[Newsletter HSC] N°55 - Mars 2009
Newsletter d'information de HSC
newsletter at hsc-news.com
Lun 2 Mar 14:59:33 CET 2009
========================================================================
HSC Newsletter -- N°055 -- Mars 2009
========================================================================
"Le pessimisme de la connaissance n'empêche pas l'optimisme de la volonté"
[ Antonio Gramsci ]
--[ Sommaire ]----------------------------------------------------------
1. Editorial
2. Le saviez-vous ? La question
3. Compte-rendu du Fosdem 2009
4. Compte-rendu des Microsoft Techdays 2009
5. Prix de l'Innovation des Assises de la Sécurité
6. Nouveautés du web HSC
7. Agenda des interventions publiques
8. Veille en vulnérabilités HSC
9. JSSI de l'OSSIR le 17 mars
10. Prochaines formations HSC
11. Offres d'emploi, 6 postes à pourvoir !
12. Actualité des associations : Club 27001 et OSSIR
13. Le saviez vous ? La réponse
--[ 1. Editorial - Hervé Schauer ]--------------------------------------
Le test d'intrusion (TI) n'est pas une prestation reproductible,
ni comparable. Chaque prestation est unique. Elle dépend du consultant
qui la fait, de sa compétence, de son expérience. Mais aussi de son
humeur, de son intuition du moment, de sa persévérance donc de l'heure
de la journée et de son dernier repas. Le test d'intrusion une fois fait
est lui reproductible, mais le même consultant qui teste la même application
à deux moments différents ne garantit pas la reproductibilité. Deux
consultants intrusant la même application web ne trouveront pas toujours
les mêmes failles. Il est donc normal que certains TI intrusent et pas
d'autres, c'est pour cela qu'il faut travailler en équipe, prendre son
temps, et retester plusieurs jours de suite, sans être trop limité par le
temps ni stressé par un délai de remise de rapport.
Il est cependant toujours possible de faire des statistiques et de
constater qu'une équipe réussit mieux qu'une autre.
Quand les tests d'intrusion deviennent reproductibles et comparables
c'est qu'ils n'intrusent pas. Ces tests d'intrusion qui n'intrusent jamais
se sont développés sur le marché, ce sont des tests qui n'intrusent jamais
car ils répondent à un besoin de conformité.
Historiquement le test d'intrusion répondait à un besoin d'amélioration
de la sécurité, à un contrôle de la bonne mise en oeuvre des règles
de sécurité, à un audit de la manière dont les concepteurs et développeurs
de l'application avaient travaillé, et à un objectif de transparence et
de progrès. Mais maintenant il existe des tests dont les résultats ne
demandent pas de travail, rien à corriger, ce sont ces tests d'intrusion
de conformité qui n'intrusent jamais rien. Ils sont là pour faire joli,
pour remonter des trucs sympas à la direction générale, avec des
graphismes qui ne représentent rien mais sont conçus par des professionnels
payés à plein temps pour faire de la couleur.
Pour SoX ou SAS70, pour PCI-DSS, pour sa maison-mère, pour pléthore
de référentiels, et pour son grand chef, il faut montrer que l'on a fait
réaliser un test d'intrusion. Mais, on ne veut surtout pas que ce test
démontre des vulnérabilités qui demanderaient une correction auprès du
programmeur, ou qui imposeraient la mise en oeuvre d'un dispositif de
sécurité.
Cet effet "tampon" de certains TI ne me semble pas faire avancer la
sécurité. Bien au contraire, il développe l'image d'une fausse sécurité.
Il est préférable de revenir aux bases, avec un minimum de bon
sens et de réflexion en passant par une gestion de risques SI, et avec
l'objectif de réduire les risques et d'améliorer sa situation.
C'est l'intelligence et le progrès que la norme ISO 27001 formalise.
Dans un SMSI selon l'ISO 27001, le test d'intrusion est une mesure de
sécurité pour réduire les risques, pour corriger les erreurs, pour
apprendre, pour s'améliorer, pour progresser. Pas pour gagner des tampons,
ou les sourires de la direction.
--[ 2. Le saviez vous ? La question ]-----------------------------------
Est-il possible de savoir à distance si les mots de passe d'une
application (PHP|Rails|...)/MySQL sont stockés en clair ?
