Pentest Corner

p. 04 Contournement d’AppLocker via Powershell

Malware Corner

p. 08 Automatisation d'une obfuscation de code VBA avec VBad

Forensic Corner

p. 16 Arrêtez de grogner avec GRR Rapid Response !

Dossier

p. 24 Préambule
p. 25 Techniques de manipulation
p. 32 Business e-mail compromise
p. 38 L’hameçonnage au service de la sécurité
p. 44 Social engineering : identifier la menace

Code

p. 50 Pourquoi inclure la sécurité dans votre pipeline DevOps ?
p. 56 Sécurité des véhicules connectés et/ou autonomes

Cryptographie

p. 66 Les attaques sur RSA : de la théorie à la pratique

Système

p. 76 Analyse de la sécurité d'un bracelet sportif

Arrête de ramer, t’es sur le sable

L’été 2015 se terminait avec comme principale actualité à nous mettre sous la dent le piratage des données d’Ashley Madison et la mise en pâture d’une kyrielle de données nominatives d’utilisateurs réels (ou pas) qui se seraient bien passés d’apparaître dans ces listings. Durant l’été 2016, après la publication de milliers de courriels internes du parti démocrate américain, ce sont des exploits ciblant des 0days et affectant les principaux constructeurs d’équipements réseau qui auraient été volés à la NSA et qui se retrouvent dans la nature. Dans les deux cas, si une fuite interne n’est pas à exclure, des regards se sont tournés vers des groupes de pirates russes qui seraient liés aux services de renseignements du Kremlin. Autant dire que si l’une ou l’autre des intrusions est confirmée on franchit quelques marches quant à la technicité requise pour réussir à voler ces données.

Et puis, après la très médiatisée victoire de l’intelligence artificielle de Google au jeu de go et le concept de « Deep Learning » qui dépasse en matière de Hype celui de « Big Data », les ordinateurs commencent à se mesurer aux informaticiens pour la recherche de vulnérabilités. Début août à la DEF CON, dans le cadre du « Cyber Grand Challenge » du DARPA, des programmes informatiques se sont affrontés pour trouver des failles et les corriger avec à la clef une récompense de $2.000.000 [1]. Les résultats semblent des plus spectaculaires et les machines devraient pouvoir être utilisées prochainement pour trouver des failles de manière un peu plus subtile qu’en faisant du fuzzing sur des pétaoctets de données. Ceci démontre également à nouveau que la frontière devient de plus en plus floue entre ce qui était réalisable par des machines et ce qui semblait hier encore largement hors de leur portée : l’apanage unique de l’esprit humain.

Enfin, cet été a également été émaillé de nouvelles rodomontades du gouvernement sur le thème de la cryptographie et de la nécessité, pour les services étatiques, de pouvoir déchiffrer les communications [2]. En lisant entre les lignes, il s’agit ni plus ni moins d’imposer aux éditeurs de logiciels chiffrant des données (donc en 2016 à peu près tous les logiciels qu’ils soient libres ou propriétaires) d’intégrer une clef de recouvrement ou, plus trivialement, une backdoor. Je ne vais pas m’appesantir sur l’impossibilité technique de généraliser ce type de règlementation à des logiciels libres, la difficulté d’imposer une telle mesure à des éditeurs étrangers, la facilité avec laquelle les terroristes pourront contourner ces limitations en utilisant des logiciels maison, le risque encouru en cas de perte de la clef privée ou encore sur les difficultés que pourrait entraîner ce type de loi pour la vente de solutions souveraines en dehors de nos frontières. Notre ministre de l’intérieur aurait tout intérêt à écouter l’avis des services étatiques compétents en matière de cryptographie, et tout particulièrement l’ANSSI, dont le directeur écrivait en début d’année que l’« affaiblissement généralisé serait attentatoire à la sécurité numérique et aux libertés de l’immense majorité des utilisateurs respectueux des règles tout en étant rapidement inefficace vis-à-vis de la minorité ciblée ».

Finalement, il restera certainement un domaine pour lequel l’être humain gardera sa supériorité, c’est sa capacité à prendre des décisions irrationnelles en étant certain d’avoir raison contre tous sur un sujet qu’il ne maîtrise pas.

Bonne lecture !