[Newsletter HSC] N°123 - Novembre 2014

Newsletter d'information de HSC newsletter at hsc-news.com
Ven 7 Nov 17:59:27 CET 2014


========================================================================
              HSC Newsletter  --  N°123 --  novembre 2014
========================================================================



             « Je crois qu'on ne peut mieux vivre qu'en cherchant
               à devenir meilleur ni plus agréablement qu'en ayant
               la pleine conscience de son amélioration  »

                                        [ Socrate ]





--[ Sommaire ]----------------------------------------------------------

      1. Éditorial
      2. Le saviez-vous ? La question
      3. HSC déménage dans de nouveaux locaux à Neuilly-sur-Seine
      4. HSC sponsor de la conférence NoSuchCon
      5. HSC sponsor de la matinée CNIS-Mag
      6. Appel à communication : Conférence annuelle du Club 27001
      7. Appel à communication : GS-DAYS 2015
      8. Offres d'emploi HSC : consultants débutants et séniors
      9. Agenda des interventions publiques
     10. Prochaines formations HSC
     11. Actualité des associations : Club 27001, OSSIR et Clusif
     12. Le saviez-vous ? La réponse



--[ 1. Éditorial ]-------------------------------------------------------

     Le 11 août 2014, l'ANSSI publiait une première version de son référentiel
 d'exigences applicables aux prestataires de services sécurisés d'informatique
 en nuages pour un appel public à commentaires ouvert jusqu'au 3 novembre
 dernier [1].

 L'objectif du référentiel est d'offrir aux prestataires une qualification
 s'inscrivant dans le cadre RGS (Référentiel Général de Sécurité) et aux
 utilisateurs du secteur public un gage de confiance quant aux différents
 acteurs du marché. Les offres de SaaS (Software as a Service), PaaS (Platform
 as a Service) et IaaS (Infrastructure as a Service) sont concernées. Le
 référentiel propose deux niveaux de qualification : un niveau élémentaire
 correspondant aux exigences de la PSSIE (Politique de sécurité des systèmes
 d'information de l'État) et un niveau standard adapté aux systèmes supportant
 des informations sensibles portant la mention de « Diffusion restreinte ».

 Ce référentiel vise à permettre aux administrations de recourir aux solutions
 de cloud computing, évolution incontournable y compris pour les systèmes
 d'information du secteur public. Pour autant, le contenu du document apparaît
 inadapté aux objectifs poursuivis.

 En effet, le document se révèle être une pâle copie du référentiel ISO27002
 sans pour autant y faire référence. Il intègre peu les spécificités du cloud
 computing. La distinction entre les différentes prestations (IaaS, PaaS et
 SaaS) malgré leur impact quant à la responsabilité des prestataires et de
 leurs clients. Les exigences liées au chiffrement des données et à la gestion
 des clefs sont faibles. Aucun niveau minimum de disponibilité n'est exigé.
 Enfin, la réversibilité des données, mesure indispensable à la maitrise des
 données externalisées, est omise.

 Un tel référentiel aurait également été l'occasion d'aligner les exigences
 nationales avec celles des normes reconnus par la communauté internationale
 telles que l'ISO 27017 [2] et l'ISO 27018 [3]. Au lieu de cela, l'ANSSI prend
 le contrepied du principe de libre circulation des données et des services au
 sein du marché intérieur de l'Union européenne en imposant une localisation
 des données sur le territoire français.

 Enfin, l'Agence soulève une réelle difficulté liée à l'informatique en nuage :
 l'insertion de clauses de sécurité au sein des contrats dans un secteur où les
 offres sont souvent standardisées. Or, ce référentiel aurait pu imposer
 l'insertion d'exigences de sécurité au sein des contrats de cloud
 computing. Dans un contexte où un organisme décide de confier ses données à un
 prestataire, quoi d'autre que le contrat permet d'imposer et de transférer des
 exigences de sécurité ?

