[Newsletter HSC] N°112 - Décembre 2013

Newsletter d'information de HSC newsletter at hsc-news.com
Mar 3 Déc 15:42:44 CET 2013


========================================================================
              HSC Newsletter  --  N°112 --  décembre 2013
========================================================================





     « Le secret de la créativité est de savoir comment cacher vos sources. »




                                             [ Albert Einstein ]



--[ Sommaire ]----------------------------------------------------------

      1. Éditorial
      2. Le saviez-vous ? La question
      3. Nouvelle formation : Essentiels ISO27001:2013 <-- *2013*
      4. Nouvelle formation certifiante : Expert Securité Linux
      5. HSC au FIC 2014 à Lille
      6. Appel à communication : Conférence JSSI de l'OSSIR
      7. Appel à communication : Conférence annuelle du Club 27001
      8. Offres d'emploi pour consultants
      9. Agenda des interventions publiques
     10. Prochaines formations HSC
     11. Actualité des associations : Club 27001, OSSIR et Clusif
     12. Le saviez-vous ? La réponse



--[ 1. Éditorial - Hervé Schauer ]--------------------------------------

     L'année 2013 sera celle du feuilleton NSA/PRISM/Snowden/Muscular.
 Les révélations d'un administrateur chez un obscur sous-traitant de la
 NSA a ouvert les yeux d'une partie de l'opinion publique et fait cligner
 de l'oeil certains politiques.
     Les consultants en sécurité ont toujours expliqué que nous étions
 écoutés, mais maintenant certains y croient. Preuve que les experts en
 sécurité ne sont pas audibles, ni crédibles.
 Ce que nous avons, nous experts, appris des révélations, sont des détails
 d'implémentation comme le mode d'échange analogue à un FTP anonyme avec les
 grands fournisseurs comme Google, Apple, Microsoft, Facebook, etc. Cela
 permet un espionnage à prix très bas. Nous avons aussi su que des techniques
 supposées, marchent en vrai et pas que dans les films : le sous-marin qui va
 attaquer la fibre sous-marine avec ses pinces ou les serveurs et routeurs
 rebonds utilisés pour compromettre une cible.

     PRISM s'inscrit dans la militarisation de l'internet et personne
 n'y peut rien, et si les américains sont sur la sellette, n'oubliez
 pas que chacun avec ses moyens fait pareil : Russie, Chine, Japon, GB, ...
 et France.

     Il ne faut pas que PRISM serve d'écran de fumée et nous fasse oublier
 les fondamentaux de la sécurité, il nous rappelle l'importance de surveiller
 les individus ayant des privilèges sur les systèmes d'information, mais peut
 nous faire oublier que les accidents se succèdent, que la malveillance
 continue (exemple le rançongiciel CryptoLocker [1]) et qu'elle attaque à
 des fins de profits financiers tout le monde, il n'y a pas que les attaques
 ciblées.
 Ce qui fera bouger les gens sont comme toujours les législations : Adobe
 a envoyé des lettres papier à toutes les personnes enregistrées suite à
 son intrusion, appliquant ainsi la législation américaine. Envoyer 30 millions
 de lettres papier après s'être fait dérober sa base de données (et ses codes
 source dans le cas présent) coûte beaucoup d'argent. Cette déclaration des
 fuites de bases de données nominatives quand elle arrivera chez nous donnera
 enfin une rentabilité aux budgets sécurité.

 [1] http://blog.trendmicro.fr/crypto-locker-un-nouveau-pas-vers-la-professionnalisation-des-cyber-delinquants/



--[ 2. Le saviez-vous ? La question ]-----------------------------------

      Dans une base de données Microsoft SQL Server, révoquer les droits
  d'accès d'un utilisateur sur une table suffit-il à lui interdire
  tous les accès ?

     Réponse au paragraphe 12.



--[ 3. HSC au FIC 2014 ]------------------------------------------------

     Adrien Pasquier, Christophe Renard et Hervé Schauer seront présents
 durant les deux jours au FIC2014 à Lille les 21 et 22 janvier. N'hésitez
 pas les interpeller et les solliciter durant l'évènement pour toute demande
 de prestations, ou pour avoir notre catalogue de formations 2014.
 Cf : http://www.forum-fic.com/2014/fr/



--[ 4. Nouvelle formation : Essentiels ISO27001:2013 ]------------------

     Les normes ISO27001 et ISO27002 sont universellement adoptées, et
 sont référencées partout (RGS, PCI DSS, etc). En octobre dernier, de
 nouvelles versions de ces normes ont été publiées. HSC vous propose
 une formation aux "Essentiels de la norme ISO27001 dans sa version
 2013" qui vous présentera la nouvelle ISO 27001 ainsi que tous les
 guides associés dont la nouvelle ISO 27002.

