[Newsletter HSC] N°72 - Août 2010

Newsletter d'information de HSC newsletter at hsc-news.com
Mar 3 Aou 10:40:41 CEST 2010


========================================================================
              HSC Newsletter  --  N°072 --  août 2010
========================================================================


 "Si l'on passait l'année entière en vacances; s'amuser serait aussi
  épuisant que travailler."

                                            [ William Shakespeare ]








--[ Sommaire ]----------------------------------------------------------

      1. Editorial
      2. Le saviez vous ? La question
      3. Consultants certifiés
      4. Nouvelle formation : Correspondant Informatique et Libertés
      5. Lauréat du prix de l'Innovation des Assises de la Sécurité : ArxSys
      6. Appel à communication pour la conférence "SMSI et normes ISO 27001"
      7. Appel à communication des GS-Days 2010
      8. Offre d'emploi : consultants sécurité organisationnels
      9. Nouveautés du site web HSC
     10. Agenda des interventions publiques
     11. Prochaines formations HSC
     12. Actualité des associations : Club 27001 et OSSIR
     13. Le saviez vous ? La réponse



--[ 1. Editorial - Raphael Marichez ]-----------------------------------

     Des virus exploitant des vulnérabilités "grand public", avec la
 complicité de grandes firmes étrangères, pour cibler un système
 industriel précis ?
 
     Dans les romans, oui... Du moins jusqu'à ce mois de juillet 2010.
 
     Les publications autour des vers "Stuxnet" démontrent en effet un
 tournant certain concernant les attaques informatiques visant les
 systèmes de supervision, de contrôle et d'acquisition de données (SCADA),
 mais également concernant la responsabilité des entités qui signent les
 certificats des PKI.
 
     Pour tenter de résumer, dans un premier temps la société biélorusse
 "VirusBlokAda" détecte le 17 juin les vers alors nommés Trojan-Spy.0485
 et Malware-Cryptor.Win32.Inject.gen.2, et publie le 10 juillet [1] un
 communiqué détaillé sur ces vers. Les premières preuves d'infection
 proviennent du Moyen-Orient, une zone toutefois assez peu équipée en
 logiciels de protection. Il faudra attendre le 20 juillet pour qu'une
 preuve d'infection dans un pays occidental soit publiquement annoncée
 [2]. Le mode de propagation du virus est classique (USB), mais la
 vulnérabilité exploitée touche très largement les systèmes Windows, et
 est relativement originale (erreur dans la gestion des raccourcis .lnk)
 sans être toutefois inédite.
 
     L'analyse des binaires montre ensuite que ces vers tentent d'accéder à
 un certain système de gestion de base de données utilisé par un SCADA
 de Siemens.  La méthode de connexion, et le mot de passe utilisé, sont
 alors divulgués sur Twitter le 16 juillet [3]. De plus, les binaires
 sont signés par un certificat émis très officiellement par la société
 Realtek, ce qui lui permet d'exécuter du code en mode noyau après
 validation des protections Windows.
 
     Enfin, le 17 juillet, ESET découvre un autre code malveillant
 fonctionnant sur le même principe et signé par JMicron, un autre
 fournisseurs de composants matériels et de pilotes de périphériques
 associés. JMicron et Realtek sont tous deux établis à Taïwan. ESET [4]
 aurait observé un binaire compilé le 14 juillet, donc signé au plus tôt
 le 14 juillet, ce qui indique qu'au moins un des "distributeurs" de ces
 vers reste actif malgré les publications et analyses autour du premier
 vers publiées progressivement à partir du 10 juillet.
 
 [1] http://anti-virus.by/en/tempo.shtml
 [2] http://www.networkworld.com/news/2010/072010-siemens-german-customer-hit-by.html
 [3] http://twitter.com/41414141/status/18682726074 
 [4] http://blog.eset.com/2010/07/19/win32stuxnet-signed-binaries
 
     Cette série de vers relève-t-elle alors d'un outil d'espionnage
 industriel dont les concepteurs auraient perdu la maîtrise ? D'une
 série de coïncidences malheureuses ? D'un "proof-of-concept" avant une
 exploitation plus large ? ou d'un résultat de travaux de recherche qui
 aurait été compromis ? Toutes les hypothèses sont ouvertes pour les
 amateurs de fiction...
 
