[Newsletter HSC] N° 105 - Mai 2013

Newsletter d'information de HSC newsletter at hsc-news.com
Jeu 2 Mai 14:23:57 CEST 2013


========================================================================
              HSC Newsletter  --  N°105 --  mai 2013
========================================================================





     « Il ne faut compter que sur ses propres forces »


                                             [ Mao Zedong ]




--[ Sommaire ]----------------------------------------------------------

      1. Éditorial
      2. Le saviez-vous ? La question
      3. Compte-rendu de la conférence annuelle du Club 27001
      4. Compte-rendu des GS-DAYS 2013
      5. Nouvelle formation SANS SEC504 techniques de hacking
      6. Nouvelle formation SANS FOR610 rétroingéniérie logiciels malfaisants
      7. Nouveautés du site web HSC
      8. Agenda des interventions publiques
      9. Prochaines formations HSC
     10. Actualité des associations : Club 27001, Clusif et OSSIR
     11. Le saviez-vous ? La réponse



--[ 1. Éditorial - Hervé Schauer ]--------------------------------------


     Référentiel Général de Sécurité (RGS) ?

     Une des questions de l'examen dans le cadre que la qualification PASSI [1]
 est la date de mise en conformité au RGS. La bonne réponse c'est ce mois-ci,
 le 18 mai 2013. Alors, prêts ? Je ne pense pas.
 Le RGS s'applique à tout le secteur public et ses sous-traitants, aux
 produits et services qui échangent électroniquement [2].
 Pourtant peu semblent s'en soucier.
 Il y a d'une part des difficultés techniques sur la signature électronique,
 car les normes qui les régissent sont un imbroglio sur lequel le Bulletin
 d'Actualités Juridiques d'HSC [3] devra un jour faire le point, des
 incohérences entre le référencement du RGI [4] qui garantit l'interopérabilité
 et la qualification du RGS qui garantit la sécurité.
 D'autre part des difficultés financières, car souvent la mise en oeuvre de
 la sécurité et de la signature demande d'emputer le maigre budget existant
 de plus de 5%, ce qui est significatif et peu réaliste.
 Dans une collectivité, un responsable politique préfère investir dans ce qui
 va le faire réélire plutôt que dans la conformité RGS, et donc pas investir 
 dans la sécurité et la signature électronique. Un Conseil Général cherchant à
 faire des économies a récemment supprimé son poste à mi-temps de RSSI créé
 deux ans auparavant, considérant que ce n'était pas indispensable.
     L'argument massue est qu'il n'y a pas de sanctions à ne pas respecter le
 RGS. Souvent les informations échangées sont nominatives et un contrôle
 CNIL saura sanctionner le non-respect de la loi. Mais les risques seront
 aussi du contentieux administratif, car quiconque pourra contester ses
 échanges avec l'administration, par exemple le transport scolaire, la cantine,
 ou les dépôts des appels d'offre publics. A propos de ces derniers, pour que
 ça marche HSC dédie un poste et s'est acheté deux certificats car parfois un
 des deux ne fonctionne pas.
     Alors résistance au changement ? Lenteur de l'administration ? Dans tous
 les cas il faudra s'y mettre, un projet de règlement européen est en
 préparation, et le RGS v2 est toujours prévu pour très bientôt. C'est la
 modernisation et la sécurisation du secteur public qui est en jeu, et
 donc la compétitivité du pays. Il faut sortir du mode pompier actuel où
 à chaque incident l'ANSSI est appellée au secours.
     Notez que HSC propose des formation RGS, PKI par la pratique, etc,
 pour vous aider à avancer efficacement.


 [1] HSC a été sélectionné par l'ANSSI dans le cadre de la qualification des
     Prestataires d'Audit de Sécurité des Systèmes d'Information (PASSI).
     Principe : http://www.hsc.fr/ressources/presentations/cnssis-hsc-qualif12/
 [2] Précisément aux systèmes d'information mettant en oeuvre des échanges par
     voie électronique entre les usagers et les autorités administratives ou
     entre les autorités administratives.
 [3] http://baj.hsc-news.com/
 [4] RGI : Référentiel Général d'Interopérabilité
     http://references.modernisation.gouv.fr/rgi-interoperabilite



--[ 2. Le saviez-vous ? La question ]-----------------------------------

    Il est souvent recommandé de ne pas installer sur les systèmes de
 production de debogueur, ceux-ci pouvant aider un attaquant désireux
 d'exploiter une faille locale ou de réaliser une retro-ingénierie sur un
 processus en cours. Il est cependant possible de réaliser cette opération
 sur un environnement UNIX de type System V sans aucun logiciel particulier
 installé.

 Quelle méthode peut être employée ?

     Réponse au paragraphe 11.



--[ 3. Compte-rendu de la conférence du Club 27001 ]--------------------
    Par Tony Belot et Julien Levrard.

     Dans le cadre des GS-days du 4 avril 2013, s'est tenue la sixième 
 conférence annuelle du Club 27001 au centre de conférence de l'hôtel Marriott 
 Paris Rive Gauche. 

     En introduction, Jean-Pierre Quémard, Président da la Comission de 
 Normalisation (CN-27) et de la délégation française à l'ISO, présente les 
 apports de la normalisation face aux enjeux de la sécurité des systèmes 
 d'information. Bien que les systèmes d'information soient omniprésents, d'une 
 complexité grandissante et que les besoins en sécurité ne cessent 
 d'augmenter, la fracture numérique reste trop importante. En effet, de 
 nombreuses PME restent aujourd'hui sous protégées et en détresse 
 sécuritaire face à des menaces de plus en plus sophistiquées. Les virus 
 classiques, vers, courriels non sollicités et dénis de service ne 
 représentent plus les seules menaces capables d'atteinte à la 
 confidentialité et intégrité du patrimoine scientifique et technique 
 national. Les APT (Advanced Persitent Threats), mais aussi les fuites 
 d'informations sur les réseaux sociaux ne sont plus à considérer à la 
 légère. L'approche adoptée par les organismes pour diminuer les risques 
 associés à ces menaces diffère selon le pays. La balance entre libertés 
 individuelles et sécurité de l'information doit être correctement 
 équilibrée, ce qui est souvent difficile à appréhender. La série des 
 normes ISO 27K comporte des normes d'audit, sectorielles et de nombreux 
 travaux en cours. En permanence, ces normes évoluent puisque chacune peut
 être maintenue, supprimée ou révisée tous les cinq ans. Tandis que la 
 standardisation apporte de bonnes pratiques en matière de sécurité des 
 systèmes d'information, la certification permet quant à elle d'apporter la 
 preuve de la conformité des pratiques d'un organisme aux procédures qu'il a 
 définies. L'ensemble forme ainsi une boîte à outils permettant d'accroitre la 
 sécurité des systèmes d'information. Organisée en cinq groupes de travail, 
 la CN-27 couvre des aspects organisationnels (SMSI), mais aussi techniques 
 (mécanismes cryptographiques et gestion des identités). En réunissant deux 
 fois par an plus de 300 experts du monde entier, les participants disposent
 d'un véritable suivi de l'état de l'art et peuvent échanger sur de nombreux 
 sujets tout en contribuant aux travaux de normalisation.