 Pour tous ceux qui auraient une certification LSTI, ISO27001 Lead Auditor
 ou ISO27001 Lead Implementer, le simple fait de suivre cette journée de
 formation vous permet de faire passer votre certification de la version
 2005 à la version 2013, sans avoir à repasser d'examen. Profitez-en !

 Prochaines sessions à Paris :
     - 9 décembre 2013
     - 5 février 2014
     - 23 juin
     - 6 octobre
     - 8 décembre

 Session à Toulouse :
     - 14 avril

 Détails : http://www.hsc-formation.fr/formations/essentiel_iso27001.html.fr

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704



--[ 5. Nouvelle formation : Expert Sécurité Linux ]---------------------

     Afin de s'adapter à l'évolution du monde Unix où Linux a pris le pas
 sur Solaris, HSC propose désormais une formation Expert Sécurité Linux
 conçue et délivrée conjointement par HSC et Linagora.

 Cette formation vous permet d'acquérir la certification LPIC-3 délivrée par
 LPI (Linux Professionnal Institute), l'organisme de certification
 internationalement reconnu dans le monde du logiciel libre.
 Il a été créé en 1999 pour permettre la reconnaissance professionelle
 dans les technologies Linux et Open Source et 125 000 personnes dans le
 monde détiennent une certification LPI.
 Ces certifications sont indépendantes des éditeurs et des distributions.

 Prochaines sessions à Paris :
     - 7 au 11 avril 2014
     - 8 au 12 décembre

 Plan détaillé, pré-requis :
 http://www.hsc-formation.fr/formations/securiser_serveur_linux-lpi303.html.fr

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704



--[ 6. Appel à communication : Conférence JSSI de l'OSSIR ]-------------

     Participez à la JSSI 2014 (Journée de la Sécurité des Systèmes
 d'Information 2014, un événement sécurité organisé par l'OSSIR
 (Observatoire de la Sécurité des Systèmes d'Information et des Réseaux),
 qui se déroulera le lundi 17 mars 2014 de 8h30 à 17h30 à la Maison des
 Associations (MAS), 10 Rue des Terres au Curé, 75013 Paris

 Le choix de cette date vous permet de combiner votre visite avec la
 conférence GS-Days du 18 mars.

 Le thème central retenu pour la JSSI 2014 est :
     "Est-il encore possible de se protéger ?"

 La durée des interventions sera de 45 minutes (questions incluses). La
 journée de la sécurité des systèmes d'information s'articulera autour de
 conférences et de retours d'expérience dans le domaine de la sécurité
 des systèmes et des réseaux.
 Seront privilégiées les propositions techniques et juridiques, issues
 d'une expérience concrète et/ou provenant de technologies innovantes.

 Les sujets suivants pourront être abordés :
     - 'Cloud Computing' et services en ligne
     - BYOD
     - Sécurité chez les prestataires / hébergeurs / intégrateurs
     - Confiance dans les logiciels
     - Sécurité matérielle
     - Backdoors
     - Protection des contenus numériques
     - Anonymat et vie privée

     Des propositions d'intervention portant sur ces différents aspects de la
 sécurité sont sollicitées pour la JSSI 2014. Les interventions pourront
 inclure la présentation d'une démarche, d'une technique ou d'une
 solution de sécurité répondant à une problématique d'entreprise et être
 illustrées d'une expérience pratique de mise en oeuvre. Toute
 présentation strictement commerciale sera refusée.

