[Newsletter HSC] N°89 - Janvier 2012
Newsletter d'information de HSC
newsletter at hsc-news.com
Lun 2 Jan 12:09:59 CET 2012
========================================================================
HSC Newsletter -- N°089 -- janvier 2012
========================================================================
« L'État, c'est la grande fiction à travers laquelle tout le monde
s'efforce de vivre aux dépens de tout le monde. »
[Frédéric Bastiat]
--[ Sommaire ]----------------------------------------------------------
1. Éditorial : DrDoS
2. Le saviez-vous ? La question
3. HSC partenaire de la 6ième Université de l'AFCDP des CIL
4. HSC partenaire du Security Day Luxembourg
5. Compte-rendu du CCC (première partie)
6. Appel à communication 5ème conférence "SMSI et normes ISO 27001"
7. Prix de l'Innovation des Assises de la Sécurité
8. Nouveautés du site web HSC
9. Offres d'emploi : consultants & stagiaires techniques & orga
10. Offre d'emploi : développeur Ruby On Rail (stage/alternance/...)
11. Agenda des interventions publiques
12. Prochaines formations HSC
13. Actualité des associations : Club 27001, OSSIR et Clusif
14. Le saviez-vous ? La réponse
--[ 1. Éditorial - Christophe Renard ]----------------------------------
En cette période de prise de résolutions, abordons un problème qui
en nécessitera plus d'une pour s'éteindre.
C'est le principe de l'Internet de permettre l'élaboration de protocoles
de qualité inégale. C'est souvent par itérations qu'ont maturé des
solutions généralisables. Contrairement à ses prédécesseurs moins
fructueux, IP est neutre quand aux données qu'il transporte. La
comparaison des piles protocolaire ISO/X400 et IP/SMTP/MIME est une
illustration parlante de l'avantage de ce choix.
Pour faire court : sur Internet tout le monde à le droit de coder comme
un cochon et c'est ainsi que ça marche, par essence.
Par ailleurs, par défaut, les routeurs IP acheminent n'importe quel
paquet sans contrôler l'adresse d'origine (champ src). Trop souvent,
des opérateurs de réseaux terminaux (FAI, opérateurs d'hébergement,
entreprises) laissent cette configuration permettant ainsi à des paquets
dont la source n'est pas contrôlée de quitter leur réseau.
En combinant ces deux propriétés, par exemple dans la mise en place de
serveurs de jeux, un mélange intéressant est obtenu.
C'est ce qu'a pu découvrir NBS[1] début octobre 2011 quand son réseau
s'est retrouvé saturé par une arrivée massive de paquet d'état de
serveurs Quake. Ces serveurs peuvent être interrogés par un simple
paquet UDP très court et répondre d'un paquet jusqu'à 17 fois plus gros,
détaillant statistiques et status. L'effet de levier est considérable
et les serveurs de jeux proliférant (aussi bien les serveurs privés
gérés par des particuliers que ceux " institutionnels " des éditeurs de
jeux vidéos), le nombre de sources distinctes peut être significatif.
La méthode a été utilisée plusieurs fois dans les semaines qui ont suivi
montrant, au dépends de Gandi, qu'on pouvait l'utiliser pour générer
ainsi plusieurs dizaine de gigabits de trafic par secondes.
Cette attaque n'est pas nouvelle, elle est documentée depuis 2002 sous
le joli acronyme de DrDos[2] ou attaque de déni de service avec réflexion
répartie. L'originalité des récentes attaques réside dans le ratio de
taille requête entrante/requête sortante. Il est particulièrement large
et, dans ce cas, "size does matter". Le volume observé a atteint
l'ordre des capacités backbone d'un opérateur de second rang (tier 2
network) et celui des suivantes pourrait, moyennant quelques astuces,
dépasser ces limites.
Les développeurs et éditeurs pourraient être appelés à faire de la
sécurité, par exemple en introduisant une notion de cookie dans leurs
protocole, comme sur l'initialisation de connexion TCP ou en ne
permettant des requêtes qu'après un dialogue. Mais outre que la priorité
dans le monde du jeu vidéo n'est pas de sécuriser des tiers, il y a de
toute façon dans la nature nombre de serveurs de jeux gérés par des
particuliers avec un suivi de mises à jour très variable.
Quoi qu'il en soit, l'attaque n'est pas l'exclusive du monde du jeu
vidéo. Parmi bien d'autres, la réponse à une requête DNSec avec sa
chaine de certification pourrait, par exemple, être exploitable de façon
similaire.
En revanche, pourquoi en 2011 le filtrage de paquet en sortie chez
les opérateurs de réseau terminaux n'est-il pas la règle alors que la
première RFC en définissant les modalités date de 1998[3] ?
IPv6 et ses adresses portables pourraient compliquer la donne, mais, en
attendant, c'est avant tout une affaire de gouvernance des opérateurs des
réseaux et de règles de base dans la configuration des équipements
d'infrastructure.
Une bonne résolution pour 2012 :
permit ip <%MY_CIDR_BLOCKS%> any
deny ip any any
Le reste de l'Internet vous remercie.
