[Newsletter HSC] N°35 - Juillet 2007
Newsletter d'information de HSC
newsletter at hsc-news.com
Lun 2 Juil 15:22:42 CEST 2007
========================================================================
HSC Newsletter -- N°035 -- juillet 2007
========================================================================
"L'énergie usée à atteindre des normes de qualité est inversement
proportionelle au temps restant avant le prochain audit."
[Olivier Sax]
--[ Sommaire ]----------------------------------------------------------
1. Vu à la télé
2. Mise en oeuvre ISO 27001 à Bruxelles
3. Prochaines formations HSC
4. Accréditation de la certification Lead Auditor
5. Agenda des interventions publiques
6. Enquête du Cercle Européen de la Sécurité
7. Lutèces d'Or
8. HSC au Salon de la Sécurité Informatique 2007
9. Appel à communication conférence "SMSI et normes ISO 27001"
10. Club 27001
11. Nouveautés du web HSC
12. Veille en vulnérabilités HSC
13. Compte-rendu du SSTIC 2007
--[ 1. Vu à la télé ]---------------------------------------------------
Direct 8 - (10 juin 2007)
Emission 8-Fi (18h00) "Cybercriminalité"
Débat en direct avec Hervé Schauer, animé par Dominique Delport
http://www.zdnet.fr/partenaires/8-fi/
Dès que la vidéo sera reçue elle sera en ligne sur le site d'HSC.
--[ 2. Mise en oeuvre ISO 27001 à Bruxelles ]---------------------------
La norme ISO 27001 permet aux entreprises et aux administrations
d'obtenir une certification qui atteste de la mise en place effective
d'un système de management de la sécurité de l'information (SMSI).
Cette norme garantit aux parties prenantes (clients, actionnaires,
partenaires, etc.) que la sécurité des systèmes d'information a été
sérieusement prise en compte et que l'entreprise s'est engagée dans une
démarche d'amélioration constante.
Deux problématiques se posent alors :
- Comment mettre en place un système de management de la sécurité
de l'information (SMSI) conforme à la norme ISO 27001 ?
- Comment auditer un SMSI selon les critères de l'ISO 27001 ?
HSC proposera pour la première fois à Bruxelles du 1er au 5 octobre la
formation certifiante "ISO 27001 Lead Implementer", ou "Responsable de
la mise en oeuvre d'un SMSI", ou "Responsable d'implémentation ISO 27001".
Comme la formation pour devenir responsable d'audit, celle pour devenir
responsable d'implémentation se déroule sur une semaine, elle est
sanctionnée par un examen et permet d'acquérir une certification
individuelle délivrée par LSTI :
http://www.hsc.fr/services/formations/responsable_implementation_iso27001.html.fr
Cette formation est destinée aux personnes qui souhaitent mettre en oeuvre
l'ISO 27001 ou qui accompagneront un usage des normes ISO27001.
Elle proposei, par des exercices pratiques pour la rédaction des documents
(périmètre, politique de sécurité, déclaration d'applicabilité), la
réalisation d'une appréciation du risque et d'élaboration d'un plan de
traitement des risques (ISO 27005), la sélection et documentation
des mesures de sécurité, la gestion des processus et la sélection des
indicateurs (ISO 27004).
