[Newsletter HSC] N°131 - Juillet 2015

Newsletter d'information de HSC newsletter at hsc-news.com
Mer 15 Juil 17:24:50 CEST 2015


========================================================================
              HSC Newsletter  --  N°131 --  juillet 2015
========================================================================



               « Un des préceptes les plus importants de la sagesse
                                      est de se connaître soi-même. »


                                   [ Socrate ]





--[ Sommaire ]----------------------------------------------------------

      1. Éditorial
      2. Le saviez-vous ? La question
      3. Compte-rendu de la conférence HIP (Hack In Paris) 2015
      4. Questionnaire Sécurité SCADA du CLUSF
      5. Offre d'emploi continuité d'activité
      6. Offres d'emploi HSC pour consultants en sécurité & continuité
      7. Agenda des interventions publiques
      8. Prochaines formations HSC
      9. Actualité des associations : Club 27001, OSSIR et Clusif
     10. Le saviez-vous ? La réponse



--[ 1. Editorial - Christophe Renard  ]---------------------------------

     Hacking Team s'est fait pirater[1].
 Depuis quelques jours, chacun peut télécharger les 400Go apparemment
 extraits du réseau local de l'entreprise italienne de sécurité.

 Hacking Team s'est surtout fait connaitre internationalement pour sa
 gamme de produits d'espionnage "gouvernementaux"[2].
 Ce piratage vient après celui de Gamma[3] (éditeur du spyware
 gouvernemental FinFisher) et le pirate revendique les deux actions.

 Comme à chaque fois ce piratage vient rappeler combien ce que nous
 stockons sur nos ordinateurs révèle de nous.
 Dans le cas présent ce n'est pas la matière qui manque.
 Tout n'est peut-être pas intègre, mais la masse plaide pour une 
 certaine authenticité.

 La vision que donne ce volume de données est d'une grande banalité : 
 celle d'une PME européenne prospère.
 Nouvelles fonctions, correctifs, les développeurs commitent 
 avec régularité.
 Les sysadmins scannent leur réseau à coups de Nmap et de Nikto et
 stockent des plans d'adressage, des schémas réseau.
 Les commerciaux prospectent, on s'échange des notes et comptes-rendus, 
 on fait des réunions sur Skype.
 Les soucis de gestion, les déclarations, les opérations bancaires, 
 les facturations... une vie d'entreprise normale.
 Les employés, eux, téléchargent des ebooks, des cours de guitare et des
 recettes de cuisine, échangent des blagues sur WhatsApp et vont aux 
 conférences/pèlerinages du monde de la sécurité à Las Vegas.

 Hacking Team est bien intégrée dans le petit monde de la sécurité et 
 commerce, reçoit des CV et fait passer des entretiens d'embauche avec
 le tout venant du domaine.

 Rien de tout cela ne choquerait dans la plupart des PME.
 En fait, la plupart des consultants en sécurité pourraient se
 reconnaitre dans l'ordinaire de cette activité.

 Mais Hacking Team vend (vendait ?) un outil d'espionnage.

 Parmi les clients on reconnait des organes d'Etats occidentaux : forces 
 de police, services de renseignement, armées...
 Ces organisations ont leur part d'excès et abus, mais au moins leurs
 pratiques sont-elles sujettes à débat et contrôle démocratique.

 Laissant de coté quelques bizarreries (banques, entreprises de
 restauration), on trouve évidemment de nombreux Etats dictatoriaux 
 dans cette liste.
 Ces pays comptent, bien sûr, leur lot de criminels, terroristes et 
 autres authentiques nuisibles. Mais ils appliquent aussi une 
 répression souvent féroce sur toute forme de dissension.

 Ce sont des clients fidèles qui paient bien.
 Que ce soit par intérêt financier, par goût du challenge technique, 
 ou même un certain romantisme, ce genre de travail peut être tentant.

 Il est probable que ces exportations se sont faites avec l'assentiment
 des autorités de tutelle nationale de Hacking Team ; ne serait-ce que 
 pour protéger les marchés avec l'Etat italien, principal client.
 Ces ventes sont donc probablement légales[4].