--[ 3. Compte-rendu du Fosdem 2009 - Christophe Alladoum ]--------------
Comme chaque année, la communauté des développeurs du Logiciel
Libre s'est réunie à Bruxelles pour l'un des plus grands
événements d'Europe, le FOSDEM, pendant le week-end du 7 et 8
février 2009. De nombreux thèmes y ont été abordés : système,
administration, réseau, sécurité, afin que chacun satisfasse sa
curiosité.
Cette année, certaines conférences faisaient littéralement salle
comble. Parmi les conférences les plus prisées du samedi, se
trouve "Reverse Engineering of Network Protocol", par Rob
Savoye. Il y expliquait sa démarche pour créer Gnash en reversant
le protocole propriétaire d'Adobe RTMP (Real-Time Messaging
Protocol) à partir de l'analyse des traces réseau avec
Wireshark ou nGrep, l'isolation des motifs (des "patterns")
hexadécimaux pour reconstituer les headers des paquets. Cela
incluait également un reverse engineering sur les binaires de
Flash fournis par Adobe©. Rob décrivait les conditions pour faire
du bon reverse engineering, jusqu'au choix d'un environnement
dans lequel on se plaise ! La partie Questions & Réponses s'est
beaucoup axée sur le thème de la législation américaine autour de
l'analyse d'application et de protocole propriétaire, au point de
faire avouer à Rob que pour faire du bon reversing, il vaut mieux
ne pas être américain !
La Sécurité n'était pas en reste avec des conférences plus ou
moins techniques : la conférence de l'OWASP (Open Web Application
Security Project), présentée par Matteo Meucci était assez générale
quant aux tests d'intrusion sur les applications Web. Il y
présentait le travail de recherche en vulnérabilités dans le
domaine de la sécurité des applications Web. Les différentes
approches ont été expliquées : de la démarche en aveugle (black box),
à la white box en passant par la grey box. Suite à cela, il a
cerné les étapes d'une attaque réseau, de la récupération
d'information à l'élévation des privilèges en passant par
l'exploitation d'une faille. Enfin, il a passé en revue les
failles les plus courantes et exploitables pour une intrusion
Web, comme les Cross-Site Scripting (XSS) par réflexion ou
permanents, les injections SQL, appuyant chaque méthode par un
outil (de l'OWASP) permettant d'automatiser l'exploitation de la
faille.
L'une des meilleures conférences orientées Sécurité fut présentée
par Victor Stinner qui introduisait son "Fusil", plate-forme de
fuzzing. Pour bien comprendre la philosophie de "Fusil", il est
revenu sur la notion de fuzzing et son application pour tester la
robustesse d'un programme/d'un protocole, en y injectant des
données aléatoires, pour évaluer sa capacité de réaction sur des
valeurs non conformes selon trois méthodes de fuzzing :
le pur aléatoire ; l'injection de faute dans des données valides ;
et la création de tronçon aléatoire conforme aux spécifications.
Fusil est donc une plateforme permettant de créer des fuzzers pour
des applications ou des protocoles réseaux (par exemple avec
HTTP, pour tester un navigateur Web comme IE ou Firefox).
Côté système, les conférences offraient également un large
choix. Parmi les plus importantes fut la conférence présentée par
H. Peter Anvin sur son "one-night hacking" SysLinux, et plus
généralement sur le Dynamic Bootloading. SysLinux est un ensemble
de bootloaders de différents types (PxeLinux, bootloader réseau ;
SysLinux, bootloader pour système FAT ; IsoLinux pour CD-Rom,
etc.), et est aisément modulable par des APIs fournis. La
caractéristique principale de SysLinux est qu'il découvre le
système au boot et non à l'installation d'un OS, comme le font
Grub ou Lilo. Il est donc très pratique par exemple pour les
LiveCD, ou CD d'installation d'une distribution, car il permet de
booter sur un noyau stable avant d'installer un OS sur le
disque. PxeLinux est né de la collaboration entre le projet
Etherboot et SysLinux pour créer un bootloader réseau complet,
supportant de nombreux protocoles (DNS, DHCP, TFTP, HTTP, ...)
pour permettre de récupérer dynamiquement sur son poste un
kernel situé à plusieurs milliers de kilomètres.
