[Newsletter HSC] N°104 - Avril 2013

Newsletter d'information de HSC newsletter at hsc-news.com
Mar 2 Avr 15:23:14 CEST 2013


========================================================================
              HSC Newsletter  --  N°104 --  avril 2013
========================================================================





     « La perfection est atteinte, non pas lorsqu'il n'y a plus rien à
       ajouter, mais lorsqu'il n'y a plus rien à retirer »


                                             [ Antoine de Saint-Exupéry ]




--[ Sommaire ]----------------------------------------------------------

      1. Éditorial
      2. Le saviez-vous ? La question
      3. Compte-rendu de la conférence JSSI de l'OSSIR
      4. Nouvelle formation SANS SEC504 techniques de hacking
      5. Nouvelle formation SANS FOR610 rétroingéniérie logiciels malfaisants
      6. Nouvelle formation EBIOS Risk Manager avec certification
      7. Programme de la conférence du Club 27001 du 4 avril
      8. HSC partenaire des GS-DAYS à Paris le 4 avril
      9. Nouveautés du site web HSC
     10. Agenda des interventions publiques
     11. Prochaines formations HSC
     12. Actualité des associations : Club 27001, Clusif et OSSIR
     13. Le saviez-vous ? La réponse



--[ 1. Éditorial ]------------------------------------------------------

     Trop de conférences tuent les conférences.

     NSC : NoSuchCon, une nouvelle conférence en sécurité. Il y a déjà
 la JSSI de l'OSSIR, le SSTIC, Hack In Paris, Hackito Ergo Sum, pas loin
 nous avons aussi BruCon et Hack.lu, plus récemment il y a eu GreHack, et
 sont annoncées BotConf et xFIRC. Plus de 10 conférences qui tournent autour
 du même pot, des mêmes personnes - enfin certains ne s'aiment pas ou
 plus ce qui explique parfois des scissions - on ne sait plus où donner
 de la tête, à part que le monde de la SSI ne semble rien faire d'autre de
 ses journées qu'à se regarder le nombril et faire des conférences. Au final,
 il n'y a plus nulle part le niveau attendu et l'intérêt devient de plus en
 plus faible partout.
 
     La solution ? HSCC : la HSC Conférence, la conférence qui fait mieux
 que toutes les autres, Homeland Security and Communications Conference,
 exclusivement réservée aux ressortissants de l'union européenne (pour
 des raisons de sécurité), à entrée filtrée et contrôlée, sans pseudonymes,
 pour vraiment tout se raconter en confiance, même ce qu'il ne faudrait
 pas, retrouver un vrai niveau élevé de technicité, avec les soutiens publics
 et privés les plus prestigieux.

     Réservez votre date : 12 au 15 février 2014
     Samedi 15 février : Deux CTF en direct, intrusion et inforensique,
 richement dotés (le gagnant aura beaucoup plus qu'un Ipad mini).
 
     Rendez-vous pour l'appel à communication sur http://www.hsc.fr/hscc



--[ 2. Le saviez-vous ? La question ]-----------------------------------

     Sur les environnements Windows de poste de travail (XP, Vista, 7, 8), 
 toute exécution de programme est tracée sur le système de fichiers sous 
 forme de fichier prefetch et dans des valeurs de la base de registre. 

 À votre avis, où et comment sont stockées ces informations ?

     Réponse au paragraphe 13.



--[ 3. Compte-rendu de la conférence JSSI de l'OSSIR ]------------------
    Par Danil Bazin, Christophe Renard et Ines Ribeiro

 "Retours d'expérience sur des campagnes d'audit de sécurité"
 Patrick Chambet et Julien Tordjman (C2S)

 Le groupe C2S est une entité permettant la mise en commun des ressources 
 en sécurité de toutes les instances du groupe Bouygues et agit comme un
 prestataire de services.
 Un "Wall of shame" des dix vulnérabilités les plus fréquemment rencontrées 
 durant leurs audits a été présenté avec un trio de tête contenant :
   * les mots de passe par défaut / triviaux ;
   * des logiciels non à jour (et disposant de mécanismes d'exploitation 
     publics) ;
   * les injections SQL.
 L'audit d'applications SCADA sur des plateformes pétrolières ne change
 que l'environnement dans lequel l'audit se déroule. Les retours d'expérience 
 sur des équipements de type SCADA montrent que ce Wall of shame y est aussi 
 applicable.
 Les leçons à en tirer restent classiques, utilisation des bonnes pratiques 
 de sécurité, démarche d'amélioration continue de la sécurité, intégration
 de la sécurité tout au long du cycle de développement, etc.


 "Ingénierie sociale: aspects juridiques et pratiques"
 Frédéric Connes (HSC), Quentin Gaumer (HSC)

 Quentin Gaumer et Frederic Connes ont présenté un retour d'expérience sur la
 pratique des prestations incluant ou dédiées à l'ingénierie sociale.

 Frédéric Connes a passé en revue les aspects de risque légal associés à ce type
 de pratiques. Bien que l'ingénierie sociale puisse être considérée comme
 tombant sous le coup de l'usurpation d'identité, du vol d'information, de
 l'escroquerie, et de la collecte déloyale d'information, une pratique
 raisonnée et prudente, précautionneuse des autorisations et informations
 semblent mettre à l'abri des poursuites. Il faudra veiller à minimiser la
 collecte d'informations personnelles, les protéger correctement et effectuer
 une information après la prestation.