Pour tout renseignement contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 3. Prochaines formations HSC ]--------------------------------------
Des places sont disponibles sur les modules suivants :
- Paris
Sécurité Internet/Intranet ........ : 13 et 14 septembre
ISO 27001 Lead Auditor ............ : 17 au 21 septembre
Sécurité des réseaux et des transmissions : 24 au 26 septembre
Sécurité des serveurs et applications web : 27 et 28 septembre
Sécurité Unix et Linux ............ : 1 et 2 octobre
Sécurité Windows .................. : 3 et 4 octobre
Sécurité des réseaux sans fil ..... : 5 octobre
DNS ............................... : 8 octobre
Postfix et anti-spam .............. : 9 octobre
ISO 27001 Lead Auditor pour qualiticiens : 15 au 19 octobre
Responsable d'implémentation ISO 27001 : 22 au 26 octobre
ISO 27001 Lead Auditor ............ : 5 au 9 novembre
- Toulouse
ISO 27001 Lead Auditor ............ : 4 au 8 février 2008
- Rennes
ISO 27001 Lead Auditor ............ : 10 au 14 septembre
- Lyon
ISO 27001 Lead Auditor ............ : 3 au 7 décembre
- Luxembourg
ISO 27001 Lead Auditor ............ : 24 au 28 septembre
Responsable d'implémentation ISO 27001 : 12 au 16 novembre
- Bruxelles
Responsable d'implémentation ISO 27001 : 1 au 5 octobre
Pour tout renseignement contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
Pour les formations à Luxembourg contactez Christian Schiltz :
seminars at pt-consulting.lu -- +352 621 266 286 -- Fax : +352 40 24 34
Rappel : pour 4 jours de formation consécutifs commandés
simultanément par la même personne, le 5ème jour est offert (sauf
formations certifiantes).
Retrouvez le détail de nos formations (plan pédagogique, agenda) sur
http://www.hsc.fr/services/formations/index.html.fr
--[ 4. Accréditation de la certification Lead Auditor ]-----------------
Le COFRAC (Comité Français d'Accréditation, www.cofrac.fr) a
accrédité en juin 2007 la certification de personnel ISO 27001
Lead Auditor par LSTI sous le n° 4-0091. La certification par LSTI
des auditeurs de SMSI est la première et la seule accréditée en France.
HSC remercie et félicite tous ceux qui ont obtenu cette certification
officielle depuis deux ans que nous proposons la formation ISO 27001
Lead Auditor.
http://www.hsc.fr/services/formations/certification_iso27001.html.fr
--[ 5. Agenda des interventions publiques ]-----------------------------
- 3 juillet 2007 : CSO Interchange organisé par Qualys - Lille
ITIL et ISO 27001 - Alexandre Fernandez
- 21 novembre 2007 : Tutoriel organisé dans le cadre du Salon de la Sécurité
Informatique 2007 par Reed Exhibition - CNIT, Paris La Défense
"Sécurité de la voix sur IP" - Guillaume Lehembre et Olivier Dembour
http://www.hsc.fr/conferences/reed2007_securite_voip.html.fr
- 22 novembre 2007 : Tutoriel organisé dans le cadre du Salon de la Sécurité
Informatique 2007 par Reed Exhibition - CNIT, Paris La Défense
"Sécurité des Webservices" - Louis Nyffenegger
http://www.hsc.fr/conferences/reed2007_securite_webservices.html.fr
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 6. 5ème enquête du Cercle Européen de la Sécurité ]-----------------
Poursuivant la démarche engagée en 2003, le Cercle Européen de la
Sécurité (http://www.lecercle.biz) dont Hervé Schauer est membre
renouvelle son enquête annuelle sur les métiers de la SSI.
Les résultats publiés en 2004 ("Pour un management stratégique des
cyber-risques"), en 2005 ("Vers un benchmarking de la sécurité ?") et en
2006 ("Les grands défis de la Sécurité des SI") ont permis aux membres du
Cercle et aux autres de se positionner par rapport aux pratiques de leurs
homologues.
En 2007, l'enquête se focalise sur la notion de « pouvoir » en sécurité.
Qui détient les rênes ? Qui peut dire ou agir ? Qui a le pouvoir de
bloquer ou de faciliter l'action ? Comment s'exerce le contrôle de la
fonction SSI ?
Autant de questions auxquelles l'enquête permettra d'apporter des
réponses les plus claires possibles.
Si vous êtes RSSI, gestionnaires des risques IT, de la sécurité de
l'information d'une entreprise européenne, devenez membre du panel en
vous adressant à : enquete-cercle at hapsis-education.com pour disposer
des modalités de participation.
