[Newsletter HSC] N°71 - Juillet 2010
Newsletter d'information de HSC
newsletter at hsc-news.com
Ven 2 Juil 09:47:51 CEST 2010
========================================================================
HSC Newsletter -- N°071 -- juillet 2010
========================================================================
"Un homme inintelligent ou simplement lent dans sa compréhension
ne deviendra jamais un bon footballeur."
[Pierre de Coubertin]
--[ Sommaire ]----------------------------------------------------------
1. Editorial
2. Le saviez vous ? La question
3. Compte-rendu du SSTIC 2010
4. E-Learning HSC : ouverture de l'achat en ligne
5. Nouvelle formation : Correspondant Informatique et Libertés
6. Appel à communication pour la conférence "SMSI et normes ISO 27001"
7. Appel à communication des GS-Days 2010
8. Offre d'emploi : consultants sécurité organisationnels
9. Nouveautés du site web HSC
10. Agenda des interventions publiques
11. Prochaines formations HSC
12. Actualité des associations : Club 27001, Clusif et OSSIR
13. Le saviez vous ? La réponse
--[ 1. Editorial - Hervé Schauer ]--------------------------------------
Certains ne comprennent pas pourquoi l'ISO 27005 est la méthode de
management des risques que nous préférons chez HSC. Quelques transparents
utilisés en introduction du débat sur le sujet le 25 juin dernier vous
éclaireront sur notre opinion :
http://www.hsc.fr/ressources/presentations/clusiraq10-27005/
L'ISO 27005 se distingue notamment par son activité continue et donc
l'itération d'appréciations des risques successives dans le temps avec
un jalon qu'est l'arbitrage budgétaire de la direction. C'est également
une méthode top-down où l'objectif est de n'appliquer que ce que veut la
direction générale pour la sécurité de l'information.
En prime, le schéma de modélisation de la méthode en version 1.2 :
http://www.hsc.fr/ressources/presentations/clusiraq10-27005/HSC-Modelisation-ISO27005.pdf
--[ 2. Le saviez vous ? La question ]-----------------------------------
Que va-t-il se passer (si tout va bien) le 15 Juillet dans l'infrastructure
de l'Internet ?
Réponse au paragraphe 13.
--[ 3. Compte-rendu du SSTIC 2010 ]-----------------
Le SSTIC de l'année 2010 était placé sous le signe du recrutement,
initialisé dès la traditionnelle "keynote" d'ouverture, présentée par
Bernard Barbier, directeur technique de la DGSE. Après avoir présenté les
différentes directions il présente les grandes priorités du service : lutte
contre le terrorisme, la prolifération nucléaire, l'espionnage, les
rivalités économiques et, en fin de liste, la "cybersécurité". Dans ce
cadre, la direction technique met en oeuvre des moyens d'observation
(satellite), d'écoute (interceptions), de mesure (capteurs pour la
détection d'essais nucléaires, etc). La DGSE a aussi pour mission de mettre
en oeuvre la lutte informatique offensive (LIO), domaine dans lequel la
France est en retard.
Fabien Allard et Mathieu Morel (Thales) ont présenté CASTAFIOR, outil
permettant de détecter des tunnels IP par analyse statistique du flux réseau.
En utilisant des chaines de Markov modélisant chacune un protocole spécifique
(POP, Telnet, FTP, HTTP, ...) et les appliquant sur le flux chiffré du tunnel
(le plus souvent HTTPS), il est possible de distinguer un trafic légitime
d'un tunnel. Différentes métriques sont utilisées, notamment la taille des
paquets, l'intervalle de temps entre paquets, le nombre de paquets échangés
au démarrage de la connexion. Le principe n'ayant été testé que dans un cas
particulier, il reste nécessaire d'appliquer la méthode à différents types
de tunnels.
Eric Freyssinet (Gendarmerie Nationale) a présenté les moyens d'action
possibles contre les BotNets, en expliquant les initiatives (Sites, listes
DNS, projets internationaux, sondes de collectes des attaques) déjà prises
pour lutter contre la propagation et l'utilisation de ces réseaux,
l'éco-système qui s'est créé autour de cette activité - avec des
utilisateurs parfois complices à leur insu -, les actions envers les acteurs
(notamment la sensibilisation des utilisateurs et opérateurs) et les
évolutions juridiques qui seraient nécessaires pour lutter plus efficacement
contre les gérants ou les utilisateurs de ces Botnets.
Dans le but de notamment pouvoir étudier la sécurité de PatchGuard,
Christophe Devine et Damien Aumaitre (Sogeti) ont présenté un debogueur
système utilisant la virtualisation pour ne pas être détecté par le système
d'exploitation étudié. Le debogueur final est un service discutant le
protocole gdbserver. Les commandes du debogueur sont envoyées à l'hyperviseur
par une liaison USB. L'intérêt de ce type de debogueur bas-niveau est qu'il
est par exemple possible de deboguer le gestionnaire d'interruptions d'un
système d'exploitation sans interférer avec celui-ci.
