[Newsletter HSC] N°88 - Décembre 2011
Newsletter d'information de HSC
newsletter at hsc-news.com
Ven 2 Déc 10:06:55 CET 2011
========================================================================
HSC Newsletter -- N°088 -- décembre 2011
========================================================================
« Votre temps est limité, ne le gâchez pas en menant une existence qui
n'est pas la vôtre. »
[Steve Jobs]
--[ Sommaire ]----------------------------------------------------------
1. Éditorial : exonération par AFNOR Normalisation
2. Le saviez-vous ? La question
3. HSC certifié OPQF : la plus haute distinction pour nos formations
4. Nouvelle formation : "Gestion des incidents de sécurité / ISO27035"
5. Nouvel outil de recherche de mots de passe en force brute : Patator
6. HSC partenaire du Security Day Luxembourg
7. HSC partenaire de la 6ième Université de l'AFCDP des CIL
8. Appel à communication 5ème conférence "SMSI et normes ISO 27001"
9. Nouveautés du site web HSC
10. Offres d'emploi : consultants & stagiaires techniques & orga
11. Agenda des interventions publiques
12. Prochaines formations HSC
13. Actualité des associations : Club 27001, OSSIR et Clusif
14. Le saviez-vous ? La réponse
--[ 1. Éditorial - Hervé Schauer ]-------------------------------------
Dans le domaine de la sécurité de l'information, la participation aux
travaux de normalisation est d'une grande importance pour les entreprises,
et plus encore pour les PME comme HSC. En effet, c'est lors de ces travaux
que se dessine l'avenir des normes, donc que se crée le consensus de la
profession. Pour une PME, participer, c'est préparer son avenir en anticipant
les référentiels futurs. C'est aussi faire valoir ses intérêts, ceux de ses
clients, ceux des utilisateurs, et ceux du marché français, en ayant une
possibilité réelle et concrète de prendre part aux décisions, de sorte que
le résultat du processus de normalisation soit utile, pragmatique et adapté
aux réalités du terrain. Les normes doivent être faites par et pour ceux qui
auront à les utiliser et à les mettre en oeuvre.
En France, l'organisme officiellement responsable du processus de
normalisation est l'AFNOR ("Association Française de Normalisation"), qui
est membre et représentant de la France à l'ISO (Organisation Internationale
de Normalisation). L'association existe depuis 1926 et est placée sous la
tutelle du ministère de l'industrie. Elle a largement contribué au succès
des normes techniques, tant en France qu'à l'international. Toute entreprise
qui souhaite contribuer à l'élaboration des normes en France se doit
donc de participer aux travaux d'AFNOR Normalisation.
Afin de disposer de ressources suffisantes pour mener à bien ses
missions, AFNOR Normalisation peut demander une participation financière aux
membres des commissions de normalisation, ce qu'elle a toujours fait.
Cependant, si la cotisation à l'association est progressive, la participation
aux commissions est fixe, ce qui a pour conséquence évidente de favoriser la
présence des grandes entreprises au détriment de la représentation de
structures plus petites, et notamment des PME. C'est pourquoi HSC s'est
battu depuis les années 1980 pour que les consultants indépendants et les
PME bénéficient d'une exonération et puissent participer sans frais aux
commissions de normalisation. Il s'agit là d'une mesure qui semblait juste et
propre à améliorer la qualité et l'utilité des travaux de normalisation, en
recherchant un consensus entre l'ensemble des acteurs de la profession, et
en améliorant la représentativité de la France au niveau international.
L'action d'HSC et de ses homologues a fini par porter ses fruits, et
l'article 14 du décret n°2009-697 du 16 juin 2009 dispose désormais
qu'"il ne peut être demandé de participation aux frais d'élaboration
d'une norme (...) aux petites et moyennes entreprises de moins de 250
salariés ne dépendant pas à plus de 25 % d'un groupe de plus de 250
salariés". Les associations de consommateurs, les associations de
protection de l'environnement et les syndicats représentatifs de
salariés, notamment, sont également visés par ce texte. Ces dispositions
constituent un véritable progrès pour le processus de normalisation en
France.
Se félicitant de cette évolution du cadre juridique, Hervé Schauer
Consultants, entreprise indépendante d'une trentaine de salariés,
répondant donc aux exigences réglementaires, a demandé à AFNOR Normalisation,
et obtenu, l'exonération pour l'année 2010 pour les deux commissions
auxquelles nous participions, tout en maintenant notre cotisation à
l'association afin de montrer notre soutient à la normalisation.
En 2011, l'AFNOR n'a plus joué le jeu.
