[Newsletter HSC] N°82 - Juin 2011
Newsletter d'information de HSC
newsletter at hsc-news.com
Mer 1 Juin 10:37:43 CEST 2011
========================================================================
HSC Newsletter -- N°082 -- juin 2011
========================================================================
« C'est une chose précieuse qu'une langue dont la discrétion est sûre. »
[Euripide]
--[ Sommaire ]----------------------------------------------------------
1. Editorial "Full disclosure ?"
2. Le saviez-vous ? La question
3. Compte-rendu des GS-DAYS 2011
4. Formations 'SANS Institute' avec HSC
5. Offres d'emploi : consultants & stagiaires techniques & orga
6. Nouveautés du site web HSC
7. Agenda des interventions publiques
8. Prochaines formations HSC
Profitez des places restantes : CIL à Rennes et Risk Manager à Nice
9. Actualité des associations : Club 27001 et OSSIR
10. Le saviez-vous ? La réponse
--[ 1. Editorial - Stéphane Milani ]------------------------------------
Le full disclosure, un mal récurrent ?
Full disclosure, Responsible disclosure, Limited disclosure,
Gentleman disclosure, Beer disclosure, No disclosure, etc.
Le débat sur le "full disclosure" n'est définitivement pas terminé.
Preuve en est concernant une présentation qui devait avoir lieu durant
une énième conférence sécurité, TakeDownCon, et qui a été annulée par
le DHS (Department of Homeland Security) américain et par Siemens.
Cette présentation était sensée se focaliser sur des vulnérabilités
concernant les automates (PLC : Programmable logic controller) de Siemens.
Nous avons toujours pensé chez HSC que les faiblesses concernant ces
types d'équipements ne devaient pas être rendues publiques, mais rester
privées à l'éditeur ou aux clients commanditaires des tests. HSC
privilégie une logique de "Limited disclosure" tout simplement car les
risques encourus ne sont pas de même nature qu'une vulnérabilité sur
une application Web.
Un contournement de l'authentification d'un site en Wordpress n'a
pas le même impact que compromettre un PLC d'un système industriel.
Dans un cas, une défiguration de site Web se produit, dans l'autre une
atteinte au processus industriel peut être faite et provoquer des dégâts
physiques conséquents sur la nature, les hommes, etc.
Les conséquences du risque ne sont donc vraiment pas les mêmes, ce n'est
pas juste une perte financière mais cela peut être une explosion, une
intoxication de masse par une modification des pourcentages de produits
chimiques, etc. Si la conséquence du risque lié à la vulnérabilité
découverte est fixée à catastrophique, alors il ne faut pas publier
cette vulnérabilité directement (pas de full disclosure), pour éviter
qu'un Jean-Kevin tente ce qu'il ne faut pas et provoque la catastrophe.
Le passage par l'éditeur et le CERT correspondant doit donc bien
être respecté (responsible disclosure ou limited disclosure), et
attendre que la correction soit faite... ou pas.
Et ce "ou pas" est typiquement LA problématique de faire remonter
les vulnérabilités aux éditeurs, du fait que le travail du chercheur
sera rarement reconnu par ces derniers, voire payé par l'éditeur
("No More Free Bugs"), et la vulnérabilité rarement corrigée, voire
tout simplement dénigrée... le chercheur devra donc prendre son mal
en patience.
Toutefois, lorsqu'une vulnérabilité est découverte, qu'elle est
non publique et n'apparaît nulle part, ceci ne veut pas dire que
quelqu'un d'autre ne l'a pas déjà également découverte (et donc qu'il
la garde sous le coude, ou alors qu'il a déjà contacté l'éditeur).
Aussi, si les éditeurs ne jouent pas le jeu d'accepter les remontées
de vulnérabilités découvertes, un marché parallèle aura tôt fait
d'attirer les bonnes âmes non écoutées prêchant la bonne parole.