Christophe Renard
Références :
[1] Présentation de Philippe Humeau, de NBS à l'OSSIR
<http://www.ossir.org/paris/supports/2011/2011-12-13/DrDOS.pdf>
[2] Attaque de grc.com en 2002,
invention du terme "Distributed Reflexion Denial of Service"
<http://www.cs.washington.edu/homes/arvind/cs425/doc/drdos.pdf>
[3] Première RFC sur l'Ingress Filtering (1998)
RFC 2267 « Network Ingress Filtering: Defeating Denial of Service
Attacks which employ IP Source Address Spoofing »
[4] RFC actuelle (2000)
RFC 2827 « Network Ingress Filtering: Defeating Denial of Service
Attacks which employ IP Source Address Spoofing »
[5] Publication de 2002
<http://www.lemuria.org/security/application-drdos.html>
[6] Une proposition de mitigation (2008)
"Detecting DRDoS attacks by a simple response packet confirmation
mechanism"
H. Tsunoda, K. Ohta, A. Yamamoto, N. Ansari, Y. Waizumi,Y. Nemoto;
<http://www.sciencedirect.com/science/article/pii/S0140366408003216>
[7] Une synthèse de 2002
"Egress filtering - keeping the Internet safe from your systems"
by Heather L. Flanagan
<http://www.giac.org/paper/gsec/705/egress-filtering-keeping-internet-safe-systems/101588>
[8] Egress filtering FAQ du SANS
<http://www.sans.org/reading_room/whitepapers/firewalls/egress-filtering-faq_1059>
--[ 2. Le saviez-vous ? La question ]-----------------------------------
Comment envoyer une requête ping sans droit root sous Linux ?
Réponse au paragraphe 14.
--[ 3. HSC partenaire de la 6ième Université de l'AFCDP des CIL ]---------
HSC est partenaire de la 6e Université de l'AFCDP des Correspondants
Informatique et Libertés, qui aura lieu le vendredi 27 janvier 2012 chez
IBM à Bois-Colombes à coté de Paris.
Lynda Benchikh et Kaouther Naoua seront à votre disposition pour
vos projets de formation, audit, conseil et veille à destination des CIL.
Retrouvez-nous sur notre stand durant toute la journée.
http://www.afcdp.net/Universite-des-CIL-2012-Avant
Frédéric Connes, docteur en droit et ingénieur informatique, juriste et
CIL chez HSC, interviendra lors de la table-ronde Cloud Computing et
Contrat SaaS "Quel rôle pour le CIL ?", animée par Bernard Foray (Casino).
Pour en savoir plus et programme des conférences :
http://www.afcdp.net/Universite-des-CIL-2012-Avant
Bulletin d'inscription 60 euros :
http://www.afcdp.net/IMG/pdf/Bulletin_inscription_Universite_AFCDP_Paris_27janv2012.pdf
--[ 4. HSC partenaire du Security Day Luxembourg ]------------------------
Comme en 2011, HSC sera présent au Security Day 2012 le mercredi 8
février 2012 à Luxembourg à l'Abbaye de Neumunster, avec un stand et une
conférence. Le Security Day 2012 est organisé par l'ISACA Luxembourg.
Matthieu Hentzien et Kaouther Naoua seront à votre disposition pour
vos projets d'audit, de tests d'intrusion et de formation. Retrouvez-nous
sur notre stand durant toute la journée.
Renaud Dubourguais fera une présentation "Hacking and securing JBoss
Application Server" à 11h15 salon C.
JBoss AS est un des serveurs applicatif les plus utilisés dans les
architectures sensibles comme dans le secteur bancaire. Sa présentation
montrera les faiblesses de JBoss 3 à JBoss 7, comment les exploiter pour
prendre la main sur le système hôte, et comment sécuriser et configurer
JBoss pour éviter les intrusions.
Programme des conférences :
http://www.isaca.lu/event_page.php?evt_id=1&action=program
Bulletin d'inscription 75 euros :
http://www.isaca.lu/event_page.php?evt_id=1&action=pricing
Pour en savoir plus :
http://www.isaca.lu/event_page.php?evt_id=1&action=general
--[ 5. Compte-rendu du CCC (première partie) ]----------------------------
Par Mikaël Smaha.
Pour les experts en sécurité informatiques, les festivités de fin d'année
ne pourraient être complètes sans le désormais traditionnel Chaos
Communication Congres (28C3). Organisée à Berlin par le Chaos Computer Club,
cette conférence internationale de 4 jours ne se limite pas uniquement à la
sécurité informatiques. Les nombreuses présentations, ateliers et stands
abordent également l'électronique, les imprimantes 3D, les drones, le
crochetage de serrures, les usages de l'informatique et ses implications
sociales et politiques... Le tout se déroulant dans une atmosphère conviviale.
Cette 28 édition, intitulée "Behind enemy lines", a été marquée par l'absence
de neige et les nombreuses conférences autour des protocoles, et en
particulier des protocoles de communication à distance. Il faut noter
également l'accent mis sur l'insécurité des équipements numériques (PLC,
PBX et imprimantes multifonctions) et les nombreuses analyses de BitCoins.
