[Newsletter HSC] N°87 - Novembre 2011
Newsletter d'information de HSC
newsletter at hsc-news.com
Mer 2 Nov 13:16:18 CET 2011
========================================================================
HSC Newsletter -- N°087 -- novembre 2011
========================================================================
« Il n'existe que deux choses infinies, l'univers et la bêtise
humaine... mais pour l'univers, je n'ai pas de certitude absolue »
[Albert Einstein]
* Reste des places pour ISO 27005 Risk Manager du 28 au 30 Nov à Luxembourg *
--[ Sommaire ]----------------------------------------------------------
1. Éditorial - Julien Reveret
2. Le saviez-vous ? La question
3. Nouvelle formation : "Gestion des incidents de sécurité / ISO27035"
4. Formation DNSSEC dispensée par Stéphane Bortzmeyer (AFNIC)
5. Nouvelle formation : "Référentiel Général de Sécurité (RGS)"
6. HSC partenaire de la 6ième Université de l'AFCDP des CIL
7. Appel à communication JSSI 2012
8. Appel à communication 5ème conférence "SMSI et normes ISO 27001"
9. Nouveautés du site web HSC
10. Offres d'emploi : consultants & stagiaires techniques & orga
11. Agenda des interventions publiques
12. Prochaines formations HSC
13. Actualité des associations : Club 27001, OSSIR et Clusif
14. Le saviez-vous ? La réponse
--[ 1. Éditorial - Julien Reveret ]------------------------------------
L'homme apprend de ses erreurs, paraît-il...
Nous sommes pourtant en novembre 2011 et certains éditeurs de solutions
de sécurité vendent ce qu'ils appellent des DBF (DataBase Firewall), éléments
de filtrage dédiés aux serveurs de base de données.
Le WAF ? C'est passé de mode et surtout maintenant que les RSSI se sont
aperçus que leur beau boitier n'empêchait pas la compromission de leurs
serveurs, il faut leur servir un autre discours.
Les antivirus ont échoué et échouent encore dans la détection de code
malfaisant, même si un processus de mise à jour est activé, les pare-feu
laissent passer certains flux qui sont autant de portes vers le réseau
interne de l'entreprise, les WAF ne réussissent pas à bloquer les 1001
façons dont un XSS peut être écrit. Pourquoi les DBF feraient-ils mieux dans
le domaine des injections SQL ?
Depuis de longues années, des professionnels dont HSC fait partie tentent de
faire passer un message clair : la sécurité n'est pas un produit. C'est en
sensibilisant les développeurs et les équipes techniques aux failles
applicatives et en appliquant les bonnes pratiques en programmation que le
niveau de sécurité peut augmenter.
Malheureusement les forces marketing des éditeurs de solution sécurité, à
grand renfort de présentations Powerpoint, de références clients et de
promesses de ROI, semblent arriver à se faire entendre par les décideurs
pressés. Mais pressés par qui, par quoi ?
Par les chefs de projets dont la plate-forme doit être mise en production
pour avant-hier et qui s'assurent de la sécurité au dernier moment au lieu
d'avoir pris en compte cet aspect essentiel dès le départ ?
Par les délais imposés aux équipes techniques, équipes à qui il est demandé
de travailler toujours plus vite et qui ne sont pas formées ? Normal, un
employé ou un prestataire compétent coûte plus cher.
Voyons les choses en face, il existe tellement de SGBD différents avec
autant de fonctionnalités, que prétendre bloquer les injections SQL relève
au mieux de la naïveté et au pire de l'escroquerie intellectuelle. Que fera
un DBF face à la fonction reverse() de postgresql ? Comment réagira-t-il
face à une connexion chiffrée de type Oracle ASO ? Sera-t-il à même de gérer
correctement l'encodage des caractères ?
Nous sommes en novembre 2011 et des gens vont encore se rendre compte dans
les semaines/mois/années à venir qu'un DBF ne protège pas de toutes les
injections SQL et qu'il faudra apporter des corrections au code de leurs
applications.
--[ 2. Le saviez-vous ? La question ]-----------------------------------
Ruby, Python, PHP et Perl (entre autres) sont des langages très déployés
aujourd'hui, et qui disposent de fonctions permettant d'assainir les chemins
d'accès aux fichiers et aux répertoires. Ces fonctions vont normaliser les
chaines de caractères pour résoudre les '..', les liens symboliques, etc. pour
ne retourner qu'une chaine correspondant au chemin absolu vers un
fichier/répertoire sur le système de fichiers.