Daniel Reynaud a présenté l'analyse de programme par traçage. Les virus
disposent tous de mesures de protection contre l'analyse statique de leur
code. Un outil a été développé pour identifier les changements du code d'un
programme auto-modifiant. Il permet l'extraction des différentes "vagues" de
code pouvant être analysées de manière statique. Un plugin IDA a par ailleurs
été développé pour faciliter la navigation entre ces vagues. Le traçage a été
réalisé sur un nombre important de logiciels malveillants afin de valider le
protocole de test. Celui-ci semble satisfaisant puisque sur presque 60 000
exécutables, plus de 81% des logiciels ont pu être analysés. L'ensemble du
travail réalisé est sous licence open source.
La dernière conférence de la journée est présentée par Eric Barbry,
avocat au cabinet Alain Bensoussan. Cette présentation théatrale commence
par rappeler que l'actualité en matière de droit de l'informatique est très
riche. L'orateur explique que le DSI et le RSSI jouent de plus en plus le
rôle de chef d'équipe et qu'ils ne peuvent plus ne pas s'intéresser au
droit. L'un des enjeux aujourd'hui est la dispersion de l'information au
sein de l'entreprise. L'usurpation d'identité sur Internet connaît
également un fort développement. L'intervenant expose ensuite les très
nombreux textes qui régissent le droit de l'informatique, ainsi que les
textes en préparation. La HADOPI et la proposition de loi Détraigne-Escoffier
tendant à modifier la loi informatique et libertés sont évoquées.
Finalement, il apparaît que les entreprises doivent mettre en place des
solutions pour maîtriser les risques juridiques, notamment avec le
développement du "cloud computing".
Guillaume Hiet et David Pichardie (INRIA) ont présenté les résultats
d'une étude de la plate-forme Java ayant pour objectif premier d'en cerner
les limites dans le développement d'applications de sécurité. Après un rapide
rappel sur le fonctionnement interne de Java (notions de JVM, de compilation,
de bytecode, etc.) et les mécanismes natifs de sécurité (JPSA, JAAS et
vérification du bytecode entre autres), les principales faiblesses de Java
ont été présentées. Parmi celles-ci : les mécanismes de sécurité trop
souvent complexes à mettre en place, la confiance aveugle donnée à la
bibliothèque standard, les problématiques de rémanence des données au sein
de la JVM et le contournement de la vérification du bytecode. Les auteurs ont
terminé cette conférence en présentant plusieurs pistes d'amélioration dont
notamment un mécanisme de vérification de bytecode étendu.
Des chercheurs du LAAS (Toulouse) ont montré comment les mécanismes de
protection d'accès à la mémoire lors des transferts DMA fournis par les
composants les plus récents d'Intel (VT-D implémentant une IO MMU)
fonctionnaient et pouvaient être contournés si une carte PCI 'Legacy'
partageait un connecteur PCI Express avec une autre carte (par exemple un bus
firewire partageant le même slot PCI qu'une carte réseau). En s'appuyant sur
des travaux précédents, ils ont montré comment un iPod "piégé" branché sur
une machine pouvait injecter des paquets ARP arbitraires dans la mémoire de
la carte Ethernet, paquets traités ensuite par le système d'exploitation et
conduisant à une corruption du cache ARP et une interception des données
émises par le système.
Frédéric Guihéry (AMOSSYS) a présenté le bilan et les perspectives
d'utilisation des technologies Trusted Computing après 9 années de présence
sur les PCs. Mis à part les systèmes d'exploitation utilisant TPM pour le
chiffrement des disques, peu de produits (et peu d'utilisateurs) utilisent les
technologies les plus récentes, notamment les fonctions de Trusted Execution
(Intel TXT). Les fonctions rendues les plus courantes (Protection et Intégrité
des données) sont en général plus efficaces et plus faciles à implémenter avec
des bibliothèques classiques (OpenSSL, GnuPG), et les composants TPM actuels
sont souvent lents et manquent par exemple du chiffrement symétrique pour être
utilisés de manière permanente par les systèmes d'exploitation. Les auteurs
ont également présenté quelques attaques déjà réalisées sur TPM, et les
évolutions futures (TPM.Next) qui devraient régler les manques actuels et
permettre le développement de nouvelles fonctions (intégrité des application
et du noyau lui même notamment).
Sebastien Tricaud, directeur technique de Honeynet Poject a présenté les
objectifs et moyens de l'organisation. Afin de comprendre les menaces sur
internet, des machines sont mises en place dans le but de se faire pirater et
piéger les attaquants. Une fois l'attaque enregistrée, celle-ci est analysée
et comparée aux attaques connues. Des publications sont rédigées afin de
présenter ces attaques : "Know your enemies". Plusieurs outils réalisés dans
le cadre du Honeynet Project ont été présentés : Nepenthes émule des
vulnérabilités connues afin de récupérer les virus qui les exploiteraient,
PhoneyC récupère les pages de sites web connus et vérifie leur nocivité en
envoyant les éléments à Clamav. L'ensemble des projets est disponible sur
leur site internet. Par ailleurs, un challenge a été mis en place.
