[Newsletter HSC] N°59 - Juillet 2009
Newsletter d'information de HSC
newsletter at hsc-news.com
Mer 1 Juil 16:05:48 CEST 2009
========================================================================
HSC Newsletter -- N°059 -- juillet 2009
========================================================================
"Ce qui compte ce n'est pas le vote, c'est comment on compte les votes."
[ Staline ]
--[ Sommaire ]----------------------------------------------------------
1. Editorial
2. Le saviez vous ? La question
3. Compte-rendu du SSTIC 2009
4. Appel à communication : 3ème conférence "SMSI et normes ISO 27001"
5. Nouveau web "www.hsc-formation.fr"
6. Nouveautés du web HSC
7. Agenda des interventions publiques
8. Veille en vulnérabilités HSC
9. Nouvelle formation : "Gérer la sécurité du SI avec les tiers"
10. Prochaines formations HSC
11. Offres d'emploi
12. Actualité des associations : Club 27001 et OSSIR
13. Le saviez vous ? La réponse
--[ 1. Editorial - Hervé Schauer ]--------------------------------------
Cette Newsletter propose un (long) compte-rendu du SSTIC, aussi
j'ai reporté nos prochains éditoriaux aux prochaines newsletters afin
d'éviter de surcharger !
--[ 2. Le saviez vous ? La question ]-----------------------------------
A quoi correspondent les caractères '.' ou '*' en début de ligne rencontrés
parfois en sortie de la commande "show clock" sur IOS ?
--[ 3. Compte-rendu du SSTIC 2009 ]-------------------------------------
par Nicolas Collignon, Olivier Dembour, Yves Le Provost, Julien Raeis
L'édition 2009 de SSTIC s'est déroulée à Rennes du 3 au 5 juin 2009.
Plus de 450 professionnels de la sécurité, étudiants et curieux du domaine
s'étaient donc donnés rendez-vous afin de suivre les dernières évolutions de
l'état de l'art de la sécurité informatique.
Après une brève introduction à cette session par les nouveaux
responsables du SSTIC, Pascal Andrei (Directeur de la sécurité aérienne chez
Airbus) a pris la parole pour la traditionnelle "keynote". Pour cause
d'actualité, Pascal Andrei n'a pas eu l'autorisation de diffuser de
présentation et a donc du se contenter d'un compte-rendu oral de cette
dernière. Il commence par quelques définitions : la sécurité aérienne
("safety") est le fait de concevoir un avion pour qu'il soit conforme à la
réglementation et éviter les accidents alors que la sûreté aérienne
("security") concerne les actes malveillants et vise à protéger à la fois
l'appareil, les passagers et l'environnement de l'avion comme les éléments
au sol par exemple.
Les menaces, du point de vue sûreté, ont beaucoup évolué ces dernières
années : certes la sûreté physique est toujours fortement représentée
(bombes, passagers clandestins, détournements d'avion, etc.), mais les
événements électromagnétiques et les menaces informatiques commencent à
prendre une part de plus en plus prépondérante dans le cahier des charges de
la conception des systèmes d'un avion.
Notamment, les ordinateurs à bord sont très communiquant avec
l'extérieur et utilisent des protocoles standards (TCP/IP par exemple). En
particulier, les pilotes disposent d'un ordinateur relié à Internet en ligne
pour leur courrier électronique par exemple, tournant sous Windows, mais
cloisonné (en théorie) du réseau de l'avion.
Jean-Louis Lanet a présenté une attaque sur les Java Card permettant de
casser le modèle de sécurité Java. L'attaque présentée concerne les cartes
Java n'intégrant pas de vérificateur de "bytecode". Le vérificateur de code
est à l'extérieur de la carte Java. L'objectif de l'attaque est de casser
le typage Java afin de pouvoir contourner les mécanismes de sécurité.
Techniquement, l'exploitation de la vulnérabilité consiste à éditer
les tables de relocations afin de modifier les appels aux instructions
"getstatic" et "putstatic". Cette modification permet dans un premier temps
d'obtenir l'adresse du code Java malveillant dans la mémoire de la carte.
Puis dans un second temps, l'exécution de "bytecode" arbitraire devient
possible. Au lieu d'exécuter un code malveillant, un simple remplacement
de quelques octets peut s'avérer très efficace. Jean-Louis Lanet nous
a montré un exemple avec le remplacement d'une instruction censée générer
une exception lorsque le code PIN entré par l'utilisateur n'est pas valide.
La technique d'exploitation n'est pas fonctionnelle sur toutes les Java
Card, et certaines "se suicident" dès qu'elles sont exploitées..
Une contre-mesure basée sur la vérification d'une somme de contrôle au
niveau des branches de code a par ailleurs été proposée.
Florent Marceau (Lexsi) a présenté un outil dédié à l'extraction et
l'analyse automatique de logiciels malveillants en émulant l'exécution du
programme afin d'intercepter toutes les entrées/sorties au niveau mémoire.
L'objectif est de mettre en place un système de marqueurs qui permet de suivre
l'évolution d'un malware en mémoire. Le concept utilisé ici est le "Data
tainting" qui permet la traçabilité de la propagation d'une donnée.
Des marqueurs sont initialement placés sur le "malware". L'émulation du
code permet d'ajouter et de faire suivre les marqueurs dans ce dernier au
fur et à mesure que l'exécution progresse. L'approche est assez efficace
bien que l'outil soit encore expérimental. Le principal problème de cette
approche est la nécessité de stocker un très grand nombre de données
intermédiaires. Ainsi une trace supérieur à 1 To est envisageable pour un
code complexe.
Le but de la présentation effectuée par Alexandre Gazet et Yoann Guillot
(Sogeti) est de simplifier un maximum la décompilation d'un binaire
pour en obtenir quelque chose qui sera le plus lisible possible. Cette
simplification s'effectue en plusieurs étapes et en utilisant metasm
(metasm.cr0.org).
