[Newsletter HSC] N°107 - Juillet 2013

Newsletter d'information de HSC newsletter at hsc-news.com
Lun 1 Juil 14:55:03 CEST 2013


========================================================================
              HSC Newsletter  --  N°107 --  juilet 2013
========================================================================





     « Il ne faut avoir aucun regret pour le passé, aucun remords pour le
       présent et une confiance inébranlable pour l'avenir »


                                             [ Jean Jaurès ]




--[ Sommaire ]----------------------------------------------------------

      1. Éditorial
      2. Compte-rendu Hack In Paris 2013
      3. Nouveautés du site web HSC
      4. Offres d'emploi pour consultants
      5. Agenda des interventions publiques
      6. Prochaines formations HSC
      7. Actualité des associations : Club 27001 et OSSIR



--[ 1. Éditorial - Hervé Schauer ]--------------------------------------

     L'ANSSI a publié son référentiel d'exigences applicable aux prestataires
 d'audit de la sécurité des systèmes d'information (PASSI) [1].
 Il permet de qualifier des prestataires auxquels les organismes soumis aux
 RGS devront faire appel.
     La qualification assure, par une démonstration indépendante, que le service
 rendu est conforme au référentiel d'exigence, réalisé de manière fiable et
 mis en oeuvre de manière efficace. C'est une création de confiance et de
 richesse.
 Ici, l'ANSSI, qui publie le référentiel, garde le contrôle en habilitant les
 organismes de qualification, eux-mêmes devant être accrédités par le COFRAC,
 ce qui garantit le processus de qualification [2].
 Actuellement un seul organisme de qualification est habilité, LSTI, qui
 explique également le fonctionnement sur son site [3].
     Les qualifications professionnelles de prestataires sont courantes
 (Qualipropre [4], OPQCM [5], OPQF [6], Qualibat, Qualifelec, etc), et les
 Anglais ont un système de qualification de prestataires de tests d'intrusion
 depuis 2006 [7]. Il était donc temps que l'ANSSI joue son rôle régalien en
 construisant une telle qualification. Celle-ci, établie en concertation avec
 le marché, est accessible à tous et répond aux attentes des donneurs d'ordre en
 qualifiant l'entreprise, mais avec des individus dont l'expérience et la
 compétence sont validées, une entreprise ayant perdu, par exemple, ses
 auditeurs qualifiés en test d'intrusion, perdra sa qualification test
 d'intrusion.
     En SSI les commanditaires des audits de sécurité ne savent pas toujours
 et ne peuvent pas toujours sélectionner leur prestataire sur ses compétences,
 tous les commanditaires ne savent pas juger de la qualité, de la complétude
 et de la transparence de l'audit. Parfois les audits sont réalisés par d'autres
 consultants que ceux présentés ou que ceux signant le rapport d'audit,
 sous-traités sans le dire, sans assurance, réalisés par des outils automatiques
 alors que vendus comme faits à la main, etc. La qualification des prestataires
 mise en oeuvre par l'ANSSI est un moyen de réduire ces risques, cela
 réordonne le marché de la SSI dans le bon sens.

     Les prestations d'expertise courtes en SSI ne sont plus les prestations
 annexes des régies ou de la supervision, là pour donner une belle image au
 prestataire, elle sont reconnues comme des missions de valeur à part entière.

     Pour en savoir plus, une présentation avait été réalisée à la conférence
 CNSSIS en 2012 [8].

