[Newsletter HSC] N°116 - Avril 2014

Newsletter d'information de HSC newsletter at hsc-news.com
Mar 1 Avr 17:04:39 CEST 2014


========================================================================
              HSC Newsletter  --  N°116 --  avril 2014
========================================================================





     «  Un ministre, ça ferme sa gueule. Si ça veut l'ouvrir, ça démissionne. »


                                             [ Jean-Pierre Chevènement ]





--[ Sommaire ]----------------------------------------------------------

      1. Éditorial
      2. Le saviez-vous ? La question
      3. HSC formateur officiel (ISC)² pour la préparation au CISSP
      4. Compte-rendu de la conférence JSSI de l'OSSIR
      5. Compte-rendu des GS-DAYS
      6. Offres d'emploi pour consultants
      7. Nouvelle formation : "Gestion de crise IT/SSI"
      8. Agenda des interventions publiques
      9. Prochaines formations HSC
     10. Actualité des associations : Club 27001, OSSIR et Clusif
     11. Le saviez-vous ? La réponse



--[ 1. Éditorial - Hervé Schauer ]--------------------------------------

     Nomination de Anne-Lise Decomphe au poste de secrétaire d'état
 à la cybersécurité.

     Anne-Lise Decomphe consultante expérimentée d'HSC évolue dans sa
 carrière. Bien connue des lecteurs de la presse spécialisée en SSI - elle
 prête son image pour les publicités HSC depuis 3 ans - Anne-Lise figurait
 encore il y a quelques jours dans la liste très restreinte des candidats
 pour remplacer Patrick Pailloux à la tête de la prestigieuse Agence Nationale
 de la sécurité des systèmes d'information. Dans le cadre de la mise en place
 du "gouvernement de combat" souhaité par le président de la république le
 31 mars, le nouveau premier ministre Manuel Valls a annoncé dès son discours
 de prise de poste la création d'un secrétariat d'état à la cybersécurité au
 sein du Ministère de l'Intérieur et en a confié la responsabilité à Anne-Lise.
 Les équipes d'Anne-Lise disposeront de tous les moyens offerts par l'arsenal
 de cyberdéfense de l'état : ANSSI, CALID, etc, afin de proposer un service
 de protection aux institutions financières et multinationales qui seront
 invitées en contrepartie à participer massivement au redressement des
 finances publiques par des donations régulières.

 Nous lui souhaitons tous nos voeux de succès dans ses nouvelles fonctions.



--[ 2. Le saviez-vous ? La question ]-----------------------------------

      Pour casser une clef RSA, le but est de trouver les nombres premiers qui
  ont servi à la générer. Par exemple en factorisant le module de chiffrement.

  Savez-vous comment générer un fichier de clef privée compréhensible par
  OpenSSL et utilisable dans d'autres outils à partir des nombres premiers
  découverts ?

  Réponse au paragraphe 11.



--[ 3. HSC formateur officiel (ISC)² ]----------------------------------

    Hervé Schauer Consultants devient formateur officiel (ISC)² pour faire
 évoluer la formation à la sécurité de l'information en France

 Les inscriptions à la formation officielle (ISC)2 CBK à Paris sont ouvertes.


 Paris, France - le 17 mars 2014 - Avec près de 100 000 membres dans le monde
 entier, (ISC)²® est le plus grand organisme à but non lucratif regroupant des
 professionnels certifiés dans la sécurité de l'information et des logiciels.
 (ISC)²® a dévoilé un nouveau partenaire pour former en France au besoin de
 connaissances professionnelles en matière de sécurité de l'information. En
 effet, le cabinet Hervé Schauer Consultants (HSC) a été nommé formateur
 officiel (ISC)² : il fournira des sessions de formation officielles (ISC)²
 CBK® aux candidats à la certification CISSP® (Certified Information Systems
 Security Professional, certification des professionnels de la sécurité des
 systèmes d'information).