La première étape d'optimisation s'effectue en supprimant les codes morts,
en propageant les constantes et en effectuant en amont certains calculs.
Cela permet de simplifier le code tout en gardant la sémantique. Une
démonstration montre qu'une simplification sur du code de plusieurs pages ne
se réduit finalement qu'à quelques lignes. L'étape suivante utilise entre
autre la conceptualisation des instructions virtualisées pour retrouver les
séries d'instructions natives avec une sémantique équivalente. La dernière
étape est effectuée dans le but de traduire le code assembleur restant, en
langage C, ce qui va le rendre bien plus lisible.
Marc Dacier (Symantec) a ensuite présenté Wombat, un projet de recherche
collaboratif ayant pour but de mieux comprendre les menaces et les méthodes
d'attaques des logiciels malveillants, sous forme de pot de miel centralisé.
Des sondes sont réparties sur un ensemble de machines collectant le maximum
d'informations sur les attaques pour les stocker dans une base
centralisée. Ces sondes simulent un certain nombre de services afin de
se faire passer pour de véritables machines. Chaque attaque est
envoyée sur un serveur central (sample factory) qui est responsable de
déterminer si cette attaque semble nouvelle. Dans ce cas celle-ci est
transmise à un deuxième serveur (shellcode handler) permettant de
vérifier le caractère malveillant de la requête.
Ceci permet de définir des modèles de logiciels malveillants en
définissant des chemins utilisés par ceux-ci. Les chemins non utilisés
expirent au delà de 10 jours, ceci permet d'en avoir un nombre relativement
constant. Par ailleurs, la durée de vie d'un chemin est de 141 jours pour
la majorité du trafic (77% des attaques) mais peut descendre jusqu'à une
semaine dans 6% des attaques.
Enfin, contrairement aux idées reçues, le fait de posséder de nombreuses
adresses IP ne permet pas de "voir" toutes les attaques circulant sur
Internet. En effet certains réseaux précis voient des attaques qui ne
seront jamais envoyées sur d'autres.
Loïc Duflot (DCSSI) nous montre ensuite le résultat de ses travaux sur
l'informatique de confiance. En particulier, il décrit le fonctionnement
d'Intel TxT qui limite la zone de confiance le plus possible, excluant le
BIOS.
Il démontre ensuite une élévation de privilèges obtenue simplement en
branchant/débranchant un câble d'alimentation de portable, s'appuyant alors
sur l'ACPI pour obtenir des droits élevés.
Après quelques rappels sur l'architecture x86 et les méthodes pour
accéder à la mémoire et aux périphériques (MMIO, PIO, PCI, etc.), Loïc Duflot
explique comment piéger les tables ACPI ou la SMI afin de faire exécuter du
code malveillant privilégié sur une machine, même après un redémarrage à
chaud, en inférant l'adresse SMBASE où est située la SMRAM.
Christophe Devine (Thales) présente le travail qu'il a effectué avec
Guillaume Vissian sur les attaques par le BUS PCI. Tout comme les
périphériques Firewire, une carte PC CARD (ou PCMCIA) peut accéder librement
à la mémoire physique sans qu'un contrôle soit possible par le système
d'exploitation.
Pour exploiter cette faille les auteurs ont programmé une
PC Card spécifique équipée d'un FPGA. Afin de bien comprendre tous les
mécanismes ils ont réécrit totalement la simulation d'un processeur dans
cette puce avec des opcodes bien particuliers. Il n'ont pas encore eu le
temps de développer le compilateur associé, le programme d'exploitation a
donc du être écrit directement en binaire.
Au final l'insertion de la carte dans un ordinateur portable permet de
manière totalement furtive de désactiver les fonctions de contrôle de
winlogon.exe permettant à un attaquant de déverrouiller une session
utilisateur. Une fois la session re-vérrouillée une nouvelle insertion de la
carte remettra le système dans son état original.
Alexandre Fernandez-Toro a présenté l'ISO 27001 sans tabou, d'une manière
décomplexée et en expliquant bien les diverses façons de l'appréhender.
Après de brefs rappels sur la norme : son modèle, les différentes normes de
la série ISO2700x, il nous présente les deux grandes manières d'application
de la norme qu'il a constatées.
Le premier cas concerne les entreprises qui veulent un label 27001 comme
un trophée supplémentaire : elles se certifient parce qu'il faut le faire
mais sans réelle conviction, ce qui en général donne une mauvaise
application de l'ISO 27001 et ne tend pas a améliorer la sécurité. Le
deuxième cas concerne les entreprises dont le fonctionnement prenait déjà en
compte de bonnes pratiques, et dont la transition vers l'ISO 27001 est
presque naturelle : les écrits sont déjà faits, les procédures déjà
établies.
Alexandre répond ensuite aux 5 questions en détaillant selon ces deux
cas. Sur la question, "à quoi ça sert ?", dont la réponse conventionnelle
est à piloter la sécurité, à apprécier les risques, etc, lui répond que
c'est plutôt en terme d'image ou de valorisation de l'entreprise, ou même
que c'est au service de la carrière de celui qui implémente le SMSI. A
savoir si cela contribue à améliorer la sécurité, il apparaît que le temps
est nécessaire pour en voir les effets. Les domaines impactés par la norme
sont la sécurité physique, le PCA, les habilitations, etc. La dernière
question fait office de conclusion, sur l'utilité réelle de la norme : la
rationalisation de la sécurité, son intégration dans la nouvelle gouvernance
de l'entreprise, et surtout à servir de socle de base.
Ari Takanen est une personne historique dans le domaine du fuzzing, à
l'origine de la suite PROTOS qui a permis de découvrir des vulnérabilités
dans le décodage de l'ASN1.