 [1] http://www.ssi.gouv.fr/fr/menu/actualites/publication-du-referentiel-d-exigences-applicable-aux-prestataires-d-audit-de.html
 [2] http://www.hsc.fr/ressources/presentations/cnssis-hsc-qualif12/img15.html
 [3] http://www.lsti-certification.fr/index.php/qualification-rgs/les-passi.html
 [4] http://www.qualipropre.org/
 [5] http://www.opqcm.com/
 [6] http://www.opqf.com/
 [7] http://www.cesg.gov.uk/servicecatalogue/CHECK/Pages/WhatisCHECK.aspx
 [8] http://www.hsc.fr/ressources/presentations/cnssis-hsc-qualif12/
 


--[ 2. Compte-rendu de Hack In Paris (HIP) 2013 ]-----------------------
    Par Steeve Barbeau

 
 BYOD - The privacy and compliance risks from bringing your own mobile device
 ----------------------------------------------------------------------------
 to work : Winn Schwartau

 La troisième édition de Hack In Paris a débuté par une keynote sur un sujet
 d'actualité, à savoir le BYOD. L'intervenant, Winn Schwartau associe à
 l'accronyme BYOD, l'expression "Breach Your Own Data". Le BYOD pose de
 nombreux problèmes, par exemple, les administrateurs sont incapables
 d'identifier combien d'équipements mobiles (ordiphones, tablettes) sont
 connectés au système d'information de leur entreprise. De plus, contrairement
 à ce que l'on pourrait penser, l'utilisation de logiciels de gestion des
 flottes mobiles (Mobile Device Management) n'apporte pas ou très peu de
 sécurité complémentaire, à savoir que les agents installés sur les téléphones
 peuvent par exemple être désinstallés par l'utilisateur. L'utilisation de ce
 type de solution induit également le problème d'accès aux données personnelles
 par l'employeur. La communication de ces équipements ultra-communiquants est
 également problématique, il n'est en effet pas toujours évident de savoir
 comment sont transférées les données professionnelles (3G, Wifi, tunnel VPN,
 etc.) et donc de savoir si celles-ci sont transférées chiffrées ou non.
 L'intervenant a terminé sa présentation en précisant qu'il préfèrait utiliser
 deux équipements distincts, ou à défaut utiliser le "modèle Citrix", à savoir
 les données professionnelles ne sont pas sur l'équipement mais accédées à
 distance.
 
 
 Remoting Android applications for fun and profit
 ------------------------------------------------
 Damien Cauquil & Pierre Jaury

 La seconde conférence de la matinée a été présentée par Damien Cauquil et
 Pierre Jaury. Les intervenants ont commencé par comparer le débogage au
 "remoting" dans un objectif d'ingénierie inverse. Le second fonctionne grâce à
 l'injection d'un service dans le contexte de l'application à analyser. Il a
 pour avantage de ne pas avoir besoin d'activer le débogage par USB, de rooter
 l'appareil et de fournir un accès au niveau composants de l'application
 (méthodes, variables, etc.). Ils ont ensuite présenté les outils qu'ils ont
 développé pour réaliser ces opérations, à savoir : Fino, le service injecté
 dans l'application à analyser, Gadget-client, le shell python permettant
 d'interagir avec Fino et Gadget, l'application Android servant de proxy entre
 Fino et le client. La démonstration de leur outil a été très intéressante, en
 effet ils étaient capables de modifier les variables de l'application très
 simplement pour par exemple tricher dans un jeu. Ils ont également fait une
 démonstration de fuzzing de commandes DTMF (Dual-Tone Multi-Frequency) en
 simulant l'appui sur des touches du téléphone lors d'un appel à la messagerie.

 Les outils sont disponibles sur Github : 
 https://github.com/sysdream/fino
 https://github.com/sysdream/gadget
 https://github.com/sysdream/gadget-client
 
 
 Windows Phone 8 application security : Dmitriy Evdokimov & Andrey Chasovskikh
 ------------------------------------
 