     Par le passé, HSC a été régulièrement consulté, surtout pour son
 expertise technique [5], à propos de la menace informatique sur les
 SCADA.  Plusieurs interventions dans la lettre mensuelle HSC depuis
 2007 y font également référence. Les constats de la convergence IP et
 de l'interconnexion des systèmes menaient nécessairement à considérer
 une menace issue de l'informatique traditionnelle comme étant du
 domaine du possible, sans toutefois être confirmée par des incidents
 rendus publics. Les seules attaques avérées dans ce domaine touchaient,
 et massivement, les services généraux, moins critiques que les SCADA.
 Pour autant, HSC n'a jamais été alarmiste, les menaces sur les SCADA
 restant nécessairement ciblées, les systèmes critiques étant
 relativement isolés, et les méthodes d'attaque "protégées" par
 l'opacité des protocoles...  pour le tout-venant, mais évidemment pas
 pour les acteurs du métier. Ce n'est en effet qu'une question de temps
 avant que le secret des vulnérabilités ne soit compromis. Il faut
 également tenir compte du cycle de vie des systèmes industriels (20
 ans, 30 ans) : la convergence IP s'intègre très progressivement dans
 les systèmes existants, mais pour longtemps, ce qui laisse des fenêtres
 d'exposition considérables au moins pour la prochaine décennie, face à
 des attaquants dont les techniques peuvent être déployées en quelques
 heures.
 
     A ce titre, la recommandation publiée par Siemens de ne pas tenter de
 modifier soi-même les mots de passe utilisés par ses applications ne
 surprendra personne : un tel système n'est pas prévu pour évoluer de la
 sorte au long de son cycle de vie. C'est certainement cette convergence
 entre les principes de sécurité de l'informatique traditionnelle et la
 sécurité des SCADA qui sera la clé pour les systèmes actuellement en
 cours de conception ou de déploiement.
 
 [5] http://www.hsc.fr/ressources/presentations/netfocus10-scada/
 


--[ 2. Le saviez vous ? La question ]-----------------------------------

     Lors d'un test d'intrusion, il est parfois possible d'obtenir une
 connexion SSH sur une machine distante située dans un réseau fortement
 filtré. 

 Quels sont les 3 mécanismes permettant d'utiliser cette
 connexion pour accéder aux autres machines de son réseau ?

 Réponse au paragraphe 13.


      
--[ 3. Consultants certifiés ]------------------------------------------

    Guillaume Lehembre et Géraldine André sont désormais certifiés GIAC
 GCFA : Certified Forensics Analyst.
 http://www.giac.org/certified_professionals/listing/gcfa.php
 Ces deux nouveau certifiés confirment l'engagement d'HSC dans les
 prestations d'enquêtes après incidents dans le respect des procédures
 légales, en profitant de la double compétence technique et juridique
 que regroupe la société.
 Pour en savoir plus : http://www.hsc.fr/services/forensics.html.fr



--[ 4. Nouvelle formation : Correspondant Informatique et Libertés ]----

     Le poste de CIL, Correspondant Informatique et Libertés, est
 désormais une fonction clé au sein des entreprises, qu'il soit ou pas
 déclaré en tant que CIL à la CNIL. C'est une fonction à la fois juridique
 et informatique de plus en plus sensible, au coeur de la gouvernance
 d'entreprise qui impose un haut niveau d'expertise.

    La "Formation CIL" conçue par HSC a pour objectif de donner aux personnes
 exerçant ou devant exercer les fonctions de Correspondant Informatique et
 Libertés (CIL) les connaissances indispensables à l'accomplissement de leurs
 missions. La formation est conçue par Frédéric Connes, docteur en droit,
 également ingénieur en informatique et spécialisé en sécurité des systèmes
 et réseaux, avec la contribution de l'équipe des consultants en sécurité
 d'HSC.
 La Formation CIL apporte aux stagiaires l'ensemble des éléments juridiques
 dont ils auront besoin pour mener à bien leurs missions, par une approche
 se voulant résolument pratique et proche des problèmes concrets auxquels
 un CIL est confronté quotidiennement. La formation traite notamment des
 notions indispensables de sécurité de l'information.

