[Newsletter HSC] N°137 - mars 2016

Newsletter d'information de HSC newsletter at hsc-news.com
Ven 11 Mar 15:48:13 CET 2016


========================================================================
              HSC Newsletter  --  N°137 --  mars 2016
========================================================================





       « Puisqu'il est très difficile d'établir si quelque chose est vrai,
         mais qu'il est plus facile d'établir si quelque chose est faux,
	 alors le faux c'est une façon de s'approcher de la vérité. »


                                   [Umberto Eco] (émission La Grande Librairie)


--[ Sommaire ]----------------------------------------------------------

      1. Éditorial - Bug Bounty
      2. Le saviez-vous ? La question
      3. Conférence gratuite HSC by Deloitte "DPO" 17 mars à Paris
      4. Nouvelle formation CIL en 5 jours avec certification
      5. HSC by Deloitte partenaire des GS-DAYS (Code de réduction HSC)
      6. Programme de la JSSI de l'OSSIR du 8 mars
      7. Programme de la conférence du Club 27001 du 7 avril
      8. Programme des GS-DAYS du 7 avril (Code de réduction HSC)
      9. Offres d'emploi HSC by Deloitte pour consultants en sécurité
     10. Prochaines formations HSC
     11. Actualité des associations : Club 27001, OSSIR, Clusif et ISSA
     12. Le saviez-vous ? La réponse


--[ 1. Editorial - Hervé Schauer ]---------------------------------------

     Dans un excellent article paru fin Janvier, "L'Uberisation s'attaque à
 l'infosec", Fabrice Epelboin de SciencePo a expliqué le développement
 des plates-formes de 'Bug Bounty', où ceux qui trouvent des failles sont
 "récompensés" pour celles-ci [1]. Il convient de prendre au sérieux
 ce phénomène qui affecte d'ores et déjà le business traditionnel des
 cabinets d'audits de sécurité et de tests d'intrusion. Plutôt que
 d'acheter des "moyens" à une société traditionnelle, dans un pays à monnaie
 forte, les grands donneurs d'ordre comme les start-up d'objets connectés
 achètent à bas prix un "résultat", une faille dans le service ou le produit
 qu'ils délivrent, et ce dans une monnaie faible.
     Cette "Uberisation" est cependant à relativiser et l'article pose des
 questions ethiques et techniques.
 D'ordre éthique : quel mandat les sociétés qui sollicitent un 'bug bounty'
 donnent-elles aux attaquants ? Sont-elles assurées de leur moralité et de
 leur fidélité ? Selon les failles ou données découvertes, l'attaquant peut-il
 avoir intérêt à se tourner vers des commanditaires payant mieux voire à
 mettre ses découvertes aux enchères sur une autre plateforme ?
 D'ordre technique,  du point de vue de l'efficacité même de la recherche de
 failles par cette méthode : l'entreprise doit-elle installer une plateforme
 de tests plus ou moins réaliste ou ouvrir la plateforme pour laquelle la
 recherche de faille est demandée ? Comment cette démarche s'appliquera-t-elle
 aux systèmes internes (non exposés sur Internet) à l'entreprise ?
 J'y ajoute les difficultés légales et d'obtention d'assurance en
 responsabilité civile professionelle.

     Mais comme pour l'armateur du 17ème siècle, comme pour les chercheurs d'or
 du 19ème siècle, ceux qui restent encore sont l'assureur de l'armateur, et
 le fabricant de pioches et de pelles du chercheur d'or. Celui qui a donc
 peut-être le bon business est la plate-forme d'intermédiation entre
 fournisseurs de produits/services et chercheurs de failles, mais ce n'est
 peut-être qu'une offre de plus qui ne remplacera pas l'auditeur de sécurité
 artisanal de proximité.

