[Newsletter HSC] N°54 - Février 2009
Newsletter d'information de HSC
newsletter at hsc-news.com
Lun 2 Fév 15:03:12 CET 2009
========================================================================
HSC Newsletter -- N°054 -- Février 2009
========================================================================
"La meilleure façon de lutter contre le chômage, c'est de travailler."
[Raymond Barre ]
--[ Sommaire ]----------------------------------------------------------
1. Editorial
2. Le saviez-vous ? La question
3. Statistiques du serveur www.hsc.fr
4. Prix de l'Innovation des Assises de la Sécurité
5. Nouveautés du web HSC
6. Agenda des interventions publiques
7. Veille en vulnérabilités HSC
8. Panorama de la cybercriminalité 2008
9. JSSI de l'OSSIR le 17 mars
10. Nouvelle formation : "Développement sécurisé en PHP par la pratique"
11. Nouveau partenaire au Luxembourg
12. Prochaines formations HSC
13. Offres d'emploi, 7 postes à pourvoir !
14. Actualité des associations : Club 27001 et OSSIR
15. Le saviez vous ? La réponse
--[ 1. Editorial - Hervé Schauer ]--------------------------------------
PCI-DSS est une collection de règles de sécurité imposée aux
entreprises qui utilisent les données situées sur les cartes bancaires.
Ces règles ne s'appliquent que dans le périmètre qui utilise ces données
issues des cartes bancaires, donc généralement un périmètre limité dans
un système d'information correctement architecturé.
Plus personne ne peut se passer du payement par carte. Visa et ses amis
constituent un oligopole, c'est-à-dire un monopole à quelques-uns. C'est cet
oligopole qui impose la conformité PCI-DSS. Ils sont réunis dans le
PCI-SSC, Payement Card Industry Security Standards Council,
(www.pcisecuritystandards.org).
Visa et ses amis sont propriétaires des données issues des cartes.
Ils imposent donc des règles de sécurité à ceux qui les utilisent.
Certaines entreprises gardaient bêtement les numéros de carte de leurs
clients "au cas ou", sans aucune gestion de la sécurité de l'information,
parfois dans des fichiers de tableurs traînant sur des serveurs web.
Beaucoup d'applications comme les parkings gardaient les numéros de carte
là où un condensat leur suffirait. Malheureusement ils ont préféré revenir
aux tickets à l'entrée et à la sortie. Il est donc indiscutable que certains
utilisateurs des données des cartes n'étaient pas suffisamment sérieux et
cette mauvaise gestion de quelques uns rejaillissait suite aux fraudes ou
aux vols de numéros de cartes, dans une mauvaise image qui affecte aussi les
émetteurs de cartes Visa et leurs amis. Concrètement, les gros incidents ont
tous été aux USA, siège de notre oligopole.
Cependant, la conformité PCI-DSS peut amener à réfléchir sur le fond :
d'une part sur le modèle de confiance que l'oligopole impose, et d'autre
part sur le modèle économique qu'il instaure.
Avec la conformité PCI-DSS, l'auditeur, l'inspecteur devrais-je dire,
est co-responsable de l'occurrence d'une fraude sur un site qu'il a audité.
Visa et ses amis se défaussent de leur rôle de tiers de confiance sur leur
système de payement. De plus ils ne donnent finalement plus à celui qui
détient la donnée confidentielle toute sa responsabilité. La collection de
règles de sécurité de PCI-DSS ne sont pas toujours applicables donc elles
imposent aux auditeurs d'adapter ces règles aux situations. Même une
approche purement conformité comme PCI-DSS a besoin d'introduire des
notions d'amélioration continue, et de se mettre en perspective avec les
risques. Cela revient à mettre en oeuvre l'ISO 27001 qui démarre par une
appréciation des risques sur ses actifs. Les retours d'expérience de nos
clients montrent que la mise en oeuvre d'un SMSI selon l'ISO 27001 avec
les données issues des cartes bancaires en actif primordial et les règles
PCI-DSS dans sa déclaration d'applicabilité facilite l'atteinte de la
conformité PCI-DSS. Rien n'est incompatible entre les deux référentiels.