 [1] http://www.ssi.gouv.fr/fr/menu/actualites/appel-commentaires-referentiel-d-exigences-informatique-nuage.html
 [2] ISO/OEC 27017 CD Information technology -- Security techniques -- Code of
     practice for information security controls based on ISO/IEC 27002 for
     cloud computing services
 [3] ISO/IEC 27018:2014 - Information technology -- Security techniques -- Code
     of practice for protection of personally identifiable information (PII) in
     public clouds acting as PII processors



--[ 2. Le saviez-vous ? La question ]-----------------------------------

     Lors d'un audit en boite blanche sur une plateforme d'édition de documents
 en ligne, vous observez que celle-ci propose une fonctionnalité de sauvegarde
 de sessions (permettant de récupérer le travail fait dernièrement). Le code de
 l'objet Editor (correspondant aux données sérialisées) est la suivante :

  import java.io.File;
  import java.io.FileInputStream;
  import java.io.FileOutputStream;
  import java.io.ObjectInputStream;
  import java.io.ObjectOutputStream;
  import java.io.Serializable;

  public class Editor implements Serializable{
    private int documentId;
    private String documentPath;
    private String documentName;
    private String documentContent;

    public Editor(String pFilename, String pDocumentName, String pFilePath) throws Exception{
        if(pFilePath.contains("/etc/"))
            throw new Exception("Il est impossible d'accéder aux fichiers contenu dans /etc/");
        documentId = DocumentServices.getInstance().getNewDocumentId();
        documentPath = pFilePath;
        getContent();
    }

    public File getContent(){ [...] }
    public File flushContent(){ [...] }
    public void save(){[...]}
    public Object backup([...]){} // Methode permettant à l'utilisateur de
                                  // télécharger son travail
 }

     Comment est-il possible d'éditer un fichier du dossier /etc/ ou d'obtenir
 son contenu ?

     Réponse au paragraphe 120.



--[ 3. HSC déménage dans de nouveaux locaux à Neuilly-sur-Seine ]--------

     Afin de vous accueillir dans un cadre prestigieux à la hauteur de
 vos attentes et assurer son développement, HSC a déménagé de Levallois-Perret
 à Neuilly-sur-Seine. Notre nouvelle adresse, aussi bien postale que pour
 nos invités, est :

     HSC (Hervé Schauer Consultants)
     185, avenue Charles de Gaulle
     F-92200 Neuilly-sur-Seine

 Pour nos stagiaires, sauf indication contraire sur leur convocation, notre
 nouveau centre de formation ultra-moderne est juste à coté au 191, avenue
 Charles de Gaulle. Les stagiaires se rendent directement au 191.
 Nous sommes à la sortie de la station de métro Pont de Neuilly, sortie
 par l'escalier rue de l'Eglise, juste en face.
 Ascenseur du Parking de l'Eglise pour ceux en voiture également en face.

     Nos numéros de téléphone devaient demeurer les mêmes, cependant, suite
 à des méandres entre opérateurs indépendants de notre volonté, le renvoi de
 notre téléphone ne fonctionne plus. Voici nos numéros provisoires à utiliser
 pour joindre vos interlocuteurs habituels :

 Standard téléphonique : 01.58.37.94.49

 Service commercial prestations
     Adrien Pasquier : 01.58.37.93.37
     Jean-Jacques Cayet : 01.58.37.92.40

 Service formations
     Lynda Benchikh : 01.58.37.90.42
     François Martinelli : 01.58.37.92.98
     Juliette Yobo : 01.58.37.94.27

 Service administratif
     Marie-Laure Rémusat : 01.58.37.93.54

     Nous nous excusons pour la gêne occasionnée.

     C'est aussi suite à notre déménagement du 27 octobre que cette
 Newsletter est un peu en retard sur l'ordinaire.



--[ 4. HSC sponsor de la conférence NoSuchCon ]--------------------------

     HSC est sponsor de la conférence NoSuchCon 2014 qui se tiendra à
 Paris du 19 au 21 novembre. Vous pourrez y découvrir notre catalogue de
 formation 2015, avec notamment 13 formations SANS différentes planifiées
 en français à Paris sur l'année, et une surprise !

     La conférence NoSuchCon est une excellente occasion d'échanger avec
 des orateurs français et internationaux mondialement connus.
 Renaud Lifchitz, qui a été le premier à découvrir les échanges des cartes
 bleues sans contact réalisera une démonstration de calcul quantique "en
 direct". Nicolas Collignon s'attaquera à la sécurité du Cloud Google.
 Benjamin Delpy nous dévoilera que Windows 10 est toujours vulnérable aux
 mêes attaques que Windows NT4.
     La conférence rendra également hommage à son ancien président Cédric
 Blancher, un brillant ingénieur décédé prématurément.