     Le cours alterne les phases d'exposé magistral et d'exercices pratiques
 invitant les participants à se mettre en situation et à réfléchir aux
 possibilités de réponses juridiques et techniques aux problèmes concrets
 qui leur sont posés.

     Durée : 2 jours.
     Formateur : Frédéric Connes, docteur en droit et ingénieur en informatique

     Prochaines sessions : 
     - Paris : 21 et 22 octobre 2010
     - Bordeaux : 25 et 26 novembre 2010

     Des sessions sont planifiées à Clermont-Ferrand, Lille, Limoges, Lyon,
 Montpellier, Nantes, Nice, Poitiers, Rennes, Toulouse, etc.
 Vous souhaitez une session de formation inter-entreprise au CIL dans votre
 ville ? Contactez Hervé Schauer.

 Objectifs, Pré-Requis, méthode pédagogique, plan détaillé et dates des
 formations en province disponibles sur :
 http://www.hsc-formation.fr/formations/cil.html.fr
 Pour tout renseignement et pour vous inscrire contactez Lynda Benchikh
 formations at hsc.fr  --  +33 141 409 704



--[ 5. Lauréat du prix de l'Innovation des Assises de la Sécurité : ArxSys ]
      
     Pour la première fois le Prix de l'Innovation des Assises de la
 Sécurité prime un logiciel libre.

 Le Prix de l'Innovation récompense cette année ArxSys, éditeur de solutions
 d'informatique légale ou forensique.

 ArxSys développe Digital Forensics Framework (DFF), spécialement conçu
 pour la collecte, la recherche, l'analyse et l'extraction d'éléments de
 preuve numérique.

 Ouvert aux entreprises européennes créées depuis moins de 3 ans, le Prix
 de l'Innovation des Assises de la Sécurité, animé par Hervé Schauer,
 récompense depuis 5 ans les meilleurs projets du domaine de la sécurité des
 systèmes d'information. Il permet à une jeune entreprise de bénéficier d'un
 accès aux Assises de la Sécurité afin de démontrer son produit ou son
 service, avec la remise du prix en séance plénière le jeudi 7 octobre 2010.

 Le jury s'est basé sur le caractère innovant de la solution présentée,
 et son intérêt pour les responsables de la sécurité des systèmes
 d'information. L'évolution technologique a fait naître de nouveaux moyens
 et outils permettant de retracer et comprendre une scène de piratage.
 L'informatique légale est un domaine peu représenté sur le marché français
 de la sécurité, pourtant, une organisation doit être capable de développer
 des systèmes d'analyse permettant de répondre aux questions fondamentales
 lorsqu'un incident se produit.

 Arxsys, fondée en juillet 2009 est la première société française éditrice
 de logiciels libres dédiés a l'informatique légale et la réponse sur
 incident. DFF est un environnement multiplateforme et modulaire conçu pour
 la collecte, la recherche, l'analyse et l'extraction d'éléments de preuve
 numérique. Le framework s'intègre en compléments des systèmes de sécurité
 traditionnels. Il apporte aux RSSI des possibilités d'investigation
 jusqu'alors réservées aux seuls spécialistes.
 DFF est disponible au téléchargement depuis septembre 2009.

 ArxSys : http://www.arxsys.fr/
 Digital Forensics Framework : http://www.digital-forensic.org/
 Communiqué de presse : 
http://www.les-assises-de-la-securite.com/LinkClick.aspx?fileticket=unquC-qwrEU=



--[ 6. Appel à communication 4ème conférence "SMSI et normes ISO 27001" ]--

     Le Club 27001 (http://www.club-27001.fr/), association à but non
 lucratif, organise à Paris la 30 novembre 2010 (réservez votre date !)
 sa quatrième conférence annuelle autour des normes ISO 27001. Celle-ci
 se déroulera dans le cadre des GS-Days dans sa propre salle.

 La conférence annuelle du Club 27001 privilégie les retours d'expérience
 dans l'utilisation des normes de la série ISO 27000, qu'il s'agisse de la
 mise en oeuvre d'une des normes, leur usage, y compris sans certification.

