PACK PAPIER MISC 2016


  • Magazine Papier
  • Version Numérique (PDF)


  • Magazine Papier
  • Version Numérique (PDF)


  • Magazine Papier
  • Version Numérique (PDF)


  • Magazine Papier
  • Version Numérique (PDF)


  • Magazine Papier
  • Version Numérique (PDF)


  • Magazine Papier
  • Version Numérique (PDF)

IPv6 : 10 ans après !

1 - Comprendre IPv6 et ses évolutions pour améliorer la sécurité
2 - Quelles sont les bonnes pratiques d'IPv6 sur les équipements réseaux ?
3 - Retour d'expérience d'un déploiement d'IPv6 sur un campus universitaire
4 - Mise en place d'IPv6 sur un réseau opérateur


SOMMAIRE :

Exploit Corner
p. 04 Élévation de privilèges sur Ubuntu Desktop

Pentest Corner
p. 08 No one expect command execution

Malware Corner
p. 12 Chasse aux malwares sous GNU/Linux

Dossier
p. 20 Préambule
p. 21 Sécurité & IPv6 : on s'était donné rendez-vous dans 10 ans
p. 29 Quelques éléments de sécurité IPv6 à prendre en compte sur un réseau d’opérateur
p. 34 Retour d'expérience du déploiement d'IPv6 sur un réseau de campus
p. 42 Retour d'expérience : déploiement d'IPv6 sur un réseau régional

Code
p. 50 Implémentations cryptographiques sécurisées

Système
p. 58 Code malveillant sur iOS, mythe ou réalité ?

Réseau
p. 65 Supervision de sécurité : analyse exhaustive d’événements avec les outils ELK

Science & technologie
p. 74 Visualisation 3D appliquée aux PRBG et à la cryptographie

 

 

EDITO :

De l’acceptation du risque résiduel

Suite au massacre de Virginia Tech en 2007, Bruce Schneier publia un billet dans Wired intitulé « Virginia Tech Lesson : Rare Risks Breed Irrational Responses » [1]. Il y expliquait combien il était difficile d’évaluer les risques et à quel point notre perception était biaisée. Aussi dangereuses et meurtrières que puissent être certaines menaces, leur rareté induit un risque relativement faible comparé à d’autres menaces que nous sous-évaluons. Schneier explique que paradoxalement nous avons tendance à surévaluer le risque des événements rares et à adopter des mesures de sécurité irrationnelles lorsqu’ils se produisent. Chaque année, 3 000 à 4 000 personnes en France meurent sur les routes [2]. C’est un risque auquel nous avons fini par nous habituer et les mesures qui visent à le réduire (augmentation des contrôles et du montant des amendes, diminution des vitesses maximales autorisées…) ne manquent pas d’entraîner de fortes réactions d’opposition du public et de divers lobbies. Nous avons appris à vivre avec la mortalité liée à ce mode de transport, nous ne réagissons pas à chaque accident meurtrier et, au contraire, nous faisons preuve de défiance face à toute mesure ayant pour objectif de réduire les accidents si nous la percevons comme coercitive. Pour reprendre la terminologie d’ISO 27 001 ou d’EBIOS, c’est un risque que, collectivement, nous acceptons. A contrario, les accidents d’avion qui font de l’ordre d’un millier de morts par an dans le monde [3] sont médiatisés à l’excès et nous acceptons l’empilement des mesures de sécurité avec résignation. Mais le meurtre, surtout lorsqu’il survient en masse et est de nature terroriste, est une menace dont notre société refuse l’éventualité. Quand bien même la vraisemblance de cet événement redouté est faible, qu’il se produit rarement, qu’une appréciation rationnelle qualifierait ce risque de très modéré, il est tellement traumatisant lorsqu’il survient que nous ne tolérons pour cette menace aucun risque résiduel. Dès qu’un tel événement se produit, de nouvelles mesures de sécurité sont ajoutées au dispositif pour diminuer encore le risque ou, si nous avons l’esprit mal tourné, la perception que nous en avons. Il conviendrait pourtant de ne pas surréagir et, comme le soulignait Schneier, de ne pas prendre sous le coup de l’émotion des mesures irrationnelles n’ayant, in fine, aucune incidence sur la réduction du risque résiduel, mais sacrifiant nos libertés, nous décrédibilisant sur la scène internationale, pénalisant notre économie. Sur le plan informatique, l’étude par le gouvernement de l’interdiction de Tor, des accès WiFi ouverts ou encore de la communication systématique des clefs de chiffrement aux autorités [4] me laisse perplexe. À supposer que de telles mesures puissent techniquement être mises en œuvre, le prix à payer pour notre vie privée semble être très élevé au regard de la diminution du risque que l’on peut en attendre. Tant qu’à choisir une mesure absurde je préfère largement la proposition de confier à HADOPI la mission de « traquer les sites et mettre hors d’état de nuire tous ceux qui se servent de Google et des réseaux sociaux pour véhiculer le terrorisme » [5]... À mesure que l’on essaie de tendre vers un risque résiduel proche de zéro, il devient nécessaire de prendre des mesures de plus en plus drastiques, contraignantes et, dans le cas du numérique, liberticides. Une maîtrise correcte des risques doit faire preuve de proportionnalité afin que le coût des mesures exigées ne devienne jamais exorbitant au point de remettre en cause nos droits fondamentaux.