 Fondé par Hervé Schauer, lui-même certifié CISSP, le cabinet de conseil
 éponyme fournit des formations sur la sécurité de l'information depuis 25
 ans. En tant que formateur officiel (ISC)², HSC organisera des sessions de
 formation officielles (ISC)² CBK selon sa méthode éprouvée, en faisant appel
 à une équipe de formateurs aguerris, un formateur principal et des consultants
 spécialisés dans différents domaines d'expertise, dont le juridique, le
 chiffrement et la continuité d'activité. Les formations comporteront également
 des exemples de questions d'examen et des corrections conçues pour aider les
 participants à mieux retenir les acquis.

 La première formation, à savoir une session de formation CBK couvrant les 10
 domaines de la certification CISSP, se déroulera sur 5 jours au centre de
 formation d'HSC à Paris, du 12 au 16 mai 2014. Hervé Schauer Consultants
 organise également une session à Luxembourg du 19 au 23 mai 2014. Ces
 formations s'accompagneront de coupons pour passer l'examen CISSP, sur six
 heures, dans les centres PearsonVUE agréés.

 « La certification CISSP est un must pour les professionnels français et
 francophones depuis 20 ans. Pour nos clients, il est essentiel d'appuyer le
 développement de cette certification, ainsi que la reconnaissance des normes
 professionnelles qui y sont associées, explique Hervé Schauer. J'ai hâte de
 représenter (ISC)² en France et d'appliquer notre méthode, qui a fait ses
 preuves, au développement des programmes en France. Ce partenariat entre deux
 leaders offre une combinaison idéale aux professionnels francophones. »

 La base de connaissances officielle (ISC)² CBK compile les sujets relatifs à
 la sécurité de l'information : de la gouvernance et de la gestion du risque au
 chiffrement et au contrôle de l'accès. Par ailleurs, tous ces contenus sont
 mis à jour régulièrement via des enquêtes job task analysis (JTA) et via les
 commentaires émis par les spécialistes du monde entier, à la fois parmi les
 membres d'(ISC)² et les grands noms du secteur.

 « Nous sommes ravis de pouvoir aider les professionnels francophones à
 atteindre leurs objectifs de développement, et ainsi répondre au besoin
 croissant, à l'échelle internationale, de professionnels compétents, à même
 de comprendre et résoudre les difficultés auxquelles nous sommes tous
 fréquemment confrontés dans ce secteur, » précise le Dr Adrian Davis,
 directeur général d'(ISC)² pour la région Europe, Moyen-Orient et Afrique
 (EMEA).

 Communiqué de presse : http://www.hsc.fr/presse/communiques.html.fr#170314

 Première session à Paris du 12 au 16 mai 2014.
 Première session à Luxembourg du 19 au 23 mai 2014.

 Plan détaillé, pré-requis :
 http://www.hsc-formation.fr/formations/cissp.html.fr
 http://www.hsc-formation.fr/formations/gestion_crise.html.fr

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704



--[ 4. Compte-rendu de la JSSI de l'OSSIR du 17 mars ]------------------

 Advanced Protection Techniques ou comment utiliser des APT contre les APT
 (Advanced Persistent Threat)
 Vasileios Friligkos et Florian Guilbert (Intrinsec)
 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
     Face à des logiciels malfaisants chiffrant les données des victimes afin
 de  les faire chanter, l'utilisation d'un système de pot de miel (honeypot)
 sur des fichiers est un moyen d'améliorer la détection de ceux-ci, en
 utilisant un branchement sur les IRP windows de type suppression/renommage
 de fichier. Cette solution peut permettre de préserver une partie des
 données utilisateur contre des logiciels malfaisants comme bitcrypt ou riseup.


 La sécurité de TLS, un voeu pieu ?
 Christophe Renard (HSC)
 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
    Après les révélations d'Edward Snowden les interceptions menées par la
 NSA, Christophe Renard est revenu sur l'utilisation de TLS.
 Deux familles d'attaques sont considérées: la première, active, reposant
 sur des défauts de vérification de l'identité du serveur, rendue possible,
 par exemple, par les failles récentes des librairies d'Apple et ou GnuTLS.
 La seconde, passive, via une collecte du trafic, puis stockage jusqu'à
 déchiffrement. L'exploitation se fait soit en profitant de failles dans les
 algorithmes de chiffrement ou de génération aléatoire, soit en s'emparant
 des clés privées du serveur. L'usage des suites incluant Diffie-Helman
 éphèmère est un moyen efficace de contrer cette dernière attaque. La
 complexité des API TLS courantes est soulignée comme cause d'erreurs majeure
 dans l'usage du protocole au sein des applications. En conclusion il est
 possible d'utiliser TLS en sécurité, mais une évolution est nécessaire dans
 les API.