Sans doute parce qu'elle craignait de ne plus disposer d'un budget
suffisant, l'association a délibérément violé le décret. Ainsi,
lorsqu'HSC a de nouveau demandé à bénéficier des dispositions de
l'article 14 pour son inscription en 2011, l'AFNOR lui a opposé une fin
de non-recevoir et a exigé le versement de contributions financières
pour continuer à participer aux travaux des commissions. La raison
invoquée était qu'HSC appartenait à une "catégorie d'intérêts"
particulière, qui ne permettait pas, selon l'association, de bénéficier
de l'exonération. Or, si la norme invoquée à l'appui de cette prise de
position (NF X50-088:2009) évoque bien l'identification de catégories
d'intérêt, elle ne prévoit en aucune manière que l'appartenance à une
catégorie déterminée puisse justifier un refus d'exonération. Au
contraire, elle permet un assouplissement des conditions d'exonération
à la section 5.5.1 : "Toutefois, certaines parties prenantes sont
dispensées de contribution financière. S'il le souhaite, le bureau de
normalisation peut dispenser de contribution financière d'autres parties
prenantes que celles citées dans le décret n° 2009-697 du 16 juin 2009
relatif à la normalisation".
Face à ce refus, HSC a contacté, avec d'autres PME se trouvant dans la
même situation, le délégué interministériel aux normes. Aucune réponse
n'a été directement reçue de sa part, mais une entrevue a pu être
organisée avec le chef du bureau de la normalisation et de
l'accréditation à la direction générale de la compétitivité, de
l'industrie et des services du ministère de l'industrie. Cette rencontre
a été un échec, le responsable rencontré comprenant la position des PME,
mais ne s'engageant dans aucune action concrète auprès de l'AFNOR.
Devant cette impasse, HSC s'est résolue à engager une action en justice
contre AFNOR Normalisation, tendant à ce que les dispositions du décret du
16 juin 2009 soient respectées. Le tribunal de grande instance de Bobigny a
donc été saisi avant l'été 2011. La procédure suit actuellement son cours.
Cette action a cependant déjà été utile, puisque par courrier
électronique en date du 10 novembre 2011, l'AFNOR a indiqué à HSC :
"Nous avons bien noté que pour l'année 2011 et ce conformément à
l'article 14 du décret 2009-697 relatif à la normalisation, vous aviez
été exonéré". Cette décision a été confirmée par un autre courrier
électronique, envoyé le 14 novembre par le chef de projets normalisation
de l'AFNOR, qui précise : "je vous confirme l'exonération de HSC pour la
participation 2011 (...)". L'AFNOR a donc fini par reconnaître le bon
droit d'HSC.
Ainsi, il aura fallu qu'HSC engage une procédure judiciaire pour que
l'AFNOR accepte enfin d'appliquer le décret. Grâce à cette action, les
autres PME savent désormais qu'elles peuvent obtenir l'exonération
à laquelle elles ont droit auprès de l'AFNOR.
Dès lors, HSC se tient à votre disposition si vous étiez une PME confrontée
aux mêmes dispositions que nous.
--[ 2. Le saviez-vous ? La question ]-----------------------------------
Comment casser une empreinte MD5 lorsque le sel contient un caractère non
affichable ?
Réponse au paragraphe 14.
--[ 3. HSC certifié OPQF ]----------------------------------------------
HSC, qui a obtenu l'an passé la qualification de l'OPQCM pour pouvoir
délivrer légalement du conseil juridique en informatique, vient le 26
octobre dernier, d'être qualifié par l'OPQF, l'Office Professionnel de
Qualification des organismes de Formation (Cf http://www.opqf.com/).
L'OPQF est reconnu par l'Etat et organisme de certification accrédité par
le COFRAC [1]. L'OPQF a une représentation tripartite qui associe les
prestataires de formation, les clients (entreprises et OPCA [2]) et un
représentant de l'Etat (Ministère du travail et de l'emploi [3]).
Cette qualification, obtenue dans le domaine "informatique" pour une durée
de quatre ans, reconnaît le professionnalisme et le sérieux d'HSC en tant
qu'organisme de formation. Elle atteste notamment du respect de la
réglementation, de l'adéquation des compétences et des moyens techniques
et humains mis en oeuvre aux actions de formation, de la satisfaction des
clients et de la pérennité financière d'HSC. Cette qualification est la
plus haute distinction pour un organisme de formation et cela constitue
une référence déterminante pour les OPCA [2], les professionnels, les
clients et les pouvoirs publics [4], et représente un critère majeur dans
le choix d'une formation.
