[Newsletter HSC] N°117 - Mai 2014

Newsletter d'information de HSC newsletter at hsc-news.com
Mar 6 Mai 18:46:20 CEST 2014


========================================================================
              HSC Newsletter  --  N°117 --  mai 2014
========================================================================





     « Le péril s'évanouit quand on ose le regarder »


                                        [ François René de Chateaubriand ]





--[ Sommaire ]----------------------------------------------------------

      1. Éditorial
      2. Le saviez-vous ? La solution du mois dernier
      3. Le saviez-vous ? La question
      4. Compte-rendu de la conférence du Club 27001 2014
      5. 8e Rencontres de l'ARCSI à Toulouse le 13 juin
      6. HSC formateur officiel (ISC)² pour la préparation au CISSP
      7. Nouvelle formation : "Gestion de crise IT/SSI"
      8. Offres d'emploi pour consultants
      9. Nouveautés du site web HSC
     10. Agenda des interventions publiques
     11. Prochaines formations HSC
     12. Actualité des associations : Club 27001, OSSIR et Clusif
     13. Le saviez-vous ? La réponse



--[ 1. Éditorial - Hervé Schauer ]--------------------------------------

     La faille de sécurité 'Coeur qui Saigne' ('Heartbleed') est
 impressionnante dans le sens où elle permet à l'attaquant de voir la mémoire
 d'un serveur ou d'un client distant. Ce qu'elle nous rappelle est la
 disproportion invraisemblable entre l'importance des logiciels libres dans la
 société, le fait que toutes les infrastructures dont nous ne pouvons nous
 passer existent grâce aux logiciels libres et le peu de considération dont ils
 font l'objet.

 OpenSSL dépend du volontariat d'une poignée de développeurs permanents et de
 quelques contributeurs occasionnels. La licence BSD sous laquelle cette
 bibliothèque est distribuée permet de l'incorporer très généreusement et de
 nombreux éditeurs l'ont intégrée dans leurs produits. Les failles sont
 toujours l'occasion de découvrir qui utilise quoi. La faille de 2002 [1] sur
 Zlib avait par exemple permis de découvrir l'ubiquité de cette bibliothèque de
 code maintenue par une paire de développeurs.  Une majorité de notre
 infrastructure informationnelle dépend de code libre.  C'est un résultat
 souhaitable : le logiciel libre a vocation à être réutilisé, de permettre de
 se concentrer sur le nouveau et non sur une Nième réimplémentation de la roue.

 Rappelons-le donc : si le code libre n'était pas satisfaisant, il ne serait
 pas utilisé. Il a l'avantage sur le code fermé d'être auditable, critiqué et
 critiquable. En ce qui concerne OpenSSL [2], une recherche dans la base du
 NIST n'y identifie que 91 CVE depuis 1999 [3]. C'est peu pour un code aussi
 complexe, et beaucoup pour un code aussi vital.

 Rappellons que la loi dite "De Linus" [4], qui veut que si assez d'yeux se
 penchent sur un code tous les bugs en disparaissent, ne fonctionne que si l'on
 regarde le code. En pratique, la plupart des logiciels libres utilisés chaque
 jour comprennent des parts d'ombre, des portions de code qui n'ont pas été
 revues depuis trop longtemps et sur lesquelles chacun compte implicitement.

 En réaction à la faille OpenSSL, des géants du logiciel ont lancé la
 Core-Infrastructure Initiative [5], gérée par la Linux Foundation et destinée
 à financer le travail sur les briques fondamentales venues du logiciel libre.
 La réalisation que les milliards de dollars de chiffre d'affaire de ces
 entreprises dépendent de quelques quarterons de développeurs est bienvenue,
 quoique tardive. OpenSSL a reçu 840 $ de dons depuis la faille [6].  Il
 convient de prendre conscience de l'importance de ce travail commun et
 collaboratif qu'est le logiciel libre, et trouver un moyen universel de le
 soutenir.

 Mais plus encore que de l'argent, c'est de contributions pratiques, d'yeux
 chassant les erreurs, de correctifs, dont les projets libres ont besoin.  Si
 un utilisateur détecte et corrige un bug, tous y gagnent. Si chacun se
 contente d'intégrer du code sans contribuer au pot commun tout le monde y
 perd.

 Le logiciel libre fait maintenant partie d'un patrimoine commun à l'humanité,
 c'est à chacun d'entre nous de choisir entre grapiller un bas relief ou
 contribuer à l'oeuvre commune. Au minimum, nous devons reconnaissance à ces
 Hommes dont nous utilisons chaque jour le fruit de leur travail.