 Est-il possible de sécuriser un domaine Windows ?
 Arnaud Soullié, Florent Daquet et Ary Kokos (Solucom)
 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
     Le domaine windows est prépondérant dans les SI d'entreprise. Les
 orateurs donnent les avantages et inconvénients des différentes
 infrastructures qu'ils ont rencontrées. Il en ressort que malgré les nouvelles
 options de sécurité mises en place par Windows, les domaines Windows sont le
 plus souvent compromis à cause des utilisateurs / administrateurs qui ne
 respectent pas les règles les plus simples, à savoir : restreindre le nombre
 d'administrateurs, activer la journalisation, séparer les rôles pour les
 différents usages, etc, ainsi que par la rétrocompatibilité de Windows 8.
 Pour conclure la réponse donnée, même si un peu radicale est qu'il n'est pas
 possible de sécuriser un domaine Windows.


 Outils et techniques pour attaques ciblées
 Renaud Feil (Synacktiv)
 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
     Renaud Feil a rappellé que les tests d'intrusions classiques n'étaient
 pas réalistes et trop limités et doivent être remplacés par TI dits Red Team
 bien plus proches des vraies conditions lors d'une attaque ciblée, avec
 envoi de courriel avec documents Word ou PDF infecté de logiciels malfaisants,
 ingéniérie sociale ou intrusion physique. La sensibilisation des employés
 ainsi que l'utilisation de moyens d'authentifications non communicables par
 téléphone sont des pistes pour réduire le succès des telles attaques.


 Implementation and Implications of a Stealth Hard-Drive Backdoor
 Aurélien Francillon (Eurecom)
 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
     Aurélien Francillon présente le résultat de ses recherches dont l'objectif
 était de prouver la faisabilité d'une porte dérobée intégrée dans un
 contrôleur de disque dur. L'expérience a été difficile car le code choisi
 (firmware) était un des plus gros et des plus propriétaire, n'utilisant aucune
 bibliothèque connue pour aider à la rétroingéniérie. Il a présenté une
 vidéo d'utilisation de la porte dérobée, qui est indétectable, le
 ralentissement des entrées/sorties étant moindre que celui avec un cable de
 moins bonne qualité. Il a rappellé qu'une telle attaque est dans le catalogue
 de la NSA depuis 2007 et conclus qu'il ne fallait jamais faire confiance aux
 éléments embarqués.


 L'environnement radio, de plus en plus difficile à protéger
 Renaud Lifchitz (Oppida)
 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
     Renaud Lifchitz, après une introduction des différents standards de
 communication radio, a présentée les différentes attaques simples applicables
 aux environnements sans fil telles que l'écoute passive, le brouillage ainsi
 que le rejeu. Une solution peu onéreuse a ensuite été présenté permettant à
 tout un chacun de s'initier à l'écoute radio suivie d'une démonstration à
 l'aide d'un tuner TNT doté d'un chipset RTL2832U disponible pour une
 vingtaine d'euros dans le commerce.


 La sécurité : d'une contrainte à un levier business. Retour d'expérience
 Bernard Olivier (Orange)
 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
     Cette conférence utilisant une analogie entre la défense d'un système
 d'information et celle d'un château laisse transparaître le manque d'écoute
 de l'équipe sécurité au sein du groupe Orange à travers des anecdotes sur
 les différents échecs en sécurité qu'Orange a connu.
 Le conférencier apporte des solutions afin d'essayer de justifier l'utilité
 de la sécurité à des responsables plus concernés par d'autres enjeux que la
 SSI.



