Février / Mars 2021

Misc HS 23

Les fondamentaux de l'analyse forensique :

Réponse à incident & investigation numérique

En savoir plus

14,90 € TTC

Anciens Numéros

LIVRAISON OFFERTE en France Métropolitaine à partir de 50€
Misc 136

Misc 136

Novembre / Décembre 2024
14,90 €
Misc HS 30

Misc HS 30

Octobre / Novembre 2024
14,90 €
Misc 135

Misc 135

Septembre / Octobre 2024
12,90 €
Misc 134

Misc 134

Juillet / Août 2024
12,90 €
Misc HS 29

Misc HS 29

Juin / Juillet 2024
14,90 €
Misc 133

Misc 133

Mai / Juin 2024
12,90 €
Misc 132

Misc 132

Mars / Avril 2024
12,90 €
Misc HS 28

Misc HS 28

Février / Mars 2024
14,90 €
Sommaire :

Actus

p. 06 Côté livres

Témoignage

p. 08 Entretien avec David Bizeul et Guillaume Arcas, acteurs historiques des CERT francophones

Système

p. 16 GNU Guix, vers une gestion de paquets sécurisée

Dossier : Analyse forensique

p. 27 Introduction
p. 28 DFIR : hier, aujourd’hui et demain
p. 38 L’analyse de disques durs
p. 44 Collecte d'artefacts en environnement Windows avec DFIR-ORC
p. 68 Doper votre SIEM pour la réponse sur incident
p. 74 Antivirus, PowerShell et ORC pour le Live-Forensics
p. 88 Traitement de courriels d’hameçonnage avec TheHive & Cortex
p. 100 DFIR et CTI, une complémentarité idéale

Pentest

p. 112 Mouvements latéraux en environnement Windows : services

Édito :

Messageries sécurisées : vers la fin d’un règne ?

D’aucuns n’auront loupé l’explosion du nombre d’utilisateurs de l’application de messagerie instantanée Signal, soit au travers de l’actualité, soit car leur infrastructure était tout simplement dans les choux ce 15 janvier 2021, précisément à cause de cette nouvelle charge (on ne connaît pas précisément l’ordre de grandeur). Signal n’a d’ailleurs pas été le seul à connaître ce récent succès, d’autres applications telles que Telegram ont annoncé avoir eu 25 millions de nouveaux utilisateurs en l’espace de 72 heures. Derrière cette migration massive vers des applications de messagerie dites alternatives, une simple, mais non des moindres, annonce d’une future mise à jour des conditions d’utilisation du service WhatsApp, touchant notamment à l’épineuse question des données personnelles. Pour les plus lucides (ou désabusés), l’hypothèse qu’un géant qui doit son succès aux données personnelles puisse décider de se servir dans l’un des nombreux services qu’il a rachetés dans le passé n’est absolument pas étonnante. Bref, il n’y a rien de bien nouveau dans cette polémique, si ce n’est la mise en lumière desdites alternatives et du modèle technique sur lequel elles reposent.

En effet, lorsque l’on prend le temps de regarder un peu en arrière, utiliser un protocole dont il existe plusieurs implémentations, plusieurs clients et serveurs, et où l’on est capable de contrôler l’infrastructure (installer ses propres serveurs et interagir avec ceux des autres), semble révolu, en tout cas pour le monde des messageries dites sécurisées. SILC a été un échec, le duo XMPP/OTR est vieillissant tant du point de vue des fonctionnalités que de la sécurité, et les solutions décentralisées comme matrix (exception faite de cas spécifiques, comme Citadel) n’ont quasi aucun succès auprès du grand public. Aussi, l’écosystème actuel, avec l’explosion de l’usage du mobile et du cloud les dernières années, tend clairement à favoriser les solutions « centralisées ».

Même si l’on peut se réjouir que des applications comme Signal et d’autres (Wire, Threema, Olvid, etc.) reposent sur des protocoles solides et apportent du chiffrement de bout en bout, quelques problèmes structurels persistent. Avant tout, même si elles sont faciles d’usage, toutes ces applications ne savent pas parler entre elles et ne possèdent très souvent qu’une seule implémentation, celle de l’entreprise qui la développe. On peut donc oublier l’autohébergement et l’usage de clients ou serveurs alternatifs. En cas de faille de sécurité dans l’un des composants (client/serveur/protocole), le patch sera sûrement déployé plus rapidement, mais cela augmente la criticité desdits composants et les surexpose. Cela a bien entendu des conséquences importantes sur la sécurité et correspond à un modèle de menace spécifique qui ne sera pas partagé par l’ensemble des utilisateurs de l’application. De la même manière, laisser dans les mains d’un tiers la gestion de l’infrastructure, d’autant plus si celle-ci est sur le cloud (suivez mon regard), pose évidemment des questions d’ordre politique, de censure, mais aussi de résilience. Il y a certes certains avantages à l’usage de grands fournisseurs, mais qui ont montré leurs limites : le « domain fronting » par exemple, où si l’on veut censurer un service particulier vous êtes obligé de censurer l’ensemble du domaine du fournisseur, a été arrêté en 2018 pour Signal sous la pression d’Amazon. Bref, comme toujours il n’y a pas de solution miracle, des compromis importants sont faits pour atteindre certains objectifs. Pour Signal, je vous suggère de visionner [0] afin de vous faire votre propre idée sur les quelques hypothèses des avantages d’un modèle centralisé.

Émilien GASPAR / gapz / eg@miscmag.com


[0] Moxie Marlinspike, The ecosystem is moving, 36c3

La publication technique des experts de la sécurité offensive & défensive

Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.

Introduction au dossier : Les fondamentaux de l'analyse forensique
MISC n°23

La sécurité informatique est morte : vive la cybersécurité !

Les pirates des années 90 ont laissé place aux cybercriminels et aux APT, les attaques contre la chaîne logistique numérique (Supply Chain Attack) font la Une des journaux grand public. Des rançongiciels paralysent des hôpitaux en pleine pandémie de la Covid-19, des cyberespions chinois, russes, iraniens ou nord-coréens – bizarrement rarement indiens, et pourtant… – pillent les laboratoires pharmaceutiques de leurs recettes de vaccin.

Mouvements latéraux en environnement Windows : services
MISC n°23

La création de services à distance permet de se déplacer latéralement au sein d'un environnement Windows. Les notions techniques associées à la gestion des services Windows seront présentées dans l'article, ainsi que les traces et journaux en résultant.

Entretien avec David Bizeul et Guillaume Arcas, acteurs historiques des CERT francophones
MISC n°23

David Bizeul et Guillaume Arcas, tous deux bien connus du monde de la sécurité informatique et notamment de la réponse à incident, vous livrent ici leurs parcours, points de vue et conseils quant aux enjeux de cet incroyable domaine qu’est la sécurité.

Ce magazine est intégralement disponible sur Linux Magazine Connect
© 2024 - LES EDITIONS DIAMOND