 Dmitriy Evdokimov et Andrey Chasovskikh ont présenté le modèle de sécurité du
 dernier système d'exploitation mobile de Microsoft : Windows Phone 8. Windows
 Phone 8 est composé de deux niveaux de sécurité : "Trusted Computing Base"
 pour le noyau et les pilotes, "Least Privileged Chamber" pour les services,
 applications pré-installées et applications en provenance du magasin
 d'applications. Tout comme Android, Windows Phone 8 utilise un fichier
 (WPAppManifest.xml) contenant les différents droits requis par l'application.
 Les applications sont exécutées dans un bac à sable. Ainsi, la structure du
 système de fichiers est cachée à l'application, cette dernière ayant seulement
 accès à un répertoire lui étant spécifique. Les applications sont signées et
 ne peuvent être associées à certaines extensions ou protocoles de
 communication réservés par le système (msi, cmd, http, tel, etc.).
 Windows Phone 8 est basé sur l'architecture Windows NT contrairement à
 l'ancienne version de Windows Phone qui était basée sur Windows CE. Microsoft
 ne fournit pas les symboles de debogage pour sa plateforme mobile, ainsi les
 conférenciers ont conseillé l'utilisation de "Event Tracing for Windows" pour
 obtenir des informations et analyser des applications. L'ensemble de l'API
 Windows n'est pas accessible aux applications, cependant cela peut être
 détourné en utilisant les fonctions LoadLibraryA et GetProcAddress obtenues en
 parsant la bibliothèque kernel32.dll en mémoire.  Windows Phone 8 propose des
 fonctionnalités de sécurité intéressantes telles que l'isolation du cache du
 clavier entre les applications pour limiter l'impact d'un enregistreur de
 touches ou encore le javascript désactivé par défaut dans le navigateur. Les
 chercheurs ont conclu sur le fait que Windows Phone 8 est plutôt sécurisé,
 même si sa surface d'attaque est plus importante que celle de la précédente
 version de ce système d'exploitation. De plus, l'API de sécurité proposé par
 Microsoft s'avère plus flexible que celle présente sous iOS et plus simple que
 celle d'Anndroid.
 
 
 The security of MDM (Mobile Device Management) systems : Sebastien Andrivet
 ------------------------------------------------------
 
 Sebastien Andrivet a présenté ses recherches sur deux produits de gestion de
 flottes mobiles (Mobile Device Management) : Good et MobileIron. Ces produits
 proposent des fonctionnalités telles qu'un inventaire des équipements, la
 géolocalisation des appareils, la sauvegarde et la mise à jour, le déploiement
 d'application, le verrouillage ou encore la suppression des données à
 distance.
 Bien que ces produits sont censés apporter une sécurité supplémentaire, ils
 souffrent de problèmes de sécurité. Parmi les problèmes de conception et les
 vulnérabilités découvertes, on peut citer la nécessité d'exécuter le service
 d'un des logiciels avec le droit Administrateur alors que le second ne doit
 pas être en déployé en DMZ au risque de perdre l'accès au SAV de l'éditeur.
 L'intervenant a également trouvé des vulnérabilités au niveau de l'interface
 d'administration des produits étudiés, vulnérabilités permettant par exemple
 de supprimer le mot de passe d'un équipement sous IOS via une vulnérabilité de
 type Cross-Site Request Forgery ou encore de donner les droits
 d'administration à un utilisateur arbitraire.  Cette présentation montre bien
 que l'installation de produits de "sécurité" tels que les logiciels de gestion
 de flottes mobiles peuvent introduire des faiblesses au système d'information
 d'une entreprise si le produit n'est pas adapté.
 
 
 Burp pro - Real-Life tips and tricks : Nicolas Grégoire
 ------------------------------------
 