     Voici les thèmes sur lesquels nous attendons des propositions, sans
 que ceux-ci soient exhaustifs :

  - Mise en oeuvre d'un SMSI
     . Retour d'expérience
     . ISO 27003 et reprise de l'existant
     . Comment engager la direction générale
     . Systèmes de Management Intégrés (ISO 9001, 14001, 20000-1, etc.) avec
       ISO 27001
     . Mise en place d'audits internes
     . Utilisation de l'ISO 19011 et ISO 27006
  - Management des risques en sécurité de l'information
     . Retour d'expérience de mise en oeuvre de l'ISO 27005
     . Technique d'entretien et d'implication des métiers
     . Échelles et calcul du risque
     . Interactions avec les autres gestions des risques : opérationnels,
       industriels, CHSCT, financiers, etc.
     . Usage de l'ISO 27005 dans les projets, les systèmes embarqués, etc.
     . Migration d'EBIOS ou Mehari vers ISO 27005
  - Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
     . Gouvernance de la SSI, de la sécurité en général, de l'IT, du management
       des risques
     . Mutualisation, opposition, complémentarité, déclencheur, etc.
     . ISO 20000-1 / ITIL (services informatiques)
     . BS25599 ou ISO 22301 (continuité d'activité),
     . CobiT (audit informatique, contrôle interne)
     . PCI-DSS, SoX, Bâle II, Solvency II, RGS, hébergeur données de santé,
       ARJEL, etc.
  - Indicateurs, métriques et tableaux de bord
     . Retour d'expérience
     . Usage de l'ISO 27004
     . Liens avec d'autres référentiels
  - Certification ISO27001 et audits de SMSI
     . Retour d'expérience des accréditeurs, des organismes de certification,
       des auditeurs et des audités.
  - Applications sectorielles de l'ISO 27001 : télécommunications, santé, etc.
     . Utilité et usage du référentiel appliqué à un métier (27011, 27799, etc)
     . Complémentarité avec le référentiel métier (WLA, etc.)
  - Formation et certifications individuelles
     . Comment et pourquoi se former aux SMSI ?

     Les propositions doivent faire part d'un retour d'expérience pratique
 et ne doivent pas être la présentation d'une offre de service, d'un
 produit ou plus généralement d'une solution commerciale. Le comité de
 programme sera sensible à l'aspect pratique des propositions.
 Les présentations feront de 35 à 45 minutes et seront en français ou en
 anglais.

 Contenu des soumissions à envoyer à conference at club-27001.fr :
    - Nom de l'auteur, biographie et affiliation
    - Synopsis d'une page maximum de l'intervention avec un plan de celle-ci

 Calendrier
    - 9 juillet 2010 : date limite de réception des soumissions
      --> exceptionellement étendu à fin aout
    - 17 septembre 2010 : notification aux auteurs et
                          publication du pré-programme
    - 15 octobre 2010 : publication du programme définitif
    - 19 novembre 2010 : réception des présentations
    - 30 novembre 2010 : conférence

 Le comité de programme est composé des membres de l'association élus au
 conseil d'administration, soit :
  - Nicolas Andreu, Devoteam
  - Bertrand Augé, Kleverware, trésorier
  - Gérôme Billois, Solucom
  - Dominique Ciupa, Bull
  - Eric Doyen, Crédit Immobilier, président
  - Emmanuel Garnier, Systalians, vice-président
  - Catherine Guelou, CRAM-Bretagne
  - Loic Guézo, IBM
  - Bruno Michaud, Trans-Z
  - Anne Mur, Edelweb
  - Hervé Schauer, HSC, secrétaire
  - Jérôme Vivier, Thales



--[ 7. Appel à communication pour le colloque des GS-Days 2010 ]-----------

     Les GS Days se dérouleront le 30 novembre 2010 à l'espace Saint-Partin
 à Paris 3ième. Les GS Days, organisés par le magazine GlobalSecurityMag, ont
 l'objectif d'établir le dialogue entre le monde de la technique
 (administrateurs, experts sécurité), les RSSI, DSI et les décideurs. Le
 colloque proposera plusieurs cycles de conférences et de démonstrations
 d'attaques informatique, sous un angle technique, organisationnel et
 juridique.