Yves-Alexis Perez et Loïc Dufflot de l'ANSSI ont présenté les travaux
effectués sur la sécurité des cartes réseaux, embarquant de plus en plus
souvent un OS permettant de superviser et contrôler le serveur en "out
of band". En travaillant sur les cartes Broadcom NetXtreme et le protocole
ASF, des débordements de tampons ont été découverts, permettant tout d'abord
de planter la carte réseau, puis de prendre son contrôle, puis de compromettre
le système d'exploitation du serveur en utilisant des techniques d'écriture
dans la mémoire du noyau depuis la carte réseau. Les problèmes trouvés ont
été bien évidemment reportés aux constructeurs et des correctifs publiés. Ces
correctifs n'atteignent les utilisateurs que fort tard, puisqu'il faut
d'abord passer par les vendeurs de serveurs, et les montées de version de
firmware sont très peu appliquées.
Il a été rappelé la nécessité de maîtriser ces fonctions de plus en plus
intelligentes, ou tout au moins d'être sûr qu'elles sont utilisées dans un
cadre connu (désactivation éventuelle, sous-réseau dédié, utilisation de
la cryptographie quand cela est possible, ...).
Frédéric Connes (HSC) a effectué une présentation sur le thème "la
sécurité des systèmes de vote". L'orateur commence par exposer les problèmes
de sécurité soulevés par le vote électronique tel qu'il est pratiqué
aujourd'hui. Les solutions actuelles sont évoquées, à savoir la trace papier
et le reçu papier, qui présentent cependant des limites en termes de
sécurité. L'intervenant propose ensuite un nouveau protocole de vote, fondé
sur l'attribution à chaque électeur d'une marque anonyme. L'association de
la marque et du choix du votant sera ensuite publiée sur un site web et toute
personne intéressée pourra recompter les résultats. L'électeur pourra
également vérifier que son vote a correctement été pris en compte. Un reçu
est également donné au citoyen à l'issue de son vote, et pour préserver le
secret il comporte non seulement l'association du choix effectué avec la
marque attribuée, mais également, pour chaque autre choix possible offert au
vote, l'association de ce choix avec une marque ayant déjà été liée à ce
choix lors du vote d'un électeur précédent.
François-Xavier Bru, Guillaume Fahrner, Alban Ondrejeck ont effectué une
présentation sur les risques des applications Facebook pour l'entreprise. Le
réseau social a développé un système de plugin pour l'intégration
d'applications tierces via des API. Un certain nombre d'applications sont
vulnérables aux XSS et CSRF par exemple. Les expérimentations ont permis de
montrer qu'aucun contrôle n'était effectué, ni sur le code, ni sur les
activités de ces plugin. Ainsi, grâce à une application malicieuse, ils ont pu
récupérer les données personnelles des personnes installant leur application.
Outre la divulgation des données, les plugins permettent de réaliser des
attaques à partir du poste client DDoS, recherche de serveurs sur le poste
local ou dans le SI, etc. Leur application n'a pas été détectée de manière
automatique et seule l'alerte par un utilisateur dont le "mur" a été écrit
plusieurs fois suite à un bug dans l'application a arrêté sa diffusion.
Harald Welte a effectué deux conférences aux sujets connexes : la
première sur le projet OpenBSC, permettant de créer son propre réseau GSM
(sauf les antennes) et de travailler sur la sécurité du protocole GSM, la
seconde sur OSMOCOMBB, projet visant à réimplémenter logiciellement la
stack GSM d'un téléphone en s'appuyant sur des circuits effectuant le
traitement du signal.
Dans les deux cas, le but est de démontrer que la sécurité des réseaux 2G
repose essentiellement sur le fait que la technologie est peu accessible en
dehors des vendeurs (infrastructures et téléphones), et qu'à partir du moment
où un attaquant peut envoyer ses propres paquets sur le réseau, de nombreux
problèmes et bugs de sécurité sont prévisibles. Il a notamment cité quelques
bugs trouvés dans les téléphones, ou les attaques possibles sur les protocoles
de géolocalisation. Une démonstration d'OpenBSC n'a pas été réalisée, car le
montage d'un réseau GSM expérimental est interdit en France sans autorisation.
Renaud Dubourguais (HSC) a montré différentes techniques d'exploitation
sur les serveurs JBoss (4, 5 et 6). Celles-ci utilisent les fonctionnalités
proposées par défaut encore trop souvent laissées en libre accès et permettant
le déploiement d'une porte dérobée au sein du serveur. JMX Console, Web
Console, RMI/JRMP, JMXInvokerServlet, JMX Connector et Admin Console ont été
passées en revue afin d'en montrer les possibilités une fois sous le contrôle
de l'attaquant.
La forte évolution en terme de sécurité entre JBoss 4, 5 et 6 a également été
mise en lumière au cours de cette conférence. Cependant, l'auteur a tout de
même montré que les dernières versions en date étaient encore sujettes à
d'importantes problématiques de sécurité dont notamment la possibilité de
redéfinir à distance les méthodes d'authentification de l'ensemble des
applications à partir d'un unique point d'entrée.