Cedric Foll / @follc / cedric@miscmag.com

[1] https://www.schneier.com/essays/archives/2007/05/virginia_tech_lesson.html
[2] https://fr.wikipedia.org/wiki/Accident_de_la_route_en_France
[3] http://www.lemonde.fr/les-decodeurs/article/2015/03/25/malgre-les-accidents-voyager-en-avion-est-de-plus-en-plus-sur_4600872_4355770.html
[4] http://www.01net.com/actualites/tor-wifi-public-chiffrement-que-pourrait-reellement-bloquer-le-gouvernement-934959.html [5] http://www.rtl.fr/actu/politique/xavier-bertrand-s-insurge-contre-l-imam-google-et-veut-modifier-hadopi-7780581885

 

DISASTER RECOVERY :

outils & organisation

1 - Quels protocoles réseaux pour construire une infrastructure sur plusieurs datacenters ?
2 - Stockage distribué : améliorer la résilience sans sacrifier les performances
3 - Bases de données multi-sites avec Cassandra
4 - Concevoir et organiser un plan de continuité d'activité


 


SOMMAIRE :

Exploit Corner
p. 04 CVE-2015-6409 : Downgrade STARTTLS appliqué au client Cisco Jabber

Pentest Corner
p. 12 Les pentests matériels dans les environnements IoT

Forensic Corner
p. 20 Attaque ciblée contre SIEM : du fantasme aux règles de bon usage

Dossier
p. 30 Préambule
p. 31 Extension de LAN
p. 40 Stockage et PCA/PRA
p. 48 Retour d'expérience sur Cassandra
p. 56 Les Plans de Continuité : les difficultés organisationnelles et méthodologiques à surmonter

Socitété
p. 66 Quelles implications juridiques pour IPv6 ?

Réseau
p. 70 Fiabiliser son infrastructure web avec HAProxy

Cryptographie
p. 76 Surveillance généralisée : Dual_EC_DRBG, 10 ans après

 

EDITO :

Vous reprendrez bien un peu de souveraineté ?

Après un début d’année 2016 anxiogène en matière de privation de nos vies privées, les députés ont choisi de détendre l’atmosphère en nous inventant un (nouveau) grand projet numérique souverain. Cette habitude française est née avec le plan-calcul de 1966, et depuis, nos élus et hauts fonctionnaires ont des tonnes d’idées de projets grandioses pour le rayonnement numérique du pays et son indépendance vis-à-vis du reste du monde. Je ne vais pas les citer tous, mais le dernier en date, le Cloud souverain, pourrait faire sourire si l’État n’avait pas investi, à fond perdu, 150 millions d’euros.

Pourtant l’appétence technique de nos élus et leurs fausses bonnes idées en matière d’innovation technologique devraient nous avoir échaudés depuis un moment. De Christine Albanel et son désormais célèbre pare-feu dans OpenOffice [1] en passant par la longue agonie de la HADOPI et à qui l’on essaie de refiler toute sorte de missions pour continuer de justifier son existence, la liste est longue. À quelques exceptions près, force est de constater que la plupart de nos représentants ont bien du mal à saisir les enjeux du numérique. Et l’on peut légitimement se demander si les personnes leur soufflant à l’oreille quelle doit être la stratégie de l’État n’ont pas quelques intérêts dans le domaine et n’espèrent pas, par leurs conseils « éclairés », rafler quelques juteux appels d’offres.

