[Newsletter HSC] N°111 - Novembre 2013

Newsletter d'information de HSC newsletter at hsc-news.com
Lun 4 Nov 16:58:04 CET 2013


========================================================================
              HSC Newsletter  --  N°111 --  novembre 2013
========================================================================





     « Le succès n'est pas définitif, l'échec n'est pas fatal : ce qui compte,
       c'est d'avoir le courage de continuer »


                                             [ Winston Churchill ]



--[ Sommaire ]----------------------------------------------------------

      1. Éditorial "ISO27001:2013"
      2. Le saviez-vous ? La question
      3. Stand HSC à la matinée CNIS-Mag mardi 5 novembre
      4. Appel à communication : Conférence JSSI de l'OSSIR
      5. Appel à communication : Conférence annuelle du Club 27001
      6. Appel à communication : Conférence GS-Days
      7. Nouveautés du site web HSC
      8. Offres d'emploi pour consultants
      9. Agenda des interventions publiques
     10. Prochaines formations HSC
     11. Actualité des associations : Club 27001 et OSSIR
     12. Le saviez-vous ? La réponse



--[ 1. Éditorial "ISO27001:2013" - Julien Levrard ]---------------------

     Choisir son RSSI à l'aide du sommaire de la nouvelle ISO 27001

     La norme ISO/IEC 27001:2013 a été publiée le 1er octobre. La sécusphère
 a évidemment déjà commencé l'analyse détaillée et la communication sur les
 scandaleuses nouveautés de la norme comme la suppression de l'étude des
 menaces et des vulnérabilités, l'absence de gestion des incidents dans les
 clauses obligatoires ou les mesures ajoutées et supprimées de l'annexe A.
 Dans les mois à venir, les responsables, consultants, auditeurs et autres
 experts du sujet confronteront ces nouveautés à l'épreuve du terrain, ce
 qui nous permettra de forger un jugement définitif sur la nouvelle norme.
 En attendant, concentrons-nous aujourd'hui sur le principal intéressé,
 souvent responsable du SMSI, le RSSI et sur ce que la nouvelle norme peut
 nous apprendre sur lui.

     L'alignement de la norme ISO 27001 sur le modèle générique des normes
 de système de management ("App. 2 de l'Annexe SL des directives ISO,
 partie 1" pour les acharnés) rend la norme presque agréable à lire mais
 lui fait également perdre beaucoup de son caractère. Dans le texte des
 clauses 4 à 10, obligatoires pour faire certifier son SMSI, 25% seulement
 traitent spécifiquement de sécurité de l'information quand les 75% restant
 traitent du management en général.

     D'après l'ISO27001:2013, le RSSI semblerait donc être avant tout un
 manager et les bonnes pratiques de gestion, indépendamment de toute notion
 de sécurité, s'imposent à lui. Le RSSI doit comprendre le contexte et les
 parties prenantes de l'organisation, le fonctionnement de la structure et
 les leviers du changement, cultiver la relation avec le top management en
 comprenant ses attentes et en fournissant un reporting adapté, gérer ses
 ressources et notamment les prestataires et fournisseurs, documenter ses
 processus, évaluer leurs performances par des indicateurs et des audits et
 les améliorer.

     Les paragraphes spécifiques à la sécurité de l'information concernent
 l'appréciation des risques en sécurité de l'information et la mise en oeuvre
 du plan de traitement des risques, soit l'âme d'un SMSI. Au delà de son
 rôle de manager, pour mener à bien sa mission, le RSSI doit donc avoir une
 compréhension fine des métiers et du système d'information, une bonne dose
 d'expertise pour identifier les risques et les mesures de sécurité adaptées
 et la capacité à conduire leur mise en oeuvre.

     Doit-on en déduire que la répartition idéale des compétences du RSSI est
 à 75% managériales et 25% sécurité ? La norme a pour objectif d'être
 applicable à tout type d'organisation et ne prend position ni sur
 l'organisation à mettre en oeuvre ni sur le RSSI auquel elle ne fait
 d'ailleurs pas référence.