 [1] : https://www.linkedin.com/pulse/luberisation-sattaque-à-linfosec-fabrice-epelboin



--[ 2. Le saviez-vous ? La question ]------------------------------------

     Lors de la compromission d'un poste Windows dont le disque est chiffré
 avec Bitlocker, un attaquant va chercher à pérenniser son accès le plus
 discrètement possible. Si un accès physique ultérieur est possible (cas d'un
 ordinateur portable par exemple), la récupération des clés de chiffrement
 permettra à l'attaquant d'accéder au système de fichiers ultérieurement.
 Bitlocker permet d'utiliser un système de clé de recouvrement permettant de
 déchiffrer le disque en cas d'oubli de mot de passe. Cette clé est générée par
 défaut lors de la création d'un volume Bitlocker et peut être récupérée avec
 la commande suivante :
> manage-bde.exe -protectors -get C:
Chiffrement de lecteur BitLocker : Outil de configuration version 6.1.7601
Copyright (C) Microsoft Corporation. Tous droits réservés.

Volume C: []
Tous les protecteurs de clés
    Clé externe :
      ID : {7799533F-6B95-47E6-B550-1F7EB52022DF}
      Nom de fichier de clé externe :
        7799533F-6B95-47E6-B550-1F7EB52022DF.BEK

    Mot de passe numérique :
      ID : {46B5EE3A-055A-450B-A91A-71692C9EA300}
      Mot de passe :
        241659-303413-667843-380226-239283-469128-457919-074327

     Ce dernier mot de passe peut ensuite être utilisé pour déchiffrer le
 disque au démarrage en appuyant sur la touche Echap et en entrant cette clé.

 Cet accès n'est néanmoins pas fiable puisque la clé de recouvrement peut être
 changée ou supprimée par exemple avec la commande suivante
> manage-bde.exe -protectors -delete C: -t RecoveryPassword

     Comment pérenniser l'accès au disque dur même en cas de modification de
 la clé de recouvrement?

     Réponse au paragraphe 12.


--[ 3. Conférence gratuite "DPO" le 17 mars à 9h00 à Paris ]--------------

 "Anticiper le règlement européen sur les données personnelles : le délégué à
  la protection des données (DPO)"

     Le règlement européen sur les données personnelles devrait être adopté
 d'ici le printemps 2016. Une période transitoire de deux ans est prévue pour
 laisser le temps aux organismes de se préparer, et cela ne sera pas de trop.
 En effet, les implications de ce texte seront très importantes, et il importe
 dès lors de les anticiper. Parmi les évolutions majeures, le "correspondant
 informatique et libertés" (CIL) sera remplacé par le "délégué à la protection
 des données" (Data Protection Officer, DPO).

 HSC by Deloitte vous propose d'aborder les questions que vous pouvez vous poser
 sur le DPO lors d'un petit-déjeuner organisé le 17 mars. Nous traiterons
 notamment des sujets suivants:
  - Dans quels cas le DPO sera-t-il obligatoire ?
  - Les CIL deviendront-ils automatiquement DPO ?
  - En quoi le statut du DPO diffèrera-t-il de celui du CIL ?
  - Quelles seront les missions du DPO ?
  - Quelle sera l'étendue de la responsabilité du DPO ?
  - Le poste de DPO peut-il se transformer en métier exercé à plein temps ou
    comme prestataire ?

    Le petit-déjeuner se voulant avant tout interactif, nous répondrons
 également à toutes les autres questions que vous pourriez avoir sur le sujet.

 Horaire : Petit-déjeuner à 8h30, début de la conférence à 9h00, fin à 11h00.

 Lieu : Deloitte, 185 avenue Charles de Gaulle, 92200 Neuilly-sur-Seine
 Parking : Place de parking sur demande
 Métro : Pont de Neuilly

 Pour vous inscrire (inscription gratuite pour les utilisateurs), contactez
 notre service formation : formations at hsc.fr
     Lynda Benchikh : +33 141 409 704
     Emilie Bozzolo : +33 140 887 146



--[ 4. Nouvelle formation CIL en 5 jours avec certification LSTI ]-------

     Depuis plusieurs années, HSC propose une formation CIL en trois jours,
 labellisée par la CNIL et qui a beaucoup de succès.

     Afin de répondre aux attentes, aussi bien du marché que des autorités,
 HSC s'est associé à LSTI pour proposer une formation à l'issue de
 laquelle les stagiaires peuvent tenter une certification indépendante,
 conçue et délivrée par LSTI, leur permettant d'attester de leur compétence.