     Sylvain Lambert (RSSI) et Frédérique Dron Pardo (Division sécurité des 
 systèmes d'information) dressent le bilan de la démarche de certification 
 combinée ISO 9001, ISO 20000 et ISO 27001 de Pôle Emploi. Fin 2009, une 
 réflexion sur les différentes normes de sécurité est engagée afin de mieux 
 intégrer les exigences de services et de sécurité dans le fonctionnement de 
 la DSI. C'est au second trimestre 2010 que le projet du SMI (Système de 
 Management Intégré) est lancé, avec en mars 2011 l'obtention des 
 certifications ISO 20000 et ISO 27001, Pôle Emploi étant certifié ISO 9001 
 depuis 2005 sur le périmètre de la DSI. Les audits de surveillance menés en 
 2012 et plus récemment en février 2013 (Afnor) aboutissent au maintien des 
 certificats, ce qui procure un réel sentiment de progression au sein de Pôle 
 Emploi. Au total, l'audit de certification a nécessité la présence de deux 
 auditeurs sur dix jours, qui ont rencontré 200 personnes. Du point de vue de 
 la DSI, le projet de certification était une opportunité pour mettre en place 
 un langage et un projet commun suite à la fusion de l'ANPE et de l'Assurance 
 Chômage. Considéré tel un levier pour développer la culture sécurité et 
 l'engagement de service vis-à-vis des clients, ce projet devait également 
 permettre la reconnaissance du savoir-faire des équipes informatiques et 
 constituer un atout opposable dans le cadre des audits réguliers des 
 commissaires aux comptes. A terme, le projet du SMI devait accroître 
 l'efficacité de la réaction aux incidents, ainsi que la prise en compte des 
 exigences gouvernementale et clients. Aujourd'hui, l'organisation s'articule 
 autour de 14 acteurs répartis dans une équipe projet (suivi des actions et 
 mise en oeuvre des processus) et une équipe sécurité (mise en oeuvre des 
 mesures de sécurité), pour un total de 23 processus, 15 sites et 1.500 
 agents. Bien que le projet du SMI bénéficiait d'un existant solide, notamment 
 un Système de Management de la Qualité (SMQ) depuis 2005, ainsi qu'une 
 organisation ITIL, une PSSI et une filière sécurité depuis 2004, plusieurs 
 interrogations ont vu le jour en amont et au cours du projet. Tout d'abord, 
 aucune Appréciation des Risques (AdR) n'avait été déroulée sur le 
 périmètre du SMI. Deux versions de l'AdR ont donc été réalisées, la 
 première ne prenant en compte que les craintes des directeurs et la seconde 
 incluant les craintes des opérationnels et incidents de sécurité survenus. 
 De plus, le processus de gestion des incidents de sécurité devait s'intégrer 
 dans le processus de gestion des incidents de production, dans l'optique de 
 réutiliser l'existant. Cela fut résolu en catégorisant l'incident dès son 
 ouverture et en déterminant des actions différentes selon son type. 
 Finalement, la question de la mesure de l'efficacité du SMI chaque année sur 
 un périmètre aussi large s'est posée. Les actions d'amélioration ont alors 
 été présentées aux directeurs selon neuf axes (management de la sécurité, 
 maîtrise des risques, respect des réglementations, protection des systèmes 
 et réseaux, gestion des accès logiques, gestion de la disponibilité, gestion 
 des incidents et événéments, sensibilisation à la sécurité, ISP), ce qui 
 a facilité la communication ainsi que la compréhension. Un essouflement a 
 été constaté lors de la mise en oeuvre du Plan de Traitement des Risques 
 (PTR) la deuxième année. Pour pallier cela, un Comité de Direction (CODIR) 
 a été organisé tous les deux mois avec un indicateur spécifique à 
 l'avancement des actions. Après trois ans, le SMI a gagné en maturité et est 
 piloté par les risques (de la réflexion à la mesure d'efficacité en passant 
 par l'AdR et le plan de contrôle). Le respect et la mise en oeuvre des 
 exigences gouvernementales (Politique Ministérielle et RGS) est facilité par 
 la norme ISO 27001. Ces mêmes exigences permettent d'appuyer la mise en
 oeuvre du PTR et sensibilisent la Direction à la SSI. Pôle Emploi s'est fixé
 de nouveaux objectifs, notamment l'analyse qualitative des indicateurs, 
 l'amélioration de la réactivité face aux incidents et leur anticipation.

     Miroslaw Klaba (DG Délégué), Thibaut Saudrais (RSSI) et François Loiseau 
 (Développement Private Cloud) présentent le retour d'expérience de la 
 certification ISO 27001 pour la fourniture et l'exploitation 
 d'infrastructures dédiées de Cloud Computing (offre pCC), obtenue en 
 février 2013 après 6 jours d'audit et 15 entretiens (Afnor). En 2010, la 
 décision d'étendre l'offre cloud est prise. Elle est suivie en 2011 par une 
 réflexion sur l'intérêt de la certification ISO 27001, portée par la 
 volonté de rassurer clients et prospects, ainsi qu'une exigence contractuelle 
 avec VMware. A terme, le SMSI ne devait pas induire d'inertie dans les 
 processus déjà en place, notamment de livraison de serveur (disponibilité 
 d'une minute après commande), dans un service en forte croissance (49% de 
 clients en plus en 2012 et ajout d'un site supplémentaire en 2013). Le 
 périmètre du SMSI couvre trois datacentres en France, des bureaux à Roubaix, 
 5.000 serveurs, et implique des postes d'exploitation, de développement et 
 d'administration. 80 personnes sont impliquées dans le SMSI, dont 4 dans le 
 Comité de Pilotage (COPIL) et 12 en tant que Référents Opérationnels de la 
 Sécurité de l'Information (ROSI). A noter que certaines personnes ont des 
 rôles complémentaires, comme par exemple le RSMSI, également ROSI et 
 support, ce qui déroute légèrement les auditeurs lors des entretiens. OVH 
 souhaite conserver une structure horizontale dans son organisation,
 impliquant au maximum 2 niveaux entre la Direction et les collaborateurs.
 Chaque équipe intervenant sur le SMSI (physique, virtualisation et stockage)
 est ainsi gérée par un manager, garant du bon fonctionnement et pilotée par le
 Comité 27001 (4 personnes). OVH a été accompagné par HSC pour la mise en
 oeuvre du SMSI. Notamment, deux versions de l'AdR ont été réalisées afin de
 permettre le transfert de compétences entre les consultants HSC et les équipes
 OVH. Les entretiens avec les opérationnels ont été menés entre novembre 2011
 et janvier 2012, la première version de l'AdR livrée en mai 2012 (74 risques 
 dans la seconde version, pour 6 actifs primordiaux et 30 actifs de support) et
 les fiches de mesures de sécurité (couvrant 118 mesures de sécurité) ont 
 été formalisées pendant neuf mois jusqu'à l'audit de certification. L'audit 
 interne (réalisé en externe), ainsi que la première revue de direction, 
 nécessaires avant l'audit de certification, ont été menés fin 2012. Les 
 outils utilisés dans la vie quotidienne du SMSI permettent la participation
 de tous les acteurs. En effet, les fiches de mesures de sécurité sont 
 formalisées dans un wiki (avec bouton d'approbation), la documentation est 
 gérée au sein d'un dépôt SVN et la communication réalisée par le biais de 
 courriels et d'une messagerie instantanée. OVH a aujourd'hui de nouvelles 
 ambitions, tant sur l'évolution du périmètre du SMSI (ajout du datacentre de 
 Graveline) que sur l'obtention de certifications supplémentaires
 (SOC I/II/III et PCI DSS sur l'offre pCC).