Cette conférence, la seule à être en anglais, avait pour but de faire un
historique du fuzzing et les évolutions actuelles. L'auteur a également
précisé que contrairement aux idées reçues les fuzzers actuels, pour être
efficaces, sont de moins en moins aléatoires. Ainsi les outils possèdent une
certaine dose d'intelligence afin de bien comprendre les protocoles utilisés
et ainsi d'obtenir un maximum de performance lors de la recherche de
vulnérabilités. Ari donnera également par le suite des pistes pour les
chercheurs souhaitant développer un fuzzer pour leurs besoins spécifiques.
La présentation suivante concerne également le fuzzing et est présentée
par Gabriel Campana qui, après un rappel succinct sur le fuzzing et ses
concepts, nous présente un outil permettant de l'automatiser et surtout de
cibler les données à tester.
Fuzzgrind, s'appuie sur Valgrind et STP. Son but est de découvrir, en
exécutant le programme à tester, quelles données sont pertinentes à essayer.
Pour cela, il travaille en trois temps : exécution du programme cible,
résolutions des contraintes et création des nouvelles entrées. La résolution
des contraintes s'effectue en testant pour chacune des conditions et boucles
du programme, c'est-à-dire en passant dans tous les chemins possibles, de
découvrir les bornes des données en entrées. Une fois effectuées, les
données à tester sont générées à partir de ses bornes. Cela permet de cibler
beaucoup plus rapidement les tests.
La présentation se termine par une démonstration de résolution d'un
"crackme", résultant en la découverte du mot de passe demandé.
Laurent Butti (Orange Labs) a présenté les recherches effectuées
sur les protocoles utilisés dans UMA (Unlicensed Mobile Access). Cette
technologie permet à un utilisateur de continuer de bénéficier des
fonctions GSM d'un téléphone connecté au réseau sans fil de son domicile.
Ses travaux de recherches se sont orientés plus précisément sur les
protocoles d'authentification : IKEv2 et EAP. Ces derniers ont été fuzzés
mettant en évidence des faiblesses, le plus souvent des dénis de service,
dans les solutions libres mais également commerciales
Après un rappel de l'état actuel des connaissances concernant la
sécurité des différents systèmes d'exploitation pour les smartphones, Romain
Raboin a présenté les différents moyens d'exécuter un programme sur Windows
Mobile. Ce système essaye par exemple d'exécuter des programmes de type
"autorun" à chaque fois qu'une carte mémoire est insérée ou éjectée.
ActiveSync permet l'envoi et l'exécution de programme sur le smartphone.
Avant l'exécution du programme, Windows Mobile fait plusieurs vérifications :
politique de sécurité et certificat utilisé pour signer le programme.
Romain a montré comment modifier la politique de sécurité de Windows Mobile
afin de pouvoir exécuter silencieusement (sans afficher de boîte de dialogue
d'avertissement) un programme malveillant sur le téléphone. La technique
consiste à utiliser une fonction non documentée (CeProcessConfig) de l'API
ActiveSync. En modifiant la politique de sécurité, une application
malveillante peut ainsi être exécutée discrètement sans être signée par un
certificat autorisé.
Un aperçu du marché des "backdoors" et "rootkits" commerciaux
disponibles pour smartphone a également été présenté. On notera qu'une des
solutions commerciales consiste à envoyer sur un serveur Web de l'éditeur,
toutes les données capturées sur le téléphone de la victime. Les données
envoyées ne sont évidemment pas chiffrées.
Une conférence assez amusante sur la forme, moins sur le fond puisqu'il
s'agit de remonter à l'origine de la diffusion potentiellement illégale
d'une oeuvre artistique multimédia (film, musique, etc.). Le principe est
de tatouer les flux de manière imperceptible pour ne pas être visible lors
de leurs utilisations, et de pouvoir remonter à l'utilisateur responsable de
la fuite initiale.
La conférence commence par une présentation des codes anti-collusions.
Le principe est d'utiliser un code anti-collusion basé sur la cryptographie
et les statistiques pour remonter à le ou les utilisateurs responsables de
la diffusion.
La deuxième partie traite du tatouage, permettant de résister à la
compression DivX. L'utilisation de toutes les parties non utilisées (car non
perceptibles par un oeil humain), pour y stocker des clés, permet ensuite de
retrouver des informations modulo le taux de compression. En effet, plus la
compression est élevée, plus les pertes sur les clés sont importantes, mais
la qualité du film s'en ressent également. De l'analyse du film compressé,
il en ressort une classification de probabilités de "traîtres" qui évolue
suivant les paramètres "nombres d'information stockées" et "compression
utilisée".
Marie Barel évoque cette année encore la vision juridique de la
sécurité. La présentation commence par un cas concret sur le vol
d'information par une stagiaire, qui en ayant un accès à la boite courriel
de son patron, peut grâce a cette accréditation là, accéder a beaucoup
d'autres données critiques.
Elle revient ensuite sur la définition du mot "vol" au sens de la loi
française. Celle-ci ne retient que le coté matériel de l'acte, les
informations étant par définition une chose immatérielle, elles ne rentrent
pas dans cette logique.
Elle explique ensuite les différentes jurisprudences permettant de faire
évoluer le droit au fur et à mesure vers les problématiques actuelles de
reconnaissance de ce vol.
Eric Lacombe, décrit ensuite ses travaux de recherche en virtualisation
assistée par le matériel, pour protéger l'espace noyau d'actions
malveillantes. La première partie traite des différentes attaques
effectuées sur le noyau. Les vecteurs d'attaques utilisent généralement les
fonctionnalités systèmes (SMM, chargement de modules), le DMA, ou les
différentes failles pouvant être présentes. Commence ensuite une partie
beaucoup plus technique. L'approche se base sur les Kernel-constraint Object
qui sont des ensembles d'éléments du noyau (registres, variables d'état,
etc.) dont l'intégrité doit être conservée. Cette contrainte est maintenue
au niveau matériel, par un hyperviseur léger (hytux) créé pour les besoins.
Son but est de contrôler l'état du noyau, en regardant si IDTR est modifié,
ou en interceptant les "page faults".
