[Newsletter HSC] N°72 - Août 2010
Newsletter d'information de HSC
newsletter at hsc-news.com
Mar 3 Aou 10:40:41 CEST 2010
========================================================================
HSC Newsletter -- N°072 -- août 2010
========================================================================
"Si l'on passait l'année entière en vacances; s'amuser serait aussi
épuisant que travailler."
[ William Shakespeare ]
--[ Sommaire ]----------------------------------------------------------
1. Editorial
2. Le saviez vous ? La question
3. Consultants certifiés
4. Nouvelle formation : Correspondant Informatique et Libertés
5. Lauréat du prix de l'Innovation des Assises de la Sécurité : ArxSys
6. Appel à communication pour la conférence "SMSI et normes ISO 27001"
7. Appel à communication des GS-Days 2010
8. Offre d'emploi : consultants sécurité organisationnels
9. Nouveautés du site web HSC
10. Agenda des interventions publiques
11. Prochaines formations HSC
12. Actualité des associations : Club 27001 et OSSIR
13. Le saviez vous ? La réponse
--[ 1. Editorial - Raphael Marichez ]-----------------------------------
Des virus exploitant des vulnérabilités "grand public", avec la
complicité de grandes firmes étrangères, pour cibler un système
industriel précis ?
Dans les romans, oui... Du moins jusqu'à ce mois de juillet 2010.
Les publications autour des vers "Stuxnet" démontrent en effet un
tournant certain concernant les attaques informatiques visant les
systèmes de supervision, de contrôle et d'acquisition de données (SCADA),
mais également concernant la responsabilité des entités qui signent les
certificats des PKI.
Pour tenter de résumer, dans un premier temps la société biélorusse
"VirusBlokAda" détecte le 17 juin les vers alors nommés Trojan-Spy.0485
et Malware-Cryptor.Win32.Inject.gen.2, et publie le 10 juillet [1] un
communiqué détaillé sur ces vers. Les premières preuves d'infection
proviennent du Moyen-Orient, une zone toutefois assez peu équipée en
logiciels de protection. Il faudra attendre le 20 juillet pour qu'une
preuve d'infection dans un pays occidental soit publiquement annoncée
[2]. Le mode de propagation du virus est classique (USB), mais la
vulnérabilité exploitée touche très largement les systèmes Windows, et
est relativement originale (erreur dans la gestion des raccourcis .lnk)
sans être toutefois inédite.
L'analyse des binaires montre ensuite que ces vers tentent d'accéder à
un certain système de gestion de base de données utilisé par un SCADA
de Siemens. La méthode de connexion, et le mot de passe utilisé, sont
alors divulgués sur Twitter le 16 juillet [3]. De plus, les binaires
sont signés par un certificat émis très officiellement par la société
Realtek, ce qui lui permet d'exécuter du code en mode noyau après
validation des protections Windows.
Enfin, le 17 juillet, ESET découvre un autre code malveillant
fonctionnant sur le même principe et signé par JMicron, un autre
fournisseurs de composants matériels et de pilotes de périphériques
associés. JMicron et Realtek sont tous deux établis à Taïwan. ESET [4]
aurait observé un binaire compilé le 14 juillet, donc signé au plus tôt
le 14 juillet, ce qui indique qu'au moins un des "distributeurs" de ces
vers reste actif malgré les publications et analyses autour du premier
vers publiées progressivement à partir du 10 juillet.
[1] http://anti-virus.by/en/tempo.shtml
[2] http://www.networkworld.com/news/2010/072010-siemens-german-customer-hit-by.html
[3] http://twitter.com/41414141/status/18682726074
[4] http://blog.eset.com/2010/07/19/win32stuxnet-signed-binaries
Cette série de vers relève-t-elle alors d'un outil d'espionnage
industriel dont les concepteurs auraient perdu la maîtrise ? D'une
série de coïncidences malheureuses ? D'un "proof-of-concept" avant une
exploitation plus large ? ou d'un résultat de travaux de recherche qui
aurait été compromis ? Toutes les hypothèses sont ouvertes pour les
amateurs de fiction...