Chaque année la limite en nombre de transactions baisse, limite au-delà
de laquelle la conformité PCI-DSS est imposée. Donc de plus en plus de
marchands doivent soit ne plus utiliser les données carte en sous-traitant
à un fournisseur de services de payement, soit se conformer à PCI-DSS (voir
les niveaux largement détaillés sur Internet). Les banques et marchands qui
se conforment payent des audits facturés très cher. Ceux qui font les audits
payent des assurance en responsabilité civile hors de prix. Ils payent aussi
très chers leurs consultants pour qu'ils ne se fassent pas débaucher par les
clients qui veulent être conformes. HSC a tenté deux années de suite de
s'inscrire sans succès aux formations officielles, puis à force de chercher
une formation PCI-DSS pour y envoyer ses consultants, a dû en organiser
lui-même, avec une des sociétés possédant des auditeurs certifiés (QSA) :
http://www.hsc.fr/services/formations/essentiel_pcidss.html.fr
Je vous rassure : nous ne facturons pas plus cher les formations PCI-DSS
ou les accompagnements vers la conformité PCI-DSS que les autres prestations.
Enfin au sommet, Visa et ses amis eux, sont de moins en moins responsables,
ils prennent de moins en moins de risques, ils payent de moins en moins
d'assurance, et ils gagnent de plus en plus.
C'est comme si un jour Google (search, mail, doc, apps, etc.) devenait
un monopole dont vous ne pourriez vous passer, et qu'en tant que propriétaire
des données enregistrées dans vos cookies, Google vous obligerait à sécuriser
votre PC pour continuer à l'utiliser, et à payer pour ça par exemple un
GoogleOS. Cela serait le même modèle que celui de Visa et ses amis :-)
--[ 2. Le saviez vous ? La question ]-----------------------------------
Saviez vous que l'utilisation de la Copie Cachée (Bcc:) est largement
déconseillée quand on utilise le chiffrement S/MIME ?
--[ 3. Statistiques du serveur www.hsc.fr ]-----------------------------
Comme chaque année, nous publions quelques statistiques sur le
serveur web www.hsc.fr, en vous remerciant pour votre fidélité :
2004 2005 2006 2007 2008
Visiteurs (Millions) 0,50 0,60 0,75 0,64 0,52
Visites (Millions) 0,75 1,01 1,21 1,12 0,88
Pages (Millions) 4,3 6,05 6,14 4,60 4,01
Volume (Go) 200 256 372 274 231
Les butineurs utilisés :
2004 2005 2006 2007 2008
Internet Explorer : 69,0 % 57,0 % 56,0 % 48,7 % 39,8 %
Firefox : 0,9 % 24,0 % 31,0 % 35,3 % 37,4 %
Mozilla : 21,0 % 10,0 % 7,0 % 7,4 % 8,9 %
Opera : 1,7 % 1,2 % 1,4 % 1,7 % 1,6 %
Safari : 0,6 % 0,6 % 0,7 % 0,8 % 1,5 %
Konqueror : 1,6 % 1,1 % 0,7 % 0,6 % 0,2 %
Netscape : 2,1 % 1,1 % 0,6 % 0,4 % 0,6 %
Aspirateurs : 0,4 % 1,7 % 0,9 % 0,7 % 1,1 %
Inconnus et divers : 2,5 % 3,3 % 1,7 % 4,4 % 6,9 %
Les systèmes d'exploitation utilisés :
2004 2005 2006 2007 2008
Windows : 86,0 % 85,0 % 86,0 % 81,5 % 72,4 %
Unix : 10,0 % 10,0 % 9,0 % 12,6 % 15,9 %
dont Linux : 8,0 % 8,3 % 7,8 % 10,7 % 12,9 %
Macintosh : 1,0 % 1,1 % 1,3 % 1,8 % 2,9 %
FreeBSD : 0,3 % 0,3 % 0,2 % 0,1 % 0,1 %
Indéterminé : 4,0 % 5,0 % 5,0 % 5,9 % 11,4 %
Les pays d'où viennent les consultations :
milliers bande
de pages passante
1 France 1609 96,43 Go 46,67%
2 USA 711 22,26 Go 10,77%
3 Espagne 101 5,98 Go 2,89%
4 Canada 95 6,24 Go 3,02%
5 Maroc 94 6,67 Go 3,23%
6 Cote D'Ivoire 74 3,97 Go 1,92%
7 Algérie 70 3,99 Go 1,93%
8 Tunisie 65 4,28 Go 2,07%
9 Grande-Bretagne 58 4,82 Go 2,33%
10 Allemagne 53 5,12 Go 2,47%
11 Suisse 39 3,71 Go 1,79%
12 Belgique 37 2,95 Go 1,43%
13 Brésil 35 0,79 Go 0,39%
14 Pologne 32 9,60 Go 4,64%
15 Italie 30 2,56 Go 1,24%
16 Portugal 29 0,39 Go 0,19%
17 Inde 29 1,44 Go 0,70%
18 Chine 27 1,28 Go 0,62%
19 Corée du sud 24 0,37 Go 0,18%
Inconnu 374 19,20 Go 9,30%
Satellite access 35 0,70 Go 0,34%
Autres 42 3,91 Go 1.88%
Rendez-vous sur http://www.hsc.fr/