Partant du constat que la téléphonie mobile repose sur des protocoles
trop peu connus mais largement utilisés, Harald Welte a fait le point sur les
différentes technologies existantes et comment celles-ci permettent d'échanger
des données sur Internet.
Harald Welte a résumé dans un premier temps l'évolution des différentes
technologies en passant successivement du GSM, au HSCSD, au GPRS, à EDGE puis
à l'UMTS et ses différentes versions (HSDSCH, HSUPA et ESPA).
Cette introduction a très brièvement abordé l'encodage du signal et la bande
passante permise par ses différents protocoles pour se concentrer sur les
problématiques de compatibilité matérielle entre ces technologies et les modes
de fonctionnement des couches supérieures (Circuit, Paquet ou mixte).
À l'issue de cette première partie, Harald Welte a distingué trois
technologies différentes dont il détaille le fonctionnement dans la seconde
partie : GSM, GPRS et UMTS.
En effet, entre la station mobile (le téléphone) et Internet, la communication
transite par de nombreux composants. Dans le cas d'une communication GSM et
GPRS, nous avons successivement la Base Transit Station (BTS), le Base Station
Controller (BSC), la Paquet Control Unit (PCU), le Serving GPS Support Node
(SGSN) et le Gateway GSM Support Node (GGSN). Chacun de ses composants est en
charge d'une ou plusieurs fonctions et communique avec le téléphone, voire
avec d'autres composants, en encapsulant le reste de la communication.
Le résultat est une succession de piles entre chacun de ses composants que
seule la présentation d'Haral Welte permet d'appréhender.
Il est à noter que la couche physique de ces protocoles n'a pas été présentée
au cours de cette seconde partie.
Karsten Nohl et Luca Melette ont de leur côté présenté la suite de leurs
travaux sur la sécurité des GSM.
La première partie de l'exposé a décrit comment un tiers peut exploiter les
communications entre une victime et son opérateur pour usurper l'identité du
téléphone, intercepter le contenu des communications ou/et traquer la victime.
Chacune de ses attaques exploitent des vulnérabilités du protocole :
algorithme de chiffrement (A5/1) défaillant (réutilisation de la clef),
contenu des trames prédictible (invariant et bourrage nulle)...
Si des correctifs de sécurité existent pour chacune de ses vulnérabilités
(bourrage aléatoire, utilisation de A5/3), la réalité du terrain montre que
leur mise en oeuvre est encore l'exception :
L'authentification du téléphone n'est pas systématique et quasiment aucune
autre mesure de sécurité n'est mise en oeuvre.
Ils ont d'ailleurs mis au point une carte [http://gsmmap.org] des risques liés
à chacun de ses opérateurs européens et nous invite à la compléter.
Dans la seconde partie, Karsten Nohl et Luca Molette ont inversé les rôles et
ont présenté les attaques réalisables venant du réseau, à partir d'un fausse
station de base (BTS).
A partir d'une telle base, un attaquant est en mesure d'énumérer l'ensemble
des périphériques du périmètre, de géolocaliser une personne en amplifiant le
signal venant de son téléphone ou simplement de faire un man-in-the-middle.
Bien que ce genre d'attaque n'est pas possible à éviter, les deux chercheurs
du Security ResearchLabs ont trouvé et implémenté une solution intéressante
(nommée CatcherCatcher): récupérer les requêtes suspectes venant du réseau et
attribuer un niveau de confiance à celui-ci (vert, jaune, rouge). Si
l'utilisateur juge le niveau de confiance du réseau insatisfaisant, il n'a
qu'à éteindre son téléphone.
Travis Goodspeed, accompagné de Sergey Bratus, nous a présenté avec
beaucoup d'humour une attaque originale de la couche physique (couche 1 du
modèle OSI) à partir de la couche applicative (couche 7).
Ces deux chercheurs en sont venus à étudier les couches basses des protocoles
de communication sans fil après avoir identifié, en 2005, l'absence
d'idempotence de certaines requêtes. Ils ont remarqué que les couches
physiques (1 et 2) reposent sur un protocole complexe d'une dizaine de champs
qu'il serait intéressant de pouvoir manipuler.
La manipulation de ces couches n'étant pas aisée (trafic invisible des
renifleurs), ils ont commencé leur étude avec un composant flexible : ZigBee.
Travis Goodspeed explique ainsi que chaque paquet wifi est reconnu par un
préambule (0x00 0x00 0x00 0x00) et un octet de synchronisation (0xa7), avant
que ne commence vraiment le corps du paquet. Ce préambule et cet octet de
synchronisation sont reconnu au niveau matériel par une machine à états
simple qui boucle sur chacun des paquets.
Ainsi, quand le corps du paquet contient une chaine avec le préambule et
l'octet de synchronisation, la première partie du paquet est considérée comme
un segment entier, malgré une longueur de paquet erronée. Ce segment est
défaussé en raison d'un somme de contrôle erronée. La seconde partie est
ensuite traité comme un paquet à part et est entièrement manipulable par
un attaquant. La réussite de cette attaque n'est cependant pas systématique,
elle dépend de la façon dont le paquet est découpé avant d'être transmis.
Travis insiste ensuite sur l'origine du problème: un standard défaillant qui
ne peut pas être corrigé sur l'existant : le traitement physique des paquets
n'est en effet implémenté en dur dans le circuit de la carte Wifi.