Par le passé, HSC a été régulièrement consulté, surtout pour son
expertise technique [5], à propos de la menace informatique sur les
SCADA. Plusieurs interventions dans la lettre mensuelle HSC depuis
2007 y font également référence. Les constats de la convergence IP et
de l'interconnexion des systèmes menaient nécessairement à considérer
une menace issue de l'informatique traditionnelle comme étant du
domaine du possible, sans toutefois être confirmée par des incidents
rendus publics. Les seules attaques avérées dans ce domaine touchaient,
et massivement, les services généraux, moins critiques que les SCADA.
Pour autant, HSC n'a jamais été alarmiste, les menaces sur les SCADA
restant nécessairement ciblées, les systèmes critiques étant
relativement isolés, et les méthodes d'attaque "protégées" par
l'opacité des protocoles... pour le tout-venant, mais évidemment pas
pour les acteurs du métier. Ce n'est en effet qu'une question de temps
avant que le secret des vulnérabilités ne soit compromis. Il faut
également tenir compte du cycle de vie des systèmes industriels (20
ans, 30 ans) : la convergence IP s'intègre très progressivement dans
les systèmes existants, mais pour longtemps, ce qui laisse des fenêtres
d'exposition considérables au moins pour la prochaine décennie, face à
des attaquants dont les techniques peuvent être déployées en quelques
heures.
A ce titre, la recommandation publiée par Siemens de ne pas tenter de
modifier soi-même les mots de passe utilisés par ses applications ne
surprendra personne : un tel système n'est pas prévu pour évoluer de la
sorte au long de son cycle de vie. C'est certainement cette convergence
entre les principes de sécurité de l'informatique traditionnelle et la
sécurité des SCADA qui sera la clé pour les systèmes actuellement en
cours de conception ou de déploiement.
[5] http://www.hsc.fr/ressources/presentations/netfocus10-scada/
--[ 2. Le saviez vous ? La question ]-----------------------------------
Lors d'un test d'intrusion, il est parfois possible d'obtenir une
connexion SSH sur une machine distante située dans un réseau fortement
filtré.
Quels sont les 3 mécanismes permettant d'utiliser cette
connexion pour accéder aux autres machines de son réseau ?
Réponse au paragraphe 13.
--[ 3. Consultants certifiés ]------------------------------------------
Guillaume Lehembre et Géraldine André sont désormais certifiés GIAC
GCFA : Certified Forensics Analyst.
http://www.giac.org/certified_professionals/listing/gcfa.php
Ces deux nouveau certifiés confirment l'engagement d'HSC dans les
prestations d'enquêtes après incidents dans le respect des procédures
légales, en profitant de la double compétence technique et juridique
que regroupe la société.
Pour en savoir plus : http://www.hsc.fr/services/forensics.html.fr
--[ 4. Nouvelle formation : Correspondant Informatique et Libertés ]----
Le poste de CIL, Correspondant Informatique et Libertés, est
désormais une fonction clé au sein des entreprises, qu'il soit ou pas
déclaré en tant que CIL à la CNIL. C'est une fonction à la fois juridique
et informatique de plus en plus sensible, au coeur de la gouvernance
d'entreprise qui impose un haut niveau d'expertise.
La "Formation CIL" conçue par HSC a pour objectif de donner aux personnes
exerçant ou devant exercer les fonctions de Correspondant Informatique et
Libertés (CIL) les connaissances indispensables à l'accomplissement de leurs
missions. La formation est conçue par Frédéric Connes, docteur en droit,
également ingénieur en informatique et spécialisé en sécurité des systèmes
et réseaux, avec la contribution de l'équipe des consultants en sécurité
d'HSC.
La Formation CIL apporte aux stagiaires l'ensemble des éléments juridiques
dont ils auront besoin pour mener à bien leurs missions, par une approche
se voulant résolument pratique et proche des problèmes concrets auxquels
un CIL est confronté quotidiennement. La formation traite notamment des
notions indispensables de sécurité de l'information.