Ainsi, dans leur omniscience, les parlementaires ont adopté le 20 janvier un amendement [2] demandant la création d’un « Commissariat à la souveraineté numérique chargé de la création d’un système d’exploitation souverain ». Pour qui connaît les ressorts de l’administration, cela signifie que sous l’égide d’un parlementaire, une brochette d’énarques va charger une poignée de polytechniciens de rédiger un appel d’offres d’« assistance à maîtrise d’ouvrage » (AMOA pour les intimes) dans le but de recruter une armée de consultants facturés à plus de 1500 € HT par jour. Ces derniers seront chargés de conduire une étude de faisabilité (premier livrable) puis de rédiger un appel d’offres pour la réalisation de l’OS souverain (second livrable). L’étude va grosso modo expliquer en des termes choisis pour ne pas vexer les parlementaires qui, dans leur grande sagesse, ont initié ce projet, que même Google ne s’est pas risqué à créer un OS en partant de zéro, mais que le logiciel libre c’est compatible avec la « souveraineté ». En scénario 1, les consultants vont proposer de prendre des briques open source et rajouter quelques couches nationales pour obtenir un OS souverain à moindre coût (comme celui de la Corée du Nord). En scénario 2, il sera envisagé de tout réécrire (kernel, bibliothèques, logiciels), mais le budget risque de dépasser celui d’un porte-avion (ce qui serait tout de même dommage pour quelque chose que personne n’utilisera). Le scénario 2 vous parait déraisonnable? Il l’est. Mais cela donnera l’illusion aux décideurs du Commissariat de décider quelque chose. Tout consultant facturé à plus de 1.000€ par jour sait quand il doit faire preuve d‘humilité devant les puissants afin qu’ils aient l’impression qu’il n’est là que pour les assister dans leurs réflexions et non faire les choix à leur place.

Après avoir rendu un arbitrage très sage et très éclairé en comité de direction en faveur du scénario 1, le Commissariat décidera de passer à la phase deux de l’AMOA qui est la rédaction des documents constitutifs de l’appel d’offres pour la livraison dudit « système d’exploitation souverain ». Si les consultants sont aguerris, ils sauront convaincre le commissariat qu’un dialogue compétitif [3] est la forme de marché la plus adaptée, ce qui leur permettra de justifier une bonne année de prestation de conseil supplémentaire. Un an plus tard, connaissant par cœur les noms des enfants, petits-enfants et arrières-petits-enfants de tous les membres du Commissariat, les consultants n’auront même pas besoin d’argumenter pour les convaincre qu’ils seraient les plus à même de piloter le titulaire du marché de réalisation en charge de concevoir le « système d’exploitation souverain ». La signature d’un avenant à l’AMOA pour le transformer en AMOE (assistance à maîtrise d’œuvre) ne sera plus qu’une formalité signée sur un coin de table à la fin d’un déjeuner offert par les consultants. Les membres du Commissariat étant très pris, ils ne sont en effet disponibles pour les réunions d’étape avec le chef de projet qu’entre midi et deux. Un an ou deux plus tard, dans une indifférence quasi générale, le titulaire du marché de réalisation livrera, un peu piteusement, une Debian avec quelques logos français ainsi que Firefox, Thunderbird et GnuPG préinstallés. Fin de l’histoire. Et voilà comment deux sociétés engloutissent en un temps record des dizaines de millions d’euros pour les lubies de parlementaires trop attentifs aux lobbys qui leur font profiter de leur « vision stratégique ».

Cedric Foll / @follc / cedric@miscmag.com

[1] Ce qui ne l’a pas discrédité dans le monde de l’IT puisque qu’elle est maintenant directrice exécutive chargée de la communication chez Orange…
[2] http://www.assemblee-nationale.fr/14/amendements/3318/CION_LOIS/CL129.asp
[3] http://blogueexpertise.com/2014/10/27/regard-sur-dix-annees-dexistence-du-dialogue-competitif-en-france/

 

TESTS D'INTRUSION INTERNES :

ATTAQUES ET CONTRE-MESURES

1 - Contournement des outils de durcissement des postes de travail
2 - Active Directory : comment se protéger contre les dernières techniques offensives
?
3 - Retour d'expérience : le best of des attaques originales
4 - État de l'art des attaques sur un réseau interne