 Nicolas Grégoire a présenté des astuces et donné des conseils sur
 l'utilisation du proxy Burp Suite Pro, outil utilisé par de nombreux
 consultants en sécurité. Il a commencé sa présentation par la visualisation
 des données au sein de l'outil. Burp permet par défaut de visualiser certain
 types de données tels que XML, AMF ou encore ViewState d'ASP, il est cependant
 également possible d'ajouter la visualisation d'autres types de données via des
 extensions (JSON, Javascript, ProtoBuf, etc.).  Burp propose par défaut de
 nombreux raccourcis clavier et permet à l'utilisateur d'en ajouter de nouveaux
 ce qui permet de gagner du temps. Il est également possible de configurer Burp
 pour qu'il sauvegarde automatiquement les requêtes et l'état du proxy, utile
 lorsque l'utilisateur oublie de le faire. Nicolas a également présenté des
 extensions intéressantes pour Burp : "curlit" pour générer la commande curl
 permettant de rejouer une requête HTTP, "Burp Notes" permettant d'écrire et de
 stocker des notes au sein de Burp ou encore WSDL permettant de formatter
 correctement les données XML associées à un service. Le conférencier a
 également montré des exemples intéressants de l'utilisation de la
 fonctionnalité "Intruder" de Burp : attaque par force brute sur de
 l'authentification basique HTTP, modification de jetons au niveau des bits et
 automatisation de la récupération des jetons anti-CSRF. 
 
 
 The inner HTML apocalypse : How MXSS attacks change everything we believed to
 -----------------------------------------------------------------------------
 know so far : Mario Heiderich
 ------------
 
 Mario Heiderich a fait une présentation intéressante sur les vulnérabilités de
 type Cross-Site Scripting ciblant la propriété DOM innerHTML. Cette propriété
 est disponible depuis Internet Explorer 4 publié en 1997. InnerHTML permet
 d'accéder en lecture et en écriture aux différents éléments d'une page HTML.
 Lors de ses recherches, Mario a découvert des comportements étranges
 concernant l'interprétation et le traitement du code fourni à la propriété
 innerHTML par les navigateurs. Par exemple, si le navigateur reçoit "<!HSC"
 en entrée, il completera et interpretera le code suivant : "<!--HSC-->". Il
 est possible de profiter de l'interprétation et de la flexibilité des
 navigateurs pour générer des Cross-Site Scripting. Par exemple,
 "<img src="foo" alt="``onerror=alert(1)" />" sera interprété par Internet
 Explorer 8 et supérieur en "<IMG alt=``onerror=alert(1) src="foo">" ce qui
 aura pour conséquence l'exécution du code Javascript. Mario propose quelques
 recommandations pour s'en protéger comme par exemple l'utilisation du Doctype
 HTML5 (<!doctype html>), l'utilisation de "Content Security Policy", d'éviter
 d'utiliser SVG et MathML et de mettre à jour les navigateurs. 
 
 
 La majorité des supports de présentation sont disponibles sur le site de Hack
 In Paris : http://www.hackinparis.com/talk



--[ 3. Nouveautés du site web HSC ]-------------------------------------

 - Présentation "Menaces et vulnérabilités des SI d'hier et d'aujourd'hui"
   par Hervé Schauer le 5 juin 2013 à la maninée CNIS-Mag à Paris
   http://www.hsc.fr/ressources/presentations/cnis13-pano/

 - Présentation "Introduction à la norme ISO22301 (Système de Management de
   la Continuité d'Activité)" par Hervé Schauer le 21 juin 2013 à la conférence
   RSSIA 2013 à Bordeaux
   http://www.hsc.fr/ressources/presentations/clusiraq13-22301/



--[ 4. Offres d'emploi pour consultants en sécurité ]-------------------

  +------------------------------------------------------------------------+
  | HSC recherche des consultants techniques expérimentés 2 à 6 ans d'exp. |
  +------------------------------------------------------------------------+

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC,
 (intrusion, inforensique, Windows, SCADA, etc) soit 2 à 6 semaines de
 formations suivies dans le cadre de la prise de fonction.

     Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la
 gare Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2), avec
 réfectoire et espace détente. Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ascii (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 5. Agenda des interventions publiques ]-----------------------------

 - 2 juillet 2013 - Matinée Sécurité CNIS-Mag - Paris, Hôtel Intercontinental
   Démonstration "Attaque d'un ordiphone Android"
   Cyril Solomon
http://www.cnis-mag.com/nouveaux-usages-et-protection-du-s-i-panorama-des-menaces-conseils-et-solutions-pour-securiser-un-si-ouvert-2.html

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 6. Prochaines formations HSC ]--------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        ISO 27005 Risk Manager    ..............    : 1 au 3 juillet (#)
        ISO 27001 Lead Implementer    ..........    : 1 au 5 juillet (#)
        ISO 27005 Risk Manager    ..............    : 4 au 6 septembre (#)
        ISO 27001 Lead Auditor    ..............    : 9 au 13 septembre (#)
        Sécurité du WiFi    ....................    : 12 et 13 septembre (*)
        Inforensique Windows (SANS FOR408/GIAC GCFE): 16 au 20 septembre (*)(#)
        ISO 27001 Lead Implementer    ..........    : 16 au 20 septembre (#)
        Formation CISSP    .....................    : 23 au 27 septembre (#)
        ISO 22301 Lead Auditor    ..............    : 23 au 27 septembre (#)
        Correspondant Informatique et Libertés      : 26 et 27 septembre (@)
        Sécurité du Cloud Computing    .........    : 30 septembre au 2 octobre
        Fondamentaux & principes de la SSI 
        (SANS SEC401/GIAC GSEC)   ..............    : 30 sept au 5 oct (*)(#)
        Essentiels de l'ISO22301    ............    : 3 octobre
        Essentiels de l'ISO27001    ............    : 4 octobre
        EBIOS Risk Manager    ..................    : 7 au 9 octobre (#)
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 7 au 11 octobre (*)(#)
        Formation RSSI    ......................    : 7 au 11 octobre
        Protéger les applis web (DEV522 /GIAC GWEB) : 14 au 18 octobre (*)(#)
        ISO 27005 Risk Manager    ..............    : 14 au 16 octobre (#)
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 21 au 25 octobre (*)(#)
        Correspondant Informatique et Libertés      : 24 et 25 octobre (@)
        Rétroingénierie de logiciels malfaisants :
        Outils et techniques d'analyse 
        (SANS FOR610/GIAC GREM)   ..............    : 4 au 8 novembre (*)
        ISO 27001 Lead Implementer    ..........    : 4 au 8 novembre (#)
        Essentiels techniques de la SSI    .....    : 12 et 13 novembre
        PKI : principes et mise en oeuvre    ...    : 12 au 14 novembre (*)
        Essentiels juridiques pour gérer la SSI     : 14 et 15 novembre
        Sécurité SCADA  ........................    : 15 novembre
        Essentiel de PCI-DSS    ................    : 21 novembre
        RGS : la SSI pour le secteur public    .    : 22 novembre
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 18 au 22 novembre (*)(#)
        Formation DNSSEC   .....................    : 28 et 29 novembre (*)
        Tests d'intrusion avancés, exploitation de
        failles et hacking éthique (SEC660/GXPN)    : 25 au 30 novembre (*)(#)
        Correspondant Informatique et Libertés      : 2 et 3 décembre (@)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 2 au 6 décembre (*)(#)
        ISO 22301 Lead Implementer    ..........    : 9 au 13 décembre (#)
        Mesures de sécurité ISO 27002   ........    : 10 et 11 décembre
        Gestion des incidents de sécurité/ISO27035  : 12 décembre
        Indicateurs & tableaux de bord SSI/ISO27004 : 13 décembre
        Risk Manager Avancé    .................    : 19 et 20 décembre
        Techniques de hacking, exploitation de failes
        et gestion des incidents (SEC504/GCIH)      : 16 au 20 décembre (*)(#)
        Inforensique réseau & infrastruct. (FOR558) : 1er semestre 2014 (*)
        Inforensique téléphones/ordiphones (FOR563) : 1er semestre 2014 (*)(#)

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2 ou GIAC
 (@) : formation labellisée par la CNIL (www.cnil.fr)