 [1] http://www.zlib.net/advisory-2002-03-11.txt
 [2] voir le projet LibreSSL pour une critique accerbe, mais détaillée http://www.libressl.org
 [3] http://web.nvd.nist.gov/view/vuln/search-results?adv_search=true&cves=on&query=&cwe_id=&cpe_vendor=cpe%3a%2f%3aopenssl&cpe_product=cpe%3a%2f%3aopenssl%3aopenssl
 [4] http://fr.wikipedia.org/wiki/Loi_de_Linus
 [5] http://www.linuxfoundation.org/programs/core-infrastructure-initiative
 [6] https://twitter.com/0xdabbad00/status/454251253854662656



--[ 2. Le saviez-vous ? La solution du mois dernier ]-------------------

     Le mois dernier nous vous avions fourni un petit challenge à résoudre.
 Le but était de casser une clef RSA de 2048 bits et de générer un fichier
 compréhensible par OpenSSL pour pouvoir déchiffrer du texte. Les informations
 de clefs publiques sont les suivantes :
  - Module de chiffrement : 298307261345117379553324396748628195680076087953122
    865279935466240376863127204579564876810715227163060797196020449204144632759
    103304496081571053832765851126442144412573454781693527612603950399125596857
    026241652917978596601827422171040826614163836903864845072591268694865201511
    494321271862119870267873089389049990657706884711460473672219481630559674409
    597501086898293156360153940431749066493966554071353495996833216034222043251
    980921239463717599984619762687254908193595185984519919141342777956369368573
    351024787870327426741519858990632960698224339536533638726336648578796023119
    21136618027570360606634123831081067189477
  - Exposant public : 65537
 Le texte à déchiffrer est le suivant (encodé en base64) :
  Ewu9T/2vfJKTkXfqDHcyQob/BrKlDTb4I80QG3xeiB6/YVcdpHBdmfIjy8pzkIfALpDQ/iP5qXw+
  WK1EOOEaoi0OiYWILFwDBoWsIJ+Lr+qnXnfIbRFj99mA94ABV2nx8WIsGJ2QITaEACzbUDhFkapv
  pw9C/c3webXXjNg64wRd2oJ+2cAgFegwz09KQ0Sel0YZ4ap8ozeUJVX15oCli96i+d1GcRHpp5KX
  EDL/5RF6bqfcBilfhA/4gH/P9cUozX8J0K20qL/hOmTgDpUu3HuAkFfADgyqcWJLj3sctjQe97rw
  ufVsryhpvhhfxKv75wufpN7mGf57hpcjuifJdg==

     Cette clef faisant 2048 bits, si elle avait été correctement générée, il
 aurait été très difficile de la casser avant la publication de cette
 newsletter !

     Pour rappel, le module de chiffrement est le produit des deux nombres
 premiers ayant servi à la générer. Découvrir ces nombres premiers permet de
 reconstituer la clef secrète. Une clef RSA dépend donc fortement de la qualité
 des nombres premiers choisis et si un de ces nombres est très faible, il est
 alors facile de les retrouver tous les deux. Le script ruby suivant permet de
 retrouver les facteurs de la clef en quelques secondes :
     n = module_de_chiffrement
     require 'prime'
     Prime.each do |p|
       if (n % p) == 0
         puts "prime1 : #{p}"
         puts "prime2 : #{n/p}"
         break
       end
     end

     Le premier nombre premier utilisé valait seulement 989999 ce qui explique
 qu'il soit facile à retrouver. Fort heureusement, aucun outil ne génère de
 clef RSA avec un nombre premier si petit.

     Une fois les nombres premiers retrouvés, on peut utiliser les informations
 de la dernière newsletter pour générer un fichier DER utilisable par OpenSSL
 pour retrouver le contenu du texte chiffré :
    $ openssl rsa -in key.der -inform der -out key.pem
    writing RSA key
    $ openssl rsautl -decrypt -in encrypted.txt -inkey key.pem
    I can h4ck weak RSA keys!%



--[ 3. Le saviez-vous ? La question ]-----------------------------------

     Lors des tests d'intrusion il n'est pas rare d'identifier des LFI
 (Local File Inclusion) permettant à un attaquant, entre autre, d'afficher des
 fichiers locaux sur son navigateur. Une technique commune est d'utiliser les
 fichiers de journalisation d'Apache pour y exécuter un webshell et passer
 d'une simple LFI à une exécution de code directement sur le système (log
 poisoning).

     Connaissez-vous un autre fichier de log qui le permette ?

     Réponse au paragraphe 13.


--[ 4. Compte-rendu de la conférence du Club 27001 2014 ]----------------
    par Tony Bélot et Béatrice Joucreau

     Dans le cadre des GS-days du 18 mars 2014, s'est tenue la septième
 conférence  annuelle du Club 27001 à l'espace Saint-Martin (Paris).