 Il est de bon ton aujourd'hui de présenter l'introduction des 
 logiciels offensifs dans l'Arrangement de Wassenaar comme une avancée.
 Mais c'est vite oublier que ce texte n'exige qu'un contrôle des 
 exportations par les Etats. Les nations les plus civilisées ayant 
 amplement prouvé leur velléité de vendre des armes aux pires despotes,
 le progrès est douteux.

 Quand ce type de marché est évoqué me revient l'image de la visite 
 d'une salle d'interrogatoire de la Savak[5] à l'occasion du chaos de 
 la révolution iranienne de 1979, décrite par Robert Fisk[6].
 Dans cette salle carrelée, proprette, le centre était occupé par une
 chaise de dentiste sur l'accoudoir de laquelle était montée une 
 machine à jambon sur un rail coulissant.
 
 Les américains parlent de la "Kill Chain" pour décrire l'enchaînement
 de tâches de renseignement, de logistique, de prise de décision et 
 d'action qui conduisent à un résultat "cynétique"[7].
 En vendant ses malwares, Hacking Team est rentré dans la "Kill Chain"
 de ses clients dictateurs.

 Il est de coutume d'évoquer Hannah Arendt[8] pour opposer la banalité
 du travail qui mène aux violences d'Etat à son résultat. Mais ce sont
 trop souvent des considérations abstraites.

 Ici les faits sont simples : en entrant dans le commerce de l'offensif,
 au bout de votre commit, il y a peut-être un homme, une femme, sanglé 
 dans une chaise, face à la machine à jambon.

 À chacun de voir ce que vaut son salaire.


 [1] LeMonde Piratage de Hacking Team
http://www.lemonde.fr/pixels/article/2015/07/06/le-vendeur-de-logiciels-espions-hacking-team-victime-d-un-piratage-massif_4672642_4408996.html
 [2] Publicité de Hacking Team https://youtu.be/R63CRBNLE2o
 [3] Piratage de Gamma International http://www.zdnet.com/article/top-govt-spyware-company-hacked-gammas-finfisher-leaked/
 [4] The Policy Implications of Hacking the Hacking Team 
http://blogs.cfr.org/cyber/2015/07/08/the-policy-implications-of-hacking-the-hacking-team/
 [5] SAVAK https://en.wikipedia.org/wiki/SAVAK
 [6] Robert Fisk "The great war for civilisation", ISBN 1-4000-7517-3
 [7] Le vocabulaire militaire, surtout américain contaminant le monde de la 
     "cyber-sécurité", le terme "cynétique" est l'euphémisme utilisé pour 
     désigner un résultat dans le monde réel, généralement une explosion.
 [8] Hanna Arendt, "Eichmann à Jerusalem" ISBN 978-2070326211
    


--[ 2. Le saviez-vous ? La question ]------------------------------------

     Lors d'un test d'intrusion sur une application Node.js (utilisant la 
 bibliothèque express), vous découvrez différents types de vulnérabilités 
 (Cross-Site Scripting, exécution de code ...), cependant aucun formulaire 
 de téléversement (upload) n'est présent.

 Savez-vous comment faire pour déposer un "webshell" sur cette application
 sans avoir à téléverser de fichier et de manière invisible pour
 l'administrateur de la plateforme ?

 Réponse au paragraphe 10.



--[ 3. Compte-rendu de la conférence HIP (Hack In Paris) 2015 ]----------
    Danil Bazin, Vincent Herbulot et Inês Ribeiro

 You don't hear me but your phone's voice interface does
 -------------------------------------------------------
 Jose Lopes Esteves et Chaouki Kasmi

     Cette conférence présente une attaque consistant à utiliser le micro de
 casques téléphoniques afin d'émettre des commandes par sons inaudibles qui
 seront interprétés par les assistants vocaux (google now, siri, cortana).
 Ces outils d'assistance peuvent aller sur internet, lancer des applications
 ou encore émettre des appels et des SMS, via des commandes vocales que
 l'attaquant va pouvoir émettre.
 Plusieurs scénarios d'attaque ont été présentés, en particulier 
 l'espionnage de l'utilisateur en appelant un numéro, ce qui ne génère 
 aucune alerte.