Faisant écho à la présentation de Meredith L. Patterson "La Science de
l'insécurité", il met en avant le danger d'utiliser des paquets de taille
variable.
Dans la seconde partie de sa présentation, Travis présente les difficultés
rencontrées et ses solutions pour transposer ses découvertes au protocole
Wifi. Il lui faut en effet prendre en compte le changement potentiel de débit
qui passe de 1Mbps pour l'entête à 1, 2, 5,5 ou 11Mbps pour le contenu en
fonction de la qualité du signal (802.11b), l'utilisation de différents jeux
de symboles en fonction du débit et l'utilisation d'un chiffrement du signal
de 7 bits. De plus l'attaque n'est pas possible sur une communication
chiffrée.
Suite du compte-rendu du CCC dans la newsletter de février.
--[ 6. Appel à communication 5ème conférence "SMSI et normes ISO 27001" ]
Le Club 27001 (http://www.club-27001.fr/), association à but non lucratif,
organise à Paris le mardi 3 avril 2012 sa cinquième conférence annuelle autour
des usages des normes ISO 2700X. Cette conférence se déroulera à l'espace
Saint-Martin dans le cadre des GS-DAYS (www.gsdays.fr).
La conférence annuelle du Club 27001 privilégie les retours d'expérience dans
l'utilisation des normes de la série ISO 27000, qu'il s'agisse de la mise en
oeuvre d'une des normes, leur usage y compris sans certification, les
difficultés rencontrées et les intérêts perçus.
Voici les thèmes sur lesquels nous attendons des propositions, sans que
ceux-ci soient exhaustifs :
- Mise en oeuvre d'un SMSI
. Retour d'expérience
. Reprise de l'existant
. Comment engager sa direction générale
. Comment surmonter la peur du SMSI
- Management des risques en sécurité de l'information
. Retour d'expérience de mise en oeuvre de l'ISO 27005
. Technique d'entretien et d'implication des métiers
. Échelles et calcul du risque
. Interactions avec les autres gestions des risques : opérationnels,
industriels, CHSCT, financiers, etc
. Usage de l'ISO 27005 dans les projets, les systèmes embarqués, etc
. Cohabitation d'ISO27005 avec EBIOS, Mehari et RiskIT
- Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
. Gouvernance de la SSI, de la sécurité en général, de l'IT, du management
des risques
. Systèmes de Management Intégrés (ISO 9001, 14001, 20000-1, etc) avec
ISO 27001
. Mutualisation, opposition, complémentarité, déclencheur, etc
. Cohabitation ISO27001 et ISO 20000-1 / ITIL (services informatiques)
. Coordination entre SSI (ISO 27001) et continuité d'activité
(ISO 22301 / ISO 27031 / ISO 27013 / BS25599)
. CobiT (audit informatique, contrôle interne)
. Utilisations d'ISO 27001 dans le cadre d'autres référentiels :
RGS, PCI-DSS, SoX, Bâle II/Solvency II, hébergeur données de santé,
ARJEL, etc
- Audits internes
. Mise en place d'audits internes pour le SMSI
. Mutilisation des audits internes ISO 27001 (avec ISO 9001, etc)
. Utilisation de l'ISO 19011 et ISO 27006
- Indicateurs, métriques et tableaux de bord
. Retours d'expérience
. Usage de l'ISO 27004
. Liens avec d'autres référentiels (TBSSI, etc)
- Certification ISO27001 et audits de SMSI
. Retour d'expérience des accréditeurs, des organismes de certification,
des auditeurs et des audités
. Contrôle de l'appréciation des risques
. Interprétations de la Déclaration d'Applicabilité
- Applications sectorielles de l'ISO 27001 : télécommunications, santé, etc
. Utilité et usage du référentiel appliqué à un métier (27011, 27799, etc)
. Complémentarité avec le référentiel métier (WLA, etc)
- Formation et certifications individuelles
. Comment et pourquoi se former aux SMSI ?
. A quoi servent les certifications individuelles ?
Les propositions doivent faire part d'un retour d'expérience pratique, et
ne doivent pas être la présentation d'une offre de service, d'un produit ou
plus généralement d'une solution commerciale. Le comité de programme sera
sensible à l'aspect pratique des propositions. Cependant, les
propositions présentant une analyse ou un comparatif fondé sur des tests
scientifiques pourraient être acceptées.
Les présentations feront de 35 à 45 minutes et seront en français ou en
anglais.
