[Newsletter HSC] N°115 - Mars 2014

Newsletter d'information de HSC newsletter at hsc-news.com
Mar 4 Mar 16:27:54 CET 2014


========================================================================
              HSC Newsletter  --  N°115 --  mars 2014
========================================================================





     « Un homme d'État de valeur doit avoir deux qualités essentielles :
       la prudence et l'imprudence. »


                                             [ Ruggiero Bonghi ]





--[ Sommaire ]----------------------------------------------------------

      1. Éditorial
      2. Le saviez-vous ? La question
      3. Nouvelle formation : "Gestion de crise IT/SSI"
      4. Programme de la conférence JSSI de l'OSSIR du 17 mars
      5. Programme de la conférence annuelle du Club-27001 du 18 mars
      6. Programme des GS-DAYS du 18 mars (code de réduction HSC)
      7. Offres d'emploi pour consultants
      8. HSC partenaire des GS-DAYS à Paris (code de réduction HSC)
      9. Agenda des interventions publiques
     10. Prochaines formations HSC
     11. Actualité des associations : Club 27001, OSSIR et Clusif
     12. Le saviez-vous ? La réponse



--[ 1. Éditorial - Hervé Schauer ]--------------------------------------

     Patrick Pailloux [1] [2] a rejoint la DGSE. Vous souvenez-vous de la
 DCSSI lors de son arrivée en octobre 2005 ? Difficile de se remettre dans
 le contexte de l'époque, mais il faut faire cet effort pour voir l'ampleur
 du chemin parcouru. La DCSSI était encore un peu dans l'esprit de la
 cryptographie arme de guerre interdite à tout un chacun, un service
 essentiellement militaire issu du bureau du chiffre au sein du SGDN.

 En 2006 Patrick Pailloux introduisait la conférence ISO17799/ISO27001, il a
 ensuite attaché moins d'importance à l'organisation de la SSI et à la
 complémentarité entre technique et organisation, en réorientant l'agence
 vers les aspects opérationnels et inspection technique.
 Mais quelle croissance spectaculaire en 8 ans 1/2 et quelle réorganisation :
 nous lui devons la transformation en agence indépendante, l'adaptation
 des critères commun en CSPN (avec Pascal Chour), la croissance qu'aucun
 autre service de l'Etat n'a sans doute jamais connu aussi vite, de 50
 personne à son arrivée à 350 personnes aujourd'hui, ce qui démontre ses
 capacités d'explication des enjeux auprès des élites et de persuasion des
 dirigeants du pays.

