[Newsletter HSC] N°130 - juin 2015

Newsletter d'information de HSC newsletter at hsc-news.com
Ven 5 Juin 17:43:50 CEST 2015


========================================================================
              HSC Newsletter  --  N°130 --  juin 2015
========================================================================



               « La franchise, cette qualité noble et généreuse,
                                 ne se trouve plus de nos jours. »


                                   [ Honoré-Gabriel Riqueti de Mirabeau ]





--[ Sommaire ]----------------------------------------------------------

      1. Éditorial
      2. Le saviez-vous ? La question
      3. Offre d'emploi continuité d'activité
      4. Offres d'emploi HSC pour consultants en sécurité & continuité
      5. Agenda des interventions publiques
      6. Prochaines formations HSC
      7. Actualité des associations : Club 27001, OSSIR et Clusif
      8. Le saviez-vous ? La réponse



--[ 1. Editorial - Thomas Le Poëtvin & Tony Belot  ]--------------------

     Le référentiel PCI DSS vise à protéger les données de cartes bancaires 
 stockées, traitées ou transmises par les acteurs de la monétique. Il définit 
 les exigences de sécurité à respecter afin d'atteindre, sous réserve de 
 validation par les marques de cartes, la certification éponyme et ainsi 
 apporter de la confiance aux parties prenantes, notamment aux banques et aux 
 marchands. Avec un peu de cynisme, nous pouvons y voir un moyen échafaudé par 
 l'oligopole des marques de cartes pour avoir une emprise sur les acteurs en 
 bout de chaine, reporter la responsabilité sur ces derniers en cas de
 fraudes, et ainsi obtenir dédommagement des frais engendrés (réémission des
 cartes, etc.).

 Pour en revenir au référentiel, la version 3.0 de PCI DSS publiée en novembre 
 2013 a apporté un changement majeur, du moins aux yeux des auditeurs PCI DSS 
 (les Qualified Security Assessors (QSA)). De par ce changement, le
 PCI SSC [1] conforte son message : faites de la CON-FOR-MI-TE ! En effet, le
 modèle du "Report on Compliance" [2] qui répertorie les constatations d'audit
 pour chacune des exigences, exige un niveau de détails très contraignant sur
 les points à contrôler et les preuves à apporter.

 L'objectif poursuivi par le PCI SSC est louable : imposer une démarche
 d'audit rigoureuse aux QSA et forcer les clients à lire les exigences dans
 leur intégralité pour obtenir un niveau de sécurité satisfaisant chez les
 certifiés et des RoC uniformes. Malheureusement, cette démarche stricte de
 conformité est parfois superflue et/ou dangereuse. Superflue et couteuse car
 des mesures de sécurité injustifiées sont appliquées sur des composants peu
 sensibles. Dangereuse car certains QSA en viennent à dérouler l'audit sous
 forme de cases à cocher sans évaluer la véritable portée des risques. Au
 contraire, cette approche par les risques nous apparait indispensable et
 prend tout son sens face à l'incompétence de certains acteurs [3].

 Bien que les exigences de PCI DSS soient relativement détaillées, bon nombre 
 d'entre elles demeurent interprétables, sans compter l'éternel débat sur la 
 réduction du périmètre PCI DSS. Le sempiternel "It's up to the QSA" du PCI
 SSC sur les points flous [4] révèle la véritable démarche qu'il conviendrait 
 d'adopter. Cette approche par les risques est également requise sur les 
 produits frauduleusement estampillés "Conforme PCI DSS", pour lesquels le 
 niveau de sécurité laisse à désirer [5]. Que penser de ces éditeurs ? Des QSA 
 qui recommandent ces produits afin d'être conforme à tout un groupe 
 d'exigences PCI DSS ?

 Cette appréciation des risques doit d'ailleurs être réalisée par les
 audités : une exigence PCI DSS l'impose afin que l'audité prenne conscience
 des risques encourus et justifie sa prise de position sur certaines
 exigences. Malheureusement, beaucoup d'audités se contentent de faire une
 appréciation des risques uniquement pour la conformité, mais inutile d'un
 point de vue opérationnel. Sans un processus de gestion des risques rigoureux,
 l'audité ne peut légitimement défendre sa prise de risque auprès d'un QSA. 
 La présence de cette exigence dans PCI DSS semble d'ailleurs représenter
 davantage un moyen de protection pour les marques de cartes pour s'affranchir
 de toute responsabilité en cas de mesures de sécurité oubliées dans le
 référentiel.