     Les propositions d'intervention, en français ou en anglais, précisant le
 sujet et le plan sur une page, doivent être accompagnées de quelques
 transparents et d'une brève biographie de l'auteur. Envoyez vos
 propositions dans l'un des formats : texte simple, PDF ou HTML, par
 e-mail à l'adresse : jssi14 at ossir.org

     Dates limites :
 06/01/2014 : Proposition d'intervention
 20/01/2014 : Notification aux conférenciers des interventions retenues
 17/03/2014 : Conférence

     Conférence organisée par l'OSSIR - Observatoire de la Sécurité des
 Systèmes d'Information et des Réseaux - Association loi 1901
 http://www.ossir.org



--[ 7. Appel à communication : Conférence annuelle du Club 27001 ]------

     Le Club 27001 (http://www.club-27001.fr/), association à but non
 lucratif, organise à Paris le mardi 18 mars 2014 sa sixième conférence
 annuelle autour des usages des normes ISO 2700X. Cette conférence se
 déroulera à Paris à l'espace Saint-Martin dans le cadre des
 GS-DAYS (http://www.gsdays.fr).

 La conférence annuelle du Club 27001 privilégie les retours d'expérience
 dans l'utilisation des normes de la série ISO 27000, qu'il s'agisse de la
 mise en oeuvre d'une des normes, de leur usage y compris sans certification,
 des difficultés rencontrées et des intérêts perçus.

     Voici les thèmes sur lesquels nous attendons des propositions, sans
 que ceux-ci soient exhaustifs :

  - Mise en oeuvre d'un SMSI
     . Retour d'expérience
     . Reprise de l'existant
     . Comment engager sa direction générale
     . Comment surmonter la peur du SMSI
  - Gestion des risques liés à la sécurité de l'information
     . Retour d'expérience de mise en oeuvre de l'ISO 27005
     . Technique d'entretien et d'implication des métiers
     . Échelles et calcul du risque
     . Interactions avec les autres gestions des risques : opérationnels,
       industriels, CHSCT, financiers, etc.
     . Intérêts de l'ISO 27005 dans les projets, les systèmes embarqués, etc.
     . Usage d'ISO27005 vs usage d'EBIOS, de Mehari ou de RiskIT
  - Versions 2013 des normes ISO 27001 et ISO 27002
  - Audits internes
     . Mise en place d'audits internes pour le SMSI
     . Mutualisation des audits internes ISO 27001 (avec ISO 9001, etc.)
     . Utilisation de l'ISO 19011 et ISO 27006
  - Gestion des incidents liés à la sécurité
     . Retours d'expérience
     . Usage de l'ISO 27035
     . Liens avec d'autres référentiels (NIST SP800-61rev1, etc.)
  - Indicateurs, métriques et tableaux de bord
     . Retours d'expérience
     . Usage de l'ISO 27004
     . Liens avec d'autres référentiels (TBSSI de l'ANSSI, NIST SP800-50, etc.)
  - Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
     . Gouvernance de la SSI, de la sécurité en général, de l'IT, du management
       des risques
     . Systèmes de Management Intégrés (ISO 9001, 14001, 20000-1, etc.) avec
       ISO 27001
     . Mutualisation, opposition, complémentarité, déclencheur, etc.
     . Cohabitation ISO 27001 et ISO 20000-1 / ITIL (services informatiques),
       ISO 27013
     . Coordination entre la SSI (ISO 27001) et la continuité d'activité :
       ISO 22301 (SMCA), ISO 27031 et ISO 22313 (ex-BS25599)
     . CobiT (audit informatique, contrôle interne)
     . Utilisations d'ISO 27001 dans le cadre ou en concomitance avec d'autres
       référentiels de sécurité : RGS, PCI DSS, SoX, Bâle II/Solvency II,
       hébergeur de données de santé, ARJEL, WLA, etc.
     . Applications sectorielles de l'ISO 27001 : télécommunications,
       santé (27011, 27799, etc)
  - Certification ISO 27001 et audits de SMSI
     . Retour d'expérience des accréditeurs, des organismes de certification,
       des auditeurs et des audités
     . Contrôle de l'appréciation des risques
     . Interprétations de la Déclaration d'Applicabilité
     . Mise à jour des normes d'audit et de certification (ISO 19011,
       ISO 17021, ISO 27006)

     Les propositions doivent faire part d'un retour d'expérience pratique,
 et ne doivent pas être la présentation d'une offre de service, d'un
 produit ou plus généralement d'une solution commerciale. Le comité de
 programme sera sensible à l'aspect pratique des propositions. Cependant, les
 propositions présentant une analyse ou un comparatif fondé sur des tests
 scientifiques pourraient être acceptées.

 Les présentations feront de 35 à 45 minutes et seront en français ou en
 anglais.

