Au sommaire de ce numéro :

Exploit Corner
p. 05  Exploitation de la CVE-2014-7228 : exécution distante de code dans Joomla! / Akeeba Kickstart

Pentest Corner
p. 12  « Hookons » avec JavaSnoop !

Forensic Corner
p. 18  Utilisation de l'analyseur de performances en live forensic Windows

Dossier
p. 24  Préambule
p. 25  La carte bancaire, comment ça marche ?
p. 30  Cartes bancaires et e-commerce
p. 36  Organisation d'un groupe cybercriminel de chasseurs de cartes
p. 40  Fraude aux mouchards bancaires (« skimming ») et analyse forensique
p. 49  Le bitcoin : de l'argent liquide numérique

Application
p. 58  Manipulation du trafic et des protocoles réseaux en userland (partie 1/2)

Science & technologie
p. 64  Surveillance généralisée : quid de la confidentialité  persistante ?

Société
p. 70  Quel plan d’action pour la diffusion, l’explication et la mise en application de la nouvelle PSSI de l’État ?

Réseau
p. 78  Utilisation d’une sonde de détection (suricata) comme contre-mesure à l’usurpation d’e-mails

EDITO :

Auto-nécrologie d’un rédacteur en chef (mais pas que) 

Après de nombreuses années au service de MISC en tant que rédacteur en chef, il nous quitte. Certains diront « enfin », les plus joueurs qu’il nous double. En tout cas, il en avait une belle paire et se défonça pour ce magazine au point de se mettre carpette. Enfin ...
tapis. C’est donc avec émotion, tremblant, chancelant, limite brelan, que je rédige ce dernier édito, cette auto-nécrologie. 

Résumé pour les pressés : ô range, ô désespoir, ô vieillesse ennemie ! 

Malgré un QI avoisinant les 0x539, il tomba tardivement dans la sécurité, en 1996 pour ses 24 ans. Certains lecteurs n’étaient même pas nés (escalope). Il considéra savoir faire des trucs seulement 5 ans plus tard. Puis vinrent 7-8 années « faciles » où il apprit autant qu’il pratiqua. Depuis, il est sur la pente descendante au niveau technique (enfin, grâce à son arthrite, il la descend lentement) et ascendante au niveau social (il parle même avec des commerciaux). Maintenant, il « hacke » des humains et le système autant que possible : bref, il est à la fin. Et pourtant, il continue à apprendre et à avancer : pourquoi ? 

Premier âge : salut baby, ça hack ? 

Il commença par expérimenter la « sécurité » sur l’énorme réseau de l’INRIA (surtout la baie b) pendant sa thèse. Il pouvait jouer, découvrir, tester avec talc, pratiquement tout était permis tant qu’il ne détruisait rien et prévenait les admins quand il voyait des trucs abusifs (merci Denis). Il en tenait une sacrée couche. 

Quand on se lance là-dedans, on est confronté à un double sentiment. D’une part, on est un n00b, car la Bart est haute : on n’arrive pas à grand-chose de plus que copier/coller du code, l’utiliser en ne comprenant que 10% de ce qu’on instrumentaLisa. Il y a une sacrée Marge de progression. Et pourtant, quand il marche comme par Maggie et qu’on parvient alors à rentrer sur une machine, détourner du trafic ou générer une licence Photoshop, c’est aussi bon qu’un donuts pour Homer Simpson. 

Et c’est alors qu’on a un choix à faire : de quel côté de la ligne rester. 

Il eut la chance de ne pas avoir à faire ce choix. Enfin, la réponse s’est imposée d’elle-même, de par son caractère angélique et une éducation neuilléenne-chrétienne-parisienne dont sa mère n’est pas peu fière. Le frisson venait de ce qu’il avait compris, réussi, pas du fait que ce soit de tel ou tel côté de la ligne. 

En tant que fan de Spider Man (et non de radis - à noter que cette blague marche aussi avec des carottes), il eut assez vite une idée des responsabilités qui lui incombaient. Il ne pouvait même pas se permettre d’utiliser ce savoir pour lire les e-mails de ses (ex-)copines, ce bouffon, s’il eut été rongé par le venom de la jalousie. 

La seule source de savoir était globalement Phrack et quelques autres obscures e-zines. Personne ne se souciait de la « cybersécurité », les connaissances étaient le lot de certains. Afin de progresser plus vite, quelques « rencontres » conduisaient à des échanges enrichissants : pipacs, plaguez, analyst, halvar, kad, sid, fischy, Phil, Laurent et tant d’autres. Il est amusant de constater que, globalement, tous ces gens continuent aujourd’hui à faire ce qu’ils faisaient avant, mais plus ou moins ouvertement ou gèrent leur propre boîte. 

Deuxième âge : l’adolescence, super ou sans plomb dans la tête

À la fin du premier âge naquirent MISC et SSTIC, surnommés « doubles dragons ». Il fut impliqué dans ces 2 projets qui sont encore là aujourd’hui, tels les vestiges glorieux et brillants d’un passé non moins illustre. Mais sont-ils encore utiles ? 

Il fallait ouvrir les yeux aux organismes, aux entreprises, à l’État qui niaient une chose qui était une évidence : la sécurité informatique était toute pourrie. Rien ne marchait. Des pirates exploitaient des failles, et il fallait comprendre et se protéger. On ne va pas attendre Pâques, man ! 

Inconscient ou mégalomane (sans doute les 2), un petit groupe de potes voulut donner un coup de pied dans la fourmilière pour préserver leur soif de liberté qui s’épanouissait sur Internet, pour garantir l’accès au savoir à tout un… suite sur www.miscmag.com

Fred Raynal