     Ce qui restera seront aussi ses discours très largement repris par la
 presse, car il est devenu un hypercommuniquant au fil des ans.
     En 2010 au discours de clôture au SSTIC à Rennes il a expliqué les
 menaces, l'impossibilité de les identifier dans le virtuel, l'absence de
 régulation technique de l'internet, et exposé sa transformation de la
 DCSSI qui avait la cryptographie et les méthodes d'analyse de risque
 en ANSSI qui entrait très fortement dans le concret, mais sécuriser c'est
 plus dur qu'attaquer et donc l'ANSSI avait besoin des meilleurs et...
 recrutait. Pour moi le concret ne va pas sans l'analyse de risques et 
 réciproquement.
     En 2011 au discours de clôture aux Assises de la Sécurité à Monaco il
 nous disait que si on appliquait les mesures d'hygiène nous étions protégés
 de 95% des attaques, et sa formule "sécurité cache-sexe" est restée. Il a
 appelé les RSSI à à être présents pour contribuer et prendre action, avoir
 un changement pour reprendre le contrôle.
 Pour moi une bonne organisation est un incontournable de base pour la SSI,
 c'est plus une belle culotte englobant les fesses qu'un cache-sexe.
 Effectivement il convient d'avoir un pantalon ou une robe en plus dessus,
 mais celles qui n'ont pas de culotte prennent des risques.
     En 2012 toujours à Monaco il était moins guerrier, avait sans doute
 vu que tout le monde ne s'était pas placé dans les mesures d'hygiène,
 que le RSSI n'est plus dans la dynamique mais vérifie que la dynamique
 est forte. En citant le monde réel avec la limitation à 130 km/h et les
 gendarmes il a définitivement basculé dans l'approche règlementaire et
 régalienne. Mais ce que tout le monde a retenu est le "non" catégorique
 au BYOD.
 Pour moi il s'est un peu éloigné des réalités mais les RSSI se sont
 servis utilement de ses propos pour sensibiliser leur direction, les
 premières à utiliser leur propres tablettes sans en avoir mesuré les risques.
 Je recommande une approche de gestion de la sécurité qui s'appuie sur un
 RSSI compétent, connecté aux métiers et aux systèmes d'information par
 une gestion intelligente des risques SSI et s'appuyant sur des référentiels
 de gestion qui font consensus et autorité plutôt que par force de loi.
     En 2013 il constate que les règles ne pas appliquées, il revient
 sur les données qu'il avait déjà citées en 2012, il insiste sur les
 systèmes industriels, et que puisque personne ne comprend rien à rien,
 des dispositifs réglementaires devront être mis en oeuvre pour imposer
 la sécurité par force de loi.
 Pour moi la France seule dans cette voie va s'auto-flageller en réduisant
 la compétitivité de ses industries par des lois difficilement applicables
 qui ne profiteront qu'aux industriels dits de la "cybersécurité", qui ont
 profité dans le passé des marchés de la Défense. De même que les médicaments
 sont moins fabriqués en France pour éviter une législation contraignante, nous
 allons faire pareil sur l'industrie, et celle qui ne peut se délocaliser
 comme l'eau ou l'électricité répercutera le surcoût sur le consommateur.
 Je pense qu'il faudrait rechercher l'avantage compétitif de nos industriels,
 en développant des certifications internationales, et accompagner la France
 vers celles-ci.

     Le travail accompli par Patrick Pailloux est spectaculaire, en répondant
 aux nombreux logiciels malfaisants ciblés dont les administrations et les
 industriels ont été victimes, en se rapprochant du secteur privé, en
 communiquant sur les sujets dont aucun agent de l'État n'aurait parlé avant
 lui, il a tiré la France dans les 6 ou 7 nations en pointe dans la SSI.
 S'il transforme autant la DGSE que ce qu'il a transformé l'ANSSI, nous
 aurons un résultat intéressant. Et Patrick Pailloux reviendra au civil un
 jour Ministre (ou au moins Secrétaire d'Etat) de la Cybersécurité.



 [1] http://fr.wikipedia.org/wiki/Patrick_Pailloux
 [2] http://fic2013.com/speaker/patrick-pailloux-anssi/



--[ 2. Le saviez-vous ? La question ]-----------------------------------

     Lors de prestations, il arrive de rencontrer des mots de passe qui
 suivent un format spécifique. Par exemple un format répondant à ces quatres
 modèles :

  ?d?l?l?d?d?l?l?d
  ?l?d?d?l?l?d?d?l
  ?d?d?d?d?l?l?l?l
  ?l?l?l?l?d?d?d?d

 Avec :
- ?d : Chiffre décimal [0-9]
- ?l : Lettre minuscule [a-z]


 Savez-vous comment ne générer que des mots de passe correspondant à ce
 motif avec John the Ripper ?

     Réponse au paragraphe 12.



--[ 3. Nouvelle formation : "Gestion de crise IT/SSI" ]-----------------

     Malgré tous nos principes de sécurité comme la défense en profondeur, les
 méthodes proactives demeurent limitées et tout un chacun est confronté un
 jour à une crise due à des incidents informatiques ou un problème de sécurité.
 Il faut donc maîtriser cette réaction d'urgence et s'y préparer. Afin de
 répondre à ce besoin exprimé par nos clients, HSC propose une nouvelle
 formation, spécifique sur la gestion de crise autour d'un sinistre SSI, qui
 complète notamment les formations d'une semaine SANS SEC 504 "Techniques de
 hacking, exploitation de failles et gestion des incidents", ISO22301 Lead
 Implementer (continuité d'activité), et la formation d'une journée "Gestion
 des incidents de sécurité ISO27035".