     Luc Petitpré (RSSI) présente les relations existantes entre un SMSI et 
 les exigences du cadre réglementaire auquel est soumis le Crédit Mutuel Nord 
 Europe (CMNE) en tant qu'établissement de crédit et entreprise 
 d'investissement. Le réglement CRBF 97-02, relatif au contrôle interne, 
 impose à de tels organismes un niveau de sécurité jugé souhaitable, la 
 formalisation de procédures de secours informatique, ainsi que la 
 préservation de l'intégrité et la confidentialité en toutes 
 circonstances. L'accord Bâle II définit quant à lui un modèle de traitement 
 des risques opérationnels (répartis en sept catégories d'événements) 
 composé des étapes d'identification, d'évaluation, de suivi et de 
 maîtrise/atténuation du risque. Pour répondre à ces exigences 
 réglementaires, le CMNE a défini une politique de gestion des risques 
 permettant de cartographier les risques majeurs (relatifs au pilotage, à la 
 réglementation et au traitement des opérations) auxquels est exposé chaque 
 pôle. La Direction du contrôle permanent a alors déterminé une démarche 
 dans laquelle le SMSI fait partie intégrante, visant à contribuer à la mise 
 en oeuvre et à l'adaptation des contrôles de 1er niveau (opérationnels) pour 
 traiter ces risques. En effet, en mettant en oeuvre un SMSI par pôle, chaque 
 métier du CMNE est capable de définir et de réaliser les contrôles au travers 
 de la méthodologie d'analyse des risques portée par un SMSI. Cette démarche 
 a par ailleurs abouti à la création d'un outil interne de recensement, 
 de définition et de formalisation des contrôles de 1er niveau, ainsi que 
 d'identification, planification et suivi des actions correctives. Au délà des 
 pôles, le RSSI Groupe considère alors chaque SMSI comme un élément de 
 contrôle de 1er niveau, puisque la démarche impose la revue de l'analyse de 
 risques, la formalisation d'un plan de traitement des risques et son suivi. 
 L'évaluation des contrôles de 1er niveau est réalisée par les contrôles de 
 2nd niveau (tests d'intrusion, audits, etc.). Le plan de contrôle annuel 
 définit d'une part les contrôles récurrents et d'autre part des contrôles 
 par thématiques (basées sur la norme ISO 27002). Ces contrôles de 2nd niveau 
 sont caractérisés par un périmètre, une fréquence et une méthodologie et 
 produisent en sortie un compte rendu communiqué aux structures concernées et 
 proposant des actions correctives afin d'améliorer la couverture du risque. 
 L'ensemble de cette démarche permet un reporting interne (à desintation des 
 opérationnels et Directions) et externe, ce dernier contribuant au Rapport 
 Annuel de Contrôle Interne (RACI) de l'Autorité de Contrôle Prudentiel (ACP).

     Nicolas Bunoust (Manager des risques numériques et CIL) revient sur la 
 mise en pratique du RGS au Conseil Général de Loire-Atlantique (CG44) par la 
 présentation d'un cas concret de mise en conformité d'un téléservice. Dans 
 l'administration numérique, la conformité au RGS permet de gagner la 
 confiance des usagers de téléservices. Tout système d'information permettant 
 aux usagers (citoyens ou autorités administratives) de procéder par voie 
 électronique à des démarches ou formalités administratives doit être mis 
 en conformité au 6 mai 2013. Au départ du projet, le CG44 s'est donné pour 
 priorité de choisir un périmètre simple, portant sur un téléservice où de 
 réels besoins de sécurité existent. La méthode d'analyse de risques TAMIS 
 permet à la direction utilisatrice de fixer les besoins en sécurité (DIC), 
 de déterminer des mesures de sécurité sur la base de la PSSI, de définir 
 les scénarios de risques résiduels et contrôler l'efficacité des mesures de 
 sécurité. Pour le CG44, la réussite d'un projet de mise en conformité au 
 RGS et à terme l'homologation d'un téléservice par l'Autorité 
 d'Homologation, passe par l'organisation d'un Comité Sécurité (2 fois par 
 an) pour promouvoir et porter la démarche, la présence d'une instance 
 transverse à la DSI pour la détermination de mesures de sécurité 
 pertinentes et l'accompagnement des chefs de projets pour les AdR. Le RGS
 peut être perçu comme une opportunité pour développer la sécurité, puisqu'il 
 s'agit d'une contrainte réglementaire du point de vue de la DSI. La 
 conformité au RGS peut d'ailleurs être couverte dans le cadre d'un SMSI.

     Dominique Dubois (Chef de la division Sécurité et Architecture) présente 
 le retour d'expérience de la certification ISO 27001 (TÜV SÜD, Munich) de la 
 Banque Centrale Européenne (BCE), obtenue en décembre 2011 au terme d'un 
 projet d'une année. L'objectif était de disposer d'un catalogue de mesures de 
 sécurité (ISO 27002) allant au délà des aspects techniques couverts 
 jusqu'alors et de procéder à un audit combiné. La BCE étant déjà 
 certifiée ISO 20000 et ISO 9000, plusieurs éléments ont pu être 
 réutilisés pour le SMSI. Les échelles utilisées dans le cadre de 
 l'appréciation des risques sont ainsi reprises de la gestion des risques 
 opérationnels et l'approche processus adoptée pour le SMSI reprise de la 
 norme ISO 20000. Les sous-processus de sécurité (au sens ITIL) définis 
 couvrent les principaux thèmes de la norme ISO 27002. Les appréciations des 
 risques sont réalisées sur chaque projet de déploiement d'un système 
 d'information considéré comme critique, avec une évaluation des besoins en 
 disponibilité, intégrité et confidentialité. En plus d'un raisonnement par 
 projet, les mesures de sécurité génériques sont sélectionnées selon les 
 priorités établies avec la DSI (sensibilisation, gestion des changements, 
 gestion documentaire, etc.). De par cette expérience, la BCE a pu constater 
 que la réutilisation de l'existant a permis d'accélerer le projet de mise en 
 oeuvre d'un SMSI, tout comme la maîtrise des concepts PDCA et besoins DIC. De 
 plus, le choix d'un audit combiné a poussé davantage l'investissement dans le 
 projet SMSI, capable d'influencer directement les certifications relatives
 aux autres référentiels.