L'autre grosse conférence "Système" fut orienté autour du nouveau
système de gestion de fichiers Ext4, déployé en standard à partir des
noyaux Linux 2.6.28. Animé par un 'kernel hacker' de longue date,
Theodore Ts'o, cette conférence a décrit les limites d'Ext3 et leur
solution dans Ext4. Alors, exit Ext3 et sa taille limite de 16To,
ses 32000 répertoires possibles... Ext4 pallie tout cela en
permettant la gestion d'un FS jusqu'à 1 Eo (et une taille
maximale de 16To par fichier) en ajoutant un bloc d'indirection
de 48 bits. Ext4 ajoute également quelques fonctionnalités fort
appréciables, comme la pré-allocation d'inodes ou la
défragmentation à chaud. Ext4 est un bon compromis pour mettre au
goût du jour son filesystem, en attendant BTRFS, prochain FS des
noyaux linux, encore en version alpha.
--[ 4. Compte-rendu des Microsoft Techdays 2009 - Benjamin Arnault ]----
Les 10, 11 et 12 février derniers les Microsoft Techdays 2009 ont
eu lieu au Palais des Congrès de Paris. Cet évènement national a
couvert un large ensemble de domaines IT : développement,
administration, virtualisation et sécurité. L'édition 2009 de
l'évènement a été l'occasion d'aborder les futurs systèmes
d'exploitation Windows (7, 2008 R2 et Azure) ainsi que les innovations
telles que le système Surface pour écrans tactiles mais aussi les
considérations "Green IT" et le développement durable. HSC était
présent pour couvrir l'événement et s'est intéressé à la sécurité du
Windows 7 et de son alter ego serveur : Windows Server 2008 R2.
Windows 7 est le successeur de Windows Vista comme système
d'exploitation pour poste client. Son architecture se base en grande
partie sur ce dernier, comme en témoigne le numéro de version du
système (6.1, Vista est identifié comme la version 6.0). Ainsi, toutes
les fonctionnalités de sécurité introduites dans Windows Vista se
retrouvent dans Windows 7 : le développement SDL, le Kernel Patch
Protection, Service Hardening, DEP, ASLR et MIC. L'UAC est toujours
présent avec la possibilité de le configurer plus finement. Le niveau
défini par défaut impose moins d'actions d'approbations à
l'utilisateur, certaines actions d'administration ne nécessitant plus
d'approbation. Cette configuration a fait parler d'elle récemment. En
effet, la modification du paramétrage de l'UAC fait partie de ces
actions. Cela permettait de désactiver l'UAC à l'insu de l'utilisateur
et ainsi de lancer des processus avec des privilèges élevés sans
attirer l'attention. Microsoft a annoncé que ce comportement serait
modifié dans les futures versions de Windows 7 pour que toute
modification de la configuration de l'UAC exige l'approbation de
l'utilisateur. Par ailleurs, le nouveau modèle d'audit introduit avec
Windows Vista évolue avec la possibilité de définir les politiques
d'audit via les politiques de groupe (GPO) et le Global Access Auditing
qui permet le suivi des accès à un groupe de ressources. Cet ajout a
été motivé par les demandes croissantes de suivi des actions émanant
des exigences de conformité (comme SOX ou Bâle II).
L'infrastructure de sécurité réseau du système est enrichie. Le
pare-feu Windows offre désormais la possibilité de définir plusieurs
profils actifs en même temps en fonction du réseau auquel le système
est connecté. Cette fonctionnalité est accompagnée d'un API de
développement permettant de remplacer tout ou une partie des profils
par des modules tiers. Par ailleurs, toutes les RFC de DNSSEC sont
implémentées dans Windows 7 et 2008 R2. Enfin, afin d'assurer une
connectivité sécurisée au système d'information de manière transparente
(sans VPN), Microsoft propose Direct Access. Cette fonctionnalité
s'appuie sur IPv6 et IPSec, afin d'assurer la connectivité de bout en
bout. (Si IPv6 n'est pas disponible, Teredo, 6to4 ou isatap, peut être
utilisé sur IPv4.) Le système est ainsi connecté au SI à tout instant,
quelque soit le réseau auquel est connecté la machine. Cela permet
l'application constante de GPO. De plus, le mécanisme de quarantaine
NAP peut être associé à Direct Access. Mais, pour tirer parti de ce
dernier il sera nécessaire d'utiliser exclusivement des clients Windows
7 dans un domaine, un serveur 2008 pour Direct Access et si la
connectivité de bout en bout est souhaitée, des serveurs métier sous
Windows Server 2008.