 Contenu des soumissions à envoyer à conference at club-27001.fr :
    - Nom de l'auteur, biographie et affiliation
    - Synopsis d'une page maximum de l'intervention avec un plan de celle-ci
    - Format libre

 Calendrier
    - 14 janvier 2014 : date limite de réception des soumissions
    - 28 janvier 2014 : notification aux auteurs et
                        publication du pré-programme
    - 14 février 2014 : publication du programme définitif
    - 3 mars 2014 : réception des présentations
    - 18 mars 2014 : conférence


 Le comité de programme est composé des membres de l'association élus au
 conseil d'administration, soit :
     - Bertrand Augé, Kleverware
     - Gérôme Billois, Solucom
     - Guillaume Corbillé, Laser
     - Claire Cossard, CNAM-TS
     - Francis Delbos, ID Nouvelles
     - Eric Doyen, Humanis
     - Emmanuel Garnier, Systalians
     - Loïc Guézo, Trendmicro
     - Anne Mur, On'X-Edelweb
     - Carl Roller, Akamai
     - Hervé Schauer, HSC



--[ 8. Offres d'emploi pour consultants en sécurité ]-------------------

  +-------------------------------------------------------------+
  | HSC recherche des consultants expérimentés 2 à 6 ans d'exp. |
  +-------------------------------------------------------------+

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC,
 (intrusion, inforensique, Windows, SCADA, ISO27001, ISO22301, EBIOS, etc)
 soit 2 à 6 semaines de formations suivies dans le cadre de la prise de
 fonction.

     Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la
 gare Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2), avec
 réfectoire et espace détente. Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ascii (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 9. Agenda des interventions publiques ]-----------------------------

 - 22 janvier 2014 - FIC2014 - Lille
   Participation à la table ronde "RSSI et CIL" quelles synergies ?
   Hervé Schauer
   http://www.forum-fic.com/2014/fr/presentation/rssi-et-cil-quelles-synergies/

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 10. Prochaines formations HSC ]-------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        Correspondant Informatique et Libertés      : 2 et 3 décembre (@)
        ISO 27001 Lead Auditor    ..............    : 2 au 6 décembre (#)
        Essentiels de l'ISO27001:2013    .......    : 9 décembre
        ISO 22301 Lead Implementer    ..........    : 9 au 13 décembre (#)(C)
        Mesures de sécurité ISO 27002   ........    : 10 et 11 décembre
        Gestion des incidents de sécurité/ISO27035  : 12 décembre
        Indicateurs & tableaux de bord SSI/ISO27004 : 13 décembre
        ISO 27005 Risk Manager    ..............    : 16 au 18 décembre (#)
        Risk Manager Avancé    .................    : 19 et 20 décembre
        ISO 22301 Lead Implementer    ..........    : 13 au 17 janvier (#)(C)
        ISO 27001 Lead Implementer    ..........    : 20 au 24 janvier 2014 (#)
        ISO 27005 Risk Manager    ..............    : 27 au 29 janvier (#)
        Techniques de hacking, exploitation de failes
        et gestion des incidents (SEC504/GCIH)      : 3 au 7 février (*)(#)
        Essentiels de l'ISO27001:2013    .......    : 5 février
        Essentiels de l'ISO22301    ............    : 7 février
        ISO 22301 Lead Auditor    ..............    : 10 au 14 février (#)
        EBIOS Risk Manager    ..................    : 17 au 19 février (#)
        Formation CISSP    .....................    : 3 au 7 mars (#)
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 10 au 14 mars (*)(#)
        ISO 27005 Risk Manager    ..............    : 10 au 12 mars (#)
        Essentiels juridiques pour gérer la SSI     : 13 et 14 mars
        ISO 27001 Lead Implementer    ..........    : 17 au 21 mars (#)
        Essentiels techniques de la SSI    .....    : 17 et 18 mars
        Sécurité du WiFi    ....................    : 19 et 20 mars  (*)
        Essentiels Informatique et Liberté   ...    : 21 mars
        ISO 27001 Lead Auditor    ..............    : 24 au 28 mars (#)
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 24 au 28 mars (*)(#)
        Formation RSSI    ......................    : 31 mars au 4 avril
        RGS : la SSI pour le secteur public    .    : 4 avril
        Inforensique Windows (SANS FOR408/GIAC GCFE): 7 au 11 avril (*)(#)
        Expert Sécurité Linux    ...............    : 7 au 11 avril (#)
        Mesures de sécurité ISO 27002:2013   ...    : 7 et 8 avril
        Correspondant Informatique et Libertés      : 9 au 11 avril (@)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 14 au 19 avril (*)(#)
        Formation DNSSEC   .....................    : 12 et 13 mai (*)
        PKI : principes et mise en oeuvre    ...    : 14 au 16 mai (*)
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 19 au 23 mai (*)(#)
        Essentiel de PCI-DSS    ................    : 2 juin
        Sécurité SCADA  ........................    : 16 at 17 juin
        Inforensique réseau & infrastruct. (FOR558) : 1er semestre 2014 (*)
        Inforensique téléphones/ordiphones (FOR563) : 1er semestre 2014 (*)(#)
        Protéger les applis web (DEV522 /GIAC GWEB) : 22 au 26 septembre (*)(#)
        Sécurité du Cloud Computing    .........    : 27-29 octobre
        Rétroingénierie de logiciels malfaisants
        Outils et techniques d'analyse
        (SANS FOR610/GIAC GREM)   ..............    : 24 au 28 novembre (*)
        Tests d'intrusion avancés, exploitation de
        failles et hacking éthique (SEC660/GXPN)    : 1 au 6 décembre (*)(#)