     Florence Le Goff (Solucom) et Emmanuel Joulain (Thales) présentent l'état 
 d'avancement de l'étude comparative des outils SMSI lancée début 2012 et 
 mobilisant 25 bénévoles. A terme, cette étude devrait permettre de dresser 
 la liste des outils de mise en oeuvre et exploitation d'un SMSI au travers 
 d'un livre blanc public annoncé pour l'été 2013. L'analyse porte sur 33
 outils (identifiés entre avril et mai 2012) maintenus par des éditeurs de 11 
 nationalités différentes. Ces outils ont été sélectionnés suite à des 
 questionnaires préliminaire et technique (couverture de la norme et analyse
 de l'outil) adressés aux éditeurs, puis répartis en trois catégories : 
 système de management, gouvernance/risque/conformité et gestion des 
 risques/sécurité des SI. Actuellement, dix outils on été testés et des 
 fiches de synthèses sont en cours de consolidation par le groupe de travail, 
 comprenant la carte d'identité de l'outil, son prix, les résultats du 
 questionnaire technique sous forme de graphiques, les points forts et faibles 
 de manière globale et par thématique, ainsi que l'avis du club 27001. Les 
 premiers constats permettent d'établir que les solutions du marché couvrent 
 de nombreux besoins à des coûts variés (acquisition, formation, 
 maintenance). Un certain nombre d'outils n'ont pas été développés 
 spécifiquement pour l'exploitation d'un SMSI, mais pour la GRC ou d'autres 
 systèmes de management, ce qui permet la mutualisation et donc la réduction 
 des coûts. A noter que les intervenants rappellent que l'investissement dans 
 un tel outil ne garantit pas l'obtention de la certification ISO 27001. De la 
 même manière, sans implication des acteurs au sein d'un organisme, un SMSI ne 
 peut pas être mis en oeuvre. Les outils viennent donc réellement en support 
 d'une démarche de mise en oeuvre d'un SMSI. Après publication du livre blanc, 
 un second cycle d'analyse sera mené afin de prendre en compte de nouveaux 
 outils, les retours d'expérience et mises à jour des référentiels ISO 27K.



--[ 4. Compte-rendu des GSDAYS 2013 ]-----------------------------------
    Par Steeve Barbeau, Lucien Caumartin, Béatrice Joucreau, Stéphane
    Milani, Julien Reveret et Cyril Solomon

     La conférence plénière des GS Days 2013 a abordé le sujet de la
 sécurité du Cloud Computing, en développant l'idée que le cloud est une
 opportunité, et qu'il convient de penser aux moyens de se prémunir contre les
 risques induits par cette pratique. Ce sujet était traité par maître Diane
 Mullenex du cabinet Ichay & Mullenex, Philippe Humeau, DG de NBS System et
 créateur de CerberHost, Thierry Floriani, RSSI de Numergy, Alexandre Morel,
 chef de projet chez OVH, Olivier Iteanu, secrétaire général d’EuroCloud,
 et modéré par Jérôme Saiz, rédacteur en chef du magazine de la communauté
 Qualys.
 La conférence a détaillé les spécificités de trois types de clouds : le cloud
 public, le cloud privé et le cloud hybride. Le cloud privé pose des problèmes
 d'utilisabilité : il existe une latence entre l'utilisateur et le serveur,
 qui peut être situé n'importe où. Le cloud public, quant à lui, fractionne
 les bases de données dans le monde. Il est donc difficile de synchroniser les
 données sur de grandes distances. L'usage du cloud public doit être réservé
 au stockage de données statiques, des photos par exemple. Les données métier 
 devraient être stockées dans un cloud privé car elles sont plus sensibles.
 Une analyse de risques devrait être menée pour déterminer quelles
 informations stocker sur du cloud public ou privé. En termes de sécurité, la
 meilleure solution semble être le cloud privé externalisé, chez un
 prestataire de confiance dans son propre pays. Une autre option existe, celle
 du cloud hybride. Il s'agit alors d'utiliser du cloud privé pour certaines
 données, et du cloud public pour les autres. Par exemple, il est possible de
 basculer le traitement de certaines  données (les moins critiques) sur du
 cloud public en cas de pics  d'utilisation. Une autre utilisation possible est
 d'utiliser le cloud public pour les applications qui communiquent avec
 l'extérieur (la messagerie par exemple), et le cloud privé pour les
 applications métier.

     Yoann Hedde, pentesteur et consultant chez Lineon, a présenté une
 conférence sur l'hacktivisme : les motivations des hacktivistes, les modes
 d'action et les actions marquantes d'hacktivistes depuis 2008. Le terme
 "hacktiviste" a été utilisé en 1996 par le pirate Omega, membre du groupe du
 culte de la vache morte. Il s'agit d'un mot-valise entre "hacker" et
 "activiste", et désignant une personne qui utilise les moyens informatiques 
 pour servir des causes politiques. L'idée défendue par ces personnes est que
 la liberté d'expression et l'accès à l'information sont des droits
 fondamentaux, et qu'il convient de lutter pour les conserver. Les motivations
 de ces personnes sont de trois ordres :
  - le soutien aux causes nationales ;
  - la protestation numérique ;
  - l'amusement et la provocation.
 A partir de ces motivations, trois types d'hacktivistes différents peuvent
 être distingués :
  - l'informaticien a des compétences et des connaissances en informatique.
    Ses actions sont motivées par les trois raisons énoncées plus haut ;
  - l'activiste utilise le support informatique, mais ne s'amuse pas. Il est 
    motivé par le soutien aux causes nationales et la protestation numérique ;
  - le script kiddie dispose de très faibles connaissances en informatique,
    mais utilise des logiciels simples. Ils sont les plus nombreux, et leur
    action peut avoir un impact très fort. Ils agissent autant par amusement
    et provocation que dans un but de protestation numérique.
 Les modes d'action des hacktivistes peuvent être réduits à cinq types 
 différents : la défense de causes particulières, l'aide à la connexion à 
 Internet (avec la distribution de kits de survie afin d'aider les populations
 à échapper à des réseaux surveillés ou censurés), l'atteinte à l'image, 
 l'atteinte à la personne et l'atteinte à l'organisation ou à l'Etat. Yoan
 Hedde a ensuite détaillé un certain nombre d'actions marquantes réalisées par
 des hacktivistes depuis 2008 : le projet Chanology en 2008, l'opération
 didgeridie en 2009, l'opération payback en 2010, l'OpSyria en 2011, le
 syndrome Batman en 2012 et l'OpIsrael en 2012.
 En conclusion ont été données des pistes pour éviter de devenir la cible 
 d'attaques d'hacktivistes.

     Steeve Barbeau, consultant sécurité chez HSC, a présenté une méthode
 d'extraction des données authentifiantes de la mémoire de Windows. La
 présentation a commencé par un rappel des différents algorithmes présents dans
 le monde Windows. Ainsi, les méthodes de calcul des empreintes LM, NTLM,
 MSCash et MSCash2 ont été expliquées. L'intervenant a ensuite détaillé
 l'emplacement et le chiffrement utilisé pour le stockage des différents
 éléments d'authentification : comptes locaux, comptes du domaine,
 identifiants en cache et secrets LSA.  Ensuite, afin de comprendre comment et
 pourquoi Windows garde en mémoire ces informations, il a détaillé les
 interactions entre plusieurs composants de Windows (WinLogon, lsasrv.dll,
 Security Support Provider, etc) lors du processus d'authentification. Avant
 de présenter l'outil qu'il a développé, il a expliqué le fonctionnement de
 Findpass, un ancien outil permettant d'extraire les mots de passe de la
 mémoire pour les postes sous Windows NT et Windows 2000. Cela a permis
 d'introduire l'outil qu'il a développé : sessiondump. Il s'agit d'une
 extension Meterpreter (Metasploit) permettant d'extraire de la mémoire de
 Windows (32 bits et 64 bits, de Windows XP/2003 à Windows 8/2012) les mots de
 passe et leurs empreintes.
 L'outil se contente de lire la mémoire du processus gérant les sessions
 d'authentification (LSASS) ce qui garantit le caractère non intrusif de la
 technique utilisée et n'impacte donc pas la stabilité de la machine.
 L'intervenant a également détaillé les différentes structures et les
 différents emplacements mémoire nécessaires au fonctionnement de son outil,
 ainsi que la procédure de déchiffrement des données. Il a également développé
 des scripts permettant de télécharger et d'analyser les bibliothèques
 stockant ces informations. 
 L'outil et le support de présentation sont disponibles en téléchargement :
 http://www.hsc.fr/ressources/outils/sessiondump/ et
 http://www.hsc.fr/ressources/presentations/gsdays2013_sessiondump/

