-
S'abonnerAbonnez-vous à nos différents supports -
Magazines à l’unitéCommandez les nouvelles parutions ou complétez votre collection -
Livraison offerte à partir de 50€ d’achat ** Offre valable pour les numéros hors abonnements, livraison en France métropolitaine, appliquée une fois connecté !
Misc 82
Protégez vos codes à tous les niveaux
1 - Évitez les attaques CSRF dans vos applications ASP.net
2 - Analyse des protections du malware Dridex, via l'histoire qui lie PHP, C# et VBScript
3 - Complexification de binaire, ou l'art de ralentir le reverse engineering
4 - Partez à la pêche aux secrets avec Triton et son exécution symbolique dynamique
En savoir plus
8,90 € TTC
Anciens Numéros
SOMMAIRE :
Forensic Corner
p. 04 Analyse avancée de communications réseaux de clients lourds avec l’outil Canape
Pentest Corner
p. 12 Introduction au développement d'extensions Burp
Malware Corner
p. 20 Introduction à l'analyse de malwares Android : le cas d'un ransomware
Dossier
p. 28 Préambule
p. 29 Protégez vos applications Angular des attaques CSRF avec ASP.NET Web API
p. 34 alert('Protect My Code, I'm Famous'); Moyens de protection dans les environnements Web et Windows, mais pas que...
p. 40 Utilisation du framework Triton pour l'analyse de code obfusqué
p. 53 Ne vous o(b)fusquez pas pour si peu
Système
p. 60 Utilisation des VM Exit par les malwares pour échapper à l’analyse en sandbox
Science & technologie
p. 66 La sécurité du protocole Z-Wave
Réseau
p. 72 Renforcer la sécurité par configuration d’un équipement CISCO
Société
p. 78 Exécution, injection, infection, identification et... téléphone maison !
EDITO :
Safe Harbor, vos données seront bien (re)gardées
Coup de tonnerre automnal (ou d’épée dans l’eau) dans le milieu des fournisseurs de services : l’accord dit « Safe Harbor » vient d’être invalidé par la Cour de Justice de l’Union Européenne (CJUE). Petit rappel des faits. En 2000, la Commission européenne signe un accord avec le département du commerce des États-Unis stipulant que l’hébergement de données aux États-Unis offre des garanties suffisantes pour la protection de la vie privée. Par conséquent, les transferts de données personnelles de l’Europe vers les États-Unis sont possibles. C’est évidemment une aubaine pour les fournisseurs de services Cloud devant gérer des clients européens. Que cet accord soit toujours d’actualité en 2015 trois ans après les révélations de Snowden, prête certainement à sourire, ou comme l’écrivait Gerard de Villiers, un ange passe en se tordant de rire. Alors qu’un eurodéputé allemand Jan-Philip Albrecht exigeait depuis 2013 la suspension du Safe Harbor Act, c’est un simple citoyen autrichien, Maximilian Schrems, qui l’a fait invalider par la CJUE. Celle-ci a considéré que les États-Unis n’offraient plus un niveau de protection satisfaisant et que les programmes de surveillance de masse, mis au point par les services fédéraux américains, étaient incompatibles avec une protection adéquate des droits des citoyens européens. Les entreprises dépendantes de cet accord, car traitant outre-Atlantique des données personnelles de ressortissants européens, se retrouvent du jour au lendemain dans une forme de brouillard juridique dans l’attente d’un éventuel nouvel accord. Si cette décision semble frappée du sceau du bon sens, la sécurité apportée par un hébergement européen des données est toutefois à relativiser. Le grand public ne risque pas d’en saisir toutes les nuances. En effet, ce n’est pas le choix du pays hébergeant les données qui risque d’apporter quoi que ce soit à la protection des données contre les attaques. Quand bien même un service serait hébergé sur un Cloud opéré sur le territoire français et, rêvons un peu, sur 100% de matériels homologués par l’ANSSI, sa résistance à une tentative d’intrusion serait à peu près la même que s’il avait été hébergé aux États-Unis. La seule chose qui changera dans l’un ou l’autre des cas est la nationalité des espions qui pilleront les premiers ces données en toute (il)légalité. Cette décision aurait pu en effet être un effet d’aubaine pour le Cloud souverain. Malheureusement, la communication chaotique du gouvernement sur la loi relative au renseignement risque de faire ramer pendant un moment les hébergeurs avant de réussir à convaincre les clients potentiels que leurs données seront chez eux à l’abri des indiscrétions étatiques. Les hébergeurs français tels qu’OVH ont d’ailleurs dû se livrer à un bel exercice de casuistique afin de rassurer leurs clients sur l’innocuité de cette loi alors qu’ils la vouaient aux gémonies quelques jours plus tôt alors que ce n’était qu’un projet. Au final, financer au travers de la Caisse des Dépôts et Consignations un projet d’hébergement français pour le fusiller médiatiquement et légalement quelques années plus tard avec la loi sur le renseignement restera un bel exemple de vision stratégique sur la construction d’une économie numérique française. Bonne lecture !
Cedric Foll / cedric@miscmag.com / @follc
La publication technique des experts de la sécurité offensive & défensive
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
Nous avons tous écrit du code, et avoir quelque de chose de concis et propre reste compliqué. Frederick Brooks le dit bien, un développeur professionnel n'écrit qu'une dizaine de lignes de code par jour. On peut faire le calcul sur un gros projet comme le noyau Linux. En reprenant le dernier rapport de la Fondation Linux [1], c'est environ 19 millions de lignes de code et 12 000 collaborateurs depuis 2005 (date d'utilisation du git). Une estimation généreuse, car le projet a commencé en 1991 et possède donc plus de contributeurs, nous donne le troll chiffre surprenant de 0.43 ligne par contributeur par jour !
Un environnement virtualisé a besoin d'utiliser les ressources physiques de notre machine pour fonctionner. Alors que l'accès à ces ressources physiques se fait d'habitude directement par la machine virtuelle, l'hyperviseur est contraint parfois à prendre la main sur la machine virtuelle, et ce en utilisant la fonction VM_exit. Cependant, cette caractéristique entraîne une latence lors de l'utilisation de certaines instructions. Les logiciels malveillants (malwares) peuvent alors utiliser cette particularité en mesurant ce délai pour détecter leur exécution dans une machine virtuelle. Dans cet article, nous expliquons la fonction VM_exit, son utilisation par les malwares et nous proposons un mécanisme de détection de cette dernière.
Que se passe-t-il lors de l'exécution d'un malware ? Cet article a pour objectif de parler des premières phases de l'infection d'une machine, en prenant Emotet comme exemple pratique, depuis l'arrivée du logiciel malveillant sur la machine cible, en passant par son intégration dans le système, jusqu’à sa première connexion à son serveur de commande et de contrôle.