Le cours alterne les phases d'exposé magistral et d'exercices pratiques
invitant les participants à se mettre en situation et à réfléchir aux
possibilités de réponses juridiques et techniques aux problèmes concrets
qui leur sont posés.
Durée : 2 jours.
Formateur : Frédéric Connes, docteur en droit et ingénieur en informatique
Prochaines sessions :
- Paris : 21 et 22 octobre 2010
- Bordeaux : 25 et 26 novembre 2010
Des sessions sont planifiées à Clermont-Ferrand, Lille, Limoges, Lyon,
Montpellier, Nantes, Nice, Poitiers, Rennes, Toulouse, etc.
Vous souhaitez une session de formation inter-entreprise au CIL dans votre
ville ? Contactez Hervé Schauer.
Objectifs, Pré-Requis, méthode pédagogique, plan détaillé et dates des
formations en province disponibles sur :
http://www.hsc-formation.fr/formations/cil.html.fr
Pour tout renseignement et pour vous inscrire contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 5. Lauréat du prix de l'Innovation des Assises de la Sécurité : ArxSys ]
Pour la première fois le Prix de l'Innovation des Assises de la
Sécurité prime un logiciel libre.
Le Prix de l'Innovation récompense cette année ArxSys, éditeur de solutions
d'informatique légale ou forensique.
ArxSys développe Digital Forensics Framework (DFF), spécialement conçu
pour la collecte, la recherche, l'analyse et l'extraction d'éléments de
preuve numérique.
Ouvert aux entreprises européennes créées depuis moins de 3 ans, le Prix
de l'Innovation des Assises de la Sécurité, animé par Hervé Schauer,
récompense depuis 5 ans les meilleurs projets du domaine de la sécurité des
systèmes d'information. Il permet à une jeune entreprise de bénéficier d'un
accès aux Assises de la Sécurité afin de démontrer son produit ou son
service, avec la remise du prix en séance plénière le jeudi 7 octobre 2010.
Le jury s'est basé sur le caractère innovant de la solution présentée,
et son intérêt pour les responsables de la sécurité des systèmes
d'information. L'évolution technologique a fait naître de nouveaux moyens
et outils permettant de retracer et comprendre une scène de piratage.
L'informatique légale est un domaine peu représenté sur le marché français
de la sécurité, pourtant, une organisation doit être capable de développer
des systèmes d'analyse permettant de répondre aux questions fondamentales
lorsqu'un incident se produit.
Arxsys, fondée en juillet 2009 est la première société française éditrice
de logiciels libres dédiés a l'informatique légale et la réponse sur
incident. DFF est un environnement multiplateforme et modulaire conçu pour
la collecte, la recherche, l'analyse et l'extraction d'éléments de preuve
numérique. Le framework s'intègre en compléments des systèmes de sécurité
traditionnels. Il apporte aux RSSI des possibilités d'investigation
jusqu'alors réservées aux seuls spécialistes.
DFF est disponible au téléchargement depuis septembre 2009.
ArxSys : http://www.arxsys.fr/
Digital Forensics Framework : http://www.digital-forensic.org/
Communiqué de presse :
http://www.les-assises-de-la-securite.com/LinkClick.aspx?fileticket=unquC-qwrEU=
--[ 6. Appel à communication 4ème conférence "SMSI et normes ISO 27001" ]--
Le Club 27001 (http://www.club-27001.fr/), association à but non
lucratif, organise à Paris la 30 novembre 2010 (réservez votre date !)
sa quatrième conférence annuelle autour des normes ISO 27001. Celle-ci
se déroulera dans le cadre des GS-Days dans sa propre salle.
La conférence annuelle du Club 27001 privilégie les retours d'expérience
dans l'utilisation des normes de la série ISO 27000, qu'il s'agisse de la
mise en oeuvre d'une des normes, leur usage, y compris sans certification.
