[Newsletter HSC] N°109 - Septembre 2013

Newsletter d'information de HSC newsletter at hsc-news.com
Lun 2 Sep 15:45:49 CEST 2013


========================================================================
              HSC Newsletter  --  N°109 --  septembre 2013
========================================================================





     « Le pot-de-vin est une sorte de vaso-dilatateur de la conscience
       politique qui provoque très rapidement un regain d'intérêt chez
       ceux à qui on l'administre. »



                                             [ Jacques Mailhot ]




--[ Sommaire ]----------------------------------------------------------

      1. Éditorial
      2. Le saviez-vous ? La question
      3. Formation certifiante SANS FOR408 Inforensique
      4. Formation certifiante EBIOS Risk Manager
      5. Offres d'emploi pour consultants
      6. Agenda des interventions publiques
      7. Prochaines formations HSC
      8. Actualité des associations : Club 27001 et OSSIR
      9. Le saviez-vous ? La réponse



--[ 1. Éditorial - Hervé Schauer ]--------------------------------------


     La SSI est en train de perdre ce qu'elle a de plus précieux: l'expertise.

     Il faut le dire, car il est encore temps d'éviter un véritable échec de
 notre profession, échec qui serait d'autant plus cuisant qu'il ne serait
 pas le premier. Le marché de la SSI doit se réveiller pour sauver
 l'expertise indispensable à la mise en oeuvre des politiques de sécurité,
 qui, mine de rien, participent aux équilibres de la société.

     Aujourd'hui, les enjeux de la sécurité des systèmes d'information sont
 mieux compris par certains dirigeants qu'auparavant. Avec les incidents
 qui se multiplient, l'actualité grand public montre aussi une sensibilité
 au sujet de plus en plus grande. Dans le même temps, la sécurité des
 systèmes d'information se révèle de plus en plus complexe techniquement.
 Ce mouvement s'accompagne-t-il pour autant d'une montée en compétence et
 en expertise des consultants en sécurité informatique ? Non. Il s'agit
 pourtant d'un domaine majeur pour les ingénieurs.

 Dans les faits, la sécurité se banalise, sous couvert de "professionnalisme"
 ou encore de "maturité". Les sociétés de conseil et d'audit en sécurité
 ne sont plus des "amateurs" hyper compétents, mais des "professionnels",
 qui pilotent par la marge et exploitent surtout l'incompétence des
 consommateurs de SSI. Quel responsable en sécurité comprend encore à quoi
 sert l'expertise ?

 La sécurité consiste aujourd'hui à intégrer, à empiler les produits, à
 faire de la supervision, du pilotage, et des tableaux de bord... La
 véritable expertise est morte, vive l'expertise en tableaux de bord. Peu
 importe que le produit serve à réduire les risques, ce n'est pas
 l'objectif, peu importe qu'il détecte les logiciels malfaisants, ce qui
 compte, c'est que les tableaux de bord soient "jolis" et démontrent
 l'intérêt, parfois hypocrite, porté à la sécurité, dans le seul but de
 pouvoir montrer, en cas d'incident, que l'on avait pris "les
 précautions nécessaires". Cela pourrait bien expliquer pourquoi les
 budgets dépensés dans ces produits empilés représentent cent fois le
 budget dépensé en expertise.

 Le consultant lui-même n'est plus un expert, mais un produit, vendu en
 gros, à coup de contrats qui valent dix fois les forfaits d'expertise.
 Ce "consultant" analyse des données, investigue des PC pour rien,
 et a finalement perdu toute curiosité ou passion pour le sujet.

 Combien de pilotes d'audits de sécurité comprennent le fond ?
 Très peu. La plupart ne commentent que sur la forme et seuls quelques uns
 seraient effectivement capables de réaliser l'audit qu'ils pilotent. Et
 dans l'équilibre des forces, il y a maintenant bien plus de pilotes d'audit
 de sécurité que d'experts en sécurité, à l'exception notable de l'ANSSI qui
 emploie aujourd'hui beaucoup de vrais experts.