 La prestation d'ingénierie sociale peut être indépendante, ou s'inscrire dans
 une démarche de test "Red-Team".

 Certaines méthodes classiques sont très efficaces : effet de gel, d'engagement
 (comme le pied dans la porte et la porte au nez), la dissonance cognitive
 comme le quiproquo et l'appel à l'autorité. L'ingénierie sociale sur un
 scénario d'hameçonnage diffère de l'escroquerie classique par le fait qu'on
 cherche une crédibilité qui ne soit pas forcément une copie d'un site
 existant. En fait l'ajustement du niveau de crédibilité du site peut être une
 des variables de la prestation : du facilement détectable au très furtif. La
 motivation du passage à l'acte peut être : le gain financier, l'amélioration
 des conditions professionnelles, le désir de faire une bonne action...
 L'immédiateté est un facteur important. L'identité visuelle va permettre la
 crédibilisation auprès de la cible. Les adresses de courriel, usage de charte
 graphique, URLs jouent.

 Les intervenants ont démontré deux scénarios de cas réels : "le stagiaire
 demandant de l'aide", "le supérieur stressé et stressant demandant une
 réinitialisation des accès".

 En conclusion, les intervenants ont rappelé que ce type de prestation sert
 essentiellement à mesurer l'efficacité des campagnes de sensibilisation et
 qu'en la matière il convient de régulièrement faire des rappels.
 http://www.hsc.fr/ressources/presentations/jssi2013_ingenierie_sociale


 "Reverse engineering sous iOS et Android"
 Sébastien Kaczmarek (Quarkslab)
 
 Cette conférence a commencé par une introduction sur les technologies
 (respectivement Objective C et Java) et les architectures (respectivement 
 Noyau XNU et Linux) utilisés sur iOS et Android. Le format général d'une 
 application iOS et Android a ensuite été décrit, ainsi que les systèmes de 
 signature, de Store, etc. Les différents outils permettant le déboguage
 d'applications ont été présentés, par exemple l'utilisation de gdb avec des
 applications iOS ou encore l'analyse dynamique en utilisant Cycript comme
 alternatives à Jskokoa.  L'interception SSL en utilisant Burp n'étant pas
 toujours possible, une alternative utilisable serait de mettre un point
 d'arrêt dans les fonctions clés avec gdb contenant les données en clair lors
 de l'exécution. Les techniques anti-debogage ont aussi été présentées comme
 l'utilisation de ptrace, le classique gettime permettant de s'assurer que le
 processus s'exécute sans point d'arrêt ni de système de pas à pas, ainsi que
 le chiffrement des chaînes de caractères.
 Différentes techniques d'obscurcissement ont aussi été présentées comme l'EPO
 ou la modification du point d'entrée du programme.


 "Retour sur expérience de tests d'intrusion sur domaine Windows"
 Ary Kokos (Solucom), Alain Schneider (COGICEO)
 
 Les différentes techniques permettant la compromission d'un poste puis d'un
 domaine Windows selon le type d'accès (physique ou réseau) ont été présentées.
 Avec un accès physique sans mot de passe sur le BIOS ni chiffrement sur le
 disque, le démarrage avec un LiveUSB permet de récupérer les empreintes et de 
 les casser. Avec un mot de passe sur le BIOS, la récupération du disque dur 
 permet de revenir au même scénario. En cas de chiffrement du disque,
 l'utilisation d'un keylogger permet le contournement de cette protection.
 En cas d'impossibilité de casser les empreintes, la technique du "Pass The
 Hash" c'est-à-dire l'utilisation directe des empreintes pour s'authentifier,
 est possible.
 Des techniques permettant de récupérer des mots de passe d'administrateurs 
 ont aussi été présentées comme l'analyse des tâches planifiées, des scripts,
 la consultation des Group Policy Preference, etc.
 Ce retour d'expérience a permis aux auditeurs de donner un aperçu des
 principaux échecs que peut rencontrer un auditeur durant une prestation, 
 comme la perte de temps causée par la présence d'un honeypot.
 Un problème récurrent lors d'un audit Windows est la présence d'un anti-virus
 qui peut être gênant pour le déploiement d'outils intrusifs. Les auditeurs
 ont donc donné différentes techniques de contournement ou de désactivation
 d'anti-virus, comme l'identification de répertoires avec des exceptions ou la
 modification des outils intrusifs afin d'éviter leur reconnaissance.
 Cette conférence s'est terminée par des statistiques sur la compromission
 des domaines Windows qui donnent à réfléchir : 96% des domaines tombent
 en moins d'une semaine.


 "Approche semi-automatisée pour les audits de configuration"
 Maxime Olivier (Amossys) 

 Maxime Olivier a présenté une démarche et un outil pour l'audit de 
 configuration. L'audit s'étale sur plusieurs phases : l'acquisition des
 informations, l'extraction des informations pertinentes et l'analyse de
 celles-ci. 