 COPY & PEST
 -----------
 Mario Heiderich (@0x6D6172696F)

     Le vecteur d'attaque présenté lors de cette conférence repose sur le
 stockage de contenu HTML dans le presse-papier. Le presse-papier supporte
 de nombreux formats lors de la copie, dont HTML.
 Lors de la copie de ce contenu dans un navigateur, une injection de code 
 arbitraire (XSS) était déclenchée. 
 Les développeurs des navigateurs connaissent ce point d'injection, mais Mario 
 Heiderich a démontré plusieurs contournements possibles des protections en
 place en utilisant le format SVG. L'attaque peut s'effectuer depuis les
 formats PDF, DOC/DOCX, XPS et ODT.


 Backdooring X11 with much class and no privileges
 -------------------------------------------------
 Matias Katz

     Matias Katz cherche un moyen rapide (un one-liner), portable (doit
 fonctionner sur tous les gestionnaires d'affichage utilisant X11) et non
 privilégié d'installer une porte dérobée sur le système. Il présente donc
 différentes portes dérobées développées en Python, permettant de
 déverrouiller le système à l'aide de dbus en surveillant un type d'évènement
 bien précis. Le premier exemple se base sur l'identifiant d'une clé USB
 présent dans /dev/disk/by-id/ pour déverrouiller le poste. Le second exemple
 se base sur le fichier /proc/asound/card0/codec, le code détecte alors qu'un
 casque audio est branché pour déverrouiller le système.
 Pour éviter que l'utilisateur ne détecte la porte dérobée, il utilise un motif
 en comptant le nombre de secondes branché / débranché.


 Breaking In Bad (I'm the one who doesn't knock)
 -----------------------------------------------
 Jayson E.Street (@jaysonstreet)

     La quatrième conférence présente les attaques par ingénierie sociale.
 Les attaques se font en trois phases : reconnaissance (s'informer sur la
 victime : Google, site web de la victime, réseaux sociaux), ingénierie
 sociale (aller la où la victime réside et surveiller / étudier / prendre des
 notes), passer à l'action. Il présente ensuite différents exemples : rentrer
 dans une banque et récupérer les ID, les mots de passe, les machines, et
 leurs accès réseau en se faisant passer pour la maintenance. Dans le second
 exemple, il rentre sans parler en prétendant être au téléphone, il demande
 à la femme de ménage de lui ouvrir et dit au téléphone "c'est bon, quelqu'un
 m'a ouvert" pour la déresponsabiliser.


 Bootkit via SMS: 4G access level security assessment
 ----------------------------------------------------
 Timur Yunusov

     L'équipe SCADAStrangeLove a présenté tous les vecteurs d'attaques
 connus sur les modems GSM. Ces appareils très utilisés sont assez peu
 protégés et vulnérables via leurs interfaces Web à de nombreuses failles.
 Par exemple des XSS exploitables par l'envoi d'un SMS, et permettant entre 
 autres de modifier le serveur DNS du modem.
 Une autre exploitation possible de ces bogues permet l'envoi d'un nouveau 
 firmware afin d'obtenir une exécution de code à distance. Dans un second
 temps, l'attaquant peut exploiter la connexion USB vers le poste de la
 victime afin de simuler par exemple un clavier et une clé USB contenant des
 fichiers malfaisants.