Contenu des soumissions à envoyer à conference at club-27001.fr :
- Nom de l'auteur, biographie et affiliation
- Synopsis d'une page maximum de l'intervention avec un plan de celle-ci
Calendrier
- 18 janvier 2012 : date limite de réception des soumissions
- 20 janvier 2012 : notification aux auteurs et
publication du pré-programme
- 15 février 2012 : publication du programme définitif
- 15 mars 2012 : réception des présentations
- 3 avril 2012 : conférence
Le comité de programme est composé des membres de l'association élus au
conseil d'administration, soit :
- Claire Albouy-Cossard, CNAMTS
- Bertrand Augé, Kleverware, trésorier
- Gérôme Billois, Solucom
- Dominique Ciupa, Edelweb
- Guillaume Corbillé, Laser, trésorier-adjoint
- Eric Doyen, Générali, président
- Emmanuel Garnier, Systalians, vice-président
- Loic Guézo, IBM
- Freddy Milesi, Sekoia
- Anne Mur, Edelweb, secrétaire-adjointe
- Hervé Schauer, HSC, secrétaire
- Jérôme Vivier, SNCF
--[ 7. Prix de l'Innovation des Assises de la Sécurité ]----------------
Pour la 7ème année consécutive sera décerné le Prix de l'Innovation
des Assises de la Sécurité. Les Assises se dérouleront à Monaco du
3 au 6 octobre 2012.
Le jury du Prix 2012 est composé de :
Hervé Schauer, HSC, président du jury
Didier Gras, RSSI Groupe BNP Paribas, vice-président du jury
Thierry Auger, DSI-adjoint Groupe Lagardère
Emmanuel Dupuy, DSI Apax Partners
Eric Grospeiller, FSSI Ministère de la Santé
Cyril Gollain, CSO Brainwave (société lauréate en 2011)
Maximilien Oursel, associé, Pleiade Venture
Sylvain Thiry, RSSI Groupe SNCF
Raphael Viard, RSSI Alstom
Ce prix permet à une entreprise innovante dans le domaine de la
sécurité des systèmes d'information de bénéficier d'un accès aux Assises
de la Sécurité afin de démontrer son produit ou son service, avec la
remise du prix en séance plénière le jeudi 4 octobre 2012, et un paquetage
d'une valeur de 25000 euros :
- un espace d'exposition pour démontrer sa solution et rencontrer
les invités, la presse, etc. ;
- un atelier pour présenter sa solution sous forme de conférence.
Le prix est ouvert aux entreprises créées en 2010, 2011 ou 2012.
Les critères utilisés par le comité de sélection sont notamment :
- le caractère innovant et nouveau du produit ou service présenté ;
- l'intérêt pour les RSSI et les métiers associés ;
- les innovations technologiques dans la solution présentée ;
- l'état d'avancement du projet et sa pertinence sur la marché.
Le règlement complet et le dossier de candidature seront disponibles
en téléchargement sur le site des Assises, rubrique Prix de l'Innovation :
http://www.lesassisesdelasecurite.com/
Le dossier sera à remplir en ligne à partir du 20 janvier 2012 et jusqu'au
16 avril. N'hésitez pas à renvoyer cette annonce autour de vous et à faire
part de votre intérêt à candidater auprès d'Hervé Schauer qui est à la
disposition des candidats éventuels pour leurs questions.
--[ 8. Nouveautés du site web HSC ]-------------------------------------
- Communiqué de presse : "HSC qualifié OPQF pour ses formations
informatiques", le 2 décembre 2011
http://www.hsc.fr/presse/communiques.html.fr#091211
- Outil : "Patator" : recherche de mots de passe en force brute, nouvelle
version 0.3 par Sébastien Macke, le 16 décembre 2011
http://www.hsc.fr/ressources/outils/patator/
--[ 9. Offres d'emploi ]------------------------------------------------
HSC recrute des stagiaires et des consultants en sécurité des systèmes
d'information dans toutes les spécialités.
+-------------------------------------------------------------------------+
| HSC recherche particulièrement des consultants expérimentés (3 à 6 ans) |
| en décompilation et retro-ingénierie, tests d'intrusion, systèmes |
| industriels, ainsi que sur l'ISO27001 et la gestion des risques SSI. |
| Vous vous lassez des régies et des missions longues ? N'hésitez pas, |
| profitez de votre expérience pour postuler et faire de l'expertise. |
+-------------------------------------------------------------------------+
Tous les consultants HSC deviennent avec l'expérience formateurs, et
partagent leur expérience acquise lors des prestations en participant
aux formations HSC.
HSC recrute des consultants orientés sur les aspects techniques de la
sécurité, afin :
- D'auditer la sécurité d'infrastructures de supervision,
d'authentification, de gestion des rôles et des reponsabilités,
de journalisation, de détection d'incident, etc
- D'auditer la sécurité de systèmes de télécommunications, de systèmes
informatiques industriels, de systèmes embarqués, etc
- D'auditer la sécurité d'applications variées (embarqué, ordiphones,
histotiques, web, etc) avec ou sans accès au code source
- De procéder à des tests d'intrusion manuels, notamment sur des
applications web, dont l'objectif est de détecter les failles de
sécurité et de permettre leur correction
- De procéder à des enquêtes inforensiques, y comprit dans un cadre légal,
et des analyses post-incident de logiciels malfaisants
- Plus généralement de participer aux projets techniques en sécurité
HSC recrute des consultants orientés sur l'organisation de la sécurité
les aspects juridiques, la conformité et la gestion des risques, afin :
- D'auditer la sécurité dans des cadres variés
- D'accompagner aux démarches de gouvernance de la SSI, notamment lors de
la mise en place de SMSI suivant la norme ISO 27001 et toutes les
activités associées : gestion des incidents, des mesures, etc
- D'accompagner aux démarches de conformité en sécurité, notamment
PCI-DSS, RGS, hébergeur de données de santé, AGIRC-ARRCO, ARJEL, WLA
- De réaliser ou d'assister dans la gestion des risques de sécurité de
l'information (méthodes ISO 27005 et EBIOS 2010, base de connaissance
étendue incluant celle de Mehari)
- D'élaborer des procédures et documents synthétiques et pragmatiques
(politiques, chartes, règlement intérieur, etc)
- Plus généralement, de participer aux projets utilisant les normes de la
série ISO27K pour répondre aux attentes des clients.