 Or, celui qui réduit les risques, fait combler les trous et corriger les
 failles, c'est l'expert en SSI. Lui seul possède la connaissance
 et la capacité de réflexion indispensables. Il se met véritablement dans
 la peau de la personne malveillante, et il n'y a qu'ainsi que la sécurité
 progresse. L'expert est quotidiennement à l'écoute, au courant.
 Il est nécessairement motivé et passionné. Cette fulgurance technologique
 est commune à toutes les niches et n'est pas spécifique à la SSI.
 L'expert se forme et se certifie, il suit et donne des conférences,
 démontrant ainsi sa volonté de se maintenir au meilleur niveau
 et de partager son expertise et son expérience.

 Pour éviter un nouvel échec de la SSI, il faut vraiment que nous redonnions
 à l'expertise une place de choix, sans quoi notre métier risque petit-à-petit
 de disparaître.



--[ 2. Le saviez-vous ? La question ]-----------------------------------

    Lors d'un audit de code PHP, il est possible d'observer un code similaire
 au code suivant :

 <?php
 session_start();
 echo htmlspecialchars($_POST['data']);
 $_SESSION['admin'] = 1;

 if ($_GET['somevariable'] != 'somesecret') {
   echo "you are not allowed here";
   $_SESSION['admin'] = 0;
 }
 ?>

 Savez vous pourquoi ce code est une mauvaise idée ?


     Réponse au paragraphe 9.



--[ 3. Formation SANS FOR408 Inforensique Windows ]---------------------

     HSC propose la formation SANS FOR408 "Inforensique Windows " du 16
 au 20 septembre prochain. Cette formation s'adressant à un public
 limité, elle n'est dispensée qu'une seule fois par an et la prochaine
 session sera en 2014. Il faut donc profiter de la session de septembre !

     La formation FOR408 est la formation de base pour aborder
 l'investigation numérique. Elle est un préalable pour suivre ensuite les
 autres formations plus avancées de SANS comme la formation FOR508.

 Durant cinq jours, vous allez apprendre à :
     - Mener à bien des études inforensiques de systèmes Windows
     - Collecter et analyser l'information se trouvant sur les systèmes
       informatiques pour retrouver les traces des activités d'utilisateurs
     - Réaliser des acquisitions de média et analyses de données
     - Utiliser les outils inforensiques

 Cette formation prépare à la certification GIAC Certified Forensic Examiner :
 GCFE (http://www.giac.org/certification/certified-forensic-examiner-gcfe).

 Cette formation inclut des travaux pratiques avec un ordinateur par stagiaire.

 Tous les détails, objectifs, plan détaillé, etc, sont disponibles sur :
 http://www.hsc-formation.fr/formations/for408_forensic_windows.html.fr

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704



--[ 4. Formation EBIOS Risk Manager ]-----------------------------------

     HSC propose la formation EBIOS Risk Manager du 7 au 9 octobre prochain.
 Celle-ci permet d'acquérir la nouvelle certification EBIOS Risk Manager
 lancée par LSTI (http://www.lsti-certification.fr/).

 EBIOS (Etude des Besoins et Identification des Objectifs de Sécurité) s'est
 imposée comme la méthodologie phare en France pour apprécier les risques,
 particulièrement dans le secteur public. EBIOS permet d'identifier les
 risques d'un système en construction ou d'un projet et demeure idéale pour
 la rédaction de cahier des charges.
 EBIOS est recommandée par l'ANSSI pour l'élaboration de PSSI et schéma
 directeur, pour l'homologation de téléservice dans le cadre du RGS, et
 dans le guide GISSIP.
 EBIOS est recommandée par la CNIL pour réaliser des analyses d'impacts sur les
 données nominatives (PIA ou Privacy Impact Assessment).

 Durant trois jours, vous allez apprendre à :
     - Appréhender la méthode EBIOS 2010 et ses différents cas d'utilisation
     - Maîtriser la construction d'un processus de gestion des risques
     - Piloter, réaliser et mener à bien une appréciation des risques EBIOS

 Cette formation inclut des travaux pratiques en petit groupe.