 Pour en savoir plus :
 Programme: http://www.nosuchcon.org/#schedule
 Billeterie: http://www.nosuchcon.org/#registration



--[ 5. HSC sponsor de la matinée CNIS-Mag le 9 décembre à Paris ]---

    Venez rencontrer HSC lors de la prochaine matinée CNIS-Mag à Paris, Hôtel
 Intercontinental, sur le thème "Administration de la Sécurité, Gestion
 d'identité & Maîtrise des données".
 Lynda Benchikh ou François Martinelli pour les formations, et Adrien Pasquier
 pour les prestations seront à votre disposition.
 Hervé Schauer introduira la matinée sur "L'administration de la sécurité"

     Participation gratuite. Inscription en ligne obligatoire sur :
 http://www.cnis-mag.com/inscription-cnis-event



--[ 6. Appel à communication : Conférence annuelle du Club 27001 ]-------

     Le Club 27001 (http://www.club-27001.fr/), association à but non
 lucratif, organise à Paris le mardi 24 mars 2015 sa huitième conférence
 annuelle autour des usages des normes ISO 2700X. Cette conférence se
 déroulera à Paris  à l'espace Saint-Martin dans le cadre des
 GS-DAYS (http://www.gsdays.fr).

 La conférence annuelle du Club 27001 privilégie les retours d'expérience
 dans l'utilisation des normes de la série ISO 27000, qu'il s'agisse de la
 mise en oeuvre d'une des normes, leur usage y compris sans certification,
 les difficultés rencontrées et les intérêts perçus.

     Voici les thèmes sur lesquels nous attendons des propositions, sans
 que ceux-ci soient exhaustifs :

  - Mise en oeuvre d'un SMSI
     . Retour d'expérience
     . Reprise de l'existant
     . Comment engager sa direction générale
     . Comment surmonter la peur du SMSI
  - Gestion des risques liés à la sécurité de l'information
     . Retour d'expérience de mise en oeuvre de l'ISO 27005
     . Technique d'entretien et d'implication des métiers
     . Échelles et calcul du risque
     . Interactions avec les autres gestions des risques : opérationnels,
       industriels, CHSCT, financiers, etc.
     . Intérêts de l'ISO 27005 dans les projets, les systèmes embarqués, etc.
     . Usage d'ISO27005 vs usage d'EBIOS, de Mehari ou de RiskIT
  - Versions 2013 des normes ISO27001 et ISO27002
  - Audits internes
     . Mise en place d'audits internes pour le SMSI
     . Mutualisation des audits internes ISO 27001 (avec ISO 9001, etc)
     . Utilisation de l'ISO 19011 et ISO 27006
  - Gestion des incidents liés à la sécurité
     . Retours d'expérience
     . Usage de l'ISO 27035
     . Liens avec d'autres référentiels (NIST SP800-61rev1, etc)
  - Indicateurs, métriques et tableaux de bord
     . Retours d'expérience
     . Usage de l'ISO 27004
     . Liens avec d'autres référentiels (TBSSI de l'ANSSI, NIST SP800-50, etc)
  - Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
     . Gouvernance de la SSI, de la sécurité en général, de l'IT, du management
       des risques
     . Systèmes de Management Intégrés (ISO 9001, 14001, 20000-1, etc) avec
       ISO 27001
     . Mutualisation, opposition, complémentarité, déclencheur, etc.
     . Cohabitation ISO27001 et ISO 20000-1 / ITIL (services informatiques),
       ISO 27013
     . Coordination entre la SSI (ISO 27001) et la continuité d'activité :
       ISO 22301 (SMCA), ISO 27031 et ISO 22313
     . CobiT (audit informatique, contrôle interne)
     . Utilisations d'ISO 27001 dans le cadre ou concomitamment à d'autres
       référentiels de sécurité : RGS, PCI-DSS, SoX, Bâle II/Solvency II,
       hébergeur de données de santé (agrément ASIP-Santé), ARJEL, WLA, etc.
     . Applications sectorielles de l'ISO 27001 : télécommunications,
       santé (27011, 27799, etc)
  - Certification ISO27001 et audits de SMSI
     . Retour d'expérience des accréditeurs, des organismes de certification,
       des auditeurs et des audités
     . Contrôle de l'appréciation des risques
     . Interprétations de la Déclaration d'Applicabilité
     . Mise à jour des normes d'audit et de certification (ISO 19011,
       ISO 17021, ISO 27006)

     Les propositions doivent faire part d'un retour d'expérience pratique,
 et ne doivent pas être la présentation d'une offre de service, d'un
 produit ou plus généralement d'une solution commerciale. Le comité de
 programme sera sensible à l'aspect pratique des propositions. Cependant, les
 propositions présentant une analyse ou un comparatif fondé sur des tests
 scientifiques pourraient être acceptées.