Voici les thèmes sur lesquels nous attendons des propositions, sans
que ceux-ci soient exhaustifs :
- Mise en oeuvre d'un SMSI
. Retour d'expérience
. ISO 27003 et reprise de l'existant
. Comment engager la direction générale
. Systèmes de Management Intégrés (ISO 9001, 14001, 20000-1, etc.) avec
ISO 27001
. Mise en place d'audits internes
. Utilisation de l'ISO 19011 et ISO 27006
- Management des risques en sécurité de l'information
. Retour d'expérience de mise en oeuvre de l'ISO 27005
. Technique d'entretien et d'implication des métiers
. Échelles et calcul du risque
. Interactions avec les autres gestions des risques : opérationnels,
industriels, CHSCT, financiers, etc.
. Usage de l'ISO 27005 dans les projets, les systèmes embarqués, etc.
. Migration d'EBIOS ou Mehari vers ISO 27005
- Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
. Gouvernance de la SSI, de la sécurité en général, de l'IT, du management
des risques
. Mutualisation, opposition, complémentarité, déclencheur, etc.
. ISO 20000-1 / ITIL (services informatiques)
. BS25599 ou ISO 22301 (continuité d'activité),
. CobiT (audit informatique, contrôle interne)
. PCI-DSS, SoX, Bâle II, Solvency II, RGS, hébergeur données de santé,
ARJEL, etc.
- Indicateurs, métriques et tableaux de bord
. Retour d'expérience
. Usage de l'ISO 27004
. Liens avec d'autres référentiels
- Certification ISO27001 et audits de SMSI
. Retour d'expérience des accréditeurs, des organismes de certification,
des auditeurs et des audités.
- Applications sectorielles de l'ISO 27001 : télécommunications, santé, etc.
. Utilité et usage du référentiel appliqué à un métier (27011, 27799, etc)
. Complémentarité avec le référentiel métier (WLA, etc.)
- Formation et certifications individuelles
. Comment et pourquoi se former aux SMSI ?
Les propositions doivent faire part d'un retour d'expérience pratique
et ne doivent pas être la présentation d'une offre de service, d'un
produit ou plus généralement d'une solution commerciale. Le comité de
programme sera sensible à l'aspect pratique des propositions.
Les présentations feront de 35 à 45 minutes et seront en français ou en
anglais.
Contenu des soumissions à envoyer à conference at club-27001.fr :
- Nom de l'auteur, biographie et affiliation
- Synopsis d'une page maximum de l'intervention avec un plan de celle-ci
Calendrier
- 9 juillet 2010 : date limite de réception des soumissions
--> exceptionellement étendu à fin aout
- 17 septembre 2010 : notification aux auteurs et
publication du pré-programme
- 15 octobre 2010 : publication du programme définitif
- 19 novembre 2010 : réception des présentations
- 30 novembre 2010 : conférence
Le comité de programme est composé des membres de l'association élus au
conseil d'administration, soit :
- Nicolas Andreu, Devoteam
- Bertrand Augé, Kleverware, trésorier
- Gérôme Billois, Solucom
- Dominique Ciupa, Bull
- Eric Doyen, Crédit Immobilier, président
- Emmanuel Garnier, Systalians, vice-président
- Catherine Guelou, CRAM-Bretagne
- Loic Guézo, IBM
- Bruno Michaud, Trans-Z
- Anne Mur, Edelweb
- Hervé Schauer, HSC, secrétaire
- Jérôme Vivier, Thales
--[ 7. Appel à communication pour le colloque des GS-Days 2010 ]-----------
Les GS Days se dérouleront le 30 novembre 2010 à l'espace Saint-Partin
à Paris 3ième. Les GS Days, organisés par le magazine GlobalSecurityMag, ont
l'objectif d'établir le dialogue entre le monde de la technique
(administrateurs, experts sécurité), les RSSI, DSI et les décideurs. Le
colloque proposera plusieurs cycles de conférences et de démonstrations
d'attaques informatique, sous un angle technique, organisationnel et
juridique.