--[ 4. Prix de l'Innovation des Assises de la Sécurité ]----------------
Pour la 4ème année consécutive sera décerné le Prix de l'Innovation
des Assises de la Sécurité. Les Assises se dérouleront à Monaco du
7 au 10 octobre 2009. Le comité de sélection du Prix 2009 est composé de :
Hervé Schauer, HSC, animateur du comité de sélection
Didier Gras, RSSI Groupe BNP Paribas, co-animateur
Jean Capron, RSSI France, Philips
David Crochemore, FSSI, Ministère de la Justice
Yvon Klein, RSSI, CNES
Thierry Olivier, Responsable Sécurité du SI, SFR
Benoît Perrot, Directeur d'investissement, ACE Management
Sylvain Thiry, RSSI Groupe SNCF
Alexandre Zapolski, Président Directeur Général Linagora
Réda Zitouni, CEO Mobiquant (société lauréate en 2008)
Ce prix permet à une entreprise innovante dans le domaine de la
sécurité des systèmes d'information de bénéficier d'un accès aux Assises
de la Sécurité afin de démontrer son produit ou son service, avec la
remise du prix en séance plénière le vendredi 9 octobre 2009, un espace
d'exposition et un atelier.
Les critères utilisés par le comité de sélection sont notamment :
- Le caractère innovant et nouveau de la solution présentée
- Les innovations technologiques de la solution
- L'intérêt pour les RSSI et métiers associés
- L'état d'avancement du projet
Le règlement complet et le dossier de candidature sont disponibles
en téléchargement sur le site des Assises, rubrique Prix de l'Innovation :
http://www.lesassisesdelasecurite.com/accueil/prix.aspx
ou le site du Cercle de la Securite : http://www.lecercle.biz/home/prix.aspx
Le dossier complet doit être envoyé sous format électronique avant le
30 mai 2009 à l'adresse prixinnovation at lesassisesdelasecurite.com.
N'hésitez pas à renvoyer cette annonce et à faire part de votre intérêt
à candidater auprès d'Hervé Schauer ou de Didier Gras.
--[ 5. Nouveautés du web HSC ]------------------------------------------
- Interview vidéo d'Hervé Schauer par Matthieu Thupinier lors du
salon Infosecurity 2008
http://www.tivipro.tv/chaine_salons.php?id=16671&id_salon=222
--[ 6. Agenda des interventions publiques ]-----------------------------
- 4 février 2009 : "Espace RSSI du CLUSIF" - Paris
"Virtualisation et sécurité"
Nicolas Collignon et Julien Raeis
http://www.clusif.fr/
- 11 février 2009 : Microsoft TechDays 2009 - Paris
"Normes ISO 27001 / ISO 27002 : Principes de base et aspects techniques"
Benjamin Arnault et Alexandre Fernandez-Toro
http://galilee.microsoft.fr/TechDays2009/Parcours.aspx?DomID=45c57d36-0636-4d7e-815b-b9426ca5a245
- 26 février 2009 : Panorama de la cybercriminalité du Clusif - Toulouse
"Surmédiatisation des failles de sécurité"
Hervé Schauer
http://www.clusif.fr/
- 17 mars 2009 : JSSI de l'OSSIR - Paris
Animation de la table-ronde - Hervé Schauer
http://www.ossir.org/
- 1 avril 2009 : Conférence "Solutions Linux 2009" - Paris
Animation de la session sécurité - Hervé Schauer
http://www.solutionslinux.fr/
- 2 avril 2009 : Conférence "Sécurité et SI" organisée par DPM - Paris
"Politiques de sécurité" - Hervé Schauer
[Voir le site web de DPM Services]/Journee-Securite-et-SI.html
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 7. Veille en vulnérabilités HSC ]-----------------------------------
1398 14-01-2009 Vulnérabilités critiques dans le service Server de
Microsoft Windows
1399 14-01-2009 Multiples vulnérabilités dans les produits Oracle
1400 14-01-2009 Vulnérabilités multiples dans BlackBerry Enterprise Server
--[ 8. Compte rendu : Panorama Cybercriminalité 2008 - Matthieu Hentzien ]
Depuis quelques années HSC suit avec attention le panorama de la
Cybercriminalité organisé par le CLUSIF et tente de vous transmettre une
appréciation globale et d'en dégager les tendances majeures. Approche
très réductrice puisque le panorama remplit déjà cet exercice par définition.