Ensuite Nicolas Ruff (EADS) a fait un récapitulatif des vulnérabilités
publiées ou découvertes lors de ses audits. Ceci pour montrer que les
failles dans la conception des logiciels ainsi que les erreurs de
programmation ne cessent d'apparaître après des années de sensibilisation.
Le projet SEC&SI (Système d'Exploitation Cloisonné et Sécurisé pour
l'Internaute), présenté par Loïc Duflot (DCSSI), est à l'initiative de
l'Agence Nationale de la Recherche (ANR) et a pour but de concevoir un
système d'exploitation sécurisé, utilisable par n'importe quel internaute
moyen ("Mme Michu"). Trois équipes concourent pour construire ce système
en 2 ans, tout en respectant un cahier des charges précis.
Les trois équipes engagées ont ensuite tour à tour présenté leur projet :
Tout d'abord, le projet OSOSOSOS (OS^4), basé sur Debian GNU/Linux, propose
une solution à base de Linux-vserver couplé avec le patch grsecurity. Le
principe est ici de créer des environnements de navigation contrainte :
plusieurs profils de Firefox existent, chacun étant exécuté dans un
environnement de type "bac à sable".
Le deuxième projet est SAFE-OS, basé également sur Debian GNU/Linux (lenny),
mais utilisant cette fois les propriétés de virtualisation de Xen pour
séparer les environnements. L'élément hôte (dom0) est complètement isolé des
autres, et ne sert qu'à démarrer l'environnement sécurisé. Les éléments
invités (domU) sont ensuite démarrés avec chacun leur rôle particulier
(navigation web, courrier électronique, etc.). La communication
inter-environnement est réalisée au travers de SSH et de VNC pour le déport
d'affichage.
Enfin, le troisième candidat est SPACLik, développé autour de SELinux,
modifié pour pouvoir faire fonctionner le serveur X sans problème, le tout
sur un système Gentoo. La segmentation des processus est ici réalisée
entièrement par le modèle de sécurité prévu dans SELinux.
Pierre Gardenat revient sur la problématique des XSS, avec notamment une
présentation des possibilités de ces attaques : enregistrement des commandes
clavier, scan de ports, accès au presse-papiers, on peut également avoir un
canal de contrôle à l'aide du XSS.
Un petit clin d'oeil amusant au site MySpace qui demande de ne pas
mettre de balises <script>, ce qui en a démangé plus d'un évidemment !
Enfin une petite démonstration de défiguration du site du SSTIC, en direct,
à l'aide d'un XSS...
Frédéric Raynal (Sogeti) nous présente un panel de vulnérabilités
découvertes dans des interpréteurs de documents PDF. Le PDF est un format
dynamique, contrairement à de nombreuses idées reçues. En particulier, il
est possible d'intégrer de nombreuses actions et même d'y exécuter du code
JavaScript. L'orateur nous démontre ensuite un virus en PDF, exécutant du
code dans l'environnement de la victime.
Ensuite, il évoque le principe de signature d'un document PDF et
l'ensemble de la chaîne de confiance sous-jacente. Un fichier peut être
signé et embarquer le certificat correspondant. La signature est alors
vérifiée lors de l'ouverture du document. Ce dernier peut également se voir
"certifier", c'est-à-dire que le certificat est placé dans le magasin de
l'utilisateur, et offre l'utilisation de JavaScript privilégié. Enfin un
fichier peut être signé par Adobe afin d'étendre les fonctionnalités du
lecteur de PDF. L'auteur évoque d'ailleurs à demi-mot la présence de la clé
privée d'Adobe dans les binaires.
Pour conclure, Frédéric Raynal expose les possibilités d'exécution de
code au travers des greffons PDF des navigateurs et notamment celles faisant
appel à des connexions réseau. Ainsi, il est possible d'effectuer des
requêtes HTTP au travers de l'action "SubmitForm", avec comme effet de bord
l'envoi des Cookies relatifs au site ciblé. L'orateur démontre enfin
l'utilisation d'une connexion SMB afin de compromettre un domaine Windows en
utilisant le principe du "Pass-the-Hash" pour s'authentifier aux machines
cibles.
Philippe Prados (Atos) a présenté Macaron, une porte dérobée développée en
Java permettant à un attaquant de prendre la main sur un serveur hébergeant
une application vulnérable. L'idée est de déposer une porte dérobée qui
sera la plus discrète possible, voire invisible lors de l'audit du code
source. Celle-ci peut-être insérée à l'aide d'une archive malveillante et
être déployée, par exemple, à l'insu de l'application originale. La porte
dérobée pourrait être déclenchée par divers mécanismes comme la surcharge
des fonctions appelées par l'application.
Une fois l'attaque déclenchée, le pirate se trouve connecté, au
travers du navigateur, à divers interpréteurs de commandes. Ceux présentés
(kndi, jmx, shell, java) permettent une interaction très simple avec le
système ou la base de données.
Suite à ses recherches, l'auteur a proposé quelques correctifs à SUN
afin de renforcer les contrôles lors de l'accès à certaines ressources, mais
il n'a pas reçu de réponse.
Guillaume Prigent et Fabrice Harrouet ont présenté un outil dont
l'objectif est de tromper l'attaquant, en faisant en sorte que les outils
de prises d'empreintes de systèmes d'exploitation fournissent un résultat
erroné avec une parfaite certitude. Les outils de prise d'empreintes actifs
et passifs sont visés : nmap, sinfp et p0f.
L'outil est basé sur une interface réseau TAP. Les paquets réseau sont
traités en mode utilisateur pour faciliter la programmation. IpMorph est
capable de prendre en entrée les règles de prises d'empreintes des outils
d'attaque. L'outil semble bien fonctionner mais la vraie question est de
savoir s'il présente un intérêt réel dans un environnement de production. En
effet l'outil est orienté "sécurité par l'obscurité. Il est plus souvent
facile de déterminer le système d'exploitation au niveau applicatif.