Une note de synthèse sera remise aux participants des Assises de la
Sécurité qui se dérouleront à Monaco du 10 au 13 octobre 2007
(http://www.les-assises-de-la-securite.com/) et un rapport détaillé sera
mis en ligne sur le site du Cercle (http://www.lecercle.biz/)
--[ 7. Lutèces d'Or ]---------------------------------------------------
A l'occasion de l'évènement Paris Capitale du Libre, Les Lutèces d'Or
priment les meilleurs projets et actions dans le domaine des logiciels
libres. Cette année le jury des Lutèces d'Or, dont Hervé Schauer est membre,
a récompensé un produit de sécurité : NuFW, dans la catégorie meilleure
innovation. Le pare feu authentifiant NuFW, développé par INL, permet
d'implémenter des politiques de sécurité avancées grâce à une
authentification stricte des connexions.
Paris Capitale du Libre réunit les acteurs du monde politique, industriel
et communautaire autour des enjeux stratégiques, politiques et économiques
des logiciels libres. Les Lutèces d'Or récompensent les meilleurs projets
dans différentes catégories : public, privé, communautaire, politique,
innovation, etc.
Paris Capitale du Libre : http://www.paris-libre.org
INL poursuit sa contribution au monde du Libre au travers d'une nouvelle
version de NuFW avec le support d'IPv6, la remontée du nom des interfaces
réseau d'entrée et de sortie utilisées par le paquet et la volumétrie des
connexions, la gestion avancée du routage et de la qualité de service
par utilisateur.
INL : http://www.inl.fr/
--[ 8. HSC au Salon de la Sécurité Informatique 2007 ]-----------------
HSC sera présent pour la seconde fois au Salon de la Sécurité Informatique
2007 (http://www.infosecurity.com.fr/) à Paris La Défense sur son stand E.3
- Un consultant HSC et le responsable commercial étudieront vos projets
- Profitez d'une offre exclusive salon : réduction de 10% sur le
catalogue 2007 des formations
- Gagnez une journée de formation gratuite à notre tirage au sort
Cette année encore, HSC propose 2 tutoriels en exlusivité :
-> "Sécurité de la Voix sur IP" le 21 novembre
http://www.hsc.fr/conferences/reed2007_securite_voip.html
Ce tutoriel d'une journée présentera les aspects sécurité des
différents protocoles sans revenir sur les bases protocolaires. Il
abordera les risques de certains softphones très répandus. De bonnes
pratiques en vigueur seront détaillées afin d'implémenter des
architectures sécurisées, des attaques VoIP pratiques et réalisables
seront décrites tout comme les moyens de s'en protéger. Ces exemples
d'attaques s'appuieront sur l'expérience de tests d'intrusions
effectués par HSC.
-> "Sécurité des webservices" le 22 novembre
http://www.hsc.fr/conferences/reed2007_securite_webservices.html
Exceptionnel ! Comprenez de manière exhaustive et concrète les
mécanismes qui sont derrière "SOA" ou webservices, et leurs
implications pour la sécurité. Le sujet sera traité de manière
indépendante des fournisseurs, en détaillant les technologies
une par une avec des exemples et des démonstrations.
Organisateur : Reed Exhibitions
Prix pour chaque tutoriel : 650 euros HT
Contact pour vous inscrire : Sandrine.Jean at reedexpo.fr
Tél : +33 (0) 141 904 754 -- Fax : +33 (0) 141 904 769
--[ 9. Appel à communication conférence "SMSI et normes ISO 27001" ]----
Dans le cadre du Salon de la sécurité (http://www.infosecurity.com.fr/)
à Paris-La Défense, le Club 27001 (http://www.club-27001.fr/) organise
le 21 novembre 2007 sa première conférence annuelle autour des normes
ISO 27001.