En 2008 nous avions été un peu déçus par le manque de nouveautés. Aussi
cette année, j'avais quelques appréhensions compte tenu du faible
renouvellement des intervenants.
- François Paget de Mc Afee Averts Labs, récemment rebaptisé "Chercheur
de menaces", s'est employé à présenter les risques liés au Web 2.0 et
réseaux sociaux. La définition du Web 2.0 étant déjà très vague, une
appréciation des risques est donc un exercice hasardeux. Néanmoins François
Paget a justement signalé l'incroyable réactivité des scammers qui passent
maintenant par les réseaux sociaux comme Linkedin ou les spammers sur
Facebook. Les canaux changent mais les techniques n'ont guère évolué.
Un éclairage a été apporté sur l'exposition de plus en plus importante de
la sphère privée des individus sur Internet sans réelle perception des
conséquences.
Contrairement aux journalistes de la presse grand public, les RSSI ne
trouveront pas là de pistes à creuser. François Paget est plus pertinent
quand il emploie son expertise à présenter la menace virale ou les
logiciels malveillants, un sujet certes moins "spectaculaire", mais encore
d'actualité dans nos audits forensiques.
- Franck Veysset d'Orange Labs a animé une présentation technique traitant
du Chip Hacking et du modèle de confiance sur Internet. Cette présentation
illustrait la tendance du hacking à se (re)porter du logique au physique
avec par exemple le très médiatisé cassage de l'algorithme de chiffrement
Mifare Classic RFID.
Les applications frauduleuses sont diverses et spectaculaires : clonage de
ticket de métro ou de badge d'accès...
D'autres cas concrets comme le "cold boot" ont été rapidement présentés.
La seconde partie était consacrée aux différentes affaires qui ont fait
vaciller le modèle de confiance sur lequel est basé internet avec par
exemple la mise en lumière de la faiblesse intrinsèque de BGP.
Une nouvelle fois Franck Veysset a réalisé une présentation très
intéressante mais qui nécessiterait deux fois plus de temps pour parvenir
à vulgariser ces problématiques.
A retenir une pertinente allusion au principe de Kerckhoffs qui dénonce
la sécurité par l'obscurité. Un principe datant du 19ième siècle et qui n'a
jamais été autant d'actualité au XXIème siècle.
- Le LCL Eric Freyssinet de la Direction Générale de la Gendarmerie
nationale a entrepris une présentation visant à dresser un bref état des
lieux de la criminalité organisée et du numérique.
Cette présentation a mis en exergue cette année encore la
professionnalisation de la criminalité sur Internet. Les méthodes
d'escroquerie sur Internet rivalisent d'ingéniosité avec notamment les
contrefaçons d'anti-virus, voire de matériels d'infrastructure réseaux (!).
On regrettera néanmoins quelques redondances avec les précédents panoramas
notamment sur les services payants de DoS mais la présence des forces de
l'ordre dans ce type d'événements est à notre sens indispensable.
- Notre Directeur Hervé Schauer a pour la première fois animé une
présentation. Hervé Schauer a réagi à la surmédiatisation en 2008 de
certaines failles. Après avoir salué un rapprochement entre les médias
et le monde de la SSI, il s'est employé à tempérer certains "buzz" de
2008 autour des failles DNS et TCP. Une surmédiatisation qui a fait
ombrage à d'autres failles comme celle de Mifare précédemment exposée
par Franck Veysset ou certains avis Microsoft (la MS08-067).