 DDOS mitigations epic fail collection
 -------------------------------------
 Moshe Zioni

     Le but de cette conférence est de présenter diverses mesures courantes
 qui s'avèrent souvent inefficaces contre le déni de service réparti.
 Par exemple, ne surveiller que les flux entrants n'est pas suffisant, 
 car il est possible de saturer le flux sortant en demandant de gros fichiers.
 De même, saturer les liens avec les tiers comme la base de données permet un
 déni de service discret.
 Une autre erreur courante est de ne lancer le service de protection qu'au
 moment du déni, ce qui le place en mode apprentissage sur le trafic
 d'attaque. Protéger les CDN par un nom imprévisible s'avère également
 inefficace, car il suffit de trouver un autre sous-domaine et il y a de
 fortes chances que l'adresse soit sur la même plage.
 Enfin, la solution qui consiste à bloquer à la volée les adresses d'attaque
 par plage d'adresse risque tout simplement de bloquer tout le trafic légitime
 venant de ces plages et donc de provoquer soi-même le déni de service.


 Server-side browsing considered harmful
 ---------------------------------------
 Nicolas Grégoire (@Agarri_FR)

     Nicolas Grégoire a présenté les vulnérabilités dites SSRF, reposant sur
 le fait qu'il est possible de provoquer une requête HTTP depuis un serveur
 HTTP. Des techniques d'obfuscation d'adresses IP et de contournement de
 filtres ont été présentés comme 425.510.425.510 qui est une version
 surchargée de l'adresse 169.254.169.254.
 Sur des instances EC2, l'adresse http://169.254.169.254/latest/user-data
 permet souvent de récupérer des identifiants. En interne de nombreuses
 API sont souvent disponibles et très peu testées et permettent des accès aux 
 services de supervision voir des exécutions de code à distance.
 Des cas pratiques d'exploitation sur des applications web comme Facebook
 lui ont permis d'obtenir des bugs Bounty de plusieurs milliers d'euros. 


 Fitness trackers: Hack in progress
 ----------------------------------
 Axelle (@cryptax) Apvrille - Fortinet

     Il existe beaucoup d'objets connectés de nos jours : montre, caméra,
 t-shirt, lunette à réalité augmentée, etc. La conférence se concentre
 sur un objet en particulier : les bracelets fitbit. Le fitbit lui-même ne
 fait qu'enregistrer l'activité, la logique est déportée côté serveur
 (tracker). Il était possible avant d'observer les activités des gens sur le
 tracker (les activités sont découpées en catégories, activités sexuelles par
 exemple). Il est possible de leurrer le capteur en le secouant ou en
 l'attachant à une corde et en le faisant tourner ou en l'attachant à une
 roue de voiture. Axelle explique comment fonctionne le protocole entre le
 bracelet et le tracker qu'elle a retro-ingénieré. Elle a également écrit un
 fuzzer et trouvé des vulnérabilités (non divulguées).


 SAP security: real life attacks to business processes
 -----------------------------------------------------
 Arsal Ertunga

     Cette conférence présente quelques attaques à exécuter sur SAP pour
 récupérer des données bancaires. Une première attaque consiste à 
 injecter du code ABAP dans l'ECM Opentext, permettant par exemple de 
 changer les valeurs de salaires. Une autre attaque utilise la transaction 
 FK02 pour remplacer les comptes de fournisseurs et ainsi remplacer le 
 compte de paiement.
 L'auteur s'est ensuite intéressé au stockage des informations de cartes 
 bancaires dans SAP. Celles-ci sont stockées chiffrées pour respecter le
 référentiel PCI-DSS, mais il est possible d'utiliser RS_REPAIR_SOURCE, 
 qui est un éditeur de code ABAP, pour appeler CCSECA_CCNUM_DECRYPTION 
 et obtenir les valeurs en clair.
 D'autre part, lorsqu'une solution de paiement externe est utilisée, il
 est possible que l'API soit accessible directement.


 Oracle Peoplesoft applications are under attack !
 -------------------------------------------------
 Alexey GreenDog Tyurin

     Cette conférence porte sur la sécurité d'Oracle Peoplesoft, logiciel de
 gestion de ressources humaines. Parmi les vecteurs d'attaques présentés,
 comme la console de management Weblogic, le plus impactant est celui sur
 l'implémentation du SSO par Oracle Peoplesoft.
 En effet le cookie PS_TOKEN permettant l'authentification, peut être
 bruteforcé afin de déterminer la clé partagée commune à toutes les
 applications Oracle Peoplesoft, permettant ainsi à l'attaquant de
 compromettre totalement la solution.


