12,90 € TTC
p. 06 Automatiser la création d’un laboratoire d’entraînement Active Directory
p. 18 JS Hoisting : exploiter des XSS « inexploitables »
p. 30 Exploitation d’un système industriel via le protocole OPC UA
p. 46 DenyLocker : utilisation d’AppLocker en liste de blocage, construction et validation automatique des règles
p. 60 Protégez vos ressources AWS en identifiant les accès IMDS
p. 70 Il y a comme un I(a)C
p. 78 Scapy a 21 ans !
Réduire l’intervention humaine directe en exécutant des actions de manière automatique est une composante fondamentale des systèmes informatiques. À mesure que les environnements évoluent et se complexifient, l’automatisation devient omniprésente. De façon générale, elle vise à limiter les erreurs humaines, normer les opérations récurrentes, et passer à l’échelle afin de nous permettre de nous focaliser sur des tâches à forte valeur ajoutée.
En fonction des disciplines et de leurs besoins respectifs, cette automatisation prend des formes différentes. Dans le monde du réseau, il s’agit par exemple de provisionner et d’orchestrer la configuration d’équipements, ou de désactiver automatiquement des interfaces en cas d’anomalies ou de dysfonctionnements. Pour les développeurs, les environnements modernes leur permettent d’appliquer des tests unitaires sur leur code, d’y détecter des problèmes, et de le packager. Le DevOps, qui vise à unifier le développement (Dev) et l’administration système (Ops), pousse l’automatisation du développement encore plus loin en déployant régulièrement les applications. Il raccourcit ainsi les délais de mise en production et fiabilise l’exploitation.
Naturellement, la sécurité s’est également automatisée afin de détecter des vulnérabilités ou des attaques dans le but de les corriger ou de les bloquer. Au fil des années, le périmètre des mécanismes de défense a évolué passant de détections antivirales purement locales, à des solutions distribuées plus complexes qui promettent de réagir rapidement aux attaques ciblant l’ensemble du système d’information.
Les enjeux sont désormais tout aussi importants sur les aspects offensifs, et les attaquants ne se privent pas pour automatiser leurs attaques que ce soit via de simples botnets ou des exploits kits complexes. En 2016, le DARPA avait organisé le Cyber Grand Challenge dont l’enjeu était la création de systèmes automatiques capables de trouver des vulnérabilités dans des binaires, et de proposer les exploits et les patchs correspondants. Cette année aura lieu le AI Cyber Challenge également organisé par le DARPA. Il s’agit cette fois-ci d’une compétition visant à utiliser des techniques d’intelligence artificielle pour protéger des logiciels critiques. Avec 30 millions de dollars attribués aux meilleures équipes, il y a fort à parier que les retombées soient toutes aussi importantes qu’en 2016.
Dans ce numéro, l’automatisation se retrouve à travers différents articles traitant de la création d’un environnement de tests Active Directory, de règles de blocage pour AppLocker, ou des risques associés à l’utilisation de l’outil Terraform.
Guillaume VALADON @guedou – guillaume@miscmag.com – Pour le comité de rédaction
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
AppLocker est un outil Microsoft de contrôle d’application présent sur tous les systèmes Windows récents. Il est un incontournable des fonctionnalités de sécurité de défense en profondeur. Son déploiement en liste d’autorisation dans un environnement d’entreprise est largement documenté, tout autant que les différentes techniques pour contourner les restrictions déployées. Cependant, après plus de dix ans d’existence, il reste épineux à utiliser sur un vaste parc informatique. Voyons comment le déployer plus aisément en liste de blocage pour profiter de ses atouts.
Les fournisseurs de cloud comme Amazon Web Services (AWS) proposent une très bonne visibilité sur les appels d’API effectués par les différents utilisateurs d’un compte grâce à des services comme CloudTrail [1]. Malheureusement, cette introspection s’arrête généralement à l’adresse IP de la machine qui a effectué l’appel, ne permettant pas de différencier un appel légitime des conséquences d’une attaque SSRF (Server-Side Request Forgery) [13] ou autre compromission.
Scapy (initialement pour Scanner Python), un programme écrit en Python simplifiant la manipulation de paquets réseau, a 21 ans cette année. À travers cet article, et à l'occasion de l’anniversaire du premier commit effectué par Philippe Biondi le mercredi 26 mars 2003, nous voulons partager les moments forts de ce petit logiciel libre qui a bien grandi et dont la communauté continue d’évoluer et de nous étonner.