Toutefois quelques nuances subsistent dans l'implémention de ces fonctions.
Quel est l'impact sur la sécurité entre les commandes suivantes ?
$> php -r "echo realpath('//../etc//passwd');"
$> python -c "import os; print os.path.abspath('//../etc//passwd')"
$> ruby -e "require 'pathname'; print Pathname.new('//../etc/passwd').realpath.to_s"
$> perl -e "use Cwd 'abs_path'; print abs_path('//../etc/passwd');"
Réponse au paragraphe 14.
--[ 3. Nouvelle formation : "Gestion des incidents de sécurité / ISO27035" ]
La gestion des incidents de sécurité dans un délai court et leur prise
en compte dans la gestion des risques et l'amélioration continue sont
imposés par l'ISO 27001. Le processus de gestion des incidents de sécurité
est un processus fondamental pour le succès d'une bonne organisation de la
sécurité des systèmes d'information. Un guide, la norme ISO27035, explicite
en détail comment organiser ce processus.
Aussi HSC a créé une nouvelle formation en une journée afin de vous
permettre de comprendre et savoir mettre en oeuvre concrètement dans son
SMSI le processus de gestion des incidents de sécurité et une équipe de
réponse aux incidents de sécurité (Information Security Incident Response
Team : ISIRT), et comprendre et savoir gérer les interactions du processus
de gestion des incidents de sécurité avec les autre processus dans son
organisme, par exemple savoir différencier incident informatique et incident
de sécurité, et apprendre à organiser son processus de gestion des incidents
de sécurité.
Première session à Paris le 21 juin 2012
Objectifs, formateurs, public visé et pré-requis, pédagogie et plan du cours :
http://www.hsc-formation.fr/formations/iso27035-gestion-incidents.html.fr
--[ 4. Formation DNSSEC dispensée par Stéphane Bortzmeyer (AFNIC) ]-----
L'AFNIC (www.afnic.fr) a signé avec Hervé Schauer Consultants (HSC)
un partenariat, permettant à HSC de proposer sa formation DNSSEC avec
des formateurs AFNIC.
L'AFNIC est le registre des noms de domaine .fr et .re notamment.
L'AFNIC est également fournisseur de solutions techniques et de services
de registre. L'AFNIC (Association Française pour le Nommage Internet en
Coopération) est composée d'acteurs publics et privés : représentants des
pouvoirs publics, utilisateurs et prestataires de services Internet
(bureaux d'enregistrement). Elle est à but non lucratif. Afin de toujours
mieux répondre aux attentes des professionnels, la formation DNSSEC
proposée par HSC sera désormais dispensée par Stéphane Bortzmeyer,
architecte système et réseau à l'AFNIC.
Bien que disponible depuis 2003 et déployé depuis 2005, DNSSEC ne
commence que seulement à se populariser, suite à son intégration dans
plusieurs domaines de premier niveau puis dans les serveurs racines en 2010,
élément clé de la chaîne de confiance.
Le DNS est le maillon faible des services sur internet, puisque rien ou
presque ne peut fonctionner sans lui : web, messagerie, téléphonie,
authentification, etc. Il est donc indispensable que le DNS soit résistant
aux dénis de services, aux usurpations d'identité d'un serveur, aux
altérations des données servies. DNSSEC apporte une solution à ce dernier
problème, tout en assurant la compatibilité avec l'infrastructure existante.
Cependant, DNSSEC est une technologie complexe, faisant appel à des
mécanismes de gestion des clés cryptographiques, demandant une configuration
délicate, une mise à jour et une surveillance régulières. La gestion d'un
service DNSSEC devient une tâche active et récurrente, des effets de bords
se sont manifestés grâce aux premiers retours d'expérience, et quelques
surprises se sont invitées, telles que des passages en TCP défaillants à
cause de pare-feux non adaptés. Deux questions se posent : DNSSEC est-il
vraiment utile dans son propre contexte ? Comment passer soi-même à DNSSEC
ou s'adapter au déploiement progressif de DNSSEC sur internet ?