 Exploiting TCP Timestamps
 -------------------------
 Veit Hailperin

     Cette conférence s'intéresse à l'option timestamp de TCP et aux
 utilisations qui peuvent en être faites. Les attaques déjà connues sont de
 calculer l'uptime d'un serveur et en déduire les correctifs appliqués. Il
 peut également permettre d'identifier le système hôte ou de comparer une
 machine de TOR et du réseau pour vérifier si elles sont identiques.
 L'auteur a proposé deux nouvelles utilisations. La première est d'utiliser
 cette information pour vérifier si les différents services en écoute sur une
 même adresse IP correspondent bien à la même machine physique et de les
 associer par machine sinon. La deuxième utilisation est de vérifier si pour
 un service donné, plusieurs machines physiques sont utilisées, ce qui 
 indique la présence de répartition de charge.


 SNMP pwnd: information data leakage attacks against SNMP enabled embedded
 -------------------------------------------------------------------------
 Deral Heiland - Rapid7 & Matthew Kienow  

     Cette conférence explique comment récupérer de manière automatique les 
 informations présentes dans les objets SNMP. Si l'on cherche les machines 
 exposant le service SNMP sur Shodan, on obtient 7 millions de résultats.
 Cette conférence présente l'outil snmpbw.pl, qui permet de récupérer
 automatiquement les identifiants, mots de passe, condensats et adresses
 électroniques en se basant sur des expressions régulières et sur un nom de
 communauté connu (public par exemple).


 Revisiting ATM vulnerabilities for fun and our profit
 -----------------------------------------------------
 Alexey (@GiftsUngiven) Osipov  & Olga (@_Endless_Quest_) Kochetova 

    La dernière conférence de HIP porte sur la sécurité des distributeurs 
 automatiques de billets (DAB). Les DAB sont composés d'un coffre et de
 plusieurs modules, reliés à un ordinateur central par USB. La plupart de ces
 machines fonctionnent avec Windows XP (95% en 2014). Le coffre contient
 plusieurs cassettes, en général 4 cassettes de retrait et une cassette de
 dépôt. Chaque cassette contient 2500 billets (ce qui fait donc pour un coffre
 5, 10, 20, 50, un total de 212500 €). L'ordinateur discute avec les
 différents composants (module carte, module billet, module clavier, etc.) via
 une API : XFS. Il est possible de relier un composant (un Raspberry Pi par
 exemple) directement sur les interfaces USB pour les contrôler (l'avantage est
 un accès direct au module, l'inconvénient est la non-disponibilité de l'API).
 L'auteur arrive à faire sortir des billets de cette manière. Les
 contres-mesures proposées sont la mise en place de l'authentification sur
 le DAB et sur les modules et le traitement centralisé de la requête de
 distribution au centre de distribution. À priori, il arrive également à
 trouver des DAB sur internet avec Shodan (la recherche utilisée n'est pas
 donnée, il se base sur des noms de constructeurs).



--[ 4. Questionnaire Sécurité SCADA du CLUSIF ]---------------------------

     Le CLUSIF est la principale association le monde de la sécurité des
 systèmes d'information, depuis désormais 31 ans. En 2013 le CLUSIF a créé
 un groupe de travail "Sécurité SCADA" qui a publié en 2014 son livrable
 "Cybersécurité des systèmes industriels : Par où commencer ? Synthèse des
 bonnes pratiques et panorama des référentiels" [1] [2]
 Le groupe de travail "Sécurité SCADA" du CLUSIF lance cette année une grande
 enquête sur l'utilisation des référentiels par les organisations, industries
 et fournisseurs. Il s'agira d'apporter une vision sur les actions et les
 moyens mis en œuvre par ces différents acteurs en matière de cybersécurité
 pour les SI Industriels.