     La complexité de la structure de l'organisation, la technicité des
 métiers et du système d'information et l'importance des mesures de sécurité
 dans la création de valeur imposeront évidemment de faire pencher la
 balance d'un coté ou de l'autre pour trouver le RSSI idéal mais curieusement
 la nouvelle ISO 27001 reflète plutôt bien la réalité.



--[ 2. Le saviez-vous ? La question ]-----------------------------------

 Avec l'avènement de l'HTML5, plusieurs méthodes de stockage d'informations
 sont possibles sur la machine cliente. Le code ci-dessous comporte deux
 vulnérabilités mettant en péril la confidentialité des données de
 l'utilisateur.  Saurez-vous les retrouver ?


 <!DOCTYPE HTML>
 <html>
 <head>
   <script>

   // create namespace
   var lsv = {};
   lsv.webdb = {};

   // database opening
   lsv.webdb.db = null;

   lsv.webdb.open = function() {
     var dbSize = 5 * 1024 * 1024; // 5MB
     lsv.webdb.db = openDatabase("LSV", "1.0", "Le Saviez Vous", dbSize);
   }

   lsv.webdb.onError = function(tx, e) {
     alert("There has been an error: " + e.message);
   }

   lsv.webdb.onSuccess = function(tx, r) {
     lsv.webdb.getData(loadData);
   }


   // create the table
   lsv.webdb.createTable = function() {
     var db = lsv.webdb.db;
     db.transaction(function(tx) {
       tx.executeSql("CREATE TABLE IF NOT EXISTS private(
              ID INTEGER PRIMARY KEY ASC, my_secret TEXT)", []);
       tx.executeSql("CREATE TABLE IF NOT EXISTS public(
              ID INTEGER PRIMARY KEY ASC, message TEXT)", []);
     });
   }

   // insert data in DBs
   lsv.webdb.insertData = function() {
     var db = lsv.webdb.db;
     db.transaction(function(tx){
       var addedOn = new Date();
       tx.executeSql("INSERT INTO private(my_secret) VALUES ('secret1')", []);
       tx.executeSql("INSERT INTO private(my_secret) VALUES ('secret2')", []);
       tx.executeSql("INSERT INTO public(message) VALUES ('msg1')", []);
       tx.executeSql("INSERT INTO public(message) VALUES ('msg2')", []);
      });
   }

   // get data
   lsv.webdb.getData = function(renderFunc) {
     var db = lsv.webdb.db;
     db.transaction(function(tx) {
       tx.executeSql("SELECT * FROM public", [], renderFunc,
                             lsv.webdb.onError);
     });
   }

   // select message
   lsv.webdb.selectMessage = function(renderFunc, msgId) {
     var db = lsv.webdb.db;
     db.transaction(function(tx) {
       tx.executeSql("SELECT * FROM public WHERE ID="+msgId, [], renderFunc,
                             lsv.webdb.onError);
     });
   }

  // load data
  function loadData(tx, rs) {
    var rowOutput = "";
    var dataItems = document.getElementById("dataItems");
    for (var i=0; i < rs.rows.length; i++) {
      rowOutput += renderData(rs.rows.item(i));
    }
    dataItems.innerHTML = rowOutput;
  }

  function renderData(row) {
    return "<li>" + row.message + "</li>";
  }

  function searchMessage() {
    var msgId = document.getElementById('msgId');
    lsv.webdb.selectMessage(loadData, msgId.value);
    msgId.value = "";
  }

  function init() {
    lsv.webdb.open();
    lsv.webdb.createTable();
    lsv.webdb.insertData();
    lsv.webdb.getData(loadData);
  }
  </script>
 /head>

 body onload="init()">

  <h1>LSV</h1>

  <?php
    echo "Bonjour ".$_GET['name']." !";
  ?>

  Données publiques :
  <ul id="dataItems">
  </ul>
  <form type="post" onsubmit="searchMessage(); return false;">
    <input type="text" id="msgId"/>
    <input type="submit" value="Select message"/>
  </form>
 /body>
 /html>



     Réponse au paragraphe 12.