Les autres améliorations se situent au niveau de la protection des
utilisateurs et des données.
Tout d'abord, Windows 7 introduit le successeur des Software
Restriction Policies : Applocker. Son objectif est la standardisation
des applications de l'entreprise par l'élimination des applications non
désirées. La configuration s'appuie sur des règles d'autorisation et de
blocage sur les applications. En ce qui concerne la navigation
Internet, Internet Explorer 8 s'appuiera sur la version 7 mais ira plus
loin car il sera compilé avec DEP et NX (initiative envisagée pour IE7
qui ne sera finalement pas implémentée pour des raisons de
compatibilité avec les plugins du navigateur). "SmartScreen" permet la
vérification de sites web par une demande à une base de données
distante. Si le site est identifié comme malveillant, l'utilisateur est
prévenu par une page avec un fond rouge. De plus, deux nouveaux
mécanismes font leur apparition Inprivate Browsing and Blocking.
Inprivate Browsing permet l'effacement de l'historique de navigation et
Inprivate Blocking s'intéressera aux mécanisme de tracking mis en place
par les sites afin de réduire les fuites d'information sur les
habitudes de navigation. Des améliorations intéressantes que l'on aura
pu, pour la plupart, déjà rencontrer dans d'autres navigateurs.
La protection des données est assurée par trois mécanismes RMS, EFS
et Bitlocker. RMS est l'implémentation de la gestion de droits
numériques. EFS, la fonctionnalité de chiffrement proposée pour NTFS
s'adjoint la possibilité de stocker les clés de l'utilisateur sur carte
à puce. Enfin, Bitlocker permet le chiffrement de l'ensemble des
partitions contrairement à Windows Vista. Bitlocker To Go quant à
lui s'intéresse au chiffrement des supports de stockage amovibles. Il
permet un certain contrôle par la possibilité de restreindre
l'utilisation des seuls supports qui auront été chiffrés avec Bitlocker
To Go ou seuls ceux dont la clé de recouvrement est dans l'entreprise.
Il est à noter que l'identification biométrique est désormais
supportée nativement par le système.
Seulement deux ans après l'arrivée de Windows Vista, Windows 7 est
déjà présenté et même proposé aux tests du public. Microsoft souhaite
s'appuyer sur les points forts de Windows Vista et aller de l'avant. Le
système d'exploitation client actuel n'a pas connu l'adoption escomptée ;
une certaine catégorie d'utilisateurs préférant toujours Windows XP
ou s'étant tournée vers les félins (Mac OS X) ou les manchots (Linux).
Les informations actuelles (une RC pour bientôt, l'annonce des bons
permettant aux acheteurs de postes avec Windows Vista de pouvoir
bénéficier gratuitement d'une mise à jour vers Windows 7) incitent à
penser que la sortie de Windows 7 est proche de nous. Microsoft s'est
efforcé de penser la sécurité du système à toutes les étapes du
développement et sur toutes les fonctionnalités du système avec le SDL.
En 2008, Windows a connu des failles importantes : en particulier celle
du bulletin MS08-067, pour n'en citer qu'une. Mais, dans ce cas précis,
la réaction du géant de Redmond a mis en avant sa volonté de service
aux utilisateurs de ces systèmes : information complète et tenue à jour
(sur le Technet, les blogs sécurité et la newsletter) et correctif de
sécurité publié et annoncé (parfois directement aux clients grands
comptes par téléphone le jour de la sortie du correctif). Espérons que
cette démarche se généralise, perdure et soit adoptée par d'autres
éditeurs...