 Tous les détails, objectifs, formateurs, plan détaillé, etc, sont disponibles
 sur : http://www.hsc-formation.fr/formations/ebios-risk-manager.html

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704



--[ 5. Offres d'emploi pour consultants en sécurité ]-------------------

  +------------------------------------------------------------------------+
  | HSC recherche des consultants techniques expérimentés 2 à 6 ans d'exp. |
  +------------------------------------------------------------------------+

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC,
 (intrusion, inforensique, Windows, SCADA, etc) soit 2 à 6 semaines de
 formations suivies dans le cadre de la prise de fonction.

     Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la
 gare Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2), avec
 réfectoire et espace détente. Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ascii (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 6. Agenda des interventions publiques ]-----------------------------

 - 17 septembre 2013 - Conférence RGS - Paris Arpège Trocadéro, organisée
   par Liquid Nexxus
   "Qualification des prestataires en sécurité."
   Hervé Schauer
   http://www.liquid-nexxus.com/en/schedule/next/rgs-paris-2013/

 - 18 septembre 2013 - Club 27001 - Paris
   "Comparatif de la nouvelle ISO27001:2013 avec la version 2005"
   Béatrice Joucreau
   http://www.club-27001.fr/

 - 24 septembre 2013 - Afterworks Athena Global Services - Paris, Musée du vin
   "Politique de sécurité et outils techniques"
   Hervé Schauer

 - 16 octobre 2013 - Conférence SecureParis 2013 - Paris Hôtel Intercontinental
   organisée par ISC2
   "Comment gérer les problèmes de sécurité SCADA ?"
   Hervé Schauer
   https://www.isc2.org/EventDetails.aspx?id=10819

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 7. Prochaines formations HSC ]--------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        ISO 27005 Risk Manager    ..............    : 4 au 6 septembre (#)
        ISO 27001 Lead Auditor    ..............    : 9 au 13 septembre (#)
        Sécurité du WiFi    ....................    : 12 et 13 septembre (*)
        Inforensique Windows (SANS FOR408/GIAC GCFE): 16 au 20 septembre (*)(#)
        ISO 27001 Lead Implementer    ..........    : 16 au 20 septembre (#)
        Formation CISSP    .....................    : 23 au 27 septembre (#)
        ISO 22301 Lead Auditor    ..............    : 23 au 27 septembre (#)
        Correspondant Informatique et Libertés      : 26 et 27 septembre (@)
        Sécurité du Cloud Computing    .........    : 30 septembre au 2 octobre
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 30 sept au 5 oct (*)(#)
        Essentiels de l'ISO22301    ............    : 3 octobre
        Essentiels de l'ISO27001    ............    : 4 octobre
        EBIOS Risk Manager    ..................    : 7 au 9 octobre (#)
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 7 au 11 octobre (*)(#)
        Formation RSSI    ......................    : 7 au 11 octobre
        ISO 27001 Lead Implementer    ..........    : 14 au 18 octobre (#)
        Protéger les applis web (DEV522 /GIAC GWEB) : 14 au 18 octobre (*)(#)
        ISO 27005 Risk Manager    ..............    : 14 au 16 octobre (#)
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 21 au 25 octobre (*)(#)
        Correspondant Informatique et Libertés      : 24 et 25 octobre (@)
        Rétroingénierie de logiciels malfaisants :
        Outils et techniques d'analyse
        (SANS FOR610/GIAC GREM)   ..............    : 4 au 8 novembre (*)
        ISO 27001 Lead Implementer    ..........    : 4 au 8 novembre (#)
        Essentiels techniques de la SSI    .....    : 12 et 13 novembre
        PKI : principes et mise en oeuvre    ...    : 12 au 14 novembre (*)
        Essentiels juridiques pour gérer la SSI     : 14 et 15 novembre
        Sécurité SCADA  ........................    : 15 novembre
        Essentiel de PCI-DSS    ................    : 21 novembre
        RGS : la SSI pour le secteur public    .    : 22 novembre
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 18 au 22 novembre (*)(#)
        Formation DNSSEC   .....................    : 28 et 29 novembre (*)
        Tests d'intrusion avancés, exploitation de
        failles et hacking éthique (SEC660/GXPN)    : 25 au 30 novembre (*)(#)
        Correspondant Informatique et Libertés      : 2 et 3 décembre (@)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 2 au 6 décembre (*)(#)
        ISO 22301 Lead Implementer    ..........    : 9 au 13 décembre (#)
        Mesures de sécurité ISO 27002   ........    : 10 et 11 décembre
        Gestion des incidents de sécurité/ISO27035  : 12 décembre
        Indicateurs & tableaux de bord SSI/ISO27004 : 13 décembre
        Risk Manager Avancé    .................    : 19 et 20 décembre
        Techniques de hacking, exploitation de failes
        et gestion des incidents (SEC504/GCIH)      : 16 au 20 décembre (*)(#)
        Inforensique réseau & infrastruct. (FOR558) : 1er semestre 2014 (*)
        Inforensique téléphones/ordiphones (FOR563) : 1er semestre 2014 (*)(#)