--[ 5. Compte-rendu de la conférence GS-DAYS du 18 mars ]---------------

     Le 18 mars dernier se tenait la 6ème édition des GS-Days, Journées
 Francophones de la Sécurité de l'Information, à Paris. Cyberdéfense,
 cyberespionnage et surveillance de masse, autant de sujets ayant marqué
 l'année 2013. Ils ont ouvert les hostilités et transcendé l'ensemble des
 conférences.
 Big Data (Gérôme Billois et Chai Hantouche, Solucom), injction SQL, attaque
 DDoS (Emmanuel Macé, Akamai Technologies) ou encore exploitation des failles
 de sécurité des protocoles radio et ordiphones (Renaud Lifchitz et Laurent
 Chouraki, ARCI) ont fait l'objet de conférences parfois accompagnées de
 démontrations techniques. De nouveaux outils de la sécurité ont également
 été présentés tels que les relais transparents capables de déchiffrer de
 nombreux protocoles (Bertrand Mesot, Objectif Sécurité SA) ou encore les
 coffres forts numériques dans le domaine de la santé (Hervé Barge et Didier
 Barzin de l'Agence Luxembourgeoise e-santé et Michel Ackerman de Business
 Consultant EBRC). Les consultants HSC étaient également présents pour deux
 conférences.

     Frédéric Connes et Amélie Paget, consultants juridiques HSC, ont présenté
 les nouveaux usages qui obligent les organismes à réviser leur charte
 informatique. L'objectif est d'intégrer ces évolutions numériques de façon
 maîtrisée au SI grâce à des règles d'utilisation strictes et un contrôle
 associé, tout en respectant l'espace de vie privée résiduelle de chaque
 utilisateur. Ont notamment été abordées les problématiques liées au BYOD
 et COPE, au cloud computing, aux réseaux sociaux et à l'utilisation, par
 l'employeur, de proxy SSL man-in-the-middle.
     De nombreuses entreprises souhaitent autoriser le BYOD afin de répondre
 aux demandes de flexibilité de leurs salariés. Cette pratique doit être
 encadrée. Les impératifs de sécurité peuvent alors être rappelés dans la
 Charte informatique. La connexion d'un appareil personnel au SI professionnel
 doit être préalablement autorisée. Cette autorisation est conditionnée à
 l'acceptation de la création d'un espace professionnel sur le terminal du
 salarié et d'un paramétrage spécifique adapté aux impératifs de sécurité et
 d'interopérabilité du SI de l'entreprise. Des obligations de mise à jour et
 de sauvegarde doivent également être imposées aux salariés. L'utilisation
 du terminal personnel peut être limitée au seul accès aux données
 professionnelles, leur stockage sur l'appareil étant prohibé. La Charte doit
 rappeler aux salariés que l'employeur peut, à tout moment, contrôler
 l'appareil personnel pour vérifier le respect des exigences de sécurité.
 Enfin, concernant l'accès aux données du terminal personnel, la jurisprudence
 demeure incertaine. Mais, l'analyse de l'arrêt rendu le 12 février 2013 par la
 chambre sociale de la Cour de cassation laisse à penser que, dès lors que les
 données du terminal sont accessibles depuis le SI de l'entreprise, elles sont
 présumées professionnelles sauf à être identifiées comme personnelles.
     Côté médias, les entreprises doivent aujourd'hui encadrer la présence
 de leurs salariés sur les réseaux sociaux. La Charte permet de rappeler aux
 salariés qu'ils sont tenus à une obligation de loyauté et de confidentialité
 à laquelle leurs publications sur la toile ne doivent pas contrevenir.
 Certains organismes souhaitent également encourager la présence de leurs
 salariés sur les réseaux professionnels afin de renforcer leur visibilité
 sur la toile. La Charte permet de véhiculer cet objectif. Ainsi, la navigation
 sur ces réseaux aux temps de travail peut être admise dès lors qu'elle
 est faite dans l'intérêt de l'entreprise et qu'elle ne nuit pas à la
 productivité du salarié. Cette navigation doit être distinguée de la
 communication faite au nom de l'entreprise. Cette dernière doit impérativement
 être soumise à autorisation préalable de l'organisme ou à la
 validation par la direction de chaque écrit avant leur mise en ligne. Enfin,
 les messageries instantanées professionnelles se multiplient au sein des
 entreprises. Il se révèle alors indispensable de rappeler, par la Charte
 informatique, certains principes à leurs utilisateurs tels que le respect
 de la hiérarchie et de ses collègues.
 De nombreuses autres problématiques ont été abordées lors de cette conférence,
 nous vous invitons à consulter son support ici :
 http://www.hsc.fr/ressources/presentations/gsdays2014_charte/index.html.fr