SOMMAIRE :

Forensic Corner
p. 04 Quand la Threat Intel rencontre le DFIR – 1ère partie

Pentest Corner
p. 12 Attaque d'un réseau Windows avec Responder

Malware Corner
p. 18 Analyse du rançongiciel TeslaCrypt

Dossier
p. 24 Préambule
p. 25 Techniques actuelles de contournement de politiques de restrictions logicielles
p. 34 Active Directory : nouveaux challenges à venir
p. 42 Ouvrir des portes avec des cadenas
p. 50 Les réseaux : toujours sujets à des attaques

Cryptographie
p. 60 #Implémentation d'AES : la nitroglycérine

Système
p. 68 Pentest z/OS

Organisation & Jurdique
p. 76 APT – Qui sont les attaquants ?

 

EDITO :

La fin de la vie privée ? En 2010, Jean-Marc Manach publiait « La vie privée, un problème de vieux cons ? ». Cet ouvrage discute, pour la mettre à mal, l’opinion répandue selon laquelle les natifs du numérique considéreraient qu’il est légitime d’être tracé numériquement et que leur vie privée est une marchandise échangée contre le droit d’accéder gratuitement à des services en ligne.

La fortune des géants d’Internet, à commencer par Google et Facebook, s’est bâtie sur la monétisation des données personnelles. Ces entreprises ont eu le génie de transformer les usagers de leurs services, non plus en clients, mais en produits à vendre à leurs annonceurs. Le cœur de métier de Facebook ou Google est finalement celui d’une régie publicitaire. Cela a d’ailleurs été parfaitement résumé par un ancien employé de Facebook : « les meilleurs esprits de ma génération se consacrent à faire cliquer des gens sur des pubs ».

Ces sociétés ont accumulé au fil des années plus de données sur la population mondiale que n’en a jamais rêvé de détenir tout état totalitaire (ou pas). Mais ce trésor numérique n’est pas l’apanage des entreprises du GAFA, il est également présent au sein de sociétés dont Internet n’est pas le coeur de l’activité telles que des banques, des sociétés d’assurance, des supermarchés… Le fait que des sociétés puissent détenir tant d’informations personnelles est déjà inquiétant en soi, mais vient s’ajouter un problème devenant de plus en plus criant année après année. Le niveau d’insécurité sur Internet est croissant avec des belligérants disposant de moyens de plus en plus importants (au hasard les services spéciaux de tous les pays) alors que sécuriser son système d’information est de plus en plus compliqué avec des problématiques telles que le BYOD, la généralisation du chiffrement (adieux les IPS), le protocole HTTP(S) qui remplace progressivement tous les autres (autoriser le port 443 vers ses serveurs revient quasiment à un « permit ip any any »).

Ainsi, la diffusion de données compromises contenant des informations nominatives se multiplie. Le dernier événement en date, au moment de la rédaction de cet édito, concerne le cabinet Mossack Fonseca. La moralité supposée de la clientèle de ce cabinet peut rendre ce leak plutôt sympathique, mais comment se réjouir de la diffusion de données personnelles sur la place publique tout en prétendant défendre le droit à la vie privée? Ce qui rend absolument effarant ce nouveau scandale est l’extrême vulnérabilité des données personnelles dématérialisées. Qui plus est, dans ce cas, ce sont les données personnelles d’hommes et de femmes parmi les plus puissants et les plus riches de la planète. Et ce ne sont pas des données d’un niveau de confidentialité moyenne telles que des adresses ou des numéros de téléphone, mais précisément ce que ces personnes voulaient garder sous le sceau du secret le plus absolu. Des données qui ont conduit à la démission du Premier ministre islandais en quarante-huit heures, fait trembler le gouvernement de la première puissance économique mondiale.

Ces événements démontrent clairement que la sécurité des données est un des principaux enjeux de ces prochaines années. Le nouveau règlement européen de protection des données personnelles prévoit d’ailleurs la désignation d’un « Data Protection Officer » (DPO) sous deux ans pour toutes les administrations ou sociétés traitant des données personnelles. À mesure que les menaces augmentent et que la richesse de nos vies numériques se développe, la divulgation de données personnelles est un risque que nous sommes de moins en moins enclins à accepter et qui ne doit pas devenir une fatalité.