La qualification OPQF vient ainsi distinguer la qualité des formations
HSC. Rappelons qu'HSC propose un large éventail de formations, tant dans
le domaine technique que sur les aspects organisationnels et juridiques
de la sécurité des systèmes d'information. Elles sont dispensées par des
professionnels expérimentés, et sont organisées régulièrement à Paris,
en province et au Luxembourg (voir le planning au paragraphe 12).
[1] COFRAC : Comité Français d'Accréditation, http://www.cofrac.fr/
[2] OPCA : Organismes Paritaires Collecteurs Agréés, les organismes de
financement des formations continues professionelles.
http://www.emploi.gouv.fr/boite_outils/_pdf/OPCA.pdf
[3] DGEFP : Délégation générale à l'emploi et à la formation professionnelle
http://www.emploi.gouv.fr/presentation/presentation_generale.php
[4] Depuis le JO du 4 aout 2006, l'article 45-II du code des marchés publics
permet au pouvoir adjudicateur d'exiger un certificat de qualification
professionelle, vous pouvez donc exiger un organisme de formation
qualifié OPQF.
Retrouvez toutes nos formations sur http://www.hsc-formation.fr/
--[ 4. Nouvelle formation : "Gestion des incidents de sécurité / ISO27035" ]
La gestion des incidents de sécurité dans un délai court et leur prise
en compte dans la gestion des risques et l'amélioration continue sont
imposés par l'ISO 27001. Le processus de gestion des incidents de sécurité
est un processus fondamental pour le succès d'une bonne organisation de la
sécurité des systèmes d'information. Un guide, la norme ISO27035, explicite
en détail comment organiser ce processus.
Aussi HSC a créé une nouvelle formation en une journée afin de vous
permettre de comprendre et savoir mettre en oeuvre concrètement dans son
SMSI le processus de gestion des incidents de sécurité et une équipe de
réponse aux incidents de sécurité (Information Security Incident Response
Team : ISIRT), et comprendre et savoir gérer les interactions du processus
de gestion des incidents de sécurité avec les autre processus dans son
organisme, par exemple savoir différencier incident informatique et incident
de sécurité, et apprendre à organiser son processus de gestion des incidents
de sécurité.
Première session à Paris le 21 juin 2012
Objectifs, formateurs, public visé et pré-requis, pédagogie et plan du cours :
http://www.hsc-formation.fr/formations/iso27035-gestion-incidents.html.fr
--[ 5. Patator ]--------------------------------------------------------
Patator est un outil de brute-force polyvalent. Il est muni de modules
pour attaquer des services réseaux tels que FTP, HTTP ou SNMPv3, et il possède
également des modules pour faire des recherches DNS, ou encore retrouver le
mot de passe de fichiers ZIP.
Patator possède plusieurs avantages par rapport aux célèbres Medusa, Hydra et
consorts, notamment sur les aspects suivants :
* Modularité
Patator ne se limite pas qu'au brute-force. Par exemple, il est possible
d'écrire un nouveau module de quelques lignes qui permettrait de tester une
vulnérabilité bien spécifique sur tous les serveurs d'un réseau.
* Flexibilité
Patator permet à l'utilisateur de brute-forcer n'importe quel paramètre d'un
module. C'est à dire que contrairement aux autres outils de brute-force bien
connus, Patator ne se limite pas qu'aux champs identifiant et mot de passe.
* Fiabilité
Patator permet à l'utilisateur de choisir quels types de réponse ignorer selon
le code de retour ou la présence d'un motif dans le contenu de la réponse.
Aucun code d'erreur n'est codé en dur, ce qui élimine le risque de faux
négatifs.
Patator est disponible en logiciel libre. Il est développé en Python
par Sébastien Macke, consultant technique HSC.
Pour toute question sur patator : patator at hsc.fr
http://www.hsc.fr/ressources/outils/patator/
--[ 6. HSC partenaire du Security Day Luxembourg ]------------------------
Comme en 2011, HSC sera présent au Security Day 2012 le mercredi 8
février 2012 à Luxembourg à l'Abbaye de Neumunster, avec un stand et une
conférence. Le Security Day 2012 est organisé par l'ISACA Luxembourg.
Matthieu Hentzien et Kaouther Naoua seront à votre disposition pour
vos projets d'audit, de tests d'intrusion et de formation. Retrouvez-nous
sur notre stand durant toute la journée.
Les consultants technique d'HSC y feront une présentation sur un sujet
technique.
Programme des conférences et bulletin d'inscription prochainement en ligne.