Nicolas Ruff (EADS) a présenté un retour d'expérience sur l'approche
utilisée pour réaliser l'audit d'une application propriétaire complexe comme
Microsoft OCS. Après un rappel des mécanismes de sécurité intégrés au
framework .NET, Nicolas a réalisé une démo de l'outil Reflector qui permet
de décompiler facilement le "bytecode" .NET. Il a ensuite montré l'intérêt
d'utiliser WinDbg avec l'extensions "sos.dll" afin de pouvoir accéder aux
informations de typage et aux méthodes .NET depuis le debugger.
Cédric Halbronn (SOGETI) a présenté PoC(k)ET, un rootkit "Preuve de
Concept" pour les smartphones sous Windows Mobile. Après une introduction
sur le fonctionnement de Windows Mobile, il a montré différentes méthodes
(notamment par SMS PUSH) pour envoyer un binaire arbitraire sur un téléphone
et comment celui-ci pouvait s'installer et rester furtif. Une démonstration
de son logiciel malveillant commandé par TCP/IP ou par simple SMS, a été
effectuée, permettant de récupérer carnet d'adresses, SMS, et la
géolocalisation du mobile. Le modèle permissif de Windows Mobile facilite la
tâche, mais certaines des techniques sont généralisables.
Patrick Pailloux, directeur de l'ANSSI, a clôturé le SSTIC 2010 "dans la
lumière", en opposition à l'intervention de B. Barbier dans l'obscurité,
chose "assez logique" selon lui. Il a d'abord rappelé les missions de
l'Agence : détection et préparation de la réaction aux attaques, résilience
des systèmes, conseil aux administrations, inspections, communication
publique. Concernant les senseurs de détection des attaques, il annonce des
premières observations "assez dramatiques". L'inspection soulève quant à
elle des problèmes "monstrueux", par exemple sur des systèmes médicaux
(radiographie) sous Windows. Enfin, s'adressant spécifiquement au public du
SSTIC, il a plaidé pour des compétences humaines en sécurisation, pas
uniquement en tests d'intrusion et en capacités d'attaque. Les débats ont
ensuite démontré un réel intérêt de l'assemblée pour améliorer la situation,
mettant notamment en avant la valeur démonstrative des tests d'intrusion,
regrettant le manque de compréhension des problématiques SSI de la part du
législateur, ou nuançant l'intérêt d'un éventuel pouvoir de sanction de
l'ANSSI envers des opérateurs économiques négligents.
--[ 4. Nouvelle formation : Correspondant Informatique et Libertés ]----
Le poste de CIL, Correspondant Informatique et Libertés, est
désormais une fonction clé au sein des entreprises, qu'il soit ou pas
déclaré en tant que CIL à la CNIL. C'est une fonction à la fois juridique
et informatique de plus en plus sensible, au coeur de la gouvernance
d'entreprise qui impose un haut niveau d'expertise.
La "Formation CIL" conçue par HSC a pour objectif de donner aux personnes
exerçant ou devant exercer les fonctions de Correspondant Informatique et
Libertés (CIL) les connaissances indispensables à l'accomplissement de leurs
missions. La formation est conçue par Frédéric Connes, docteur en droit,
également ingénieur en informatique et spécialisé en sécurité des systèmes
et réseaux, avec la contribution de l'équipe des consultants en sécurité
d'HSC.
La Formation CIL apporte aux stagiaires l'ensemble des éléments juridiques
dont ils auront besoin pour mener à bien leurs missions, par une approche
se voulant résolument pratique et proche des problèmes concrets auxquels
un CIL est confronté quotidiennement. La formation traite notamment des
notions indispensables de sécurité de l'information.
Au-delà des personnes exerçant les attributions ou ayant vocation à
exercer dans un avenir proche les fonctions de correspondant informatique
et libertés, la "Formation CIL" d'HSC concerne les responsables informatique
confrontés aux problématiques informatique et libertés, qui pourront
approfondir leurs connaissances juridiques, tandis que les profils
juridiques ou juridico-techniques pourront compléter leurs connaissances
en informatique et sécurité de l'information.
La "Formation CIL" d'HSC ne demande aucune connaissance préalable en
droit et en informatique, et commence par exposer les bases de ces domaines
avant de traiter du coeur du sujet.
Le cours alterne les phases d'exposé magistral et d'exercices pratiques
invitant les participants à se mettre en situation et à réfléchir aux
possibilités de réponses juridiques et techniques aux problèmes concrets
qui leur sont posés.
Durée : 2 jours.
Formateur : Frédéric Connes, docteur en droit.
Prochaine session à Paris les 21 et 22 octobre 2010. Des sessions seront
planifiées dans chaque ville, contactez-nous pour connaitre la date de
la session dans votre ville.
Objectifs, pré-requis, méthode pédagogique, et plan détaillé disponibles sur :
http://www.hsc-formation.fr/formations/cil.html.fr
Pour tout renseignement et pour vous inscrire contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 5. Nouvelle formation : Information Security Foundations ]----------
Avec Certification EXIN.