Cédric Foll / @follc / cedric@miscmag.com 

Vous allez avoir peur de votre cafétière !
Quelle sécurité pour l'internet des objets ?

1 - Internet des objets, quel impact pour votre défense périmétrique ?
2 - Comprendre le protocole 802.15.4 et sa sécurité
3 - Tout, tout, tout, vous saurez tout sur le protocole ZigBee
4 - Analyse radiofréquence d'une clé de voiture pour déverrouiller un véhicule

Période : Juillet - Août 2016

SOMMAIRE :

Exploit Corner :

p. 04 CVE-2015-7547

Malware Corner :

p. 10 Pleased to meet you, my name is Petya !

Forensic Corner :

p. 18 Quand la Threat Intelligence rencontre le DFIR – 2ème partie

Dossier :

p. 24 Préambule
p. 25 Une approche de l’Internet des objets en entreprise et de la dépérimétrisation
p. 34 Réseau sans fil 802.15.4 et sécurité
p. 42 Tout, tout, tout, vous saurez tout sur le ZigBee
p. 52 Analyse radiofréquence d’une clé de voiture

Code :

p. 61 L'impact réel de la cryptographie obsolète sur la sécurité

Système :

p. 70 Windows 10 : confidentialité et sécurité de vos données

Organisation & Jurdique :

p. 78 Simulation d’attaque APT

PRéFACe

Jurassic Park II : le retour éphémère du dinosaure

Françaises, Français, Belges, Belges, geeks velus élevés au Coca light, à la pizza et autres RST de cuisine, fétichistes du silicon plus dans la valley que dans les seins, virtuoses de l’ARP aux doigts volants, tels Christian, sur le clavier, amateurs de bits surtout bien RAID, pervers du test de pénétration et autres back orifices, public chéri mon amour : bonjour !

Je trouve impressionnant que vous soyez aussi nombreux à me (re)lire. En ce qui me concerne, j’aimerais mieux faire autre chose que rédiger cet édito. Je me réjouis toutefois à l’idée des gloussements étouffés que vous pousserez à la lecture d’un calembour, de vos regards bovins qui éclaireront vos visages à la lecture d’un calDüsseldorf, ou des larmes que vous verserez devant tant de calamités.

Que s’est-il passé depuis ma pseudo-retraite dans le petit monde de la SSI française ? L’ANSSI a continué à labelliser tout et n’importe quoi, les gros acteurs ont continué à racheter tout et n’importe quoi, et les APTs ont continué à défoncer tout et n’importe quoi. Rien de nouveau en fait.

Ah si, ma fille, Romane, 3 mois, à qui je dédie cet édito pour quand elle saura lire. On m’avait promis l’enfer, mais avec elle, je ne suis pas au feu tous les jours, car elle est loin d’être la pire, Romane. Mais je m’éloigne, ceci n’a aucun rapport, à la différence de la naissance de ma fille qui en a nécessité.

Je m’imagine déjà dans quelques années tentant de lui expliquer ce que j’ai fait de ma vie, et le monde parallèle sans loi (lex en latin) et sans yack de l’Internet. Et comme on dit en SSI, para : no yack ! Alors, quels animaux pouvons-nous rencontrer dans le pays merveilleux de la SSI ?

Chief Information Security Officer : Un bon CISO est un CISO mort ! À cause de son surmenage, il court de réunion en réunion, jusqu’à l’épuisement. Pour y remédier, les anglo-saxons les nomment en duo, afin d’avoir une paire de CISO. En Chine, où ils sont bien plus nombreux, on parle de CISO 27000. C’est censé être le coordinateur de tout ce qui touche à la sécu, mais c’est bien souvent un placard où les moyens ne sont à la hauteur ni des besoins, ni des attaquants.

Le malware analyst : Le malware analyst est à la sécurité ce que le cuisinier de fastfood est à la gastronomie. Il abat un travail considérable et répétitif, enchaînant les analyses tel Lance Armstrong au Tour de France. Passant de sa sandbox préférée à son SIEM, il ne touche jamais à son IDA, car il s’appuie sur l’unpacker Lewis ne perd jamais. Il se rend ainsi compte que les menaces avancées le sont autant que toi lecteur à l’issue de cet édito.