Voici les thèmes sur lesquels nous attendons des propositions, sans que
ceux-ci soient exhaustifs :
- Retours d'expérience dans l'utilisation des normes
. Mise en oeuvre d'une des normes
. Usage sans certification
. Organisations certifiées
. Retours d'expérience à l'étranger
- Mise en oeuvre d'un SMSI
. ISO 27003, reprise de l'existant
. Comment engager la direction générale
. Mise en place d'audits internes
- Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
ISO 20000-1 / ITIL, BS25599, CobiT, SoX, Bâle II, LSF, RGE de la DGME, etc
. Mutualisation, opposition, complémentarité, déclencheur, ...
- Appréciation des risques pour un SMSI
. ISO 27005
. Place des méthodologies existantes (EBIOS, Mehari, Octave, ...)
. Implication des métiers
. Calcul du risque
- Construction d'indicateurs ou de métriques pour un SMSI
. ISO 27004
. Liens avec d'autres référentiels
- Audits de SMSI
. Expérience d'auditeurs et d'audités
- Applications sectorielles :
ISO 27011 (Telecommunications), ISO 27799 (Santé), ...
. Utilité et usage du référentiel appliqué à un métier
- Formation et certifications individuelles
. Comment et pourquoi se former aux SMSI ?
Les propositions doivent faire part d'un retour d'expérience pratique
et ne doivent pas être la présentation d'une offre de service, d'un
produit ou plus généralement d'une solution commerciale. Le comité de
programme sera sensible à l'aspect pratique des propositions.
Contenu des soumissions à envoyer à conference at club-27001.fr :
- Nom de l'auteur, biographie et affiliation
- Synopsis d'une page de l'intervention avec un plan de celle-ci
Calendrier
- 14 septembre 2007 : date limite de réception des soumissions
- 28 septembre 2007 : notification aux auteurs
- 12 octobre 2007 : publication du programme
- 16 novembre 2007 : réception des présentations
- 21 novembre 2007 : conférence
Le comité de programme est composé des membres suivants du Club 27001 :
- Gerome Billois, Solucom
- Yann Bourja, Atos Origin
- Eric Doyen, Crédit Immobilier
- Stéphane Geyres, Ernst & Young
- Mauro Israel, Consultant
- Thierry Jardin, Unilog Management
- Jean-Francois Louapre, AG2R
- Anne Mur, On'X
- Dominique Pourcellié, CNAM-TS
- Charles-Alexandre Sabourdin, Fontaine Consultants
- Hervé Schauer, HSC
Pour en savoir plus, consultez www.club-27001.fr
--[ 10. Club 27001 ]----------------------------------------------------
Le Club 27001 (anciennement Club ISO 27001), animé par Eric Doyen
(Crédit Immobilier) et Hervé Schauer (HSC), réunit les personnes
intéressées par la série des normes ISO 27000. Le Club 27001 ne
représente aucun intérêt partisan ou commercial particulier, il est
ouvert à tous les professionnels, fournisseurs et utilisateurs,
souhaitant partager et réfléchir sur le sujet.
Le Club 27001 se réunit à Paris et Toulouse et possède également
un groupe de travail sur la mutualisation ITIL/ISO 20000-1 et ISO 27001.
Les compte-rendus et présentations des précédentes réunions sont disponibles
sur www.club-27001.fr.
Le programme de la prochaine réunion du groupe à Paris le
jeudi 20 septembre 2007 est le suivant :
- "Dérivatifs de la méthode EBIOS pour l'élaboration de politiques
sectorielles de sécurité, dans le cadre de la mise en oeuvre d'un
SMSI" par Francois Zamora, Orange-France Telecom
- "Présentation du brouillon de norme ISO 27005 sur l'appréciation
des risques" par Hervé Schauer, HSC
Entrée libre avec inscription préalable obligatoire en envoyant un
message à reunion at club-27001.fr pour pouvoir participer à cette
réunion.
La réunion suivante sera sans doute remplacée par la conférence
organisée par le Club 27001 du mercredi 21 novembre 2007.
Pour toutes les informations, lieux de réunion, programmes détaillés,
consultez http://www.club-27001.fr/ .