--[ 5. Prix de l'Innovation des Assises de la Sécurité ]----------------
Pour la 4ème année consécutive sera décerné le Prix de l'Innovation
des Assises de la Sécurité. Les Assises se dérouleront à Monaco du
7 au 10 octobre 2009. Le comité de sélection du Prix 2009 est composé de :
Hervé Schauer, HSC, animateur du comité de sélection
Didier Gras, RSSI Groupe BNP Paribas, co-animateur
Jean Capron, RSSI France, Philips
David Crochemore, FSSI, Ministère de la Justice
Yvon Klein, RSSI, CNES
Thierry Olivier, Responsable Sécurité du SI, SFR
Benoît Perrot, Directeur d'investissement, ACE Management
Sylvain Thiry, RSSI Groupe SNCF
Alexandre Zapolski, Président Directeur Général Linagora
Réda Zitouni, CEO Mobiquant (société lauréate en 2008)
Ce prix permet à une entreprise innovante dans le domaine de la
sécurité des systèmes d'information de bénéficier d'un accès aux Assises
de la Sécurité afin de démontrer son produit ou son service, avec la
remise du prix en séance plénière le vendredi 9 octobre 2009, un espace
d'exposition et un atelier.
Les critères utilisés par le comité de sélection sont notamment :
- Le caractère innovant et nouveau de la solution présentée
- Les innovations technologiques de la solution
- L'intérêt pour les RSSI et métiers associés
- L'état d'avancement du projet
Le règlement complet et le dossier de candidature sont disponibles
en téléchargement sur le site des Assises, rubrique Prix de l'Innovation :
http://www.lesassisesdelasecurite.com/accueil/prix.aspx
ou le site du Cercle de la Securite : http://www.lecercle.biz/home/prix.aspx
Le dossier complet doit être envoyé sous format électronique avant le
30 mai 2009 à l'adresse prixinnovation at lesassisesdelasecurite.com.
N'hésitez pas à renvoyer cette annonce et à faire part de votre intérêt
à candidater auprès d'Hervé Schauer ou de Didier Gras.
--[ 6. Nouveautés du web HSC ]------------------------------------------
- "Normes ISO27001 / ISO27001 - Principes de base et aspects techniques"
Présentation de Benjamin Arnault aux Microsoft Techdays, le 11 février 2009.
http://www.hsc.fr/ressources/presentations/techdays2009-27001-27002/index.html.fr
- "Virtualisation et sécurité"
Présentation de Julien Raeis à l'Espace RSSI du Clusif le 13 février 2009.
http://www.hsc.fr/ressources/presentations/clusif-virtualisation/index.html.fr
--[ 7. Agenda des interventions publiques ]-----------------------------
- 17 mars 2009 : JSSI de l'OSSIR - Paris
Animation de la table-ronde - Hervé Schauer
http://www.ossir.org/
- 26 mars 2009 : Forum virtualisation organisé par CIO - Paris
"Virutalisation et sécurité" - Hervé Schauer ou un autre consultant
http://www.it-news-info.com/invitation/virtualisation2009/invit_virtualisation2009.html
- 1 avril 2009 : Conférence "Solutions Linux 2009" - Paris
Animation de la session sécurité - Hervé Schauer
http://www.solutionslinux.fr/
- 2 avril 2009 : Conférence "Sécurité et SI" organisée par DPM - Paris
"Politiques de sécurité" - Hervé Schauer
[Voir le site web de DPM Services]/Journee-Securite-et-SI.html
- 4 juin 2009 : SSTIC 2009 - Rennes
Conférence invitée : "La norme ISO 27001" - Alexandre Fernandez-Toro
http://www.sstic.org/SSTIC09/programme.do
- 12 juin 2009 : Clusir Aquitaine - Bordeaux
"La norme de gestion de risques en sécurité de l'information ISO 27005" -
Hervé Schauer
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 8. Veille en vulnérabilités HSC ]-----------------------------------
1401 06-02-2009 Déni de service dans Squid
1402 11-02-2009 Deux vulnérabilités critiques dans Microsoft Exchange
1403 11-02-2009 Vulnérabilités critiques dans SQL Server, Internet
Explorer 7 et Visio
1404 18-02-2009 Vulnérabilité dans sudo
1405 23-02-2009 Vulnérabilité critique dans Adobe Acrobat et Adobe Reader
1406 27-02-2009 Vulnérabilité dans Microsoft Excel
1407 27-02-2009 Vulnérabilité dans Adobe Flash Player
--[ 9. JSSI de l'OSSIR le 17 mars ]-------------------------------------
La journée de la Sécurité des Systèmes d'Information organisée par
l'OSSIR, aura lieu désormais en mars afin d'occuper une période vide de
manifestations en sécurité. La JSSI se déroulera le mardi 17 mars 2009
à Paris à la FIAP Jean Monnet, 30 rue Cabanis 75014 Paris
(http://www.fiap.asso.fr/guide/plan_acces.htm) sur le thème : "Nouveaux
visages de l'insécurité informatique".
