Exploit Corner

p. 06 Zerologon pour les (mots de passe) nuls

Pentest Corner

p. 14 Attaques en environnement Docker : compromission et évasion

Forensic Corner

p. 22 Artefact d’authentification RDP

Dossier

p. 26 Introduction
p. 27 Les difficultés du désassemblage sur ARM
p. 34 ARMv8.5 : un support matériel contre les bugs mémoires
p. 45 Sûreté mémoire : le temps des cerises

Code

p. 59 Tout ce que vous avez toujours voulu savoir sur le fuzzing dirigé (sans jamais oser le demander)

Système

p. 66 Sécurité avancée des services Serverless (FaaS)

Organisation & juridique

p. 74 Les taxonomies se cachent pour ne pas mourir

Si beaucoup de technologies que nous utilisions il y a vingt ans sont toujours présentes, la typologie des menaces de même que leur perception par les utilisateurs et le grand public se sont profondément transformées.

Au début des années 2000, nous tournions tout juste la page du très redouté bug de l’an 2000 et des virus sur disquettes pour embrasser les menaces émergentes telles que les indigestions de spam ou les virus VBS déclarant leur flamme sur SMTP. Nous passions des nuits blanches à vérifier dans le plat de spaghettis qu’étaient devenues les règles du firewall si nous protégions bien les services vulnérables ; nous écrivions des scripts expect pour vérifier l’activation de l’option magic_quote_gpc sur les serveurs LAMP et faisions la chasse aux accès RTC non sécurisés. Le chiffrement sur les flux HTTP était implémenté avec parcimonie pour ne pas risquer de vider le budget de la DSI en finançant les voyages dans l’espace des vendeurs de certificats. Tout le monde se créait un compte « Copains d’avant » avec sa boite Caramail sans n’avoir jamais imaginé qu’elle serait toujours là vingt ans plus tard.

La menace était majoritairement personnifiée par des sales gosses dont le but était de foutre le bazar pour le goût du challenge technique. Cela peut sembler vraiment étrange aujourd’hui, mais beaucoup de pirates ne perpétraient des attaques ou ne concevaient des codes malveillants que pour une certaine forme de prestige. Quant aux premières équipes SSI, leurs perceptions par les utilisateurs ont longtemps été celles de casse-pieds forçant des changements de mot de passe tous les mois, ce qui était à l’époque à la pointe des bonnes pratiques.

Aujourd’hui, dans toute organisation, chacun des échelons est familier des enjeux de sécurité, plus personne ne méconnaît l’existence de la menace et l’acceptabilité des règles de sécurité a beaucoup progressé. En revanche, il reste beaucoup de marge de progrès quant à la compréhension technique, ce qui conduit parfois à des catastrophes : tantôt un faux sentiment de sécurité, tantôt des utilisateurs terrifiés mettant à la corbeille tout message venant des services techniques de peur d’ouvrir un dangereux phishing.

Il faut reconnaître le bond de géant des grands éditeurs en matière de sécurité. Les OS client ou serveur (on jettera un voile pudique sur l’IoT) disposent par défaut d’une surface d’attaque extrêmement réduite. Néanmoins, à force de faire croire aux utilisateurs qu’ils n’ont plus à réfléchir et qu’ils sont en sécurité, beaucoup de problèmes demeurent.

Il devient par exemple assez ardu de faire comprendre à un utilisateur le concept de phishing et la vérification d’URL sur laquelle ils vont saisir leur mot de passe quand les éditeurs n’ont eu de cesse de faire disparaître la notion d’URL dans leur navigateur au profit de la barre de recherche. Les campagnes d’informations contre le phishing envoyées il y a une dizaine d’années aux utilisateurs paraîtraient totalement incompréhensibles pour bien des utilisateurs aujourd’hui ne sachant plus ce qu’est une URL. Un autre exemple est l’extrême difficulté à appréhender les concepts de chiffrement de disque, de fichier ou de flux. En cherchant, il y a quelques jours, à expliquer la différence dans le cadre d’une visioconférence entre un chiffrement client-serveur et un chiffrement de bout en bout, je me suis vu répondre « je suis déjà protégé, mon Mac est chiffré ». Vous me direz que sur ce point, la compréhension des utilisateurs concernant la cryptographie n’a que peu évolué, mais du côté des menaces il y a eu un certain changement d’échelle en vingt ans.

Un des prochains enjeux sera certainement de former nos utilisateurs, et plus généralement le grand public, en cessant de les considérer comme de grands enfants incapables de comprendre ce qu’ils manipulent.

Pour finir sur une note positive, nous espérons pouvoir vous retrouver au FIC début avril pour profiter du printemps lillois. MISC sera à cette occasion sponsor de la Cyber Cup, une compétition autour de différents challenges de cybersécurité.

Cedric Foll / cedric@miscmag.com / @follc