1 - Internet des objets, quel impact pour votre défense périmétrique ?
2 - Comprendre le protocole 802.15.4 et sa sécurité
3 - Tout, tout, tout, vous saurez tout sur le protocole ZigBee
4 - Analyse radiofréquence d'une clé de voiture pour déverrouiller un véhicule
8,90 € TTC
p. 04 CVE-2015-7547
p. 10 Pleased to meet you, my name is Petya !
p. 18 Quand la Threat Intelligence rencontre le DFIR – 2ème partie
p. 24 Préambule
p. 25 Une approche de l’Internet des objets en entreprise et de la dépérimétrisation
p. 34 Réseau sans fil 802.15.4 et sécurité
p. 42 Tout, tout, tout, vous saurez tout sur le ZigBee
p. 52 Analyse radiofréquence d’une clé de voiture
p. 61 L'impact réel de la cryptographie obsolète sur la sécurité
p. 70 Windows 10 : confidentialité et sécurité de vos données
p. 78 Simulation d’attaque APT
Françaises, Français, Belges, Belges, geeks velus élevés au Coca light, à la pizza et autres RST de cuisine, fétichistes du silicon plus dans la valley que dans les seins, virtuoses de l’ARP aux doigts volants, tels Christian, sur le clavier, amateurs de bits surtout bien RAID, pervers du test de pénétration et autres back orifices, public chéri mon amour : bonjour !
Je trouve impressionnant que vous soyez aussi nombreux à me (re)lire. En ce qui me concerne, j’aimerais mieux faire autre chose que rédiger cet édito. Je me réjouis toutefois à l’idée des gloussements étouffés que vous pousserez à la lecture d’un calembour, de vos regards bovins qui éclaireront vos visages à la lecture d’un calDüsseldorf, ou des larmes que vous verserez devant tant de calamités.
Que s’est-il passé depuis ma pseudo-retraite dans le petit monde de la SSI française ? L’ANSSI a continué à labelliser tout et n’importe quoi, les gros acteurs ont continué à racheter tout et n’importe quoi, et les APTs ont continué à défoncer tout et n’importe quoi. Rien de nouveau en fait.
Ah si, ma fille, Romane, 3 mois, à qui je dédie cet édito pour quand elle saura lire. On m’avait promis l’enfer, mais avec elle, je ne suis pas au feu tous les jours, car elle est loin d’être la pire, Romane. Mais je m’éloigne, ceci n’a aucun rapport, à la différence de la naissance de ma fille qui en a nécessité.
Je m’imagine déjà dans quelques années tentant de lui expliquer ce que j’ai fait de ma vie, et le monde parallèle sans loi (lex en latin) et sans yack de l’Internet. Et comme on dit en SSI, para : no yack ! Alors, quels animaux pouvons-nous rencontrer dans le pays merveilleux de la SSI ?
Chief Information Security Officer : Un bon CISO est un CISO mort ! À cause de son surmenage, il court de réunion en réunion, jusqu’à l’épuisement. Pour y remédier, les anglo-saxons les nomment en duo, afin d’avoir une paire de CISO. En Chine, où ils sont bien plus nombreux, on parle de CISO 27000. C’est censé être le coordinateur de tout ce qui touche à la sécu, mais c’est bien souvent un placard où les moyens ne sont à la hauteur ni des besoins, ni des attaquants.
Le malware analyst : Le malware analyst est à la sécurité ce que le cuisinier de fastfood est à la gastronomie. Il abat un travail considérable et répétitif, enchaînant les analyses tel Lance Armstrong au Tour de France. Passant de sa sandbox préférée à son SIEM, il ne touche jamais à son IDA, car il s’appuie sur l’unpacker Lewis ne perd jamais. Il se rend ainsi compte que les menaces avancées le sont autant que toi lecteur à l’issue de cet édito.
Le pentester : Aspirant à rooter globalement n’importe quel serveur qui passe sous son nmap à l’aide d’une injection SQL aveugle déclenchant un remote heap overflow dans le kernel dudit serveur, la plupart du temps, admin/admin lui suffit pour atteindre son objectif. La satisfaction de la réussite laisse alors place au désespoir en l’espèce humaine. Parfois, une dose hors norme de stéroïdes est nécessaire, c’est la méthode Charlyze, pour un test Theron, mais c’est aussi rare qu’une fille dans le public de SSTIC.
Le vuln researcher : Un bon 0 day est un 0 day vivant, sauf pour le projet 0 de Google qui, avec un talent indéniable (James, Dan, Tavis, Ide, et plus), met la sauce Tartare pour en tuer autant qu’ils peuvent en les disclosant parfois sauvagement pour faire bouger les éditeurs :
« tu devrais te consacrer aux JAR, je passe mon temps à trouver des vulns, tellement c’est troué » dit Dan à Ide. Au moins, en Ormandy, les gars avaient une chance de gagner contre les nazis... Là, pour tenter d’imposer ses muscles auprès des éditeurs, Google y va à coups de chocs, c’est de la comm’ Taser, mais pour autant, il restera toujours des bugs.
Finalement, on se rend compte que ce n’est pas tant la fonction que la bonne volonté et les compétences qui font bouger les lignes. La SSI est une aventure humaine avant tout, destinée à protéger nos données tel un cardinal protégeant ses prêtres. Parfois, il y a des fuites (et tant mieux). Il faut donc se bouger et sensibiliser tout le monde, pas que les « hackers » qui le sont déjà, aux notions élémentaires de sécurité, nos données étant partout, tripotées par n’importe qui. Sinon, comme on dit à Lyon : Noël à confesse, Pâques dans les fesses.
Alors voilà, public chéri mon amour, tu comprends pourquoi je voudrais faire autre chose qu’écrire cet édito : je baisse ! Plutôt que de glousser bêtement en cherchant les calStuttgart de ce texte, il me semble que toi aussi tu as mieux à faire, comme tourner les pages de ce magazine pour te cultiver, si tu ne veux pas terminer comme le sot 6 de Francfort, hein mon chou, comme une veille croûte.
Sur ces paroles angéliques, je retourne dans ma retraite aux Îles Marquises à me faire des couilles en or en mangeant des bonbons, c’est ce qu’on appelle le cyber-lingot. En réalité, je suis ravi de vivre cette époque de révolution technologique et sociétale en essayant d’y apporter ma modeste contribution. Quand on peut vivre d’une de ses passions, c’est quand même un luxe, il ne faudrait pas que mon Alzheimer me le fasse oublier.
Fred RAYNAL (a.k.a. pappy avant d’avoir été pappa, fondateur de MISC canal historique) @fredraynal / @MISCRedac
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
Pèse-personne, babyphone, tapis de course, montre multisport, station météo, thermostat d’ambiance, lecteur multimédia, enceinte pour ne citer que mes objets connectés disposant d’une adresse IP. Et puis un cardiofréquencemètre parlant le protocole ANT+, un bracelet de self tracking causant BLE, différents capteurs de ma station météo et mon thermostat au travers d’un protocole non spécifié dans leur documentation technique.
Rares sont les CVE qui ont la chance d'avoir un nom, un logo et un site internet à leur effigie. Ce dernier n'a pas eu cette chance, mais cela n'enlève rien à son intérêt. Il concerne la résolution DNS via l'utilisation de la fonction getaddrinfo au sein de la glibc.
BEAST, Lucky13, FREAK, LogJam, ou encore DROWN... Le point commun entre ces attaques sur le protocole TLS : l’exploitation de vulnérabilités connues depuis longtemps sur des algorithmes ou des constructions cryptographiques que l’on aurait dû abandonner depuis longtemps.