Les thèmes retenus sont les suivants :
o Les aspects techniques et les attaques sur :
- Les navigateurs : XSS, CSRF, etc.
- Les OS
- Les technologies sans fil : Wifi, RFID, etc.
- Les terminaux mobiles
- Le matériel : mémoire, interface FireWire, ACPI, etc.
- Les systèmes SCADA et l'informatique embarquée
o L'évolution des moyens de protection techniques
- Sur le Web : WAF, etc.
- Sur les données (DLP)
- Avec l'ouverture des SI et la dépérimétrisation
o Les aspects organisationnels et humains
- Ingénierie sociale
- Les nouveaux usages du SI : les réseaux sociaux et les applications
en ligne
- La gestion des risques opérationnels
- La gestion des risques du télétravail
- Les PCA et PRA
- Pourquoi et comment sécuriser l'information ?
- La doctrine SSI ou comment convaincre son entreprise d'investir dans
un projet de sécurité
- Comment sécuriser une architecture complexe dans un environnement
hétérogène ?
o Les aspects juridiques
- Les réseaux sociaux
- Le télétravail
- Les transactions électroniques
- Les aspects contractuels des PCA/PRA
Les présentations attendues devront proposer une vision technique,
scientifique ou organisationnelle. Les présentations à fin commerciale
ou la présentation d'un produit ne seront pas acceptées. Cependant, les
propositions présentant une analyse technique de la sécurité d'un produit,
un comparatif fondé sur des tests scientifiques, et les retours
d'expérience avec un aspect technologique, seront examinées avec attention.
Chaque soumission d'une à deux pages avec un résumé de moins de 15 lignes
précisera le titre de la communication et sa catégorie (Attaque, Technique,
Organisationnel & Humain, Juridique), les noms et prénoms du ou des auteurs
et leur affiliation, et l'adresse de courrier électronique d'au moins un des
auteurs.
Les conférences seront d'un format de 35 minutes, plus 5 minutes réservées
à des questions.
Le comité de programme qui sélectionnera les conférenciers et le contenu
du colloque à partir des soumissions reçues est composé de Marc Jacob et
Emmanuelle Lamandé (Global Security Mag, organisateur), Olivier Guérin
(CLUSIF), Philippe Humeau (NBS), Diane Mullenex (Cabinet Ichay et Mullenex),
Olivier Revenu (EdelWeb), Hervé Schauer (HSC) et Paul Such (SCRT).
- Date limite de soumission : 25 juillet 2010
--> mais il est encore possible de faire des soumissions durant aout !
Envoi des soumissions par courriel à Marc.Jacob at globalsecuritymag.com
- Notification aux auteurs : 20 septembre 2010
- Envoi des présentations définitives : 30 octobre 2010
- Conférence : 30 novembre 2010
Pour en savoir plus : http://www.gsdays.fr/
--[ 8. Offre d'emploi ]-------------------------------------------------
HSC recrute des consultants organisationnels en sécurité des systèmes
d'information, afin :
- D'accompagner ses clients dans leur démarche de gouvernance de la
SSI (SMSI/ISO27001)
- D'accompagner ses clients dans la gestion des risques de sécurité de
l'information
- Plus généralement, de participer aux projets utilisant les normes
de la série ISO27K pour répondre aux attentes de ses clients.
Les qualités recherchées sont les suivantes :
- Discrétion et capacité à travailler sur des projets sensibles, des
infrastructures vitales, etc
- Compréhension du modèle économique de l'activité d'expertise
- Maîtrise de l'informatique et des technologies de l'information
- Bonne qualité de rédaction en français
- Bon contact humain
Les qualités suivantes seront un plus apprécié :
- Connaissance des notions de système d'information et sa sécurisation
- Compréhension des enjeux du pilotage de la SSI par les risques
- Maîtrise de l'état d'esprit pour la fourniture de service à valeurs
ajoutées
- Adaptabilité au contexte d'un client
- Autonomie
- Bonne expression à l'oral
Les ingénieurs sélectionnés pourront être formés à la sécurité et sur les
normes ISO 27001 et ISO 27005 par HSC, soit en tout 2 à 6 semaines de
formations.