Les qualités recherchées sont notamment les suivantes :
- Bonne qualité de rédaction en français
- Passion pour la sécurité
- Bon contact humain
- Maîtrise de l'informatique et des technologies de l'information,
notamment la programmation avancée et l'administration système pour
les candidats techniques et la compréhension des enjeux du pilotage
de la SSI par les risques pour les candidats organisationnels
- Discrétion et capacité à travailler sur des projets sensibles, des
opérateurs d'importance vitale, etc
- Compréhension du modèle économique de l'activité d'expertise,
autonomie et bonne expression à l'oral
Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC, aussi
bien sur les normes ISO 27001 et ISO 27005 ou le juridique de la SSI, qu'aux
tests d'intrusion, à l'inforensique, ou la sécurité Windows et la sécurité des
applications web. Cela représente pour chaque nouveau consultant de 2 à 6
semaines de formations suivies dans le cadre de sa prise de fonction.
HSC recherche également des stagiaires en fin d'étude pour des stages de
pré-embauche pour des postes de consultants, soit au sein de l'équipe
technique, soit au sein de l'équipe conformité, risque et organisation
de la sécurité.
Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la gare
Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2). Si vous
souhaitez proposer votre candidature, nous vous remercions d'envoyer votre CV
en texte ascii par courrier électronique à cv at hsc.fr.
--[ 10. Offre d'emploi développeur Ruby On Rails ]----------------------
HSC recherche un développeur pour son application de gestion de la relation
client développée en interne sur la technologie Ruby-On-Rails.
* Description de l'application :
Cette application de gestion de la relation client regroupe les données
commerciales, permet le suivi des propositions commerciales, facilite
la gestion des formations, gére les contacts, etc.
HSC souhaite la faire évoluer pour pouvoir y centraliser la gestion
d'une plus grande partie de son activité et y automatiser de nouvelles tâches.
Les objectifs seront de (de façon non exhaustive) :
- automatiser la création de documents administratifs ;
- automatiser la gestion de calendriers internes ;
- proposer des solutions pour améliorer l'ergonomie ;
- améliorer l'intégration avec l'environnement HSC ;
- récupérer des informations sur des sites externes pour alimenter
les données de l'application ;
- optimiser les performances ;
- collaborer avec les différentes équipes (commerciales, techniques,
organisationnelles) pour imaginer et implémenter des solutions pour
accéder aux différentes informations stockées.
Une grande liberté sera accordée aux choix d'implémentation pour les
extensions à venir, ce qui requiert donc de la part du postulant de la
méthode.
* Environnement de travail :
Vous travaillerez dans un environnement où les technologies et outils libres
sont privilégiés :
- langage de développement objet Ruby ;
- framework Ruby On Rails ;
- base de donnée MySQL ;
- système d'exploitation Linux ;
- gestionnaire de version Git ;
- déploiement à l'aide de Capistrano.
HSC a choisi Ruby On Rails pour le gain de temps qu'il apporte au
développement de fonctionnalités complexes. Structuré autour de la méthode
"MVC" (modèle vue contrôleur), l'ensemble des conventions qu'il adopte permet
à un développeur connaissant Rails de rapidement comprendre le fonctionnement
d'une application pour être au plus vite capable de s'intégrer à son
développement.
L'ajout de fonctionnalités et leurs intégrations dans l'environnement HSC
pourront de plus vous amener à vous intéresser à des technologies variées
telles que :
- le serveur de téléphonie Asterisk ;
- la gestion des calendriers au format iCalendar ;
- le serveur de listes électroniques Mailman ;
- etc.
* Profil recherché :
- vous souhaitez vous mettre au Ruby On Rails à 100% dans une société avec
une culture résolument geek ;
- vous êtes motivé(e), ouvert(e), autonome, et capable de proposer des
idées pour améliorer l'existant ;
- vous avez des connaissances sur les technologies du Web (HTML, CSS, SQL,
Javascript, Ajax) ainsi que de bonnes connaissances dans des langages
de programmation objet orienté Web (Ruby, PHP, Java, ASP) ;
- vous avez des qualités de rédaction : documentation, commentaires dans
le code source ;
- vous connaissez Ruby, et la technologie Ruby-On-Rail, par exemple
au travers de projets personnels ou d'étude.
HSC propose un stage, ou un contrat d'apprentissage ou d'alternance.
Salaire selon profil.
Pour postuler à ce poste, envoyez votre CV et lettre de motivation en texte
ascii (pas de PDF ou DOC) à cv-ruby at hsc.fr.