     Alain De Greve (Président du groupe de coordination belge de la
 normalisation en SSI pour les normes ISO 27000) dresse le panorama des statuts
 des normes, en commençant par l'ISO 27000 et jusqu'à l'ISO 27050.
 Aujourd'hui, ce ne sont pas moins de 175 projets (dont 75 actifs) qui sont
 portés par les groupes de travail du SC27. Après un rappel sur le schéma de
 normalisation aux niveaux international, européen et national, le cycle de
 développement d'une norme est présenté : avant de devenir une norme
 internationale, toute norme enchaîne plusieurs statuts (New Project, Working
 Draft, Commitee Draft, Draft International Standard, Final Draft International
 Standard, et enfin International Standard). Le passage à un statut supérieur
 nécessite l'obtention d'un certain nombre de votes favorables de la part des
 représentants des 53 pays présents aux réunions plénières de normalisation.
 Tous les trois ans, chaque norme entre dans une phase de pré-revue et une
 revue est réalisée tous les cinq ans. Les projets de norme sont principalement
 portés par le WG1 (dédié aux aspects organisationnels de la SSI) et WG4 (dédié
 aux aspects techniques de la SSI).
     Parmi les 75 projets actifs, les futures normes :
 - ISO/IEC 27009 The use and application of iso/iEC 27001 for
   sector/service-specific Third-Party accredited certifications
 - ISO/IEC 27016 Information security management - Organisational economics
 - ISO/IEC 27017 Guidelines on Information security controls for the use of
   cloud computing services based on ISO/IEC 27002
 - ISO/IEC 27021 Certification of Information Security Management Professionals

     Matthieu Grall (Expert à la Commission Nationale de l'Informatique et des
 Libertés) présente les investissements réalisés par la CNIL à l'ISO. Au
 travers de sa contribution, la CNIL entend intégrer sa vision dans les normes
 ISO et plus globalement faire passer les positions françaises et européennes à
 l'international. Etant déjà parvenue à faire appliquer les remarques du G29
 (Groupe européen des autorités de protection) dans la norme ISO 29100 (Privacy
 framework), la CNIL souhaite se positionner davantage sur la certification de
 systèmes de management, mais aussi sur des sujets tels que la prise en compte
 de la vie privée dans la gestion de risques, des guides de bonnes pratiques
 relatifs au cloud computing et à la protection de la vie privée ou les
 spécifications pour les coffres-forts numériques. Avec le texte commun défini
 dans l'annexe SL des directives de l'ISO, chacune des quinze normes de
 systèmes de management existantes (mais également les futures) suit le même
 plan, et la plus grande partie du texte est commun à ces normes. Les normes de
 systèmes de management peuvent comporter des éléments spécifiques si cela est
 dûment justifié. Dans le cas de l'ISO 27001, les seuls écarts acceptés l'ont
 été lorsque le texte commun n'était pas compatible avec la sécurité de
 l'information. Les éléments qui n'étaient "que" préférables n'ont pas été
 ajoutés. La nouvelle ISO 27001 présente ainsi une structure plus simple et
 plus logique, elle intègre une gestion des risques projet, implique plus les
 parties intéressées, et modifie la conception des responsabilités sur les
 risques.
 Quant à l'annexe A, sa fonction primaire n'est pas d'aider à déterminer des
 mesures de sécurité, mais de permettre de disposer d'un référentiel commun
 pour comparer les mesures entre plusieurs SMSI. L'ISO 27002 a également été
 réorganisée, mais des manques sont toujours à déplorer. Enfin, les autres
 normes touchant aux SMSI vont être révisées pour être rendues compatibles avec
 la nouvelle ISO 27001.

     Suite à l'avancement du projet de certification du SMSI de Elfe, Sophie
 de Visme (RSMSI) et Ando Rakotonirina (Responsable du SI) reviennent sur
 l'importance des fondamentaux dans une démarche de certification ISO 27001.
 Initié en 2010, le projet de Elfe a débuté par la construction du système
 d'information, basé sur une approche fonctionnelle et indépendante de la
 technologie utilisée. En effet, dans un contexte où un grand nombre
 d'exigences réglementaires sont applicables, la sécurité des données doit être
 garantie sur 20 ans. L'étude consiste à suivre 18000 enfants, de la naissance
 à l'âge adulte, et à mettre à disposition de 400 chercheurs des données
 scientifiques anonymisées, sans possibilité de recoupement. Son succès dépend
 de la capacité à fournir la confiance aux parties prenantes, incluant les
 familles participantes. Conscient qu'il est impossible d'obtenir un SMSI clé
 en main, utile et fonctionnel, Elfe a fait le choix de se faire accompagner
 par HSC tout au long de la démarche de mise en oeuvre du SMSI.  Ceci dans le
 but de monter en compétences sur le sujet et de s'approprier le SMSI. Depuis
 janvier 2013, un chantier de formalisation de l'existant a débuté, mais
 également de mise en conformité à la norme : définition des processus de
 sécurité, réalisation d'une analyse de risques, etc. La nature des tâches de
 fond, une équipe réduite (6 personnes) et des tâches opérationnelles plus
 prioritaires ont contribués au ralentissement du travail sur le SMSI. Un
 message fort de la Direction a néanmoins permis de relancer le projet et de
 fixer un objectif de certification à mai 2014. Aujourd'hui, Elfe souhaite que
 sa démarche inspire d'autres organismes, d'autant que son ministère de tutelle
 pousse la démarche ISO 27001.