Pour en savoir plus http://wwww.isaca.lu/ (nouveau site web bientôt).
--[ 7. HSC partenaire de la 6ième Université de l'AFCDP des CIL ]---------
HSC est partenaire de la 6e Université de l'AFCDP des Correspondants
Informatique et Libertés, qui aura lieu le vendredi 27 janvier 2012 chez
IBM à Bois-Colombes à coté de Paris.
Venez nous rejoindre sur notre stand pour découvrir nos offres de formation,
audit, conseil et veille à destination des CIL.
http://www.afcdp.net/Universite-des-CIL-2012-Avant
A cette occasion, Frédéric Connes, juriste et CIL chez HSC,
interviendra lors de la table-ronde "Cloud Computing et Contrat SaaS "Quel
rôle pour le CIL ?", animée par Bernard Foray (Casino).
--[ 8. Appel à communication 5ème conférence "SMSI et normes ISO 27001" ]
Le Club 27001 (http://www.club-27001.fr/), association à but non lucratif,
organise à Paris le mardi 3 avril 2012 sa cinquième conférence annuelle autour
des usages des normes ISO 2700X. Cette conférence se déroulera à l'espace
Saint-Martin dans le cadre des GS-DAYS (www.gsdays.fr).
La conférence annuelle du Club 27001 privilégie les retours d'expérience dans
l'utilisation des normes de la série ISO 27000, qu'il s'agisse de la mise en
oeuvre d'une des normes, leur usage y compris sans certification, les
difficultés rencontrées et les intérêts perçus.
Voici les thèmes sur lesquels nous attendons des propositions, sans que
ceux-ci soient exhaustifs :
- Mise en oeuvre d'un SMSI
. Retour d'expérience
. Reprise de l'existant
. Comment engager sa direction générale
. Comment surmonter la peur du SMSI
- Management des risques en sécurité de l'information
. Retour d'expérience de mise en oeuvre de l'ISO 27005
. Technique d'entretien et d'implication des métiers
. Échelles et calcul du risque
. Interactions avec les autres gestions des risques : opérationnels,
industriels, CHSCT, financiers, etc
. Usage de l'ISO 27005 dans les projets, les systèmes embarqués, etc
. Cohabitation d'ISO27005 avec EBIOS, Mehari et RiskIT
- Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
. Gouvernance de la SSI, de la sécurité en général, de l'IT, du management
des risques
. Systèmes de Management Intégrés (ISO 9001, 14001, 20000-1, etc) avec
ISO 27001
. Mutualisation, opposition, complémentarité, déclencheur, etc
. Cohabitation ISO27001 et ISO 20000-1 / ITIL (services informatiques)
. Coordination entre SSI (ISO 27001) et continuité d'activité
(ISO 22301 / ISO 27031 / ISO 27013 / BS25599)
. CobiT (audit informatique, contrôle interne)
. Utilisations d'ISO 27001 dans le cadre d'autres référentiels :
RGS, PCI-DSS, SoX, Bâle II/Solvency II, hébergeur données de santé,
ARJEL, etc
- Audits internes
. Mise en place d'audits internes pour le SMSI
. Mutilisation des audits internes ISO 27001 (avec ISO 9001, etc)
. Utilisation de l'ISO 19011 et ISO 27006
- Indicateurs, métriques et tableaux de bord
. Retours d'expérience
. Usage de l'ISO 27004
. Liens avec d'autres référentiels (TBSSI, etc)
- Certification ISO27001 et audits de SMSI
. Retour d'expérience des accréditeurs, des organismes de certification,
des auditeurs et des audités
. Contrôle de l'appréciation des risques
. Interprétations de la Déclaration d'Applicabilité
- Applications sectorielles de l'ISO 27001 : télécommunications, santé, etc
. Utilité et usage du référentiel appliqué à un métier (27011, 27799, etc)
. Complémentarité avec le référentiel métier (WLA, etc)
- Formation et certifications individuelles
. Comment et pourquoi se former aux SMSI ?
. A quoi servent les certifications individuelles ?
Les propositions doivent faire part d'un retour d'expérience pratique, et
ne doivent pas être la présentation d'une offre de service, d'un produit ou
plus généralement d'une solution commerciale. Le comité de programme sera
sensible à l'aspect pratique des propositions. Cependant, les
propositions présentant une analyse ou un comparatif fondé sur des tests
scientifiques pourraient être acceptées.
Les présentations feront de 35 à 45 minutes et seront en français ou en
anglais.