Aussi, le chercheur en question interdit de présentation avait
averti par avance le ICS-CERT
(http://www.us-cert.gov/control_systems/ics-cert/)
et le CERT Siemens (http://www.siemens.com/cert), et a travaillé avec
eux pour expliquer les vulnérabilités :
http://news.infracritical.com/pipermail/scadasec/2011-May/019934.html
Par ailleurs, le message suivant est typique du manque d'implication
et de compréhension des éditeurs concernant la sécurité de leurs produits :
https://twitter.com/#!/SCADAhacker/status/71124494181347328
"In Feb, I privately disclosed controller vulns with a vendor. Their
answer "we don't negotiate with terrorists." Wake up."
Cependant, ceci ne doit pas occulter le fait que les clients doivent
implémenter une bonne architecture réseau, car les équipements industriels
qui sont directement accessibles depuis Internet, cela existe bel et bien,
y compris chez des pays réputés comme étant des attaquants.
Il suffit de faire une petite recherche avec des sites d'utilité publique
comme Shodan (http://www.shodanhq.com/) ou eripp (http://eripp.com/) pour
vite se rendre compte de l'ampleur des dégâts.
Aussi, les HMI (Human Machine Interface) exposées directement sur Internet
devraient être bannies. Surtout lorsque l'interface d'authentification Web
est vulnérable à une injection SQL...
Donc, la divulgation doit être faite en fonction de l'impact du risque
encouru. La vraisemblance est inutile ici, puisque c'est simplement "est-ce
possible, oui ou non ?", en l'occurrence ça sera toujours "oui" puisque la
vulnérabilité existe.
Les éditeurs doivent accepter de recevoir les divulgations des
chercheurs en sécurité afin de comprendre et analyser leurs vulnérabilités
sur les équipements en fonction des risques. De même, les chercheurs en
sécurité doivent accepter que certaines vulnérabilités critiques ne
peuvent être rendues publiques dans l'immédiat. Car oui, contrôler ou
faire planter un PLC (automate) est autrement plus critique qu'un spip.log
accessible ou qu'un XSS dans Wordpress.
HSC continue à penser que les vulnérabilités concernant les PLC et les
systèmes SCADA en général ne peuvent pas être rendues publiques.
--[ 2. Le saviez-vous ? La question ]-----------------------------------
Comment échanger le contenu de deux variables sans utiliser de variable
intermédiaire ?
Réponse au paragraphe 10.
--[ 3. Compte-rendu des GS-DAYS 2011 ]----------------------------------
par Grégoire Besluau, Xavier Feraud et Quentin Gaumer
"Convaincre sans contraindre", telle est la devise des GS DAYS qui se sont
déroulés à Paris à la Porte Saint-Martin le 10 mai dernier. Opération
réussie pour les divers intervenants, qui nous ont présenté avec brio
leurs travaux techniques, juridiques et organisationnels. Rendez-vous
l'an prochain le mardi 3 avril 2012.
Conférence plénière
-------------------
Après une remise de prix, le débat a commencé sur le sujet
"Les équipes sécurité dans la tourmente des nouveaux moyens de communication".
Un débat avec Eric Doyen (Club 27001/Generali), Paul-Olivier Gibert
(AFCDP/AG2RLaMondiale), Diane Mullenex (avocate), Hervé Schauer
(membre du comité de programme de la conférence/HSC) et Julien Rolet (Saur),
gagnant du concours annuel du calendrier de GlobalSecurityMag.
Il en ressort que la frontière est de plus en plus fine entre les données
personnelles et professionnelles au sein d'une entreprise. Surtout avec
l'avènement des ordiphones personnels raccordés au SI de l'entreprise ou les
ordiphones professionnels raccordés aux box Internet de la sphère familiale.
Il a été souligné par Diane Mullenex que l'employé utilise de plus en plus
les moyens de l'entreprise à des fins personnelles. Ce à quoi, Hervé Schauer a
répondu que l'employé utilise également son temps et son ordinateur personnel
pour travailler.