 Les présentations feront de 35 à 45 minutes et seront en français ou en
 anglais.

 Contenu des soumissions à envoyer à conference at club-27001.fr :
    - Nom de l'auteur, biographie et affiliation
    - Synopsis d'une page maximum de l'intervention avec un plan de celle-ci
    - Format libre

 Calendrier
    - 17 janvier 2015 : date limite de réception des soumissions
    - 31 janvier 2015 : notification aux auteurs et
                        publication du pré-programme
    - 28 février 2015 : publication du programme définitif
    - 10 mars 2015 : réception des présentations
    - 24 mars 2015 : conférence


 Le comité de programme est composé des membres de l'association élus au
 conseil d'administration, soit :
     - Bertrand Augé, Kleverware
     - Thomas Bousson, On'X-Edelweb
     - Claire Cossard, CNAM-TS
     - Francis Delbos, ID Nouvelles
     - Eric Doyen, Humanis
     - Emmanuel Garnier, Systalians
     - Loïc Guézo, Trendmicro
     - Thomas Lebouc, Ipanema
     - Florence Le Goff, Solucom
     - Carl Roller, Akamai
     - Hervé Schauer, HSC



--[ 7. Appel à communication : GS-DAYS 2015  ]---------------------------

     La 6ème édition des GS Days se déroulera le 24 mars 2015 à l'Espace
 Saint-Martin au coeur de Paris, 199 bis, rue Saint-Martin, 75003 Paris.
 L'objectif des GS-Days, Journées francophones de la sécurité, est d'établir
 le dialogue entre le monde de la technique (administrateurs, experts
 sécurité), les RSSI, DSI et les décideurs. Ce colloque, exclusivement en
 français, propose dans un même espace plusieurs cycles de conférences et
 de démonstrations d'exploitation de faille informatique, sous un angle
 technique, organisationnel et juridique.

     Quelques exemples de thèmes sur lesquels nous attendons des soumissions :

 * Systèmes embarqués : objets connectés, systèmes industriels
    - Quelles attaques sur le matériel ?
    - Comment intégrer la sécurité dans ces équipements ?
    - Comment cloisonner le risque ?

 * Mobilité
    - Quelles politiques d'entreprise : BYOD ou COPE ?
    - Nouveaux usages connectés : domotique, m-payment, m-banking ?
    - Les nouvelles attaques orientées terminaux, applications des market
    - Quel niveau de sécurité pour les solutions de MDM ?
    - Quelles contre-mesures à apporter ?

 * Attaques ciblées de haut niveau
    - Synthèse de l'affaire Snowden
    - Arsenal des moyens d'attaques des Etats : matériel ou logiciel,
      botnets étatiques, DDOS
    - Quelle confiance dans les fournisseurs et matériel ?
    - Est-il possible de se protéger ?

 * Gouvernance de l'information 2.0
    - Risques et enjeux de la maîtrise et du partage de grande quantité
      d'informations : Cloud, Big Data, Data Mining
    - Quels enjeux pour le droit français et européen ?

 * Facteurs humains
    - L'ingénierie sociale au travers des réseaux sociaux et autres cercles
      de confiance
    - Nouveaux modes de sensibilisation : e-learning et serious game

 * Continuité et reprise d'activité
    - Quelle place pour l'ISO22301 ?
    - Comment gérer et communiquer une crise ?

 * Régulation
    - Quels effets de la Loi de Programmation Militaire (LPM), des nouvelles
      Directives Nationales de Sécurité (DNS), de la PSSI d l'Etat ?
    - Quels effets du RGSv2 pour les autorités administratives ?
    - Le droit peut-il encore quelque chose pour la protection de
      l'information ? Protection de la vie privée ? Secret des affaires ?

     Les présentations attendues devront proposer une vision technique ou
 scientifique. Les présentations à fin commerciale ou la présentation d'un
 produit ne seront pas acceptées. Cependant, les propositions présentant une
 analyse technique de la sécurité d'un produit, un comparatif fondé sur des
 tests scientifiques, et les retours d'expérience avec un aspect
 technologique, seront examinées avec attention.