Les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la gare
Saint-Lazare.
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV en texte ascii par courrier électronique à cv at hsc.fr.
--[ 9. Nouveautés du site web HSC ]-------------------------------------
- Brève : "Nouvel outil d'extraction de clés SSL en mémoire 'passe-partout'"
par Nicolas Collignon et Jean-Baptiste Aviat
http://www.hsc.fr/ressources/breves/passe-partout.html.fr
- Schéma de modélisation de la norme ISO 27005, version 1.2, présenté
le 25 juin 2010 au JSSIA du Clusir-Aquitaine, est disponible en PDF
vectoriel en téléchargement ici :
http://www.hsc.fr/ressources/presentations/clusiraq10-27005/HSC-Modelisation-ISO27005.pdf
Il est accessible depuis l'URL situé sur la page de la présentation :
http://www.hsc.fr/ressources/presentations/clusiraq10-27005/
--[ 10. Agenda des interventions publiques ]----------------------------
- 14 septembre 2010 - OSSIR - Paris
"Compte-rendu des conférences Blackhat & Defcon Las Vegas"
Jean-Baptiste Aviat et Yves Le Provost
http://www.ossir.org/
- 12 octobre 2010 - Journée Techniques Réseaux - Lyon
"La Sécurité ToIP/VoIP" - Jean-Baptiste Aviat
https://listes.cru.fr/wiki/jtr.prog.2010/public/programme
- 20 octobre 2010 - Journées RSSI - Paris
"Les webshells ou comment ouvrir les portes de son réseau ?" - Renaud
Dubourguais
- 2 décembre 2010 - Conférence "Actualité du droit des systèmes
d'information" - Paris
"Comment sécuriser juridiquement ses données hébergées dans les
nuages ?" - Frédéric Connes
http://www.comundi.fr/
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 9. Prochaines formations HSC ]--------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
ISO 27001 Lead Implementer .......... : 6 au 10 septembre (#) (C)
ISO 2000-1 Lead Auditor ............. : 13 au 17 septembre (#)
ISO 27001 Lead Auditor .............. : 13 au 17 septembre (#)
Information Security Foundations .... : 21 et 22 septembre (#)
Fondamentaux techniques de la SSI ... : 23 et 24 septembre
Essentiel de la série ISO27001 ...... : 23 et 24 septembre
Gestion des identités et des accès .. : 27 au 29 septembre
Sécurité des serveurs et applications web : 27 au 29 septembre (*)
Indicateurs & tableaux de bord SSI/ISO27004 : 30 septembre
Sécurité du WiFi ..................... : 30 sept. et 1er oct. (*)
Mutualisation ISO 27001/autres référentiels : 1er octobre
Réalisation pratique des Tests d'Intrusion : 4 au 8 octobre (*)
ISO 27001 Lead Implementer .......... : 4 au 8 octobre (#)
Formation RSSI ...................... : 11 au 15 octobre
Essentiel de PCI-DSS ................ : 21 octobre 2010
Sécurité Windows .................... : 25 et 26 octobre (*)
Sécurité Unix et Linux .............. : 27 et 28 octobre (*)
Programmation sécurisée en PHP ...... : 3 au 5 novembre (*)
Juridique de la SSI ................. : 29 et 30 novembre
Mesures de sécurité ISO 27002 ........ : 20 et 21 décembre
Sécurité du Cloud Computing ......... : 10 au 12 janvier 2011
Sécurité de la VoIP .................. : 2011
(*) : formations avec travaux pratiques avec un ordinateur par stagiaire
(#) : formations certifiantes
(C) : session de formation complète
- Luxembourg
ISO 27005 Risk Manager .............. : 20 au 22 septembre (#)
ISO 27001 Lead Implementer .......... : premier semestre 2011 (#)
- Bordeaux
Correspondant Informatique et Libertés . : 25 et 26 novembre (2010)
