Pentest Corner

p. 06   Automatiser la création d’un laboratoire d’entraînement Active Directory
p. 18   JS Hoisting : exploiter des XSS « inexploitables »
p. 30   Exploitation d’un système industriel via le protocole OPC UA

Système

p. 46   DenyLocker : utilisation d’AppLocker en liste de blocage, construction et validation automatique des règles
p. 60   Protégez vos ressources AWS en identifiant les accès IMDS

Code

p. 70   Il y a comme un I(a)C

Réseau

p. 78   Scapy a 21 ans !

Réduire l’intervention humaine directe en exécutant des actions de manière automatique est une composante fondamentale des systèmes informatiques. À mesure que les environnements évoluent et se complexifient, l’automatisation devient omniprésente. De façon générale, elle vise à limiter les erreurs humaines, normer les opérations récurrentes, et passer à l’échelle afin de nous permettre de nous focaliser sur des tâches à forte valeur ajoutée.

En fonction des disciplines et de leurs besoins respectifs, cette automatisation prend des formes différentes. Dans le monde du réseau, il s’agit par exemple de provisionner et d’orchestrer la configuration d’équipements, ou de désactiver automatiquement des interfaces en cas d’anomalies ou de dysfonctionnements. Pour les développeurs, les environnements modernes leur permettent d’appliquer des tests unitaires sur leur code, d’y détecter des problèmes, et de le packager. Le DevOps, qui vise à unifier le développement (Dev) et l’administration système (Ops), pousse l’automatisation du développement encore plus loin en déployant régulièrement les applications. Il raccourcit ainsi les délais de mise en production et fiabilise l’exploitation.

Naturellement, la sécurité s’est également automatisée afin de détecter des vulnérabilités ou des attaques dans le but de les corriger ou de les bloquer. Au fil des années, le périmètre des mécanismes de défense a évolué passant de détections antivirales purement locales, à des solutions distribuées plus complexes qui promettent de réagir rapidement aux attaques ciblant l’ensemble du système d’information.

Les enjeux sont désormais tout aussi importants sur les aspects offensifs, et les attaquants ne se privent pas pour automatiser leurs attaques que ce soit via de simples botnets ou des exploits kits complexes. En 2016, le DARPA avait organisé le Cyber Grand Challenge dont l’enjeu était la création de systèmes automatiques capables de trouver des vulnérabilités dans des binaires, et de proposer les exploits et les patchs correspondants. Cette année aura lieu le AI Cyber Challenge également organisé par le DARPA. Il s’agit cette fois-ci d’une compétition visant à utiliser des techniques d’intelligence artificielle pour protéger des logiciels critiques. Avec 30 millions de dollars attribués aux meilleures équipes, il y a fort à parier que les retombées soient toutes aussi importantes qu’en 2016.

Dans ce numéro, l’automatisation se retrouve à travers différents articles traitant de la création d’un environnement de tests Active Directory, de règles de blocage pour AppLocker, ou des risques associés à l’utilisation de l’outil Terraform.

Guillaume VALADON  @guedou – guillaume@miscmag.com – Pour le comité de rédaction