Novembre / Décembre 2020

Misc 112

Sécurité de l'orchestrateur Kubernetes

  1. Cas pratique sur la sécurisation d’un cluster
  2. Grandeur et décadence de Kubernetes : attaquer le futur Cloud OS
  3. Comment gérer la sécurité réseau dans un cluster
En savoir plus

9,90 € TTC

Anciens Numéros

LIVRAISON OFFERTE en France Métropolitaine à partir de 50€
Misc 136

Misc 136

Novembre / Décembre 2024
14,90 €
Misc HS 30

Misc HS 30

Octobre / Novembre 2024
14,90 €
Misc 135

Misc 135

Septembre / Octobre 2024
12,90 €
Misc 134

Misc 134

Juillet / Août 2024
12,90 €
Misc HS 29

Misc HS 29

Juin / Juillet 2024
14,90 €
Misc 133

Misc 133

Mai / Juin 2024
12,90 €
Misc 132

Misc 132

Mars / Avril 2024
12,90 €
Misc HS 28

Misc HS 28

Février / Mars 2024
14,90 €
SOMMAIRE :

Exploit Corner

p. 06 CVE-2020-3433 : élévation de privilèges sur le client VPN Cisco AnyConnect

Pentest Corner

p. 14 Les lolbas, des amis qui vous veulent du bien

Forensic Corner

p. 20 Investigation numérique de l’image disque d’un environnement Windows

Dossier

p. 30 Introduction
p. 31 Cas pratique sur la sécurisation d'un cluster Kubernetes
p. 42 Grandeur et décadence de Kubernetes : attaquer le futur Cloud OS
p. 50 Sécurité réseau dans un cluster Kubernetes

Système

p. 59 Orchestration d’analyse
p. 66 Manipulation de tokens, impersonation et élévation de privilèges

Cryptographie

p. 76 Encore StopCovid, ou stop ?

éDITO :

Ce n’est pas une révolution technologique qui vient de précipiter un changement majeur dans l’organisation du travail des équipes IT et des architectures de sécurité, mais un virus même pas informatique. S’il y a quelques mois, nous avons tous dû bricoler dans l’urgence des solutions pour assurer une continuité de service, nous ne mesurions pas que ces quelques semaines de confinement allaient conduire à une généralisation accélérée du télétravail [1] sans probable retour arrière possible.

Si beaucoup d’administrations et d’entreprises pouvaient encore se montrer assez réticentes quant au travail à distance, une page s’est définitivement tournée. Espérons que cet épisode a sonné le glas de la croyance selon laquelle le rôle principal du manager consistait à regarder au-dessus de l’épaule de ses collaborateurs, ces grands enfants cherchant à en faire le moins possible, pour vérifier qu’ils ne passaient pas trop de temps sur Facebook. D’autant que dans un contexte de fortes tensions dans le recrutement des profils IT, il va être difficile de trouver des candidats chez les entreprises considérant encore nécessaire d’infliger trois heures de trajet quotidien depuis la banlieue parisienne pour démarrer des VM chez AWS ou analyser les évènements du SIEM. Il va falloir trouver mieux que des baby-foot et du café gratuit pour faire déplacer cinq jours par semaine les salariés dans l’open space.

Pour tous ceux qui ont découvert le télétravail mi-mars, d’importants chantiers d’architecture de sécurité vont devoir s’engager pour repenser tous les bricolages déployés à la hâte. S’il a fallu tolérer des accès VPN depuis le poste familial avec une simple authentification par login et mot de passe avant de rebondir en RDP sur le poste de travail resté au bureau sur lequel on aura pris soin de désactiver les mises à jour pour éviter un reboot, il faut admettre qu’il s’agit d’un PCA un peu fragile et artisanal. Ainsi, beaucoup de chantiers de sécurité patiemment mis en place depuis des années perdent tout leur sens dans un contexte où la mobilité n’est plus l’exception, mais la norme. Nous ne risquons plus de voir beaucoup de projets de NAC et de 802.1x sur les prises de bureau en 2021, de segmentations en centaines de VLAN utilisateurs ou encore de firewalls avec des dizaines de règles de sécurité basées sur des adresses IP « de confiance » pour pouvoir continuer à utiliser des applications critiques sur Windows NT4 sans enchaîner les nuits blanches.

A contrario, les projets d’authentification forte, de gestion fine des accès par profil utilisateur plutôt que par IP de poste de travail, de SSO ou, pour reprendre un concept à la mode, d’architecture « Zero Trust », vont probablement remonter en tête de liste des chantiers prioritaires pour 2021. Les structures qui n’engagent pas très vite ces chantiers techniques s’exposent à des désastres en matière de sécurité faute d’avoir correctement pensé la dépérimétrisation de leur système d’information. Et pour celles qui sont tentées par l’immobilisme et espèrent réussir à faire revenir tous leurs salariés sur site, elles risquent de faire fuir leurs collaborateurs qui se sont habitués à des journées allégées du temps de transport quotidien.

Même si certains courageux n’ont pas hésité à braver le frimas rigoureux du mois d’octobre sous les nuages monégasques pour assurer une veille active en matière de sécurité, il est à regretter l’annulation, au moins physiquement, de la plupart des évènements de cybersécurité de l’année. Espérons que l’année 2021 soit plus clémente en la matière afin que nous puissions à nouveau nous retrouver autour d’une bière lors des différents évènements qui ponctuent l’année. MISC sera d’ailleurs une nouvelle fois présent au FIC à Lille au mois de janvier et partenaire de l’évènement Cyber Cup, un concours proposant plusieurs épreuves techniques allant du Forensic au CTF en passant par l’OSINT, le Bug Bounty, l’IA ou l’E-Sport ! En espérant vous y retrouver une nouvelle fois !

Cedric Foll / cedric@miscmag.com / @follc

[1] Quelques jours par semaine, plus rarement en full remote.

La publication technique des experts de la sécurité offensive & défensive

Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.

Introduction au dossier : Sécurité de l’orchestrateur Kubernetes
MISC n°112

Ce dossier s’intéresse à un système de plus en plus déployé aujourd’hui, à savoir l’orchestrateur Kubernetes. Au-delà de l’effet de mode évident dans son adoption actuelle, l’intérêt croissant pour ce projet nous amène forcément à nous poser une question essentielle : qu’en est-il de sa sécurité ? Devenu un standard de facto pour l’orchestration de conteneurs, Kubernetes, qui signifie gouvernail en grec, présente une architecture complexe et les possibilités de se tromper avec des conséquences importantes pour la sécurité d’un cluster sont nombreuses.

CVE-2020-3433 : élévation de privilèges sur le client VPN Cisco AnyConnect
MISC n°112 Free

Cet article explique comment trois vulnérabilités supplémentaires ont été découvertes dans le client VPN Cisco AnyConnect pour Windows. Elles ont été trouvées suite au développement d’un exploit pour la CVE-2020-3153 (une élévation de privilèges, étudiée dans MISC n°111). Après un rappel du fonctionnement de ce logiciel, nous étudierons chacune de ces nouvelles vulnérabilités.

Sécurité réseau dans un cluster Kubernetes
MISC n°112

En introduisant le concept de micro-services, Kubernetes lance un nouveau défi aux solutions d’isolation et de filtrage réseau : comment gérer les droits d’accès réseau dans une infrastructure en constante mutation et dans laquelle une machine n’a plus un rôle prédéterminé ?

Ce magazine est intégralement disponible sur Linux Magazine Connect
© 2024 - LES EDITIONS DIAMOND