     L'année 2013 fut aussi marquée par la révision des normes ISO27001 et
 ISO27002. Ces textes, dans leur nouvelle version, ont été présentés par
 Claire Carré (Solucom) et Béatrice Joucreau (HSC), membres du Club 27001.
 Ces normes érigent une méthode de gestion de la sécurité d'un SI et les
 mesures de sécurité associées. La démarche proposée permet aux organismes
 d'adopter les bonnes pratiques en matière de sécurité et d'adapter le SMSI
 à leurs contraintes. La nouvelle version de l'ISO27001 offre d'ailleurs
 plus de latitude aux organismes pour tendre vers une gestion de risque sur
 mesure. Une certification ISO27001 est également envisageable. Atout
 concurrentiel certain, elle est facteur de confiance sur le marché. Aussi,
 la version de 2013 intègre-t-elle les attentes des parties prenantes. Ces
 attentes constituent d'ailleurs l'un des critères, avec les contextes
 interne et externe, permettant à l'organisme de définir le périmètre de son
 SMSI.
     Quant aux mesures de sécurité présentées par l'ISO27002, la version de
 2013 visait leur simplification. Le découpage de la norme en chapitres, plus
 clair et plus lisible pour les différents services de l'organisme, participe
 à cet objectif. 6 nouvelles mesures sont apparues, 26 ont été supprimées et
 29 ont été modifiées. Avec ces évolutions, la tendance est à la généralisation
 des mesures : la norme clarifie les objectifs de sécurité et ne décrit plus
 comment ils doivent être atteints, chaque organisme pouvant ainsi adapter les
 mesures à ses spécificités. Selon Claire Carré, malgré ces avancées, certaines
 dispositions de l'ISO27002 demeurent peu auditables. Certaines évolutions
 technologiques telles que la sécurité des réseaux sans fil, la virtualisation
 et le cloud computing n'ont pas été intégrées à la norme. Enfin, la
 cybercriminalité aurait pu être intégrée parmi les menaces.
 Vous pourrez consulter les supports de cette présentation prochainement
 sur le site web d'HSC.



--[ 6. Offres d'emploi pour consultants en sécurité ]-------------------

  +-------------------------------------------------------------+
  | HSC recherche des consultants expérimentés 2 à 6 ans d'exp. |
  +-------------------------------------------------------------+

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC
 (intrusion, inforensique, Windows, SCADA, ISO27001, ISO22301, EBIOS, etc.),
 soit 2 à 6 semaines de formations suivies dans le cadre de la prise de
 fonction.

     HSC recherche également des stagiaires pour des stages de pré-embauche.

     Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la
 gare Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2), avec
 réfectoire et espace détente. Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ascii (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 7. Nouvelle formation : "Gestion de crise IT/SSI" ]-----------------

     Malgré tous nos principes de sécurité comme la défense en profondeur, les
 méthodes proactives demeurent limitées et tout un chacun est confronté un
 jour à une crise due à des incidents informatiques ou un problème de sécurité.
 Il faut donc maîtriser cette réaction d'urgence et s'y préparer. Afin de
 répondre à ce besoin exprimé par nos clients, HSC propose une nouvelle
 formation, spécifique sur la gestion de crise autour d'un sinistre SSI, qui
 complète notamment les formations d'une semaine SANS SEC 504 "Techniques de
 hacking, exploitation de failles et gestion des incidents", ISO22301 Lead
 Implementer (continuité d'activité), et la formation d'une journée "Gestion
 des incidents de sécurité ISO27035".

 Première session à Paris le vendredi 27 juin.