Après un bref rappel sur la différence entre l'analyse statique et
l'analyse dynamique de code, Julien Defossez (Révolution Linux) nous
présente plusieurs méthodes utilisées pour protéger un binaire Linux de la
rétro-ingénierie : chiffrement de binaire, détection de points d'arrêt,
détection de ptrace(), etc. L'auteur présente ensuite le fruit de son
travail, Kolumbo, développé sous la forme d'un module noyau pour Linux. Le
fonctionnement de cet outil repose sur le suivi et l'interception des appels
système ("int 0x80" ou "sysenter/sysexit").
Par exemple, Kolumbo peut être configuré pour intercepter l'appel à
ptrace() et renvoyer systématiquement la valeur "1" lors d'un appel de type :
ret = ptrace(PTRACE_TRACEME, 0, 0x1, 0);
Ceci permet notamment de passer outre les protections détectant si un
processus est en cours de débogage. Le module va alors permettre à des
outils existants de fonctionner et de déboguer (pour gdb ou strace
notamment) des programmes protégés sous Linux afin d'en étudier le
comportement sans contrainte, ce qui pourrait se révéler utile dans le cadre
d'analyse de logiciels malveillants.
Antoine Joux (DGA/Université de Versailles) revient sur l'utilisation
des processeurs des cartes graphiques grand public (GPGPU) dans le cadre de
calculs mathématiques. Dans ce domaine, le parallélisme a fait son
apparition depuis maintenant quelques années, avec l'avènement des
processeurs multi-coeurs notamment, mais aussi avec les cartes graphiques
dont les fondeurs proposent des API de programmation (CUDA pour Nvidia par
exemple).
L'auteur a introduit un cas concret d'utilisation de GPGPU pour
optimiser la résolution d'un problème mathématique : la multiplication de
matrices booléennes. Son cas prend en compte une matrice 32x32, tout d'abord
optimisée pour n'exploiter qu'un seul entier de 32 bits pour désigner une
ligne. Les opérations élémentaires d'addition et de multiplications sont
ensuite remplacées par des décalages de bits et des ou exclusifs, beaucoup
moins gourmands. Le gain est déjà notable puisque le temps de calcul est
divisé par un facteur 4. L'utilisation de CUDA va encore améliorer le temps
de calcul en le réduisant à une fraction de seconde seulement, soit près de
40 fois moins que l'implémentation originale.
Antoine Joux conclut en évoquant les autres domaines où les GPGPU
peuvent être employés avec succès et notamment celui de la recherche
exhaustive de mots de passe. MD5 et SHA-1 ont d'ailleurs leur implémentation
CUDA optimisée et des produits (commerciaux ou non) les intègrent déjà.
Enfin la dernière présentation technique concernait les émanations
compromettantes électromagnétiques des claviers filaires et sans fil,
résultat de l'étude de Martin Vuagnoux et Sylvain Pasini de
l'EPFL. Après un bref récapitulatif des moyens d'écoutes depuis la fin
des années 1800, l'auteur nous explique comment, à l'aide d'un USRP
(équipement radio numérique) et d'une antenne de taille impressionnante
il est possible d'écouter un clavier à distance grâce aux
interférences électromagnétiques. Le but de l'attaque étant
de récupérer au moins 95% des touches sur 500 caractères.
Lors de leurs tests des problèmes d'isolation de masse on permis aux
chercheurs situés dans la cave d'un immeuble d'écouter un clavier
présent au 5ème étage. De plus la présence de plusieurs claviers ne
perturbe pas l'attaque car l'horloge interne de ces derniers n'est
jamais précisément à la même fréquence. Il est même possible de les
isoler.
Les constructeurs commencent à s'intéresser au problème ; une des
parades serait de réduire la vitesse des fronts montant ou descendant
lors de l'envoi de bits d'information.
Une démonstration est disponible à l'adresse suivante :
http://lasecwww.epfl.ch/keyboard/
--[ 4. Appel à communication : 3ème conférence "SMSI et normes ISO 27001" ]--
Appel à communication pour la troisième conférence "SMSI et normes
ISO 27001" organisée par le club 27001.
Le Club 27001 (http://www.club-27001.fr/), association à but non lucratif,
organise à Paris le jeudi 19 novembre 2009 sa troisième conférence annuelle
autour des normes ISO 27001.
Voici les thèmes sur lesquels nous attendons des propositions, sans que
ceux-ci soient exhaustifs :
- Retours d'expérience dans l'utilisation des normes
. Mise en oeuvre d'une des normes
. Usage sans certification
. Organisations certifiées
. Retours d'expérience à l'étranger
- Mise en oeuvre d'un SMSI
. ISO 27003, reprise de l'existant
. Comment engager la direction générale
. Systèmes de Management Intégrés (ISO 9001, 14001, 20000-1, etc.)
ou SMSI séparé ?
. Mise en place d'audits internes
. Utilisation de l'ISO 19011 et ISO 27006
- Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
ISO 20000-1 / ITIL, BS25599, CobiT, PCI-DSS, SoX, Bâle II, Solvency II,
RGS (DGME/DCSSI), etc.
. Mutualisation, opposition, complémentarité, déclencheur, ...
. Gouvernance de la sécurité, de l'IT, de la gestion des risques
- Gestion des risques pour un SMSI
. Retour d'expérience de la méthode normalisée ISO 27005
. Implication des métiers
. Calcul du risque
. Intégration dans la gestion de risques opérationnels, financiers, etc.
. Usage de l'ISO 27005 dans les projets
. Migration EBIOS ou Mehari vers ISO 27005
- Construction d'indicateurs ou de métriques pour un SMSI
. ISO 27004
. Liens avec d'autres référentiels
- Certification et audits de SMSI
. Expérience des accréditeurs, des organismes de certification, des
auditeurs et des audités.
