9,90 € TTC
p. 06 De l’utilisation d’une bibliothèque à l’exécution d’un code arbitraire
p. 12 Pré-authentification Kerberos : de la découverte à l’exploitation offensive
p. 20 Prise en main du machine learning avec Splunk
p. 28 Introduction
p. 29 Introduction à Zero Trust
p. 34 Zero Trust : anti-SOC, tu perds ton sang froid ?
p. 42 Le principe de confiance minimale appliqué au Cloud Computing
p. 50 Sécurité de l’implémentation standard de VXLAN
p. 60 Anti-leurrage et anti-brouillage de GPS par réseau d’antennes
p. 74 Contrôles de suivi de la conformité RGPD et d’atteinte d’objectifs définis dans la politique de protection de la vie privée
La période de pandémie a été l’occasion pour certains de se découvrir des compétences inattendues en infectiologie et virologie, ce fut également un beau terrain de jeux pour les aspirants ingénieurs en infrastructures numériques. Nous en avons croisé beaucoup s’étranglant devant l’incapacité de l’État ou des entreprises à produire des applications tenant la charge quand il était possible, selon eux, de le faire pour une poignée d’euros avec un LAMP chez OVH.
Cette crise a été un moment de vérité cruelle pour beaucoup de briques applicatives incapables de répondre à une augmentation brutale de leur usage. Si nombre de solutions techniques semblaient parfaitement fonctionnelles il y a encore quelques mois, beaucoup d’entre elles se sont totalement écroulées lorsqu’une grande partie de la planète a dû basculer du jour au lendemain en télétravail. Car contrairement à ce que les experts autoproclamés supposent, la conception d’une application scalable est un problème complexe. Certaines problématiques de performances peuvent se traiter par de l’augmentation de mémoire, l’ajout de vCPU, de SSD supplémentaires pour multiplier les IOPS, de CDN ou encore de VM supplémentaires, mais ce n’est pas toujours possible. Ainsi, de nombreuses équipes infrastructures se sont retrouvées avec sur les bras des applications propriétaires ou open source qui fonctionnaient parfaitement depuis des années, mais étaient devenues inutilisables en quelques jours malgré un redimensionnement volontariste des ressources allouées.
Par exemple, comme les architectes applicatifs le savent, augmenter le nombre de requêtes par seconde en lecture sur un SGBD sans dégrader celles en écriture a tout de la quadrature du cercle. Et réécrire une grosse application pour la faire tourner sur une base NoSQL demande un peu de travail… Un autre cas, qui a fait la fortune de Zoom, est celui des logiciels de visioconférence qui fonctionnaient parfaitement jusqu’à une petite dizaine de personnes, mais qui se sont effondrés lorsqu’il a fallu organiser des réunions à plus de 20 personnes. Au-delà des problématiques serveur (CPU, bande passante) qui sont gérables, la difficulté est la charge sur les postes clients augmentant avec le nombre de participants dans les architectures Mesh ou SFU [1].
Un dernier point qui a été abondamment commenté est le coût de fonctionnement de l’application StopCovid [2][3]. Le chiffre jugé astronomique par une armée de bidouilleurs convaincus qu’avec un peu de tuning ils pourraient faire tourner sur un VPS à 5€/mois une application conçue pour centraliser les requêtes de quelques millions de smartphones. C’est cependant largement méconnaître le coût complet de fonctionnement d’une application quand on intègre, au-delà de la location de VM, le coût de maintien en condition opérationnelle, tout particulièrement en sous-traitance avec des SLA en 24h/24 7J/7.
Le grand public, habitué à des applications gratuites ou presque avec un très haut niveau de disponibilité, est souvent très loin d’imaginer le coût complet de conception et d’exploitation. Car si les GAFAM ont pu démontrer leur leadership en matière de fourniture de service numérique, c’est aussi parce qu’ils investissent 29 milliards de dollars par trimestre en recherche et développement [4]…
Cedric Foll / cedric@miscmag.com / @follc
[1] https://www.lemagit.fr/conseil/WebRTC-quelles-differences-entre-les-architectures-Mesh-MCU-et-SFU
[2] https://www.nouvelobs.com/economie/20200602.OBS29619/stopcovid-une-application-au-cout-sale.html
[3] https://www.lemonde.fr/pixels/article/2020/06/10/l-application-stopcovid-connait-des-debuts-decevants_6042404_4408996.html
[4] https://www.wsj.com/articles/not-even-a-pandemic-can-slow-down-the-biggest-tech-giants-11590206412
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
Derrière ce titre modéré, il aurait été trop facile d’être provocateur, se cache une référence que nos lecteurs historiques auront relevée. Il y a plus de dix ans maintenant, au SSTIC 2008, Cédric Blancher donnait une conférence dont le titre était : « Dépérimétrisation : Futur de la sécurité ou pis aller passager ? ». Les constats de l’époque, qui ne doivent pas être loin pour de nombreuses entreprises encore aujourd’hui, sont que les paradigmes de sécurité des réseaux informatiques ont des limites importantes : difficulté à mettre en place du contrôle d’accès ainsi qu’une segmentation et un filtrage réseau efficace.
Afin de mettre en application les exigences de contrôle de conformité (article 24 du RGPD), les directions générales, qu’elles aient désigné ou non un Délégué à Protection des Données (DPD), doivent mettre en œuvre des contrôles concernant les répartitions de responsabilités entre les acteurs impliqués par le traitement et l’application de règles opposables, l’effectivité des droits des personnes concernées, la sécurité des traitements et la mise à disposition des éléments de preuve pour démontrer la conformité des traitements de données à caractère personnel.
Les security operation centers, au sens large, sont aujourd’hui au cœur des systèmes d’information des entreprises. En revanche, beaucoup adoptent encore et toujours une approche traditionnelle de la sécurité du SI. Comment le paradigme Zero Trust va-t-il impacter nos supervisions ? Repensons un peu à toutes ces années de service pour voir ce que Zero Trust peut apporter au SOC, et réciproquement comment ces derniers peuvent accompagner la transition.