 Sur des configurations actuelles, avec un nombre considérable de machines,
 virtuelles, ou physiques, les quantités d'information collectées peuvent être
 très importantes. Ces dimensionnements dépassent ce qui peut être traité
 manuellement dans un temps raisonnable. L'acquisition des éléments de
 configuration se fait déjà raisonnablement bien avec des scripts. Évidemment
 ceux-ci devant être exécutés sur des environnements de production, les
 administrateurs du système doivent pouvoir les approuver aisément. Un des
 objectifs est de les garder lisibles, celui-ci est atteint en les gardant le
 plus simple possible.   Les données extraites peuvent faire l'objet d'une
 revue pour les expurger des éléments sensibles (mots de passe, clés ...).

 L'étape suivante est l'extraction des éléments pertinents, et leur analyse.
 L'approche retenue par Amossys pour optimiser le processus est la semi-
 automatisation. Un outil (répondant au nom de pyCAF) a été développé en Python
 pour assister l'analyste. Celui-ci est capable de parser les éléments les plus
 courants des configurations extraites et de les mettre à disposition de
 l'interpréteur Python sous forme d'instances d'objets munis de méthodes
 permettant des opérations de recherche, comparaison, listage très simple.
 Reprenant la logique de Scapy, l'outil permet une exploration manuelle depuis
 le prompt, mais aussi l'automatisation par des scripts pour des traitements
 plus évolués.

 L'outil n'est pas encore disponible, mais la démarche envisagée par Amossys
 est d'en libérer le source afin de constituer une communauté de développeurs
 et d'utilisateurs à même d'y contribuer par de nouveaux objets d'extraction et
 d'analyse.


 "Veille avancée sur le noyau Linux"
 Etienne Comet (LEXFO)

 L'objectif de cette veille est de trouver des moyens d'élever ses privilèges,
 pas forcément en obtenant un accès root mais aussi en étant capable d'exécuter
 du code noyau, par exemple pour sortir d'une VM. Lorsqu'on veut s'intéresser à
 la veille du noyau, on se rend compte de plusieurs difficultés : la quantité
 d'informations à examiner est très importante, avec peu de détails sur les
 changements ou vulnérabilités, et la plupart des bogues sont corrigés
 silencieusement. Plusieurs moyens existent pour rechercher des vulnérabilités
 présentes dans le noyau, comme les CVE noyau et les bogues corrigés
 silencieusement. Le CVE est un standard créé par le mitre permettant de
 regrouper toutes les grandes vulnérabilités publiées. L'objectif est de
 trouver des vulnérabilités sur les noyaux les plus répandus, qui à l'heure
 actuelle sont le 2.6.18 et 2.6.32. Trouver un bogue sur une version récente
 telle que la 3.8 s'avère pour le moment peu intéressant, étant donné que cette
 version du noyau est encore peu répandue. Le problème est que peu de CVE
 sortent pour le noyau linux et ceux-ci sont souvent inutiles. Ils sont de plus
 rapidement corrigés, il faut donc chercher d'autres bogues, d'où l'idée de
 regarder les bogues corrigés silencieusement.
 Il y a plusieurs sources possibles pour ces bogues, telles que les listes de
 développement, les "bug trackers" (Red Hat Bugzilla) ou le GIT kernel.
 Bugzilla est une plateforme intéressante qui décrit très bien les bogues, mais
 ceux-ci peuvent être de n'importe quel type. Cela constitue donc une bonne
 première approche lorsqu'il s'agit de bogues noyau. Il est également possible
 de regarder les bogues qui sont remontés dans les listes de diffusion. Cela
 constitue beaucoup d'informations, difficiles à trier, mais permet de
 connaitre les bogues avant qu'ils ne soient corrigés. Une troisième approche
 est de regarder les soumissions (commits) effectuées sur le GIT kernel. Chaque
 soumission contient de plus un texte explicatif et les sorties sont faciles
 à parser. Ceci va constituer une vraie mine d'or car les bogues corrigés ne
 sont pas rétroportés, mais représente une grande surcharge d'informations.
 La solution est donc d'automatiser le parsage, ce qui a conduit à la création
 de l'outil gitzOr.
 GitzOr est un outil d'analyse constante des soumissions noyau. Il recherche
 les schémas intéressants, et permet de faire un premier tri automatisé. Il va
 pouvoir mettre en valeur les éléments importants du commit et proposer une
 interface graphique permettant d'affiner les critères de sélection des
 soumissions. Cela permet de mettre en place une veille constante, efficace et
 complète.


