Exploit Corner

p. 06  Exploitation du CVE-2018-0977 dans le noyau Windows

Pentest Corner

p. 15  Fuddly : évaluation de la robustesse d’une cible

IoT Corner

p. 20  Dis, c’est quoi là haut dans le ciel ? - C’est un Linux, mon petit

Dossier

p. 24  Préambule
p. 25  Furtivité des opérations Red Team ou comment suivre une Kill Chain sans se faire voir
p. 32  Évolution de la sécurité de PowerShell et techniques de contournement
p. 40  AMSI : fonctionnement et contournements

Système

p. 48  ModSecurity : mise en place d’un WAF et configurations avancées
p. 58  Méthodologie d’OSINT orientée réseaux sociaux

Réseau

p. 66  Analyse et interception de flux des téléphones par satellite Iridium

Organisation & Juridique

p. 74  La gestion des incidents de sécurité : un cadre de gouvernance globale

Après s’être régalé des premières asperges généreusement arrosées de muscat alsacien, l'esthète de la sécurité a pu savourer les débats enflammés accompagnant la sortie de Tchap, la messagerie instantanée de l’État. Passée l’agitation probablement accrue par un printemps pluvieux, il n’est pas inintéressant de revenir brièvement sur cet évènement.

Tout d’abord, il convient de s'interroger sur la pertinence, voire au regard de certains commentateurs, la légitimité de l’État de mettre à disposition un système de messagerie instantanée pour ses agents. Partant du constat de l’engouement pour ce mode de communication, il semble plutôt opportun de proposer un tel service à ses agents si l’on souhaite éviter l'explosion du Shadow IT et les problèmes de sécurité associés. En premier lieu, l’usage de dispositifs de communication grand public pose le problème de la gestion des identités. Il est par exemple impossible lorsque l’on s’adresse à « Cédric Foll » sur un dispositif grand public de savoir s’il ne s’agit pas d’un compte créé par un tiers souhaitant usurper mon identité. Cette situation ne doit évidemment pas pouvoir exister dans un environnement professionnel s’appuyant sur des processus formalisés par les ressources humaines pour la gestion des identités. Le second problème est le niveau de confiance tout relatif pouvant être exigé de systèmes gratuits sans accord contractuel.

Aussi, pour une DSI, il semble tout à fait légitime de chercher à fournir ce service au même titre que la messagerie électronique. Cela pourrait sembler aussi naturel que la gestion des e-mails, mais si la plupart des fournisseurs de messagerie électronique libres ou propriétaires proposent une messagerie instantanée, elles sont généralement plus limitées fonctionnellement que celles grand public. De plus, XMPP n’ayant jamais connu le succès de SMTP, elles sont incapables de communiquer avec un système concurrent. Magie de l’industrie logicielle qui n’a pas adopté un standard ouvert, il est aujourd’hui nécessaire de jongler entre une dizaine de clients sur son smartphone pour échanger avec ses différents interlocuteurs. Comble de la fragmentation, Facebook propose aujourd’hui trois clients distincts incapables d’échanger entre eux.

La DINSIC [1] s’est donc engagée dans la conception d’un système basé sur le protocole Matrix en s’appuyant sur des briques de logiciels libres afin de proposer un système utilisable entre les administrations. Certains choix d’implémentation peuvent paraître étonnants comme la possibilité de déchiffrer les pièces jointes [2] au niveau des serveurs afin qu’elles puissent être analysées par un antivirus centralisé. Mais si ce choix peut paraître discutable, il est documenté et c’est bien aux maîtrises d’ouvrage d’arbitrer les risques.

Annoncé début 2018, le système est officiellement publié en version bêta mi-avril et accessible pour tous les agents disposant d’une adresse e-mail d’un sous-domaine de gouv.fr. Malheureusement, dès le lendemain de l’annonce, une faille de sécurité exploitant un bug dans le parsing des adresses e-mail est publiée permettant de créer un compte sur le système, d'interagir avec les usagers légitimes et d’accéder aux salons de discussion publics. Ces révélations ont déchaîné les trolls se gaussant de l’incapacité de l’État à fournir une solution fiable et affirmant qu’il était bien plus sûr d’utiliser un système gratuit grand public… Ce qui rétrospectivement peut faire sourire quand une faille dans WhatsApp permettant l’injection de code arbitraire était découverte quelques semaines plus tard après avoir été utilisée contre des activistes [3].

D’ailleurs, pouvoir interagir avec des agents de l’État, comme il est déjà possible de le faire par e-mail, ou accéder aux données des salons publics visibles par un bon million de personnes ne devrait pas inquiéter outre mesure les ministères utilisant le logiciel. Les conséquences ont plutôt été au niveau de l’image de marque et ont certainement causé quelques nuits blanches aux équipes de communication de la DINSIC qui ont eu à gérer le bad buzz, ce qu’ils ont d’ailleurs plutôt bien fait.

Cédric FOLL / cedric@miscmag.com / @follc

[1] https://www.numerique.gouv.fr/dinsic/ 

[2] https://www.tchap.gouv.fr/faq/ 

[3] https://korii.slate.fr/tech/mettez-jour-whatsapp-vite-pegasus-nso-group-faille-spyware