 Première session à Paris le vendredi 27 juin.

 Plan détaillé, pré-requis :
 http://www.hsc-formation.fr/formations/gestion_crise.html.fr

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704



--[ 4. Programme de la conférence JSSI de l'OSSIR du 17 mars ]----------

     La journée de la Sécurité des Systèmes d'Information, organisée par
 l'OSSIR, se déroulera le lundi 17 mars 2014 à Paris à la Maison des
 Associations, 10/18, rue des terres au curé 75013 Paris
 (http://www.mas-paris.fr/plan.html) de 8h30 à 17h30.

  8h30 : Accueil des participants et café offert
  9h00 : Ouverture de la journée
  9h05 : "Advanced Protection Techniques ou comment utiliser
         des APT contre les APT (Advanced Persistent Threat)"
          . Vasileios Friligkos et Florian Guilbert, Intrinsec
  9h50 : "La sécurité de TLS, un voeu pieu ?"
          . Christophe Renard, Hervé Schauer Consultants (HSC)
  10h35 : pause café
  11h05 : "Est-il possible de sécuriser un domaine Windows ?"
          . Arnaud Soullié, Florent Daquet et Ary Kokos, Solucom
  11h50 : Conférence invitée
          . Eric Barby, Alain Bensoussan Avocats
  12h40 : Buffet déjeunatoire
  14h00 : "Outils et techniques pour attaques ciblées"
          . Renaud Feil, Synacktiv
  14h40 : "Implementation and Implications of a Stealth
          Hard-Drive Backdoor" (conférence en français)
          . Aurélien Francillon, Eurecom
  15h20 : pause café
  15h50 : "L'environnement radio, de plus en plus difficile à protéger"
          . Renaud Lifchitz, Oppida
  16h30 : "La sécurité : d'une contrainte à un levier business : retour
          d'expérience"
          . Bernard Olivier, Orange
  17h10 : clôture de la journée, discussions

     Inscription à la journée, déjeuner et trois pauses incluses :
        - 15 euros pour les adhérents de l'OSSIR
        - 30 euros pour les étudiants (copie carte d'étudiant)
        - 75 euros pour les non-adhérents

 L'inscription est validée après réception du règlement ou du bon de
 commande par courrier postal adressé à l'OSSIR, 45 rue d'Ulm, 75230 Paris
 cedex 05, en prévenant de votre envoi à jssi14 at ossir.org
 Payement par paypal disponible :
 http://www.ossir.org/association/index/reglement-paypal.shtml
 L'OSSIR ne peut pas être jointe par télécopie ou par téléphone.
 Programme détaillé : http://www.ossir.org/jssi/jssi2014/



--[ 5. Programme de la conférence annuelle du Club-27001 du 18 mars ]---

     Le Club 27001 (http://www.club-27001.fr/) organise sa septième
 conférence annuelle sur l'ensemble de la série des normes ISO 27001
 le mardi 18 mars 2014 à l'espace Saint-Martin, dans le cadre des GS-DAYS.