     Le centre de recherche luxembourgeois Henri Tudor (CRP Henri Tudor) a mis
 en oeuvre une méthodologie de gestion des risques pour la société Labgroup.
 Nicolas Mayer a présenté au Club 27001 un retour d'expérience sur
 l'implémentation de cette méthode dans le cadre d'un SMSI devant répondre à de
 multiples contraintes normatives et réglementaires.
 Labgroup est une société luxembourgeoise spécialisée dans l'archivage. Après
 n'avoir proposé que de l'archivage physique, elle s'est diversifiée dans
 l'archivage numérique. En tant que prestataire de service pour le secteur
 financier, Labgroup est soumise aux circulaires émises par la Commission de
 Surveillance du Secteur Financier, qui régule les professionnels du secteur
 financier de support (PSF de support). En particulier, Labgroup doit fournir
 annuellement à la CSSF deux rapports, dont le contenu est régi par la
 circulaire CSSF 12/544. L'un de ces rapports est une analyse de risques
 opérationnels ainsi que stratégiques et financiers.
 En outre, Labgroup, en tant que prestataire d'archivage numérique, a pour
 objectif de se faire certifier Prestataire de Services de Dématérialisation ou
 de Conservation, ce qui implique entre autres exigences, d'être conforme à la
 norme ISO 27001 et de prendre en considération les mesures de son annexe A.
 Dans le cadre de son SMSI, elle doit réaliser une appréciation des risques, et
 pour cela, prendre en compte des exigences supplémentaires provenant de la
 circulaire CSSF 12/544. Ces exigences couvrent, pour une grande partie, des
 risques de sécurité de l'information, déjà traités par l'appréciation des
 risques SMSI. Le centre de recherche a donc imaginé une approche intégrée pour
 gérer tous ces risques ensemble.
 Une étude des similarités puis des spécificités des deux approches a permis de
 voir qu'il était possible d'appliquer la même formule de calcul de niveau de
 risque pour les deux types de risque. Par ailleurs, la probabilité s'estime de
 la même manière, c'est uniquement le type d'impact qui change. Alors que les
 risques de sécurité de l'information privilégient les impacts en CID, les
 autres risques traités par la CSSF 12/544 privilégient les conséquences en
 termes opérationnels, financiers, légaux ou de réputation. Finalement, un
 système de gestion des risques intégrant les deux types de risques a été mis
 en place.
 Ceci a permis à Labgroup de gérer à la fois les exigences du SMSI et de la
 circulaire CSSF 12/544. Il s'agira ensuite d'intégrer les mesures propres au
 PSDC.

     David Coomes a présenté son retour d'expérience concernant la mise en
 place d'un SMSI chez IATA (International Air Transport Association). Le
 périmètre de ce SMSI couvre des applications hébergées dans des datacenters du
 monde entier et il a permis d'externaliser en toute sécurité.  L'appréciation
 des risques a considéré 23 applications. L'approche a consisté à découper ces
 applications en couches, allant du niveau physique au niveau application, puis
 à étudier les risques sur chacune de ces couches.  Trois types d'applications
 se sont distinguées :
  - la gestion de toutes les couches est réalisée par IATA
  - IATA ne gère que la couche applicative, toutes les autres sont
    externalisées
  - toutes les couches sont gérées par des tiers, IATA est seulement
    utilisatrice de l'application.
 Plus la gestion a été confiée à des tiers, plus l'appréciation des risques est
 simple à réaliser.
 Pour autant, les risques pesant sur les couches gérées par IATA ne doivent pas
 être négligés. La sensibilisation reste, pour la gestion de ces risques,
 incontournable.