La société néerlandaise EXIN est le pionnier et n°1 mondial devant
le britannique ISEB des certifications de compétences dans la production
informatique, telles que la certification "ITIL Foundations".
EXIN propose désormais des certifications en sécurité des systèmes
d'information, dont la première est une certification accessible à tous,
intitulée "Information Security Foundations". Cette certification est basée
sur le référentiel téléchargeable en ligne sur le web d'EXIN :
http://www.exin.org/Exams/Exam%20program/ISO%20IEC%2027000/~/media/Documents/ISFS%20book%20%20%20English%20%20%20Final%20incl%20index%20pdf.ashx
HSC vous propose une formation de deux jours, animée par Hervé Schauer,
incluant la certification, vous permettant de vous former aux principes de
base de la SSI.
Prochaine session les 12 et 13 juillet 2010.
Session suivante les 21 et 22 septembre 2010.
Objectifs, pré-requis, méthode pédagogique, et plan détaillé disponibles sur :
http://www.hsc-formation.fr/formations/isf.html.fr
Pour tout renseignement et pour vous inscrire contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 6. Appel à communication 4ème conférence "SMSI et normes ISO 27001" ]--
Le Club 27001 (http://www.club-27001.fr/), association à but non
lucratif, organise à Paris fin novembre 2010 (date en cours de confirmation)
sa quatrième conférence annuelle autour des normes ISO 27001.
La conférence annuelle du Club 27001 privilégie les retours d'expérience
dans l'utilisation des normes de la série ISO 27000, qu'il s'agisse de la
mise en oeuvre d'une des normes, leur usage, y compris sans certification.
Voici les thèmes sur lesquels nous attendons des propositions, sans
que ceux-ci soient exhaustifs :
- Mise en oeuvre d'un SMSI
. Retour d'expérience
. ISO 27003 et reprise de l'existant
. Comment engager la direction générale
. Systèmes de Management Intégrés (ISO 9001, 14001, 20000-1, etc.) avec
ISO 27001
. Mise en place d'audits internes
. Utilisation de l'ISO 19011 et ISO 27006
- Management des risques en sécurité de l'information
. Retour d'expérience de mise en oeuvre de l'ISO 27005
. Technique d'entretien et d'implication des métiers
. Échelles et calcul du risque
. Interactions avec les autres gestions des risques : opérationnels,
industriels, CHSCT, financiers, etc.
. Usage de l'ISO 27005 dans les projets, les systèmes embarqués, etc.
. Migration d'EBIOS ou Mehari vers ISO 27005
- Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
. Gouvernance de la SSI, de la sécurité en général, de l'IT, du management
des risques
. Mutualisation, opposition, complémentarité, déclencheur, etc.
. ISO 20000-1 / ITIL (services informatiques)
. BS25599 ou ISO 22301 (continuité d'activité),
. CobiT (audit informatique, contrôle interne)
. PCI-DSS, SoX, Bâle II, Solvency II, RGS, hébergeur données de santé,
ARJEL, etc.
- Indicateurs, métriques et tableaux de bord
. Retour d'expérience
. Usage de l'ISO 27004
. Liens avec d'autres référentiels
- Certification ISO27001 et audits de SMSI
. Retour d'expérience des accréditeurs, des organismes de certification,
des auditeurs et des audités.
- Applications sectorielles de l'ISO 27001 : télécommunications, santé, etc.
. Utilité et usage du référentiel appliqué à un métier (27011, 27799, etc)
. Complémentarité avec le référentiel métier (WLA, etc.)
- Formation et certifications individuelles
. Comment et pourquoi se former aux SMSI ?
Les propositions doivent faire part d'un retour d'expérience pratique
et ne doivent pas être la présentation d'une offre de service, d'un
produit ou plus généralement d'une solution commerciale. Le comité de
programme sera sensible à l'aspect pratique des propositions.
Les présentations feront de 35 à 45 minutes et seront en français ou en
anglais.
Contenu des soumissions à envoyer à conference at club-27001.fr :
- Nom de l'auteur, biographie et affiliation
- Synopsis d'une page maximum de l'intervention avec un plan de celle-ci
Calendrier
- 9 juillet 2010 : date limite de réception des soumissions
- 17 septembre 2010 : notification aux auteurs et
publication du pré-programme
- 15 octobre 2010 : publication du programme définitif
- 19 novembre 2010 : réception des présentations
- fin novembre 2010 : conférence
Le comité de programme est composé des membres de l'association élus au
conseil d'administration, soit :
- Nicolas Andreu, Devoteam
- Bertrand Augé, Kleverware, trésorier
- Gérôme Billois, Solucom
- Dominique Ciupa, Bull
- Eric Doyen, Crédit Immobilier, président
- Emmanuel Garnier, Systalians, vice-président
- Catherine Guelou, CRAM-Bretagne
- Loic Guézo, IBM
- Bruno Michaud, Trans-Z
- Anne Mur, Edelweb
- Hervé Schauer, HSC, secrétaire
- Jérôme Vivier, Thales
--[ 7. Appel à communication pour le colloque des GS-Days 2010 ]-----------
Les GS Days se dérouleront le 30 novembre 2010 à l'espace Saint-Partin
à Paris 3ième. Les GS Days, organisés par le magazine GlobalSecurityMag, ont
l'objectif d'établir le dialogue entre le monde de la technique
(administrateurs, experts sécurité), les RSSI, DSI et les décideurs. Le
colloque proposera plusieurs cycles de conférences et de démonstrations
d'attaques informatique, sous un angle technique, organisationnel et
juridique.