     Diane Mullenex a ensuite traité le sujet du m-payment, ou paiement mobile.
 Il s'agit de  l'ensemble des paiements pour lesquels les données de paiement
 et  les  instructions sont émises, transmises ou confirmées au travers d'un 
 appareil mobile.
 La Commission Européenne a retenu 2 catégories de m-payment : le  m-payment à 
 distance, où les paiements sont réalisés par le biais d'internet ou de
 services SMS par exemple, et le m-payment de proximité, où les paiements sont
 réalisés directement au point de vente par l'utilisation de la technologie
 NFC. Après avoir donné un aperçu du contexte du m-payment, Diane Mullenex a
 défini le régime juridique de m-payment. Elle a notamment souligné que le
 m-payment était un moyen de paiement comme un autre au regard du code
 monétaire et financier. Les responsabilités des différents acteurs du
 m-payment ont été établies. En particulier, les opérateurs de téléphonie
 agissant uniquement en qualité d'intermédiaire sont des prestataires de
 services de paiement, et sont donc soumis à un certain nombre d'obligations.
 Le m-payment confronte les acteurs à la difficulté classique de comment
 déterminer la responsabilité de chacun. Pour cela, dans certains cas, la
 collecte de preuves est déterminante.
 Enfin, Diane Mullenex a évoqué les différentes vulnérabilités, menaces et 
 risques spécifiques au m-payment. Elle a également rappelé les outils qui 
 permettent aux différents acteurs de se prémunir contre ces risques : 
 l'utilisation de standards de sécurité, et notamment la norme PCI DSS, la 
 réalisation d'audits de sécurité. Pour les utilisateurs du m-payment, des 
 moyens de sécurisation des données présentes sur le téléphone existent : il
 est possible de bloquer la carte SIM en cas de vol, de géolocaliser et de 
 neutraliser l'appareil à distance, et d'utiliser le protocole 3D-Secure lors 
 d'un paiement par mobile. En cas de contentieux, Diane Mullenex a mis
 l'accent sur les difficultés posées par le caractère transfrontalier des
 opérations de m-payment.

     Jean Larroumets, de la société Fidens, a présenté sa vision de  
 l'industrialisation du processus de gestion des risques.
 En introduction, Jean Larroumets a montré que la solution à la complexité du 
 SI, à son ouverture et à son évolution est le management par le risque. Il 
 s'agit en résumé de développer une culture sécurité raisonnée.
 La gestion des risques doit aussi tenir compte des lois et règlementations 
 applicables au secteur d'activité de l'organisation. 
 Après un regard approfondi sur la norme ISO 27005, Jean Larroumets a décrit
 sa méthode d'industrialisation du processus de gestion des risques. Il s'est
 notamment appuyé sur l'outil web de Fidens pour la génération de scénarios 
 d'incident à partir d'une base de connaissance de vulnérabilités et de
 menaces.

	Les démonstrateurs de l'ARCSI (Association des Réservistes du Chiffre
 et de la Sécurité de l’Information) ont présenté des vidéos de démonstration
 de  récupération des données d'un téléphone portable, dans le cadre d'une
 expertise judiciaire. L'extraction des données s'effectue grâce à un appareil
 spécifique. Son interface permet de spécifier le modèle du téléphone à
 examiner. Une procédure exacte, adéquate pour ce modèle, est alors indiquée.
 Parfois, si le téléphone est bloqué avec un code ou un pattern, l'extraction
 est possible sans même avoir besoin de retrouver le code. 
 Cet appareil est mis à jour dès la sortie d'un nouveau modèle de téléphone.
 Les nouveaux téléphones sont ainsi reçus dans la semaine de leur sortie, et
 les faiblesses laissées par les constructeurs dans les téléphones sont
 recherchées pour être exploitées par l'appareil. Toutes les données du
 téléphone sont extraites : les sites web visités, les mots de passe stockés
 dans le téléphone, les fichiers, les contacts, le journal des appels, les
 SMS, les courriels, les réseaux sans fil auxquels le téléphone s'est connecté,
 ainsi que la ligne de temps. Celle-ci permet de retracer l'activité du
 téléphone de manière chronologique, à la seconde près. Il est également
 possible de scanner le téléphone à la recherche d'éventuels programmes
 malfaisants.
 L'extraction des données d'un téléphone non smartphone prend environ 5
 minutes, alors qu'elle prend 2h pour les ordiphones de dernière génération.
 Il existe des téléphones très bien sécurisés, mais pour des raisons
 évidentes, les démonstrateurs ne les ont pas cités.
 Cet appareil n'est pas en vente libre : seul un expert judiciaire peut 
 l'utiliser. En effet, l'extraction des données d'un téléphone portable donne 
 accès à des données à caractère personnel qui sont protégées par la loi 
 informatique et libertés.
 Un cas particulier a été posé par le public : quelles actions un RSSI a-t-il
 le droit d'effectuer sur un téléphone prêté à usage professionnel à un
 salarié ? Le salarié n'a pas le droit d'utiliser le téléphone à des fins
 personnelles, même  en dehors des horaires de travail, sauf autorisation de
 la direction. Le RSSI a le droit de contrôler l'usage qui est fait du
 téléphone par les employés. Mais pour cela, le contrôle des téléphones doit
 être inscrit dans la charte informatique. De plus, le RSSI doit avertir les
 salariés et leur demander leur autorisation préalable. Le consentement écrit
 du salarié est obligatoire. Suite à l'extraction des données, l'expert
 judiciaire fait un rapport qu'ils présentent à la police ou à la gendarmerie.
 Ce rapport ne doit présenter aucune interprétation, seulement les faits.

     Sebastien Gioria, représentant français de l'OWASP a fait un état des
 lieux sur les nouvelles API HTML5 actuellement en développement, le tout
 accompagné de scénarios d'attaques ou de preuves de concept.
 Il a présenté dans un premier temps les WebSockets qui permettent de réaliser
 un tunnel HTTP bi-directionnel mais qui pourraient être utilisées dans
 diverses attaques. Par la suite, l'API Web Messaging fut présentée. Celle-ci 
 permet la communication entre plusieurs éléments (iframes, onglets, fenêtres) 
 qui peuvent être utilisés dans des attaques de type Cross Site Scripting, 
 car la vérification de l'origine du contenu des données doit être réalisée 
 par l'application web.

 S'en est suivi une présentation de l'API IndexDb qui permet d'avoir une base
 de données relationnelle accessible depuis le Javascript, cependant le
 protocole  d'accès est vulnérable aux injections. Ensuite, le WebStorage a
 été présenté, cette fonctionnalité permet le stockage de n'importe quelles
 données sur le poste client. En théorie l'espace autorisé est de 5 Mo par
 site, cependant, en utilisant des sous-domaines il est possible de passer au
 travers de cette restriction et de pouvoir remplir le disque dur du client.

