Misc 103

Pentest Windows : Outils & techniques

  1. Sécurité des relations d'approbation Active Directory
  2. Compromission de postes de travail avec LAPS et PXE
  3. Retour sur les faiblesses de l'authentification Windows

Plus de détails

8,90 € TTC

 
SOMMAIRE :

Exploit Corner

p. 06  CVE-2019-8942 et 2019-8943 : exécution de code dans WordPress

Pentest Corner

p. 12  Fuddly : introduction de l’outil et développement d’un protocole

Forensic Corner

p. 18  Where’s my memory ?

Dossier

p. 26  Préambule
p. 27  La face cachée des relations d’approbation
p. 39  Compromission de postes de travail grâce à LAPS et PXE
p. 46  Retour sur les faiblesses de l’authentification Windows

Réseau

p. 56  Présentation de l’HIDS Wazuh

Système

p. 66  KeePass multiplateforme en authentification forte avec une YubiKey

Organisation & Juridique

p. 76  Comment concevoir son référentiel « protection de la vie privée » en cohérence avec le référentiel SSI ?

éDITO :

Il y a quelques semaines, apparaissait sur mon fil Twitter, le constat d’échec (™ Nicolas Ruff) quant à la progression de la proportion de femmes dans la liste des speakers d’une petite conférence sécurité de province [1]. Ce symposium étant assez ancien et les programmes avec la liste des conférenciers étant toujours en ligne, force est de constater que le nombre de femmes conférencières est resté en 15 ans relativement constant. Participant moi aussi, très modestement, à l’organisation d’une conférence sécurité [2], j’apportais ma pierre à l'édifice en exposant les difficultés d’attirer des soumissions de conférencières et que même avec toutes les bonnes volontés du monde cela restait une gageure. 

Mais, au-delà de cet aspect très émergé de l’iceberg se pose la question de notre échec collectif à faire progresser la proportion de femmes dans les métiers de l’informatique et tout particulièrement dans ceux de la sécurité.

Lorsque j’ai commencé ma carrière, peu après l’extinction des dinosaures, j’avais une chef, elle-même sous l’autorité d’une DSI et globalement il y avait un bon tiers de femmes dans les équipes informatiques. Et puis, au gré de mes affectations successives, des pots de départs en retraite et des recrutements, la proportion de collègues informaticiennes s’est petit à petit réduite jusqu’à passer sous la barre des 10%. Mon expérience pourrait sembler non représentative, mais les études montrent qu’il s’agit d’une tendance [3] générale et les femmes sont aujourd’hui surtout présentes dans les équipes fonctionnelles et UX/UI [4]. Cette évolution est d’autant plus alarmante quand les profils qualifiés deviennent une ressource rare.

Ce constat plutôt sombre amène deux questions. D’abord, où avons-nous (les vieux de ma génération) failli pour avoir fait de nos métiers un repoussoir pour cinquante pour cent de la population ?  Ensuite, quels sont les leviers pour réduire l’écart de représentativité des femmes dans nos métiers ?

Pour la première question, il faut avouer que nous avons certainement trop tardivement pris en compte ce problème et que nous sommes arrivés à une si faible représentativité de femmes qu’elles ont souvent l’impression d’être des bêtes curieuses. Pire encore, il y a encore des crétins pour considérer que lorsqu’une conférence, un article ou un projet ne leur plaît pas, le fait que le travail ait été produit par une femme est une circonstance aggravante. 

Pour la seconde, j’ai bien peur que le retard pris soit si important qu’il prendra des années à se réduire, d’autant que nous avons en France une très faible proportion de femmes dans les filières informatiques et que celle-ci semble encore reculer. Nous sommes certainement arrivés au point où, au-delà des chartes, de la mise en avant des femmes s'illustrant dans ces carrières, d'associations telles que #JamaisSansElles ne suffiront peut-être plus et qu’une politique non plus incitative, mais prescriptive ne finisse par être nécessaire. L’accès des femmes à ces métiers est un véritable enjeu pour lequel nous devons collectivement œuvrer en tant que parents, enseignants et professionnels.

Cédric FOLL / cedric@miscmag.com / @follc

[1] https://www.sstic.org/

[2] https://2019.pass-the-salt.org/

[3] https://www.lemonde.fr/campus/article/2017/10/03/dans-les-filieres-high-tech-la-part-des-etudiantes-diminue_5195651_4401467.html

[4] https://www.ovh.com/fr/blog/parite-dans-la-tech-ou-sont-les-femmes/

A propos du magazine
Logo

LE MAGAZINE POUR LES EXPERTS DE LA SéCURITé informatique multiplateformes

Face à la transformation digitale de notre société et l’augmentation des menaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 15 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.

Déjà vus

Nouveaux produits