     Les thèmes retenus sont les suivants :

 o Les aspects techniques et les attaques sur :
     - Les navigateurs : XSS, CSRF, etc.
     - Les OS
     - Les technologies sans fil : Wifi, RFID, etc.
     - Les terminaux mobiles
     - Le matériel : mémoire, interface FireWire, ACPI, etc.
     - Les systèmes SCADA et l'informatique embarquée

 o L'évolution des moyens de protection techniques
     - Sur le Web : WAF, etc.
     - Sur les données (DLP)
     - Avec l'ouverture des SI et la dépérimétrisation

 o Les aspects organisationnels et humains
     - Ingénierie sociale
     - Les nouveaux usages du SI : les réseaux sociaux et les applications
       en ligne
     - La gestion des risques opérationnels
     - La gestion des risques du télétravail
     - Les PCA et PRA
     - Pourquoi et comment sécuriser l'information ?
     - La doctrine SSI ou comment convaincre son entreprise d'investir dans
       un projet de sécurité
     - Comment sécuriser une architecture complexe dans un environnement
       hétérogène ?

 o Les aspects juridiques
     - Les réseaux sociaux
     - Le télétravail
     - Les transactions électroniques
     - Les aspects contractuels des PCA/PRA

     Les présentations attendues devront proposer une vision technique,
 scientifique ou organisationnelle. Les présentations à fin commerciale
 ou la présentation d'un produit ne seront pas acceptées. Cependant, les
 propositions présentant une analyse technique de la sécurité d'un produit,
 un comparatif fondé sur des tests scientifiques, et les retours
 d'expérience avec un aspect technologique, seront examinées avec attention.
     Chaque soumission d'une à deux pages avec un résumé de moins de 15 lignes
 précisera le titre de la communication et sa catégorie (Attaque, Technique,
 Organisationnel & Humain, Juridique), les noms et prénoms du ou des auteurs
 et leur affiliation, et l'adresse de courrier électronique d'au moins un des
 auteurs.

 Les conférences seront d'un format de 35 minutes, plus 5 minutes réservées
 à des questions.

 Le comité de programme qui sélectionnera les conférenciers et le contenu
 du colloque à partir des soumissions reçues est composé de Marc Jacob et
 Emmanuelle Lamandé (Global Security Mag, organisateur), Olivier Guérin
 (CLUSIF), Philippe Humeau (NBS), Diane Mullenex (Cabinet Ichay et Mullenex),
 Olivier Revenu (EdelWeb), Hervé Schauer (HSC) et Paul Such (SCRT).

     - Date limite de soumission : 25 juillet 2010
       --> mais il est encore possible de faire des soumissions durant aout !
       Envoi des soumissions par courriel à Marc.Jacob at globalsecuritymag.com
     - Notification aux auteurs : 20 septembre 2010
     - Envoi des présentations définitives : 30 octobre 2010
     - Conférence : 30 novembre 2010

 Pour en savoir plus : http://www.gsdays.fr/



--[ 8. Offre d'emploi ]-------------------------------------------------

     HSC recrute des consultants organisationnels en sécurité des systèmes
 d'information, afin :
       - D'accompagner ses clients dans leur démarche de gouvernance de la
         SSI (SMSI/ISO27001)
       - D'accompagner ses clients dans la gestion des risques de sécurité de
         l'information
       - Plus généralement, de participer aux projets utilisant les normes
         de la série ISO27K pour répondre aux attentes de ses clients.

 Les qualités recherchées sont les suivantes :
     - Discrétion et capacité à travailler sur des projets sensibles, des
       infrastructures vitales, etc
     - Compréhension du modèle économique de l'activité d'expertise
     - Maîtrise de l'informatique et des technologies de l'information
     - Bonne qualité de rédaction en français
     - Bon contact humain

 Les qualités suivantes seront un plus apprécié :
     - Connaissance des notions de système d'information et sa sécurisation
     - Compréhension des enjeux du pilotage de la SSI par les risques
     - Maîtrise de l'état d'esprit pour la fourniture de service à valeurs
       ajoutées
     - Adaptabilité au contexte d'un client
     - Autonomie
     - Bonne expression à l'oral

 Les ingénieurs sélectionnés pourront être formés à la sécurité et sur les
 normes ISO 27001 et ISO 27005 par HSC, soit en tout 2 à 6 semaines de
 formations.