- Applications sectorielles : télécommunications, santé, etc
. Utilité et usage du référentiel appliqué à un métier
- Formation et certifications individuelles
. Comment et pourquoi se former aux SMSI ?
Les propositions doivent faire part d'un retour d'expérience pratique
et ne doivent pas être la présentation d'une offre de service, d'un
produit ou plus généralement d'une solution commerciale. Le comité de
programme sera sensible à l'aspect pratique des propositions.
Les présentations feront de 35 à 45 minutes et seront en français ou en
anglais.
Contenu des soumissions à envoyer à conference at club-27001.fr :
- Nom de l'auteur, biographie et affiliation
- Synopsis d'une page de l'intervention avec un plan de celle-ci
Calendrier
- 10 juillet 2008 : date limite de réception des soumissions
- 18 septembre 2008 : notification aux auteurs et
publication du pré-programme
- 10 octobre 2008 : publication du programme définitif
- 13 novembre 2008 : réception des présentations
- 19 novembre 2008 : conférence
Le comité de programme est composé des membres de l'association élus au
conseil d'administration, soit :
- Nicolas Andreu, Devoteam
- Bertrand Augé, Kleverware, trésorier
- Gérôme Billois, Solucom
- Dominique Ciupa, Bull
- Eric Doyen, Crédit Immobilier, président
- Emmanuel Garnier, Systalians, vice-président
- Catherine Guelou, CRAM-Bretagne
- Loic Guézo, IBM
- Bruno Michaud, Trans-Z
- Freddy Milesi, Sekoia
- Anne Mur, Edelweb
- Dominique Pourcellié, CNAM-TS
- Hervé Schauer, HSC, secrétaire
- Jérôme Vivier, Thales
--[ 5. Nouveau web "www.hsc-formation.fr" ]-----------------------------
HSC lance son nouveau site web : http://www.hsc-formation.fr/
A l'occasion du lancement du e-learning, et afin d'apporter une plus
grande clarté et lisibilité, HSC lance un nouveau site web dédié à
l'offre formation et e-learning. Cela va permette d'alléger le site
web d'HSC www.hsc.fr, qui regroupe l'offre de conseil, d'audit
technique et organisationnel, de tests d'intrusions et d'accompagnement
en SSI.
HSC propose deux formations en e-learning, disponibles en ligne sur
Internet et en intra-entreprise sur votre plate-forme e-learning :
* E-learning ISO 27001
http://www.hsc-formation.fr/e-learning/iso_27001.html.fr
* E-learning Programmation sécurisée en PHP
http://www.hsc-formation.fr/e-learning/programmation_php.html.fr
Démonstration disponible sur :
http://www.hsc-formation.fr/e-learning/ordi_php.swf
Les e-learnings HSC sont entièrement développés en Flash. Ils incluent
pour chaque module des activités d'enseignement, d'apprentissage et de
validation des acquis.
Rendez-vous sur http://www.hsc-formation.fr/
--[ 6. Nouveautés du web HSC ]------------------------------------------
- Présentation "Shell over DTMF" par Nicolas Collignon
le 4 juin 2009 lors de la session rump du SSTIC
http://www.hsc.fr/ressources/presentations/sstic09_rump_alambix/
Avec vidéos de démonstration
- Présentation "Intrusion Web par Smartphone" par Yves Le Provost
le 4 juin 2009 lors de la session rump du SSTIC
http://www.hsc.fr/ressources/presentations/sstic09_rump_smartphone/
Avec vidéos de démonstration
- Présentation "5 questions sur la vraie utilité de l'ISO 27001" par
Alexandre Fernandez-Toro le 4 juin 2009, conférence invitée au SSTIC
http://www.hsc.fr/ressources/presentations/sstic09_ISO27001
- Présentation "RGS (Référentiel Général de Sécurité)" par Emeric Laroche
le 11 juin 2009 au groupe de travail du Club 27001
http://www.hsc.fr/ressources/presentations/club-27001-RGS/
- Présentation "Sécurité distribuée : la réponse des RSSI" par Raphaël
Marichez le 12 juin 2009 au Séminaire Aristote
http://www.hsc.fr/ressources/presentations/aristote-2009/
- Présentation "Méthode de gestion des risques ISO 27005" par Hervé Schauer
le 12 juin 2009 au Clusir-Aquitaine
http://www.hsc.fr/ressources/presentations/netclu09-27005/
Avec schéma de modélisation des processus et activités de la méthode
ISO 27005 avec leurs entrées/sorties :
http://www.hsc.fr/ressources/presentations/netclu09-27005/HSC-Modelisation-ISO27005.pdf
- Présentation "Sécurité des systèmes d'information : les enjeux 2009-2010"
par Hervé Schauer le 23 juin 2009 à la journée CIO, pour le compte du Clusif
http://www.hsc.fr/ressources/presentations/it-news-info-clusif09/
--[ 7. Agenda des interventions publiques ]-----------------------------
- 2 juillet 2009 : Université du SI - Paris
Conférence invitée : "Sécurité & Gouvernance du SI : peut-on mixer "pari
de la maîtrise" et "pari de la confiance" ? " - Hervé Schauer
http://usi2009.universite-du-si.com/
- 8 septembre 2009 : OSSIR Paris
"Compte-rendu de la conférence Blackhat USA 2009" - Christophe Alladoum
et Julien Raeis
http://www.ossir.org/
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 8. Veille en vulnérabilités HSC ]-----------------------------------
1424 10-06-2009 Vulnérabilités distantes dans Active Directory et le
service d'impression de Microsoft
1425 10-06-2009 Vulnérabilités locales dans les systèmes Microsoft
1426 10-06-2009 Vulnérabilités critiques dans Microsoft Office et Internet
Explorer
--[ 9. Nouvelle formation : "Gérer la sécurité du SI avec les tiers" ]--
Comment gérer les relations avec les tiers qui interagissent avec la
sécurité de l'information ?