Les thèmes retenus sont les suivants :
o Les aspects techniques et les attaques sur :
- Les navigateurs : XSS, CSRF, etc.
- Les OS
- Les technologies sans fil : Wifi, RFID, etc.
- Les terminaux mobiles
- Le matériel : mémoire, interface FireWire, ACPI, etc.
- Les systèmes SCADA et l'informatique embarquée
o L'évolution des moyens de protection techniques
- Sur le Web : WAF, etc.
- Sur les données (DLP)
- Avec l'ouverture des SI et la dépérimétrisation
o Les aspects organisationnels et humains
- Ingénierie sociale
- Les nouveaux usages du SI : les réseaux sociaux et les applications
en ligne
- La gestion des risques opérationnels
- La gestion des risques du télétravail
- Les PCA et PRA
- Pourquoi et comment sécuriser l'information ?
- La doctrine SSI ou comment convaincre son entreprise d'investir dans
un projet de sécurité
- Comment sécuriser une architecture complexe dans un environnement
hétérogène ?
o Les aspects juridiques
- Les réseaux sociaux
- Le télétravail
- Les transactions électroniques
- Les aspects contractuels des PCA/PRA
Les présentations attendues devront proposer une vision technique,
scientifique ou organisationnelle. Les présentations à fin commerciale
ou la présentation d'un produit ne seront pas acceptées. Cependant, les
propositions présentant une analyse technique de la sécurité d'un produit,
un comparatif fondé sur des tests scientifiques, et les retours
d'expérience avec un aspect technologique, seront examinées avec attention.
Chaque soumission d'une à deux pages avec un résumé de moins de 15 lignes
précisera le titre de la communication et sa catégorie (Attaque, Technique,
Organisationnel & Humain, Juridique), les noms et prénoms du ou des auteurs
et leur affiliation, et l'adresse de courrier électronique d'au moins un des
auteurs.
Les conférences seront d'un format de 35 minutes, plus 5 minutes réservées
à des questions.
Le comité de programme qui sélectionnera les conférenciers et le contenu
du colloque à partir des soumissions reçues est composé de Marc Jacob et
Emmanuelle Lamandé (Global Security Mag, organisateur), Olivier Guérin
(CLUSIF), Philippe Humeau (NBS), Diane Mullenex (Cabinet Ichay et Mullenex),
Olivier Revenu (EdelWeb), Hervé Schauer (HSC) et Paul Such (SCRT).
- Date limite de soumission : 25 juillet 2010
Envoi des soumissions par courriel à Marc.Jacob at globalsecuritymag.com
- Notification aux auteurs : 20 septembre 2010
- Envoi des présentations définitives : 30 octobre 2010
- Conférence : 30 novembre 2010
Pour en savoir plus : http://www.gsdays.fr/
--[ 8. Offre d'emploi ]-------------------------------------------------
HSC recrute des consultants organisationnels en sécurité des systèmes
d'information, afin :
- D'accompagner ses clients dans leur démarche de gouvernance de la
SSI (SMSI/ISO27001)
- D'accompagner ses clients dans la gestion des risques de sécurité de
l'information
- Plus généralement, de participer aux projets utilisant les normes
de la série ISO27K pour répondre aux attentes de ses clients.
Les qualités recherchées sont les suivantes :
- Discrétion et capacité à travailler sur des projets sensibles, des
infrastructures vitales, etc
- Compréhension du modèle économique de l'activité d'expertise
- Maîtrise de l'informatique et des technologies de l'information
- Bonne qualité de rédaction en français
- Bon contact humain
Les qualités suivantes seront un plus apprécié :
- Connaissance des notions de système d'information et sa sécurisation
- Compréhension des enjeux du pilotage de la SSI par les risques
- Maîtrise de l'état d'esprit pour la fourniture de service à valeurs
ajoutées
- Adaptabilité au contexte d'un client
- Autonomie
- Bonne expression à l'oral
Les ingénieurs sélectionnés pourront être formés à la sécurité et sur les
normes ISO 27001 et ISO 27005 par HSC, soit en tout 2 à 6 semaines de
formations.
Les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la gare
Saint-Lazare.
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV en texte ascii par courrier électronique à cv at hsc.fr.