 Plan détaillé, pré-requis :
 http://www.hsc-formation.fr/formations/gestion_crise.html.fr

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704



--[ 8. Agenda des interventions publiques ]-----------------------------

 - 3 avril 2014 - CNSSIS - Le Mans
   Table-ronde "Du bon usage des normes ISO dans la sécurité des SI de Santé"
   Hervé Schauer, participant à la table-ronde
   http://www.apssis.com/2014/4416485

 - 10 avril 2014 - Cloud Computing World Expo - CNIT Paris La Défense
   Table-ronde "Comment mettre en place de la très haute sécurité dans
   le cloud ?"
   Hervé Schauer, participant à la table-ronde
   http://www.cloudcomputing-world.com/tous-cloud.php?elt=event&conference

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 9. Prochaines formations HSC ]--------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        RGS : la SSI pour le secteur public    .    : 4 avril
        Inforensique Windows (SANS FOR408/GIAC GCFE): 7 au 11 avril (*)(#)
        ISO 22301 Lead Implementer    ..........    : 7 au 11 avril (#)
        Correspondant Informatique et Libertés      : 9 au 11 avril (@)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 14 au 19 avril (*)(#)
        Essentiels de l'ISO27001:2013    .......    : 28 avril
        Formation CISSP    .....................    : 12 au 16 mai (#)
        ISO 27001 Lead Implementer    ..........    : 12 au 16 mai (#)
        PKI : principes et mise en oeuvre    ...    : 14 au 16 mai (*)
        ISO 27005 Risk Manager    ..............    : 19 au 21 mai (#)
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 19 au 23 mai (*)(#)
        ISO 27005 Risk Manager    ..............    : 19 au 21 mai (#)
        Risk Manager Avancé    .................    : 22 et 23 mai
        Essentiel de PCI-DSS    ................    : 2 juin
        ISO 27001 Lead Auditor    ..............    : 2 au 6 juin (#)
        EBIOS Risk Manager    ..................    : 11 au 13 juin (#)
        Sécurité SCADA  ........................    : 16 at 17 juin
        Formation DNSSEC   .....................    : 18 et 19 juin (*)
        Techniques de hacking, exploitation de failes
        et gestion des incidents (SEC504/GCIH)      : 23 au 27 juin (*)(#)
        Essentiels de l'ISO27001:2013    .......    : 23 juin
        Mesures de sécurité ISO 27002:2013   ...    : 24 et 25 juin
        Indicateurs & tableaux de bord SSI/ISO27004 : 25 juin
        Gestion des incidents de sécurité/ISO27035  : 26 juin
        Gestion de crise IT/SSI    .............    : 27 juin
        Essentiels juridiques pour gérer la SSI     : 26 et 27 juin
        ISO 27005 Risk Manager    ..............    : 30 juin au 2 juillet (#)
        ISO 27001 Lead Implementer    ..........    : 30 juin au 4 juillet (#)
        Essentiels de l'ISO22301    ............    : 11 septembre
        ISO 27001 Lead Auditor    ..............    : 15 au 19 septembre (#)
        Protéger les applis web (DEV522 /GIAC GWEB) : 22 au 26 septembre (*)(#)
        Essentiels techniques de la SSI    .....    : 29 et 30 septembre
        Formation RSSI    ......................    : 6 au 10 octobre
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 13 au 17 octobre (*)(#)
        Sécurité du Cloud Computing    .........    : 27-29 octobre
        ISO 22301 Lead Auditor    ..............    : 3 au 7 novembre (#)
        Rétroingénierie de logiciels malfaisants
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 3 au 7 novembre (*)(#)
        Essentiels Informatique et Liberté   ...    : 12 novembre
        Outils et techniques d'analyse
        (SANS FOR610/GIAC GREM)   ..............    : 24 au 28 novembre (*)
        Tests d'intrusion avancés, exploitation de
        failles et hacking éthique (SEC660/GXPN)    : 1 au 6 décembre (*)(#)
        Expert Sécurité Linux    ...............    : 8 au 12 décembre (*)(#)
        Tests d'intrusion avancés des applications
        web et hacking éthique (SANS SEC642)  ...   : 2eme semestre 2014 (*)
        Sécurité du WiFi    ....................    : mars 2015  (*)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 1er semestre 2015 (*)(#)
        Inforensique réseau avancée (SANS FOR572)   : 1er semestre 2015 (*)
        Inforensique ordiphones/tablettes (FOR585)  : 1er semestre 2015 (*)(#)