Le pentester : Aspirant à rooter globalement n’importe quel serveur qui passe sous son nmap à l’aide d’une injection SQL aveugle déclenchant un remote heap overflow dans le kernel dudit serveur, la plupart du temps, admin/admin lui suffit pour atteindre son objectif. La satisfaction de la réussite laisse alors place au désespoir en l’espèce humaine. Parfois, une dose hors norme de stéroïdes est nécessaire, c’est la méthode Charlyze, pour un test Theron, mais c’est aussi rare qu’une fille dans le public de SSTIC.

Le vuln researcher : Un bon 0 day est un 0 day vivant, sauf pour le projet 0 de Google qui, avec un talent indéniable (James, Dan, Tavis, Ide, et plus), met la sauce Tartare pour en tuer autant qu’ils peuvent en les disclosant parfois sauvagement pour faire bouger les éditeurs :

« tu devrais te consacrer aux JAR, je passe mon temps à trouver des vulns, tellement c’est troué » dit Dan à Ide. Au moins, en Ormandy, les gars avaient une chance de gagner contre les nazis... Là, pour tenter d’imposer ses muscles auprès des éditeurs, Google y va à coups de chocs, c’est de la comm’ Taser, mais pour autant, il restera toujours des bugs.

Finalement, on se rend compte que ce n’est pas tant la fonction que la bonne volonté et les compétences qui font bouger les lignes. La SSI est une aventure humaine avant tout, destinée à protéger nos données tel un cardinal protégeant ses prêtres. Parfois, il y a des fuites (et tant mieux). Il faut donc se bouger et sensibiliser tout le monde, pas que les « hackers » qui le sont déjà, aux notions élémentaires de sécurité, nos données étant partout, tripotées par n’importe qui. Sinon, comme on dit à Lyon : Noël à confesse, Pâques dans les fesses.

Alors voilà, public chéri mon amour, tu comprends pourquoi je voudrais faire autre chose qu’écrire cet édito : je baisse ! Plutôt que de glousser bêtement en cherchant les calStuttgart de ce texte, il me semble que toi aussi tu as mieux à faire, comme tourner les pages de ce magazine pour te cultiver, si tu ne veux pas terminer comme le sot 6 de Francfort, hein mon chou, comme une veille croûte.

Sur ces paroles angéliques, je retourne dans ma retraite aux Îles Marquises à me faire des couilles en or en mangeant des bonbons, c’est ce qu’on appelle le cyber-lingot. En réalité, je suis ravi de vivre cette époque de révolution technologique et sociétale en essayant d’y apporter ma modeste contribution. Quand on peut vivre d’une de ses passions, c’est quand même un luxe, il ne faudrait pas que mon Alzheimer me le fasse oublier.

Fred RAYNAL (a.k.a. pappy avant d’avoir été pappa, fondateur de MISC canal historique) @fredraynal / @MISCRedac

Social Engineering :
Découvrez les techniques de manipulation et apprenez à les déjouer !

1 - Quelles sont les méthodes de manipulation les plus efficaces ?

2 - Détecter et prévenir les attaques

3 - Mise en place d’une fausse campagne de phishing pour sensibiliser et évaluer son niveau de sécurité

4 - Business E-Mail Compromised : fraude aux faux ordres de virements internationaux


SOMMAIRE :

Pentest Corner

p. 04 Contournement d’AppLocker via Powershell

Malware Corner

p. 08 Automatisation d'une obfuscation de code VBA avec VBad

Forensic Corner

p. 16 Arrêtez de grogner avec GRR Rapid Response !

Dossier

p. 24 Préambule
p. 25 Techniques de manipulation
p. 32 Business e-mail compromise
p. 38 L’hameçonnage au service de la sécurité
p. 44 Social engineering : identifier la menace

Code

p. 50 Pourquoi inclure la sécurité dans votre pipeline DevOps ?
p. 56 Sécurité des véhicules connectés et/ou autonomes

Cryptographie

p. 66 Les attaques sur RSA : de la théorie à la pratique

Système

p. 76 Analyse de la sécurité d'un bracelet sportif

EDITO :

Arrête de ramer, t’es sur le sable

L’été 2015 se terminait avec comme principale actualité à nous mettre sous la dent le piratage des données d’Ashley Madison et la mise en pâture d’une kyrielle de données nominatives d’utilisateurs réels (ou pas) qui se seraient bien passés d’apparaître dans ces listings. Durant l’été 2016, après la publication de milliers de courriels internes du parti démocrate américain, ce sont des exploits ciblant des 0days et affectant les principaux constructeurs d’équipements réseau qui auraient été volés à la NSA et qui se retrouvent dans la nature. Dans les deux cas, si une fuite interne n’est pas à exclure, des regards se sont tournés vers des groupes de pirates russes qui seraient liés aux services de renseignements du Kremlin. Autant dire que si l’une ou l’autre des intrusions est confirmée on franchit quelques marches quant à la technicité requise pour réussir à voler ces données.