Démonstrations d'exploitation de vulnérabilités
-----------------------------------------------
Par les membres de l'ARCSI issus du ministère de la Défense, trois
démonstrations d'exploitation de failles ont été faites :
- Injection SQL grâce à l'outil Havij
- Injection WiFi entre un iPhone et un drone
- Recopie de carnet d'adresses Iphone avec Viber
Ces démonstrations à destination d'un public peu technique ont pour but
de démontrer que la plupart des failles de sécurité peuvent être exploitées
facilement.
Se protéger gratuitement des intrusions, par Nicolas Ruff d'EADS IW
-------------------------------------------------------------------
Même si aujourd'hui nous parlons d'APT, le mode opératoire des attaquants
reste le même. Beaucoup d'attaques dites "sophistiquées" sont le résultat de
mauvaises configurations du système d'information et des solutions simples
auraient permis de s'en prémunir. Nicolas Ruff a expliqué deux idées
simples :
La signature d'applications et les arbres d'exécution processus :
Il est possible de définir des règles dans Windows, permettant de bloquer
l'exécution d'une application non signée. Cette même option permet également
d'exécuter des applications non signées, en mode bac à sable.
Dans Windows 7 la "Software Restriction Policy" permet d'empêcher
l'exécution d'applications qui ne sont pas sur C:. Cette configuration permet
de restreindre la propagation de logiciels malfaisants en provenance des
clefs USB, car il faut volontairement recopier les logiciels de la clef vers
le disque C:. Nicolas Ruff admet que cela ne protégerait en rien des logiciels
tels que flash-player ou shockwave.
La seconde idée est d'utiliser le nom du processus parent du processus
à exécuter. Sous Linux, il existe un système de contrôle d'accès obligatoire
aux applications dans Tomoyo Linux, permettant de décrire les profils. Si
un processus change de comportement et/ou de droits, il est possible de
suspecter une intrusion : principe des pare-feu personnels qui ne sont
pas très ergonomiques et qui génèrent beaucoup de faux positifs.
De plus, les pare-feu personnels ne permettent pas de bloquer les
attaques mais de les détecter. A condition de bien lire les fenêtres
surgissant et de prendre les bonnes décisions, impossible pour un
humain. Une fenêtre demandant s'il faut bloquer le lancement d'IE ou de
Firefox à la lecture d'un document Acrobat reader n'est pas facilement
compréhensible pour qui veut juste lire un document.
En conclusion, il est inutile d'investir dans des solutions de sécurité
très coûteuses, alors que l'application de simples règles, gratuites et
disponibles dans les OS, permet de limiter les impacts d'une intrusion.
iOS (Apple) Reverse Engineering, présenté par Julien Bachmann de SCRT
---------------------------------------------------------------------
Cette conférence technique a présenté l'architecture d'une application
Apple iOS.
Extraction des empreintes de mots de passe en environnement Windows
-------------------------------------------------------------------
Par Thibaut Leveslin d'HSC, qui a expliqué en détail comment sont stockées
les empreintes des mots de passe dans un environnement Windows, comment les
récupérer, et, comment les casser.
La présentation est consultable à l'adresse suivante :
http://www.hsc.fr/ressources/presentations/gsdays2011_empreintes/index.html.fr
Démonstration d'un WAF Open-Source par Thibaut Koechlin, NBS System
-------------------------------------------------------------------
Présenté comme étant une contre-mesure aux vulnérabilités WEB.
Il devient de plus en plus urgent de former les développeurs au
développement sécurisé.
Firewall applicatif : placé en amont de l'application à protéger pour
identifier des schémas d'attaques par exemple.
Mod_security: Open source et présenté comme assez bon. Principalement pour
Apache.
Nginx: serveur web et reverse proxy.
NAXSI: interdire les caractères qui n'ont rien à faire dans des requêtes
normales.
Il est compliqué de paramétrer une liste blanche.
Pour qu'un firewall applicatif fonctionne correctement, il faut écrire peu
de règles et qu'elles soient assez simples, de façon à faciliter la
maintenance.