     Le cours, à la fois théorique et pratique, aborde tous les aspects du
 métier de CIL et du droit de l'informatique et des libertés dont la
 connaissance est nécessaire à l'obtention de la certification. La formation
 est conçue par un docteur en droit également ingénieur en informatique, qui
 exerce les fonctions de CIL depuis plus de cinq ans. Au-delà de la
 certification, la formation a pour but de donner les moyens aux stagiaires
 d'être efficaces et pragmatiques dans l'exercice de leurs fonctions.

 Première session à Paris du 18 au 22 avril prochain.

 Pour vous inscrire et pour tout renseignement, contactez notre service
 formation : formations at hsc.fr
     Lynda Benchikh : +33 141 409 704
     Emilie Bozzolo : +33 140 887 146



--[ 5. HSC by Deloitte partenaire des GS-DAYS à Paris ]-------------

     HSC sera présent aux GS-DAYS le 7 avril prochain de 8h30 à 18h30 à
 l'Espace Saint-Martin (http://www.gsdays.fr/infos-pratiques/) au 199 bis,
 rue Saint-Martin, 75003 Paris. Notre équipe avec Adrien Pasquier et
 Jean Jacques Cayet pour les prestations et Lynda Benchikh et Emilie Bozzolo pour
 les formations sera à votre disposition sur notre stand.

 Inscription obligatoire.

 Programme détaillé : http://www.gsdays.fr/a-propos/programme
 Inscription en ligne : http://www.gsdays.fr/sinscrire/10-gsdays.html
 Formulaire d'inscription papier :
     http://www.gsdays.fr/formulaire_inscription.pdf

 Utilisez le code d'HSC pour vous inscrire : G7s4Dw8è et bénéficiez d'un
 tarif réduit de 135 euros HT au lieu de 165 euros HT.



--[ 6. Programme de la JSSI de l'OSSIR 2016 - 8 mars ]-----------------

     La journée de la Sécurité des Systèmes d'Information, organisée par
 l'OSSIR, se déroulera le mardi 8 mars 2016 à Paris à la Maison des
 Associations, 10/18, rue des terres au curé 75013 Paris
 (http://www.mas-paris.fr/plan.html) de 8h30 à 17h30, sur le thème
 "Retour vers le futur : bienvenue en 1984 ?".

  8h30 : Accueil des participants et café offert
  9h00 : Discours d'ouverture du président de l'OSSIR
  9h15 : "Life of PII ??? une journée dans la vie de vos données personnelles"
          . Damien Desfontaines, ingénieur logiciel (Google)
  9h45 : "Retour sur 10 ans d'audits de sécurité"
    . Jérémy Lebourdais, consultant (ON-X)
    . Renaud Feil, CEO & founder (Synacktiv)
 10h30 : pause café
 11h00 : "Retour d'expérience sur la lutte contre le cyber-espionnage étatique"
          . Laurent Oudot, ancien expert opérationnel de la DGSE,
      CEO & founder (Tehtri Security)
 11h45 : "De la cyber-surveillance du salarié à la cyber-protection de
         l'employeur"
          . François Coupez, avocat (Atipic)
 12h30 : Buffet déjeunatoire
 14h00 : "Surveillance en bande organisée"
          . Jérémie Zimmermann (Quadrature du Net)
 14h45 : "Intrusion AS400"
          . Alain Schneider et Sylvain Leconte, consultants (Cogiceo)
 15h30 : pause café
 15h50 : "Intrusion des objets connectés"
          . Renaud Lifchitz, consultant (Digital Security)
 16h35 : "La cryptographie du Bitcoin, de la confiance à la preuve..."
          . Jean-Luc Parouty, ingénieur de recherche (IBS/CNRS)
 17h30 : clôture de la journée

     Inscription à la journée, déjeuner et trois pauses incluses :
        - 20 euros pour les adhérents de l'OSSIR
        - 30 euros pour les étudiants (copie carte d'étudiant)
        - 85 euros pour les non adhérents