- Clermont-Ferrand
Correspondant Informatique et Libertés . : 8 et 9 décembre 2011
- Lille
Correspondant Informatique et Libertés . : 14 et 15 avril 2011
- Limoges
Correspondant Informatique et Libertés . : 17 et 18 octobre 2011
- Lyon
Correspondant Informatique et Libertés . : 7 et 8 avril 2011
ISO 27001 Lead Implementer .......... : 6 au 10 juin 2011 (#)
- Montpellier
Correspondant Informatique et Libertés . : 10 et 11 février 2011
ISO 27005 Risk Manager ............... : 14 au 16 mars 2011 (#)
ISO 27001 Lead Auditor .............. : 23 au 27 mai 2011 (#)
- Nantes
ISO 27005 Risk Manager .............. : 11 au 13 octobre (#)
Correspondant Informatique et Libertés . : 10 et 11 octobre 2011
- Nice
Correspondant Informatique et Libertés . : 10 au 11 mars 2011
- Strasbourg
ISO 27005 Risk Manager .............. : 22 au 24 novembre (#)
Correspondant Informatique et Libertés . : 14 et 15 février 2011
- Toulouse
ISO 27001 Lead Implementer .......... : 21 au 25 mars 2011 (#)
ISO 27005 Risk Manager .............. : 9 au 11 mai 2011 (#)
Correspondant Informatique et Libertés . : 3 et 4 octobre 2011
(#) : formations certifiantes
Pour tout renseignement, et pour vous inscrire pour toutes les villes
sauf Luxembourg, contactez Lynda Benchikh :
formations at hsc.fr -- +33 141 409 704
Pour les formations à Luxembourg contactez Sylvie Favaut de Dimension Data :
Sylvie.Favaut at eu.didata.com
Tél : +352 25 48 25 321 -- GSM : +352 621 31 20 88 -- Fax : +352 25 48 30
Retrouvez les tarifs des formations dans la Newsletter n° 64 de janvier 2010
au chapitre 6 : http://www.hsc-news.com/archives/2010/000064.html
Vous souhaitez des formations dans votre ville ? Contactez Hervé Schauer,
HSC est allé donné des formations inter-entreprises à Marseille, Niort,
Papeete, Rennes, etc à la demande des entreprises locales.
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue en PDF sur http://www.hsc-formation.fr/
--[ 12. Actualité des associations : Club 27001 et OSSIR ]---------------
o Club 27001 (http://www.club-27001.fr/)
. Prochaine réunion à Paris le jeudi 16 septembre
. Conférence annuelle du Club 27001
. Réunion suivante à Paris le jeudi 16 septembre puis conférence
fin novembre ou début décembre : pensez à soumettre des
propositions (voir paragraphe 6)
. Prochaine réunion à Toulouse à la rentrée
. Prochaine réunion à Marseille à la rentrée
. Prochaine réunion à Rennes annoncée prochainement
Inscrivez-vous sur la liste de Toulouse, Marseille, etc. sur
www.club-27001.fr pour avoir l'activité des clubs en région.
o OSSIR (http://www.ossir.org/)
. Prochaine réunion à Paris mardi 14 septembre
- Zscaler par Damien Charette et Frédéric Benichou (Zscaler)
- Compte-rendu des conférences Blackhat & Defcon Las Vegas
par Jean-Baptiste Aviat et Yves Le Provost (HSC)
. Réunion suivante à Paris mardi 12 octobre
- Le framework Digital-Forensics par Solal Jacob (ArxSys)
- présentation par ExoSec (en cours de confirmation)
. Prochaine réunion à Toulouse mardi 21 septembre
- programme en cours de confirmation
. Prochaine réunion à Rennes en fin d'année
. Prochaine réunion à Lyon au dernier trimestre
--[ 13. Le saviez vous ? La réponse ]------------------------------------
SSH permet de multiplexer plusieurs canaux au travers de sa
connexion. Les deux canaux les plus connus étant le relais TCP et le
relais SOCKS.