--[ 9. Nouveautés du site web HSC ]-------------------------------------
- Présentation "La sécurité des systèmes de vote" par Frédéric Connes
le 10 juin 2010 au SSTIC
http://www.hsc.fr/ressources/presentations/sstic10_evote/
- Présentation "JBoss AS: exploitation et sécurisation" par Renaud
Dubourguais le 11 juin 2010 au SSTIC
http://www.hsc.fr/ressources/presentations/sstic10_jboss/
- Présentation "ISO 27005 vs EBIOS, Mehari, RiskIT, ..." par Hervé Schauer
le 25 juin 2010 au JSSIA du Clusir-Aquitaine
http://www.hsc.fr/ressources/presentations/clusiraq10-27005/
--[ 10. Agenda des interventions publiques ]----------------------------
- 1er juillet - Conférence "La réalité derrière les nuages" - Paris
Participation à la table-ronde "Sécurité dans le Cloud" - Hervé Schauer
http://www.cnis-mag.com/cnis-event-la-realite-derriere-les-nuages.html
- 12 octobre 2010 - Journée Techniques Réseaux - Lyon
"La Sécurité ToIP/VoIP" - Jean-Baptiste Aviat
https://listes.cru.fr/wiki/jtr.prog.2010/public/programme
- 20 octobre 2010 - Journées RSSI - Paris
"Les webshells ou comment ouvrir les portes de son réseau ?" - Renaud
Dubourguais
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 9. Prochaines formations HSC ]--------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
ISO 27001 Lead Auditor .............. : 5 au 9 juillet (#) (C)
Information Security Foundations .... : 12 et 13 juillet (#)
ISO 27001 Lead Implementer .......... : 6 au 10 septembre (#)
ISO 2000-1 Lead Auditor ............. : 13 au 17 septembre (#)
ISO 27001 Lead Auditor .............. : 13 au 17 septembre (#)
Information Security Foundations .... : 21 et 22 septembre (#)
Fondamentaux techniques de la SSI ... : 23 et 24 septembre
Essentiel de la série ISO27001 ...... : 23 et 24 septembre
Gestion des identités et des accès .. : 27 au 29 septembre
Sécurité des serveurs et applications web : 27 au 29 septembre (*)
Indicateurs & tableaux de bord SSI/ISO27004 : 30 septembre
Sécurité du WiFi ..................... : 30 sept. et 1er oct. (*)
Mutualisation ISO 27001/autres référentiels : 1er octobre
Réalisation pratique des Tests d'Intrusion : 4 au 8 octobre (*)
ISO 27001 Lead Implementer .......... : 4 au 8 octobre (#)
Formation RSSI ...................... : 11 au 15 octobre
Essentiel de PCI-DSS ................ : 21 octobre 2010
Sécurité Windows .................... : 25 et 26 octobre (*)
Sécurité Unix et Linux .............. : 27 et 28 octobre (*)
Programmation sécurisée en PHP ...... : 3 au 5 novembre (*)
Juridique de la SSI ................. : 29 et 30 novembre
Mesures de sécurité ISO 27002 ........ : 20 et 21 décembre
Sécurité du Cloud Computing ......... : 10 au 12 janvier 2011
Sécurité de la VoIP .................. : 2011
(*) : formations avec travaux pratiques avec un ordinateur par stagiaire
(#) : formations certifiantes
(C) : session de formation complète
- Luxembourg
ISO 27005 Risk Manager .............. : 20 au 22 septembre (#)
ISO 27001 Lead Implementer .......... : 14 au 18 juin (#)
- Bordeaux
Correspondant Informatique et Libertés . : 4ième trimestre 2010
- Lyon
ISO 27001 Lead Implementer .......... : mai ou juin 2011 (#)
Correspondant Informatique et Libertés . : courant 2011
- Montpellier
ISO 27005 Risk Manager ............... : mars 2011 (#)
ISO 27001 Lead Auditor .............. : mai 2011 (#)
Correspondant Informatique et Libertés . : courant 2011
- Nantes
ISO 27005 Risk Manager .............. : 11 au 13 octobre (#)
Correspondant Informatique et Libertés . : courant 2011
- Nice
Correspondant Informatique et Libertés . : courant 2011
- Strasbourg
ISO 27005 Risk Manager .............. : 22 au 24 novembre (#)
Correspondant Informatique et Libertés . : courant 2011
- Toulouse
ISO 27001 Lead Implementer .......... : mars 2011 (#)
ISO 27005 Risk Manager .............. : mai 2011 (#)
Correspondant Informatique et Libertés . : courant 2011
(#) : formations certifiantes
Pour tout renseignement, et pour vous inscrire pour toutes les villes
sauf Luxembourg, contactez Lynda Benchikh :
formations at hsc.fr -- +33 141 409 704
Pour les formations à Luxembourg contactez Sylvie Favaut de Dimension Data :
Sylvie.Favaut at eu.didata.com
Tél : +352 25 48 25 321 -- GSM : +352 621 31 20 88 -- Fax : +352 25 48 30
Retrouvez les tarifs des formations dans la Newsletter n° 64 de janvier 2010
au chapitre 6 : http://www.hsc-news.com/archives/2010/000064.html
Vous souhaitez des formations dans votre ville ? Contactez Hervé Schauer,
HSC est allé donné des formations inter-entreprise à Marseille, Niort,
Papeete, Rennes, etc à la demande des entreprises locales.
