SOMMAIRE :

Forensic Corner
p. 04 Analyse avancée de communications réseaux de clients lourds avec l’outil Canape

Pentest Corner
p. 12 Introduction au développement d'extensions Burp

Malware Corner
p. 20 Introduction à l'analyse de malwares Android : le cas d'un ransomware

Dossier
p. 28 Préambule
p. 29 Protégez vos applications Angular des attaques CSRF avec ASP.NET Web API
p. 34 alert('Protect My Code, I'm Famous'); Moyens de protection dans les environnements Web et Windows, mais pas que...
p. 40 Utilisation du framework Triton pour l'analyse de code obfusqué
p. 53 Ne vous o(b)fusquez pas pour si peu

Système
p. 60 Utilisation des VM Exit par les malwares pour échapper à l’analyse en sandbox

Science & technologie
p. 66 La sécurité du protocole Z-Wave

Réseau
p. 72 Renforcer la sécurité par configuration d’un équipement CISCO

Société
p. 78 Exécution, injection, infection, identification et... téléphone maison !

EDITO :

Safe Harbor, vos données seront bien (re)gardées

Coup de tonnerre automnal (ou d’épée dans l’eau) dans le milieu des fournisseurs de services : l’accord dit « Safe Harbor » vient d’être invalidé par la Cour de Justice de l’Union Européenne (CJUE). Petit rappel des faits. En 2000, la Commission européenne signe un accord avec le département du commerce des États-Unis stipulant que l’hébergement de données aux États-Unis offre des garanties suffisantes pour la protection de la vie privée. Par conséquent, les transferts de données personnelles de l’Europe vers les États-Unis sont possibles. C’est évidemment une aubaine pour les fournisseurs de services Cloud devant gérer des clients européens. Que cet accord soit toujours d’actualité en 2015 trois ans après les révélations de Snowden, prête certainement à sourire, ou comme l’écrivait Gerard de Villiers, un ange passe en se tordant de rire. Alors qu’un eurodéputé allemand Jan-Philip Albrecht exigeait depuis 2013 la suspension du Safe Harbor Act, c’est un simple citoyen autrichien, Maximilian Schrems, qui l’a fait invalider par la CJUE. Celle-ci a considéré que les États-Unis n’offraient plus un niveau de protection satisfaisant et que les programmes de surveillance de masse, mis au point par les services fédéraux américains, étaient incompatibles avec une protection adéquate des droits des citoyens européens. Les entreprises dépendantes de cet accord, car traitant outre-Atlantique des données personnelles de ressortissants européens, se retrouvent du jour au lendemain dans une forme de brouillard juridique dans l’attente d’un éventuel nouvel accord. Si cette décision semble frappée du sceau du bon sens, la sécurité apportée par un hébergement européen des données est toutefois à relativiser. Le grand public ne risque pas d’en saisir toutes les nuances. En effet, ce n’est pas le choix du pays hébergeant les données qui risque d’apporter quoi que ce soit à la protection des données contre les attaques. Quand bien même un service serait hébergé sur un Cloud opéré sur le territoire français et, rêvons un peu, sur 100% de matériels homologués par l’ANSSI, sa résistance à une tentative d’intrusion serait à peu près la même que s’il avait été hébergé aux États-Unis. La seule chose qui changera dans l’un ou l’autre des cas est la nationalité des espions qui pilleront les premiers ces données en toute (il)légalité. Cette décision aurait pu en effet être un effet d’aubaine pour le Cloud souverain. Malheureusement, la communication chaotique du gouvernement sur la loi relative au renseignement risque de faire ramer pendant un moment les hébergeurs avant de réussir à convaincre les clients potentiels que leurs données seront chez eux à l’abri des indiscrétions étatiques. Les hébergeurs français tels qu’OVH ont d’ailleurs dû se livrer à un bel exercice de casuistique afin de rassurer leurs clients sur l’innocuité de cette loi alors qu’ils la vouaient aux gémonies quelques jours plus tôt alors que ce n’était qu’un projet. Au final, financer au travers de la Caisse des Dépôts et Consignations un projet d’hébergement français pour le fusiller médiatiquement et légalement quelques années plus tard avec la loi sur le renseignement restera un bel exemple de vision stratégique sur la construction d’une économie numérique française. Bonne lecture !

Cedric Foll / cedric@miscmag.com / @follc