 L'inscription est validée après réception du règlement ou du bon de
 commande par courrier postal adressé à l'OSSIR, 45 rue d'Ulm, 75230 Paris
 cedex 05, en prévenant de votre envoi à jssi16 at ossir.org
 Paiement par PayPal disponible :
 http://www.ossir.org/association/index/reglement-paypal.shtml
 L'OSSIR ne peut pas être jointe par télécopie ou par téléphone.
 Programme détaillé : http://www.ossir.org/jssi/index/jssi-2016.shtml



--[ 7. Programme de la conférence du Club 27001 ]-------------

     Le Club 27001 (http://www.club-27001.fr/) organise sa neuvième
 conférence annuelle sur l'ensemble de la série des normes ISO 27001
 le jeudi 7 avril 2016 à l'espace Saint-Martin, dans le cadre des GS-DAYS.
 Le programme est le suivant :

  8h30 : Accueil des participants et café offert
  9h00 : Conférence plénière : "Lutte défensive : de la détection à la
         réponse à incident"
         Table ronde avec Guillaume Poupard (directeur de l'ANSSI),
         et Jean-Luc Moliner (directeur sécurité du groupe Orange),
         Jean-Paul Mazoyer (DSI crédit Agricole et administrateur du CIGREF)
 10h30 : Pause café
 10h50 : "En quoi l'ISO 27001 aide à maintenir dans la durée la sécurité
         opérationnelle", par Alexandre Fernandez-Toro, RSSI
 11h30 : Table-ronde : "Et vous, comment appliquez-vous les normes ISO 27x ?"
         animée par Florence Michallon (Solucom) et Thomas Bousson (On'X)
 12h15 : Déjeuner assis
 14h00 : "ISO 27001 et PIA (Privacy Impact Assessment), quel rapport ?"
         Matthieu Grall, responsable de l'expertise technologique, CNIL
 14h45 : Retour d'expérience : "ISO 27001 est il soluble dans l'agilité ?"
         par Carole Tessier, RSMSI, Maxime Kurkdjian, directeur associé
   et Guillaume Leccese, directeur technique (Oxalide)
 15h30 : Pause
 16h00 : "Un SMSI  dans un Système de Management Intégré des Risques (SMIR) :
         ISO 9001 /ISO 20000-1:2011 / ISO27001:2013", par Pierre Belin,
   RSI (APICIL)
 16h40 : Retour d'expérience : "Valorisation d'une offre d'hébergement
         Datacenter par la mise en oeuvre d'un SMSI certifié ISO 27001" par
         Sylvie Penou, responsable certification et développement durable (TDF)
 17h15 : "Conclusion de la journée"
         par Emmanuel Garnier, RSSI et président du Club 27001
 17h30 : Cloture de la conférence du club 27001
 18h00 : Cocktail de clôture

 Inscription à la conférence : 290 euros pour les adhérents au Club 27001,
 590 euros pour les non-adhérents (inclus les pauses café et le déjeuner).

 Rappel : l'adhésion au Club 27001 n'est que de :
        - pour un particulier : 27 euros,
        - pour une entreprise : 270 euros, permettant l'adhésion de 5
    personnes de l'entreprise et donnant droit pour ces personnes à
    une inscription à tarif réduit pour la conférence annuelle

 Lieu : Espace Saint-Martin au 199 bis, rue Saint-Martin, 75003 Paris
        http://www.gsdays.fr/infos-pratiques/
 Plan : http://www.espacesaintmartin.com/paris/html/plan.html

 Contact : conference at club-27001.fr
 Le Club 27001 ne peut pas être joint par télécopie ou par téléphone.

 Bulletin d'inscription :
 http://www.club-27001.fr/attachments/article/177/club27001_conference_2016.pdf

 Envoyez votre bulletin d'inscription complété au trésorier du Club 27001
 Carl Roller : tresorier at club-27001.fr



--[ 8. Programme des GS-DAYS le 7 avril 2016 ]--------------------------

     HSC by Deloitte sera présent comme chaque année aux GS-DAYS 2016 le
 7 avril 2016, et Hervé Schauer est membre du comité de programme de la
 conférence.