 Les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la gare
 Saint-Lazare.
 Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
 votre CV en texte ascii par courrier électronique à cv at hsc.fr.



--[ 9. Nouveautés du site web HSC ]-------------------------------------

 - Brève : "Nouvel outil d'extraction de clés SSL en mémoire 'passe-partout'"
   par Nicolas Collignon et Jean-Baptiste Aviat
   http://www.hsc.fr/ressources/breves/passe-partout.html.fr

 - Schéma de modélisation de la norme ISO 27005, version 1.2, présenté
   le 25 juin 2010 au JSSIA du Clusir-Aquitaine, est disponible en PDF
   vectoriel en téléchargement ici :
http://www.hsc.fr/ressources/presentations/clusiraq10-27005/HSC-Modelisation-ISO27005.pdf
   Il est accessible depuis l'URL situé sur la page de la présentation :
   http://www.hsc.fr/ressources/presentations/clusiraq10-27005/



--[ 10. Agenda des interventions publiques ]----------------------------

 - 14 septembre 2010 - OSSIR - Paris
  "Compte-rendu des conférences Blackhat & Defcon Las Vegas"
   Jean-Baptiste Aviat et Yves Le Provost
   http://www.ossir.org/

 - 12 octobre 2010 - Journée Techniques Réseaux - Lyon
   "La Sécurité ToIP/VoIP" - Jean-Baptiste Aviat
   https://listes.cru.fr/wiki/jtr.prog.2010/public/programme

 - 20 octobre 2010 - Journées RSSI - Paris
   "Les webshells ou comment ouvrir les portes de son réseau ?" - Renaud
   Dubourguais

 - 2 décembre 2010 - Conférence "Actualité du droit des systèmes
   d'information" - Paris
   "Comment sécuriser juridiquement ses données hébergées dans les
   nuages ?" - Frédéric Connes
   http://www.comundi.fr/

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 9. Prochaines formations HSC ]--------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        ISO 27001 Lead Implementer    ..........    : 6 au 10 septembre (#) (C)
        ISO 2000-1 Lead Auditor    .............    : 13 au 17 septembre (#)
        ISO 27001 Lead Auditor    ..............    : 13 au 17 septembre (#)
        Information Security Foundations    ....    : 21 et 22 septembre (#)
        Fondamentaux techniques de la SSI    ...    : 23 et 24 septembre
        Essentiel de la série ISO27001    ......    : 23 et 24 septembre
        Gestion des identités et des accès    ..    : 27 au 29 septembre
        Sécurité des serveurs et applications web   : 27 au 29 septembre (*)
        Indicateurs & tableaux de bord SSI/ISO27004 : 30 septembre
        Sécurité du WiFi    .....................   : 30 sept. et 1er oct. (*)
        Mutualisation ISO 27001/autres référentiels : 1er octobre
        Réalisation pratique des Tests d'Intrusion  : 4 au 8 octobre (*)
        ISO 27001 Lead Implementer    ..........    : 4 au 8 octobre (#)
        Formation RSSI    ......................    : 11 au 15 octobre
        Essentiel de PCI-DSS    ................    : 21 octobre 2010
        Sécurité Windows    ....................    : 25 et 26 octobre (*)
        Sécurité Unix et Linux    ..............    : 27 et 28 octobre (*)
        Programmation sécurisée en PHP    ......    : 3 au 5 novembre (*)
        Juridique de la SSI    .................    : 29 et 30 novembre
        Mesures de sécurité ISO 27002   ........    : 20 et 21 décembre
        Sécurité du Cloud Computing    .........    : 10 au 12 janvier 2011
        Sécurité de la VoIP   ..................    : 2011

 (*) : formations avec travaux pratiques avec un ordinateur par stagiaire
 (#) : formations certifiantes
 (C) : session de formation complète

 - Luxembourg
        ISO 27005 Risk Manager    ..............    : 20 au 22 septembre (#)
        ISO 27001 Lead Implementer    ..........    : premier semestre 2011 (#)

 - Bordeaux
        Correspondant Informatique et Libertés .    : 25 et 26 novembre (2010)