 Le format des conférences sera de 50 minutes, dont 5 à 10 minutes de
 questions.

     Le comité de Programme est assuré par Global Security Mag, Florence
 Hanczakowski, CLUSIF, Hervé Schauer, HSC, Philippe Humeau, NBS System,
 Paul Such, SCRT, Olivier Revenu, EdelWeb, Maître Diane Mullenex, Cabinet
 Pinsent Masons, Eric Doyen, Vice-président du Club 27001, et Emmanuel Garnier,
 Systalians. Ce comité a pour objectif la sélection des conférenciers et
 du contenu du Colloque.

 Contenu des soumissions à envoyer à Marc.Jacob at globalsecuritymag.com :
    - Nom de l'auteur, biographie et affiliation
    - Catégorie de la soumission (technique/organisationelle/juridique)
    - Synopsis d'une à 2 pages de l'intervention avec un plan de celle-ci
    - Format PDF préféré.

  Calendrier
     - 9 janvier 2014 : date limite de réception des soumissions
     - 26 janvier 2014 : notification aux auteurs
     - 13 mars 2014 : réception des présentations définitives
     - 24 mars 2014 de 8h30 à 18h30 : conférence



--[ 8. Offres d'emploi HSC pour consultants en sécurité & continuité ]---

     HSC recherche des consultants brillants, débutants ou expérimentés,
 avides de partager et de s'épanouir dans une équipe indépendante,
 pluri-disciplinaire, qui couvre tous les aspects liés à la sécurité et
 continuité, des tests d'intrusion à l'expertise judiciaire, de la
 rétroingénierie à la gouvernance, des systèmes industriels et embarqués à
 la gestion des risques, des technologies sans-fil à la résilience, de
 l'inforensique à l'ingénierie sociale, etc, pour des missions d'expertise
 variées et haut-de-gamme.

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC
 (intrusion, inforensique, Windows, SCADA, ISO27001, ISO22301, ISO27005,
 EBIOS, etc.), soit 2 à 6 semaines de formations suivies dans le cadre de
 la prise de fonction.

     HSC recherche également des stagiaires pour des stages de pré-embauche.

     Tous les postes sont basés à Neuilly-sur-Seine (Paris), au pied du métro
 Pont de Neuilly (ligne n° 1). Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ASCII (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 9. Agenda des interventions publiques ]------------------------------

 - 6 novembre 2014 - AppSec Forum 2014 - Yverdon (Suisse)
   "De la sécurité IT à la Cyberdéfense" - Keynote invitée - Hervé Schauer
   http://2014.appsec-forum.ch/

 - 9 décembre - maninée CNIS-Mag - Hôtel Intercontinental Paris
   "Administration de la Sécurité, Gestion d'identité & Maîtrise des données"
   Conférence d'introduction "L'administration de la sécurité"  par
   Hervé Schauer

 - 18 décembre 2014 - Conférence Clusif - CCI Paris
   Présentation des travaux du groupe Sécurité SCADA -
   Gérôme Billois (Solucom) et Hervé Schauer
   http://www.clusif.fr/