Il convient donc de former les exploitants et administrateurs système et
réseau, ainsi que leurs responsables, de manière approfondie, pour comprendre
DNSSEC, tester DNSSEC par la pratique avec le logiciel ISC BIND, choisir de
le déployer ou pas, anticiper les risques liés au déploiement, ou vérifier
que son infrastructure est prête à accepter le déploiement de DNSSEC autour
de soi.
La formation DNS d'HSC se passe donc en deux jours et intègre désormais
un peu plus d'une journée sur DNSSEC avec des séances de travaux pratiques.
Prochaine session à Paris les 30 novembre et 1 décembre 2011.
Objectifs, formateur, public visé et pré-requis, pédagogie et plan du
cours : http://www.hsc-formation.fr/formations/dnssec.html.fr
--[ 5. Nouvelle formation : "Référentiel Général de Sécurité (RGS)" ]---
Le référentiel général de sécurité (RGS) s'impose aux autorités
administratives comme défini dans l'ordonnance 2005-1516 [1]. Il impose la
mise en place d'un niveau de sécurité des systèmes d'information adapté à
l'autorité administrative. Pour cela plusieurs étapes sont nécessaires comme
la définition d'une politique de sécurité, la réalisation de l'appréciation
des risques et l'homologation des systèmes.
La formation "RGS" d'HSC présente en un jour le RGS et les obligations ou
recommandations issues du référentiel, ainsi que les moyens de les mettre en
oeuvre. Cette formation s'adresse à toute personne ayant la nécessité de
connaître et comprendre le RGS et plus particulièrement, les responsables de
mise en conformité au RGS au sein des autorités administratives ainsi que des
fournisseurs de services à une autorité administrative.
Première session à Paris le 28 mars 2012.
Objectifs, formateurs, public visé et pré-requis, pédagogie et plan du cours :
http://www.hsc-formation.fr/formations/rgs.html.fr
[1] : http://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=EEAC0AD8BB6FDBA496016604250C6039.tpdjo02v_2?idArticle=LEGIARTI000006317133&cidTexte=LEGITEXT000006052816&dateTexte=20110803).
--[ 6. HSC partenaire de la 6ième Université de l'AFCDP des CIL ]---------
HSC est partenaire de la 6e Université de l'AFCDP des Correspondants
Informatique et Libertés, qui aura lieu le vendredi 27 janvier 2012.
Venez nous rejoindre sur notre stand pour découvrir nos offres de formation,
audit, conseil et veille à destination des CIL.
http://www.afcdp.net/Universite-des-CIL-2012-Avant
A cette occasion, Frédéric Connes, juriste et CIL chez HSC,
interviendra lors de la table-ronde "Cloud Computing et Contrat SaaS "Quel
rôle pour le CIL ?", animée par Bernard Foray (Casino).
--[ 7. Appel à communication pour la JSSI 2012 ]--------------------------
L'OSSIR (Observatoire de la Sécurité des Systèmes d'Information et
des Réseaux), association à but non lucratif, organise sa 11ème JSSI (Journée
de la Sécurité des Systèmes d'Information) annuelle le mardi 13 mars 2012 à
Paris, de 8h30 à 17h30 sur le thème "L'intrusion, outil essentiel de la SSI ?"
La Journée de la Sécurité des Systèmes d'Information (JSSI) s'articulera
autour de conférences et de retours d'expériences dans le domaine de la
sécurité des systèmes et des réseaux. La durée des interventions sera de
45 minutes (questions incluses).
Seront privilégiées les propositions techniques et juridiques, issues
d'une expérience concrète et/ou provenant de technologies innovantes.
Les sujets suivants pourront être abordés:
* Test d'intrusion
* Audit de systèmes ou de produits
* Retours d'expérience sur des cas d'intrusions réelles
* Autopsie, inforensique et reprise après incident ('forensics')
* Analyse de logiciels malfaisants ('malwares')
* Lutte contre les intrusions (prévention, protection des données,
détection)
* Outils de tests d'intrusion
* Cadre juridique et réglementaire autour de l'intrusion et des tests
d'intrusion
Des propositions d'intervention portant sur ces différents aspects de la
sécurité sont sollicitées pour la JSSI 2012. Les interventions pourront
inclure la présentation d'une démarche, d'une technique ou d'une
solution de sécurité répondant à une problématique d'entreprise et être
illustrées d'une expérience pratique de mise en oeuvre. Toute
présentation strictement commerciale sera refusée.