Et puis, après la très médiatisée victoire de l’intelligence artificielle de Google au jeu de go et le concept de « Deep Learning » qui dépasse en matière de Hype celui de « Big Data », les ordinateurs commencent à se mesurer aux informaticiens pour la recherche de vulnérabilités. Début août à la DEF CON, dans le cadre du « Cyber Grand Challenge » du DARPA, des programmes informatiques se sont affrontés pour trouver des failles et les corriger avec à la clef une récompense de $2.000.000 [1]. Les résultats semblent des plus spectaculaires et les machines devraient pouvoir être utilisées prochainement pour trouver des failles de manière un peu plus subtile qu’en faisant du fuzzing sur des pétaoctets de données. Ceci démontre également à nouveau que la frontière devient de plus en plus floue entre ce qui était réalisable par des machines et ce qui semblait hier encore largement hors de leur portée : l’apanage unique de l’esprit humain.

Enfin, cet été a également été émaillé de nouvelles rodomontades du gouvernement sur le thème de la cryptographie et de la nécessité, pour les services étatiques, de pouvoir déchiffrer les communications [2]. En lisant entre les lignes, il s’agit ni plus ni moins d’imposer aux éditeurs de logiciels chiffrant des données (donc en 2016 à peu près tous les logiciels qu’ils soient libres ou propriétaires) d’intégrer une clef de recouvrement ou, plus trivialement, une backdoor. Je ne vais pas m’appesantir sur l’impossibilité technique de généraliser ce type de règlementation à des logiciels libres, la difficulté d’imposer une telle mesure à des éditeurs étrangers, la facilité avec laquelle les terroristes pourront contourner ces limitations en utilisant des logiciels maison, le risque encouru en cas de perte de la clef privée ou encore sur les difficultés que pourrait entraîner ce type de loi pour la vente de solutions souveraines en dehors de nos frontières. Notre ministre de l’intérieur aurait tout intérêt à écouter l’avis des services étatiques compétents en matière de cryptographie, et tout particulièrement l’ANSSI, dont le directeur écrivait en début d’année que l’« affaiblissement généralisé serait attentatoire à la sécurité numérique et aux libertés de l’immense majorité des utilisateurs respectueux des règles tout en étant rapidement inefficace vis-à-vis de la minorité ciblée ».

Finalement, il restera certainement un domaine pour lequel l’être humain gardera sa supériorité, c’est sa capacité à prendre des décisions irrationnelles en étant certain d’avoir raison contre tous sur un sujet qu’il ne maîtrise pas.

Bonne lecture !

Web :

Quelles évolutions pour la sécurité ?

   1 - Analyse du protocole HTTP/2 : avancée ou régression pour la sécurité ?

   2 - HTTPS : peut-on encore faire confiance au cadenas vert ?

   3 - Les Web Application Firewall sont-ils vraiment incontournables ?

   4 - Présentation des API JavaScript cryptographiques


SOMMAIRE :

Exploit Corner

p. 04 Attaque en aveugle du protocole TCP par canal auxiliaire : la CVE-2016-5696

Pentest Corner

p. 12 Bluetooth Low Energy for pentesters

Malware Corner

p. 20 #Analyse d'un fichier Flash délivré par l'Exploit Kit Neutrino

Dossier

p. 24 Préambule

p. 25 HTTP/2 : attention, peinture fraîche !

p. 34 HTTPS : bientôt le fond de l’abîme ?

p. 40 Web Application Firewall 101

p. 49 De la sécurité vers la confidentialité des données

Organisation & Juridique

p. 54 La sécurité des objets connectés

Code

p. 60 DevOps : nuageux, avec chance de sécurité

Système

p. 66 La sécurité dans les systèmes de transports intelligents

Cryptographie

p. 74 Attaques par canaux auxiliaires utilisant les propriétés du cache CPU

EDITO :

     Le mot de passe, ce grand cadavre à la renverse

     La publication de la base de comptes utilisateurs de Yahoo le 22 septembre dernier avec son demi-milliard d’identifiants est largement la plus grosse fuite de données rendue publique à ce jour et a de quoi donner le vertige. C’est peut-être le dernier clou dans le cercueil de cette société, ce géant du Web déchu qui pouvait se payer en 2000 des publicités en prime time à la télévision à une époque où elle était encore regardée par tous [1].