     Alexandre Fernandez Toro fait un focus sur les aspects pratiques de la
 réalisation d'une appréciation des risques dans le cadre de la mise en oeuvre
 d'un SMSI. Les principales étapes d'une AdR sont abordées au cours de la
 conférence, avec pour chacune la vision théorique, les obstacles rencontrés et
 les solutions apportées afin que l'AdR soit un outil de clarification,
 planification et de sensibilisation. Ci-dessous sont listées ses
 recommandations.
 Le nombre d'actifs à retenir est important. Il est en effet difficile de
 trouver un bon compromis entre exhaustivité et granularité. Un maximum de 50
 actifs par métier ou activité est recommandé, déterminés au cours de deux
 entretiens entre le RSMSI, le RSSI et le métier. Au total, une réunion
 n'excédant pas 4 heures est amplement suffisante.
 L'obtention d'échelles pertinentes peut être assurée par la réalisation d'un
 entretien avec le métier, qui exprime alors les impacts de manière réaliste.
 Le RSMSI n'a alors plus qu'à retranscrire ces impacts sous forme d'échelles.
 La formule permettant de calculer le niveau de risque doit permettre d'obtenir
 des résultats cohérents : tous les risques ne doivent pas être importants.
 Déterminer la formule par tatonnement est la solution.  Le plan de traitement
 des risques peut rapidement devenir complexe. Les mesures de sécurité peuvent
 néamoins être regroupées par familles, ce qui conduit à un nombre raisonnable
 de projets à mener.
 Faire valider les risques résiduels et le plan de traitement des risques au
 cours d'un CODIR est utile : la Direction identifiera de nouveaux risques à
 intégrer dans l'AdR et prendra conscience des risques dont elle n'avait pas
 connaissance.

     Rendez-vous l'an prochain le 24 mars 2015 !



--[ 5. 8e Rencontres de l'ARCSI à Toulouse le 13 juin ]------------------

     HSC est sponsor des 8e rencontres de l'ARCSI (Association des Réservistes
 du Chiffre et de la Sécurité de l'Information) qui se déroulent cette
 année à Toulouse vendredi 13 juin 2014. Venez rencontrer Hervé Schauer
 (membre ARCSI) sur notre stand lors de la journée du 13 juin, à l'amphi
 Toulouse-Garonne "Le Belvédère", 11 boulevard des Récollets à Toulouse :
 http://www.latabledubelvedere.com/www/infos.php

     "La confiance dans les technologies de l'information et de la
 communication peut-elle revenir ?

  8h15 : Accueil des participants
  9h00 : Allocution d'ouverture
         Jean-Louis Desvignes, Thales, président de l'ARCSI
  9h10 : Le monde après Snowden - Démocratie et Surveillance
         Frédérick Douzet, Chaire Castex
  9h40 : Big Data, les trois paradoxes de la sécurité
         Philippe Wolf, ANSSI
 10h15 : Originalité des armes électromagnétiques IMFP (Impulsions Magnétiques
         Fortes Puissance)
         Jacques David, laboratoire plasma & conversion d'énergie INPT-ENSEEIHT
 10h30 : Pause
 11h00 : Cyberciminalité et poursuites judiciaires
         Fabrice Crasnier, Gendarmerie, Commandant de la division Analyse
         Criminelle et Investigation Spécialisées de la Section Appui
         Judiciaire Midi-Pyrénées
 11h40 : Management et protection de l'information stratégique & influence
         Christian Szypura, chargé de mission régional à l'Intelligence
         Economique, DIRECCTE
 12h15 : Déjeuner au restaurant panoramique "La Table du Belvédère"
 14h00 : La faille OpenSSL 'Heartbleed' est-elle bien comprise par tous ?
         Jean-François Audenard, Orange Business Services
 14h40 : Sécurité Economique
         Maurice Griponne, D2RI
 15h15 : pause
 15h45 : Identification électronique d'une personne morale
         Fabrice Mattatia
 16h15 : Panorama des incidents cyberdéfense en Midi-Pyrénées
         Cyrille Guerin, DPSD Toulouse
 16h45 : Exploitations de failles de sécurité : manipulation d'un poste de
         travail avec une clé USB et attaque contre un site WEB

     Participation gratuite. Inscription obligatoire sur http://www.arcsi.fr/
 Déjeuner sur place possible pour 25 euros.



--[ 6. HSC formateur officiel (ISC)² ]----------------------------------

    Hervé Schauer Consultants devient formateur officiel (ISC)² pour faire
 évoluer la formation à la sécurité de l'information en France

 Les inscriptions à la formation officielle (ISC)2 CBK à Paris sont ouvertes.


 Paris, France - le 17 mars 2014 - Avec près de 100000 membres dans le monde
 entier, (ISC)²® est le plus grand organisme à but non lucratif regroupant des
 professionnels certifiés dans la sécurité de l'information et des logiciels.
 (ISC)²® a dévoilé un nouveau partenaire pour former en France au besoin de
 connaissances professionnelles en matière de sécurité de l'information. En
 effet, le cabinet Hervé Schauer Consultants (HSC) a été nommé formateur
 officiel (ISC)² : il fournira des sessions de formation officielles (ISC)²
 CBK® aux candidats à la certification CISSP® (Certified Information Systems
 Security Professional, certification des professionnels de la sécurité des
 systèmes d'information).