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2 ou GIAC
 (@) : formation labellisée par la CNIL (www.cnil.fr)


 - Luxembourg
        ISO 27005 Risk Manager    ..............    : 18 au 20 octobre (#)
        ISO 27001 Lead Auditor    ..............    : 18 au 22 novembre (#)
        ISO 22301 Lead Implementer    ..........    : 16 au 20 juin 2014 (#)
        ISO 27001 Lead Implementer    ..........    : 27 au 31 octobre 2014 (#)

 - Lille
        Correspondant Informatique et Libertés      : 2014 (@)

 - Limoges
        Correspondant Informatique et Libertés      : mars 2014 (@)

 - Lyon
        Correspondant Informatique et Libertés      : 19 et 20 sept (@)
        ISO 27005 Risk Manager    ..............    : 2 au 4 octobre (#)
        Essentiels juridiques pour gérer la SSI     : 28 au 29 novembre
        ISO 27001 Lead Implementer    ..........    : 2ième trimestre 2014

 - Marseille
        ISO 22301 Lead Implementer    ..........    : 4ieme trimestre 2014 (#)
        Correspondant Informatique et Libertés      : mars 2014 (@)

 - Montpellier
        Correspondant Informatique et Libertés      : 17 et 18 octobre 2013 (@)

 - Nancy
        Correspondant Informatique et Libertés      : mi-2014 (@)

 - Nantes
        Correspondant Informatique et Libertés      : mai 2014 (@)

 - Nice
        Correspondant Informatique et Libertés      : 12 et 13 septembre (@)
        ISO 27005 Risk Manager    ..............    : juin 2014 (#)

 - Pau
        Correspondant Informatique et Libertés      : mai 2014 (@)

 - Poitiers
        Correspondant Informatique et Libertés      : juin 2014 (@)

 - Reims
        Correspondant Informatique et Libertés      : 21 et 22 novembre (@)

 - Rennes
        Essentiels juridiques pour gérer la SSI     : 12 et 13 décembre
        Correspondant Informatique et Libertés      : juin 2014 (@)

 - Strasbourg
        Correspondant Informatique et Libertés .    : juin 2014 (@)

 - Toulouse
        Essentiels juridiques pour gérer la SSI     : 8 et 9 octobre
        Correspondant Informatique et Libertés .    : 19 et 20 décembre (@)
        ISO 27005 Risk Manager    ..............    : mai 2014 (#)
        ISO 27001 Lead Implementer    ..........    : juin 2014 (#)
        ISO 27001 Lead Auditor    ..............    : juin 2015 (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Moody sur
 ses formations.