 "WAF: concours canin"
 Renaud Feil (Synacktiv), Renaud Dubourguais (Synacktiv)
 
 Cette conférence analyse les mesures de sécurité mises en place par différents
 Web Application Firewall (WAF) de type SaaS. Trois WAF ont été testés : 
 Xybershield, CloudFlare et Incapsula.
 Xybershield assure protéger des 0 days et fonctionne par injection de code, en
 PHP, .NET ou Java. Les règles de filtrage bloquent les attaques débutantes et
 automatiques, mais ne détectent pas le code obfusqué ni les commentaires. Le
 code injecté remet de plus l'affichage des erreurs à 1 et l'active pour tous
 les types d'erreurs. La communication entre le WAF et le site est obfusquée
 avec un XOR dont la clef est insérée au début de la requête, puis encodée en
 base64 et transmise sur du HTTP, alors que ce WAF affirme aider à obtenir la
 conformité PCI-DSS. De plus, les fonctions de filtrage sont désactivables via
 un cookie et via le paramètre XSSruleid qui est potentiellement contrôlable
 par l'utilisateur en GET, et obfusqué par un XOR dont la clef se retrouve sur
 les tutoriels .NET. Enfin, une vulnérabilité dans l'interface d'administration
 permet d'extraire les logs de tous les WAF déployés.
 Durant les tests, il n'a pas été possible d'obtenir de réaction du WAF
 CloudFlare. Celui-ci fonctionne par réécriture DNS. Un inconvénient notable de
 cette solution est de devoir confier toute la zone DNS à CloudFlare.
 Incapsula fonctionne également par réécriture DNS. Le filtrage mis en place
 est plus performant que xybershield, avec une liste noire bien construite. Les
 obfuscations sont repérées et les blocages vont jusqu'au bannissement de l'IP.
 Les XSS sont filtrées dès lors que plus d'un mot-clef JavaScript apparait.
 Cependant, les entêtes HTTP ne sont pas correctement vérifiés, et comme dans
 toute liste noire, il est possible de contourner le filtrage, par exemple avec
 UNION DISTINCT SELECT au lieu de UNION SELECT, ou via la fonction IF(,,) pour
 les injections aveugles.
 Incapsula gère les IP sources via un entête qui peut être spécifié par
 l'utilisateur et est mal parsé, conduisant à des logs erronés. L'interface
 d'administration possède de plus une faille triviale de mauvais cloisonnement
 des comptes, ce qui permet de paramétrer n'importe quel WAF d'un autre client
 simplement en changeant la valeur d'un paramètre de la requête. Il est ainsi
 possible de demander une réinitialisation du mot de passe pour n'importe quel
 compte, qui est de plus envoyé en réponse de la requête.



--[ 4. Nouvelle formation SANS SEC504 : Techniques de hacking ]---------

     HSC propose une nouvelle formation SANS SEC 504 : Techniques de hacking,
 exploitation de failles et gestion des incidents.

 Les objectifs de cette formation sont de comprendre les techniques d'attaques
 et de piratage réseau et système et apprendre à lutter contre ces
 attaques, en identifiant les indicateurs de compromission et en sachant
 gérer les incidents de sécurité.

 La formation détaille les phases de reconnaissance et de découverte avec
 mise en pratique avec des exercices pour les attaques wifi, réseau,
 applications web, dénis de service, cassage de mots de passe, etc.
 Sont expliqués l'utilisation des journaux et la détection des rootkits.

 Les outils utilisés sont gratuits, chaque stagiaire pouvant repartir avec
 une fois la formation terminée.

     Cette formation prépare à la certification GIAC Certified Incident
 Handler (GCIH).

      Le responsable de la formation est Mouad Abouhali, il est accompagné 
 de Julien Reveret.

 Première session à Paris du 16 au 20 décembre 2013.

 Objectifs, durée, public visé et prérequis, méthode pédagogique, support,
 plan détaillé :
 http://www.hsc-formation.fr/formations/sec504_hacker_techniques.html

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh
 formations at hsc.fr -- +33 141 409 704
	


--[ 5. Nouvelle formation SANS FOR610 ]---------------------------------

     HSC propose désormais la formation SANS FOR610 "Reverse-Engineering
 Malware", en français "Rétroingéniérie de logiciels malfaisants : outils
 et techniques d'analyse".

     L'analyse des logiciels malfaisants constitue une discipline primordiale
 et nécessaire durant les investigations numériques et lors des réponses à
 incident. En effet, cette discipline est l'outil principal des analystes en
 investigation numérique pour déterminer les éléments clés d'un logiciel
 malfaisant, leur donnant un cap pour orienter leur investigation. D'autre
 part, elle permet aux équipes de réponse à incident d'identifier les
 indicateurs de compromission (IOCs), information capitale dans le traitement
 des incidents.
 Cette formation détaille une approche technique double d'analyse statique et
 dynamique des logiciels malfaisants destinés aux systèmes Windows. Elle vise
 également à décrire les techniques de camouflage JavaScript et Flash
 implémentées par les logiciels malfaisants ciblant les navigateurs Internet,
 les documents PDF ainsi que les documents Microsoft Office.

 L'approche étudiée tout au long de cette formation se base sur différentes
 techniques telles que l'analyse comportementale, l'ingénierie inverse
 statique (utilisation de désassembleur) et dynamique (utilisation de
 débogueur, outils de monitoring...) ainsi que l'analyse de la mémoire Windows.
 Pour cela, les fondamentaux de l'assembleur x86 seront présentés aux
 stagiaires afin de leur permettre d'identifier les structures logiques et le
 flux d'exécution d'un exécutable Windows.

 La plupart des outils présentés sont gratuits, chaque stagiaire pouvant
 repartir avec son laboratoire d'analyse de logiciels malfaisants une fois la
 formation terminée.