  9h30 : "Introduction de la journée"
          . Eric Doyen, RSSI et président du Club 27001
          . Alain De Greve président du groupe de coordination belge de la
             normalisation en SSI pour les normes ISO 27000
 10h15 : "Coulisses des nouvelles versions 2013 des ISO27001 et ISO27002"
          . Matthieu Grall, CNIL
 11h00 : Pause
 11h30 : "Retour d'expérience sur le projet de certification ISO 27001 de
          ELFE (données de santé) : de l'importance des fondamentaux". 
          . Sophie de Visme, RSSI, ELFE
          . Ando Rakotonirina, responsable SI, ELFE
          . Rainer Kugel, responsable d'exploitation, ELFE
 12h15 : Déjeuner assis
 14h00 : "Retour d'expérience : "ISO 27001 : accélérateur de l'externalisation"
          . David Coomes, IATA
 14h45 : "Implémentation d'un SMSI dans un cadre de multi-conformité
         normative et règlementaire"
          . Nicolas Mayer, Centre de Recherche Public Henri Tudor
 15h30 : Pause
 15h45 : "Benchmark des outils SMSI"
 16h15 : Retour d'expérience en cours de confirmation
 17h00 : Table ronde "Migration vers l'ISO27001:2013"
          . Armelle Trotin, LSTI
          . Philippe Bourdale, Afnor Certification 
          . BVQI (en cours de confirmation)


 Inscription à la conférence : 290 euros pour les adhérents au Club 27001,
 590 euros pour les non-adhérents (inclut les pauses café et le déjeuner).

 Rappel : l'adhésion au Club 27001 n'est que de :
        - pour un particulier : 27 euros,
        - pour une entreprise : 270 euros (donnant droit à 5 entrées à la
          conférence au prix remisé), soit une économie jusqu'à 1500 euros

 Lieu : Espace Saint-Martin au 199 bis, rue Saint-Martin, 75003 Paris
        http://www.gsdays.fr/infos-pratiques/
 Plan : http://www.espacesaintmartin.com/paris/html/plan.html

 Contact : conference at club-27001.fr
 Le Club 27001 ne peut pas être joint par télécopie ou par téléphone.

 Bulletin d'inscription :
 http://www.club-27001.fr/attachments/article/145/2014-club27001_inscription_conf.pdf

 Envoyez votre bulletin d'inscription complété au trésorier du Club 27001
 Bertrand Augé : tresorier at club-27001.fr




--[ 6. Programme des GS-DAYS du 18 mars ]-------------------------------

     La 6ème édition des GS Days, Journées Francophones de la Sécurité de
 l'Information, se tiendra le 18 mars de 8h30 à 18h30, à l'Espace 
 Saint-Martin (http://www.gsdays.fr/infos-pratiques/).
 Voici le programme prévisionnel de la journée :

 - "get-IncidentResponse", Julien Bachmann, SCRT
 - "Gestion des comptes à privilèges", Christophe Gueguen, Harmonie
   Technologie
 - "Proxy transparent pour l'interception et la modification de trafic TCP",
   Bertrand Mesot, Objectif Sécurité
 - "Atteintes à l'E-Réputation : quels recours ?", Amina Khaled, BEAM avocats
 - "XSS Reloaded", Renaud Bidou, Deny-All
 - "Du secret bancaire au secret médical", Didier Barzin, RSSI de l'Agence 
   Luxembourgeoise e-santé, et Michel Ackerman, EBRC
 - "Big Data : 10 risques et 8 familles de contre-mesures", Gérôme Billois
    et Chadi Hantouche, Solucom
 - "War Stories from the Cloud", Emmanuel Macé, Akamai
 - "La Charte Informatique face aux nouveaux usages de l'entreprise", Frédéric
   Connes et Amélie Paget, Hervé Schauer Consultants
 - "La nouvelle loi en matière de divulgation d'informations stratégiques",
   Diane Mullenex, PinsentMasons
 - Démonstrations techniques de l'ARCSI

 Inscription en ligne :
     http://www.gsdays.fr/sinscrire/10-gsdays-2013.html
 Formulaire d'inscription papier :
     http://www.gsdays.fr/formulaire_inscription.pdf
 Utilisez le code d'HSC pour vous inscrire : 55a92Lz et bénéficiez d'un
 tarif réduit de 130 euros HT au lieu de 160 euros HT.



--[ 7. Offres d'emploi pour consultants en sécurité ]-------------------

  +-------------------------------------------------------------+
  | HSC recherche des consultants expérimentés 2 à 6 ans d'exp. |
  +-------------------------------------------------------------+

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC
 (intrusion, inforensique, Windows, SCADA, ISO27001, ISO22301, EBIOS, etc.),
 soit 2 à 6 semaines de formations suivies dans le cadre de la prise de
 fonction.