 Toujours est-il que PCI DSS demeure un bon référentiel qui se doit de
 conserver ce niveau de sécurité minimum imposé au travers des exigences, en
 opposition à l'ISO 27001 par exemple. Cependant, à trop promouvoir l'approche
 par la conformité, le PCI SSC nuit à une gestion de la sécurité intelligente
 et efficiente. Les audités le ressentent : ils essaient parfois de jouer sur 
 l'interprétation des exigences en fermant les yeux sur les risques manifestes, 
 ou sont tentés de fournir les efforts nécessaires juste quelques semaines
 avant l'audit de renouvèllement, tel un cancre qui commence à travailler la
 veille de son examen... A ce titre, le RoC devrait systématiquement 
 représenter le niveau de sécurité constaté le jour de l'audit, avec les 
 actions correctives entreprises dans un second temps. Evidemment, les audités 
 poussent pour ne décrire la situation qu'après la mise en oeuvre des actions 
 correctives pour favoriser l'acceptation du RoC par les marques de cartes.

 [1] https://fr.pcisecuritystandards.org/minisite/en/about.php
 [2] Document vierge comptant 222 pages. A ne pas confondre avec un "Report of Compliance", qui n'existe pas. https://www.pcisecuritystandards.org/documents/PCI_DSS_v3_1_ROC_Reporting_Template.pdf
 [3] Une application de paiement certifiée PA-DSS, développée par un grand acteur français, utilisant DES en 2014 pour faire transiter les numéros de carte entre des marchands et la passerelle de paiement.
 [4] Comprendre : n'ayant pas fait l'objet d'un consensus entre les marques de cartes.
 [5] Un SIEM, auto-proclamé conforme PCI DSS, installé telle une boite noire dans un système d'information, pour lequel le serveur s'administre par le biais de OpenSSH 4 en 2015.



--[ 2. Le saviez-vous ? La question ]------------------------------------

     Lors d'une revue de code, vous observez le code suivant:

 [....]
 int check_length(short pLen, int pMax){
    if (pLen > pMax){
        return 0;
    }else{
        return 1;
    }
 }

 int main(){
    char login[100];
    string input;
    cout << "Merci de définir votre nom d'utilisateur" << endl;
    cin >> input;
    if(check_length(input.size(), 100)){
        strcpy(login, input.c_str());
    }else{
        printf("Le login est trop grand, merci de relancer le programme");
        exit(1);
    }
    //Suite du programme
    return 0;
 }

 Une vulnérabilité est présente dans ce morceau de code, savez-vous
 où elle se situe ?

 Réponse au paragraphe 8.



--[ 3. Offre d'emploi consultant en continuité d'activité ]--------------

     HSC by Deloitte recherche un consultant senior en continuité d'activité
 afin de développer l'offre et répondre aux demandes croissantes des clients
 sur l'ISO 22301.
 Les notions d'indépendance et de travail en équipe sont fondamentales chez
 HSC by Deloitte. Le candidat doit être passionné, aimer partager son
 expérience et être capable de faire progresser ses collègues sur son sujet
 de prédilection. Le consultant sélectionné pourra bénéficier de l'expérience
 d'HSC by Deloitte, considéré comme leader d'opinion sur l'ISO 27001 et la
 gestion des risques en sécurité.

 Avec le développement de l'offre « Continuité d'activité », le consultant
 sera en charge d'animer les formations ISO 22301 Lead Implementer, ISO 22301
 Lead Auditor et gestion de crise IT/SSI.

 Dans le cadre sa prise de fonction, il suivra les formations ci-dessus et
 d'autres comme ISO 27005 Risk manager et/ou des formations ISO27001.


     Le candidat devra justifier d'entre 5 et 10 ans d'expérience le sujet :
 BIA, stratégies de continuité, DRP, gestion de crise, plan de repli
 utilisateurs (PRU), exercices-tests, etc. Des connaissances avancées en
 sécurité des systèmes d'informations et/ou sur les systèmes de management
 constituent un avantage, mais ne sont pas indispensables.

 Le poste est basé à Neuilly-sur-Seine (Paris), au pied du métro Pont de
 Neuilly (ligne n° 1). Si vous souhaitez proposer votre candidature, nous
 vous remercions d'envoyer votre CV en texte ASCII (pas de .doc ni .docx) par
 courrier électronique à  cv at hsc.fr.