--[ 11. Agenda des interventions publiques ]----------------------------
- 24 janvier 2012 - Club EBIOS - Paris
"Agrégation et Rétropagation du risque" - Mickael Smaha
http://www.club-ebios.org/
- 27 janvier 2012 - Université AFCDP des Correspondants informatique et
libertés - Paris, IBM Bois Colombes
Table ronde "Cloud Computing et Contrat SaaS "Quel rôle pour le CIL ?" -
Frédéric Connes
http://www.afcdp.net/Universite-des-CIL-2012-Avant
- 8 février 2012 - Security Day Luxembourg - Luxembourg, Abbaye de Neumunster
"Hacking and securing JBoss Application Server" - Renaud dubourguais
http://www.isaca.lu/event_page.php?evt_id=1&action=program
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 12. Prochaines formations HSC ]-------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
ISO 27005 Risk Manager .............. : 18 au 20 janvier (#)
PenTesting/Ethical Hacking(SANS SEC560/GPEN): 23 au 27 janvier (*)(#)
ISO 27001 Lead Implementer .......... : 23 au 27 janvier (#)
ISO 27001 Lead Auditor .............. : 30 janv au 3 février (#)
Information Security Foundations .... : 13 et 14 février (#)
ISO 27005 Risk Manager .............. : 27 au 29 février (#)
Risk Manager Avancé ................. : 1 et 2 mars
ISO 27001 Lead Implementer .......... : 5 au 9 mars (#)
Gestion des identités et des accès .. : 12 au 14 mars
Tests d'intrusion applicatifs (SEC542/GWAPT): 12 au 16 mars (*)(#)
ISO 27001 Lead Auditor .............. : 12 au 16 mars (#)
Formation RSSI ...................... : 19 au 23 mars
Fondamentaux & principes de la SSI (SEC401) : 19 au 24 mars (*)
Advanced Penetration Testing (SANS SEC660) : 26 au 30 mars (*)(#)
Essentiel du RGS .................... : 28 mars
Défense applications web (DEV522/GIAC CWAD) : 2 au 6 avril (*)(#)
Correspondant Informatique et Libertés : 5 et 6 avril
Essentiel de PCI-DSS ................ : 10 avril
Sécurité du Cloud Computing ......... : 11 au 13 avril
Sécurité du WiFi .................... : 3 et 4 mai (*)
Juridique de la SSI ................. : 21 et 22 mai
Sécuriser Windows (SANS SEC505 / GIAC GCWN) : 21 au 25 mai (*)(#)
Sécuriser Unix&Linux (SANS SEC506/GIAC GCUX): 4 au 8 juin (*)(#)
Formation DNSSEC ..................... : 14 et 15 juin (*)
Inforensique Windows (SANS FOR408/GIAC GCFE): 18 au 22 juin (*)(#)
Mesures de sécurité ISO 27002 ........ : 19 et 20 juin
Indicateurs & tableaux de bord SSI/ISO27004 : 22 juin
Analyse inforensique (SANS FOR508/GIAC GCFA): 10 au 14 septembre (*)(#)
(*) : formations avec travaux pratiques avec un ordinateur par stagiaire
(#) : formations certifiantes
(C) : session de formation complète
- Luxembourg
ISO 27005 Risk Manager .............. : 9 au 11 mai (#)
ISO 27001 Lead Implementer .......... : 24 au 28 sept. (#)
ISO 27001 Lead Auditor .............. : 5 au 9 novembre (#)
- Bordeaux
Correspondant Informatique et Libertés : 11 et 12 octobre
- Lille
Correspondant Informatique et Libertés : 13 et 14 février
- Lyon
ISO 27005 Risk Manager .............. : Nous contacter
ISO 27001 Lead Implementer .......... : Nous contacter
Correspondant Informatique et Libertés : 20 et 21 septembre
- Marseille
Correspondant Informatique et Libertés : 19 et 20 mars
- Montpellier
Correspondant Informatique et Libertés : 30 et 31 mai
- Nantes
Correspondant Informatique et Libertés : 14 et 15 mai
- Nice
ISO 27005 Risk Manager .............. : 25 au 27 juin (#)
Risk Manager Avancé ................. : 28 et 29 juin
Correspondant Informatique et Libertés : 22 et 23 novembre
- Poitiers
Correspondant Informatique et Libertés : 14 et 15 novembre
- Rennes
Correspondant Informatique et Libertés : 11 et 12 juin
- Strasbourg
Correspondant Informatique et Libertés . : 28 au 29 juin
- Toulouse
ISO 27005 Risk Manager .............. : 21 au 23 mai (#)
Risk Manager Avancé ................. : 24 au 25 mai
Correspondant Informatique et Libertés . : 26 et 27 avril
ISO 27001 Lead Implementer .......... : 18 au 22 juin (#)
Juridique de la SSI ................. : 24 et 25 septembre
(#) : formations certifiantes
HSC est certifié OPQF (http://www.opqf.com/) et ISO9001 (par Moody) sur
ses formations.