 Fondé par Hervé Schauer, lui-même certifié CISSP, le cabinet de conseil
 éponyme fournit des formations sur la sécurité de l'information depuis 25
 ans. En tant que formateur officiel (ISC)², HSC organisera des sessions de
 formation officielles (ISC)² CBK selon sa méthode éprouvée, en faisant appel
 à une équipe de formateurs aguerris, un formateur principal et des consultants
 spécialisés dans différents domaines d'expertise, dont le juridique, le
 chiffrement et la continuité d'activité. Les formations comporteront également
 des exemples de questions d'examen et des corrections conçues pour aider les
 participants à mieux retenir les acquis.

 La première formation, à savoir une session de formation CBK couvrant les 10
 domaines de la certification CISSP, se déroulera sur 5 jours au centre de
 formation d'HSC à Paris, du 12 au 16 mai 2014. Hervé Schauer Consultants
 organise également une session à Luxembourg du 19 au 23 mai 2014. Ces
 formations s'accompagneront de coupons pour passer l'examen CISSP, sur six
 heures, dans les centres PearsonVUE agréés.

 « La certification CISSP est un must pour les professionnels français et
 francophones depuis 20 ans. Pour nos clients, il est essentiel d'appuyer le
 développement de cette certification, ainsi que la reconnaissance des normes
 professionnelles qui y sont associées, explique Hervé Schauer. J'ai hâte de
 représenter (ISC)² en France et d'appliquer notre méthode, qui a fait ses
 preuves, au développement des programmes en France. Ce partenariat entre deux
 leaders offre une combinaison idéale aux professionnels francophones. »

 La base de connaissances officielle (ISC)² CBK compile les sujets relatifs à
 la sécurité de l'information : de la gouvernance et de la gestion du risque au
 chiffrement et au contrôle de l'accès. Par ailleurs, tous ces contenus sont
 mis à jour régulièrement via des enquêtes job task analysis (JTA) et via les
 commentaires émis par les spécialistes du monde entier, à la fois parmi les
 membres d'(ISC)² et les grands noms du secteur.

 « Nous sommes ravis de pouvoir aider les professionnels francophones à
 atteindre leurs objectifs de développement, et ainsi répondre au besoin
 croissant, à l'échelle internationale, de professionnels compétents, à même de
 comprendre et résoudre les difficultés auxquelles nous sommes tous fréquemment
 confrontés dans ce secteur » précise le Dr Adrian Davis, directeur général
 d'(ISC)² pour la région Europe, Moyen-Orient et Afrique (EMEA).

 Communiqué de presse : http://www.hsc.fr/presse/communiques.html.fr#170314

 Première session à Paris du 12 au 16 mai 2014.
 Première session à Luxembourg du 30 juin au 4 juillet 2014.

 Plan détaillé, pré-requis :
 http://www.hsc-formation.fr/formations/cissp.html.fr
 http://www.hsc-formation.fr/formations/gestion_crise.html.fr

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704



--[ 7. Offres d'emploi pour consultants en sécurité ]--------------------

  +-------------------------------------------------------------+
  | HSC recherche des consultants expérimentés 2 à 6 ans d'exp. |
  +-------------------------------------------------------------+

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC
 (intrusion, inforensique, Windows, SCADA, ISO27001, ISO22301, EBIOS, etc.),
 soit 2 à 6 semaines de formations suivies dans le cadre de la prise de
 fonction.

     HSC recherche également des stagiaires pour des stages de pré-embauche.

     Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la
 gare Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2), avec
 réfectoire et espace détente. Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ascii (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 8. Nouveautés du site web HSC ]-------------------------------------

 - Présentation "Analyse des nouveautés présentes dans la norme ISO 27001:2013
   par rapport à sa version 2005 ainsi que de leurs conséquences pour
   l'implémentation de SMSI. Modalités de transition de la certification de
   SMSI et de la certification de personne" par Béatrice Joucreau le 7 février
   2014 au Club 27001 de Toulouse
   http://www.hsc.fr/ressources/presentations/club27001-ISO-27001-2013-toulouse

 - Présentation "Analyse des changements entre la norme ISO 27002:2013 et
   sa version 2005, ainsi que de leurs conséquences pour l'implémentation de
   SMSI" par Béatrice Joucreau le 7 février 2014 au Club 27001 de Toulouse
   http://www.hsc.fr/ressources/presentations/club27001-ISO-27002-2013-toulouse

 - Communiqué "Hervé Schauer Consultants devient formateur officiel (ISC)²"
   http://www.hsc.fr/presse/communiques.html.fr#170314