Les propositions d'intervention, en français ou en anglais, précisant le
sujet et le plan sur une page, doivent être accompagnées de quelques
transparents et d'une brève biographie de l'auteur. Envoyez vos
propositions dans l'un des formats : texte simple, PDF ou HTML, par
courriel à l'adresse : jssi12 at ossir.org
Calendrier :
- 05/12/2011 : Proposition d'intervention
- 23/01/2012 : Notification aux conférenciers des interventions retenues
- 13/03/2012 : Conférence
Le comité de programme est composé des membres de l'association élus au
conseil d'administration, cf http://www.ossir.org/association/
Cet appel à communications peut être consulté en ligne :
http://www.ossir.org/jssi
--[ 7. Appel à communication 5ème conférence "SMSI et normes ISO 27001" ]
Le Club 27001 (http://www.club-27001.fr/), association à but non lucratif,
organise à Paris le mardi 3 avril 2012 sa cinquième conférence annuelle autour
des usages des normes ISO 2700X. Cette conférence se déroulera à l'espace
Saint-Martin dans le cadre des GS-DAYS (www.gsdays.fr).
La conférence annuelle du Club 27001 privilégie les retours d'expérience dans
l'utilisation des normes de la série ISO 27000, qu'il s'agisse de la mise en
oeuvre d'une des normes, leur usage y compris sans certification, les
difficultés rencontrées et les intérêts perçus.
Voici les thèmes sur lesquels nous attendons des propositions, sans que
ceux-ci soient exhaustifs :
- Mise en oeuvre d'un SMSI
. Retour d'expérience
. Reprise de l'existant
. Comment engager sa direction générale
. Comment surmonter la peur du SMSI
- Management des risques en sécurité de l'information
. Retour d'expérience de mise en oeuvre de l'ISO 27005
. Technique d'entretien et d'implication des métiers
. Échelles et calcul du risque
. Interactions avec les autres gestions des risques : opérationnels,
industriels, CHSCT, financiers, etc
. Usage de l'ISO 27005 dans les projets, les systèmes embarqués, etc
. Cohabitation d'ISO27005 avec EBIOS, Mehari et RiskIT
- Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
. Gouvernance de la SSI, de la sécurité en général, de l'IT, du management
des risques
. Systèmes de Management Intégrés (ISO 9001, 14001, 20000-1, etc) avec
ISO 27001
. Mutualisation, opposition, complémentarité, déclencheur, etc
. Cohabitation ISO27001 et ISO 20000-1 / ITIL (services informatiques)
. Coordination entre SSI (ISO 27001) et continuité d'activité
(ISO 22301 / ISO 27031 / ISO 27013 / BS25599)
. CobiT (audit informatique, contrôle interne)
. Utilisations d'ISO 27001 dans le cadre d'autres référentiels :
RGS, PCI-DSS, SoX, Bâle II/Solvency II, hébergeur données de santé,
ARJEL, etc
- Audits internes
. Mise en place d'audits internes pour le SMSI
. Mutilisation des audits internes ISO 27001 (avec ISO 9001, etc)
. Utilisation de l'ISO 19011 et ISO 27006
- Indicateurs, métriques et tableaux de bord
. Retours d'expérience
. Usage de l'ISO 27004
. Liens avec d'autres référentiels (TBSSI, etc)
- Certification ISO27001 et audits de SMSI
. Retour d'expérience des accréditeurs, des organismes de certification,
des auditeurs et des audités
. Contrôle de l'appréciation des risques
. Interprétations de la Déclaration d'Applicabilité
- Applications sectorielles de l'ISO 27001 : télécommunications, santé, etc
. Utilité et usage du référentiel appliqué à un métier (27011, 27799, etc)
. Complémentarité avec le référentiel métier (WLA, etc)
- Formation et certifications individuelles
. Comment et pourquoi se former aux SMSI ?
. A quoi servent les certifications individuelles ?
Les propositions doivent faire part d'un retour d'expérience pratique, et
ne doivent pas être la présentation d'une offre de service, d'un produit ou
plus généralement d'une solution commerciale. Le comité de programme sera
sensible à l'aspect pratique des propositions. Cependant, les
propositions présentant une analyse ou un comparatif fondé sur des tests
scientifiques pourraient être acceptées.