     HSC recherche également des stagiaires pour des stages de pré-embauche.

     Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la
 gare Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2), avec
 réfectoire et espace détente. Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ascii (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 8. HSC partenaire des GS-DAYS à Paris ]-----------------------------
     
     HSC sera présent aux GS-DAYS le 18 mars prochain de 8h30 à 18h30 à
 l'Espace Saint-Martin (http://www.gsdays.fr/infos-pratiques/) au 199 bis,
 rue Saint-Martin, 75003 Paris. Notre équipe sera à votre disposition sur
 notre stand.

     Conférence HSC : "La charte informatique face aux nouveaux usages de
 l'entreprise" pas Frédéric Connes et Amélie Paget, dans le cycle de
 conférences organisationelles et juridiques en sécurité.

 Inscription obligatoire.

 Utilisez le code d'HSC pour vous inscrire : 55a92Lz et bénéficiez d'un
 tarif réduit de 130 euros HT au lieu de 160 euros HT.

 Programme complet et inscription :
 http://www.gsdays.fr/



--[ 9. Agenda des interventions publiques ]-----------------------------

 - 17 mars 2014 - JSSI de l'OSSIR - Paris MAS
   "La sécurité par TLS en 2014, un voeu pieu ?"
   Christophe Renard
   http://www.ossir.org/jssi/jssi2014/

 - 18 mars 2014 - GS-DAYS - Paris Espace Saint-martin
   "La charte informatique face aux nouveaux usages de l'entreprise"
   Frédéric Connes et Amélie Paget
   http://www.gsdays.fr/373/actualites/programme-2014/

 - 18 mars 2014 - GS-DAYS - Paris Espace Saint-martin
   "Intérêt des normes ISO27001 et ISO27002 en version 2013"
   Béatrice Joucreau pour le club 17002
   http://www.gsdays.fr/373/actualites/programme-2014/

 - 19 mars 2014 - Conférence Sécurité Réseaux du CRIP - Paris Pavillon Dauphine
   "ISO27001 et certification"
   Hervé Schauer
   http://www.crip-asso.fr/beecrip/conferences/detail/6840-reseaux-securite.html

 - 3 avril 2014 - CNSSIS - Le Mans
   Table-ronde "Du bon usage des normes ISO dans la sécurité des SI de Santé"
   Hervé Schauer, participant à la table-ronde
   http://www.apssis.com/2014/4416485