 - Clermont-Ferrand
        Correspondant Informatique et Libertés .    : 8 et 9 décembre 2011

 - Lille
        Correspondant Informatique et Libertés .    : 14 et 15 avril 2011

 - Limoges
        Correspondant Informatique et Libertés .    : 17 et 18 octobre 2011

 - Lyon
        Correspondant Informatique et Libertés .    : 7 et 8 avril 2011
        ISO 27001 Lead Implementer    ..........    : 6 au 10 juin 2011 (#)

 - Montpellier
        Correspondant Informatique et Libertés .    : 10 et 11 février 2011
        ISO 27005 Risk Manager   ...............    : 14 au 16 mars 2011 (#)
        ISO 27001 Lead Auditor    ..............    : 23 au 27 mai 2011 (#)

 - Nantes
        ISO 27005 Risk Manager    ..............    : 11 au 13 octobre (#)
        Correspondant Informatique et Libertés .    : 10 et 11 octobre 2011

 - Nice
        Correspondant Informatique et Libertés .    : 10 au 11 mars 2011

 - Strasbourg
        ISO 27005 Risk Manager    ..............    : 22 au 24 novembre (#)
        Correspondant Informatique et Libertés .    : 14 et 15 février 2011

 - Toulouse
        ISO 27001 Lead Implementer    ..........    : 21 au 25 mars 2011 (#)
        ISO 27005 Risk Manager    ..............    : 9 au 11 mai 2011 (#)
        Correspondant Informatique et Libertés .    : 3 et 4 octobre 2011


 (#) : formations certifiantes

 Pour tout renseignement, et pour vous inscrire pour toutes les villes
 sauf Luxembourg, contactez Lynda Benchikh :
 formations at hsc.fr  --  +33 141 409 704

 Pour les formations à Luxembourg contactez Sylvie Favaut de Dimension Data :
 Sylvie.Favaut at eu.didata.com
 Tél : +352 25 48 25 321  --  GSM : +352 621 31 20 88  --  Fax : +352 25 48 30

 Retrouvez les tarifs des formations dans la Newsletter n° 64 de janvier 2010
 au chapitre 6 : http://www.hsc-news.com/archives/2010/000064.html

 Vous souhaitez des formations dans votre ville ? Contactez Hervé Schauer,
 HSC est allé donné des formations inter-entreprises à Marseille, Niort,
 Papeete, Rennes, etc à la demande des entreprises locales.

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue en PDF sur http://www.hsc-formation.fr/



--[ 12. Actualité des associations : Club 27001 et OSSIR ]---------------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris le jeudi 16 septembre
     . Conférence annuelle du Club 27001
     . Réunion suivante à Paris le jeudi 16 septembre puis conférence
       fin novembre ou début décembre : pensez à soumettre des
       propositions (voir paragraphe 6)
     . Prochaine réunion à Toulouse à la rentrée
     . Prochaine réunion à Marseille à la rentrée
     . Prochaine réunion à Rennes annoncée prochainement
     Inscrivez-vous sur la liste de Toulouse, Marseille, etc. sur
     www.club-27001.fr pour avoir l'activité des clubs en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris mardi 14 septembre
         - Zscaler par Damien Charette et Frédéric Benichou (Zscaler)
         - Compte-rendu des conférences Blackhat & Defcon Las Vegas
           par Jean-Baptiste Aviat et Yves Le Provost (HSC)
     . Réunion suivante à Paris mardi 12 octobre
         - Le framework Digital-Forensics par Solal Jacob (ArxSys)
         - présentation par ExoSec (en cours de confirmation)
     . Prochaine réunion à Toulouse mardi 21 septembre
         - programme en cours de confirmation
     . Prochaine réunion à Rennes en fin d'année
     . Prochaine réunion à Lyon au dernier trimestre



--[ 13. Le saviez vous ? La réponse ]------------------------------------

 SSH permet de multiplexer plusieurs canaux au travers de sa
 connexion. Les deux canaux les plus connus étant le relais TCP et le
 relais SOCKS.
 