Les présentations feront de 35 à 45 minutes et seront en français ou en
anglais.
Contenu des soumissions à envoyer à conference at club-27001.fr :
- Nom de l'auteur, biographie et affiliation
- Synopsis d'une page maximum de l'intervention avec un plan de celle-ci
Calendrier
- 15 novembre 2011 : date limite de réception des soumissions
- 15 janvier 2012 : notification aux auteurs et
publication du pré-programme
- 15 février 2012 : publication du programme définitif
- 15 mars 2012 : réception des présentations
- 3 avril 2012 : conférence
Le comité de programme est composé des membres de l'association élus au
conseil d'administration, soit :
- Claire Albouy-Cossard, CNAMTS
- Bertrand Augé, Kleverware, trésorier
- Gérôme Billois, Solucom
- Dominique Ciupa, Edelweb
- Guillaume Corbillé, Laser, trésorier-adjoint
- Eric Doyen, Générali, président
- Emmanuel Garnier, Systalians, vice-président
- Loic Guézo, IBM
- Freddy Milesi, Sekoia
- Anne Mur, Edelweb, secrétaire-adjointe
- Hervé Schauer, HSC, secrétaire
- Jérôme Vivier, SNCF
--[ 9. Nouveautés du site web HSC ]-------------------------------------
- Présentation "Normes en Sécurité - Focus sur l'ISO 27001 et la méthode
ISO 27005", par Hervé Schauer le 13 octobre 2011, à l'OzSSI Est.
http://www.hsc.fr/ressources/presentations/normesISO-SSI2-11/
- Nouvelle formation "ISO 27035 / Gestion des incidents de sécurité"
le 21 octobre 2011
http://www.hsc-formation.fr/formations/iso27035-gestion-incidents.html.fr
--[ 10. Offres d'emploi ]-----------------------------------------------
HSC recrute des stagiaires et des consultants en sécurité des systèmes
d'information, aussi bien en sécurité technique qu'en sécurité fonctionnelle
organisationnelle et juridique.
+----------------------------------------------------------------------------+
| HSC recherche particulièrement des consultants expérimentés (3 à 6 ans) |
| sur l'ISO27001, la gestion des risques SSI et les aspects organisationnels |
| de la SSI. Vous vous lassez des régies et des missions longues ? N'hésitez |
| pas, profitez de votre expérience pour postuler et faire de l'expertise. |
+----------------------------------------------------------------------------+
Tous les consultants HSC deviennent avec l'expérience formateurs, et
partagent leur expérience acquise lors des prestations en participant
aux formations HSC.
Pour les consultants orientés sur les aspects techniques de la sécurité, afin :
- D'auditer la sécurité d'infrastructures et d'applications variées
- De faire des tests d'intrusion artisanaux qui intrusent
- De procéder à des enquêtes inforensiques et des analyses post-incident
- Plus généralement de participer aux projets techniques en sécurité
Pour les consultants orientés que les aspects fonctionnels, organisationnels
ou juridique de la sécurité, afin :
- D'accompagner aux démarches de gouvernance de la SSI, notamment lors de
la mise en place de SMSI suivant la norme ISO 27001
- De réaliser ou d'assister dans la gestion des risques de sécurité de
l'information (ISO 27005 et EBIOS)
- D'élaborer des procédures et documents synthétiques et pragmatiques
(politiques, chartes, etc)
- Plus généralement, de participer aux projets utilisant les normes de la
série ISO27K pour répondre aux attentes des clients.
Les qualités recherchées sont les suivantes :
- Bonne qualité de rédaction en français
- Bon contact humain
- Maîtrise de l'informatique et des technologies de l'information,
notamment la technique pour les candidats techniques et la compréhension
des enjeux du pilotage de la SSI par les risques pour les candidats
organisationnels
- Discrétion et capacité à travailler sur des projets sensibles, des
infrastructures vitales, etc
- Compréhension du modèle économique de l'activité d'expertise
- Passion pour la sécurité
Les qualités suivantes seront un plus apprécié :
- Adaptabilité au contexte d'un client
- Autonomie
- Bonne expression à l'oral
- Maîtrise de l'état d'esprit pour la fourniture de services à valeurs
ajoutées
Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC, aussi
bien sur les normes ISO 27001 et ISO 27005 ou le juridique de la SSI, qu'aux
tests d'intrusion, l'inforensique, ou la sécurité Windows et la sécurité des
applications web. Cela représente pour chaque nouveau consultant de 2 à 6
semaines de formations suivies dans le cadre de sa prise de fonction.