  8h30 : Accueil des participants et café offert
  9h00 : Conférence plénière : "Lutte défensive : de la détection à la
         réponse à incident"
         Table ronde avec Guillaume Poupard (directeur de l'ANSSI),
         et Jean-Luc Moliner (directeur sécurité du groupe Orange),
         Jean-Paul Mazoyer (DSI crédit Agricole et administrateur du CIGREF)
 10h30 : pause
 11h00 : "Brick my Ride (intrusion de véhicules)", par Florian Gaultier (SCRT)
 11h00 :  "La lutte défensive, pour répondre à quels nouveaux risques légaux
          et réglementaires ?", Lise Breteau, avocate
 11h55 : "Vers une lutte défensive intégrant des options offensives"
         par Laurent Oudot (Tehtri Security)
 11h55 : "L'usurpation d'identité numérique au coeur du social engineering"
         par Olivier Iteanu, avocat, (Iteanu)
 12h45 : Déjeuner assis
 14h15 : "Sensibilisation à la sécurité de l'information : où en sont les
         entreprises françaises ?" par Michel Gérard (Conscio Technologies)
 14h15 : "Identité et objets connectés" par Francis Grégoire (Arismore/Memority)
 14h15 : "Bénéfices de l'accès direct aux disques à l'aide du framework
         Metasploit" par Danil Bazin (HSC by Deloitte)
 15h10 : "Qui veut la peau de K2000 ?" par Diane Mullenex et Annabelle Richard
         avocates, (Pinsent Masons LLP)
 15h10 : "Techniques et outils pour la compromission des postes clients"
         par Renaud Feil et Clément Berthaux (Synactiv)
 16h00 : pause
 16h30 : "Démonstrations d'exploitations de failles" par Renaud Lifchitz (ARCSI)
 16h30 : "Stop aux politiques de sécurité inapplicables et inappliquées" par
         Cyril Corcos, Harmonie Technologie
 17h25 : "Détection des incidents de sécurité : vision d'un SOC efficace", par
         Matthieu Hentzien (ANSSI)
 17h25 : "Privacy By Design : anticiper pour mieux protéger" par Raphaël Brun
         et Gérôme Billois (Solucom)

 Inscription en ligne : http://www.gsdays.fr/sinscrire/10-gsdays.html
 Formulaire d'inscription papier :
     http://www.gsdays.fr/formulaire_inscription.pdf

 Utilisez le code d'HSC pour vous inscrire : G7s4Dw8è et bénéficiez d'un
 tarif réduit de 135 euros HT au lieu de 165 euros HT.



--[ 9. Offres d'emploi HSC pour consultants en sécurité ]---------------

     HSC by Deloitte recherche des consultants brillants, débutants ou
 expérimentés, avides de partager et de s'épanouir dans une équipe
 indépendante, pluridisciplinaire, qui couvre tous les aspects liés à la
 sécurité et continuité, des tests d'intrusion à l'expertise judiciaire, de
 la rétro-ingénierie à la gouvernance, des systèmes industriels et embarqués
 à la gestion des risques, des technologies sans-fil à la résilience, de
 l'inforensique à l'ingénierie sociale, etc., pour des missions d'expertise
 variées et haut de gamme.

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC
 (intrusion, inforensique, Windows, SCADA, ISO27001, ISO22301, ISO27005,
 EBIOS, etc.), soit 2 à 6 semaines de formations suivies dans le cadre de
 la prise de fonction.

     HSC by Deloitte recherche également des stagiaires pour des stages de
 pré-embauche.