 - Luxembourg
        ISO 27001 Lead Implementer    ..........    : 14 au 18 octobre (#)
        ISO 27001 Lead Auditor    ..............    : 18 au 22 novembre (#)
        ISO 22301 Lead Implementer    ..........    : février 2014 (#)
        ISO 27005 Risk Manager    ..............    : avril 2013 (#)

 - Le Mans
        Correspondant Informatique et Libertés      : 28 au 29 novembre (@)

 - Lille
        Correspondant Informatique et Libertés      : 2014 (@)

 - Limoges
        Correspondant Informatique et Libertés      : mars 2014 (@)

 - Lyon
        Correspondant Informatique et Libertés      : 19 et 20 sept (@)
        ISO 27005 Risk Manager    ..............    : 2 au 4 octobre (#)
        Essentiels juridiques pour gérer la SSI     : 28 au 29 novembre
        ISO 27001 Lead Implementer    ..........    : 2ième trimestre 2014

 - Marseille
        ISO 22301 Lead Implementer    ..........    : 4ieme trimestre 2014 (#)
        Correspondant Informatique et Libertés      : mars 2014 (@)

 - Montpellier
        Correspondant Informatique et Libertés      : 17 et 18 octobre 2013 (@)

 - Nancy
        Correspondant Informatique et Libertés      : mi-2014 (@)

 - Nantes
        Correspondant Informatique et Libertés      : mai 2014 (@)

 - Nice
        Correspondant Informatique et Libertés      : 12 et 13 septembre (@)
        ISO 27005 Risk Manager    ..............    : juin 2014 (#)

 - Pau
        Correspondant Informatique et Libertés      : mai 2014 (@)

 - Poitiers
        Correspondant Informatique et Libertés      : 27 et 28 juin (@)

 - Reims
        Correspondant Informatique et Libertés      : 21 et 22 novembre (@)

 - Rennes
        Essentiels juridiques pour gérer la SSI     : 12 et 13 décembre
        Correspondant Informatique et Libertés      : juin 2014 (@)

 - Strasbourg
        Correspondant Informatique et Libertés .    : juin 2014 (@)

 - Toulouse
        Essentiels juridiques pour gérer la SSI     : 8 et 9 octobre
        Correspondant Informatique et Libertés .    : 19 et 20 décembre (@)
        ISO 27005 Risk Manager    ..............    : mai 2014 (#)
        ISO 27001 Lead Implementer    ..........    : juin 2014 (#)
        ISO 27001 Lead Auditor    ..............    : juin 2015 (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Moody sur
 ses formations.

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704

 Retrouvez les tarifs des formations dans la Newsletter n° 64 de janvier 2010
 au chapitre 6 : http://www.hsc-news.com/archives/2010/000064.html

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2012 en PDF sur http://www.hsc-formation.fr/



--[ 7. Actualité des associations : Club 27001 et OSSIR ]-----------------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris le mercredi 19 septembre 2013 avec
       l'assemblée générale annuelle.
          - Programme en cours d'élaboration
     . Prochaine réunion à Toulouse le jeudi 4 juillet à 13h45 chez CS-SI
          - Débat sur la vie privée à l'horizon 2020
     . Prochaines réunions à Marseille, Rennes et Lyon annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 9 juillet à 14h00 à l'INRIA 13ième
           - Titre en cours de confirmation, par Bernard Montel (RSA)
           - Sécurité des accessoires Apple par Mathieu Renard (Sogeti)
           - Revue d'actualité par Nicolas Ruff (EADS)
     . Réunion suivante à Paris le mardi 10 septembre 2013
     . Réunion suivante à Paris le mardi 8 octobre 2013
     . Prochaine réunion à Rennes jeudi 27 septembre 2013
     . Prochaine réunion à Toulouse mardi 17 septembre 2013
     . JSSI de l'OSSIR le lundi 17 mars 2014, réservez votre date, les
       GS-DAYS suivront le 18 mars 2014 (www.gsdays.fr).







Plus d'informations sur la liste de diffusion newsletter