HSC recherche également des stagiaires en fin d'étude pour des stages de
pré-embauche pour des postes de consultants, soit au sein de l'équipe
technique, soit au sein de l'équipe organisationnelle et juridique.
Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la gare
Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2). Si vous
souhaitez proposer votre candidature, nous vous remercions d'envoyer votre CV
en texte ascii par courrier électronique à cv at hsc.fr.
--[ 11. Agenda des interventions publiques ]----------------------------
- 27 janvier 2012 - Université AFCDP des Correspondants informatique et
libertés
Table ronde "Cloud Computing et Contrat SaaS "Quel rôle pour le CIL ?" -
Frédéric Connes
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 12. Prochaines formations HSC ]-------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
ISO 27005 Risk Manager .............. : 7 au 9 novembre (#)(C)
Indicateurs & tableaux de bord SSI/ISO27004 : 10 novembre
PenTesting/Ethical Hacking(SANS SEC560/GPEN): 14 au 18 novembre (*)(#)
ISO 27001 Lead Implementer .......... : 21 au 25 novembre (#)
Sécurité du WiFi .................... : 28 et 29 novembre (*)
Sécurité du Cloud Computing ......... : 28 au 30 novembre
Formation DNSSEC ..................... : 30 nov et 1er déc (*)
Juridique de la SSI ................. : 1 et 2 décembre
ISO 27001 Lead Auditor .............. : 5 au 9 décembre (#)(C)
ISO 27001 Lead Implementer .......... : 12 au 16 décembre (#)
Mesures de sécurité ISO 27002 ........ : 19 et 20 décembre
ISO 27005 Risk Manager .............. : 19 au 21 décembre (#)
ISO 27005 Risk Manager .............. : 18 au 20 janvier 2012 (#)
ISO 27001 Lead Implementer .......... : 23 au 27 janvier (#)
ISO 27001 Lead Auditor .............. : 30 janv au 3 février (#)
Information Security Foundations .... : 13 et 14 février (#)
Risk Manager Avancé ................. : 1 et 2 mars
Gestion des identités et des accès .. : 12 au 14 mars
Tests d'intrusion applicatifs (SEC542/GWAPT): 12 au 16 mars (*)(#)
Formation RSSI ...................... : 19 au 23 mars
Fondamentaux & principes de la SSI (SEC401) : 19 au 24 mars (*)
Correspondant Informatique et Libertés : 26 et 27 mars
Advanced Penetration Testing (SANS SEC660) : 26 au 30 mars (*)(%)
Essentiel du RGS .................... : 28 mars
Défense applications web (DEV522/GIAC CWAD) : 2 au 6 avril (*)(#)
Essentiel de PCI-DSS ................ : 10 avril
Sécuriser Windows (SANS SEC505 / GIAC GCWN) : 21 au 25 mai (*)(#)
Sécuriser Unix&Linux (SANS SEC506/GIAC GCUX): 4 au 8 juin (*)(#)
Inforensique Windows (SANS FOR408/GIAC GCFE): 18 au 22 juin (*)(#)
Analyse inforensique (SANS FOR508/GIAC GCFA): 10 au 14 septembre (*)(#)
(*) : formations avec travaux pratiques avec un ordinateur par stagiaire
(#) : formations certifiantes
(C) : session de formation complète
(%) : certification en cours de développement par le GIAC
- Luxembourg
ISO 27005 Risk Manager .............. : 28 au 30 novembre (#)
ISO 27001 Lead Auditor .............. : 13 au 17 février 2012 (#)
ISO 27005 Risk Manager .............. : 9 au 11 mai 2012 (#)
ISO 27001 Lead Implementer .......... : 24 au 28 sept. 2012 (#)
- Bordeaux
Correspondant Informatique et Libertés : 11 et 12 octobre 2012
- Clermont-Ferrand
Correspondant Informatique et Libertés : 8 et 9 décembre 2011
- Lille
Correspondant Informatique et Libertés : 13 et 14 février 2012
- Lyon
ISO 27005 Risk Manager .............. : Nous contacter pour 2012
ISO 27001 Lead Implementer .......... : Nous contacter pour 2012
Correspondant Informatique et Libertés : 20 et 21 septembre 2012
- Marseille
Correspondant Informatique et Libertés : 19 et 20 mars 2012
- Montpellier
Correspondant Informatique et Libertés : 30 et 31 mai 2012
- Nantes
Correspondant Informatique et Libertés : 14 et 15 mai 2012
- Nice
ISO 27005 Risk Manager .............. : 25 au 27 juin 2012 (#)
Risk Manager Avancé ................. : 28 et 29 juin 2012
