Exploit Corner

p. 06 Utiliser le CVE-2020-0601 pour obtenir un accès à distance via un navigateur

Pentest Corner

p. 12 Attaques par fabrication de liens dans le SDN

Malware Corner

p. 20 Automatisation de la récupération des C&C et de la liste des victimes des botnets Anubis

Dossier

p. 28 Préambule
p. 29 Introduction à QBDI et ses bindings Python
p. 38 Faciliter la création d’exploits avec DragonFFI : le cas de CVE-2018-0977
p. 48 Chipsec, un outil pour les tests de conformité des firmwares

Système

p. 62 Relevé de configuration matérielle sur plateforme x86

Réseau

p. 72 9P, le protocole parfait pour l’IoT

Organisation & Juridique

p. 76 Secure Software Development LifeCycle

L’épisode du confinement a été un véritable défi technique pour toutes les équipes informatiques. Il nous a fallu en effet réussir à mettre en œuvre dans l’urgence les outils pour assurer la continuité du fonctionnement de nos organisations avec des briques applicatives ne s’y prêtant pas forcément. Si dans beaucoup de structures, des prémices de télétravail avaient été déjà mises en place, cela ne concernait en général qu’une partie des salariés et sur une proportion souvent réduite de leur temps de travail. Le challenge a donc été de faire en sorte que les utilisateurs sans ordinateur portable, au moment où les terminaux mobiles sont devenus une ressource rare, puissent continuer à travailler sans dégrader dramatiquement la sécurité.

Ne nous voilons pas la face, la sécurité a le plus souvent été sacrifiée sur l’autel de la continuité de service et bien des RSSI ont dû manger leur chapeau. Dans beaucoup d’organisations, faute de terminaux mobiles en nombre suffisant pour permettre aux salariés de basculer en 24h en « full remote », il a fallu tordre le bras à certains principes de précaution. Dans quelques années, nous pourrons nous remémorer lors des soirées d’Halloween l’explosion des clusters RDS ouverts du jour au lendemain sur Internet ou les télé-maintenances sauvages par les équipes IT de PC personnels pour installer un client VPN, les logiciels métiers écrits en Windev et des plugins Java obsolètes pour se connecter à la vieille instance SAP en production. Si l’on veut voir le verre à moitié plein, nous pourrions souligner que la crise de 2020 a été une opportunité d’accélération pour l’adoption du Zero Trust avec une dépérimétrisation rapide du système d’information.

Ensuite, il a fallu faire preuve d’élasticité dans le provisioning des infrastructures. Certains ont dû amèrement regretter d’avoir fait le choix d’un concentrateur VPN matériel dimensionné avec 10-20% de marge par rapport au nombre de connexions habituel pour gratter quelques euros. De même, il a souvent fallu provisionner en urgence des ressources pour les concentrateurs VPN, RDS ou redimensionner à la hausse les infrastructures des briques applicatives dont l’usage a explosé en 24h comme les outils de visioconférence, de travail collaboratif ou d’enseignement à distance. Mieux valait avoir correctement surdimensionné son infrastructure pour absorber la montée en charge, ou pouvoir sortir rapidement son chéquier en cas d’utilisation de Cloud, faute de quoi les équipes ont dû partir à la chasse aux Giga de RAM, aux Tera de disque et CPU en désallouant des ressources sur les applications moins sollicitées.

Enfin, à la fin de la crise, un challenge majeur pour les DSI et RSSI sera de réussir à retrouver un niveau de sécurité satisfaisant après l’avoir beaucoup dégradé. Il va falloir convaincre nos usagers et nos directions que ce que nous avons dû tolérer, à défaut de pouvoir faire mieux au regard du temps et des ressources disponibles, n’était que temporaire et qu’il faudra à nouveau proscrire beaucoup d’usages quand bien même aucune catastrophe ne s’est encore produite. Ce sera surtout un exploit de réussir à faire revenir les utilisateurs sur nos outils après les avoir vus massivement adopter les outils grand public opportunément rendus gratuits pendant la crise, faute d’avoir réussi à en proposer avec la même qualité de service...

Cedric Foll / cedric@miscmag.com / @follc