Le programme est le suivant :
8h30 : Accueil des participants et café offert
9h00 : Ouverture de la journée
9h05 : "Malware sur Second Life" par François Paget (McAfee)
9h50 : "Enjeux de l'e-reputation", Stéphane Koch (PGA Communication)
11h05 : "Aspects juridiques", Eric Barbry (Alain Bensoussan Avocats)
11h50 : Table Ronde, animée par Hervé Schauer (HSC) : "Quels sont les
nouveaux visages de l'insécurité informatique ?", avec François
Paget, Stéphane Koch, Eric Barbry, et des RSSI.
12h40 : Déjeuner
14h00 : "Virtualisation et sécurité", Nicolas Ruff (EADS-IW SE/IS)
14h40 : "Sécurité des plates-formes ASP/SaaS", Yann Allain (Opale Security)
15h50 : "Les rootkits navigateurs", Christophe Devaux et Julien Lenoir
(Sogeti)
16h30 : "Fonctions de condensation, domaine à la mode", Thomas Peyrin
(Ingenico)
17h10 : Conclusion de la journée
Inscription à la journée, repas et pauses inclues :
- 15 euros pour les adhérents de l'OSSIR
- 30 euros pour étudiants
- 75 euros sinon
L'inscription est validée après réception du règlement ou du bon de
commande par courrier postal adressé à l'OSSIR, 45 rue d'Ulm, 75230 Paris
cedex 05, en prévenant de votre envoi à jssi at ossir.org
L'OSSIR ne peut pas être jointe par télécopie ou par téléphone.
Le programme détaillé est disponible sur http://www.ossir.org/jssi2009/
--[ 10. Prochaines formations HSC ]-------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
Réalisation pratique des Tests d'Intrusion : 9 au 13 mars (complet)(*)
ISO 20000-1 Lead Auditor ............ : 16 au 20 mars
ISO 27001 Lead Auditor .............. : 23 au 27 mars (complet)
Formation RSSI ...................... : 30 mars au 3 avril
ISO 27001 Lead Implementer .......... : 6 au 10 avril
ISO 27001 Lead Auditor .............. : 20 au 24 avril
Indicateurs et tableaux de bord SSI ... : 24 avril
L'essentiel de l'ISO 27001 .......... : 27 et 28 avril
Gestion des mesures de sécurité ISO 27002 : 29 et 30 avril
L'essentiel de PCI-DSS .............. : 25 mai
ISO 27005 Risk Manager .............. : 2 au 4 juin
ISO 27001 Lead Implementer .......... : 8 au 12 juin
Réalisation pratique des Tests d'Intrusion : 22 au 26 juin (*)
Fondamentaux techniques de la SSI ... : 14 et 15 septembre
Gestion des identités et des accès .. : 16 au 18 septembre
DNS par la pratique .................. : 26 octobre (*)
Postfix par la pratique ............ : 27 octobre (*)
Lutte contre le spam par la pratique . : 28 octobre (*)
Fonctionnement des PKI ............... : 29 octobre
Sécurité de la VoIP .................. : 30 octobre
Sécurité des serveurs et applications web : 5 et 6 novembre
Sécurité du WiFi et des réseaux sans-fil : 18 novembre
(*) : formations pratiques avec un ordinateur par stagiaire
- Genève (Suisse)
ISO 27001 Lead Implementer .......... : 4 au 8 mai
ISO 27001 Lead Auditor .............. : 9 au 13 novembre
- Liège (Belgique)
Sécurité des réseaux et des transmissions : 16 au 18 mars
Sécurité des serveurs et applications web : 19 et 20 mars
- Luxembourg
ISO 27001 Lead Auditor .............. : 25 au 29 mai
ISO 27005 Risk Manager .............. : 24 au 26 juin
ISO 27001 Lead Implementer .......... : 12 au 16 octobre
- Lyon
ISO 27005 Risk Manager .............. : 22 au 24 avril
ISO 27001 Lead Implementer ........... : 22 au 26 juin
- Nice
ISO 27001 Lead Implementer .......... : 29 juin au 3 juillet
- Toulouse
ISO 27001 Lead Implementer .......... : 2 au 6 mars (reste 1 pl)
ISO 27005 Information Security Risk Manager : 13 au 15 mai
Pour tout renseignement, et pour vous inscrire pour toutes les villes
sauf Luxembourg, contactez Lynda Benchikh :
formations at hsc.fr -- +33 141 409 704
Pour les formations à Luxembourg contactez Sylvie Favaut :
Sylvie.Favaut at eu.didata.com
Tél : +352 25 48 25 321 -- GSM : +352 621 31 20 88 -- Fax : +352 25 48 30
Rappel : pour 4 jours de formation consécutifs commandés
simultanément par la même personne, le 5ème jour est offert (sauf
formations d'une semaine et certifiantes).
