[Newsletter HSC] N°139 - juin 2016

Newsletter d'information de HSC newsletter at hsc-news.com
Mar 7 Juin 19:16:29 CEST 2016


========================================================================
              HSC Newsletter  --  N°139 --  mai-juin 2016
========================================================================





       « Quand la vérité n'est pas libre, la liberté n'est pas vraie »


                                           [Jacques Prévert]


--[ Sommaire ]----------------------------------------------------------

      1. Éditorial
      2. Le saviez-vous ? La question
      3. Nouvelle formation certifiante "Privacy Lead Implementer" ou comment
         exercer la fonction de CIL et de DPO, #CNIL #GDPR
      4. Nouvelle formation "Se préparer au règlement européen sur la
         protection des données"
      5. Compte-rendu de la conférence du Club 27001
      6. Compte-rendu des GS-Days
      7. HSC by Deloitte partenaire du séminaire Sécurité IoT du 9 juin
      8. HSC by Deloitte partenaire de la Nuit du Hack le 2 juillet
      9. Agenda des interventions publiques
     10. Prochaines formations HSC
     11. Actualité des associations : Club 27001, OSSIR, Clusif et ISSA
     12. Le saviez-vous ? La réponse



--[ 1. Éditorial - Matthieu Schipman ]-----------------------------------

     Mieux vaut prévenir que guérir ?

     Si on demande à un administrateur ou à un RSSI de décrire les mesures
 de sécurité en place dans son entreprise, il décrira la segmentation
 réseau, les pare-feux de toutes sortes, les relais applicatifs, le
 contrôle d'accès logique et physique, les guides de développement, de
 durcissement, etc. En somme on aura bien souvent, à quelques variantes
 près, la même liste de mesures préventives.

 La prévention est aujourd'hui l'arme numéro 1 de notre arsenal défensif,
 et parfois malheureusement la seule. On fait bien un peu de détection
 "au cas où", avec un SIEM que personne ne regarde et un IDS sorti de sa
 boîte et oublié quelque part sur le réseau. Nous centralisons les journaux
 pour être conforme, et éventuellement comprendre ce qui s'est passé après
 coup, quand le pire est arrivé.

 La détection et la réponse à incident devraient être des composantes de
 choix dans nos forteresses. Pas des mesures de la dernière chance, ni des
 cases cochées dans un formulaire quelconque, mais une ligne de défense à
 part entière.

 Aucun SI n'est invulnérable. Sans retomber dans les lieux communs, un
 attaquant patient, motivé, ayant suffisamment de moyens, finira
 forcément par pénétrer nos défenses. Un SI d'une certaine taille doit
 donc être considéré comme une zone de guerre, un champ de bataille où
 l'ennemi est déjà embusqué, attendant le moment propice pour toucher sa
 paie.

 Exige-t-on d'un administrateur réseau une disponibilité de 100% ? Ou
 d'un développeur de livrer un code absolument parfait à chaque cycle ?
 Non. Alors pourquoi le ferait-on pour un responsable ou un
 administrateur sécurité ? La compromission d'un système devrait
 peut-être être considérée comme un désagrément inévitable, au même titre
 qu'un ralentissement du réseau ou un bug applicatif.
 Mais dans ce cas, que fait-on ? Doit-on baisser les bras et considérer
 la partie perdue ?

 C'est à ce moment que des mesures de détection efficaces font toute la
 différence. Après tout, que faut-il craindre ? Des machines compromises,
 ou le vol de ce que vous avez de plus précieux (vos secrets de
 fabrication, vos numéros de carte bleue... votre argent) ? La
 compromission a peut-être déjà eu lieu, bloquons la post-exploitation
 pour éviter le pire.

 Il est donc nécessaire de changer le postulat de départ : "nous sommes
 compromis, tentons de prouver le contraire".