--[ 11. Nouveautés du web HSC ]-----------------------------------------
- "Ces nouvelles attaques qui ridiculisent encore le Web" par Guillaume
Lehembre
Editorial du numéro 7/2007 (26) de Hakin9, publié en juillet-août 2007.
http://www.hsc.fr/ressources/articles/hakin9_edito_wep/
- "Stratégies de sécurité : ISO 27001" par Hervé Schauer
Présentation effectuée à la conférence DPM sécurité des SI, le 13 juin
2007.
http://www.hsc.fr/ressources/presentations/dpm-iso27/
- "Chiffrement de contenu Web hostile over HTTP" par Renaud Feil
Présentation effectuée durant la rump session du SSTIC 2007, le 31 mai
2007.
http://www.hsc.fr/ressources/presentations/sstic07_rump_chiffrement_JS/
- "Évolution des attaques de type Cross-Site Request Forgery" par Louis
Nyffenegger et Renaud Feil
Présentation effectuée au SSTIC 2007, le 1 juin 2007.
http://www.hsc.fr/ressources/presentations/sstic07_CSRF/
- "Découverte de réseaux Ipv6" par Nicolas Collignon
Présentation effectuée au SSTIC 2007, le 30 mai 2007.
http://www.hsc.fr/ressources/presentations/sstic07_ipv6_scanning/
- "Rainbow Tables et caractères accentués sous Windows" par Guillaume
Lehembre
Présentation effectuée à la rump session du SSTIC 2007, le 31 mai 2007.
http://www.hsc.fr/ressources/presentations/sstic07_rump_rainbow/
--[ 12. Veille en vulnérabilités HSC ]----------------------------------
1281 06-06-2007 Vulnérabilité dans Veritas Storage Foundation
1282 06-06-2007 Vulnérabilités dans les produits Computer Associates (CA)
1283 07-06-2007 Vulnérabilité d'exécution de commandes dans F5 FirePass
4100
1284 12-06-2007 Exécution distante de code dans CA BrightStor ARCserve
Backup
1285 13-06-2007 Exécution distante de code dans l'API Win32 (MS07-035)
1286 13-06-2007 Exécution distante de code dans le Schannel Security
Package (MS07-031)
1287 20-06-2007 Vulnérabilité de contournement dans les antivirus F-Secure
--[ 13. Compte-rendu du SSTIC 2007 ]------------------------------------
Par Nicolas Collignon, Renaud Feil, Guillaume Lehembre, Louis
Nyffenegger et Hervé Schauer.
Le SSTIC s'est déroulé à Rennes du 30 mai au 1 juin 2007.
La conférence a commencé par un récapitulatif réalisé par Stéphane Cottin
et Jérôme Rabenou, du Conseil Constitutionnel, sur la prise en compte des
nouveaux risques dans les entités publiques. Ils ont abordé des sujets
tels que le Journal Officiel électronique, la dématérialisation de la
justice ou encore les machines à voter.
La seconde présentation portait sur le marquage spatio-temporel des
documents électroniques et sur les méthodes pouvant être utilisées afin
de réaliser l'un de ces marquages ou les deux marquages à la fois.
L'objectif de ce type de marquage étant de garantir par un sceau qu'un
document avait existé dans un lieu donné à un temps donné. Un "protocole
topographieur" a été détaillé et proposé par les chercheurs.
La matinée a été clotûrée par une conférence d'Aurélien Bordes (DCSSI)
sur les secrets d'authentification sous Windows. Après avoir rappelé les
concepts de base du fonctionnement de cette authentification, il a
montré comment il est possible de développer des outils afin d'aller
chercher les secrets d'authentification directement en mémoire, même si
le stockage des condensats LM est désactivé. Il a ensuite expliqué le
fonctionnement d'une authentification d'un processus utilisateur
(Outlook) et ses interactions avec la LSA. La présentation s'est
terminée sur les possibilités de réutilisation des condensats NT afin
d'utiliser les accréditations d'un utilisateur sans pour autant avoir
besoin de casser le condensat pour récupérer le mot de passe.