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC ou LPI
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : session de formation complète


 - Luxembourg
        Formation CISSP    .....................    : 19 au 23 mai (#)
        ISO 27005 Risk Manager    ..............    : 4 au 6 juin 2014 (#)
        ISO 22301 Lead Implementer    ..........    : 16 au 20 juin 2014 (#)
        ISO 27001 Lead Implementer    ..........    : 27 au 31 octobre 2014 (#)
        ISO 27001 Lead Auditor    ..............    : octobre 2015 (#)

 - Lyon
        Correspondant Informatique et Libertés      : 26 au 28 mars 2014 (@)
        Essentiels juridiques pour gérer la SSI     : 28 au 29 novembre
        ISO 27005 Risk Manager    ..............    : 16 au 18 avril 2014 (#)

 - Marseille
        Correspondant Informatique et Libertés      : 19 au 21 novembre 2014(#)

 - Rennes
        Essentiels juridiques pour gérer la SSI     : 12 et 13 décembre
        Correspondant Informatique et Libertés      : 21 au 23 mai 2014 (@)

 - Toulouse
        Correspondant Informatique et Libertés .    : 19 et 20 décembre (@)
        ISO 27005 Risk Manager    ..............    : 4 au 6 juin 2014 (#)
        ISO 27001 Lead Implementer    ..........    : 23 au 27 juin 2014 (#)
        Correspondant Informatique et Libertés .    : 1 au 3 octobre (@)
        ISO 27001 Lead Auditor    ..............    : juin 2015 (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Moody sur
 ses formations.

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704

 Retrouvez les tarifs des formations dans la Newsletter n° 64 de janvier 2010
 au chapitre 6 : http://www.hsc-news.com/archives/2010/000064.html

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2013 en PDF sur http://www.hsc-formation.fr/



--[ 11. Actualité des associations : Club 27001, OSSIR et Clusif ]--------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris le jeudi 23 janvier 2013, report de la
       réunion annulée du 28 novembre, avec l'AG annuelle à la suite.
     . Prochaine réunion à Toulouse le 7 février 2014
     . Prochaines réunions à Marseille, Rennes et Lyon annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 10 décembre à l'Inria Paris 13
         - Top 10 des vulnérabilités : retour sur 5 ans de pentest par Julien
           Lavesque (iTrust)
         - Compte-rendu de la conférence BruCON par Damien Ressouches (Edelweb)
         - Revue d'actualité par Nicolas Ruff (EADS)
     . Réunion suivante à Paris le mardi 14 janvier 2014 avec l'AG annuelle
     . Réunion suivante à Paris le mardi 11 février
     . Prochaine réunion à Rennes jeudi 12 décembre chez OBS Cesson salle A026
         - Visualisation d'évènements de sécurité par Nicolas Prigent (Supelec)
         - Analyse de règles de firewalls par Frederic Nakhle (Tufin)
     . Prochaine réunion à Toulouse en janvier à l'université 1
     . Prochain AfterWorks OSSIR à Paris le mardi 17 décembre non-confirmé
     . JSSI de l'OSSIR le lundi 17 mars 2014, réservez votre date, les
       GS-DAYS suivront le 18 mars 2014 (www.gsdays.fr).

 o Clusif (http://www.clusif.fr/)
     . Panorama de la Cybercriminalité 2013 le 16 janvier 2014
     . Assemblée Générale le 17 mars 2014


--[ 12. Le saviez-vous ? La réponse ]------------------------------------

    La réponse est non, car il faut aussi prendre en compte le chaînage des
  propriétés qui permet dans certaines conditions de contourner les ACL d'une
  table.

