Misc HS 23

Les fondamentaux de l'analyse forensique :

Réponse à incident & investigation numérique

Plus de détails

14,90 € TTC

 
Sommaire :

Actus

p. 06 Côté livres

Témoignage

p. 08 Entretien avec David Bizeul et Guillaume Arcas, acteurs historiques des CERT francophones

Système

p. 16 GNU Guix, vers une gestion de paquets sécurisée

Dossier : Analyse forensique

p. 27 Introduction
p. 28 DFIR : hier, aujourd’hui et demain
p. 38 L’analyse de disques durs
p. 44 Collecte d'artefacts en environnement Windows avec DFIR-ORC
p. 68 Doper votre SIEM pour la réponse sur incident
p. 74 Antivirus, PowerShell et ORC pour le Live-Forensics
p. 88 Traitement de courriels d’hameçonnage avec TheHive & Cortex
p. 100 DFIR et CTI, une complémentarité idéale

Pentest

p. 112 Mouvements latéraux en environnement Windows : services

Édito :

Messageries sécurisées : vers la fin d’un règne ?

D’aucuns n’auront loupé l’explosion du nombre d’utilisateurs de l’application de messagerie instantanée Signal, soit au travers de l’actualité, soit car leur infrastructure était tout simplement dans les choux ce 15 janvier 2021, précisément à cause de cette nouvelle charge (on ne connaît pas précisément l’ordre de grandeur). Signal n’a d’ailleurs pas été le seul à connaître ce récent succès, d’autres applications telles que Telegram ont annoncé avoir eu 25 millions de nouveaux utilisateurs en l’espace de 72 heures. Derrière cette migration massive vers des applications de messagerie dites alternatives, une simple, mais non des moindres, annonce d’une future mise à jour des conditions d’utilisation du service WhatsApp, touchant notamment à l’épineuse question des données personnelles. Pour les plus lucides (ou désabusés), l’hypothèse qu’un géant qui doit son succès aux données personnelles puisse décider de se servir dans l’un des nombreux services qu’il a rachetés dans le passé n’est absolument pas étonnante. Bref, il n’y a rien de bien nouveau dans cette polémique, si ce n’est la mise en lumière desdites alternatives et du modèle technique sur lequel elles reposent.

En effet, lorsque l’on prend le temps de regarder un peu en arrière, utiliser un protocole dont il existe plusieurs implémentations, plusieurs clients et serveurs, et où l’on est capable de contrôler l’infrastructure (installer ses propres serveurs et interagir avec ceux des autres), semble révolu, en tout cas pour le monde des messageries dites sécurisées. SILC a été un échec, le duo XMPP/OTR est vieillissant tant du point de vue des fonctionnalités que de la sécurité, et les solutions décentralisées comme matrix (exception faite de cas spécifiques, comme Citadel) n’ont quasi aucun succès auprès du grand public. Aussi, l’écosystème actuel, avec l’explosion de l’usage du mobile et du cloud les dernières années, tend clairement à favoriser les solutions « centralisées ».

Même si l’on peut se réjouir que des applications comme Signal et d’autres (Wire, Threema, Olvid, etc.) reposent sur des protocoles solides et apportent du chiffrement de bout en bout, quelques problèmes structurels persistent. Avant tout, même si elles sont faciles d’usage, toutes ces applications ne savent pas parler entre elles et ne possèdent très souvent qu’une seule implémentation, celle de l’entreprise qui la développe. On peut donc oublier l’autohébergement et l’usage de clients ou serveurs alternatifs. En cas de faille de sécurité dans l’un des composants (client/serveur/protocole), le patch sera sûrement déployé plus rapidement, mais cela augmente la criticité desdits composants et les surexpose. Cela a bien entendu des conséquences importantes sur la sécurité et correspond à un modèle de menace spécifique qui ne sera pas partagé par l’ensemble des utilisateurs de l’application. De la même manière, laisser dans les mains d’un tiers la gestion de l’infrastructure, d’autant plus si celle-ci est sur le cloud (suivez mon regard), pose évidemment des questions d’ordre politique, de censure, mais aussi de résilience. Il y a certes certains avantages à l’usage de grands fournisseurs, mais qui ont montré leurs limites : le « domain fronting » par exemple, où si l’on veut censurer un service particulier vous êtes obligé de censurer l’ensemble du domaine du fournisseur, a été arrêté en 2018 pour Signal sous la pression d’Amazon. Bref, comme toujours il n’y a pas de solution miracle, des compromis importants sont faits pour atteindre certains objectifs. Pour Signal, je vous suggère de visionner [0] afin de vous faire votre propre idée sur les quelques hypothèses des avantages d’un modèle centralisé.

Émilien GASPAR / gapz / eg@miscmag.com


[0] Moxie Marlinspike, The ecosystem is moving, 36c3

A propos du magazine
Logo

LE MAGAZINE POUR LES EXPERTS DE LA SéCURITé informatique multiplateformes

Face à la transformation digitale de notre société et l’augmentation des menaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 15 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.

Déjà vus

Nouveaux produits