 Pour cela, il faut également modifier la vision que nous avons des
 équipes orientées vers la détection. Les équipes "Red team" sont
 généralement les superstars qui prouvent la faiblesse de telle ou telle
 mesure, qui montrent qu'aucun SI n'est impénétrable. Par opposition, la
 "Blue team" est un mal nécessaire, d'une utilité relative, regardant
 défiler en 24/7 les journaux et des alertes.
 Rien n'est moins vrai ! La "Blue team" devrait au contraire être vue
 comme une équipe pointue, capable de choisir les bons indicateurs dans
 la masse d'information produite par nos SI et, surtout, de réagir en
 conséquence. Ce sont des pompiers, dans le bon sens du terme : le
 pompier ne peut pas empêcher tous les feux sur l'ensemble de son
 périmètre, mais il est là pour éviter que nous y laissions notre peau et
 éventuellement notre maison.
 C'est une équipe qui participe activement à la sécurité. Tout comme le
 pentesteur part à l'attaque en quête de vulnérabilités, qu'il ne
 manquera pas de trouver, le "hunter" part en quête de machines
 infectées, de signes de persistance, de ces indices qui montrent que
 le ver est déjà dans la pomme. Il "boucle la boucle", en nettoyant les
 indésirables tout en améliorant à la fois les mesures préventives et
 détectives en place.

     Le but de cet édito n'est pas de vous faire débrancher vos pare-feux.
 La prévention est indispensable : si vos bases de données se laissent
 exfiltrer en quelques minutes après compromission, aucune équipe, aussi
 compétente soit-elle, ne peut prétendre arrêter l'hémorragie à temps.
 Mais nous avons probablement beaucoup à gagner en adoptant une vision à
 mon sens plus complète et plus réaliste de la sécurité.



--[ 2. Le saviez-vous ? La question ]------------------------------------

     Dans le code suivant savez-vous écrire du code Java permettant
 d'instancier l'objet et d'appeler la méthode loadProgramme() sans avoir de
 licence valide ni modifier le code ?

class LicenseManager {

    LicenseManager(String licence) {
        if (!checkLicenseNumber(licence)) {
            throw new IllegalArgumentException("Licence incorrecte.");
        }
    }

    public final void loadProgramme() {
        [Code métier permettant de lancer le programme]
    }

    private final boolean checkLicenseNumber(String license) {
        return license.equals([Vérification de la licence]);
    }
}

     Réponse au paragraphe 12.



--[ 3. Nouvelle formation certifiante "Privacy Lead Implementer" ou comment 
       exercer la fonction de CIL/DPO ]

     Cette nouvelle formation est certifiante. Elle permet de tenter la
 certification LSTI "Privacy Lead Implementer". Elle permet aux CIL et
 aux futurs DPO de démontrer leurs connaissances et leurs compétences aux
 employeurs, ou auprès de leurs clients, grâce à une certification délivrée
 par un organisme de certification expérimenté et reconnu.

 L'objectif de la formation est d'apprendre tout ce qu'il faut savoir pour
 être CIL et pour devenir DPO, et réussir l'examen de certification. Le
 contenu inclut :
    Les normes juridiques
    Les jurisprudences
    Les recommandations de la CNIL
    Les éléments pratiques
      - Statut et missions du CIL
      - Statut et missions du DPO
      - Moyens du DPO
      - Sécurisation des données personnelles
      - Constitution du registre, rédaction du bilan annuel

     Cette formation comporte de nombreux exercices et cas pratiques.

 Public visé : CIL, Futurs DPO, Responsables « informatique et libertés » ou
 vie privée, Juristes, Directions et RSSI.

 Première session à Paris du 20 au 24 juin prochain.

 Pour vous inscrire et pour tout renseignement, contactez notre service
 formation : formations at hsc.fr
     Lynda Benchikh : +33 141 409 704
     Emilie Bozzolo : +33 140 887 146



--[ 4. Nouvelle formation "Se préparer au règlement européen sur la protection
       des données" ]

     Le règlement européen sur la protection des données personnelles vient
 refondre le cadre juridique applicable en matière « informatique et
 libertés ». Il apporte de nombreuses évolutions par rapport au cadre actuel,
 en exigeant notamment une véritable gouvernance de la protection des données.

 Par conséquent, il importe d'anticiper dès à présent ses dispositions,
 d'autant que le délai de 2 ans laissé aux organismes pour se préparer, et qui
 amène à une application aux alentours du printemps 2018, est significatif de
 l'ampleur des tâches à mener.

 Vous allez apprendre :
   - Quelles sont les évolutions apportées par le règlement ?
   - Quelles sont leurs implications opérationnelles ?
   - Comment se préparer efficacement à l'application du règlement ?