--[ 4. Offres d'emploi HSC pour consultants en sécurité ]----------------

     HSC recherche des consultants brillants, débutants ou expérimentés,
 avides de partager et de s'épanouir dans une équipe indépendante,
 pluridisciplinaire, qui couvre tous les aspects liés à la sécurité et
 continuité, des tests d'intrusion à l'expertise judiciaire, de la
 rétro-ingénierie à la gouvernance, des systèmes industriels et embarqués à
 la gestion des risques, des technologies sans-fil à la résilience, de
 l'inforensique à l'ingénierie sociale, etc., pour des missions d'expertise
 variées et haut de gamme.

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC
 (intrusion, inforensique, Windows, SCADA, ISO27001, ISO22301, ISO27005,
 EBIOS, etc.), soit 2 à 6 semaines de formations suivies dans le cadre de
 la prise de fonction.

     HSC recherche également des stagiaires pour des stages de pré-embauche.

     Tous les postes sont basés à Neuilly-sur-Seine (Paris), au pied du métro
 Pont de Neuilly (ligne n° 1). Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ASCII (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 5. Agenda des interventions publiques ]--------------------------------

 - 2 juin 2015 - Journée Technique ISO27001 du LNE - Paris
   "Conclusion de la journée" par Hervé Schauer
   http://www.lne.fr/campagnes/2015/JT1501.asp

 - octobre 2015 - Assises de la sécurité è Monaco
   Participation d'Hervé Schauer à la table-ronde "Gestion des Comptes à
   Privilèges : Cybersécurité ou Contribution auxréglementations"


 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 6. Prochaines formations HSC ]----------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        Inforensique réseau avancée (SANS FOR572)   : 1 au 5 juin (*)(#)
        ISO 27001 Lead Auditor    ..............    : 1 au 5 juin (#)
        Analyse et investigation numérique avancées
        dans les réseaux (SANS FOR 572)    .....    : 1 au 5 juin (#)
        ISO 22301 Lead Implementer    ..........    : 8 au 12 juin (#)
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 8 au 12 juin (#)
        Formation CISSP    .....................    : 15 au 19 juin
        Mesures de sécurité ISO 27002:2013   ...    : 15 et 16 juin
        Indicateurs & tableaux de bord SSI/ISO27004 : 17 juin
        Gestion des incidents de sécurité/ISO27035  : 18 juin
        Gestion de crise IT/SSI    .............    : 19 juin 2015
        ISO 27005 Risk Manager    ..............    : 22 au 24 juin (#)
        
        ISO 27001 Lead Implementer    ..........    : 29 juin au 3 juillet (#)
        Correspondant Informatique et Libertés      : 1 au 3 juillet (@)
        ISO 27005 Risk Manager    ..............    : 9 au 11 septembre (#)
        Essentiels de l'ISO22301    ............    : 14 septembre
        ISO 27001 Lead Auditor    ..............    : 14 au 18 septembre (#)
        Inforensique Windows (SANS FOR408/GIAC GCFE): 14 au 18 septembre (*)(#)
        ISO 27001 Lead Implementer    ..........    : 21 au 25 septembre (#)
        Sécurité du Cloud Computing    .........    : 21 au 23 septembre
        Essentiels techniques de la SSI    .....    : 24 et 25 septembre
        Protéger les applis web (DEV522 /GIAC GWEB) : 28 sep au 2 oct (*)(#)
        ISO 27005 Risk Manager    ..............    : 7 au 9 octobre (#)
        Formation CISSP    .....................    : 12 au 16 octobre (#)
        ISO 22301 Lead Auditor    ..............    : 26 au 30 octobre (#)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 26 au 31 octobre (*)(#)
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 2 au 6 novembre (*)(#)
        EBIOS Risk Manager    ..................    : 3 au 5 novembre (#)
        RGS v2 : la SSI pour le secteur public      : 6 novembre
        Sécurité du WiFi    ....................    : 9 et 10 novembre (*)
        DNSSEC    ..............................    : 12 et 13 novembre (*)
        Essentiels Informatique et Liberté   ...    : 13 novembre
        ISO 27001 Lead Implementer    ..........    : 16 au 20 novembre (#)
        Inforensique ordiphones/tablettes (FOR585)  : 16 au 20 novembre (*)(#)
        Sécurité SCADA    ......................    : 16 au 18 novembre (*)
        Tests d'intrusion avancés des applications
        web et hacking éthique (SANS SEC642)  ...   : 23 au 27 novembre (*)
        Expert Sécurité Linux LPI 303   ........    : 23 au 27 novembre (*)(#)
        Essentiels juridiques pour gérer la SSI     : 26 et 27 novembre
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 14 au 18 décembre (*)(#)
        Risk Manager Avancé    .................    : 17 et 18 décembre
        PKI : principes et mise en oeuvre    ...    : mai 2016 (*)
        Essentiel de PCI-DSS    ................    : mai 2016