Je vous invite à consulter le support et à visionner la vidéo en ligne.
- Pascal Lointier d'AIG Europe et président du CLUSIF a terminé ce panorama
par un exercice maintenant traditionnel : la revue d'incidents relayés par
les médias. Si je ne devais en retenir qu'un, ce serait celui de l'adolescent
polonais qui a provoqué le déraillement d'un tramway à l'aide d'une
télécommande infrarouge "hackée".
Un fait spectaculaire qui rejoint la tendance au hacking physique.
Cette année le panorama remplit honorablement sa fonction en mettant
à la disposition de tous des informations concrètes pour prendre des
précautions, revoir son appréciation des risques, orienter sa politique
de sensibilisation ou choisir son système d'accès RFID ;-)
Les transparents : http://www.clusif.fr/fr/infos/event/#conf090115
Les vidéos : http://www.clusif.fr/fr/infos/event/#video090115
La vidéo d'Hervé Schauer :
http://www.clusif.asso.fr/video/clusif-cybercriminalite-2008-herve-schauer.avi
--[ 9. JSSI de l'OSSIR le 17 mars ]-------------------------------------
La journée de la Sécurité des Systèmes d'Information organisée par
l'OSSIR, aura lieu désormais en mars afin d'occuper une période vide de
manifestations en sécurité. La JSSI se déroulera le mardi 17 mars 2009
à Paris à la FIAP Jean Monnet, 30 rue Cabanis 75014 Paris
(http://www.fiap.asso.fr/guide/plan_acces.htm) sur le thème : "Nouveaux
visages de l'insécurité informatique".
Le programme est le suivant :
8h30 : Accueil des participants et café offert
9h00 : Ouverture de la journée
9h05 : "Malware sur Second Life" par François Paget (McAfee)
9h50 : "Enjeux de l'e-reputation", Stéphane Koch (PGA Communication)
11h05 : "Aspects juridiques", Eric Barbry (Alain Bensoussan Avocats)
11h50 : Table Ronde, animée par Hervé Schauer (HSC) : "Quels sont les
nouveaux visages de l'insécurité informatique ?"
12h40 : Déjeuner
14h00 : "Virtualisation et sécurité", Nicolas Ruff (EADS-IW SE/IS)
14h40 : "Sécurité des plates-formes ASP/SaaS", Yann Allain (Opale Security)
15h50 : "Les rootkits navigateurs", Christophe Devaux et Julien Lenoir
(Sogeti)
16h30 : "Fonctions de condensation, domaine à la mode", Thomas Peyrin
(Ingenico)
17h10 : Conclusion de la journée
Inscription : 75 euros, et 15 euros pour les adhérents de l'OSSIR.
L'inscription est validée après réception du règlement ou du bon de
commande par courrier postal adressé à l'OSSIR, 45 rue d'Ulm, 75230 Paris
cedex 05, en prévenant de votre envoi à jssi at ossir.org
L'OSSIR ne peut pas être jointe par télécopie ou par téléphone.
Le programme détaillé sera publié prochainement sur
http://www.ossir.org/jssi2009/
--[ 10. Nouvelle formation : Développement sécurisé en PHP par la pratique ]
PHP, langage à failles de sécurité ? Comment programmer correctement
en PHP ? Comment augmenter le niveau de sécurité des applications PHP ?
La formation proposée par HSC permet à chaque stagiaire de découvrir les
types de vulnérabilités rencontrées sur les applications PHP afin
d'apprendre à implémenter un code sécurisé.
Chaque type de vulnérabilité est abordé en 4 phases :
- explication théorique ;
- présentation des risques liés à l'exploitation de la vulnérabilité ;
- présentation des méthodes permettant d'implémenter un code sécurisé ;
- travaux pratiques permettant de s'assurer de la bonne compréhension.
Chaque apprenant dispose d'un PC portable et d'une machine virtuelle
comprenant un ensemble de sites Web vulnérables avec comme principal
objectif de corriger les vulnérabilités.
Cette formation est assurée par les consultants réalisant les audits de
sécurité d'applications PHP.
La première session est à Paris du 9 au 11 février 2009.