 Enfin, celui-ci a présenté les Web Worker, il s'agit d'une API utilisée dans
 le cadre d'opérations longues permettant au navigateur de pouvoir les éxécuter
 en tâches de fond et qui permettent d'exploiter au mieux les processeurs
 multicoeurs. Un scénario possible d'utilisation a été montré comme les
 attaques DDOS ou les attaques par brute-force de manière distribuée. Sebastien
 Gioria termine sa présentation avec la compatibilité des navigateurs avec les
 normes HTML5 et conclu que la norme HTML5 se développe sans prendre en
 considération les risques de sécurité inhérents aux nouvelles fonctionnalités
 proposées.

 	 Pierre-Luc Refalo du cabinet Hapsis nous a présenté sa vision de la 
 mise en place de la sécurité des Systèmes d’information au sein des
 entreprises. Comme évoqué dans le titre de sa présentation "Réglementer ou
 outiller sans acculturer n’est que ruine de la sécurité", un des principaux
 piliers de la sécurité est  l’acculturation des différents acteurs au sein
 de l’entreprise.
 Lors de cette présentation, il a été présenté les diverses attitudes
 (politique de l’autruche, le souhait d’ignorer ou d’occulter les problèmes,
 la mise en place de mesures de sécurité pouvant s’avérer être contraignantes
 au sein de l’organisme, le désintéressement des dirigeants à la SSI,...)
 observées chez les acteurs faisant partie intégrante de la sécurité des SI,
 ce qui peut engendrer un compromission de celle-ci.
 Ces postures concernent à la fois les opérationnels, utilisateurs finaux et
 dirigeants.

 De ce constat et du fait des différents cas réels pouvant impacter la SSI à
 travers le monde et de l’évolution du marché, la sécurité des SI a été
 présentée comme une activité vaste, complexe et immature.
 Cependant plusieurs enjeux majeurs en matière de SSI ont été identifiés par
 les instances publiques et une prise de conscience a été initiée (prendre en
 compte de la nécessité de la protection  patrimoine immatériel de
 l’entreprise, combattre la cybercriminalité en sensibilisant les dirigeants
 et en donnant un rôle central aux responsables de la sécurité des SI).

 Suite à cette introduction, Pierre-Luc Refalo a présenté sa vision du
 trousseau à 5 clefs qu’il serait souhaitable d’intégrer au sein des
 organisations.
 Ce trousseau à 5 clés intègre « une Gouvernance Cible », « La mise en place
 d’une classification cible »,  « La culture de l’accès », « La culture du
 contrôle et la mise en place de la cyber défense ». 
 Dernière clé, mais non des moindres, l’acculturation des individus aux 
 « risques numériques ».

 D'après Pierre-Luc Refalo, la mise en place de l’acculturation au sein de
 l’organisation doit s’appuyer sur 4 angles d’attaques qui sont « le bon usage
 des systèmes et des données immatérielles », «la prise en compte des aspects
 juridiques », « l’identification des menaces » et « la prise en compte des
 nouveaux usages des moyens informatiques » afin de protéger le patrimoine
 immatériel de l'entreprise.



--[ 5. Nouvelle formation SANS SEC504 : Techniques de hacking ]---------

     HSC propose une nouvelle formation SANS SEC 504 : Techniques de hacking,
 exploitation de failles et gestion des incidents.

 Les objectifs de cette formation sont de comprendre les techniques d'attaques
 et de piratage réseau et système et apprendre à lutter contre ces
 attaques, en identifiant les indicateurs de compromission et en sachant
 gérer les incidents de sécurité.

 La formation détaille les phases de reconnaissance et de découverte avec
 mise en pratique avec des exercices pour les attaques wifi, réseau,
 applications web, dénis de service, cassage de mots de passe, etc.
 Sont expliqués l'utilisation des journaux et la détection des rootkits.

 Les outils utilisés sont gratuits, chaque stagiaire pouvant repartir avec
 une fois la formation terminée.

     Cette formation prépare à la certification GIAC Certified Incident
 Handler (GCIH).

      Le responsable de la formation est Mouad Abouhali, il est accompagné 
 de Julien Reveret.

 Première session à Paris du 16 au 20 décembre 2013.

 Objectifs, durée, public visé et prérequis, méthode pédagogique, support,
 plan détaillé :
 http://www.hsc-formation.fr/formations/sec504_hacker_techniques.html

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh
 formations at hsc.fr -- +33 141 409 704
	


--[ 6. Nouvelle formation SANS FOR610 ]---------------------------------

     HSC propose désormais la formation SANS FOR610 "Reverse-Engineering
 Malware", en français "Rétroingéniérie de logiciels malfaisants : outils
 et techniques d'analyse".

     L'analyse des logiciels malfaisants constitue une discipline primordiale
 et nécessaire durant les investigations numériques et lors des réponses à
 incident. En effet, cette discipline est l'outil principal des analystes en
 investigation numérique pour déterminer les éléments clés d'un logiciel
 malfaisant, leur donnant un cap pour orienter leur investigation. D'autre
 part, elle permet aux équipes de réponse à incident d'identifier les
 indicateurs de compromission (IOCs), information capitale dans le traitement
 des incidents.
 Cette formation détaille une approche technique double d'analyse statique et
 dynamique des logiciels malfaisants destinés aux systèmes Windows. Elle vise
 également à décrire les techniques de camouflage JavaScript et Flash
 implémentées par les logiciels malfaisants ciblant les navigateurs Internet,
 les documents PDF ainsi que les documents Microsoft Office.

 L'approche étudiée tout au long de cette formation se base sur différentes
 techniques telles que l'analyse comportementale, l'ingénierie inverse
 statique (utilisation de désassembleur) et dynamique (utilisation de
 débogueur, outils de monitoring...) ainsi que l'analyse de la mémoire Windows.
 Pour cela, les fondamentaux de l'assembleur x86 seront présentés aux
 stagiaires afin de leur permettre d'identifier les structures logiques et le
 flux d'exécution d'un exécutable Windows.

 La plupart des outils présentés sont gratuits, chaque stagiaire pouvant
 repartir avec son laboratoire d'analyse de logiciels malfaisants une fois la
 formation terminée.

     Cette formation prépare à la certification GIAC Reverse Engineering
 Malware (GREM).

      Le responsable de la formation est Mouad Abouhali, il est accompagné de
 Steeve Barbeau.

 Première session à Paris du 4 au 8 novembre 2013.