 Public visé : CIL, Futurs DPO, Responsables « informatique et libertés » ou
 vie privée, Juristes, Directions et RSSI.

 Première session à Paris le 27 juin prochain.

 Pour vous inscrire et pour tout renseignement, contactez notre service
 formation : formations at hsc.fr
     Lynda Benchikh : +33 141 409 704
     Emilie Bozzolo : +33 140 887 146



--[ 5. Compte-rendu de la conférence du Club 27001 2016 ]---------------
       par Jean Cherin et Paul Pennaneac'h
      
     Après une session commune avec les GS-DAYS sur la LPM (voir compte-rendu
 des GS-Days paragraphe 6), la conférence annuelle du club 27001 a présenté
 des retours d'expérience dans une salle à part.
     
 Alexandre Fernandez-Toro, RSSI - En quoi l'ISO 27001 aide à maintenir dans 
 la durée la sécurité opérationnelle?
 
    Alexandre Fernandez-Toro a fait part de son retour d'expérience sur la 
 mise en oeuvre puis le maintien dans le temps de la sécurité opérationnelle 
 et comment la norme 27001 lui offrait des leviers pertinents.
 En faisant l'analogie entre le niveau de maturité souhaité et la "zone 
 d'humiliation" sous-jacente, il explique que l'on 
 sort progressivement de cette zone d'humiliation domaine par domaine. 
 Un travail de longue haleine est donc réalisé durant toute la phase projet
 pour lever les obstacles un a un et ainsi amener chacun de ces domaines 
 et toutes les équipes impliquées à un niveau satisfaisant, qui ne sera 
 toutefois jamais uniforme.  
 La seconde difficulté venant avec le temps et le risque de relachement 
 général se matérialisant par:
	- une sécurité et une organisation statique ne tenant pas forcément 
	compte des évolutions de l'environnement,
	- le laisser aller des acteurs de la sécurité, 
	- l'ignorance de ce qui a évolué dans le SI,
	- les contournements volontaires par confort.
 Pour chacun de ces points Alexandre Ferandez-Toro a présenté comment la 27001
 apportait des éléments de réponse dans chacun de ses chapitres. Que ce soit
 la surveillance des changements d'enjeux, les activités de revue des risques 
 et des arbitrages budgétaires par la direction, l'intégration de la sécurité
 des  SI dans les objectifs de chaque personnel clé, les obligations de revue
 et les divers audits subis (interne, client, CAC, surveillance) imposant un
 suivi  rigoureux des actions; les occasions amenant le RSSI à justifier la
 prise en compte du risque de chute en "zone d'humiliation" et donc la
 nécessité de maintenir une pression sécurité sont donc nombreuses.	


 Matthieu Grall, CNIL - ISO 27001 et PIA, quel rapport ? 

     Le PIA (Privacy Impact Assessment) est poussé par le règlement européen. 
 Pour Matthieu Grall, il s'agit de savoir comment l'on peut faire converger 
 sécurité et vie privée en même temps, puisque les PIA pourraient être un bon 
 levier pour la sécurité.
 Le règlement indique qu'un PIA consiste à traiter les risques, assurer la 
 protection des données et démontrer sa conformité.
 Matthieu Grall explique que cela repose sur deux piliers : le respect 
 des principes fondamentaux et la gestion des risques sur la vie privée.
 Au travers de son déroulement des étapes et de la manière de mener un PIA,
 il démontre qu'il s'agit ni plus ni moins que de la gestion de risque de 
 l'ISO 27001. La différence est que la gestion porte uniquement sur les risques
 liés à la vie privée. Sur la question des cas dans lesquels il faudra mener un
 PIA, ce que dit le règlement, c'est qu'il appartient aux autorités de
 protection de déterminer des listes. Mais ce qui est notable pour lui, c'est
 que le PIA constitue un outil pour construire et démontrer sa conformité.
 Il conclut sur le fait qu'il n'y a pas besoin de recréer un nouveau système de 
 management pour la vie privée. A l'heure actuelle, l'idée serait d'ajouter 
 l'impact sur la vie privée dans l'étude de risques de l'ISO 27001.
 Cela ne change rien aux exigences de la 27001, il faudra simplement rajouter
 une colonne dans l'analyse des risques et trouver une forme de déclaration 
 d'applicabilité spécifique.