     Mais au-delà de cette énième fuite d’information, ce qui, rétrospectivement, pourrait étonner un informaticien de la fin des années 1990 est que nous continuons, en 2016, à utiliser des mots de passe, voire dans le cas des banques des codes PIN, pour accéder à nos données les plus sensibles.

     Le rapport que nous entretenons avec nos mots de passe est compliqué. Tout le monde est convaincu que ce système est mort depuis 30 ans, mais ce système est plus présent que jamais. En tant que responsables SSI, nous nous sommes souvent vu donner des recommandations lors de campagnes de sensibilisation à la sécurité que nous ne suivions bien souvent pas *nous-mêmes. Les plus anciens se souviennent certainement qu’il était, au début des années 2000, usuel de filer la métaphore de la brosse à dents. Outre le choix d’un mot de passe très compliqué et différent pour chaque compte, il fallait, comme une brosse à dents, le changer fréquemment et ne pas le prêter. Les plus intégristes forçaient techniquement un changement mensuel en vérifiant que chaque nouveau mot de passe était différent des six derniers. Enfin tout ce qu’il fallait faire pour que les mots de passe soient écrits sur des post-its dans tous les bureaux. Cette pratique peut paraître surannée à l’heure où il semble généralement admis qu’il vaille mieux un bon mot de passe que des mauvais (ou des bons, mais écrits sur des post-its, partage réseau, cloud public...) changés souvent. C’est pourtant encore la pratique dans certaines structures ou sur les portails de certaines banques qui obligent toutes les 100 connexions un renouvellement du code PIN de 6 chiffres.

     En résumé, nous expliquions doctement à nos utilisateurs qu’il fallait un mot de passe robuste, ne jamais utiliser le même pour deux sites et les changer très souvent. Exactement le genre de conseils que personne ne suit, à commencer par celui qui les donne.

     Certaines solutions ont eu leurs heures de gloire dans les entreprises et administrations telles que les PKI ou les terminaux OTP [2]. Si séduisantes techniquement et sûres qu’elles puissent être, ces solutions au regard de leur complexité et du coût de leur mise en œuvre, notamment en matière d’assistance aux utilisateurs, ont découragé beaucoup de DSI et n’ont réussi à être implémentées que dans les plus grandes (ou les plus riches) structures. L’administration fiscale qui avait réussi le tour de force de mettre en place une PKI avec des certificats utilisateurs d’authentification sur tous les postes des utilisateurs a fait machine arrière au bout de quelques années pour en revenir à ce bon vieux mot de passe. La complexité de ce type de solution pour les utilisateurs et le coût induit en matière d’assistance n’a certainement pas joué en faveur de la PKI.

     Pourtant, avec la massification de l’usage des smartphones, des mécanismes d’authentification renforcés basés sur des SMS ou des applications ad hoc sont possibles même si elles tardent à se généraliser. De plus en plus de services délèguent l’aspect épineux de l’authentification (et de la base de login/mot de passe à préserver) à des fournisseurs d’identité tels que Google, Microsoft, Facebook ou Twitter. On peut déjà noter des efforts très louables pour rendre l’authentification à deux facteurs possible de la part de Google, Twitter, Dropbox, GitHub, Microsoft ou encore Blizzard. Il ne reste qu’à espérer que les utilisateurs adoptent ce mécanisme massivement, ou soient poussés à le faire par des mesures incitatives, et que cette bonne pratique soit adoptée par tous les fournisseurs d’identité.

 

                                                                                                     Cedric Foll / cedric@miscmag.com / @follc

[1] http://www.ina.fr/video/PUB2327350047 [2] Je me souviens avec nostalgie des formations à l’utilisation de clefs OTP où mes stagiaires notaient le numéro affiché sur l’écran LCD pour ne pas avoir à ressortir leur clef.

Acheter ce pack


Référence : PPAP_MISC_16

45,00 €

53,40 €

Nouveaux produits