Contenu des soumissions à envoyer à conference at club-27001.fr :
- Nom de l'auteur, biographie et affiliation
- Synopsis d'une page maximum de l'intervention avec un plan de celle-ci
Calendrier
- 15 décembre 2011 : date limite de réception des soumissions
- 15 janvier 2012 : notification aux auteurs et
publication du pré-programme
- 15 février 2012 : publication du programme définitif
- 15 mars 2012 : réception des présentations
- 3 avril 2012 : conférence
Le comité de programme est composé des membres de l'association élus au
conseil d'administration, soit :
- Claire Albouy-Cossard, CNAMTS
- Bertrand Augé, Kleverware, trésorier
- Gérôme Billois, Solucom
- Dominique Ciupa, Edelweb
- Guillaume Corbillé, Laser, trésorier-adjoint
- Eric Doyen, Générali, président
- Emmanuel Garnier, Systalians, vice-président
- Loic Guézo, IBM
- Freddy Milesi, Sekoia
- Anne Mur, Edelweb, secrétaire-adjointe
- Hervé Schauer, HSC, secrétaire
- Jérôme Vivier, SNCF
--[ 9. Nouveautés du site web HSC ]-------------------------------------
- Outil : "Dislocker" : lecture des partitions chiffrées BitLocker sous
Linux, par Romain Coltel, le 28 octobre 2011
http://www.hsc.fr/ressources/outils/dislocker/"
- Outil : "Webef v0.5" : nouvelle version de l'outil de force brute de
fichiers et répertoires d'un serveur web par Yves le Provost, le 23
novembre 2011
http://www.hsc.fr/ressources/outils/webef/
- Outil : "Patator" : recherche de mots de passe en force brute par
Sébastien Macke, le 28 novembre 2011
http://www.hsc.fr/ressources/outils/patator/
--[ 10. Offres d'emploi ]-----------------------------------------------
HSC recrute des stagiaires et des consultants en sécurité des systèmes
d'information dans toutes les spécialités.
+-------------------------------------------------------------------------+
| HSC recherche particulièrement des consultants expérimentés (3 à 6 ans) |
| en décompilation et retro-ingénierie, tests d'intrusion, systèmes |
| industriels, ainsi que sur l'ISO27001 et la gestion des risques SSI. |
| Vous vous lassez des régies et des missions longues ? N'hésitez pas, |
| profitez de votre expérience pour postuler et faire de l'expertise. |
+-------------------------------------------------------------------------+
Tous les consultants HSC deviennent avec l'expérience formateurs, et
partagent leur expérience acquise lors des prestations en participant
aux formations HSC.
HSC recrute des consultants orientés sur les aspects techniques de la
sécurité, afin :
- D'auditer la sécurité d'infrastructures de supervision,
d'authentification, de gestion des rôles et des reponsabilités,
de journalisation, de détection d'incident, etc
- D'auditer la sécurité de systèmes de télécommunications, de systèmes
informatiques industriels, de systèmes embarqués, etc
- D'auditer la sécurité d'applications variées (embarqué, ordiphones,
histotiques, web, etc) avec ou sans accès au code source
- De procéder à des tests d'intrusion manuels, notamment sur des
applications web, dont l'objectif est de détecter les failles de
sécurité et de permettre leur correction
- De procéder à des enquêtes inforensiques, y comprit dans un cadre légal,
et des analyses post-incident de logiciels malfaisants
- Plus généralement de participer aux projets techniques en sécurité
HSC recrute des consultants orientés que les aspects juridiques,
conformité, gestion des risques et organisation de la sécurité, afin :
- D'auditer la sécurité dans des cadres variés
- D'accompagner aux démarches de gouvernance de la SSI, notamment lors de
la mise en place de SMSI suivant la norme ISO 27001 et toutes les
activités associées : gestion des incidents, des mesures, etc
- D'accompagner aux démarches de conformité en sécurité, notamment
PCI-DSS, RGS, hébergeur de données de santé, AGIRC-ARRCO, ARJEL, WLA
- De réaliser ou d'assister dans la gestion des risques de sécurité de
l'information (méthodes ISO 27005 et EBIOS 2010, base de connaissance
étendue incluant celle de Mehari)
- D'élaborer des procédures et documents synthétiques et pragmatiques
(politiques, chartes, règlement intérieur, etc)
- Plus généralement, de participer aux projets utilisant les normes de la
série ISO27K pour répondre aux attentes des clients.