 Nous vous invitons donc à répondre au questionnaire en ligne du CLUSIF
 disponible à cette adresse :
 https://www.clusif.asso.fr/fr/clusif/gt/gt.asp?gid=59 

     Les résultats de l'enquête seront consolidés et anonymisés. Ils feront
 l'objet d'une conférence publique et d'une publication sur le site du
 CLUSIF.

 [1] http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF-2014-SCADA-Panorama-des-referentiels.pdf
 [2] http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF-2014-SCADA-Annexes-Fiches-de-lecture.pdf



--[ 5. Offre d'emploi consultant en continuité d'activité ]--------------

     HSC by Deloitte recherche un consultant senior en continuité d'activité
 afin de développer l'offre et répondre aux demandes croissantes des clients
 sur l'ISO 22301.
 Les notions d'indépendance et de travail en équipe sont fondamentales chez
 HSC by Deloitte. Le candidat doit être passionné, aimer partager son
 expérience et être capable de faire progresser ses collègues sur son sujet
 de prédilection. Le consultant sélectionné pourra bénéficier de l'expérience
 d'HSC by Deloitte, considéré comme leader d'opinion sur l'ISO 27001 et la
 gestion des risques en sécurité.

 Avec le développement de l'offre « Continuité d'activité », le consultant
 sera en charge d'animer les formations ISO 22301 Lead Implementer, ISO 22301
 Lead Auditor et gestion de crise IT/SSI.

 Dans le cadre sa prise de fonction, il suivra les formations ci-dessus et
 d'autres comme ISO 27005 Risk manager et/ou des formations ISO27001.


     Le candidat devra justifier d'entre 5 et 10 ans d'expérience le sujet :
 BIA, stratégies de continuité, DRP, gestion de crise, plan de repli
 utilisateurs (PRU), exercices-tests, etc. Des connaissances avancées en
 sécurité des systèmes d'informations et/ou sur les systèmes de management
 constituent un avantage, mais ne sont pas indispensables.

 Le poste est basé à Neuilly-sur-Seine (Paris), au pied du métro Pont de
 Neuilly (ligne n° 1). Si vous souhaitez proposer votre candidature, nous
 vous remercions d'envoyer votre CV en texte ASCII (pas de .doc ni .docx) par
 courrier électronique à  cv at hsc.fr.



--[ 6. Offres d'emploi HSC pour consultants en sécurité ]----------------

     HSC by Deloitte recherche des consultants brillants, débutants ou
 expérimentés, avides de partager et de s'épanouir dans une équipe
 indépendante, pluridisciplinaire, qui couvre tous les aspects liés à la
 sécurité et continuité, des tests d'intrusion à l'expertise judiciaire, de
 la rétro-ingénierie à la gouvernance, des systèmes industriels et embarqués
 à la gestion des risques, des technologies sans-fil à la résilience, de
 l'inforensique à l'ingénierie sociale, etc., pour des missions d'expertise
 variées et haut de gamme.

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC
 (intrusion, inforensique, Windows, SCADA, ISO27001, ISO22301, ISO27005,
 EBIOS, etc.), soit 2 à 6 semaines de formations suivies dans le cadre de
 la prise de fonction.

     HSC by Deloitte recherche également des stagiaires pour des stages de
 pré-embauche.

     Tous les postes sont basés à Neuilly-sur-Seine (Paris), au pied du métro
 Pont de Neuilly (ligne n° 1). Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ASCII (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 7. Agenda des interventions publiques ]--------------------------------

 - 15 septembre - AFCDP - Paris
   Conférence "Du CIL au DPO : de la théorie à la pratique"
   "Projet de règlement européen, comparaison du DPO avec le CIL"
   par Frédéric Connes et Amélie Paget

 - 17 septembre - CDSE - Paris
   "Sécurité des SCADA et contexte LPM/OIV"
   par Hervé Schauer et Christophe Renard