Biométrie et authentification au SI : mythes et réalités
--------------------------------------------------------
Présenté par Benoît Tanguy, Solucom
Benoit Tanguy a exposé les problèmes de reconnaissance des mesures
biométriques (empreintes de doigts, reconnaissance de l'oeil) : il existe
toujours des erreurs de reconnaissance, aussi faut-il se fixer un seuil à
partir duquel la mesure est considérée comme bonne. Si le seuil est trop
faible, alors il y a risque de faire des erreurs de reconnaissance, ce qui
est problématique. A l'inverse, un seuil trop haut entraîne un risque de ne
pas reconnaître les bonnes personnes.
Actuellement, l'efficacité biométrique dans les systèmes les plus répandus
est équivalente à un code à 4 chiffres.
Sachant qu'il est facile de récupérer les empreintes digitales (par exemple)
d'individus dans des gels alimentaires, la technologie est discutable.
Des solutions consistent à coupler cette mesure biométrique à la biométrie
veineuse (étude des vaisseaux sanguins), mais cela revient vite cher à
l'entreprise.
Seule, la biométrie n'est donc pas un système d'authentification forte. Pour
arriver à une authentification forte, il faut étudier 3 aspects :
1) Ce que je sais (secret, mot de passe etc)
2) Ce que j'ai (badge, carte d'accès)
3) Ce que je suis (empreinte, oeil)
2 éléments parmi les 3 permettent une authentification forte.
De plus, la réglementation est contraignante à ce propos. En effet, utiliser
des mesures biométriques à trace (ie récupérables à l'insu d'une personne)
stockées dans des bases centrales n'est pas toléré par la CNIL par exemple.
Enfin, l'efficacité de la biométrie réside en partie à l'enrôlement
(enregistrement premier de la mesure, qui va servir de référence de
l'individu). Beaucoup de projets échouent à cause d'une mauvaise gestion de
l'enrôlement. A titre d'exemple, la peau n'est pas « la même » lorsque vous
sortez de la piscine ou encore que vous mangez une pizza avec les doigts. Ces
pratiques entraînent des taux de rejets parfois importants.
En conclusion, la biométrie peut être un point d'appui au renforcement de la
sécurité, mais cette technologie n'est pas encore auto-suffisante ni
correctement déployée. Le fait que Microsoft se mette au développement des
mesures biométriques va aider à la maturité de cette technologie et à
l'émergence de ces pratiques.
Axe de réflexion autour d'une doctrine de cyber défense au sein d'un
--------------------------------------------------------------------
opérateur
---------
Présenté par Stéphane Sciacco, Orange Business Services.
Stéphane Sciacco introduit le sujet en demandant quoi faire lorsque le SI
subit une attaque et que la contre-attaque est (logiquement) impossible. La
notion de résilience (ie résistance) est définie. Elle est entendue comme la
capacité à absorber tout type de crise et se restructurer.
Cette résilience repose sur 4 principes :
1) Augmentation de la confiance (éduquer et former les acteurs)
2) Se préparer aux attaques (travail organisationnel)
3) Durcissement (capacité à se défendre des attaques)
4) Gestion de crise (communication pendant les problèmes, etc.)
Se préparer aux attaques (point 2) : consiste à tester le système mis en
place via des exercices (intrusions etc). Notion à séparer de celle d'audit.
Cette partie consiste à tester les mesures de sécurité mises en place
c'est-à-dire ce qui a été prévu.
Durcissement (point 3) : consiste au maintien dans le temps des défenses :
- Veille
- Anticipation
- Correction
- Détection
- Stratégie globale de défense
Puis ont été traités les aspects de management en PDCA et mis en discussion
les bienfaits de la certification (27k notamment).
Les limites de la DLP pour répondre à toute la problématique de la fuite
-------------------------------------------------------------------------
d'information
-------------
Présenté par Christophe d'Arcy, MIRCA
DLP : Data Loss Prevention : Ensemble de techniques qui identifient,
surveillent et protègent l'information qu'elle soit stockée en mouvement ou
en cours d'utilisation. La prévention de la fuite de l'information est basée
sur des politiques centralisées et une analyse approfondie du contenu.