  En effet, avant d'appliquer le filtrage d'accès, SQLServer regarde
  les propriétaires respectifs de la table concernée et de la procédure
  et, si ils coincident, laisse l'accès se produire. C'est un "chaînage"
  de propriété.

  Retirer les droits à un utilisateur sur une table ne suffit donc pas à lui
  interdire l'accès aux données qu'elle contient.


  Exemple pour une table [application_users] et un utilisateur
  usr_applicatif.

  Si la procécure ShowAppUsers est définie comme suit:

    CREATE PROCEDURE ShowAppUsers
    AS
    SELECT id, login, pwd_hash FROM application_users;
    GO

  En se connectant dans une session usr_ applicatif, un simple test permet
  de valider l'accès direct comme au travers de la procédure.

    1> SELECT  id, login, pwd_hash FROM application_users
    2> GO
    id          login  pwd_hash
    ----------- -------- ----------------
              1 user1    f33ae3bc...
              2 user2    6b3a55e0...
              ...

    1> ShowAppUsers
    2> GO
    id          login  pwd_hash
    ----------- -------- ----------------
              1 user1    f33ae3bc...
              2 user2    6b3a55e0...
          ...

  Si l'administrateur de la base décide de révoquer les droits d'accès
  de l'utilisateur sur la table, il les supprime par une instruction
  REVOKE.

    1> REVOKE SELECT,INSERT, UPDATE, DELETE on application_users
    2> TO usr_applicatif
    3> GO
    1 ligne affectée

  Une requête de sélection en tant que l'utilisateur usr_applicatif permet
  de valider la suppression des droits en lecture sur la table.

    1> SELECT  id, login, pwd_hash FROM application_users
    2> GO
    Message 229, niveau 14, état 5, serveur SVR-SQL, ligne 1
    L'autorisation SELECT a été refusée sur l'objet 'application_users',
       base de données 'OWNTEST', schéma 'dbo'.

  En revanche, l'exécution de la procédure permet toujours d'en lire le
  contenu:

    1> ShowAppUsers
    2> GO
    id          login  pwd_hash
    ----------- -------- ----------------
              1 user1    f33ae3bc...
              2 user2    6b3a55e0...
              ...

  Pour que le contrôle d'accès s'applique comme espéré, l'administrateur doit
  s'assurer que la table et la procédure aient des propriétaires différents.

  Il peut, par exemple, le faire en changeant le propriétaire de la table :

     1> ALTER AUTHORIZATION ON dbo.application_users TO usr_owner
     2> GO

  La bonne application des droits depuis la session d'un utilisateur non
  privilégié peut être validée par une répétition du test précédent.

    1> ShowAppUSers
    2> GO
    Message 229, niveau 14, état 5, serveur SVR-SQL,
      procédure ShowAppUsers, ligne 6
    L'autorisation SELECT a été refusée sur l'objet 'application_users',
      base de données 'OWNTEST', schéma 'dbo'.

  Etonnant non ?

  Le mécanisme est particulièrement pernicieux, car dans la plupart des
  SQLServer, dbo possède toutes les procédures et les tables.
  Les droits d'accès au travers des procédures sont alors gérés par
  l'attribution des droits d'exécution.

  En revanche, si la logique de protection est centrée sur les données
  plutôt que sur les traitements, les droits affectés aux tables sont
  contournables et il devient nécessaire de segmenter la propriété
  des différents objets.

  Pour donner une vue réaliste des accès, l'audit des droits d'accès sur
  une base de données SQLServer devra aussi prendre en compte la transitivité
  des accès au travers des procédures, indépendemment des ACL sur les données.

  Références:
    http://technet.microsoft.com/en-us/library/ms188676%28v=sql.105%29.aspx
    http://technet.microsoft.com/en-us/library/ms191291%28v=sql.105%29.aspx

    -- Paul Pennanéac'h & Christophe Renard



Plus d'informations sur la liste de diffusion newsletter