 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC ou LPI
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : session de formation complète

 - Luxembourg
        Formation CISSP    .....................    : 19 au 23 mai (#)
        ISO 27005 Risk Manager    ..............    : 4 au 6 juin (#)
        ISO 22301 Lead Implementer    ..........    : 16 au 20 juin (#)
        ISO 27001 Lead Implementer    ..........    : 27 au 31 octobre (#)
        ISO 27001 Lead Auditor    ..............    : octobre 2015 (#)

 - Lyon
        ISO 27005 Risk Manager    ..............    : 16 au 18 avril  (#)
        Essentiels juridiques pour gérer la SSI     : 28 au 29 novembre
        Correspondant Informatique et Libertés      : mars 2015 (@)

 - Marseille
        Correspondant Informatique et Libertés      : 19 au 21 novembre (#)

 - Rennes
        Correspondant Informatique et Libertés      : 21 au 23 mai (@)
        Essentiels juridiques pour gérer la SSI     : 12 et 13 décembre

 - Toulouse
        Essentiels de l'ISO27001:2013    .......    : 14 avril
        ISO 27005 Risk Manager    ..............    : 4 au 6 juin (#)
        ISO 27001 Lead Implementer    ..........    : 23 au 27 juin (#)
        Correspondant Informatique et Libertés .    : 1 au 3 octobre (@)
        ISO 27001 Lead Auditor    ..............    : juin 2015 (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Intertek sur
 ses formations.

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2014 en PDF sur http://www.hsc-formation.fr/



--[ 10. Actualité des associations : Club 27001, OSSIR et Clusif ]--------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris le jeudi 22 mai
         - "Application de la version 2013 de l'ISO 27002 dans l'assurance"
            par Fabien Dupré (Harmonie Technologie)
         - "La série des guide ISO 27034é
           par Sébastien Gioria (Advens) (en cours de confirmation)
     . Prochaine réunion à Toulouse au second trimestre
     . Prochaines réunions à Marseille, Rennes et Lyon annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 8 avril à l'INRIA Paris
         - Retour d'expérience sur la certification PCI-DSS par Gérard Boudin
           et Jean-Philippe Gaulier (Orange)
         - Compte-rendu de la conférence Insomni'hack par Guillaume Lopes et
           Thibaud Binetruy (Intrinsec)
         - Revue d'actualité par Nicolas Ruff (EADS)
     . Prochain AfterWorks OSSIR à Paris 20 mai
     . Réunion suivante à Paris le mardi 13 mai
     . Prochaine réunion à Toulouse mardi 15 avril à l'Université 1 Capitole
         - Bilan sur les failles et attaques de 2013 par Philippe Bourgeois
           (CERT-IST)
         - Collaboration internationale et data protection, n'enfreindriez
           vous pas la loi avec le cloud ? par Florence Dupré et Romain
           Bottan (Airbus Defence and Space Cybersecurity, anciennement
           Cassidian)
     . Prochaine réunion à Rennes au second trimestre

 o Clusif (http://www.clusif.fr/)
     . Conférence le jeudi 10 avril 2014 au siège d'Orange sur Plan de
       Continuité et de Reprise d'Activité à 16h00
       https://www.clusif.fr/fr/infos/event/#conf140410



--[ 11. Le saviez-vous ? La réponse ]------------------------------------

      Pour comprendre comment générer un fichier compréhensible par OpenSSL,
 il faut d'abord s'intéresser aux formats de fichier qu'il comprend. Le plus
 simple est le format DER qui encode une structure ASN.1.

 ASN.1 est une norme permettant la représentation de données.  C'est un
 format générique, très utilisé pour représenter de nombreuses informations en
 cryptographie, mais qui est utilisé dans des contextes variés.

 La structure ASN.1 d'une clef privée RSA est la suivante :
    RSAPrivateKey ::= SEQUENCE {
      version           Version,
      modulus           INTEGER,  -- n
      publicExponent    INTEGER,  -- e
      privateExponent   INTEGER,  -- d
      prime1            INTEGER,  -- p
      prime2            INTEGER,  -- q
      exponent1         INTEGER,  -- d mod (p1)
      exponent2         INTEGER,  -- d mod (q-1)
      coefficient       INTEGER,  -- (inverse of q) mod p
      otherPrimeInfos   OtherPrimeInfos OPTIONAL
    }

 La version vaut toujours 0 et le publicExponent est fixé à 65537
 (valeur par défaut) pour toutes les clefs générées avec l'outil OpenSSL
 lors de nos tests.