- Perte d'informations : lutter en faisant des sauvegardes
- Vol d'informations : difficile à identifier/quantifier
- Fuite d'informations : perte de contrôle de l'information, très
problématique.
- Prévention : prendre conscience que les données sont sensibles, que le
phénomène de fuite d'information n'arrive pas qu'aux autres et que le
problème est essentiellement humain : 80% des données volées viennent
du personnel autorisé à l'accès à ces données.
Il faut se protéger contre soi-même !
Savoir quoi protéger : 5% des données en moyenne sont réellement critiques.
La DG doit être fortement impliquée. De plus, la DLP doit être considérée
comme une application métier (et non seulement comme un problème technique).
La DLP est construite de la manière suivante : Conception (Objectifs,
Politique) et Mise en Oeuvre (Implémentation, Suivi)
--[ 4. Formations 'SANS Institute' avec HSC ]---------------------------
Hervé Schauer Consultants est centre de formation agréé du SANS Institute
depuis janvier 2011 et les consultants HSC sont devenus instructeurs du SANS
Institute (SANS "Mentor"). Le SANS Institute (www.sans.org) propose les
formations et les certifications 'GIAC' (www.giac.org) les plus reconnues
au monde en sécurité technique.
Les consultants HSC sont entre 4 et 10 par an à suivre des formations SANS
Institute sans discontinuer chaque année depuis 1998.
HSC propose depuis 22 ans des formations techniques en sécurité avec la
Sécurité Unix en 1989, la Sécurité TCP/IP en 1991, et un programme qui n'a
cessé de s'enrichir au fil des années et des nouvelles technologies.
HSC a une expérience incomparable des formations en sécurité avec travaux
pratiques, notamment avec le succès de la formations pratique aux tests
d'intrusion lancée en 2007.
Les formations du SANS Institute assurées par HSC sont toujours délivrées
par au moins deux consultants. Elles sont toujours délivrées par des
consultants qui ont entièrement suivi les formations du SANS Institute
qu'ils redonnent, en plus évidemment d'avoir la certification GIAC et
d'être instructeurs SANS.
Après le succès de la session FOR508 dispensée le mois dernier, HSC
proposera petit à petit la totalité des formations techniques du SANS
Institute. Les ordinateurs des travaux pratiques sont fournis par HSC.
Voici notre planning des sessions de formations SANS Institute :
* Network Penetration Testing and Ethical Hacking ... : 26 au 30 septembre
SANS Institute SEC560
permettant de tenter la certification GIAC GPEN
http://www.hsc-formation.fr/formations/ethical_hacking.html.fr
* Sécuriser Windows / SANS Institute SEC505 ......... : 10 au 14 octobre
permettant de tenter la certification GIAC GCWN
http://www.hsc-formation.fr/formations/securiser_windows.html.fr
* Analyse inforensique et réponse aux incidents ..... : 24 au 28 octobre
SANS Institute FOR508
permettant de tenter la certification GIAC GCFA
http://www.hsc-formation.fr/formations/forensic.html.fr
* Tests d'intrusion applicatifs et hacking éthique .. : 1er semestre 2012
(Web App Penetration Testing and Ethical Hacking)
permettant de tenter la certification GIAC GWAPT
SANS Institute SEC542
http://www.hsc-formation.fr/formations/webapp_pentest_and_ethical_hacking.html.fr
* Tests d'Intrusion avancés, exploits, hacking éthique : 1er semestre 2012
SANS Institute SEC660
http://www.hsc-formation.fr/formations/test-d-intrusion-avance.html.fr
* Défense des applications web ...................... : 1er semestre 2012
(Defending Web Applications Security Essentials)
permettant de tenter la certification GIAC GCWAD
SANS Institute DEV522, à destination des développeurs
http://www.hsc-formation.fr/formations/defending_webapp_security_essentials.html.fr
--[ 5. Offres d'emploi ]------------------------------------------------
HSC recrute des stagiaires et des consultants en sécurité des systèmes
d'information, aussi bien en sécurité technique qu'en sécurité fonctionnelle
organisationnelle et juridique.