Les qualités recherchées sont notamment les suivantes :
- Bonne qualité de rédaction en français
- Passion pour la sécurité
- Bon contact humain
- Maîtrise de l'informatique et des technologies de l'information,
notamment la programmation avancée et l'administration système pour
les candidats techniques et la compréhension des enjeux du pilotage
de la SSI par les risques pour les candidats organisationnels
- Discrétion et capacité à travailler sur des projets sensibles, des
opérateurs d'importance vitale, etc
- Compréhension du modèle économique de l'activité d'expertise,
autonomie et bonne expression à l'oral
Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC, aussi
bien sur les normes ISO 27001 et ISO 27005 ou le juridique de la SSI, qu'aux
tests d'intrusion, à l'inforensique, ou la sécurité Windows et la sécurité des
applications web. Cela représente pour chaque nouveau consultant de 2 à 6
semaines de formations suivies dans le cadre de sa prise de fonction.
HSC recherche également des stagiaires en fin d'étude pour des stages de
pré-embauche pour des postes de consultants, soit au sein de l'équipe
technique, soit au sein de l'équipe conformité, risque et organisation
de la sécurité.
Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la gare
Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2). Si vous
souhaitez proposer votre candidature, nous vous remercions d'envoyer votre CV
en texte ascii par courrier électronique à cv at hsc.fr.
--[ 11. Agenda des interventions publiques ]----------------------------
- 27 janvier 2012 - Université AFCDP des Correspondants informatique et
libertés - Paris, IBM Bois Colombes
Table ronde "Cloud Computing et Contrat SaaS "Quel rôle pour le CIL ?" -
Frédéric Connes
- 8 février 2012 - Security Day Luxembourg - Luxembourg, Abbaye de Neumunster
Présentation technique prochainement annoncée.
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 12. Prochaines formations HSC ]-------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
ISO 27001 Lead Auditor .............. : 5 au 9 décembre (#)(C)
ISO 27001 Lead Implementer .......... : 12 au 16 décembre (#)
ISO 27005 Risk Manager .............. : 19 au 21 décembre (#)
ISO 27005 Risk Manager .............. : 18 au 20 janvier 2012 (#)
PenTesting/Ethical Hacking(SANS SEC560/GPEN): 23 au 27 janvier (*)(#)
ISO 27001 Lead Implementer .......... : 23 au 27 janvier (#)
ISO 27001 Lead Auditor .............. : 30 janv au 3 février (#)
Information Security Foundations .... : 13 et 14 février (#)
ISO 27005 Risk Manager .............. : 27 au 29 février (#)
Risk Manager Avancé ................. : 1 et 2 mars
Gestion des identités et des accès .. : 12 au 14 mars
Tests d'intrusion applicatifs (SEC542/GWAPT): 12 au 16 mars (*)(#)
Formation RSSI ...................... : 19 au 23 mars
Fondamentaux & principes de la SSI (SEC401) : 19 au 24 mars (*)
Correspondant Informatique et Libertés : 26 et 27 mars
Advanced Penetration Testing (SANS SEC660) : 26 au 30 mars (*)(%)
Essentiel du RGS .................... : 28 mars
Défense applications web (DEV522/GIAC CWAD) : 2 au 6 avril (*)(#)
Essentiel de PCI-DSS ................ : 10 avril
Sécurité du Cloud Computing ......... : 11 au 13 avril
Sécurité du WiFi .................... : 3 et 4 mai (*)
Juridique de la SSI ................. : 21 et 22 mai
Sécuriser Windows (SANS SEC505 / GIAC GCWN) : 21 au 25 mai (*)(#)
Sécuriser Unix&Linux (SANS SEC506/GIAC GCUX): 4 au 8 juin (*)(#)
Formation DNSSEC ..................... : 14 et 15 juin (*)
Inforensique Windows (SANS FOR408/GIAC GCFE): 18 au 22 juin (*)(#)
Mesures de sécurité ISO 27002 ........ : 19 et 20 juin
Indicateurs & tableaux de bord SSI/ISO27004 : 22 juin
Analyse inforensique (SANS FOR508/GIAC GCFA): 10 au 14 septembre (*)(#)
(*) : formations avec travaux pratiques avec un ordinateur par stagiaire
(#) : formations certifiantes
(C) : session de formation complète
(%) : certification en cours de développement par le GIAC
- Luxembourg