La présentation suivante portait sur l'analyse de canaux cachés et
l'injection de fautes dans les cartes à puce. Christophe Clavier
(Gemalto) a rappelé les différentes attaques physiques permettant de
récupérer les clés de chiffrement : durée des instructions, consommation
électrique, perturbations du fonctionnement normal, etc. La complexité de
mise en place de ce type d'attaque (tir au laser) reste tout de même un
frein. Il a ensuite conclu son exposé en démontrant que la sécurité par
l'obscurité (algorithme non public) n'empêchait pas de faire du reverse
engineering pour retrouver l'algorithme et les clés secrètes.
Le projet CryptoPage a ensuite été présenté, démontrant comment il est
possible, même sur une machine compromise, d'assurer l'intégrité d'un
processus et d'éviter les fuites d'informations, en déplaçant les données
et en réalisant des calculs réguliers de signatures de celles-ci.
Éric Alata et Ion Alberdi (LAAS) ont présenté un mécanisme d'observation
d'attaques sur Internet avec rebonds basé sur Netfilter. L'idée
consiste à contenir les rebonds d'un attaquant ayant compromis un
Honeypot dans ce même Honeypot en lui faisant croire qu'il est sur le
réseau qu'il souhaitait attaquer : c'est une amélioration des Honeypots
à forte interaction. Les auteurs ont implémenté cela grâce à un point
d'interception (hook) Netfilter en cherchant à minimiser la latence
induite.
Nicolas Collignon (HSC) a ensuite présenté des méthodes implémentées dans
son outil sherlock afin de réaliser des scans de réseaux IPv6. En effet,
l'augmentation du nombre d'adresses rend plus difficile cette découverte
et des techniques nouvelles sont donc nécessaires afin de découvrir
dans un temps limité un grand nombre de machines.
Laurent Butti et Julien Tinnes (FT R&D) ont ensuite réalisé une présentation
sur la recherche de vulnérabilités dans les drivers 802.11, ils ont ainsi
expliqué comment quelques lignes de scripts peuvent très facilement permettre
de détecter des vulnérabilités dans ce type de driver. Enfin, ils ont
démontré en direct, une méthode d'exploitation de ce type de vulnérabilités
sur le driver madwifi sous Linux.
La présentation "Exploitation en espace noyau" réalisée par Stéphane
Duverger, mettait en avant les techniques d'exploitation sur Linux 2.6
ainsi que les difficultés rencontrées lors du développement d'un shellcode
noyau avec par exemple les problèmes de gestion des contextes.
Éric Lacombe a ensuite réalisé une présentation sur les méthodes de
dissimulation de rootkits sur un système Linux basé sur une architecture :
injecteur, protecteur et charge utile en se basant sur la modification
d'un appel système.
La présentation suivante portait sur l'analyse statique par interprétation
abstraite. Après quelques statistiques sur les audits de code et la limite
de l'humain, Xavier Allamigeon et Charles Hymans ont présenté une méthode
de preuve formelle d'absence de certaines vulnérabilité dans un code source.
Leur papier s'est vu récompensé par Éric Filliol d'un prix spécial du jury.
Yoann Guillot a présenté Metasm, un projet écrit en ruby qui va
certainement être incorporé dans le projet Metasploit. Ce projet
permettrait à Metasploit d'incorporer les shellcodes sous forme de
source. Il permet de plus de réaliser simplement des actions sous
Windows, tel que des hooks ou un clone strace (strace de linux et non la
version noyau existant sous Windows).
Laurent Dupuy (Freesec) a présenté les "indiscrétions et « zones
constructeurs » des disques durs". Après un exposé sur le démontage
du disque détaillant chacun de ces organes, il a présenté une carte
permettant de dialoguer avec le disque et d'utiliser des commandes
non documentées. Il a ensuite expliqué le fonctionnement des protections
du disque par mot de passe et leurs actions réelles sur le disque.