Pour les aspects techniques de la sécurité, afin :
- D'auditer la sécurité d'infrastructures et d'applications variées
- De faire des tests d'intrusion artisanaux qui intrusent
- De procéder à des enquêtes et des analyses post-incident
- Plus généralement de participer aux projets techniques en sécurité
Pour les aspects fonctionnels, organisationnels et juridique de la sécurité,
afin :
- D'accompagner aux démarches de gouvernance de la SSI, notamment lors
de la mise en place de SMSI suivant la norme ISO 27001
- De réaliser ou d'assister dans la gestion des risques de sécurité de
l'information (ISO 27005, EBIOS, etc)
- D'élaborer des procédures et documents synthétiques et pragmatiques
(politiques, chartes, etc)
- Plus généralement, de participer aux projets utilisant les normes
de la série ISO27K pour répondre aux attentes des clients.
Les qualités recherchées sont les suivantes :
- Bonne qualité de rédaction en français
- Bon contact humain
- Maîtrise de l'informatique et des technologies de l'information,
notamment la technique pour les candidats techniques
et compréhension des enjeux du pilotage de la SSI par les risques
pour les candidats organisationnels
- Discrétion et capacité à travailler sur des projets sensibles, des
infrastructures vitales, etc
- Compréhension du modèle économique de l'activité d'expertise
- Passion pour la sécurité
Les qualités suivantes seront un plus apprécié :
- Adaptabilité au contexte d'un client
- Autonomie
- Bonne expression à l'oral
- Maîtrise de l'état d'esprit pour la fourniture de services à valeurs
ajoutées
Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC,
aussi bien sur les normes ISO 27001 et ISO 27005 ou le juridique de la SSI,
qu'aux tests d'intrusion, l'inforensique, ou la sécurité Windows et la
sécurité des applications web. Cela représente pour chaque nouveau
consultant de 2 à 6 semaines de formations suivies dans le cadre de
sa prise de fonction.
HSC recherche également des stagiaires en fin d'étude pour des stages de
pré-embauche pour des postes de consultants, soit au sein de l'équipe
technique, soit au sein de l'équipe organisationnelle.
Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la gare
Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2).
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV en texte ascii par courrier électronique à cv at hsc.fr.
--[ 6. Nouveautés du site web HSC ]-------------------------------------
- Présentation "Extraction des empreintes de mots de passe en environnement
Windows", par Thibaud Leveslin, le 10 mai 2011 aux GS-DAYS 2011
http://www.hsc.fr/ressources/presentations/gsdays2011_empreintes/
- Présentation "Compte rendu de la conférence Infiltrate 2011", par
Guillaume Thiaux, le 17 mai 2011 à l'OSSIR-Paris
http://www.hsc.fr/ressources/presentations/ossir-infiltrate-2011/
- Présentation "Retour d'expérience sur l'implémentation du RGS",
par Emeric Laroche, le 27 mai 2011 à la conférence RSSIA 2011 à Bordeaux
http://www.hsc.fr/ressources/presentations/clusir_implementation_rgs/
--[ 7. Agenda des interventions publiques ]-----------------------------
- 10 juin 2012 - SSTIC 2011 - Rennes - Conférence de clôture invitée
"Sécurité ?" - Hervé Schauer
http://www.sstic.org/2011/programme/
- 12 juin 2012 - Hack In Paris 2011 - Disneyland Paris
"Skyrack: ROP for masses" - Jean-Baptiste Aviat
http://www.hackinparis.com/calendar_hip/2011-W25
- 23 juin 2012 - OpenDay - Toulouse, ENSEEIHT
Participation à l'atelier "Sécurité et Cloud" - Frédéric Connes
http://www.lamelee.com/autres-manifestations/openday-23-juin-2011-2.html