--[ 3. Stand HSC à la matinée CNIS-Mag mardi 5 novembre ]---------------

     HSC sera présent demain mardi 5 novembre à la matinée CNIS-Mag
 "Big Data, Cloud et Virtualisation : quelle sécurité ?", à l'Hôtel
 Intercontinental, 64 Avenue Marceau, 75008 Paris.
 Venez rencontrer Jean-Jacques Cayet et Lynda Benchikh sur notre stand.
 Inscription gratuite sur :
 http://www.cnis-mag.com/inscription-cnis-event



--[ 4. Appel à communication : Conférence JSSI de l'OSSIR ]-------------

     Participez à la JSSI 2014 (Journée de la Sécurité des Systèmes
 d'Information 2014, un événement sécurité organisé par l'OSSIR
 (Observatoire de la Sécurité des Systèmes d'Information et des Réseaux),
 qui se déroulera le lundi 17 mars 2014 de 8h30 à 17h30 à la Maison des
 Associations (MAS), 10 Rue des Terres au Curé, 75013 Paris

 Le choix de cette date vous permet de combiner votre visite avec la
 conférence GS-Days du 18 mars.

 Le thème central retenu pour la JSSI 2014 est :
     "Est-il encore possible de se protéger ?"

 La durée des interventions sera de 45 minutes (questions incluses). La
 journée de la sécurité des systèmes d'information s'articulera autour de
 conférences et de retours d'expériences dans le domaine de la sécurité
 des systèmes et des réseaux.
 Seront privilégiées les propositions techniques et juridiques, issues
 d'une expérience concrète et/ou provenant de technologies innovantes.

 Les sujets suivants pourront être abordés :
     - 'Cloud Computing' et services en ligne
     - BYOD
     - Sécurité chez les prestataires / hébergeurs / intégrateurs
     - Confiance dans les logiciels
     - Sécurité matérielle
     - Backdoors
     - Protection des contenus numériques
     - Anonymat et vie privée

     Des propositions d'intervention portant sur ces différents aspects de la
 sécurité sont sollicitées pour la JSSI 2014. Les interventions pourront
 inclure la présentation d'une démarche, d'une technique ou d'une
 solution de sécurité répondant à une problématique d'entreprise et être
 illustrées d'une expérience pratique de mise en oeuvre. Toute
 présentation strictement commerciale sera refusée.

     Les propositions d'intervention, en français ou en anglais, précisant le
 sujet et le plan sur une page, doivent être accompagnées de quelques
 transparents et d'une brève biographie de l'auteur. Envoyez vos
 propositions dans l'un des formats : texte simple, PDF ou HTML, par
 e-mail à l'adresse : jssi14 at ossir.org

     Dates limites :
 06/01/2014 : Proposition d'intervention
 20/01/2014 : Notification aux conférenciers des interventions retenues
 17/03/2014 : Conférence

     Conférence organisée par l'OSSIR - Observatoire de la Sécurité des
 Systèmes d'Information et des Réseaux - Association loi 1901
 http://www.ossir.org



--[ 5. Appel à communication : Conférence annuelle du Club 27001 ]------
     
     Le Club 27001 (http://www.club-27001.fr/), association à but non
 lucratif, organise à Paris le mardi 18 mars 2014 sa sixième conférence
 annuelle autour des usages des normes ISO 2700X. Cette conférence se
 déroulera à Paris à l'espace Saint-Martin dans le cadre des
 GS-DAYS (http://www.gsdays.fr).

 La conférence annuelle du Club 27001 privilégie les retours d'expérience
 dans l'utilisation des normes de la série ISO 27000, qu'il s'agisse de la
 mise en oeuvre d'une des normes, de leur usage y compris sans certification,
 des difficultés rencontrées et des intérêts perçus.