Vous souhaitez des formations dans votre ville ? Contactez Hervé Schauer.
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue sur http://www.hsc.fr/services/formations/index.html.fr
--[ 11. Offres d'emplois ]----------------------------------------------
HSC recherche :
- Trois consultants débutants intéressés par la sécurité autour des normes
ISO 27001
- Un(e) consultant(e) expérimenté(e) sur l'organisation de la sécurité afin
de piloter des missions auprès de grands comptes
- Un administrateur système et réseau, webmestre et logisticien
Au delà de ces recherches actives, tous les autres profils sont
invités à faire des candidatures spontanées. HSC recrute réellement.
Les postes sont basés à Levallois-Perret, à 5 minutes de la gare de
Paris Saint-Lazare, dans 400m2 de bureaux climatisés.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Les consultants ISO 27001 réaliseront des prestations de conseil,
d'expertise, d'audit, d'accompagnement et de formation en sécurité,
typiquement dans la mise en oeuvre et l'audit de SMSI, la gestion de
risque en sécurité de l'information, et de manière plus générale tout
ce qui touche à l'organisation de la SSI.
HSC propose un programme de 3 à 8 semaines de formations accessible à
tous les nouveaux embauchés, permettant un apprentissage sans équivalent
par des experts de chaque domaine.
L'équipe est jeune et dynamique mais aussi expérimentée, et se caractérise
également par son éthique et son indépendance qui lui donne une richesse
unique depuis 20 ans.
HSC propose des salaires très motivants, et permet des augmentations de
salaire rapides, fréquentes, et conséquentes. Diverses primes sont
également en usage. Chaque consultant qui fait ses preuves est réellement
reconnu rapidement.
Lorsqu'ils quittent HSC, en moyenne après 6 ans, les consultants ont une
très belle carrière qui s'ouvre à eux. Les anciens consultants passés chez
HSC depuis 20 ans sont là pour le démontrer sans exception.
Les candidats devront avoir un bon contact humain, une bonne qualité de
rédaction en français, et une maîtrise de l'informatique et des technologies.
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV en format texte ascii par courrier électronique à cv at hsc.fr.
Pour plus d'informations : http://www.hsc.fr/societe/recrutement.html.fr
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
HSC recherche un administrateur système et réseau, de formation BTS ou
IUT, qui soit autonome, capable de prendre des décisions rapidement en
fonction des besoins, qui sache analyser les journaux système et réseau,
ayant de bonnes compétences en système Linux, Solaris, AIX et Windows, et
routeurs CISCO. Une compétence dans les produits VMware et Asterisk (VoIP)
serait un plus.
Les tâches attribuées à ce poste seront de veiller au bon fonctionnement de
toute l'infrastructure (réseau, serveurs, sécurité périmétrique), de gérer
les sauvegardes, de veiller à la sécurité des équipements internes et
périmétriques, de gérer le web interne et le web externe. Cette dernière tâche
sera importante et une connaissance du langage WML (http://www.thewml.org/)
serait un plus. Il sera responsable de la logistique et des moyens généraux,
et préparera les salles de travaux pratiques (postes clients et
infrastructure).
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV en format texte ascii par courrier électronique à cv-admin at hsc.fr.