Tout organisme a des relations de plus en plus étroites avec des tiers,
qu'ils soient fournisseurs, partenaires, clients, autorités de tutelle, etc.
Les tiers sont de plus en plus impliqués dans des applications critiques
ou des données vitales pour son organisme.
Cette formation explique comment mettre en oeuvre une démarche étape
par étape, pour formaliser les engagements et les échanges qui encadreront
la sécurité du SI durant le cycle de vie d'un projet ou d'un service
entre un organisme et ses tiers, en incluant notamment :
- Appréciation des risques afin de déterminer les impacts sécurité et
les mesures nécessaires pour autoriser l'accès aux informations ou
aux moyens de traitement à des tiers.
- Rédaction du Plan d'Assurance Sécurité
- Rédaction des engagements de service (SLA) dédiés sécurité
- Moyens de contrôle par les audits et les indicateurs constituant
son tableau de bord
Afin de fournir une méthodologie fondée sur des référentiels internationaux,
les aspects reliés à la problèmatique de de gestion de la sécurité du SI
avec les tiers des séries de normes ISO 27000 et ISO 20000 sont présentés,
de même que ISO 19011 pour l'audit.
La formation intègre des exercices pratiques, basés sur l'expérience
des consultants. Les exercices présentent des situations aussi bien du
côté client que fournisseur avec des plans de livrables et un catalogue
d'indicateurs sécurité pragmatiques.
Durée : 3 jours
Formateurs : Elisabeth Manca, responsable de la formation
Raphael Marichez et Hervé Schauer
Première session à Paris du 26 au 28 octobre 2009.
http://www.hsc-formation.fr/formations/gestion_SSI_tiers.html.fr
--[ 10. Prochaines formations HSC ]-------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
ISO 27005 Risk Manager .............. : 1 au 3 juillet
ISO 27001 Lead Auditor .............. : 6 au 10 juillet
ISO 27005 Risk Manager .............. : 31 aout au 2 septembre
Essentiels de l'ISO 27001 ............ : 3 et 4 septembre
ISO 27001 Lead Implementer .......... : 7 au 11 septembre
ISO 20000-1 Lead Auditor ............. : 7 au 11 septembre
Fondamentaux techniques de la SSI ... : 14 et 15 septembre
Gestion des identités et des accès .. : 16 au 18 septembre
ISO 27001 Lead Auditor .............. : 21 au 25 septembre
ISO 27005 Risk Manager .............. : 28 au 30 septembre
Mesures de sécurité ISO 27002 ........ : 1 et 2 octobre
Formation RSSI ....................... : 5 au 9 octobre
Réalisation pratique des Tests d'Intrusion : 12 au 16 octobre (*)
ISO 27001 Lead Implementer .......... : 19 au 23 octobre
Gérer la sécurité du SI avec les tiers : 26 au 28 octobre
DNS par la pratique .................. : 26 octobre (*)
Postfix par la pratique ............. : 27 octobre (*)
Lutte contre le spam par la pratique . : 28 octobre (*)
Fonctionnement des PKI ............... : 29 octobre
Sécurité de la VoIP .................. : 30 octobre
Sécurité des réseaux et des transmissions : 2 au 4 novembre
Sécurité des serveurs et applications web : 5 et 6 novembre
Sécurité Unix et Linux ............... : 9 et 10 novembre
Sécurité Windows ..................... : 12 et 13 novembre
Réalisation pratique des Tests d'Intrusion : 16 au 20 novembre (*)
Certification ISO 27001 .............. : 16 novembre
Mutualisation ISO 27001/autres référentiels : 17 novembre
Sécurité du WiFi et des réseaux sans fil : 18 novembre
Indicateurs et tableaux de bord SSI .. : 20 novembre
Essentiels de PCI-DSS ................ : 1er décembre
(*) : formations pratiques avec un ordinateur par stagiaire
- Genève (Suisse)
ISO 27001 Lead Auditor .............. : 9 au 13 novembre
- Luxembourg
ISO 27001 Lead Implementer .......... : 12 au 16 octobre
ISO 27001 Lead Auditor .............. : fin 2009
ISO 27005 Risk Manager .............. : début 2010
- Lyon
ISO 27001 Lead Implementer ........... : 21 au 25 juin 2010
- Nantes
ISO 27005 Risk Manager .............. : 16 au 18 septembre
- Strasbourg
ISO 27001 Lead Implementer .......... : 22 au 26 février 2010
- Toulouse
ISO 27005 Information Security Risk Manager : 16 au 18 novembre
ISO 27001 Lead Auditor .............. : 1 au 5 mars 2010
Pour tout renseignement, et pour vous inscrire pour toutes les villes
sauf Luxembourg, contactez Lynda Benchikh :
formations at hsc.fr -- +33 141 409 704
Pour les formations à Luxembourg contactez Sylvie Favaut :
Sylvie.Favaut at eu.didata.com
Tél : +352 25 48 25 321 -- GSM : +352 621 31 20 88 -- Fax : +352 25 48 30
Rappel : pour 4 jours de formation consécutifs commandés
simultanément par la même personne, le 5ème jour est offert (sauf
formations d'une semaine et certifiantes).
Vous souhaitez des formations dans votre ville ? Contactez Hervé Schauer.
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue sur http://www.hsc-formation.fr/
--[ 11. Offres d'emplois ]-----------------------------------------------
HSC recherche :
- Un à deux consultants débutants intéressés par la sécurité autour des
normes ISO 27001 (SMSI) et ISO 27005 (Gestion de risques SSI),
pour faire de la sécurité organisationnelle
- Un administrateur système et réseau, webmestre et logisticien
Au delà de ces recherches, tous les autres profils sont invités
à faire des candidatures spontanées, en rappelant dans leur courrier
pourquoi leur profil sort de l'ordinaire.