     Voici les thèmes sur lesquels nous attendons des propositions, sans
 que ceux-ci soient exhaustifs :

  - Mise en oeuvre d'un SMSI
     . Retour d'expérience
     . Reprise de l'existant
     . Comment engager sa direction générale
     . Comment surmonter la peur du SMSI
  - Gestion des risques liés à la sécurité de l'information
     . Retour d'expérience de mise en oeuvre de l'ISO 27005
     . Technique d'entretien et d'implication des métiers
     . Échelles et calcul du risque
     . Interactions avec les autres gestions des risques : opérationnels,
       industriels, CHSCT, financiers, etc.
     . Intérêts de l'ISO 27005 dans les projets, les systèmes embarqués, etc.
     . Usage d'ISO27005 vs usage d'EBIOS, de Mehari ou de RiskIT
  - Versions 2013 des normes ISO 27001 et ISO 27002
  - Audits internes
     . Mise en place d'audits internes pour le SMSI
     . Mutualisation des audits internes ISO 27001 (avec ISO 9001, etc.)
     . Utilisation de l'ISO 19011 et ISO 27006
  - Gestion des incidents liés à la sécurité
     . Retours d'expérience
     . Usage de l'ISO 27035
     . Liens avec d'autres référentiels (NIST SP800-61rev1, etc.)
  - Indicateurs, métriques et tableaux de bord
     . Retours d'expérience
     . Usage de l'ISO 27004
     . Liens avec d'autres référentiels (TBSSI de l'ANSSI, NIST SP800-50, etc.)
  - Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
     . Gouvernance de la SSI, de la sécurité en général, de l'IT, du management
       des risques
     . Systèmes de Management Intégrés (ISO 9001, 14001, 20000-1, etc.) avec
       ISO 27001
     . Mutualisation, opposition, complémentarité, déclencheur, etc.
     . Cohabitation ISO 27001 et ISO 20000-1 / ITIL (services informatiques),
       ISO 27013
     . Coordination entre la SSI (ISO 27001) et la continuité d'activité :
       ISO 22301 (SMCA), ISO 27031 et ISO 22313 (ex-BS25599)
     . CobiT (audit informatique, contrôle interne)
     . Utilisations d'ISO 27001 dans le cadre ou en concomitance avec d'autres
       référentiels de sécurité : RGS, PCI DSS, SoX, Bâle II/Solvency II,
       hébergeur de données de santé, ARJEL, WLA, etc.
     . Applications sectorielles de l'ISO 27001 : télécommunications,
       santé (27011, 27799, etc)
  - Certification ISO 27001 et audits de SMSI
     . Retour d'expérience des accréditeurs, des organismes de certification,
       des auditeurs et des audités
     . Contrôle de l'appréciation des risques
     . Interprétations de la Déclaration d'Applicabilité
     . Mise à jour des normes d'audit et de certification (ISO 19011,
       ISO 17021, ISO 27006)

     Les propositions doivent faire part d'un retour d'expérience pratique,
 et ne doivent pas être la présentation d'une offre de service, d'un
 produit ou plus généralement d'une solution commerciale. Le comité de
 programme sera sensible à l'aspect pratique des propositions. Cependant, les
 propositions présentant une analyse ou un comparatif fondé sur des tests
 scientifiques pourraient être acceptées.

 Les présentations feront de 35 à 45 minutes et seront en français ou en
 anglais.

 Contenu des soumissions à envoyer à conference at club-27001.fr :
    - Nom de l'auteur, biographie et affiliation
    - Synopsis d'une page maximum de l'intervention avec un plan de celle-ci
    - Format libre

 Calendrier
    - 14 janvier 2014 : date limite de réception des soumissions
    - 28 janvier 2014 : notification aux auteurs et
                        publication du pré-programme
    - 14 février 2014 : publication du programme définitif
    - 3 mars 2014 : réception des présentations
    - 18 mars 2014 : conférence


 Le comité de programme est composé des membres de l'association élus au
 conseil d'administration, soit :
     - Bertrand Augé, Kleverware
     - Gérôme Billois, Solucom
     - Guillaume Corbillé, Laser
     - Claire Cossard, CNAM-TS
     - Francis Delbos, ID Nouvelles
     - Eric Doyen, Humanis
     - Emmanuel Garnier, Systalians
     - Loïc Guézo, Trendmicro
     - Anne Mur, On'X-Edelweb
     - Carl Roller, Akamai
     - Hervé Schauer, HSC