Objectifs, public visé, formateurs et plan détaillé disponibles sur :
http://www.hsc.fr/services/formations/programmation_php.html.fr
--[ 11. Nouveau partenaire au Luxembourg ]------------------------------
HSC a un nouveau partenaire au Luxembourg : Verizon. Les formations
Verizon au Luxembourg sont commercialisées par Dimension Data Luxembourg.
HSC continuera avec ce nouveau partenaire à vous proposer ses formations
dispensées par deux consultants, en premier lieu Alexandre Fernandez-Toro
et Hervé Schauer, et toujours par des consultants expérimentés qui partagent
avec les stagiaires leur retour d'expérience dans la mise en oeuvre de
SMSI et dans l'audit de certification.
Les dates des formations à Luxembourg sont les suivantes :
ISO 27001 Lead Auditor .............. : 25 au 29 mai 2009
ISO 27005 Information Security Risk Manager : 22 au 24 juin 2009
ISO 27001 Lead Implementer .......... : 12 au 16 octobre 2009
Les prix sont identiques aux prix pratiqués à Paris et la certification
demeure celle délivrée par LSTI (www.lsti.fr).
Pour vous inscrire contactez Sylvie Favaut -- Sylvie.Favaut at eu.didata.com
Tél : +352 25 48 25 321 -- GSM : +352 621 31 20 88 -- Fax : +352 25 48 30
--[ 12. Prochaines formations HSC ]-------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
ISO 27005 Risk Manager ............... : 4 au 6 février
Développement sécurisé en PHP par la pratique: 9 au 11 février
ISO 27005 Risk Manager ............... : 18 au 20 février
Sécurité Windows .................... : 2 et 3 mars
Sécurité Unix et Linux .............. : 4 et 5 mars
Fonctionnement des PKI .............. : 6 mars
Réalisation pratique des Tests d'Intrusion : 9 au 13 mars
ISO 2000-1 Lead Auditor ............. : 16 au 20 mars
ISO 27001 Lead Auditor .............. : 23 au 27 mars
Formation RSSI ...................... : 30 mars au 3 avril
ISO 27001 Lead Implementer .......... : 6 au 10 avril
L'essentiel de l'ISO 27001 .......... : 27 et 28 avril
Gestion des mesures de sécurité ISO 27002 : 29 et 30 avril
L'essentiel de PCI-DSS .............. : 25 mai
Fondamentaux techniques de la SSI ... : 14 et 15 septembre
Gestion des identités et des accès .. : 16 au 18 septembre
- Genève (Suisse)
ISO 27001 Lead Implementer .......... : 4 au 8 mai
ISO 27001 Lead Auditor .............. : 9 au 13 novembre
La formation ISO 27005 Risk Manager prévue à Genève en février sera à Paris
- Liège (Belgique)
Sécurité des réseaux et des transmissions : 16 au 18 mars
Sécurité des serveurs et applications web : 19 et 20 mars
- Luxembourg
ISO 27001 Lead Auditor .............. : 25 au 29 mai
ISO 27005 Risk Manager .............. : 24 au 26 juin
ISO 27001 Lead Implementer .......... : 12 au 16 octobre
- Lyon
ISO 27005 Risk Manager .............. : 22 au 24 avril
ISO 27001 Lead Auditor .............. : contactez-nous
- Nice
ISO 27001 Lead Implementer .......... : 29 juin au 3 juillet
- Papeete (Tahiti)
ISO 27001 Lead Auditor .............. : 16 au 20 février
- Strasbourg
ISO 27001 Lead Auditor .............. : 9 au 13 février
- Toulouse
ISO 27001 Lead Implementer .......... : 2 au 6 mars
ISO 27005 Information Security Risk Manager : 13 au 15 mai
Pour tout renseignement, et pour vous inscrire pour toutes les villes
sauf Luxembourg, contactez Lynda Benchikh :
formations at hsc.fr -- +33 141 409 704
Pour les formations à Genève contactez également Lynda Benchikh, HSC est
désormais l'organisateur des formations à Genève.
Pour les formations à Luxembourg contactez Sylvie Favaut :
Sylvie.Favaut at eu.didata.com
Tél : +352 25 48 25 321 -- GSM : +352 621 31 20 88 -- Fax : +352 25 48 30
Rappel : pour 4 jours de formation consécutifs commandés
simultanément par la même personne, le 5ème jour est offert (sauf
formations d'une semaine et certifiantes).