--[ 12. Actualité des associations : Club 27001 et OSSIR ]--------------
o Club 27001 (http://www.club-27001.fr/)
. Les présentations de la réunion du jeudi 22 janvier sur la gouvernance
et PCI-DSS sont en ligne sur :
http://www.club-27001.fr/precedentes-reunions/precedentes-reunions-paris.html
. Prochaine réunion à Paris jeudi 19 mars au Crédit Immobilier
- ISO27001 dans les PME par Nicolas Mayer et Thierry Valdevit (Centre
de recherche public Henri Tudor - Luxembourg)
- Seconde presentation en cours de confirmation
. Prochaine réunion à Toulouse vendredi 24 avril à la CNAMTS
- Gouvernance et pilotage de la sécurité de l'information
- ITILv3 et ISO27001
o OSSIR (http://www.ossir.org/)
. Prochaine réunion à Paris le mardi 10 mars
- Virtual Browser par Daniel Fages, CommonIT
- Retour d'experience sur PCI/DSS par Frédéric Charpentier, XMCO
Partners
. JSSI le 17 mars, inscrivez-vous voir programme ci-dessus paragraphe 9
. Les supports de la réunion à Toulouse du 27 février seront prochainement
en ligne sur www.ossir.org
. Prochaines réunions à Rennes fin du premier trimestre
. Première réunion à Lyon prochainement !
--[ 13. Le saviez-vous ? La réponse ]------------------------------------
Oui et non ! Il est possible selon l'implémentation du code de savoir
si les mots de passe sont stockés en clair dans la base.
Prenons l'exemple PHP suivant :
if (!isset($_GET['login']) or !isset( $_GET['pass']))
die("Echec");
$sql = "SELECT login FROM users1 WHERE login='";
$sql .= mysql_real_escape_string($_GET["login"],$db)."' and ";
$sql .= "pass='".mysql_real_escape_string($_GET["pass"],$db)."';";
$res = mysql_query($sql);
if (!$res ){
echo mysql_error();
}
else {
$array = mysql_fetch_assoc($res);
if ($array['login'] == $_GET['login'])
echo "Succes";
else
echo "Echec";
}
Ici les mots de passe sont stockés en clair dans la base et il
est possible de le découvrir...
Comme vous le savez probablement, la comparaison de chaînes de
caractères est par défaut non sensible à la casse dans MySQL,
contrairement à la plupart des autres bases de données. Ainsi, les
requêtes :
mysql> SELECT login FROM users1 WHERE login='admin' and
pass='admin';
et
mysql> SELECT login FROM users1 WHERE login='admin' and
pass='aDmIn';
donnent le même résultat.
Ainsi dans notre cas précédent, l'accès aux pages :
http://server.php/login.php?login=admin&pass=admin
et
http://server.php/login.php?login=admin&pass=aDmIn
donnent le même résultat: Succes. Ce qui correspond à une
application stockant les mots de passe en clair.
Si un hashage du mot de passe était réalisé pour la comparaison du
mot de passe soumis avec la valeur stockée (à condition que le
hashage donne deux résultats diffèrents pour 2 casses différentes),
l'authentification renverrait un échec car (par exemple en PHP) :
mojo% php -a
Interactive shell
php > echo md5("admin");
21232f297a57a5a743894a0e4a801fc3
php > echo md5("aDmIn");
1275c5327848d529c5e392f6146b0e7a
ne donnent pas le même résultat. Donc, si un chiffrement est effectué
avant la comparaison, 2 chaînes avec des casses distinctes ne
donneront pas le même résultat.
Cependant, il est possible d'avoir des faux négatifs, pour cela, il
suffit que la comparaison des 2 mots de passe soit réalisée par le
langage de développement et non par MySQL.
Enfin, ce fonctionnement est reproductible en ajoutant des espaces
en fin de chaîne car :
mysql> SELECT login FROM users1 WHERE login='admin' and
pass='admin ';
et
mysql> SELECT login FROM users1 WHERE login='admin' and
pass='admin';
donnent également le même résultat.
C'est à dire l'accès à la page :
http://server.php/login.php?login=admin&pass=admin%20%20%20%20%20
permet tout de même de s'authentifier.
Il est cependant possible de forcer la sensibilité à la casse sur
les comparaisons de chaînes :
mysql> SELECT login FROM users1 WHERE login= BINARY 'admin';
ou
mysql> SELECT login FROM users1 WHERE login='admin' collate latin1_bin;
- Louis Nyffenegger
Plus d'informations sur la liste de diffusion newsletter