Pour tout renseignement, et pour vous inscrire contactez Lynda Benchikh :
formations at hsc.fr -- +33 141 409 704
Retrouvez les tarifs des formations dans la Newsletter n° 64 de janvier 2010
au chapitre 6 : http://www.hsc-news.com/archives/2010/000064.html
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue 2012 en PDF sur http://www.hsc-formation.fr/
--[ 13. Actualité des associations : Club 27001, OSSIR et Clusif ]--------
o Club 27001 (http://www.club-27001.fr/)
. Prochaine réunion à Paris jeudi 19 janvier 2012 chez Thales (Neuilly)
- Retour d'expérience d'utilisation du logiciel DPCIA pour la
mise en oeuvre d'un SMSI par Pierre l'Hostis et Jean-Louis
Lassaigne (Almerys)
- La gestion des incidents de sécurité selon l'ISO 27035 par
Alexandre Fernandez-Toro
- Point divers
. Conférence annuelle du club le mardi 3 avril 2012 à Paris
Appel à communication publié au paragraphe 5.
. Réunion suivante à Paris le jeudi 24 mai à 14h00 chez ESR (Meudon)
- Programme en cours d'élaboration
. Prochaine réunion à Toulouse le vendredi 27 janvier 2012
- Programme en cours d'élaboration
. Prochaines à Marseille, Rennes et Lyon annoncées sur
www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
sur les listes de chaque ville sur www.club-27001.fr pour suivre
l'activité du Club 27001 en région.
o OSSIR (http://www.ossir.org/)
. Assemblée générale mardi 10 janvier à 10h00
. Prochaine réunion mardi 10 janvier 2012 à 14h00, à la Librairie
Eyrolles (RER Saint-Michel, métro Cluny)
- Présentation de l'IDS/IPS Suricata et de ses dernières nouveautés
par Eric Leblond (Core développeur Suricata)
- Wireshark for Forensics : les plugins GSoC/THP par Guillaume
Arcas (Sekoia)
- Revue d'actualité par Nicolas Ruff (EADS)
. Réunion suivante à Paris le mardi 14 février 2012
. Conférence annuelle JSSI le mardi 13 mars 2012
. Prochaine réunion à Lyon annoncée prochainement
. Prochaine réunion à Rennes annoncée prochainement
. Prochaine réunion à Toulouse le mardi 17 janvier à 14h00 à l'Université
Toulouse 1 Capitole (Sciences Sociales)
- "Les attaques par entrées-sorties et les contremesures" par Fernand
Lone Sang (LAAS-CNRS)
- Sujet à préciser par Samuel Dralet (Lexfo)
Réunion suivante à Toulouse mardi 27 mars
o Clusif (https://www.clusif.asso.fr/)
. Présentation du panorama de la cybercriminalité du Clusif le mercredi
11 janvier 2012 au cercle militaire
. Assemblée Générale le 8 mars 2012 : pensez à envoyer une procuration
si vous ne pouvez venir.
--[ 14. Le saviez-vous ? La réponse ]------------------------------------
L'utilisation de la commande ping sous Unix nécessite les droits root
car elle utilise des « raw sockets » inaccessibles aux utilisateurs systèmes.
Afin de laisser un simple utilisateur profiter de cette commande, il faut
qu'elle soit suid root, ce qui est le cas sur tous les UNIX :
$ ls -l /bin/ping
-rws--x--x 1 root root 38460 Jul 3 18:57 /bin/ping
Que se passe-t-il si le bit suid est retiré ?
$ sudo chmod u-s /bin/ping
$ ls -l /bin/ping
-rwxr-xr-x 1 root root 36136 avril 12 2011 /bin/ping
$ ping localhost
ping: icmp open socket: Operation not permitted
Ainsi il est, par défaut, impossible d'exécuter ping si le binaire n'est pas
suid root ou si l'utilisateur ne dispose pas des droits root. Mais au final,
le message d'erreur renvoyé est explicite, il n'est nécessaire de disposer
que d'un seul privilège, celui de créer des « raw sockets ICMP ».
Avec le noyau 2.2 de Linux est apparu la fonctionalité de « capabilities »
qui permet de déleguer certaines permissions à des utilisateurs ou des
programmes. Un bref coup d'oeil au manuel des capabilities nous renseigne
sur la partie concernant les raw sockets :
CAP_NET_RAW
Use RAW and PACKET sockets.
$ sudo setcap cap_net_raw=ep /bin/ping
$ ping -c 1 localhost
PING localhost.hsc.fr (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost.hsc.fr (127.0.0.1): icmp_req=1 ttl=64 time=0.048 ms
--- localhost.hsc.fr ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.048/0.048/0.048/0.000 ms
Si vous êtes un aventurier du noyau Linux, vous pouvez aussi essayer
d'appliquer cette rustine : http://lwn.net/Articles/422330/
Cette méthode (ajout d'un nouveau type de socket dans le noyau) a quand même
quelques inconvénients :
- Il faut recompiler votre noyau et faire les tests de non-régression afin de
vous assurer du bon fonctionnement de votre machine
- Il faudra patcher les applications pour lesquelles vous désirez utiliser ce
nouveau type de socket.
Merci à Nicolas Collignon d'avoir signalé la présence de cette rustine et
d'avoir inspiré ce "Le saviez-vous".
Plus d'informations sur la liste de diffusion newsletter