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 10. Prochaines formations HSC ]--------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        EBIOS Risk Manager    ..................    : 12 au 14 novembre (#)
        ISO 27005 Risk Manager    ..............    : 12 au 14 novembre (#)
        Sécurité SCADA  ........................    : 13 at 14 novembre (*)
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 17 au 21 novembre (*)(#)
        ISO 27001 Lead Implementer    ..........    : 17 au 21 novembre (#)
        ISO 27005 Risk Manager    ..............    : 24 au 26 novembre (#)(C)
        Rétroingénierie de logiciels malfaisants
        Outils et techniques d'analyse
        (SANS FOR610/GIAC GREM)   ..............    : 24 au 28 novembre (*)
        Formation DNSSEC   .....................    : 27 et 28 novembre (*)
        ISO 27001 Lead Auditor    ..............    : 1 au 5 décembre (#)
        Correspondant Informatique et Libertés      : 3 au 5 décembre (@)
        Tests d'intrusion avancés, exploitation de
        failles et hacking éthique (SEC660/GXPN)    : 1 au 6 décembre (*)(#)
        Essentiels de l'ISO27001:2013    .......    : 8 décembre
        Formation CISSP    .....................    : 8 au 12 décembre (#)
        Expert Sécurité Linux    ...............    : 8 au 12 décembre (*)(#)
        Essentiels techniques de la SSI    .....    : 9 et 10 décembre
        Mesures de sécurité ISO 27002:2013   ...    : 9 et 10 décembre
        Indicateurs & tableaux de bord SSI/ISO27004 : 11 décembre
        Gestion des incidents de sécurité/ISO27035  : 12 décembre
        Essentiels juridiques pour gérer la SSI     : 12 et 13 décembre
        ISO 27005 Risk Manager    ..............    : 14 au 16 décembre (#)
        Risk Manager Avancé    .................    : 18 et 19 décembre
        ISO 27001 Lead Implementer    ..........    : 15 au 19 décembre (#)
        ISO 27005 Risk Manager    ..............    : 21 au 23 janvier 2015 (#)
        ISO 27001 Lead Implementer    ..........    : 26 au 30 janvier (#)
        ISO 22301 Lead Implementer    ..........    : 2 au 6 février (#)
        Essentiels de l'ISO27001:2013    .......    : 6 février
        Formation CISSP    .....................    : 2 au 6 mars (#)
        ISO 27001 Lead Auditor    ..............    : 16 au 20 mars (#)
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 16 au 20 mars (*)(#)
        Techniques de hacking, exploitation de failles
        et gestion des incidents (SEC504/GCIH)      : 23 au 27 mars 2015 (*)(#)
        Formation RSSI    ......................    : 30 mars au 3 avril
        Correspondant Informatique et Libertés      : 8 au 10 avril (@)
        ISO 22301 Lead Auditor    ..............    : 13 au 17 avril (#)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 13 au 18 avril (*)(#)
        Inforensique Windows (SANS FOR408/GIAC GCFE): 20 au 24 avril (*)(#)
        PKI : principes et mise en oeuvre    ...    : 4 au 6 mai 2015 (*)
        Essentiels Informatique et Liberté   ...    : 18 et 19 mai
        Essentiels juridiques pour gérer la SSI     : 21 et 22 mai
        Sécurité du Cloud Computing    .........    : 26 au 28 mai
        Essentiel de PCI-DSS    ................    : 28 mai
        RGS : la SSI pour le secteur public    .    : 29 mai
        Gestion de crise IT/SSI    .............    : 19 juin 2015
        Inforensique réseau avancée (SANS FOR572)   : 1 au 5 juin 2015 (*)
        Essentiels de l'ISO22301    ............    : 11 septembre
        Protéger les applis web (DEV522 /GIAC GWEB) : 28 sep au 2 oct (*)(#)
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 2 au 6 novembre (*)(#)
        Sécurité du WiFi    ....................    : 9 et 10 novembre (*)
        Inforensique ordiphones/tablettes (FOR585)  : 16 au 20 novembre (*)(#)
        Tests d'intrusion avancés des applications
        web et hacking éthique (SANS SEC642)  ...   : 23 au 27 novembre (*)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 14 au 18 décembre (*)(#)

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC ou LPI
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : session de formation complète

 - Luxembourg
        ISO 22301 Lead Implementer    ..........    : 2 au 6 mars 2015 (#)
        Formation CISSP    .....................    : 18 au 22 mai (#)
        ISO 27005 Risk Manager    ..............    : 3 au 5 juin (#)
        ISO 27001 Lead Implementer    ..........    : 22 au 26 juin (#)

 - Lyon
        Correspondant Informatique et Libertés      : 4 au 6 mai 2015 (@)

 - Marseille
        Correspondant Informatique et Libertés      : 22 au 24 avril 2015 (@)

 - Rennes
        Correspondant Informatique et Libertés      : 8 au 10 juin (@)

 - Toulouse
        ISO 27005 Risk Manager    ..............    : 19 au 21 novembre (#)
        ISO 27001 Lead Implementer    ..........    : 12 au 16 octobre 2015 (#)
        Correspondant Informatique et Libertés .    : 4 au 6 novembre (@)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Intertek sur
 ses formations.