     Tous les postes sont basés à Neuilly-sur-Seine (Paris), au pied du métro
 Pont de Neuilly (ligne n° 1). Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ASCII (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 10. Prochaines formations HSC ]----------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 7 au 11 mars (*)(#)
        ISO 27001 Lead Implementer    ..........    : 7 au 11 mars (#)
        Techniques de hacking, exploitation de failles
        et gestion des incidents (SEC504/GCIH)      : 14 au 18 mars (*)(#)
        Formation CISSP    .....................    : 21 au 25 mars (#)
        Essentiels de l'ISO22301    ............    : 29 mars
        Sécurité des nouveaux usages   .........    : 1er avril
        Préparation au CISA    .................    : 4 au 8 avril (#)
        Essentiels techniques de la SSI    .....    : 4 et 5 avril
        EBIOS Risk Manager    ..................    : 6 au 8 avril (#)
        Formation RSSI    ......................    : 11 au 15 avril
        Sécurité SCADA    ......................    : 11 au 13 avril (*)
        Formation CIL 5 jours certifiante    ...    : 18 au 22 avril (#)
        Inforensique Windows (SANS FOR408/GIAC GCFE): 18 au 22 avril (*)(#)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 25 au 30 avril (*)(#)
        ISO 27005 Risk Manager    ..............    : 27 au 29 avril (#)
        PSSIE & RGS v2   .......................    : 2 mai
        Sécurité du Cloud Computing    .........    : 9 au 11 mai
        Formation CISSP    .....................    : 9 au 13 mai (#)
        PKI : principes et mise en oeuvre    ...    : 18 au 20 mai (*)
        Essentiels Informatique et Liberté   ...    : 20 mai
        ISO 27001 Lead Implementer    ..........    : 23 au 27 mai (#)
        Outils et techniques d'analyse
        (SANS FOR610/GIAC GREM)   ..............    : 23 au 28 mai (*)
        Essentiel de PCI-DSS    ................    : 30 mai
        Mesures de sécurité ISO 27002:2013   ...    : 30 et 31 mai
        Indicateurs & tableaux de bord SSI/ISO27004 : 1 juin
        Droit de la sécurité informatique    ...    : 2 et 3 juin
        Gestion des incidents de sécurité/ISO27035  : 2 juin
        Gestion de crise IT/SSI    .............    : 3 juin
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 6 au 10 juin (#)
        ISO 22301 Lead Implementer    ..........    : 6 au 10 juin (#)
        Formation RPCA    ......................    : 13 au 17 juin
        Correspondant Informatique et Libertés      : 13 au 15 juin (@)
        ISO 27005 Risk Manager    ..............    : 13 au 15 juin (#)
        Gestion des risques avancée    .........    : 16 et 17 juin
        ISO 27001 Lead Auditor    ..............    : 20 au 24 juin (#)
        Inforensique ordiphones/tablettes (FOR585)  : 20 au 24 juin (*)(#)
        ISO 27001 Lead Implementer    ..........    : 27 juin au 1 juillet (#)
        Supervision, surveillance et détection
        d'intrusion (SANS SEC511 / GIAC GMON)       : 27 juin au 1 juillet(*)(#)
        Essentiels de l'ISO22301    ............    : 9 septembre
        Essentiels techniques de la SSI    .....    : 12 et 13 septembre
        Protéger les applis web (DEV522 /GIAC GWEB) : 12 au 16 septembre (*)(#)
        Formation RPCA    ......................    : 12 au 16 septembre
        ISO 27005 Risk Manager    ..............    : 14 au 16 septembre (#)
        Inforensique Windows (SANS FOR408/GIAC GCFE): 19 au 23 septembre (*)(#)
        Inforensique réseau avancée (SANS FOR572)   : 3 au 7 octobre (*)(#)
        Sécurité du WiFi    ....................    : 7 et 8 novembre (*)
        DNSSEC    ..............................    : 9 et 10 novembre (*)
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 14 au 18 novembre (*)(#)
        Expert Sécurité Linux LPI 303   ........    : 21 au 25 novembre (*)(#)
        Tests d'intrusion avancés des applications
        web et hacking éthique (SANS SEC642)  ...   : 21 au 25 novembre (*)
        Tests d'intrusion avancés, exploitation de
        failles et hacking éthique (SEC660/GXPN)    : 28 novembre au 3 déc(*)(#)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 12 au 16 décembre (*)(#)
        ISO 22301 Lead Auditor    ..............    : 2017 (#)

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC, LPI ou ISACA
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 - Luxembourg
        ISO 27005 Risk Manager    ..............    : 1 au 3 juin 2016 (#)
        Formation CISSP    .....................    : 27 juin au 1er juillet (#)
        ISO 27001 Lead Implementer    ..........    : 17 au 21 octobre (#)
        ISO 22301 Lead Implementer    ..........    : nous consulter (#)