Vous souhaitez des formations dans votre ville ? Contactez Hervé Schauer.
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue sur http://www.hsc.fr/services/formations/index.html.fr
--[ 13. Offres d'emplois ]----------------------------------------------
HSC recherche :
- Trois consultants débutants intéressés par la sécurité autour des normes
ISO 27001
- Deux consultants expérimentés sur l'organisation de la sécurité afin
de piloter des missions auprès de grands comptes
- Un administrateur système et réseau, webmestre et logisticien
- Un développeur Flash/XML
Au delà de ces recherches actives, tous les autres profils sont
invités à faire des candidatures spontanées. HSC recrute réellement.
Les postes sont basés à Levallois-Perret, à 5 minutes de la gare de
Paris Saint-Lazare, dans 400m2 de bureaux climatisés.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Les consultants ISO 27001 réaliseront des prestations de conseil,
d'expertise, d'audit, d'accompagnement et de formation en sécurité,
typiquement dans la mise en oeuvre et l'audit de SMSI, la gestion de
risque en sécurité de l'information, et de manière plus générale tout
ce qui touche à l'organisation de la SSI.
HSC propose un programme de 3 à 8 semaines de formations accessible à
tous les nouveaux embauchés, permettant un apprentissage sans équivalent
par des experts de chaque domaine.
L'équipe est jeune et dynamique mais aussi expérimentée, et se caractérise
également par son éthique et son indépendance qui lui donne une richesse
unique depuis 20 ans.
HSC propose des salaires très motivants, et permet des augmentations de
salaire rapides, fréquentes, et conséquentes. Diverses primes sont
également en usage. Chaque consultant qui fait ses preuves est réellement
reconnu rapidement.
Lorsqu'ils quittent HSC, en moyenne après 6 ans, les consultants ont une
très belle carrière qui s'ouvre à eux. Les anciens consultants passés chez
HSC depuis 20 ans sont là pour le démontrer sans exception.
Les candidats devront avoir un bon contact humain, une bonne qualité de
rédaction en français, et une maîtrise de l'informatique et des technologies.
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV en format texte ascii par courrier électronique à cv at hsc.fr.
Pour plus d'informations : http://www.hsc.fr/societe/recrutement.html.fr
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
HSC recherche un administrateur système et réseau, de formation BTS ou
IUT, qui soit autonome, capable de prendre des décisions rapidement en
fonction des besoins, qui sache analyser les journaux système et réseau,
ayant de bonnes compétences en système Linux, Solaris, AIX et Windows, et
routeurs CISCO. Une compétence dans les produits VMware et Asterisk (VoIP)
serait un plus.
Les tâches attribuées à ce poste seront de veiller au bon fonctionnement de
toute l'infrastructure (réseau, serveurs, sécurité périmétrique), de gérer
les sauvegardes, de veiller à la sécurité des équipements internes et
périmétriques, de gérer le web interne et le web externe. Cette dernière tâche
sera importante et une connaissance du langage WML (http://www.thewml.org/)
serait un plus. Il sera responsable de la logistique et des moyens généraux,
et préparera les salles de travaux pratiques (postes clients et
infrastructure).
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV en format texte ascii par courrier électronique à cv-admin at hsc.fr.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Dans le cadre du développement de son pôle e-learning, HSC recherche
un développeur et animateur Flash et XML. Il sera intégré au pôle e-learning
et aura à charge la conception et la réalisation multimédia sur les
productions Flash (sites, applications dynamiques et animations) dont il
prendra en charge tout ou partie de l'intégration et du développement
fonctionnel. Outre un bon niveau en programmation ActionScript (POO, Flash
dynamique via XML et AMFPHP), un intérêt ou une connaissance du
e-learning serait un plus.
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV accompagné de l'adresse de votre portfolio par courrier électronique
à cv-dvlp at hsc.fr.