--[ 6. Appel à communication : Conférence GS-Days ]---------------------
     
     La 6ème édition des GS Days se déroulera le 18 mars 2014 à l'Espace
 Saint-Martin au coeur de Paris, 199 bis, rue Saint-Martin, 75003 Paris.
 Inscriptions ouvertes : http://www.gsdays.fr/sinscrire/10-gsdays-2013.html
 L'objectif des GS-Days, Journées francophones de la sécurité, est d'établir
 le dialogue entre le monde de la technique (administrateurs, experts
 sécurité), les RSSI, DSI et les décideurs. Ce colloque, exclusivement en
 français, propose dans un même espace plusieurs cycles de conférences et
 de démonstrations d'exploitation de faille informatique, sous un angle
 technique, organisationnel et juridique.

     Quelques exemples de thèmes sur lesquels nous attendons des soumissions :

 * Thèmes techniques :
     o Attaques :
         - Attaques ciblées
         - Logiciels malfaisants, 'botnets", vers
         - Mythes et réalités de la sécurité du 'Cloud Computing'
         - Nouvelles tendances d'attaque : systèmes embarqués, attaques
           matérielles, etc.
         - Industrialisation des attaques

     o Évolution des moyens de protection :
         - WAF, outils de lutte anti-DDoS...
         - Quels outils et quels paramétrages adaptés : IDS/IPS, firewall, etc.
         - Protection de l'information, récupération de données, effacement
           sécurisé, etc.

 * Thèmes organisationnels :
     o Rôle de l'état dans la SSI
         - Qu'est-ce qui est régalien et ne l'est pas en SSI
         - La qualification des prestataires en SSI
     o Gouvernance de l'information
         - Ingénierie sociale et aspects humains
         - Centralisation de l'information, le 'Big Data'
         - Nouveaux usages du SI
         - Réseaux sociaux et sécurité
         - BYOD
         - Enseignement et formation de la SSI
     o Guerre de l'information
         - Evolution du renseignement, interception
         - L'intelligence économique passe-t-elle par l'espionnage ?
         - Cyberguerre : implication des états, attribution

 * Thèmes juridiques :
     - M-Payment et M-Banking
     - Réputation en ligne : quel recours juridique ?
     - Le droit peut-il quelque chose en cas de fuite d'informations ?

     Les présentations attendues devront proposer une vision technique ou
 scientifique. Les présentations à fin commerciale ou la présentation
 d'un produit ne seront pas acceptées. Cependant, les propositions
 présentant une analyse technique de la sécurité d'un produit, un
 comparatif fondé sur des tests scientifiques, et les retours
 d'expérience avec un aspect technologique, seront examinées avec attention.

 Le format des conférences sera de 50 minutes, dont 5 à 10 minutes de
 questions.

     Le comité de Programme qui sélectionnera les conférenciers et le contenu
 du colloque à partir des soumissions reçues est composé de Marc Jacob et
 Emmanuelle Lamandé (Global Security Mag, organisateur), Eric Doyen (Humanis),
 Emmanuel Garnier (Systalians), Olivier Guérin (CLUSIF), Philippe Humeau (NBS),
 Diane Mullenex (Cabinet Ichay et Mullenex), Olivier Revenu (EdelWeb), Hervé
 Schauer (HSC) et Paul Such (SCRT).


 Contenu des soumissions à envoyer à Marc.Jacob at globalsecuritymag.com :
    - Nom de l'auteur, biographie et affiliation
    - Catégorie de la soumission (technique/organisationelle/juridique)
    - Synopsis d'une à 2 pages de l'intervention avec un plan de celle-ci
    - Format PDF préféré.