 - 1er octobre à 10h00 - Assises de la sécurité è Monaco
   Participation à la table-ronde Wallix "Gestion des Comptes à Privilèges :
   Cybersécurité ou Contribution aux réglementations" par Hervé Schauer

 - 1er octobre à 12h00 - Assises de la sécurité à Monaco
   Animation de la table-ronde Deloitte "La promotion de la sécurité des
   SI dans l'entreprise par la formation" par Hervé Schauer

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 8. Prochaines formations HSC ]----------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        ISO 27005 Risk Manager    ..............    : 9 au 11 septembre (#)
        Essentiels de l'ISO22301    ............    : 14 septembre
        ISO 27001 Lead Auditor    ..............    : 14 au 18 septembre (#)
        Inforensique Windows (SANS FOR408/GIAC GCFE): 14 au 18 septembre (*)(#)
        ISO 27001 Lead Implementer    ..........    : 21 au 25 septembre (#)
        Sécurité du Cloud Computing    .........    : 21 au 23 septembre
        Essentiels techniques de la SSI    .....    : 24 et 25 septembre
        Correspondant Informatique et Libertés      : 28 au 30 septembre (@)
        Protéger les applis web (DEV522 /GIAC GWEB) : 28 sep au 2 oct (*)(#)
        ISO 22301 Lead Implementer    ..........    : 28 sep au 2 octobre (#)
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 5 au 9 octobre (#)
        ISO 27005 Risk Manager    ..............    : 7 au 9 octobre (#)
        Formation CISSP    .....................    : 12 au 16 octobre (#)
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 19 au 23 octobre (*)(#)
        ISO 22301 Lead Auditor    ..............    : 26 au 30 octobre (#)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 26 au 31 octobre (*)(#)
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 2 au 6 novembre (*)(#)
        EBIOS Risk Manager    ..................    : 3 au 5 novembre (#)
        RGS v2 : la SSI pour le secteur public      : 6 novembre
        Sécurité du WiFi    ....................    : 9 et 10 novembre (*)
        DNSSEC    ..............................    : 12 et 13 novembre (*)
        Essentiels Informatique et Liberté   ...    : 13 novembre
        ISO 27001 Lead Implementer    ..........    : 16 au 20 novembre (#)
        Inforensique ordiphones/tablettes (FOR585)  : 16 au 20 novembre (*)(#)
        Sécurité SCADA    ......................    : 16 au 18 novembre (*)
        ISO 27005 Risk Manager    ..............    : 23 au 25 novembre (#)
        Tests d'intrusion avancés des applications
        web et hacking éthique (SANS SEC642)  ...   : 23 au 27 novembre (*)
        Expert Sécurité Linux LPI 303   ........    : 23 au 27 novembre (*)(#)
        Essentiels juridiques pour gérer la SSI     : 26 et 27 novembre
        ISO 27001 Lead Auditor    ..............    : 30 nov au 4 décembre (#)
        Correspondant Informatique et Libertés      : 2 au 4 décembre (@)
        Mesures de sécurité ISO 27002:2013   ...    : 7 et 8 décembre
        Indicateurs & tableaux de bord SSI/ISO27004 : 9 décembre
        Gestion des incidents de sécurité/ISO27035  : 10 décembre
        Gestion de crise IT/SSI    .............    : 11 décembre
        ISO 27005 Risk Manager    ..............    : 14 au 16 décembre (#)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 14 au 18 décembre (*)(#)
        Risk Manager Avancé    .................    : 17 et 18 décembre
        PKI : principes et mise en oeuvre    ...    : mai 2016 (*)
        Essentiel de PCI-DSS    ................    : mai 2016
        Inforensique réseau avancée (SANS FOR572)   : septembre 2016 (*)(#)

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC ou LPI
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : session de formation complète

 - Luxembourg
        ISO 22301 Lead Implementer    ..........    : 19 au 23 octobre (#)
        Formation CISSP    .....................    : 2016 (#)
        ISO 27005 Risk Manager    ..............    : 2016 (#)
        ISO 27001 Lead Implementer    ..........    : 2016 (#)