 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 10. Prochaines formations HSC ]-------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 10 au 14 mars (A)(*)(#)
        ISO 27001 Lead Implementer    ..........    : 10 au 14 mars (#)
        Essentiels juridiques pour gérer la SSI     : 13 et 14 mars
        ISO 27005 Risk Manager    ..............    : 19 au 21 mars (#)
        Sécurité du WiFi    ....................    : 19 et 20 mars  (*)
        Essentiels Informatique et Liberté   ...    : 21 mars
        ISO 27001 Lead Auditor    ..............    : 24 au 28 mars (#)
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 24 au 28 mars (*)(#)
        Formation RSSI    ......................    : 31 mars au 4 avril
        EBIOS Risk Manager    ..................    : 1 au 3 avril (#)
        RGS : la SSI pour le secteur public    .    : 4 avril
        Inforensique Windows (SANS FOR408/GIAC GCFE): 7 au 11 avril (*)(#)
        ISO 22301 Lead Implementer    ..........    : 7 au 11 avril (#)
        Expert Sécurité Linux    ...............    : 7 au 11 avril (*)(#)
        Mesures de sécurité ISO 27002:2013   ...    : 7 et 8 avril
        Correspondant Informatique et Libertés      : 9 au 11 avril (@)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 14 au 19 avril (*)(#)
        Essentiels de l'ISO27001:2013    .......    : 28 avril
        Formation CISSP    .....................    : 12 au 16 mai (#)
        PKI : principes et mise en oeuvre    ...    : 14 au 16 mai (*)
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 19 au 23 mai (*)(#)
        ISO 27005 Risk Manager    ..............    : 19 au 21 mai (#)
        Risk Manager Avancé    .................    : 22 et 23 mai
        Essentiel de PCI-DSS    ................    : 2 juin
        Sécurité SCADA  ........................    : 16 at 17 juin
        Formation DNSSEC   .....................    : 18 et 19 juin (*)
        Techniques de hacking, exploitation de failes
        et gestion des incidents (SEC504/GCIH)      : 23 au 27 juin (*)(#)
        Essentiels de l'ISO27001:2013    .......    : 23 juin
        Mesures de sécurité ISO 27002:2013   ...    : 24 et 25 juin
        Indicateurs & tableaux de bord SSI/ISO27004 : 25 juin
        Gestion des incidents de sécurité/ISO27035  : 26 juin
        Gestion de crise IT/SSI    .............    : 27 juin
        Essentiels de l'ISO22301    ............    : 11 septembre
        Protéger les applis web (DEV522 /GIAC GWEB) : 22 au 26 septembre (*)(#)
        Essentiels techniques de la SSI    .....    : 29 et 30 septembre
        Sécurité du Cloud Computing    .........    : 27-29 octobre
        ISO 22301 Lead Auditor    ..............    : 3 au 7 novembre (#)
        Rétroingénierie de logiciels malfaisants
        Outils et techniques d'analyse
        (SANS FOR610/GIAC GREM)   ..............    : 24 au 28 novembre (*)
        Tests d'intrusion avancés, exploitation de
        failles et hacking éthique (SEC660/GXPN)    : 1 au 6 décembre (*)(#)
        Tests d'intrusion avancés des applications
        web et hacking éthique (SANS SEC642)  ...   : 2eme semestre 2014 (*)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 1er semestre 2015 (*)(#)
        Inforensique réseau avancée (SANS FOR572)   : 1er semestre 2015 (*)
        Inforensique ordiphones/tablettes (FOR585)  : 1er semestre 2015 (*)(#)


 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC ou LPI
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : session de formation complète
 (A) : session de formation en anglais

 - Luxembourg
        Formation CISSP    .....................    : 19 au 23 mai (#)
        ISO 27005 Risk Manager    ..............    : 4 au 6 juin (#)
        ISO 22301 Lead Implementer    ..........    : 16 au 20 juin (#)
        ISO 27001 Lead Implementer    ..........    : 27 au 31 octobre (#)
        ISO 27001 Lead Auditor    ..............    : octobre 2015 (#)

 - Lyon
        Correspondant Informatique et Libertés      : 26 au 28 mars (@)
        ISO 27005 Risk Manager    ..............    : 16 au 18 avril  (#)
        Essentiels juridiques pour gérer la SSI     : 28 au 29 novembre

 - Marseille
        Correspondant Informatique et Libertés      : 19 au 21 novembre (#)

 - Rennes
        Correspondant Informatique et Libertés      : 21 au 23 mai (@)
        Essentiels juridiques pour gérer la SSI     : 12 et 13 décembre

 - Toulouse
        Essentiels de l'ISO27001:2013    .......    : 14 avril
        ISO 27005 Risk Manager    ..............    : 4 au 6 juin (#)
        ISO 27001 Lead Implementer    ..........    : 23 au 27 juin (#)
        Correspondant Informatique et Libertés .    : 1 au 3 octobre (@)
        ISO 27001 Lead Auditor    ..............    : juin 2015 (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Intertek sur
 ses formations.