  Calendrier
     - 10 janvier 2014 : date limite de réception des soumissions
     - 24 janvier 2014 : notification aux auteurs
     - 10 mars 2014 : réception des présentations définitives
     - 18 mars 2014 de 8h30 à 18h30 : conférence



--[ 7. Nouveautés du site web HSC ]-------------------------------------

 - Présentation "Comment gérer les problèmes de sécurité SCADA ?" par
   Hervé Schauer le 6 octobre 2013 à la conférence SecureParis d'ISC2
   http://www.hsc.fr/ressources/presentations/secureparis-scada13/



--[ 8. Offres d'emploi pour consultants en sécurité ]-------------------

  +------------------------------------------------------------------------+
  | HSC recherche des consultants techniques expérimentés 2 à 6 ans d'exp. |
  +------------------------------------------------------------------------+

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC,
 (intrusion, inforensique, Windows, SCADA, etc) soit 2 à 6 semaines de
 formations suivies dans le cadre de la prise de fonction.

     Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la
 gare Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2), avec
 réfectoire et espace détente. Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ascii (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 9. Agenda des interventions publiques ]-----------------------------

 - 5 novembre 2013 - Matinée CNIS-Mag - Paris Hôtel Intercontinental
   Table-ronde "Big Data, Cloud et Virtualisation : quelle sécurité ?
   Faut-il repenser la sécurité ?"
   Hervé Schauer
   http://www.cnis-mag.com/inscription-cnis-event

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 7. Prochaines formations HSC ]--------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        Rétroingénierie de logiciels malfaisants :
        Outils et techniques d'analyse
        (SANS FOR610/GIAC GREM)   ..............    : 4 au 8 novembre (*)
        ISO 27001 Lead Implementer    ..........    : 4 au 8 novembre (#)
        Essentiels techniques de la SSI    .....    : 12 et 13 novembre
        PKI : principes et mise en oeuvre    ...    : 12 au 14 novembre (*)
        Essentiels juridiques pour gérer la SSI     : 14 et 15 novembre
        Sécurité du WiFi    ....................    : 14 et 15 novembre (*)
        Essentiel de PCI-DSS    ................    : 21 novembre
        RGS : la SSI pour le secteur public    .    : 22 novembre
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 18 au 22 novembre (*)(#)
        Formation DNSSEC   .....................    : 28 et 29 novembre (*)
        ISO 27005 Risk Manager    ..............    : 25 au 27 novembre (#)
        Tests d'intrusion avancés, exploitation de
        failles et hacking éthique (SEC660/GXPN)    : 25 au 30 novembre (*)(#)
        Correspondant Informatique et Libertés      : 2 et 3 décembre (@)
        ISO 27001 Lead Auditor    ..............    : 2 au 6 décembre (#)
        Essentiels de l'ISO27001:2013    .......    : 9 décembre
        ISO 22301 Lead Implementer    ..........    : 9 au 13 décembre (#)(C)
        Mesures de sécurité ISO 27002   ........    : 10 et 11 décembre
        Gestion des incidents de sécurité/ISO27035  : 12 décembre
        Indicateurs & tableaux de bord SSI/ISO27004 : 13 décembre
        ISO 27005 Risk Manager    ..............    : 16 au 18 décembre (#)
        Risk Manager Avancé    .................    : 19 et 20 décembre
        ISO 22301 Lead Implementer    ..........    : 13 au 17 janvier 2014 (#)
        ISO 27001 Lead Implementer    ..........    : 20 au 24 janvier 2014 (#)
        Techniques de hacking, exploitation de failes
        et gestion des incidents (SEC504/GCIH)      : 3 au 7 février (*)(#)
        Essentiels de l'ISO22301    ............    : 7 février
        ISO 22301 Lead Auditor    ..............    : 10 au 14 février (#)
        EBIOS Risk Manager    ..................    : 17 au 19 février (#)
        Formation CISSP    .....................    : 3 au 7 mars (#)
        Sécurité du WiFi    ....................    : 19 et 20 mars  (*)
        ISO 27001 Lead Auditor    ..............    : 24 au 28 mars (#)
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 22 au 28 mars (*)(#)
        Formation RSSI    ......................    : 31 mars au 4 avril
        Inforensique Windows (SANS FOR408/GIAC GCFE): 7 au 11 avril (*)(#)
        Correspondant Informatique et Libertés      : 9 au 11 avril (@)
        Fondamentaux & principes de la SSI 
        (SANS SEC401/GIAC GSEC)   ..............    : 14 au 19 avril (*)(#)
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 19 au 23 mai (*)(#)
        Sécurité SCADA  ........................    : 16 at 17 juin
        Inforensique réseau & infrastruct. (FOR558) : 1er semestre 2014 (*)
        Inforensique téléphones/ordiphones (FOR563) : 1er semestre 2014 (*)(#)
        Protéger les applis web (DEV522 /GIAC GWEB) : 22 au 26 septembre (*)(#)
        Sécurité du Cloud Computing    .........    : 27-29 octobre