     Cette formation prépare à la certification GIAC Reverse Engineering
 Malware (GREM).

      Le responsable de la formation est Mouad Abouhali, il est accompagné de
 Steeve Barbeau.

 Première session à Paris du 4 au 8 novembre 2013.

 Objectifs, durée, public visé et prérequis, méthode pédagogique, support,
 plan détaillé :
 http://www.hsc-formation.fr/formations/for610_reverse-engineering-malware.html

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh
 formations at hsc.fr -- +33 141 409 704



--[ 6. Nouvelle formation EBIOS Risk Manager ]--------------------------

     EBIOS (Etude des Besoins et Identification des Objectifs de Sécurité)
 s'est imposée comme la méthodologie phare en France pour apprécier les
 risques dans le secteur public. Elle est recommandée par l'ANSSI pour
 l'élaboration de PSSI et schéma directeur, pour l'homologation de téléservice
 dans le cadre du RGS, dans le guide GISSIP ; par la CNIL pour réaliser des
 analyses d'impacts sur les données nominatives (PIA ou Privacy Impact
 Assessment). EBIOS possède des caractéristiques uniques qui permettent son
 usage dans tous les secteurs de la sécurité, bien au-delà de la SSI. EBIOS
 permet d'identifier les risques d'un système en construction qui n'existe pas
 encore, et demeure idéale pour la rédaction de cahier des charges.

     La formation certifiante "EBIOS Risk Manager" d'HSC expose avec clarté
 la méthode EBIOS et vous permet de mener de bout en bout une appréciation
 des risques de l'étude des besoins à la formalisation des objectifs de
 sécurité.

     La formation est sanctionnée par un examen délivré par l'organisme de
 certification LSTI (www.lsti.fr), qui a développé une certification
 "EBIOS Risk Manager" sur la base du référentiel EBIOS et dans le respect
 des directives du Club EBIOS.

      Le responsable de la formation est Michael Smaha, il est accompagné de
 Thomas Le Poetvin et Christophe Renard.

 Première session à Paris du 7 au 9 octobre 2013.

 Objectifs, durée, formateurs, public visé et prérequis, méthode pédagogique,
 support, plan détaillé :
 http://www.hsc-formation.fr/formations/ebios-risk-manager.html

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704



--[ 7. Programme de la conférence du Club 27001 du 4 avril ]------------

     Le Club 27001 (http://www.club-27001.fr/) organise sa sixième
 conférence annuelle sur l'ensemble de la série des normes ISO 27001,
 après-demain jeudi 4 avril 2013 à Paris à l'Hôtel Marriott rive gauche,
 dans le cadre des GS-DAYS.

  9h30 : "Introduction sur les normes en SSI"
          . Jean-Pierre Quémard, Cassidian, président de la commission de
            normalisation CN27 et de la délégation française à l'ISO
 10h15 : "De la genèse du projet à aujourd'hui, les promesses ont-elles été
          tenues en 3-4 ans ?"
          . Sylvain Lambert, RSSI et Frédérique Dron Pardo, sécurité des SI,
            Pôle-Emploi
 11h00 : Pause
 11h30 : "Retour d'expérience : certification du Cloud d'une structure
          horizontale et participative"
          . Miroslaw Klaba, DG Délégué, et Thibaut Saudrais, RSSI, OVH
 12h15 : Déjeuner assis
 14h00 : "Retour d'expérience : Contrôle permanent et ISO 27001"
          . Luc Petitpré, RSSI, Credit Mutuel Nord Europe
 14h45 : "Retour d'expérience : ISO 27001 et RGS"
          . Nicolas Bunoust, Manager des risques numériques & CIL, CG44
 15h30 : Pause
 15h45 : "Retour d'expérience : la certification ISO27001 de la Banque
          Centrale Européenne"
          . Dominique Dubois, RSSI, BCE
 16h30 : "Résultats du groupe Benchmark des outils"
          . Thomas Lebouc et Emmanuel Joulain, Thales
          . Florence Le Goff, Solucom 
 17h15 : Discussion avec la salle
          . Eric Doyen, RSSI d'Humanis et président du Club 27001
          . Emmanuel Garnier, RSSI Systalians et vice-président du Club 27001



 Inscription à la conférence : 290 euros pour les adhérents au Club 27001,
 590 euros pour les non-adhérents (inclut les pauses café et le déjeuner).

 Rappel : l'adhésion au Club 27001 n'est que de :
        - pour un particulier : 27 euros,
        - pour une entreprise : 270 euros (donnant droit à 5 entrées à la
          conférence au prix remisé), soit une économie jusqu'à 1500 euros

 Lieu : Hôtel Marriott rive gauche :
 http://www.marriott.com/hotels/maps/travel/parst-paris-marriott-rive-gauche-hotel-and-conference-center/

 Contact : conference at club-27001.fr
 Le Club 27001 ne peut pas être joint par télécopie ou par téléphone.

 Bulletin d'inscription :
 http://www.club-27001.fr/attachments/article/136/Club27001_Inscription_Conference_2013.pdf
 Informez de votre inscription tardive à tresorier at club-27001.fr et venez sur
 place avec votre bulletin d'inscription complété et votre chèque.