- 21 septembre 2011 - Netfocus - Lyon
"Que faut-il faire avant de mettre votre nouvelle offre (application) en
ligne sur le WEB ?" - Jean-Baptiste Aviat
http://netfocus.baptie.com/themes/hawaii/events/ViewEvent.aspx?evId=1294102d-7430-481b-b00f-c2d03dffa90f&sc=
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 8. Prochaines formations HSC ]--------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
Réalisation pratique des Tests d'Intrusion : 6 au 10 juin (*)
ISO 27001 Lead Auditor .............. : 20 au 24 juin (#) (C)
ISO 27001 Lead Implementer .......... : 27 juin au 1er juillet(#)
ISO 27005 Risk Manager .............. : 4 au 6 juillet (#)
ISO 27001 Lead Auditor .............. : 4 au 8 juillet (#)
ISO 27001 Lead Implementer .......... : 5 au 9 septembre (#)
ISO 27001 Lead Auditor .............. : 12 au 16 septembre (#)
ISO 27005 Risk Manager .............. : 19 au 21 septembre (#)
Formation DNSSEC ..................... : 20 et 21 septembre
Risk Manager Avancé ................. : 22 et 23 septembre
Essentiel de la série ISO27001 ...... : 22 et 23 septembre
PenTesting/Ethical Hacking(SANS SEC560/GPEN): 26 au 30 septembre (*)(#)
Information Security Foundations .... : 3 et 4 octobre (#)
Gestion des identités et des accès .. : 5 au 7 octobre
Sécurité des serveurs et applications web : 5 au 7 octobre (*)
Sécuriser Windows (SANS SEC505 / GIAC GCWN) : 10 au 14 octobre (*)(#)
Formation RSSI ...................... : 10 au 14 octobre
Analyse inforensique (SANS FOR508 / GCFA) : 24 au 28 octobre (*)(#)
Fondamentaux techniques de la SSI ... : 24 et 25 octobre
Correspondant Informatique et Libertés : 26 et 27 octobre
Essentiel de PCI-DSS ................ : 28 octobre
Sécurité Unix et Linux .............. : 7 et 8 novembre (*)
Indicateurs & tableaux de bord SSI/ISO27004 : 10 novembre
Sécurité du WiFi .................... : 28 et 29 novembre (*)
Juridique de la SSI ................. : 1 et 2 décembre
Mesures de sécurité ISO 27002 ........ : 19 et 20 décembre
(*) : formations avec travaux pratiques avec un ordinateur par stagiaire
(#) : formations certifiantes
(C) : session de formation complète
- Luxembourg
ISO 27001 Lead Implementer .......... : 26 au 30 septembre (#)
ISO 27005 Risk Manager .............. : 28 au 30 novembre (#)
ISO 27001 Lead Auditor .............. : 1er semestre 2012 (#)
- Clermont-Ferrand
Correspondant Informatique et Libertés : 8 et 9 décembre 2011
- Limoges
Correspondant Informatique et Libertés : 17 et 18 octobre 2011
- Nantes
Correspondant Informatique et Libertés : 10 et 11 octobre 2011
- Nice
ISO 27005 Risk Manager .............. : 27 au 30 juin 2011 (#)
- Poitiers
Correspondant Informatique et Libertés : 17 et 18 novembre 2011
- Rennes
Correspondant Informatique et Libertés : 16 au 17 juin 2011
- Toulouse
Correspondant Informatique et Libertés . : 3 et 4 octobre 2011
ISO 27001 Lead Auditor .............. : 1er semestre 2012 (#)
ISO 27005 Risk Manager .............. : 1er semestre 2012 (#)
(#) : formations certifiantes
Pour tout renseignement, et pour vous inscrire pour toutes les villes
contactez Elodie Helvin : formations at hsc.fr -- +33 141 409 704
(Note : Elodie Helvin remplace Lynda Benchikh jusqu'en juillet 2011)
Retrouvez les tarifs des formations dans la Newsletter n° 64 de janvier 2010
au chapitre 6 : http://www.hsc-news.com/archives/2010/000064.html
Vous souhaitez des formations dans votre ville ? Contactez Hervé Schauer,
HSC est allé donner des formations inter-entreprises à Marseille, Niort,
Papeete, Rennes, etc à la demande des entreprises locales.