 Objectifs, durée, public visé et prérequis, méthode pédagogique, support,
 plan détaillé :
 http://www.hsc-formation.fr/formations/for610_reverse-engineering-malware.html

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh
 formations at hsc.fr -- +33 141 409 704



--[ 7. Nouveautés du site web HSC ]-------------------------------------

 - Présentation "Ingénierie Sociale : aspects juridiques et pratiques" par
   Frédéric Connes et Quentin Gaumer le 19 mars 2013 à la JSSI de l'OSSIR
   http://www.hsc.fr/ressources/presentations/jssi2013_ingenierie_sociale/

 - Présentation des investigations sommaires menées par HSC sur un échantillon
   des binaires utilisés lors de l'attaque nommé APT1 par la société Mandiant
   par Jérémy Rubert le 3 avril 2013
   http://www.hsc.fr/ressources/articles/reverse_apt1/

 - Présentation "Extraction de données authentifiantes de la mémoire Windows"
   par Steeve Barbeau le 4 avril 2013 aux GS-DAYS
   http://www.hsc.fr/ressources/presentations/gsdays2013_sessiondump/



--[ 8. Agenda des interventions publiques ]-----------------------------

 - 29 mai 2013 - Solutions Linux - Paris, CNIT La Défense
   "Extraction de données authentifiantes de la mémoire Windows",
   Steeve Barbeau
   http://www.solutionslinux.fr/

 - 5 juin 2013 - Matinée Sécurité CNIS-Mag - Paris, Hôtel Intercontinental
   "Vulnérabilités et Menaces : entreprise, environnement scada ou
   administration, quelle Cyberdéfense ?"
   Conférence d'ouverture
   Hervé Schauer
http://www.cnis-mag.com/vulnerabilites-et-menaces-du-si-entreprise-environnement-scada-ou-administration-quelle-cyberdefense.html


 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 9. Prochaines formations HSC ]--------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        ISO 27001 Lead Auditor    ..............    : 13 au 17 mai (#)
        RGS : la SSI pour le secteur public    .    : 22 mai
        Essentiels juridiques pour gérer la SSI     : 23 et 24 mai
        Formation DNSSEC   .....................    : 27 et 28 mai (*)
        Sécurité SCADA  ........................    : 29 mai
        ISO 27001 Lead Implementer    ..........    : 27 au 31 mai (#)
        ISO 27005 Risk Manager    ..............    : 3 au 5 juin (#)
        Risk Manager Avancé    .................    : 6 et 7 juin
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 10 au 14 juin (*)(#)
        Protéger les applis web (DEV522 /GIAC GWEB) : 17 au 21 juin (*)(#)
        Essentiels de l'ISO27001    ............    : 17 juin
        Mesures de sécurité ISO 27002   ........    : 18 et 19 juin
        Gestion des incidents de sécurité/ISO27035  : 20 juin
        Indicateurs & tableaux de bord SSI/ISO27004 : 21 juin
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 24 au 28 juin (*)(#)
        ISO 27001 Lead Implementer    ..........    : 1 au 5 juillet (#)
        ISO 27005 Risk Manager    ..............    : 4 au 6 septembre (#)
        ISO 27001 Lead Auditor    ..............    : 9 au 13 septembre (#)
        Sécurité du WiFi    ....................    : 12 et 13 septembre (*)
        Inforensique Windows (SANS FOR408/GIAC GCFE): 16 au 20 septembre (*)(#)
        Formation CISSP    .....................    : 23 au 27 septembre (#)
        ISO 22301 Lead Auditor    ..............    : 23 au 27 septembre (#)
        Sécurité du Cloud Computing    .........    : 30 septembre au 2 octobre
        Fondamentaux & principes de la SSI 
        (SANS SEC401/GIAC GSEC)   ..............    : 30 sept au 5 oct (*)(#)
        Essentiels de l'ISO22301    ............    : 3 octobre
        EBIOS Risk Manager    ..................    : 7 au 9 octobre (#)
        Formation RSSI    ......................    : 7 au 11 octobre
        Rétroingénierie de logiciels malfaisants :
        Outils et techniques d'analyse 
        (SANS FOR610/GIAC GREM)   ..............    : 4 au 8 novembre (*)
        Essentiels techniques de la SSI    .....    : 12 et 13 novembre
        PKI : principes et mise en oeuvre    ...    : 12 au 14 novembre (*)
        Essentiel de PCI-DSS    ................    : 21 novembre
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 18 au 22 novembre (*)(#)
        Tests d'intrusion avancés, exploitation de
        failles et hacking éthique (SEC660/GXPN)    : 25 au 30 novembre (*)(#)
        Correspondant Informatique et Libertés      : 2 et 3 décembre (@)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 2 au 6 décembre (*)(#)
        ISO 22301 Lead Implementer    ..........    : 9 au 13 décembre (#)
        Techniques de hacking, exploitation de failes
        et gestion des incidents (SEC504/GCIH)      : 16 au 20 décembre (*)(#)
        Inforensique réseau & infrastruct. (FOR558) : 1er semestre 2014 (*)
        Inforensique téléphones/ordiphones (FOR563) : 1er semestre 2014 (*)(#)

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2 ou GIAC
 (@) : formation labellisée par la CNIL (www.cnil.fr)


 - Luxembourg
        ISO 27005 Risk Manager    ..............    : 13 au 15 mai (#)
        ISO 27001 Lead Implementer    ..........    : 14 au 18 octobre (#)
        ISO 27001 Lead Auditor    ..............    : 18 au 22 novembre (#)

 - Le Mans
        Correspondant Informatique et Libertés      : 28 au 29 novembre (@)

 - Lille
        Correspondant Informatique et Libertés      : 16 et 17 mai (@)

 - Limoges
        Correspondant Informatique et Libertés      : mars 2014 (@)

 - Lyon
        ISO 27001 Lead Implementer    ..........    : 17 au 21 juin (#)
        Correspondant Informatique et Libertés      : 19 et 20 sept (@)
        ISO 27005 Risk Manager    ..............    : 2 au 4 octobre (#)
        Essentiels juridiques pour gérer la SSI     : 8 et 9 octobre

 - Marseille
        ISO 22301 Lead Implementer    ..........    : 10 au 14 juin (#)
        Correspondant Informatique et Libertés      : mars 2014 (@)

 - Montpellier
        Correspondant Informatique et Libertés      : 17 et 18 octobre 2013 (@)

 - Nancy
        Correspondant Informatique et Libertés      : 12 et 13 décembre (@)

 - Nantes
        Correspondant Informatique et Libertés      : 30 et 31 mai (@)

 - Nice
        ISO 27005 Risk Manager    ..............    : 26 au 28 juin (#)
        Correspondant Informatique et Libertés      : 26 et 27 septembre (@)

 - Pau
        Correspondant Informatique et Libertés      : 13 et 14 juin (@)

 - Poitiers
        Correspondant Informatique et Libertés      : 27 et 28 juin (@)

 - Reims
        Correspondant Informatique et Libertés      : 21 et 22 novembre (@)

 - Rennes
        Correspondant Informatique et Libertés      : 20 et 21 juin (@)

 - Strasbourg
        Correspondant Informatique et Libertés .    : 6 et 7 juin (@)

 - Toulouse
        ISO 27005 Risk Manager    ..............    : 22 au 24 mai (#)
        ISO 27001 Lead Auditor    ..............    : 24 au 28 juin (#)
        Essentiels juridiques pour gérer la SSI     : 24 et 25 octobre
        Correspondant Informatique et Libertés .    : 19 et 20 décembre (@)
        ISO 27001 Lead Implementer    ..........    : juin 2014 (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Moody sur
 ses formations.