Correspondant Informatique et Libertés : 22 et 23 novembre 2012
- Poitiers
Correspondant Informatique et Libertés : 14 et 15 novembre 2012
- Rennes
Correspondant Informatique et Libertés : 11 et 12 juin 2012
- Strasbourg
Correspondant Informatique et Libertés . : 28 au 29 juin 2012
- Toulouse
ISO 27005 Risk Manager .............. : 27 au 29 mars 2012 (#)
Risk Manager Avancé ................. : 30 et 31 mars 2012
Correspondant Informatique et Libertés . : 26 et 27 avril 2012
ISO 27001 Lead Implementer .......... : 21 au 25 mai 2012 (#)
Juridique de la SSI ................. : 24 et 25 septembre 2012
(#) : formations certifiantes
Pour tout renseignement, et pour vous inscrire pour toutes les villes
contactez Lynda Benchikh : formations at hsc.fr -- +33 141 409 704
Retrouvez les tarifs des formations dans la Newsletter n° 64 de janvier 2010
au chapitre 6 : http://www.hsc-news.com/archives/2010/000064.html
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue en PDF sur http://www.hsc-formation.fr/
--[ 13. Actualité des associations : Club 27001, OSSIR et Clusif ]--------
o Club 27001 (http://www.club-27001.fr/)
. Prochaine réunion à Paris jeudi 19 janvier 2012 chez Thales (Neuilly)
- Retour d'expérience du logiciel DPCIA par un utilisateur
- seconde presentation en cours de confirmation
- Point divers
. Conférence annuelle du club le mardi 3 avril 2012 à Paris
Appel à communication publié au paragraphe 7.
. Réunion suivante à Paris le jeudi 17 ou 24 mai à 14h00 chez ESR (Meudon)
- Programme en cours d'élaboration
. Prochaine réunion à Toulouse jeudi 10 novembre 2011 à 13h45 à la CNAMTS
- L'ouverture des données publiques : de l'Open Data à la
sécurisation, présenté par Cédric Favre (AEC Bordeaux)
- Présentation des travaux du Groupe de Travail ITIL-27001.
. Prochaines à Marseille, Rennes et Lyon annoncées sur
www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
sur les listes de chaque ville sur www.club-27001.fr pour suivre
l'activité du Club 27001 en région.
o OSSIR (http://www.ossir.org/)
. Prochaine réunion à Paris le mardi 8 novembre à 14h00 à la Librairie
Eyrolles (RER Saint-Michel, métro Cluny)
- Fuzzing et vulnérabilités des réseaux par Ari Knuuti (Codenomicon)
Présentation en anglais
- Compte-rendu de la conférence BruCON par Saad Kaghi (Hapsis)
- Revue d'actualité par Nicolas Ruff (EADS)
. Réunion suivante à Paris le mardi 13 décembre
. Réunion suivante à Paris le mardi 10 janvier 2012
. Prochaine réunion à Lyon annoncée prochainement
. Prochaine réunion à Rennes début 2012
. Prochaine réunion à Toulouse le mardi 8 novembre à 14h00 à l'Université
Toulouse 1 Capitole (Sciences Sociales)
- "Présentation technique d'IKare" par Jean-Nicolas Piotrowski
(ITrust)
- "Protection et de défense de sa marque : le point sur les noms
de domaine" par Miroslav Kurdov, avocat (Brev&Sud)
o Clusif (https://www.clusif.asso.fr/)
. Présentation du panorama de la cybercriminalité du Clusif le mercredi
11 janvier 2012 au cercle militaire
. Assemblée Générale le 8 mars 2012 : pensez à envoyer une procuration
si vous ne pouvez venir
--[ 14. Le saviez-vous ? La réponse ]------------------------------------
Si vous avez exécuté ces commandes*, peut-être avez-vous constaté les
résultats suivants :
{{{
$> php -r "echo realpath('//../etc//passwd');"
/etc/passwd
$> python -c "import os; print os.path.abspath('//../etc//passwd')"
//etc/passwd
$> ruby -e "require 'pathname'; print Pathname.new('//../etc/passwd').realpath.to_s"
/etc/passwd
$> perl -e "use Cwd 'abs_path'; print abs_path('//../etc/passwd');"
/etc/passwd
}}}
Python a laissé les deux slashes (//) de début de chaine, alors que les
autres n'en ont retournés qu'un seul. Or il est courant de voir dans des
codes sources que pour empêcher un utilisateur d'accéder à un fichier non
autorisé, le texte entré sera filtré avec les fonctions comme realpath()
ou abspath(), puis la chaine sera testée pour voir si elle correspond à un
motif interdit.