--[ 8. HSC partenaire des GS-DAYS à Paris ]-----------------------------

     HSC sera présent aux GS-DAYS le 4 avril prochain. Lynda Benchikh
 et Adrien Pasquier seront à votre disposition sur notre stand.

     Conférence HSC : "Extraction de données authentifiantes de la mémoire
 Windows" par Steeve Barbeau, dans le cycle de conférences techniques.

 Attention, inscription obligatoire pour les GS-DAYS (ou la conférence du
 Club 27001) : utilisez le code d'HSC pour vous inscrire aux GS-DAYS : E25m54
 et bénéficiez d'un tarif réduit de 120 euros HT au lieu de 150 euros HT.
 A la date d'envoi de ce bulletin il reste deux places.

 Programme complet et inscription :
 http://www.gsdays.fr/



--[ 9. Nouveautés du site web HSC ]-------------------------------------

 - Présentation "Ingénierie Sociale : aspects juridiques et pratiques"
   par Frédéric Connes et Quentin Gaumer le 19 mars 2013 à la JSSI de l'OSSIR
   http://www.hsc.fr/ressources/presentations/jssi2013_ingenierie_sociale

 - Présentation "ISO-27001 : Modèle de SMSI et retours d'expérience" 
   par Julien Levrard le 22 mars 2013 à l'ADIM à Monaco
   http://www.hsc.fr/ressources/presentations/adim13-27/

 - Présentation "Norme ISO 22301 - Système de Management de la Continuité
   d'Activité (SMCA)" par Thomas Le Poetvin le 22 mars 2013 à l'ADIM à Monaco
   http://www.hsc.fr/ressources/presentations/adim13-22/

 - Newsletter du FIC le 25 mars 2013 - Editorial
   par Hervé Schauer en réponse à Ted Schlein, investisseur dans Mandiant
   http://fic2013.com/edito-par-herve-schauer-hsc/



--[ 10. Agenda des interventions publiques ]----------------------------

 - 4 avril 2013 - GS-DAYS - Paris
   "Extraction de données authentifiantes de la mémoire Windows",
   Steeve Barbeau
   http://www.gsdays.fr/

 - 21 mai 2013 - Séminaire "Les cybermenaces, quels risques pour les
   entreprises ?" organisé par le MEDEF et la Chaire Castex de Cyberstratégie
   de l'IHEDN
   Participation à la table-ronde en tant que représentant du Clusif
   Hervé Schauer
   http://medefparis.fr/les-evenements-des-adherents.html

 - 29 mai 2013 - Solutions Linux - Paris
   "Extraction de données authentifiantes de la mémoire Windows",
   Steeve Barbeau
   http://www.solutionslinux.fr/

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 11. Prochaines formations HSC ]-------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        ISO 27001 Lead Implementer    ..........    : 8 au 12 avril (#)
        Inforensique Windows (SANS FOR408/GIAC GCFE): 8 au 12 avril (*)(#)
        Sécurité du Cloud Computing    .........    : 10 au 12 avril
        PKI : principes et mise en oeuvre    ...    : 15 au 17 avril (*)
        ISO 22301 Lead Auditor    ..............    : 15 au 19 avril (#)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 15 au 19 avril (*)(#)
        ISO 27005 Risk Manager    ..............    : 22 au 24 avril (#)
        Fondamentaux & principes de la SSI 
        (SANS SEC401/GIAC GSEC)   ..............    : 22 au 27 avril (*)(#)
        ISO 27001 Lead Auditor    ..............    : 13 au 17 mai (#)
        RGS : la SSI pour le secteur public    .    : 22 mai
        Essentiels juridiques pour gérer la SSI     : 23 et 24 mai
        Formation DNSSEC   .....................    : 27 et 28 mai (*)
        Sécurité SCADA  ........................    : 29 mai
        ISO 27001 Lead Implementer    ..........    : 27 au 31 mai (#)
        ISO 27005 Risk Manager    ..............    : 3 au 5 juin (#)
        Risk Manager Avancé    .................    : 6 et 7 juin
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 10 au 14 juin (*)(#)
        Protéger les applis web (DEV522 /GIAC GWEB) : 17 au 21 juin (*)(#)
        Essentiels de l'ISO27001    ............    : 17 juin
        Mesures de sécurité ISO 27002   ........    : 18 et 19 juin
        Gestion des incidents de sécurité/ISO27035  : 20 juin
        Indicateurs & tableaux de bord SSI/ISO27004 : 21 juin
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 24 au 28 juin (*)(#)
        ISO 27001 Lead Implementer    ..........    : 1 au 5 juillet (#)
        ISO 27005 Risk Manager    ..............    : 4 au 6 septembre (#)
        ISO 27001 Lead Auditor    ..............    : 9 au 13 septembre (#)
        Sécurité du WiFi    ....................    : 12 et 13 septembre (*)
        Formation CISSP    .....................    : 23 au 27 septembre (#)
        ISO 22301 Lead Auditor    ..............    : 23 au 27 septembre (#)
        Essentiels de l'ISO22301    ............    : 3 octobre
        EBIOS Risk Manager    ..................    : 7 au 9 octobre (#)
        Formation RSSI    ......................    : 7 au 11 octobre
        Rétroingénierie de logiciels malfaisants :
        Outils et techniques d'analyse 
        (SANS FOR610/GIAC GREM)   ..............    : 4 au 8 novembre (*)
        Essentiels techniques de la SSI    .....    : 12 et 13 novembre
        Essentiel de PCI-DSS    ................    : 21 novembre
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 18 au 22 novembre (*)(#)
        Tests d'intrusion avancés, exploitation de
        failles et hacking éthique (SEC660/GXPN)    : 25 au 30 novembre (*)(#)
        Correspondant Informatique et Libertés      : 2 et 3 décembre (@)
        ISO 22301 Lead Implementer    ..........    : 9 au 13 décembre (#)
        Techniques de hacking, exploitation de failes
        et gestion des incidents (SEC504/GCIH)      : 16 au 20 décembre (*)(#)
        Inforensique réseau & infrastruct. (FOR558) : 1er semestre 2014 (*)
        Inforensique téléphones/ordiphones (FOR563) : 1er semestre 2014 (*)(#)