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue en PDF sur http://www.hsc-formation.fr/
--[ 12. Actualité des associations : Club 27001, Clusif et OSSIR ]-------
o Club 27001 (http://www.club-27001.fr/)
. Prochaine réunion à Paris le jeudi 24 juin chez IBM
- "Retour d'expérience de la certification Orange Business Services
à Rennes", Eric Wiatrowski, Orange-France Télécom
- "Retour d'expérience d'utilisation des normes chez Laser",
Guillaume Corbille, Laser
. Réunion suivante à Paris le jeudi 16 septembre puis conférence
fin novembre ou début décembre : pensez à soumettre des
propositions (voir paragraphe 6)
. Prochaine réunion à Toulouse à la rentrée
. Prochaine réunion à Marseille à la rentrée
. Prochaine réunion à Rennes annoncée prochainement
Inscrivez-vous sur la liste de Toulouse, Marseille, etc. sur
www.club-27001.fr pour avoir l'activité des clubs en région.
o Clusif (http://www.clusif.fr/)
Le Clusif a déménagé et vous accueille désormais dans des nouveaux
locaux proches de la gare Saint-Lazare au 11 rue Mogador, dans un
immeuble de bureaux de standing avec une salle de réunion spacieuse.
Profitez des réunions des groupes de travail de la rentrée pour visiter
ces nouveaux locaux.
o OSSIR (http://www.ossir.org/)
. Prochaine réunion à Paris mardi 13 juillet
- Zscaler par Damien Charette et Frédéric Benichou (Zscaler)
. Réunion suivante à Paris mardi septembre
. Prochaine réunion à Toulouse la seconde quinzaine de septembre
. Prochaine réunion à Rennes jeudi 8 juillet à 14h15 chez Technicolor
- Codenomicon (orateur à préciser)
- NetGlub, par Guillaume Prigent (Diateam)
. Prochaine réunion à Lyon à la rentrée
--[ 13. Le saviez vous ? La réponse ]------------------------------------
Le 15 Juillet 2010, la zone racine (celle qui contient les adresses des
serveurs de noms de com., fr., ...) sera servie avec une signature DNSSEC
valide. C'est le premier pas vers un déploiement de DNSSEC du haut vers le
bas, et la possibilité pour les résolutions DNS d'être signées
cryptographiquement (et donc ne plus être sensibles à des attaques comme
celles de "Kaminsky" ou "Man in The Middle").
Les premiers RFCs de DNSSEC ont plus de 10 ans, et il a fallu beaucoup
d'efforts (et beaucoup de bugs induits, y compris de sécurité) pour qu'un
déploiement généralisé commence.
Une des étapes importantes a été la mise en place de réponses signées
avec une clé "debug", afin de vérifier que l'augmentation de la taille des
réponses ne provoquait pas trop de dégats collatéraux. En effet, l'inclusion
de la signature augmente très largement la taille des paquets émis par les
serveurs, qui dépassent 512 octets et donc la limite historique des premiers
RFCs DNS. Le protocole a été revu depuis très longtemps, mais de nombreux
dispositifs (pare-feux, IDS/IPS, NAT, ...) peuvent encore poser problème
(dans le cas ou un DNS "moderne" est placé derrière une infrastructure
"antique").
Vous pouvez vérifier si votre infrastructure supporte correctement les paquets
DNS larges (et éventuellement la fragmentation IP) en utilisant la commande :
% dig +short rs.dns-oarc.net txt
qui doit retourner au moins une valeur > 2000 pour que tout soit normal.
Ce changement s'est effectué tout au long du semestre, et tous les DNS racines
renvoient désormais des enregistrements RRSIG dans des paquets EDNS :
% dig +dnssec +edns=0 @f.root-servers.net. fr. ns
...
fr. 86400 IN NSEC ga. NS RRSIG NSEC
fr. 86400 IN RRSIG NSEC 8 1 86400 20100707000000
20100629230000 55138 . oKPqQSREkhMq+my2YzovhHEry7m0LOb
...
;; WHEN: Wed Jun 30 10:47:03 2010
;; MSG SIZE rcvd: 614
Afin de valider les réponses, il suffira dans les serveurs DNS récents de
configurer "en dur" le "Trust Anchor" qui sera fournie par l'ICANN. L'étape
suivante sera de signer les domaines de premier niveau, cela est prévu pour
la zone FR. le 14 Septembre 2010 (.ORG est déja signée par exemple).
Pour le second niveau, cela demandera plus de temps et dépendra évidemment
pour une part des moyens techniques à mettre en place pour insérer par exemple
une clé de validation de hsc.fr. dans fr. , et donc un travail avec les
bureaux d'enregistrement.
Plus d'information et les détails sur le planning sont disponibles sur
http://www.root-dnssec.org/ et https://www.dns-oarc.net/ .
Stéphane Bortzmeyer (AFNIC) maintient un blog actif en français traitant très
souvent de DNS et de DNSSEC : http://www.bortzmeyer.org/search?pattern=dns .
-- AT
Plus d'informations sur la liste de diffusion newsletter