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC ou LPI
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : session de formation complète

 - Luxembourg
        ISO 22301 Lead Implementer    ..........    : 19 au 23 octobre (#)
        Formation CISSP    .....................    : 2016 (#)
        ISO 27005 Risk Manager    ..............    : 2016 (#)
        ISO 27001 Lead Implementer    ..........    : 2016 (#)

 - Lille
        Correspondant Informatique et Libertés      : mars 2016 (@)

 - Lyon
        Correspondant Informatique et Libertés      : mai 2016 (@)

 - Marseille
        Correspondant Informatique et Libertés      : avril 2016 (@)

 - Rennes
        ISO 27001 Lead Auditor    ..............    : 5 au 9 octobre (#)
        Correspondant Informatique et Libertés      : juin 2016 (@)

 - Strasbourg
        Correspondant Informatique et Libertés      : juin 2016 (@)

 - Toulouse
        ISO 27001 Lead Implementer    ..........    : 12 au 16 octobre (#)
        Correspondant Informatique et Libertés .    : 4 au 6 novembre (@)
        ISO 27005 Risk Manager    ..............    : 19 au 21 novembre (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Intertek sur
 ses formations.

 Pour tout renseignement ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 158 379 042

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2015 en PDF sur http://www.hsc-formation.fr/



--[ 7. Actualité des associations : Club 27001, OSSIR et Clusif ]---------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris jeudi 17 septembre 2015
         - "La gouvernance du SMSI au défi de la complexité" par Dominique
           Castan, Atos
         - "Retour d'expérience sur la mise en oeuvre de SMSI dans un
           contexte étranger" par Ramesh Pavadepoulle, Dell Secureworks
     . Autres prochaines réunions annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 9 juin à l'INRIA
         - Revue de vulnérabilités
         - "Firewall SCADA certifié" par Pascal Sitbon (SecLab Solutions)
         - "SSL" par Karthikeyan Bhargavan (INRIA)
         - Revue de vulnérabilités
     . Réunion suivante à Paris le mardi 7 juillet à l'INRIA
         - "Investigation sur les intrusions physiques du SI" par
           Alexandre Triffault (OFC)
         - Programme en cours de confirmation
     . Prochaine réunion à Toulouse mardi 23 juin
         - "Bitcoins : principes, fonctionnement et utilisation" par Stéphane
           Tonelli et Patrice Reveillac (Gendarmerie)
         - Seconde présentation en cours de confirmation
     . Prochaine réunion à Rennes lundi 22 juin chez Orange à Cesson-Sévigné
         - "Sécurité numérique sur le web" par Régis Le Guennec (MBA
           Multimedia)
         - "Kevin découvre la face cachée des injections web" par Clément
            Domingo

 o Clusif (http://www.clusif.fr/)
     . Prochaine conférence le 17 juin sur la sensibilisation à la SSI à
       16h00 à la CCI place de la Bourse.
       http://www.clusif.fr/



--[ 8. Le saviez-vous ? La réponse ]-------------------------------------

 Le problème se situe lors de l'appel à la fonction check_length. En effet,
 les paramètres de celui-ci sont du type: (short, int) or, lors de l'appel 
 à la fonction au travers de la ligne suivante :
 	if(check_length(input.size(), 100))
 la fonction est appelée avec les paramètres de type (int , int) qui 
 peuvent poser un problème de conversion implicite.
 
 En effet, la valeur maximale d'une variable de type short est 32767 (2^15-1)
 et celle d'un type int est 2147483647 (2^31-1). Il est important de connaitre
 la représentation des nombres car bien que normalement non défini dans la
 norme, cette dernière est cyclique. Ainsi, lorsqu'un dépassement de la taille
 maximale d'un type est réalisé (lors d'une conversion implicite par exemple)
 la valeur retournée est la suivante :
 VALEUR_CAST-TYPE_MAX+TYPE_MIN.

 Dans notre exemple, si nous définissons un nom d'utilisateur d'une taille de
 32768, la valeur du paramètre pLen sera -32768 et donc inférieure à la valeur
 de pMax. Il sera alors possible de réaliser un dépassement de tampon suite
 à la réalisation du strcpy étant donné que notre chaine source dépasse les
 100 caractères.




Plus d'informations sur la liste de diffusion newsletter