La mise en place d'un relais TCP (options -L ou -R) peut-être effectuée
lors de la connexion à l'aide de la commande suivante :
user at local$ ssh -L 8080:10.0.0.1:80 user at remote
Toute connexion locale sur le port 8080 sera redirigée sur le port 80
de la machine 10.0.0.1. Cette IP est accédée depuis le serveur distant.
De la même façon, en remplaçant 10.0.0.1 par un nom d'hôte, le nom est
alors résolu par le serveur distant et non par la machine locale, ce
qui permet par exemple ceci :
user at local$ ssh -L 8080:intranet:80 user at remote
Une solution alternative est l'utilisation du relais SOCKS intégré
dans le client SSH. De cette manière il est possible de se connecter
sur l'ensemble des machines distantes sans avoir à les renseigner
une à une. L'application cliente devra néanmoins supporter
l'utilisation de relais SOCKS. Si ce n'est pas le cas, alors il est
fréquent d'utiliser l'encapsuleur tsocks ou socksify de Dante, après
avoir spécifié les plages d'adresses concernées et le relais SOCKS
dans leur fichier de configuration respectif :
user at local$ tsocks wget http://10.0.0.1/...
user at local$ tsocks telnet 10.0.0.1 80 ...
Dans SSH, ce canal peut-être activé par la commande suivante :
user at local$ ssh -D1080 user at remote
Le protocole implémenté est SOCKS4 ou SOCKS5, ne permettant donc pas
la résolution des noms DNS au travers du proxy SOCKS. De plus, seuls
les connexions TCP sont relayées par le proxy SOCKS.
Tous ces mécanismes peuvent également être activés dynamiquement à
l'aide du caractère d'échappement ~C proposant un interpréteur de
commande SSH :
user at local$ ~C
ssh> help Commands:
-L[bind_address:]port:host:hostport Request local forward
-R[bind_address:]port:host:hostport Request remote forward
-D[bind_address:]port Request dynamic forward
-KR[bind_address:]port Cancel remote forward
ssh> -D1080
Forwarding port.
Il est ainsi possible d'ajouter dynamiquement un relais SOCKS ou TCP.
Ces mécanismes de relais TCP sont autorisés par défaut sur les
serveurs SSH (par la directive AllowTcpForwarding).
Néanmoins l'utilisation de tels relais ne permet pas le relayage de
tout type de paquet. Il n'est par exemple pas possible d'envoyer des
paquets en mode "RAW" (envoi de SYN, de paquets spoofés).
La troisième et dernière solution offerte par SSH est la possibilité
de créer un tunnel IP entre les deux machines. Cette solution de
dernier recours est néanmoins très contraignante. C'est toutefois la
seule solution pour faire transiter tout type de paquet IP, notamment
UDP, sans utiliser d'autre logiciel (nc ou socat).
L'utilisation de cette fonctionnalité nécessite d'être root sur la
machine locale mais également de se connecter en root sur la machine
distante. Il est également nécessaire d'ajouter une directive
(désactivée par défaut) sur le serveur distant afin d'autoriser
l'utilisation du tunnel.
Les deux options à activer sur le serveur distant sont les suivantes :
PermitTunnel yes # Tunnel autorisé
PermitRootLogin yes # Connexion en root
La connexion SSH est effectuée avec l'option -w. Ci dessous nous
demandons la création de l'interface locale tun0 qui sera relayée sur
l'interface tun66 du serveur distant :
root at local# ssh -w 0:66 root at remote
Last login: Thu Jul 29 10:55:31 2010 from 10.0.0.1
root at remote#
Il ne reste plus qu'a affecter une adresse IP sur les deux machines :
root at local# ifconfig tun0 10.254.254.253 pointopoint 10.254.254.254
root at remote# ifconfig tun66 10.254.254.254 10.254.254.253
L'accès aux machines du réseau distant pourra ainsi être effectué au
travers d'une configuration réseau classique (proxy ARP ou NAT).
Olivier Dembour
Plus d'informations sur la liste de diffusion newsletter