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2014 en PDF sur http://www.hsc-formation.fr/



--[ 11. Actualité des associations : Club 27001, OSSIR et Clusif ]--------

  o Club 27001 (http://www.club-27001.fr/)
     . Conférence annuelle du club le mardi 18 mars
     . Prochaine réunion à Paris le jeudi 22 mai
         - "Application de la version 2013 de l'ISO 27002 dans l'assurance"
            par Fabien Dupré (Harmonie Technologie)
     . Prochaine réunion à Toulouse au second trimestre
     . Prochaines réunions à Marseille, Rennes et Lyon annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Conférence annuelle JSSI lundi 17 mars
     . Prochaine réunion à Paris le mardi 8 avril à l'INRIA Paris
         - Retour d'expérience sur la certification PCI-DSS par Gérard Boudin
           et Jean-Philippe Gaulier (Orange)
         - Compte-rendu de la conférence Insomni'hack par Guillaume Lopes et
           Thibaud Binetruy (Intrinsec)
         - Revue d'actualité par Nicolas Ruff (EADS)
     . Prochain AfterWorks OSSIR à Paris en mai
     . Réunion suivante à Paris le mardi 13 mai
     . Prochaine réunion à Rennes au second trimestre
     . Prochaine réunion à Toulouse mardi 20 mai

 o Clusif (http://www.clusif.fr/)
     . Assemblée Générale le lundi 17 mars 2014 à 15h00 au cercle militaire



--[ 12. Le saviez-vous ? La réponse ]------------------------------------

     Il n'y a pas de solution simple pour générer la sortie demandée avec
 John The Ripper. Une solution, bien que non idéale, consiste à définir une
 fonction externe dans le fichier de configuration de john. Voici une solution
 possible en utilisant un filtre :

    [List.External:Filter_LSV]
    void filter()
    {
            int flag;
            flag = 0;
            if (word[0] >= 0x30 && word[0] <= 0x39)
                    flag += 0x80; // 0b10000000
            if (word[1] >= 0x30 && word[1] <= 0x39)
                    flag += 0x40; // 0b01000000
            if (word[2] >= 0x30 && word[2] <= 0x39)
                    flag += 0x20; // 0b00100000
            if (word[3] >= 0x30 && word[3] <= 0x39)
                    flag += 0x10; // 0b00010000
            if (word[4] >= 0x30 && word[4] <= 0x39)
                    flag += 0x08; // 0b00001000
            if (word[5] >= 0x30 && word[5] <= 0x39)
                    flag += 0x04; // 0b00000100
            if (word[6] >= 0x30 && word[6] <= 0x39)
                    flag += 0x02; // 0b00000010
            if (word[7] >= 0x30 && word[7] <= 0x39)
                    flag += 0x01; // 0b00000001

            if (!(flag == 0x99 // 0b10011001
               || flag == 0x66 // 0b01100110
               || flag == 0xf0 // 0b11110000
               || flag == 0x0f // 0b00001111
               )) {
                    word = 0; return;
            }
    }

 Le charset suivant est également utilisé (dérivé du charset lowernum) :

    [Incremental:LSV]
    File = $JOHN/lowernum.chr
    MinLen = 8
    MaxLen = 8
    CharCount = 36

 Note : dans les anciennes versions de john, il faut utiliser "alnum.chr" au
 lieu de "lowernum.chr".

 De cette façon, john ne génère que des mots de passe qui contiennent des
 lettres minuscules et des chiffres de 8 caractères. Le filtre utilisé vérifie
 ensuite si les chiffres sont présents au bon endroit dans le mot de passe.

 La commande pour utiliser le charset et le filtre est la suivante :
     john -i:LSV --external:Filter_LSV --stdout

 Bien que cette solution génère de nombreux mots de passe inutilement, elle
 évite que les empreintes correspondantes soient calculées et comparées ce qui
 constitue un gain de temps conséquent, surtout sur des formats lents à
 calculer.


 Il est aussi intéressant de savoir que les filtres peuvent être utilisés avec
 un dictionnaire :
     john -w:dico --external:filtre --stdout

 Ce qui permet de créer des filtres personnalisés pour filtrer les résultats des
 dictionnaires.



Plus d'informations sur la liste de diffusion newsletter