-
S'abonnerAbonnez-vous à nos différents supports -
Magazines à l’unitéCommandez les nouvelles parutions ou complétez votre collection -
Livraison offerte à partir de 50€ d’achat ** Offre valable pour les numéros hors abonnements, livraison en France métropolitaine, appliquée une fois connecté !
MISC HS 10
RÉAGIR À UNE INTRUSION
LA CITADELLE EST TOMBÉE... QUE DOIS-JE FAIRE ?
Cliquez sur la couverture pour découvrir le sommaire et des extraits du magazine !
En savoir plus9,00 € TTC
Anciens Numéros
APTe ou in-APT, face aux A.P.T. ? À vous de voir !
La mode des APT est bien implantée depuis maintenant quelques années et l’actualité sécu est rythmée par la publication des rapports de sociétés soucieuses de surfer sur le buzz des noms les plus improbables (vivement le rapport « tardigrade irradié » !).
Le nombre de ces rapports montre que, heureusement, les victimes commencent à découvrir ces attaques et parfois même à les rechercher. En France, la médiatisation de l’attaque de Bercy en mars 2011 a sûrement contribué à réveiller les esprits les plus endormis.
La réponse aux incidents est donc hype, utilisée commercialement pour se proclamer expert, capable de détecter, corriger et prévenir les attaques à grand renfort de « spectrométries sur équipements » ou autre « cyber intelligence » ! Mais au final, combien d’équipes sont déjà réellement intervenues sur des attaques de grande ampleur et donc aptes à fournir le service promis ? Car le forensics à l’ancienne a vécu et personne ne peut plus traiter l’incident seul à coups de dd et de grep. Aujourd’hui, l’APT ne peut être considérée que comme une crise où, nécessairement, la dimension humaine est cruciale. De plus, l’ensemble des domaines techniques de la SSI est concerné ; au-delà des OS traditionnels, tous les composants du SI : smartphones, IPBX, cœur de réseau, équipements industriels, etc. font partie du périmètre à analyser.
Bref, la situation est dramatique dans un monde qui se divise en deux catégories : ceux qui connaissent leur compromission et ceux qui doivent encore la découvrir. Or, celle-ci est encore vue comme l’étaient les poux : une maladie honteuse. Pourtant, seule la collaboration permettra de combattre l’épidémie et de réduire l’asymétrie entre attaquant et défenseur. Pour lutter efficacement, il est nécessaire de mettre en place un partage entre tous les acteurs sur les outils, les techniques d’attaques, les marqueurs, etc. Reste à voir d’où viendra le salut. Peut-être l’ANSSI donnera-t-elle (enfin !) l’impulsion du partage généralisé ? Ou faudra-t-il attendre un acteur privé de référence en Europe continentale, à l’instar de FireEye/Mandiant ou BAE/Detica ?
En attendant cette révolution, il faut jouer les pompiers et j’espère que ce numéro vous donnera non seulement un aperçu des difficultés auxquelles il faut faire face, mais également quelques idées à mettre en œuvre.
Raphaël Rigo
Au sommaire de ce numéro :
Introduction
p. 04 Qu'est-ce qu'un incident de sécurité ?
p. 11 Aspects juridiques et légaux du traitement d'incident
Analyse
p. 18 Analyse de malware à la rescousse du CSIRT : de la rétro-conception aux IOC
p. 25 Méthodologie d'analyse de vulnérabilités et production de signatures de détection
p. 33 Recherche d'indices de compromission sur iOS
p. 45 Quelle méthodologie pour une réponse à incident sur Android ?
Traitement
p. 54 La citadelle est tombée ! Cybercrise, comment s'organiser ?
p. 61 Débusquer l'APT dans votre parc
p. 68 Introduction au traitement des logs et des flux réseau dans une réponse sur incident
p. 75 Contrôler la sécurité des objets de l’Active Directory avec BTA
La publication technique des experts de la sécurité offensive & défensive
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
ISO 27035, page 7, paragraphes 4 et 5. Merci, bonne journée. Qu'il serait pratique de pouvoir s'arrêter à la définition de l'ISO de « l'incident de sécurité ». L'auteur n'aurait pas à se fatiguer davantage à écrire et, cher (chère) lecteur (trice), avec les idées enfin claires, nous pourrions passer à ce pour quoi nous tenons réellement ce recueil entre nos mains : les articles techniques. Pourtant, la question mérite sans doute d'être posée, car le gestionnaire de la sécurité vit dans la peur de cet incident de sécurité et ce même incident est ce qui justifie l'existence d'investigateurs, d'équipes de CERT, CSIRT et autres « analystes forensic ». C'est, pour utiliser les termes à la mode, l'élément précurseur de tout APT qui se respecte et définir convenablement un incident de sécurité est ce qui permet de lancer proprement la démarche de réponse sur incident.
Cet article a pour objectif de proposer une démarche d'analyse de malware dans le cadre d'une réponse à un incident. L'analyste doit adopter une approche rigoureuse afin de qualifier la menace inhérente à cet incident tout en agissant dans un temps limité. Son objectif est de produire une analyse exhaustive du malware comprenant les marqueurs nécessaires pour contenir et éradiquer l'incident remonté.
Cet article présente, à travers l'analyse de la vulnérabilité CVE-2014-0322 affectant Internet Explorer, le cheminement suivi pour parvenir à la détermination de signatures permettant de détecter les codes exploitant cette vulnérabilité.