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704

 Retrouvez les tarifs des formations dans la Newsletter n° 64 de janvier 2010
 au chapitre 6 : http://www.hsc-news.com/archives/2010/000064.html

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2012 en PDF sur http://www.hsc-formation.fr/



--[ 10. Actualité des associations : Club 27001, Clusif et OSSIR ]--------
  o Club 27001 (http://www.club-27001.fr/)
     . Compte-rendu de la conférence annuelle du Club du 4 avril ci-dessus
       au paragraphe 3
     . Prochaine réunion à Paris le jeudi 24 mai 2013
          - Pour un management unifié des risques", ou "ISO 27005 appliqué au
            domaine des risques de responsabilité sociétale", par Sylvain
            Conchon, Conix
          - Manque la seconde présentation
     . Prochaine réunion à Toulouse en juin
     . Prochaines réunions à Toulouse, Marseille, Rennes et Lyon annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o Clusif (http://www.clusif.fr/)
     . Création par le Clusif d'un groupe de travail Sécurité SCADA co-animé
       par Hervé Schauer. Première réunion mercredi 22 mai à 14h00.
       Accès réservé aux membres. Inscription obligatoire :
       Olivier.Guerin at clusif.fr

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 14 mai à 14h00 à l'INRIA 13ième
           - Analyse & sécurité des logiciels par Frédéric Marmond (Tetrane)
           - TrustRevealing : analyse comportementale des applications mobiles
             par Vivien Raoul, Pradeo
           - Revue d'actualité par Nicolas Ruff (EADS)
     . Réunion suivante à Paris le mardi 11 juin 2013
     . Prochaine réunion à Rennes jeudi 27 septembre 2013
     . Prochaine réunion à Toulouse mardi 14 mai 2013 à l'Université Tlse-1
           - Sécurité d'IPv6 par Stéphane Bortzmeyer (AFNIC)
     . Réunion suivante à Toulouse mardi 17 septembre 2013




--[ 11. Le saviez-vous ? La réponse ]------------------------------------

     La variable d'environnement LD_DEBUG peut être utilisée afin de déterminer
 les bibliothèques utilisées et les fonctions appelées. Voici son aide :
$ LD_DEBUG=help id
Valid options for the LD_DEBUG environment variable are:

  libs        display library search paths
  reloc       display relocation processing
  files       display progress for input file
  symbols     display symbol table processing
  bindings    display information about symbol binding
  versions    display version dependencies
  all         all previous options combined
  statistics  display relocation statistics
  unused      determined unused DSOs
  help        display this help message and exit


 Cette variable d'environnement ne semble pas être présente sur les UNIX de
 type BSD mais il a été vérifié par les consultants HSC que les systèmes Linux
 et Solaris possédait ce moyen de debogage par défaut. La variable
 LD_DEBUG_OUTPUT autorise à enregistrer les traces dans un fichier.

 Au final, sans aucun programme particulier, il devient possible de
 déterminer les symboles utilisés, les fichiers ouverts ou même des
 statistiques sur les allocations mémoires.

 Ci-dessous un exemple avec la commande id :

$ LD_DEBUG=files id
     13892:
     13892:     file=libselinux.so.1 [0];  needed by id [0]
     13892:     file=libselinux.so.1 [0];  generating link map
     13892:       dynamic: 0x00007f8030edbd40  base: 0x00007f8030cbe000
size:
0x000000000021f7f0
     13892:         entry: 0x00007f8030cc46b0  phdr: 0x00007f8030cbe040
phnum:
8
     13892:
     13892:
     13892:     file=libc.so.6 [0];  needed by id [0]
     13892:     file=libc.so.6 [0];  generating link map
     13892:       dynamic: 0x00007f8030cb7b40  base: 0x00007f8030934000
size:
0x0000000000389858
     13892:         entry: 0x00007f8030952fc0  phdr: 0x00007f8030934040
phnum:
10
     13892:
     13892:
     13892:     file=libdl.so.2 [0];  needed by
/lib/x86_64-linux-gnu/libselinux.so.1 [0]
     13892:     file=libdl.so.2 [0];  generating link map
     13892:       dynamic: 0x00007f8030932d80  base: 0x00007f8030730000
size:
0x0000000000203100
     13892:         entry: 0x00007f8030730de0  phdr: 0x00007f8030730040
phnum:
9
     13892:
     13892:
     13892:     calling init: /lib64/ld-linux-x86-64.so.2
     13892:
     13892:
     13892:     calling init: /lib/x86_64-linux-gnu/libc.so.6
     13892:
     13892:
     13892:     calling init: /lib/x86_64-linux-gnu/libdl.so.2
     13892:
     13892:
     13892:     calling init: /lib/x86_64-linux-gnu/libselinux.so.1
     13892:
     13892:
     13892:     initialize program: id
     13892:
     13892:
     13892:     transferring control: id
     13892:
     13892:
     13892:     file=libnss_compat.so.2 [0];  needed by id [0]
     13892:     file=libnss_compat.so.2 [0];  generating link map
     13892:       dynamic: 0x00007f803072edf0  base: 0x00007f8030528000
size:
0x00000000002074c8
     13892:         entry: 0x00007f8030529260  phdr: 0x00007f8030528040
phnum:
9
     13892:
     13892:
     13892:     file=libnsl.so.1 [0];  needed by
/lib/x86_64-linux-gnu/libnss_compat.so.2 [0]
     13892:     file=libnsl.so.1 [0];  generating link map
     13892:       dynamic: 0x00007f8030524dc0  base: 0x00007f8030310000
size:
0x0000000000217ad0
     13892:         entry: 0x00007f8030314020  phdr: 0x00007f8030310040
phnum:
9
     13892:
     13892:
     13892:     calling init: /lib/x86_64-linux-gnu/libnsl.so.1
     13892:
     13892:
     13892:     calling init: /lib/x86_64-linux-gnu/libnss_compat.so.2
     13892:
     13892:     opening file=/lib/x86_64-linux-gnu/libnss_compat.so.2 [0];
direct_opencount=1
     13892:
     13892:
     13892:     file=libnss_nis.so.2 [0];  needed by id [0]
     13892:     file=libnss_nis.so.2 [0];  generating link map
     13892:       dynamic: 0x00007f803030ede0  base: 0x00007f8030105000
size:
0x000000000020a4b8
     13892:         entry: 0x00007f8030107020  phdr: 0x00007f8030105040
phnum:
9
     13892:
     13892:
     13892:     file=libnss_files.so.2 [0];  needed by
/lib/x86_64-linux-gnu/libnss_nis.so.2 [0]
     13892:     file=libnss_files.so.2 [0];  generating link map
     13892:       dynamic: 0x00007f8030103df8  base: 0x00007f802fef9000
size:
0x000000000020b588
     13892:         entry: 0x00007f802fefb180  phdr: 0x00007f802fef9040
phnum:
9
     13892:
     13892:
     13892:     calling init: /lib/x86_64-linux-gnu/libnss_files.so.2
     13892:
     13892:
     13892:     calling init: /lib/x86_64-linux-gnu/libnss_nis.so.2
     13892:
     13892:     opening file=/lib/x86_64-linux-gnu/libnss_nis.so.2 [0];
direct_opencount=1
     13892:
uid=1000(julien) gid=1000(julien) groups=1000(julien)


     Même si cette variable d'environnement permet d'obtenir des informations
 conséquentes sur le comportement d'un binaire, elle est beaucoup moins
 exhaustive qu'un logiciel tel que strace ou encore gdb.
 Aussi il est tout de même fortement recommandé de ne pas laisser ces logiciels
 installés sur un serveur, même de développement à moins d'avoir un besoin
 métier fort.

     Julien Reveret.



Plus d'informations sur la liste de diffusion newsletter