 - Présentation "La sécurité par TLS en 2014, un voeu pieu ?" par Christophe
   Renard le 17 mars 2014 lors de la JSSI de l'OSSIR
   http://www.hsc.fr/ressources/presentations/jssi2014-tls/

 - Présentation "La charte informatique face aux nouveaux usages en entreprise"
   par Amélie Paget et Frédéric Connes le 18 mars 2014 lors des GS-DAYS
   http://www.hsc.fr/ressources/presentations/gsdays2014_charte/



--[ 9. Nouvelle formation : "Gestion de crise IT/SSI" ]-----------------

     Malgré tous nos principes de sécurité comme la défense en profondeur, les
 méthodes proactives demeurent limitées et tout un chacun est confronté un jour
 à une crise due à des incidents informatiques ou un problème de sécurité.  Il
 faut donc maîtriser cette réaction d'urgence et s'y préparer. Afin de répondre
 à ce besoin exprimé par nos clients, HSC propose une nouvelle formation,
 spécifique sur la gestion de crise autour d'un sinistre SSI, qui complète
 notamment les formations d'une semaine SANS SEC 504 "Techniques de hacking,
 exploitation de failles et gestion des incidents", ISO22301 Lead Implementer
 (continuité d'activité), et la formation d'une journée "Gestion des incidents
 de sécurité ISO27035".

 Première session à Paris le vendredi 27 juin.

 Plan détaillé, pré-requis :
 http://www.hsc-formation.fr/formations/gestion_crise.html.fr

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704



--[ 10. Agenda des interventions publiques ]-----------------------------

 - 17 mai 2014 - ESIEA SECURE EDITION 2014 - Paris
   "Panorama de la cybercriminalité 2013" par Hervé Schauer
   http://www.esiea.fr/c/en/Web.Esiea.Public.Cat.Actualites.2540.cuke?

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 11. Prochaines formations HSC ]--------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        Formation CISSP    .....................    : 12 au 16 mai (#)
        ISO 27001 Lead Implementer    ..........    : 12 au 16 mai (#)
        PKI : principes et mise en oeuvre    ...    : 14 au 16 mai (*)
        ISO 27005 Risk Manager    ..............    : 19 au 21 mai (#)
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 19 au 23 mai (*)(#)
        ISO 27005 Risk Manager    ..............    : 19 au 21 mai (#)
        Risk Manager Avancé    .................    : 22 et 23 mai
        Essentiel de PCI-DSS    ................    : 2 juin
        ISO 27001 Lead Auditor    ..............    : 2 au 6 juin (#)
        EBIOS Risk Manager    ..................    : 11 au 13 juin (#)
        Sécurité SCADA  ........................    : 16 at 17 juin
        Formation DNSSEC   .....................    : 18 et 19 juin (*)
        Correspondant Informatique et Libertés      : 18 au 20 juin (@)
        Techniques de hacking, exploitation de failes
        et gestion des incidents (SEC504/GCIH)      : 23 au 27 juin (*)(#)
        Essentiels de l'ISO27001:2013    .......    : 23 juin
        Gestion des incidents de sécurité/ISO27035  : 23 juin
        Mesures de sécurité ISO 27002:2013   ...    : 24 et 25 juin
        Indicateurs & tableaux de bord SSI/ISO27004 : 25 juin
        Gestion de crise IT/SSI    .............    : 27 juin
        Essentiels juridiques pour gérer la SSI     : 26 et 27 juin
        ISO 27005 Risk Manager    ..............    : 30 juin au 2 juillet (#)
        ISO 27001 Lead Implementer    ..........    : 30 juin au 4 juillet (#)
        Essentiels de l'ISO22301    ............    : 11 septembre
        Inforensique Windows (SANS FOR408/GIAC GCFE): 15 au 19 septembre (*)(#)
        ISO 27001 Lead Auditor    ..............    : 15 au 19 septembre (#)
        Protéger les applis web (DEV522 /GIAC GWEB) : 22 au 26 septembre (*)(#)
        Correspondant Informatique et Libertés      : 24 au 26 septembre (@)
        Essentiels techniques de la SSI    .....    : 29 et 30 septembre
        ISO 22301 Lead Implementer    ..........    : 29 sept au 3 octobre (#)
        Essentiels de l'ISO27001:2013    .......    : 6 octobre
        Formation RSSI    ......................    : 6 au 10 octobre
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 13 au 17 octobre (*)(#)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 20 au 25 octobre (*)(#)
        Sécurité du Cloud Computing    .........    : 27-29 octobre
        RGS : la SSI pour le secteur public    .    : 30 octobre
        ISO 22301 Lead Auditor    ..............    : 3 au 7 novembre (#)
        Rétroingénierie de logiciels malfaisants
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 3 au 7 novembre (*)(#)
        Essentiels Informatique et Liberté   ...    : 12 novembre
        Outils et techniques d'analyse
        (SANS FOR610/GIAC GREM)   ..............    : 24 au 28 novembre (*)
        Tests d'intrusion avancés, exploitation de
        failles et hacking éthique (SEC660/GXPN)    : 1 au 6 décembre (*)(#)
        Expert Sécurité Linux    ...............    : 8 au 12 décembre (*)(#)
        Tests d'intrusion avancés des applications
        web et hacking éthique (SANS SEC642)  ...   : 2eme semestre 2014 (*)
        Sécurité du WiFi    ....................    : mars 2015  (*)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 1er semestre 2015 (*)(#)
        Inforensique réseau avancée (SANS FOR572)   : 1er semestre 2015 (*)
        Inforensique ordiphones/tablettes (FOR585)  : 1er semestre 2015 (*)(#)