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2 ou GIAC
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : session de formation complète


 - Luxembourg
        ISO 27005 Risk Manager    ..............    : 4 au 6 juin 2014 (#)
        ISO 22301 Lead Implementer    ..........    : 16 au 20 juin 2014 (#)
        ISO 27001 Lead Implementer    ..........    : 27 au 31 octobre 2014 (#)
        ISO 27001 Lead Auditor    ..............    : octobre 2015 (#)

 - Lyon
        Correspondant Informatique et Libertés      : 26 au 28 mars 2014 (@)
        Essentiels juridiques pour gérer la SSI     : 28 au 29 novembre
        ISO 27005 Risk Manager    ..............    : 16 au 18 avril 2014 (#)

 - Marseille
        Correspondant Informatique et Libertés      : 19 au 21 novembre 2014(#)

 - Rennes
        Essentiels juridiques pour gérer la SSI     : 12 et 13 décembre
        Correspondant Informatique et Libertés      : 21 au 23 mai 2014 (@)

 - Toulouse
        Correspondant Informatique et Libertés .    : 19 et 20 décembre (@)
        ISO 27005 Risk Manager    ..............    : 4 au 6 juin 2014 (#)
        ISO 27001 Lead Implementer    ..........    : 23 au 27 juin 2014 (#)
        Correspondant Informatique et Libertés .    : 1 au 3 octobre (@)
        ISO 27001 Lead Auditor    ..............    : juin 2015 (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Moody sur
 ses formations.

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704

 Retrouvez les tarifs des formations dans la Newsletter n° 64 de janvier 2010
 au chapitre 6 : http://www.hsc-news.com/archives/2010/000064.html

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2013 en PDF sur http://www.hsc-formation.fr/



--[ 8. Actualité des associations : Club 27001 et OSSIR ]-----------------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris le jeudi 28 novembre 2013 avec
       l'assemblée générale annuelle qui suivra la réunion.
     . Présentations et compte-rendu de la réunion du 18 septembre sont
       en ligne sur http://www.club-27001.fr/
     . Prochaine réunion à Toulouse en fin d'année
     . Prochaines réunions à Marseille, Rennes et Lyon annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 12 novembre à l'Inria Paris 13
         - Nouvelles tendances, nouvelles menaces par Guillaume Delomel et
           Thibaud Signat (FireEye)
         - Le graphe de Twitter par Arnaud Legout (INRIA)
         - Revue d'actualité par Nicolas Ruff (EADS)
     . Réunion suivante à Paris le mardi 10 décembre
     . Réunion suivante à Paris le mardi 14 janvier 2014 avec l'AG annuelle
     . Prochaine réunion à Rennes en fin d'année
     . Prochaine réunion à Toulouse le mardi 19 novembre à l'université 1
         - Présentation de SecreTrack par Tufin
         - Présentation d'attaques ciblées par FireEye
     . Prochain AfterWorks OSSIR à Paris en décembre
     . JSSI de l'OSSIR le lundi 17 mars 2014, réservez votre date, les
       GS-DAYS suivront le 18 mars 2014 (www.gsdays.fr).