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2 ou GIAC
 (@) : formation labellisée par la CNIL (www.cnil.fr)


 - Luxembourg
        ISO 27005 Risk Manager    ..............    : 13 au 15 mai (#)
        ISO 22301 Lead Implementer    ..........    : 10 au 14 juin (#)
        ISO 27001 Lead Implementer    ..........    : 14 au 18 octobre (#)
        ISO 27001 Lead Auditor    ..............    : 18 au 22 novembre (#)

 - Le Mans
        Correspondant Informatique et Libertés      : 28 au 29 novembre (@)

 - Lille
        Correspondant Informatique et Libertés      : 16 et 17 mai (@)

 - Limoges
        Correspondant Informatique et Libertés      : mars 2014 (@)

 - Lyon
        ISO 27001 Lead Implementer    ..........    : 17 au 21 juin (#)
        Correspondant Informatique et Libertés      : 19 et 20 sept (@)
        ISO 27005 Risk Manager    ..............    : 2 au 4 octobre (#)
        Essentiels juridiques pour gérer la SSI     : 8 et 9 octobre

 - Marseille
        Correspondant Informatique et Libertés      : mars 2014 (@)

 - Montpellier
        Correspondant Informatique et Libertés      : 17 et 18 octobre 2013 (@)

 - Nancy
        Correspondant Informatique et Libertés      : 12 et 13 décembre (@)

 - Nantes
        Correspondant Informatique et Libertés      : 30 et 31 mai (@)

 - Nice
        ISO 27005 Risk Manager    ..............    : 26 au 28 juin (#)
        Correspondant Informatique et Libertés      : 26 et 27 septembre (@)

 - Pau
        Correspondant Informatique et Libertés      : 13 et 14 juin (@)

 - Poitiers
        Correspondant Informatique et Libertés      : 27 et 28 juin (@)

 - Reims
        Correspondant Informatique et Libertés      : 21 et 22 novembre (@)

 - Rennes
        Correspondant Informatique et Libertés      : 20 et 21 juin (@)

 - Strasbourg
        Correspondant Informatique et Libertés .    : 6 et 7 juin (@)

 - Toulouse
        Correspondant Informatique et Libertés .    : 18 et 19 avril (@)
        ISO 27005 Risk Manager    ..............    : 22 au 24 mai (#)
        ISO 27001 Lead Auditor    ..............    : 24 au 28 juin (#)
        Essentiels juridiques pour gérer la SSI     : 24 et 25 octobre 2013
        ISO 27001 Lead Implementer    ..........    : juin 2014 (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Moody sur
 ses formations.

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704

 Retrouvez les tarifs des formations dans la Newsletter n° 64 de janvier 2010
 au chapitre 6 : http://www.hsc-news.com/archives/2010/000064.html

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2012 en PDF sur http://www.hsc-formation.fr/



--[ 12. Actualité des associations : Club 27001, Clusif et OSSIR ]--------

  o Club 27001 (http://www.club-27001.fr/)
     . Conférence annuelle mercredi 4 avril à Paris, programme ci-dessus
       au paragraphe 7.
       Bulletin d'inscription disponible ici :
       http://www.club-27001.fr/attachments/article/136/Club27001_Inscription_Conference_2013.pdf mais il faut venir sur place.
     . Prochaine réunion à Paris le jeudi 24 mai 2013
          - Pour un management unifié des risques", ou "ISO 27005 appliqué au
            domaine des risques de responsabilité sociétale", par Sylvain
            Conchon, Conix
          - Seconde présentation pas encore décidée
     . Prochaine réunion à Toulouse vendredi 12 avril chez CS-SI
           - "Politiques de sécurité de l'information"
              par Sébastien Rabaud (SCASSI)
           - Retour sur la journée organisée par la CNIL le 30 novembre 2012
             sur le thème "Vie Privée à l'horizon 2020" et débat, par
             Anne Mur (ON'X)
     . Prochaines réunions à Toulouse, Marseille, Rennes et Lyon annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o Clusif (http://www.clusif.fr/)
     . Création par le Clusif d'un groupe de travail Sécurité SCADA co-animé
       par Hervé Schauer. Première réunion mercredi 22 mai à 14h00.
       Accès réservé aux membres. Inscription obligatoire :
       Olivier.Guerin at clusif.fr