 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC ou LPI
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : session de formation complète

 - Luxembourg
        ISO 27005 Risk Manager    ..............    : 4 au 6 juin (#)
        ISO 27001 Lead Implementer    ..........    : 16 au 20 juin (#)
        Formation CISSP    .....................    : 30 juin au 4 juillet (#)
        ISO 22301 Lead Implementer    ..........    : 27 au 31 octobre (#)
        ISO 27001 Lead Auditor    ..............    : octobre 2015 (#)

 - Lyon
        Essentiels juridiques pour gérer la SSI     : 28 au 29 novembre
        Correspondant Informatique et Libertés      : mars 2015 (@)
        ISO 27005 Risk Manager    ..............    : avril 2015 (#)

 - Marseille
        Correspondant Informatique et Libertés      : 19 au 21 novembre (#)

 - Rennes
        Essentiels juridiques pour gérer la SSI     : 12 et 13 décembre
        Correspondant Informatique et Libertés      : mai 2015 (@)

 - Toulouse
        ISO 27005 Risk Manager    ..............    : 4 au 6 juin (#)
        ISO 27001 Lead Implementer    ..........    : 23 au 27 juin (#)
        Correspondant Informatique et Libertés .    : 1 au 3 octobre (@)
        Essentiels de l'ISO27001:2013    .......    : 17 octobre
        ISO 27001 Lead Auditor    ..............    : juin 2015 (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Intertek sur
 ses formations.

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2014 en PDF sur http://www.hsc-formation.fr/



--[ 12. Actualité des associations : Club 27001, OSSIR et Clusif ]--------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris le jeudi 22 mai
         - "Retour d'expérience sur l'application de la version 2013 de
            l'ISO 27002", par Fabien Dupré (Harmonie Technologie)
         - "La série des guide ISO 27034"
            par Sébastien Gioria (Advens)
     . Prochaines réunions à Toulouse et Marseille annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 13 mai à l'ENSAM Paris
         - Pentest en environnement SAP (Emmanuel Mocquet / Intrinsec)
         - Faiblesses des méthodes d'administration en environnement Windows et
           état des lieux de l'outillage intrusif (Marc Lebrun / XMCO)
         - Revue d'actualité 
     . Prochain AfterWorks OSSIR à Paris 20 mai
     . Réunion suivante à Paris le mardi 10 juin
     . Prochaine réunion à Rennes au second trimestre

 o Clusif (http://www.clusif.fr/)
     . Conférence le mercredi 25 juin 2014 "MIPS 2014"
       https://www.clusif.fr/#progconf



--[ 13. Le saviez-vous ? La réponse ]------------------------------------

     Dans le fichier /var/log/auth.log une nouvelle ligne est ajoutée lorsqu'un
 utilisateur tente de se connecter au serveur par SSH contenant l'utilisateur
 tentant de se connecter. Ainsi, si un port SSH est accessible en écoute et que
 ce fichier est accessible en lecture, un attaquant peut exécuter du code
 arbitraire sur le serveur.
     La commande suivante permet par exemple de créer une ligne de code PHP
 dans le fichier auth.log permettant d'exécuter des commandes systèmes :
     $ ssh '<?php echo system($_GET["commande"]); exit; ?>'@[IP]

     Le script pourra être exécuté à l'aide de la LFI de la façon suivante :
http://monsite.fr/index.php?lang=../../../../var/log/auth.log&commande=[COMMANDE]

     Il est cependant important de noter que par défaut sur la plupart des
 distributions linux le fichier /var/log/auth.log n'est pas accessible en
 lecture à tous mais uniquement à l'utilisateur root et aux utilisateurs
 membres du groupe adm. Ainsi, il faut une erreur de configuration importante
 du serveur pour que ce scénario d'exploitation soit possible.



Plus d'informations sur la liste de diffusion newsletter