Techniques de mouvements latéraux en environnement Windows avec DCOM
p. 76 Detection as code
Il y a 8 ans, Edward Snowden révélait les capacités de la NSA en matière d’écoute et d’interception des communications. Le grand public découvrait que les États-Unis d’Amérique réalisaient des écoutes en masse des communications, étaient en capacité de les déchiffrer et avaient un accès direct aux données des principaux fournisseurs de services sur leur territoire.
Suite à ces révélations commercialement problématiques pour les éditeurs américains, ces derniers, et tout particulièrement Apple, ont fait de la question de la protection des données privées un enjeu commercial sur lequel ils ont axé leur communication afin de regagner la confiance de leurs clients [1]. Grâce au chiffrement de bout en bout et aux clefs de chiffrement stockées sur les terminaux dont l’éditeur n’a pas connaissance, il pouvait être raisonnable de penser que des progrès avaient été faits en matière de protection des données. D’ailleurs, même le FBI participait avec enthousiasme au plan de communication d’Apple en se plaignant de ne plus réussir à accéder aux données stockées sur iPhone [2][3].
L’affaire Pegasus vient cependant rappeler qu’il existe d’autres moyens techniques pour accéder aux données et écouter les communications sur un terminal mobile. Pourtant, la simple lecture du programme public de récompenses de Zerodium [4] aurait pu mettre la puce à l’oreille des médias et politiques d’autant que les plus grosses récompenses sont pour les 0days sur mobile et leurs applications de messagerie instantanée. Il eut été raisonnable de penser qu’ils n’achètent pas des exploits pour en faire la collection, mais qu’ils ont des clients à qui les revendre et qu’ils ne sont pas les seuls sur le marché. Aussi, voir des politiques au plus haut niveau avec des téléphones grand public utiliser Telegram ou WhatsApp montre leur niveau de naïveté et de méconnaissance des questions de cybersécurité. Car, quel que soit le niveau d’expertise technique des agences spécialisées, il n’y a pas de solution magique pour sécuriser un smartphone contre des 0day. Si l’on veut sécuriser un terminal, il est nécessaire de réduire la surface d’attaque. Il est impossible de disposer d’un téléphone avec toutes les applications à la mode et espérer qu’il soit inviolable par l’ajout d’une brique de sécurité magique. Comme toujours, la sécurité induit un impact fort pour les utilisateurs, il y a nécessairement un choix à faire entre la sécurité et les usages.
Et si NSO, avec la bénédiction de l’État d’Israël, assure la main sur le cœur, qu’ils ne fournissent leurs services qu’à des États à des fins de lutte contre le terrorisme et le crime organisé, l’usage qui semble avoir été fait de leurs produits laisse à penser qu’ils ont fait preuve d’une certaine légèreté dans le choix de leur clientèle et de l’usage final de leur technologie. Et si Snowden avait fait prendre conscience des capacités opérationnelles en matière d’écoute et d’informatique offensive des États-Unis, l’affaire Pegasus montre que des outils offensifs sont accessibles à n’importe quel pays moyennant quelques millions de dollars. Un État, s’il ne dispose pas des ressources techniques et humaines pour réaliser des attaques élaborées, a juste à sortir son carnet de chèques et acheter sur étagère les briques techniques et le service associé comme n’importe quel logiciel ou matériel informatique. À ce titre, la lecture des pays clients de NSO dans cette affaire est particulièrement éclairante [5], on ne retrouve aucun pays connu pour ses capacités en matière de cybersécurité. Des sociétés telles que NSO rendent accessibles aux pays les moins développés des armes numériques capables d’écouter le téléphone portable d’un chef d’État du G7.
Il faut toutefois souligner qu’il est plus que probable que ce type d’actions offensives soit conduit par les pays disposant du plus haut niveau d’expertise en cybersécurité avec beaucoup plus de discrétion en s’appuyant sur leurs propres équipes. Au regard des capacités opérationnelles qu’a démontré une entreprise de 700 salariés, les dirigeants politiques ou industriels auraient tout intérêt à se méfier de leurs téléphones s’ils veulent éviter les indiscrétions des principales puissances dans le domaine de la cybersécurité.
Enfin, cet épisode montre également que le choix d’Apple et Android d’un système fermé sans accès simple aux logs rend complexe la détection de ce type d’attaques sur un parc de smartphones pour les équipes informatiques.
Cédric Foll / cedric@miscmag.com / @follc
[1] https://www.apple.com/privacy/features/
[2] https://www.apple.com/customer-letter/
[3] Apple a cependant évolué sur la question en annonçant cet été qu’un système de vérification de présence d’images pédopornographiques sur les terminaux allait être déployé : https://www.usine-digitale.fr/article/apple-sous-le-feu-des-critiques-pour-ses-fonctionnalites-de-surveillance-contre-la-pedopornographie.N1131769
[4] https://zerodium.com/program.html
[5] Azerbaijan, Bahrain, Hungary, India, Kazakhstan, Mexico, Morocco, Rwanda, Saudi Arabia, Togo, and the United Arab Emirates : https://twitter.com/tenacioustek/status/1419364914444054529?s=20
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
Quand j’ai commencé ma carrière, il n’était pas rare de recompiler le noyau des serveurs ou de faire des installations à coup de ./configure;make;make install. Dès lors, à chaque fois qu’un paquet de la distribution devait être installé, il fallait jouer avec les options --nodeps --force parce que la moitié des logiciels avaient été installés depuis les sources. Les fichiers de configuration dans /etc étaient suffixés par des extensions exotiques du type .backup, .sos, .nepaseffacer, .derniereversionquifonctionne...
Dans le cadre de réponses sur incidents, les CERT/CSIRT peuvent être amenés à réaliser des analyses post-mortem à partir des disques ou plus généralement de supports de stockage. Ainsi, il est proposé dans cet article d’énumérer les requis pour collecter, stocker, utiliser efficacement une copie de disque en vue d’une analyse forensique. Nous détaillerons comment le format EWF met en œuvre ses besoins, et en décrirons suffisamment les principes techniques pour savoir accéder à un secteur précis dans l’image du disque.
Le monde du développement logiciel a évolué vers la fin des années 2000 en introduisant de l’automatisation et de la supervision partout où cela était possible (sous la bannière du DevOps). Les outils et principes permettant de livrer du code de meilleure qualité plus rapidement ont été réutilisés pour la gestion des infrastructures informatiques (Infrastructure as Code). En septembre 2020, Anton Chuvakin a proposé sur son blog l’expression « Detection as Code » [1] pour décrire la même transformation appliquée à la détection d’incident de sécurité des systèmes d’information. Nous allons voir ci-après quels avantages on peut tirer de la Detection as Code et comment la mettre en place avec pragmatisme.