Considérons le petit code suivant :
{{{
# read_file.py : exemple de code avec Python 2.7
import os, sys
chaine_filtree = os.path.abspath(os.path.realpath(sys.argv[1]))
if chaine_filtree == "/etc/passwd":
print "Vous n'avez pas le droit de lire /etc/passwd"
else :
with open(chaine_filtree, 'r') as f:
print f.read()
}}}
Comme notre premier test l'a montré, malgré l'assainissement à l'aide des
fonctions realpath() et abspath(), la vérification sera défaite si
l'utilisateur rentre comme premier argument '//etc/passwd'.
{{{
$> python read_file.py ////etc/passwd
Vous n'avez pas le droit de lire /etc/passwd
$> python read_file.py ../../../..//etc/passwd
Vous n'avez pas le droit de lire /etc/passwd
$> ln -s /etc/passwd ./lien_vers_passwd && python read_file.py ./lien_vers_passwd
Vous n'avez pas le droit de lire /etc/passwd
$> python read_file.py //etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
[...]
}}}
Mais alors il s'agirait d'un bogue propre à Python ?
Inutile de faire un rapport de bogue, car Ruby, PHP, Perl comme Python
respectent la norme POSIX de représentation de chemins de fichiers[2][3] !
En effet, la norme [2] indique ceci:
"""
A pathname that begins with two successive slashes may be interpreted in an
implementation-defined manner, although more than two leading slashes shall be
treated as a single slash.
"""
La norme est donc "claire" sur ce point : il est laissé à l'appréciation des
développeurs (ceux de Python, Ruby, PHP, etc.) de laisser les deux slashes en
début de chaine ou de les tronquer en un seul. Toutefois, si plus de 2 slashes
sont en début de chaine, ils seront tronqués en un unique (ex: '///etc/passwd'
deviendra bien '/etc/passwd'). Par ailleurs, ceci se voit très bien dans le
code source de Python [1] :
{{{
def normpath(path):
[...]
# POSIX allows one or two initial slashes, but treats three or more
# as single slash.
if (initial_slashes and
path.startswith('//') and not path.startswith('///')):
initial_slashes = 2
[...]
if initial_slashes:
path = slash*initial_slashes + path
return path or dot
}}}
Cette ambigüité sur les deux premiers slashes dans la chaine de caractères
peut donc induire un contournement de filtrage dans le cas où le développeur
n'a pas connaissance de cette nuance, et va uniquement filtrer sur un chemin
de structure '/A/B/C', oubliant le cas '//A/B/C' valide pour certains
langages.
Conclusion :
Les développeurs se doivent de bien faire attention aux spécificités du
langage dans lequel ils programment, même si celui-ci s'accorde avec la
norme POSIX. En effet, comme la preuve vient d'en être faite, la norme POSIX
peut inclure parfois quelques points imprécis qui sont laissés à l'appréciation
des développeurs des langages Python, Ruby et autres.
* Testé avec Python 2.7.2, Ruby 1.8.7, Perl v5.12.4 et PHP 5.3.6
Références :
[1] http://svn.python.org/view/python/trunk/Lib/posixpath.py?view=markup#l308
[2] http://pubs.opengroup.org/onlinepubs/009695399/basedefs/xbd_chap04.html#tag_04_11
[3] http://pubs.opengroup.org/onlinepubs/009695399/basedefs/xbd_chap03.html#tag_03_266
-- Christophe Alladoum
Plus d'informations sur la liste de diffusion newsletter