 La mise en place d'un relais TCP (options -L ou -R) peut-être effectuée
 lors de la connexion à l'aide de la commande suivante :
 
 user at local$ ssh -L 8080:10.0.0.1:80 user at remote
 
 Toute connexion locale sur le port 8080 sera redirigée sur le port 80
 de la machine 10.0.0.1. Cette IP est accédée depuis le serveur distant.
 De la même façon, en remplaçant 10.0.0.1 par un nom d'hôte, le nom est
 alors résolu par le serveur distant et non par la machine locale, ce
 qui permet par exemple ceci :

 user at local$ ssh -L 8080:intranet:80 user at remote
 
 Une solution alternative est l'utilisation du relais SOCKS intégré
 dans le client SSH. De cette manière il est possible de se connecter
 sur l'ensemble des machines distantes sans avoir à les renseigner
 une à une. L'application cliente devra néanmoins supporter
 l'utilisation de relais SOCKS. Si ce n'est pas le cas, alors il est
 fréquent d'utiliser l'encapsuleur tsocks ou socksify de Dante, après
 avoir spécifié les plages d'adresses concernées et le relais SOCKS
 dans leur fichier de configuration respectif :

 user at local$ tsocks wget http://10.0.0.1/...
 user at local$ tsocks telnet 10.0.0.1 80 ...
 
 Dans SSH, ce canal peut-être activé par la commande suivante :
 
 user at local$ ssh -D1080 user at remote

 Le protocole implémenté est SOCKS4 ou SOCKS5, ne permettant donc pas
 la résolution des noms DNS au travers du proxy SOCKS. De plus, seuls
 les connexions TCP sont relayées par le proxy SOCKS.
 
 Tous ces mécanismes peuvent également être activés dynamiquement à
 l'aide du caractère d'échappement ~C proposant un interpréteur de
 commande SSH :
 
 user at local$ ~C 
 ssh> help Commands:
 -L[bind_address:]port:host:hostport Request local forward
 -R[bind_address:]port:host:hostport Request remote forward
 -D[bind_address:]port Request dynamic forward 
 -KR[bind_address:]port Cancel remote forward 
 ssh> -D1080 
 Forwarding port.
 
 Il est ainsi possible d'ajouter dynamiquement un relais SOCKS ou TCP.
 
 Ces mécanismes de relais TCP sont autorisés par défaut sur les
 serveurs SSH (par la directive AllowTcpForwarding).
 
 Néanmoins l'utilisation de tels relais ne permet pas le relayage de
 tout type de paquet. Il n'est par exemple pas possible d'envoyer des
 paquets en mode "RAW" (envoi de SYN, de paquets spoofés).
 
 La troisième et dernière solution offerte par SSH est la possibilité
 de créer un tunnel IP entre les deux machines. Cette solution de
 dernier recours est néanmoins très contraignante. C'est toutefois la
 seule solution pour faire transiter tout type de paquet IP, notamment
 UDP, sans utiliser d'autre logiciel (nc ou socat).
 
 L'utilisation de cette fonctionnalité nécessite d'être root sur la
 machine locale mais également de se connecter en root sur la machine
 distante. Il est également nécessaire d'ajouter une directive
 (désactivée par défaut) sur le serveur distant afin d'autoriser
 l'utilisation du tunnel.
 
 Les deux options à activer sur le serveur distant sont les suivantes :
 
 PermitTunnel yes    # Tunnel autorisé 
 PermitRootLogin yes # Connexion en root
 
 La connexion SSH est effectuée avec l'option -w. Ci dessous nous
 demandons la création de l'interface locale tun0 qui sera relayée sur
 l'interface tun66 du serveur distant :
 
 root at local# ssh -w 0:66 root at remote 
 Last login: Thu Jul 29 10:55:31 2010 from 10.0.0.1
 
 root at remote#
 
 Il ne reste plus qu'a affecter une adresse IP sur les deux machines :
 
 root at local# ifconfig tun0 10.254.254.253 pointopoint 10.254.254.254
 root at remote# ifconfig tun66 10.254.254.254 10.254.254.253
 
 L'accès aux machines du réseau distant pourra ainsi être effectué au
 travers d'une configuration réseau classique (proxy ARP ou NAT).

   	   	 	       	      		Olivier Dembour




Plus d'informations sur la liste de diffusion newsletter