 - Lille
        Correspondant Informatique et Libertés      : mars 2016 (@)

 - Lyon
        Correspondant Informatique et Libertés      : mai 2016 (@)

 - Marseille
        Correspondant Informatique et Libertés      : avril 2016 (@)

 - Rennes
        ISO 27001 Lead Auditor    ..............    : 5 au 9 octobre (#)
        Correspondant Informatique et Libertés      : juin 2016 (@)

 - Strasbourg
        Correspondant Informatique et Libertés      : juin 2016 (@)

 - Toulouse
        ISO 27001 Lead Implementer    ..........    : 12 au 16 octobre (#)
        Correspondant Informatique et Libertés .    : 4 au 6 novembre (@)
        ISO 27005 Risk Manager    ..............    : 19 au 21 novembre (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Intertek sur
 ses formations.

 Pour tout renseignement ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 158 379 042

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2015 en PDF sur http://www.hsc-formation.fr/



--[ 9. Actualité des associations : Club 27001, OSSIR et Clusif ]---------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris jeudi 17 septembre 2015 chez AG2R La Mondiale
         - "La gouvernance du SMSI au défi de la complexité" par Dominique
           Castan, Atos
         - "Retour d'expérience sur la mise en oeuvre de SMSI dans un
           contexte étranger" par Ramesh Pavadepoulle, Dell Secureworks
     . Autres prochaines réunions annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.
     . Conférence annuelle le 7 avril 2016

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 8 septembre à l'INRIA
         - "Sentryo" par Laurent Hausermann et Thierry Rouquet
	   (Sentryo)
         - "Gatewatcher" par Philippe Gillet (Gatewatcher)
         - Revue de vulnérabilités
     . Réunion suivante à Paris le mardi 13 octobre à l'INRIA
         - "Sécurité SAN" par Pierre-Charles Wagrez (Solucom)
         - Revue de vulnérabilités
     . Prochaine réunion à Toulouse mardi 20 octobre à l'Université
         - "Darktrace" par Emily Orlon (Darktrace)
         - Seconde présentation en cours de confirmation
     . Prochaine réunion à Rennes à la rentrée.
     . Conférence annuelle JSSI le 8 mars 2016

 o Clusif (http://www.clusif.fr/)
     . Prochaines conférences les mercredi 14 octobre et mardi 15 décembre à
       16h00 à la CCI place de la Bourse. Réservez-vous dates !
       http://www.clusif.fr/



--[ 10. Le saviez-vous ? La réponse ]------------------------------------

    Avant d'expliquer l'exploitation de la vulnérabilité, il est nécessaire de
 connaitre une spécificité de l'architecture Node.js[1]. Au sein de Node.js 
 tout le code JavaScript exécuté l'est dans un seul et unique fil (thread) 
 pouvant engendrer d'autres problèmes (portée des variables, etc.).
 Si on arrive à injecter du code, alors celui-ci sera accessible pour tous les
 clients de la plateforme.

 En reprenant notre vulnérabilité de départ d'injection de code, il suffit
 alors d'injecter la "chaine suivante" grâce à la commande ci-dessous (l'objet
 router aura été préalablement obtenu par l'exploitation d'une fuite 
 d'information dans la page permettant l'exécution de commande arbitraire) :

curl -i -s -k  -X 'GET' \ 
    -H 'User-Agent: Mozilla/5.0 (X11; Fedora;'\
       ' Linux x86_64; rv:38.0) Gecko/20100101 Firefox/38.0' \
    'http://vulnerable.fr/page?injection='\
        'router.get('/shell',function(req,res,next){[WEBSHELL];});'

 pour créer un webshell résident en mémoire.

 De plus, grâce à la tolérance de JavaScript, il est tout à fait possible de
 réutiliser une route existante afin de noyer nos accès au webshell dans les
 fichiers de journalisation.

 [1] https://nodejs.org/cinco_de_node.pdf





Plus d'informations sur la liste de diffusion newsletter