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 9 avril à 14h00 à l'INRIA 13ième
           - BackTrack Linux par Giovanni Rattaro & Renaud Leroy,
             coordinateurs du projet BackTrack
           - CerberHost, l'hébergement haute sécurité, Philippe Humeau, NBS
           - Revue d'actualité par Nicolas Ruff (EADS)
     . Réunion suivante à Paris le mardi 14 mai 2013
           - ***
           - TrustRevealing : analyse comportementale des applications mobiles
             par Vivien Raoul, Pradeo
     . Prochaine réunion à Rennes le 10 avril chez Technicolor
           - CVSS (et normes ISO 29147 et ISO 30111) par Francis Dupont (ISC)
           - Présentation de Netzob et évolutions récentes par
             Georges Bossert et Frédéric Guihéry (Amossys)
     . Prochaine réunion à Toulouse en mai 2013




--[ 13. Le saviez-vous ? La réponse ]------------------------------------

 Le prefetch permet au système Microsoft Windows de charger plus rapidement 
 un programme déjà exécuté. L'objectif est d'améliorer les performances de 
 chargement. Il n'est présent par défaut que sur les clients Windows.
 
 Il se présente pour chaque exécutable sous la forme de fichier binaire unique 
 avec l'extension *.pf dans le répertoire : %WINDIR%\Prefetch\

 Le format binaire du fichier est très bien documenté sur le site suivant, 
 il ne sera donc pas nécessaire de le reprendre ici :
 http://www.forensicswiki.org/wiki/Windows_Prefetch_File_Format
 
 Les informations stockées dans les fichiers prefetch générés permettent 
 d'obtenir de précieuses informations, telles que :
   * le nom et l'emplacement du binaire exécuté
   * les bibliothèques chargées par ce binaire
   * la dernière date d'exécution 
   * le nombre d'exécutions

 L'exploitation dans le cadre d'investigations inforensiques apporte donc 
 des informations très intéressantes.

 Pour la base de registre, un grand nombre d'entrées existent, nous allons 
 parler ici exclusivement des clés de registre dites "UserAssist". 
 Bien que la base de registre et les systèmes d'exploitation Windows aient 
 beaucoup évolué ces dernières années, ces clés sont présentes depuis les 
 premiers Windows NT, et seules les informations contenues ont évoluées.

 Tout d'abord, ces valeurs de registre sont présentes sous les clés :
  HKEY_USERS\{SID}\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count\
  et
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count\
 
 Chaque nom de valeur correspond au chemin complet du fichier ouvert. Le 
 nom n'étant pas directement lisible. En effet, il est encodé en ROT13.
 Une fois cette rotation effectuée, il est ainsi possible d'obtenir le chemin 
 et nom complet du fichier ouvert.
 
 Un exemple de valeur :
   R:\Guhaqreoveq Frghc 17.0.rkr
 
 Le résultat après rotation :
   E:\Thunderbird Setup 17.0.exe

 Mais le nom n'est pas la seule information pouvant être obtenue. Les données 
 binaires associées aux valeurs de registre énumérées contiennent aussi des 
 informations proches de celles pouvant être obtenues sur les fichiers de 
 prefetch.
 
 À partir de Windows NT4, le nombre d'utilisations ainsi que la session 
 de dernière utilisation étaient présents.
 Depuis Windows 2000, on y trouve également l'heure de dernière utilisation.
 À partir de Windows Vista, le temps total de focus de l'application est 
 ajouté.
 
 L'évolution de ces données est visible par la taille des données présentes :
   NT4, 95, 98 => 8 octets
   2000, ME, XP => 16 octets
   Vista, 7, 2008, 8 => 72 octets

 Si on essaie d'analyser les informations sur les données binaires d'une 
 valeur sur Windows 7 :
 
 00 | 00000000 01000000 00000000 00000000 => 01000000 = 1 exécution
                                          => 00000000 00000000 = aucune période de focus (tâche de fond)
 10 | 000080BF 000080BF 000080BF 000080BF 
 20 | 000080BF 000080BF 000080BF 000080BF 
 30 | 000080BF 000080BF FFFFFFFF 00886793
 40 | 1EE4CD01 00000000                   => 00886793 1EE4CD01 = dernière exécution : 2012/12/27 10:40:23
 
 Ce qui donne : 
   * 1 exécution
   * aucune période de de focus (tâche de fond)
   * dernière exécution : 2012/12/27 10:40:23

 Un programme exécuté par un utilisateur en tâche de fond pouvant typiquement 
 être un malware, virus, keylogger, ou un simple programme se décompressant 
 en mémoire (type UPX) par exemple.
 D'où l'intérêt en cas de recherche de scénario, d'exploiter ce type 
 d'information.

 Les UserAssist n'étant pas documentées par Microsoft, il reste encore 
 certaines données qui n'ont pas été formellement identifiées.
 
 Ressources UserAssist : http://blog.didierstevens.com/programs/userassist/

 Nicolas Hanteville





Plus d'informations sur la liste de diffusion newsletter