Nicolas Ruff (EADS) a ensuite présenté l'état de l'art sur les intrusions
"tout en mémoire", attaques de plus en plus utilisées et de plus en plus
faciles à réaliser grâce à des logiciels comme metasploit. Il a ensuite
donné des voies de récupération de la mémoire : redémarrage, mise en
hibernation, ...
Lors de la présentation "Confidentialité et cryptographie en entreprise",
Marie Barel a mis en avant les aspects juridiques de l'utilisation de la
cryptographie en entreprise en s'appuyant sur l'historique de cette
problèmatique et sur des cas réels : il n'est par exemple pas autorisé de
chiffrer des données personnelles sur son ordinateur professionnel sans
autorisation explicite de l'employeur.
Cette année, les Rump Sessions ont été particulièrement nombreuses et
riches. Plusieurs sujets ont ainsi été présentés parmi lesquels :
- un fuzzer par Victor Stinner ;
- l'exploitation de la faille mod_jk sous Windows ;
- une GUI pour metasploit ;
- le projet revhosts permettant d'obtenir des informations sur
un domaine ;
- la création de table Rainbowtables pour enfin réellement
casser les mots de passe avec accents ;
- l'analyse de l'antivirus de Microsoft par Eric Filiol ;
- les chevaux de Troie matériel utilisant des systèmes
embarqués ;
- Scapy 6 où comment forger en python des paquets IPv6 ;
- un outil de visualisation de réseaux ;
- ...
Deux sessions ont égayé la conférence : Guillaume Arcas démontrant une
implémentation d'IP sur pigeon voyageur grâce à des hélicoptères
télécommandés, et l'équipe de FT R&D montrant comment faire jouer de
la musique à des disques durs en modifiant les fréquences de rotation
des plateaux des disques en question.
Christian Damour (AQL) a ensuite rappellé que la sécurité passe aussi par
l'organisation et comment une démarche de certification pouvait aider à
l'amélioration du niveau de sécurité d'un SI même si elle pouvait présenter
des limites.
Après un rappel sur les protocoles SIP et RTP, Nicolas Dubée (SecWay) a
présenté les diffèrentes possibilités de sécurisation de la VoIP et a
ensuite présenté une solution de sécurisation de la VoIP basé sur une
machine Linux et ne nécessitant aucune configuration.
Philippe Lagadec (Celar) a réalisé une intervention sur la sécurité
d'OpenDocument et Open XML (OpenOffice et MS Office 2007) et a montré
quelques méthodes permettant de réaliser des actions malveillantes lors
de l'ouverture de fichiers de ce type. Il a ainsi montré comment il est
possible d'exécuter un programme embarqué dans le document ou comment
il est possible de modifier un document tout en gardant une signature
cryptographiquement valide.
La présentation sur les évolutions des attaques de type "Cross Site
Request Forgery" réalisée par Renaud Feil et Louis Nyffenegger (HSC) a
permis de rappeler les dangers de cette attaque souvent sous-estimée.
Elle permet de faire réaliser des actions à un utilisateur à son insu
grâce à son navigateur. Des exemples de sites vulnérables ainsi que des
méthodes d'exploitation ont été présentés.
Simon Marechal (Thales) a présenté différentes techniques de cassage de
mots de passe avec, pour chacune, leurs avantages et inconvénients. Il a
ensuite fait un point sur les possibilités offertes par les chaînes de
Markov, qui permettent de générer de façon plus intelligentes une suite
de mots de passe potentiels, lors des tentatives de cassage, ainsi que
la possibilité d'évaluer la qualité d'un mot de passe. Il a terminé
cette présentation sur les possibilités offertes par la Playstation 3
comme machine à casser des mots de passe.
Cette nouvelle édition du SSTIC a eu énormément d'échos positifs et le
nombre de présentations sur des sujets très divers, avec à chaque fois un
niveau technique élevé, conforte le SSTIC comme une conférence de
référence sur la sécurité des systèmes d'information en France.
Plus d'informations sur la liste de diffusion newsletter