ISO 27001 Lead Auditor .............. : 13 au 17 février 2012 (#)
ISO 27005 Risk Manager .............. : 9 au 11 mai 2012 (#)
ISO 27001 Lead Implementer .......... : 24 au 28 sept. 2012 (#)
- Bordeaux
Correspondant Informatique et Libertés : 11 et 12 octobre 2012
- Clermont-Ferrand
Correspondant Informatique et Libertés : 8 et 9 décembre 2011
- Lille
Correspondant Informatique et Libertés : 13 et 14 février 2012
- Lyon
ISO 27005 Risk Manager .............. : Nous contacter pour 2012
ISO 27001 Lead Implementer .......... : Nous contacter pour 2012
Correspondant Informatique et Libertés : 20 et 21 septembre 2012
- Marseille
Correspondant Informatique et Libertés : 19 et 20 mars 2012
- Montpellier
Correspondant Informatique et Libertés : 30 et 31 mai 2012
- Nantes
Correspondant Informatique et Libertés : 14 et 15 mai 2012
- Nice
ISO 27005 Risk Manager .............. : 25 au 27 juin 2012 (#)
Risk Manager Avancé ................. : 28 et 29 juin 2012
Correspondant Informatique et Libertés : 22 et 23 novembre 2012
- Poitiers
Correspondant Informatique et Libertés : 14 et 15 novembre 2012
- Rennes
Correspondant Informatique et Libertés : 11 et 12 juin 2012
- Strasbourg
Correspondant Informatique et Libertés . : 28 au 29 juin 2012
- Toulouse
ISO 27005 Risk Manager .............. : 26 au 28 mars 2012 (#)
Risk Manager Avancé ................. : 29 et 30 mars 2012
Correspondant Informatique et Libertés . : 26 et 27 avril 2012
ISO 27001 Lead Implementer .......... : 21 au 25 mai 2012 (#)
Juridique de la SSI ................. : 24 et 25 septembre 2012
(#) : formations certifiantes
Pour tout renseignement, et pour vous inscrire pour toutes les villes
contactez Lynda Benchikh : formations at hsc.fr -- +33 141 409 704
Retrouvez les tarifs des formations dans la Newsletter n° 64 de janvier 2010
au chapitre 6 : http://www.hsc-news.com/archives/2010/000064.html
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue en PDF sur http://www.hsc-formation.fr/
--[ 13. Actualité des associations : Club 27001, OSSIR et Clusif ]--------
o Club 27001 (http://www.club-27001.fr/)
. Prochaine réunion à Paris jeudi 19 janvier 2012 chez Thales (Neuilly)
- Retour d'expérience d'utilisation du logiciel DPCIA pour la
mise en oeuvre d'un SMSI par Pierre l'Hostis et Jean-Louis
Lassaigne (Almerys)
- La gestion des incidents de sécurité selon l'ISO 27035 par
Alexandre Fernandez-Toro
- Point divers
. Conférence annuelle du club le mardi 3 avril 2012 à Paris
Appel à communication publié au paragraphe 8.
. Réunion suivante à Paris le jeudi 24 mai à 14h00 chez ESR (Meudon)
- Programme en cours d'élaboration
. Prochaine réunion à Toulouse le vendredi 27 janvier 2012
- Programme en cours d'élaboration
. Prochaines à Marseille, Rennes et Lyon annoncées sur
www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
sur les listes de chaque ville sur www.club-27001.fr pour suivre
l'activité du Club 27001 en région.
o OSSIR (http://www.ossir.org/)
. Réunion suivante à Paris le mardi 13 décembre à 14h00 à la Librairie
Eyrolles (RER Saint-Michel, métro Cluny)
- Threat Management : déploiement rapide de contre-mesures face
aux attaques, focus : Cas de la lutte anti-DDoS, par Emmanuel
Besson et Jouni Viinikka (6cure)
- DrDOS, un DDOS d'une magnitude incomparable par Philippe Humeau
(NBS)
- Revue d'actualité par Nicolas Ruff (EADS)
. Réunion suivante à Paris le mardi 10 janvier 2012, précédée de
. Prochaine réunion à Lyon annoncée prochainement
. Prochaine réunion à Rennes début 2012
. Prochaine réunion à Toulouse le mardi 17 janvier à 14h00 à l'Université
Toulouse 1 Capitole (Sciences Sociales)
- "Les attaques par entrées-sorties et les contremesures" par Fernand
Lone Sang (LAAS-CNRS)
- Sujet à préciser par Samuel Dralet (Lexfo)
Réunion suivante à Toulouse mardi 27 mars
o Clusif (https://www.clusif.asso.fr/)
. Présentation du panorama de la cybercriminalité du Clusif le mercredi
11 janvier 2012 au cercle militaire
. Assemblée Générale le 8 mars 2012 : pensez à envoyer une procuration
si vous ne pouvez venir.