--[ 14. Actualité des associations : Club 27001 et OSSIR ]--------------
o Club 27001 (http://www.club-27001.fr/)
. Les présentations de la réunion du jeudi 22 janvier sur la gouvernance
et PCI-DSS sont en ligne sur :
http://www.club-27001.fr/precedentes-reunions/precedentes-reunions-paris.html
. Prochaine réunion à Paris jeudi 19 mars
- ISO27001 dans les PME
. Prochaine réunion à Toulouse vendredi 24 avril
- Gouvernance et pilotage de la sécurité de l'information
- ITILv3 et ISO27001
o OSSIR (http://www.ossir.org/)
. L'assemblée générale du mardi 13 janvier a élu au CA Bertrand
Arquillière (animateur à Lyon), et ré-élu Jacques Beigbeder
(Trésorier), Hervé Schauer (animateur à Paris), et Franck Veysset
(Président)
. Prochaine réunion à Paris le mardi 10 février chez Sogeti
- (In)sécurité du format PDF par Sogeti
- Compte-rendu de la conférence 25C3 par Laurent Dupuy, FreeSecurity
. JSSI le 17 mars, inscrivez-vous voir programme ci-dessus paragraphe 9
. Prochaines réunions à Rennes et Toulouse fin du premier trimestre
. Première réunion à Lyon prochainement !
--[ 15. Le saviez-vous ? La réponse ]------------------------------------
La plupart des logiciels de messagerie n'envoient qu'un seul message
SMTP pour tous les destinataires, y compris ceux présents dans le champ BCC:
Dans un message non chiffré, la confidentialité du champ est assurée puisque
ces adresses SMTP ne sont utilisées que pour le transport (enveloppe), et
n'apparaissent pas dans les entêtes du message reçu finalement par les
utilisateurs, même si elles peuvent être gardées dans les journaux des
relais de messagerie.
Lorsqu'un courriel est chiffré par S/MIME, le client de messagerie effectue
les actions suivantes :
- génération d'une clé de chiffrement symétrique pour AES ou 3DES
- chiffrement du corps du message et des attachements
- pour chaque destinataire listé (y compris les BCC:) : récupération du
certificat X509 qui lui est associé, puis chiffrement RSA avec la clé
publique du certificat de la clé AES ou 3DES.
- création d'une enveloppe PKCS#7, comprenant :
· pour chaque destinataire : l'émetteur du certificat utilisé, le
numéro de série du certificat, puis la clé symétrique chiffrée ;
· le contenu chiffré du message.
Ainsi un message chiffré pour un destinataire généré par l'autorité
de certification
/C=FR/ST=Hauts de Seine/L=Levallois/O=Herve Schauer Consultants/CN=HSC/
emailAddress=kw at hsc.fr contiendra la structure :
...
137 12: SET {
139 10: SEQUENCE {
141 3: OBJECT IDENTIFIER commonName (2 5 4 3)
146 3: PrintableString 'HSC'
: }
: }
151 24: SET {
153 22: SEQUENCE {
155 9: OBJECT IDENTIFIER
: emailAddress (1 2 840 113549 1 9 1)
166 9: IA5String 'kw at hsc.fr'
: }
: }
: }
177 1: INTEGER 58
: }
180 13: SEQUENCE {
182 9: OBJECT IDENTIFIER rsaEncryption (1 2 840 113549 1 1 1)
193 0: NULL
: }
195 128: OCTET STRING
: 5D 94 47 67 34 6E 70 84 DB F6 50 74 EC 71 77 3B
...
L'entier "58" étant le numéro de série du certificat du destinataire.
En examinant l'ensemble des séquences emetteur/sn/rsaEncryption, il est
donc possible de récupérer les CA émettrices ainsi que le numéro
de série dans la CA de chaque destinataire.
Si ces certificats sont déja connus ou sont accessibles dans la PKI,
il devient donc possible de connaître par bijection avec le numéro
de série, l'ensemble des destinataires du message, y compris ceux placés
dans le champ BCC (pour lesquels le chiffrement a été également appliqué).
Il est possible d'examiner cette structure facilement, en utilisant
openssl et dumpasn1, avec la commande prenant le message brut
(avec en-têtes) en entrée :
openssl smime -pk7out | openssl pkcs7 -outform der | dumpasn1 -
Cette opération ne nécessite pas de déchiffrer le message et est donc
réalisable par un tiers intercepteur.
Cette rupture de confidentialité (bien sûr d'impact limité) affecte au
moins ThunderBird, Mutt, Windows Live Mail.
Le même problème se pose également avec PGP/GPG : les KeyID de tous
les destinataires du message se retrouvent dans le message chiffré
et peuvent être visualisés avec gpg -v.
-- AT.
Plus d'informations sur la liste de diffusion newsletter