 - Bordeaux
        Correspondant Informatique et Libertés .    : 9 au 11 mars (@)

 - Lyon
        Droit de la sécurité informatique    ...    : 7 et 8 avril

 - Nice
        Correspondant Informatique et Libertés .    : nous consulter (@)

 - Toulouse
        ISO 27005 Risk Manager    ..............    : 18 au 20 mai (#)
        ISO 27001 Lead Auditor    ..............    : 9 au 13 mai (#)
        Correspondant Informatique et Libertés .    : nous consulter

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Intertek sur
 ses formations.

 Pour tout renseignement ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704 ou standard +33 141 409 700

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2016 en PDF sur http://www.hsc-formation.fr/



--[ 13. Actualité des associations : Club 27001, OSSIR et Clusif ]--------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris jeudi 19 mai à 14h00
         - Programme en cours de confirmation
     . Reprise des réunions à Lyon !!
       Inscrivez-vous à la liste du club à Lyon
       http://www.club-27001.fr/mailman/listinfo/club-27001-lyon
     . Prochaine réunion à Toulouse le 27 mai
     . Autres prochaines réunions annoncées sur www.club-27001.fr et dans
       les listes électroniques.
       Inscrivez-vous sur les listes de chaque ville sur www.club-27001.fr
       pour suivre l'activité du Club 27001 en région.
     . Conférence annuelle le 7 avril 2016, programme au paragraphe 7

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 12 avril à l'EPITA
         - Programme en cours de construction
         - Revue de vulnérabilités
     . Réunion suivante à Paris le mardi 10 mai à 14h00 chez Solucom
         - "SOC 2.0 avec plateforme EDR (Endpoint Detection & Response)"
	   par Francis Ia (Guidance Software)
         - Seconde présentation en cours de confirmation
         - Revue de vulnérabilités
     . Réunion suivante à Paris le mardi 14 juin chez Solucom
     . Afterworks le mardi 31 mai à La Kolok
     . Prochaine réunion à Toulouse mardi 12 avril à 14h à l'Université
         - "Sécurité des équipements grand public connectés à Internet :
           évaluation des liens de communication" par Yann Bachy (ISAE-Supaero)
         - Seconde présentation en cours de confirmation
     . Réunion suivante à Toulouse le mardi 7 juin
     . Prochaine réunion à Rennes le jeudi 24 mars 2016 à 14h chez Technicolor
         - "Présentation d'HardSploit" par Yann Allain et Julien Moinard
           (Opale Security)
         - "Threat Intelligence" par David Bizeul (inThreat)
         - Seconde présentation en cours de confirmation
     . Conférence annuelle JSSI le 8 mars 2016 au MAS, programme au paragraphe 6

 o Clusif (http://www.clusif.fr/)
     . Assemblée Générale annuelle lundi 21 mars à 14h00
     . Prochaine conférence mercredi 13 avril à 16h00 à la CCI place de la
       Bourse : "Applications mobiles et sécurité"
       Programme détaillé en cours de constitution.
       https://www.clusif.asso.fr/fr/infos/event/

 o ISSA France
     . Prochain afterorks mardi 15 mars au Snake N'Smash
         - "Privacy Schield" par Sandrine Cullafroz (Altanalaw)
       http://securitytuesday.com/


--[ 12. Le saviez-vous ? La réponse ]-------------------------------------

Les principaux systèmes de chiffrement de partitions, que ce soit sous Linux
avec LUKS ou sous Windows avec Bitlocker, utilisent un système de gestion des
clés similaire. La clé permettant de déchiffrer les données du disque,
appelée "clé maitre", n'est jamais directement connue de l'utilisateur. Cette
clé est elle-même chiffrée par une autre clé dérivée du moyen de
déchiffrement du disque configuré par l'utilisateur : mot de passe, carte à
puce, etc.

