Exploit Corner

p. 06 Élévation de privilèges sur macOS avec CVE-2018-4193

IoT Corner

p. 12 Capteur de glucose connecté : comment ça marche ?

Forensic Corner

p. 19 Richelieu : solution du challenge de la DGSE

Dossier

p. 28 Introduction au dossier
p. 29 Auditer la sécurité d’une application iOS
p. 38 Contournement de l’API Google Play Billing
p. 47 Présentation de l’OWASP Mobile Security Testing Guide

Réseau

p. 56 Sondes de détection : performances, évaluations et biais

Cryptographie

p. 64 Aléa et cryptanalyse de générateurs

Organisation & Juridique

p. 74 L’intégration du « Privacy by Design » et de la SSI dans la gestion de projets en mode V ou Agile

Lorsque l’on voulait débuter la sécurité il y a une vingtaine d’années, que ce soit sous l’angle offensif ou défensif, il était bien difficile d’expérimenter ses connaissances sauf à réaliser des pentests sauvages. La possibilité de disposer anonymement de connectivité réseau dans les chaînes de fastfood était de la science-fiction et c’est le plus souvent sur les bancs des écoles ou des universités que beaucoup ont fait leurs armes. La première cible était souvent le réseau interne de son établissement (le bon temps du ypcat pour dumper à distance /etc/passwd sur les architectures d’annuaires NIS...). Puis, après avoir fait le tour du propriétaire, la tentation d’aller un peu plus loin se faisait sentir. Malheureusement pour nos apprentis hackers, les responsables des infrastructures visées appréciaient généralement assez peu de devenir le terrain d'expérimentation des jeunes padawans de la SSI. Les solutions techniques de VPN anonymisant telles que Tor étant inexistantes, quelques vocations se sont trop rapidement vues refroidies suite à un rappel à la loi plus ou moins amical (ce n’est évidemment pas autobiographique…).

En effet, à part quelques crackme un peu retors prenant la poussière, il était relativement malaisé de s'entraîner sur des cas un peu réalistes d’exploitation de vulnérabilités. Si le reverse de binaires n’était pas votre tasse de thé, ou que vous aviez envie de passer à autre chose, vous risquiez de rester un peu sur votre faim (ou brocouille, comme on dit dans le Bouchonnois).

Au début des années 2000, à l’initiative d’étudiants de l’ESIEA, le challenge SecuriTech voyait le jour et proposait des épreuves de sécurité particulièrement réalistes sur une durée d’une semaine, permettant de s’exercer non seulement en reverse et cryptanalyse, mais aussi à attaquer des applications web ou des binaires vulnérables à une exécution de code à distance. Bref, tout ce qu’il fallait pour apprendre et se mesurer aux autres passionnés croisés sur fr.comp.securite.

Puis, sur le modèle de la DefCon, les compétitions de type CTF commencèrent à se généraliser pendant les conférences, attirant apprentis hackers, étudiants ou compétiteurs chevronnés. C’est par exemple, et pour n’en citer que certains à venir, ph0wn (https://ph0wn.org/) ou le FIC (https://www.forum-fic.com/), pour lequel il y aura d’ailleurs des abonnements MISC à gagner lors de la prochaine édition. Ces challenges, le plus souvent par équipe, donnent l’occasion pour les entreprises de démontrer leurs compétences internes en constituant des équipes concourant sous les couleurs de la société.

D’autres compétitions, sur le modèle de celui du SSTIC, proposent un casse-tête à résoudre à distance avant les autres concurrents. L’ANSSI avait à ce titre mis la barre extrêmement haut en proposant en février 2012 un challenge qui ne sera résolu qu’en janvier 2014 et dont le gagnant, Pierre Bienaimé, avait fait un article dans le numéro 73 de MISC. Vous trouverez d’ailleurs dans ce numéro la résolution, par Pierre encore, du challenge Richelieu publié par la DGSE cette année.

Ainsi, outre l’aspect ludique et extrêmement pédagogique, l’enjeu de ces compétitions est aussi devenu pour les employeurs l’occasion de démontrer leur niveau d’expertise au travers de la conception de challenge et de repérer des talents. Côté compétiteurs, si les prix habituellement proposés font encore un peu pâle figure à côté de ceux remportés dans les compétitions Fortnite, ils sont devenus l’occasion d’enrichir leur CV pour le mercato des experts SSI.

Et si vous préférez vous initier à votre rythme, beaucoup de ressources de très grande qualité sont maintenant disponibles sous forme de machines virtuelles ou d’applications en mode SaaS telles que https://pentesterlab.com/, https://hack.me ou encore https://www.root-me.org/.

Ces compétitions sont en tout cas un formidable terrain d’exploration, et sans vouloir jouer les vieux cons, une bien meilleure manière d’apprendre la sécurité que de s’amuser à réaliser des pentests clandestins au risque d’hypothéquer votre avenir professionnel dans le domaine. Pour paraphraser un conseil amical, et ô combien utile, qui m’a été fait il y a une vingtaine d’années : « on ne peut pas faire de la sécurité le jour et être underground la nuit, il faut être un Jedi ! ».

Cédric FOLL / cedric@miscmag.com / @follc