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue en PDF sur http://www.hsc-formation.fr/
--[ 9. Actualité des associations : Club 27001 et OSSIR ]----------------
o Club 27001 (http://www.club-27001.fr/)
. Prochaine réunion à Paris jeudi 7 juillet à 14h00
- Programme en cours d'élaboration
. Réunion suivante à Paris le jeudi 20 octobre
- Programme en cours d'élaboration
. Lancement des réunions du Club 27001 à Rennes et Lyon prochainement
. Prochaine réunion à Toulouse le vendredi 24 juin au CNES
- RGS : retour d'expérience par Jeröme Clery, CNES
- RGS : retour d'expérience par Claire Albouy Cossard, CNAMTS
- RGS : retour d'expérience présenté par Olivier Poussin - ASP
. Prochaines à Marseille, Rennes et Lyon annoncées sur
www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
sur les liste de Toulouse, Marseille, etc, sur www.club-27001.fr
pour avoir l'activité du Club 27001 en région.
o OSSIR (http://www.ossir.org/)
. Prochaine réunion à Paris le mardi 12 juillet
- TrackUP security - sécurité des courriels, par Lionel Obin et
Yannick Denis (Market Espace)
- Compte-rendu de la conférence SSTIC 2011
- Revue d'actualité par Nicolas Ruff (EADS)
. Réunion suivante à Paris le mardi 13 septembre
- Programme en cours d'élaboration
. Prochaine réunion à Toulouse le mardi 13 septembre
- Programme en cours d'élaboration
. Prochaine réunion à Rennes à la rentrée
. Prochaine réunion à Lyon annoncée prochainement
--[ 10. Le saviez-vous ? La réponse ]------------------------------------
Cette technique est couramment utilisée en informatique, et peut
permettre de se tirer de certains mauvais pas.
La solution vient de l'utilisation de la fonction "ou exclusif", également
appelée "xor".
Avec deux booléens a et b, la fonction xor produit les résultats suivants :
a | b | a xor b
---|---|--------
0 | 0 | 0
0 | 1 | 1
1 | 0 | 1
1 | 1 | 0
En stockant dans b le résultat de l'opération, et en l'appliquant à nouveau
entre ce nouveau b et l'ancien a, et en stockant le résultat dans a, la
variable a aura pris la valeur de b. Réitérer l'opération en choisissant b
comme destination viendra à bout de l'échange.
Mais un schéma peut être beaucoup plus clair :)
a | b | a xor b | (a xor b) xor a | (a xor b) xor b
---|---|--------------------------------------------
0 | 0 | 0 | 0 | 0
0 | 1 | 1 | 1 | 0
1 | 0 | 1 | 0 | 1
1 | 1 | 0 | 1 | 1
---|---|--------------------------------------------
a | b | a xor b | = b | = a
d'où :
((a xor b) xor a) = b
Ainsi, les trois opérations suivantes permettent d'échanger a et b :
b <- (a xor b)
a <- (a xor b) xor a = b
b <- (a xor b) xor b = a
Cette technique est notamment utilisée dans le RAID 5, où un disque dur
contient le xor de tous les autres et permet, en cas de défaillance de l'un,
d'en obtenir à nouveau les données.
Enfin, les techniques d'exploitation telles que le return oriented
programming (ROP) peuvent exploiter cette caractéristique pour échanger la
valeur de deux registres sans en polluer un troisième, afin de paller à
l'absence d'instructions 'xchg' adéquates.
Par exemple, rax et rbx peuvent être échangés en chaînant les trois
instructions suivantes :
xor rbx, rax | b <- (a xor b)
xor rax, rbx | a <- (a xor b) xor a = b
xor rbx, rax | b <- (a xor b) xor b = a
Jean-Baptiste Aviat
Plus d'informations sur la liste de diffusion newsletter