Ainsi il est possible d'avoir plusieurs utilisateurs avec un mot de passe
différent, de changer facilement son mot de passe ou d'avoir plusieurs méthodes
de chiffrement différentes sans avoir à déchiffrer et rechiffrer le disque
complet : il suffit de chiffrer la clé maître plusieurs fois.

Une fois qu'un attaquant a compromis cette clé "maitre", il pourra toujours
déchiffrer le disque de la victime, même si celle-ci changeait le mot de passe
de déchiffrement de son disque.

Sous Linux cette clé maître peut être récupérée à l'aide de la commande suivante:
# cryptsetup luksDump --dump-master-key <device>
Un des mots de passe valide est ensuite demandé.

Sous Windows, un outil est fourni permettant d'extraire cette clé chiffrée sous
la forme d'un paquet de clés à l'aide de la commande suivante:
> manage-bde -protectors -adbackup c: -id {....}
Le paquet est ensuite sauvegardé dans le domaine Windows associé au poste, pour
la récupérer il faut disposer des droits adéquats sur le domaine. Ce package de
clé doit ensuite être utilisé avec l'outil repair-bde afin de déchiffrer le
disque.
Par défaut le package de clé n'est pas exporté sur le domaine, mais s'il est
paramétré et que le domaine est compromis, tous les postes chiffrés avec
Bitlocker pourraient être déchiffrés par un attaquant qui disposerait donc des
clés "maitres".
Cette solution n'est pas idéale puisque l'outil de réparation de Microsoft doit
être utilisé, la clé "maitre" n'est pas utilisable avec d'autres outils,
le système Windows visé doit faire partie d'un domaine et des droits importants
sur ce domaine sont requis.

Une autre méthode consiste à récupérer le contenu de la mémoire vive par
exemple à l'aide de l'outil winpmem.exe de la suite rekall[2], puis à utiliser
volatility avec le plugin bitlocker[3] pour extraire la clé qui est présente en
mémoire. Cette solution a néanmoins comme inconvénient de charger le pilote de
rekall et en plus de générer un dump complet de la mémoire vive ce qui n'est
pas très discret et est relativement long.  De plus, à partir de Windows 10,
Microsoft commence à mettre en place des protections efficaces de la mémoire
avec l'utilisation de la technologie Virtual Secure Mode (VSM) qui empêche un
attaquant d'accéder à toute la mémoire même en utilisant un pilote noyau.

Une solution a donc été développée par HSC pour fonctionner depuis le
meterpreter de metasploit. Ce module utilise les droits d'administrateurs pour
récupérer une clé de recouvrement (ou la générer si aucune n'est présente).
Le module utilisera ensuite un accès direct au disque dur pour lire les
structures Bitlocker et récupérer la clé maître chiffrée avec la clé de
recouvrement.

Voici un exemple d'utilisation:
meterpreter > background
[*] Backgrounding session 1...
exploit(psexec) > use post/windows/gather/bitlocker_fvek
post(bitlocker_fvek) > set SESSION 1
SESSION => 1
post(bitlocker_fvek) > set DRIVE_LETTER F
DRIVE_LETTER => F
2016-02-26 10:55:01 +0100 post(bitlocker_fvek) > run

[+] Successfuly opened Disk 2
[*] Trying to gather a recovery key
[+] Recovery key found : 657096-479369-488587-457336-698588-612986-598950-103389
[*] The recovery key derivation usually take 20 seconds...
[+] Successfuly extract FVEK in /home/msf/.msf4/loot/20160226105523_default_10.0.0.101_windows.file_473829.bin
[+] This hard drive could later be decrypted using : dislocker -k <key_file> ...
[*] Post Successful
[*] Post module execution completed


Une fois la clé maître récupérée, l'outil dislocker[5], aussi développé par HSC,
peut être utilisé afin de déchiffrer la partition.


[1] https://technet.microsoft.com/en-us/library/cc771778%28WS.10%29.aspx#BKMK_AppendixC
[2] https://github.com/google/rekall
[3] https://github.com/elceef/bitlocker
[4] https://github.com/rapid7/metasploit-framework/pull/6057
[5] http://www.hsc.fr/ressources/outils/dislocker/

Danil Bazin




Plus d'informations sur la liste de diffusion newsletter