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704

 Retrouvez les tarifs des formations dans la Newsletter n° 64 de janvier 2010
 au chapitre 6 : http://www.hsc-news.com/archives/2010/000064.html

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2012 en PDF sur http://www.hsc-formation.fr/



--[ 8. Actualité des associations : Club 27001 et OSSIR ]-----------------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris le mercredi 18 septembre 2013 avec
       l'assemblée générale annuelle qui suivra la réunion.
          - Comparatif de la nouvelle ISO27001:2013 avec la version 2005
            par Béatrice Joucreau (HSC)
          - Comparatif de la nouvelle ISO27002:2013 avec la version 2005
            par Claire Carré (Solucom)
          - Points divers
     . Prochaine réunion à Toulouse le jeudi 4 juillet à 13h45 chez CS-SI
          - Débat sur la vie privée à l'horizon 2020
     . Prochaines réunions à Marseille, Rennes et Lyon annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 10 septembre 2013 à l'INRIA
         - Recherche de vulnérabilités Web avec HTTPCS par
           Mohammed Boumediane (HTTPCS)
         - Optimisation des règles de pare-feu par
           Jean-Michel Tavernier (TUFIN)
         - Revue d'actualité par Nicolas Ruff (EADS)
     . Réunion suivante à Paris le mardi 8 octobre 2013
         - La cybersécurité vue des USA par Renaud Deraison (Tenable)
         - BYOD: Bring Your Own Deception ? par Antoine Durand
           (Oxylane, groupe Decathlon)
         - Revue d'actualité par Nicolas Ruff (EADS)
     . Prochaine réunion à Rennes jeudi 26 septembre 2013 à Beaulieu bât 12d
         - Investigation numérique Open-Source par Frédéric Baguelin (Arxys)
         - Le futur des mécanismes de contrôle d'accès du noyau Linux
            par Samir Bellabes, dynamics-network.com
     . Prochaine réunion à Toulouse mardi 17 septembre 2013
         - La sécurité d'IPv6 par Stéphane Bortzmeyer (AFNIC)
     . JSSI de l'OSSIR le lundi 17 mars 2014, réservez votre date, les
       GS-DAYS suivront le 18 mars 2014 (www.gsdays.fr).



--[ 9. Le saviez-vous ? La réponse ]-------------------------------------

    La vulnérabilité se trouve dans la façon dont PHP gère la méthode HTTP
 "HEAD".  Cette méthode HTTP est utilisée pour obtenir uniquement les en-têtes
 qui seraient renvoyés par la page sans son contenu complet.

 Pour décider quand il est possible de renvoyer ces en-têtes, PHP attends de
 recevoir les premières données de la part du script exécuté. Quand ces données
 sont reçues, le script est arrêté et les en-têtes sont envoyés.

 Le fonctionnement exact va dépendre de la variable output_buffering. Lorsque
 celle ci est à "Off" le premier octet reçu provoquera la fin de l'exécution du
 script.  Si elle est à On c'est au bout de 4096 octets que le script se
 terminera. Il est aussi possible de définir une valeur personnalisée en
 indiquant un entier au lieu de "On" ou "Off". Le détail est fourni sur la
 page suivante : http://php.net/manual/en/outcontrol.configuration.php.

 Ainsi, pour obtenir une session administrateur dans le script précédent, il
 faut provoquer un arrêt de l'exécution du script lors de l'affichage du
 message "you are not allowed here". Pour ce faire, il suffit d'envoyer dans la
 variable POST "data" suffisament de données en fonction de la configuration de
 output_buffering :
  - si output_buffering est à "Off" il ne faut envoyer aucune donnée;
  - si output_buffering est à "On" il faut envoyer une chaîne d'environ 4095
    octets;
  - si output_buffering est à une valeur entière n, il faut envoyer une chaîne
    de n-1.

 Il est évidemment possible d'envoyer des chaînes de caractères un peu plus
 petites à chaque fois. L'important étant que l'affichage de "you are not
 allowed here" provoque le remplissage complet du tampon.

 De cette façon à la fin de l'exécution du script notre session sera considérée
 comme étant "administrative".

    Lors des audits de code PHP il est ainsi important de vérifier qu'il
 n'existe pas de problèmes lorsqu'un script s'arrête au milieu de son
 exécution. Si de tels cas existent, cette astuce peut alors se révéler très
 utile car il est courant de pouvoir contrôler une partie du contenu de la page
 pour choisir quand le script s'arrête.



Plus d'informations sur la liste de diffusion newsletter