 Pour créer une structure ASN.1 valide, il suffit donc de calculer les valeurs
 des autres éléments.

 En ruby, cela peut être fait de la façon suivante avec la bibliotheque GMP :
    require 'gmp'
    include GMP

    pub_exp = Z.new(65537)
    p = Z.new(ARGV[0]) # on récupère prime1 sur la ligne de commande
    q = Z.new(ARGV[1]) # prime2 aussi :)

    modulus = p * q
    phi_modulus = (p - 1) * (q - 1)
    priv_exp = pub_exp.invert(phi_modulus)
    exponent1 = priv_exp.tmod(p-1)
    exponent2 = priv_exp.tmod(q-1)
    coefficient = q.invert(p)

 Il est ensuite possible de créer une structure ASN.1 et l'encoder en DER en
 utilisant OpenSSL et les informations récupérées précédemment :

    require 'openssl'
    include OpenSSL
    res = []
    res << ASN1::Integer.new(0, 0)
    res << ASN1::Integer.new(modulus.to_i,0)
    res << ASN1::Integer.new(pub_exp.to_i, 0)
    res << ASN1::Integer.new(priv_exp.to_i, 0)
    res << ASN1::Integer.new(p.to_i, 0)
    res << ASN1::Integer.new(q.to_i, 0)
    res << ASN1::Integer.new(exponent1.to_i, 0)
    res << ASN1::Integer.new(exponent2.to_i, 0)
    res << ASN1::Integer.new(coefficient.to_i, 0)

    sequence = ASN1::Sequence.new( res )
    der = sequence.to_der

 Notre variable "der" contient notre clef privée encodée au format ASN.1. On
 peut ensuite l'écrire dans un fichier ou l'utiliser directement avec les
 bibliothèques OpenSSL.


  Et pour mettre en pratique, voici un message chiffré à l'aide de RSA avec
  OpenSSL et encodé en Base64 :
  Ewu9T/2vfJKTkXfqDHcyQob/BrKlDTb4I80QG3xeiB6/YVcdpHBdmfIjy8pzkIfALpDQ/iP5qXw+
  WK1EOOEaoi0OiYWILFwDBoWsIJ+Lr+qnXnfIbRFj99mA94ABV2nx8WIsGJ2QITaEACzbUDhFkapv
  pw9C/c3webXXjNg64wRd2oJ+2cAgFegwz09KQ0Sel0YZ4ap8ozeUJVX15oCli96i+d1GcRHpp5KX
  EDL/5RF6bqfcBilfhA/4gH/P9cUozX8J0K20qL/hOmTgDpUu3HuAkFfADgyqcWJLj3sctjQe97rw
  ufVsryhpvhhfxKv75wufpN7mGf57hpcjuifJdg==

 Et voici les informations publiques(en décimal) de la clef (2048 bits) utilisée :
  - Module de chiffrement : 298307261345117379553324396748628195680076087953122
    865279935466240376863127204579564876810715227163060797196020449204144632759
    103304496081571053832765851126442144412573454781693527612603950399125596857
    026241652917978596601827422171040826614163836903864845072591268694865201511
    494321271862119870267873089389049990657706884711460473672219481630559674409
    597501086898293156360153940431749066493966554071353495996833216034222043251
    980921239463717599984619762687254908193595185984519919141342777956369368573
    351024787870327426741519858990632960698224339536533638726336648578796023119
    21136618027570360606634123831081067189477
  - Exposant public : 65537


  Happy cracking !


 Quelques sources intéressantes :
  - https://polarssl.org/kb/cryptography/asn1-key-structures-in-der-and-pem
  - http://en.wikipedia.org/wiki/RSA_%28cryptosystem%29
  - http://en.wikipedia.org/wiki/ASN.1




Plus d'informations sur la liste de diffusion newsletter