--[ 12. Le saviez-vous ? La réponse ]------------------------------------

    La nouvelle révision du langage HTML (HTML5) permet aux créateurs
 de sites de stocker des informations au sein des navigateurs. Ce stockage,
 pouvant aller jusqu'à plusieurs mega-octets, peut être de différents types :
 "Web Storage" sous la forme d'associations clefs-valeurs, "IndexedDB" stockant
 des objets et de type base de données "Web SQL". Dans notre exemple, c'est ce
 dernier type, le stockage Web SQL qui est utilisé.

 La première vulnérabilité est triviale et se situe au niveau du code
 ci-dessous :

  lsv.webdb.selectMessage = function(renderFunc, msgId) {
    var db = lsv.webdb.db;
    db.transaction(function(tx) {
      tx.executeSql("SELECT * FROM public WHERE ID="+msgId, [], renderFunc,
                            lsv.webdb.onError);
    });
  }

 La variable 'msgId' étant concaténée au corps de la requête SQL, il est facile
 d'injecter du code SQL au sein de cette variable afin d'en changer le
 comportement et d'extraire les données de la table "private". Ainsi, le fait
 de renseigner "1 UNION SELECT ID, my_secret FROM private" dans le champ du
 formulaire nous permet d'accéder aux données privées tant recherchées.

 Une requête SQL non vulnérable serait de la forme :

      tx.executeSql("SELECT * FROM public WHERE ID=?", [msgId], renderFunc,
                            lsv.webdb.onError);

 Cet exemple ne semble pas fournir de vecteur d'attaque pratique. En revanche,
 dans une application de type "webmail" par exemple utilisant cette
 fonctionnalité pour un mode "hors ligne" de l'application, une injection de ce
 type pourrait permettre à un attaquant d'extraire l'ensemble des données
 utilisateurs et des autres emails par l'envoie d'un email exploitant la
 vulnérabilité.



 Le code d'exemple est vulnérable d'un seconde façon (indépendante de la
 présence ou non de l'injection SQL). Cette seconde vulnérabilité permettant
 l'extraction des données privées de l'utilisateur (table "private"), est
 possible grâce au code ci-dessous permettant l'injection de code Javascript :

			echo "Bonjour ".$_GET['name']." !";

 Un attaquant est donc en mesure d'exploiter cette XSS afin d'exécuter du code
 Javascript chargé de récuperer les données privées de l'utilisateur. Le code
 d'exploitation (formaté de façon lisible) est le suivant :

	<script>
	    function err(tx,t){}
	    function getSecret(tx,data){
					alert(data.rows.item(0).my_secret);
	    }
	    var xss = openDatabase("LSV", "1.0", "Le Saviez Vous", 5*1024*1024);
	    xss.transaction(function(tx){
	        tx.executeSql("SELECT * FROM private", [], getSecret, err);
	    });
	</script>

 Les autres stockages locaux, "Web Storage" et "IndexedDB", sont également
 vulnérables à cette seconde vulnérabilité puisqu'ils sont accessibles en
 Javascript.

 NB : Les navigateurs actuels disposent de protection pour limiter l'impact des
 XSS réfléchis. Puisque le code d'exemple se base sur ce type d'XSS, il sera
 nécessaire de désactiver la protection (exemple pour Chrome :
 --disable-xss-auditor) pour démontrer la vulnérabilité. Si le code d'exemple
 était basé sur une XSS stockée, cette désactivation de protection n'aurait pas
 été nécessaire.

 Bien que Web SQL soit une technologie dépréciée par le W3C [1] depuis 2010,
 celle ci est supportée par un certain nombre de navigateurs actuels (Chrome,
 Safari, Opera) [2] d'où l'importance de ne pas ignorer ce risque.


 Références :
 [1] http://www.w3.org/TR/webdatabase/
 [2] http://www.html5rocks.com/en/features/storage
     http://www.html5rocks.com/en/tutorials/webdatabase/todo/

 -- Steeve Barbeau & Cyril Solomon




Plus d'informations sur la liste de diffusion newsletter