 Pour tout renseignement ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 158 379 042

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2015 en PDF sur http://www.hsc-formation.fr/



--[ 11. Actualité des associations : Club 27001, OSSIR et Clusif ]--------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris le jeudi 27 novembre
         - "Présentation du Logiciel Score Compliance" par Corinne Méot
           (Agéris)
         - seconde présentation : faites des propositions
     . Réunion suivante à Paris jeudi 23 janvier 2015
     . Prochaine réunion à Toulouse annoncée sur le site
     . Autres prochaines réunions annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 18 novembre à l'INRIA
         - "Splunk" par Eric Leblonc (Splunk)
         - "etplc.org" par Franck Debiève (Atheos)
         - Revue de vulnérabilités
     . Prochain AfterWorks OSSIR à Paris le 18 novembre ou 2 ou 16 décembre
         Réservé aux membres OSSIR, chaque membre peut inviter un non-membre
     . Réunion suivante à Paris le mardi 9 décembre à l'INRIA
         - "SELKS et Suricata" par Eric Leblond
         - Seconde présentation en cours de confirmation
         - Revue de vulnérabilités
     . Réunion suivante à Paris le mardi 13 janvier 2015 avec l'AG annuelle
     . Prochaine réunion à Toulouse mardi 16 décembre
         - "Développement de moyens matériels pour la protection des couches
            basses du logiciel" par Benoît Morgan (LAAS/CNRS)
         - Seconde présentation en cours de confirmation
     . Réunion suivante à Toulouse mardi 17 février 2015
         - "Présentation et utilisation avancées de Mimikatz" par Benjamin
           Delpy
         - "Solution du Challenge SSTIC 2014" par Vincent Fargues (Thales)
     . Prochaine réunion à Rennes non planifiée.

 o Clusif (http://www.clusif.fr/)
     . Prochaine conférence mardi 18 décembre à 16h00 à la CCI Paris
       http://www.clusif.fr/ sur la sécurité SCADA.



--[ 12. Le saviez-vous ? La réponse ]------------------------------------

     Dans un premier temps, il est nécessaire de comprendre la représentation
 d'un objet sérialisé en Java (cela est défini dans le document suivant:
 http://docs.oracle.com/javase/7/docs/platform/serialization/spec/protocol.html).
 Si l'on applique cela à notre code, le début de la chaîne correspondant au
 chemin du fichier débute à l'offset 0x80.  De plus, lors de l'analyse du code
 source de l'application, nous pouvons observer que des méthodes définies par
 l'interface java.io.Serializable ne sont pas re-définies par l'objet ce qui
 implique donc l'implémentation de base.  En lisant celle-ci, nous apprenons
 que lorsqu'un objet est dé-sérialisé, la reconstruction de l'objet ne passe
 pas par le constructeur de sa classe, mais par la méthode readObject.  Dans le
 cadre de notre audit, l'oubli d'implémentation de cette méthode nous permet de
 passer outre la restriction imposée lors de la création de l'objet et ainsi
 d'accéder à n'importe quel fichier y compris ceux contenu dans le dossier
 /etc/ en modifiant les informations présentes aux offsets suivants:
    - 0x7f pour y définir la longueur du chemin vers le fichier
    - à partir de l'offset 0x80 pour le chemin du fichier

 Par exemple, nous avons comme base le fichier suivant:
[...]
0000070: 7100 7e00 0178 7000 0000 0070 7074 0017  q.~..xp....ppt..
0000080: 2f68 6f6d 652f 6373 6e2f 6261 7365 5f74  /home/csn/base_t
0000090: 6573 742e 7478 74                        est.txt

 Et après modification:
[...]
0000070: 7100 7e00 0178 7000 0000 0070 7074 000b  q.~..xp....ppt..
0000080: 2f65 7463 2f73 6861 646f 77              /etc/shadow

 Suite à l'import de ce fichier sur l'éditeur web, au lieu de reprendre le
 contenu d'origine de notre fichier, celui-ci afficha la liste des empreintes
 des mots de passe des utilisateurs locaux de la machine (l'utilisateur
 faisant tourner le serveur web étant root).

 Pour corriger cela, il est nécessaire de définir les méthodes suivantes:
 writeObject et readObject (étant donné que pour fonctionner, la méthode
 readObject a besoin de connaître le format de sauvegarde).

private void writeObject(ObjectOutputStream out) throws IOException {
    out.defaultWriteObject();
    out.writeInt(documentId);
    out.writeString(documentName);
    out.writeString(documentPath);
}

private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {
        in.defaultReadObject();
        documentId = in.readInt();
        documentName = in.readString();
        documentPath = in.readString();
        if(documentPath.contains("/etc/"))
            throw new Exception("Il est impossible d'accéder aux fichiers contenus dans /etc/");
        documentContent = new File(documentPath);
}



Plus d'informations sur la liste de diffusion newsletter