--[ 14. Le saviez-vous ? La réponse ]------------------------------------
Prenons par exemple un type d'empreinte MD5 où le sel est composé de
l'identifiant de l'utilisateur suivi du caractère non affichable '\n' (0x0A).
Soit : empreinte := md5($login.\n.$password)
* Solution avec John
Avec l'outil John The Ripper (http://www.openwall.com/john/), il est possible
d'utiliser le format dynamic_n afin de spécifier de manière générique
n'importe quelle variante d'empreinte MD5 un tant soit peu exotique.
Ainsi, il devient possible de casser des empreintes du type
md5(sha1($login.$password)) ou md5(md5($login).md5($salt).md5($password))
entre autres.
Dans notre cas, il nous faut créer une nouvelle section dans le fichier de
configuration de JtR (john.conf) afin de déclarer notre format bien
particulier :
[List.Generic:dynamic_1030]
Expression=dynamic_1030: md5($u.\x0A.$p) [eZ Publish]
Flag=MGF_USERNAME
Func=DynamicFunc__clean_input
Func=DynamicFunc__append_userid
Func=DynamicFunc__append_input1_from_CONST1
Func=DynamicFunc__append_keys
Func=DynamicFunc__crypt
CONST1=\x0A
Test=$dynamic_1030$c78e3b0f3d9244ed8c6d1c29464bdff9:publish:admin
Ces directives permettent d'indiquer que l'empreinte MD5 est calculée à partir
de la concaténation de l'identifiant suivi du caractère '\n' et enfin du mot
de passe (pour plus d'informations, lire john/doc/DYNAMIC).
Puis, il faut formater correctement notre fichier d'empreintes à casser avec :
<login>:$dynamic_1030$<empreinte MD5>
Par exemple, pour l'utilisateur 'foobar', on aura la ligne suivante :
$ cat demo_jtr.pw
foobar:$dynamic_1030$9dbd9a8c732fe79da116588afb97f2e6
Enfin, on exécute JtR avec :
$ john demo_jtr.pw
Loaded 1 password hash (dynamic_1030 dynamic_1030: md5($u.\x0A.$p) [eZ Publish] [128x1 (MD5_Body)])
test123 (foobar)
Le mot de passe est rapidement retrouvé.
* Solution avec Hashcat
Avec la suite Hashcat (http://hashcat.net), ce n'est pas aussi simple. Il
faut indiquer que l'empreinte MD5 est de type md5($salt.$pass) et construire
le fichier d'empreintes avec les sels encodés en hexadécimal.
Ainsi, on aura pour le même utilisateur 'foobar' :
$ cat demo_hc.pw
9dbd9a8c732fe79da116588afb97f2e6:666f6f6261720a
Pour le moment, seul l'outil oclHashcat-0.26 permet de casser notre variante
d'empreinte MD5 parce que :
- l'option --hex-salt n'existe pas dans hashcat-0.37 ;
- le format md5($salt.$pass) n'existe ni dans oclHashcat-lite-0.08 ni dans
oclHashcat-plus-0.06.
Par conséquent, nous ne pouvons pour le moment pas faire d'attaques par
dictionnaire, mais uniquement des attaques par force brute ou hybrides (avec
accélération GPU tout de même).
Exemple d'attaque hybride avec oclHashcat :
$ /opt/oclHashcat/cudaHashcat -m 2 --hex-salt demo_hc.pw password.lst ?d?d?d
cudaHashcat v0.26 by atom starting...
Digests: 1 entries, 1 unique
Salts: 1 entries, 1 unique
Bitmaps: 8 bits, 256 entries, 0x000000ff mask, 1024 bytes
Platform: NVidia compatible platform found
Watchdog: Temperature limit set to 90c
Device #1: GeForce GTX 460, 1023MB, 1300Mhz, 7MCU
NOTE: gpu-accel auto-adjusted to: 80
Device #1: Kernel /opt/oclHashcat/kernels/4318/m0002.sm_21.32.cubin
9dbd9a8c732fe79da116588afb97f2e6:666f6f6261720a:test123
[s]tatus [p]ause [r]esume [q]uit =>
Status.......: Cracked
[...]
Exemple d'attaque par force brute :
$ /opt/oclHashcat/cudaHashcat -m 2 --hex-salt demo_hc.pw ?l?l?l?l ?d?d?d
cudaHashcat v0.26 by atom starting...
[...]
9dbd9a8c732fe79da116588afb97f2e6:666f6f6261720a:test123
[s]tatus [p]ause [r]esume [q]uit =>
Status.......: Cracked
-- Sebastien Macke
Plus d'informations sur la liste de diffusion newsletter