Les postes sont basés à Levallois-Perret, à 5 minutes de la gare de
Paris Saint-Lazare, dans 400m2 de bureaux climatisés.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Les consultants orientés organisationnels en SSI réaliseront des
prestations de conseil, d'expertise, d'audit, d'accompagnement et de
formation en sécurité, typiquement dans la mise en oeuvre et l'audit
de SMSI, la gestion de risque en sécurité de l'information, et de manière
plus générale tout ce qui touche à l'organisation de la SSI.
HSC propose un programme de 3 à 8 semaines de formations accessible à
tous les nouveaux embauchés, permettant un apprentissage sans équivalent
par des experts de chaque domaine.
Les candidats devront avoir un bon contact humain, une bonne qualité de
rédaction en français, et une maîtrise de l'informatique et des technologies.
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV en format texte ascii par courrier électronique à cv at hsc.fr.
Pour plus d'informations : http://www.hsc.fr/societe/recrutement.html.fr
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
HSC recherche un administrateur système et réseau, de formation BTS
ou IUT, qui soit autonome, capable de prendre des décisions rapidement en
fonction des besoins, qui sache analyser les journaux système et réseau,
ayant de très bonnes compétences système Windows, et la connaissance de
Linux ou un autre Unix (Solaris, AIX, etc), et la maîtrise des routeurs
CISCO. Une compétence dans les produits VMware et Asterisk (VoIP) sera un
plus.
Les tâches attribuées à ce poste seront de veiller au bon fonctionnement de
toute l'infrastructure (réseau, serveurs, sécurité périmétrique), de gérer
les sauvegardes, de veiller à la sécurité des équipements internes et
périmétriques, de gérer le web interne et le web externe. Cette dernière
tâche sera importante et une connaissance du langage WML (Website Meta
Language) sera un plus (http://www.thewml.org/).
Il sera responsable de la logistique et des moyens généraux, et préparera
les salles de travaux pratiques (postes clients et infrastructure).
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV en format texte ascii par courrier électronique à cv-admin at hsc.fr.
--[ 12. Actualité des associations : Club 27001 et OSSIR ]---------------
o Club 27001 (http://www.club-27001.fr/)
. Le Club 27001 ouvre les adhésions avec les cotisations.
Prix par an, entreprises : 270 euros, individuels : 27 euros
Le bulletin d'adhésion sera prochainement publié sur le site du club.
. Prochaine réunion à Paris jeudi 17 septembre 2009
Les animateurs sont en attente de propositions de présentations.
. Les transparents de la réunion de juin ont été publiés :
http://www.club-27001.fr/precedentes-reunions/precedentes-reunions-paris.html
- "Présentation du RGS" par Emeric Laroche, HSC
http://www.club-27001.fr/supports/2009-06-11_HSC.pdf
- "Le framework RiskIT de l'ISACA et ISO 2700x, complémentarité ou
concurrence ?" par Jean-Luc Strauss, Altran
http://www.club-27001.fr/supports/2009-06-11_Altran_CIS.pdf
- "Retour d'expérience sur l'implémentation de l'ISO 27001 en
environnement infogéré", par Sébastien Bombal, Areva
http://www.club-27001.fr/supports/2009-06-11_AREVA.pdf
. Prochaine réunion à Toulouse le 18 septembre 2009
. Création d'un club 27001 à Marseille, première réunion en
septembre 2009.
o OSSIR (http://www.ossir.org/)
. Nouveau site web ! Visitez le nouveau site web de l'OSSIR :
http://www.ossir.org/
. Prochaine réunion à Paris le mardi 7 juillet
- "Comment choisir et mettre en place un WAF : Web Application
Firewall" par Sebastien Gioria, Groupe Y Conseil
- "Filtres statistiques de spam : état de l'art et utilisation
collective" Jose-Marcio artins da Cruz, Ecole des Mines de Paris
. Réunion suivante le mardi 8 septembre
- Stephan Mesguich, Verdasys
- Compte-rendu de la conférence Blakhat USA 2009 par Christophe
Alladoum et Julien Raeis, HSC
. Prochaine réunions à Toulouse le 22 septembre
. Prochaines réunions à Lyon et Rennes annoncées bientôt
--[ 13. Le saviez vous ? La réponse ]------------------------------------
Le caractère '*' apparait quand l'horloge n'a jamais été initialisée :
formation#show clock
*03:50:01.472 UTC Sat Apr 6 2002
Le caractère '.' apparait quand l'horloge a été initialisée mais n'est pas
synchronisée sur une source NTP :
formation#clock set 18:10:00 30 June 2009
formation#show clock
.18:10:02.775 UTC Tue Jun 30 2009
Quand l'horloge est correctement synchronisée, l'heure est affichée sans
caractère parasite :
formation#show clock
16:23:40.371 UTC Tue Jun 30 2009
formation#show ntp status
Clock is synchronized, stratum 3, reference is 192.70.106.166
nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**16
reference time is CDF4BA84.BC127B2A (16:23:32.734 UTC Tue Jun 30 2009)
clock offset is -6.5601 msec, root delay is 20.07 msec
root dispersion is 49.36 msec, peer dispersion is 0.05 msec
Il ne faut pas oublier de préciser quels subnets et hosts ont accès
au serveur NTP d'IOS, par défaut il est accessible de n'importe où (sur
Internet, environ 30% des routeurs donnent l'heure à qui veut bien).
% ntpq -n -c pe 213.ZZZ.I.UUU
remote refid st t when poll reach delay offset jitter
==============================================================================
*172.21.51.254 212.XX.YY.T 3 u 20 64 377 0.600 0.101 0.050
L'accès se restreint par les commandes ntp access-group, en précisant
les clients (serve-only) et les serveurs (classes comme "peer") :
access-list 24 permit 192.168.82.0 0.0.0.255
access-list 24 permit 192.168.51.0 0.0.0.255
access-list 26 permit 192.70.106.166
ntp access-group peer 26
ntp access-group serve-only 24
Plus d'informations sur la liste de diffusion newsletter