 Maxime Kurkdjian, Carole Tessier, Guillaume Leccese, Oxalide
    - ISO 27001 est il soluble dans l'agilité ?
	
     Maxime Kurkdjian directeur associé d'Oxalide a présenté les enjeux et 
 contraintes auxquels doit répondre sa société spécialisée dans l'hébergement 
 et l'infogérance de SI accueillant les plateformes web de clients presse, 
 d'e-commerce et d'opérateurs SaaS. Ainsi, Oxalide est de plus en plus 
 sollicitée par ses clients souhaitant se réorienter vers un modèle devOps.
 Afin d'illustrer la façon avec laquelle Oxalide a su anticiper et répondre 
 à ce besoin client, Guillaume Leccese directeur technique a introduit auprès
 de l'auditoire ce qu'est la méthode Agile et les valeurs associées. 
 Carole Tessier responsable du SMSI d'Oxalide et Guillaume Leccese ont ensuite
 réalisé un parallèle entre la 27001 et Agile, présentant ainsi les idées
 reçues, leurs constats, les difficultés rencontrées et les moyens pour les
 surmonter.
 Leur conclusion est que pour une bonne solubilité, les équipes doivent avoir
 conscience que les deux démarches suivent le même principe d'amélioration 
 continue, que la 27001 contribue à apporter de la qualité à Agile, que 
 l'industrialisation est un prérequis, et que l'adhésion de l'ensemble des 
 équipes et leur sensibilisation à la sécurité sont indispensables.
 
	
 Pierre Belin, APICIL - Un SMSI  dans un Système de Management Intégré 
 des Risques (SMIR) : ISO 9001 /ISO 20000-1:2011 / ISO27001:2013

	Le groupe APICIL a décidé depuis plusieurs années de mettre en oeuvre 
 pour l'ensemble de ses activités, un système de management intégré des risques
 dans un optique de satisfaction de l'ensemble de ses parties intéressées. 
 Cette démarche s'appuyant notamment sur le développement de l'excellence 
 opérationnelles te de l'innovation participative, ainsi que sur la mise en 
 oeuvre d'un modèle EFQM. Au cours de l'année 2015, l'APICIL a été certifiée 
 ISO 9001 et EN15838 sur l'ensemble de ses activités et ISO20000 et ISO 27001 
 sur le périmètre de son système d'information.
     Pierre Belin, RSSI, est revenu pour son auditoire sur le développement du
 SMSI de l'APICIL dans la démarche globale du système de management intégré. 
 Il a entre autre présenté comment les acteurs métiers, les pilotes de 
 processus, les correspondants risques et les chargés de contrôle avaient été
 impliqués dans la gestion des risques opérationnels. Pierre Belin a ensuite
 décrit l'articulation des activités de revue (performance, processus et 
 direction), la coordination des managers, correspondants risque, chargé de 
 contrôle et direction des risques pour le suivi des différents plans d'action.
 Pour terminer, le RSSI a mis en avant les leviers mutualisés comme les audits
 conjoints, la mise en oeuvre d'une unique politique de système de management 
 entreprise, le travail sur les attentes des parties intéressées, l'intégration
 des indicateurs sécurité dans le pilotage de la direction générale, la gestion
 coordonnée des incidents et le défie de la cartographie des risques associés.
 
	
 Sylvie Penou, TDF - Valorisation d'une offre d'hébergement Datacenter par 
    la mise en oeuvre d'un SMSI certifié ISO 27001
	
     Au travers de son activité historique, TDF a développé un maillage de 
 l'ensemble du territoire français (métropole et outre-mer) d'un grands nombre 
 de sites assurant la diffusion de la radio et de la télévision, mais
 accueillant également une partie des infrastructures des opérateurs de 
 téléphonie mobile. Avec l'arrêt de la TV analogique en 2011, TDF a décidé de 
 mettre à profit l'espace libéré et ses capacités de communication pour proposer
 une offre régionale de colocation et d'hébergement sécurisé. En tant que
 nouveau venu sur ce marché, TDF a décidé de se faire certifier 27001 sur le
 périmètre de cet offre.
 Sylvie Penou, responsable certification et développement durable chez TDF, est 
 donc revenue sur les grandes étapes accomplies de janvier à novembre 2015,
 pour l'obtention de cette certification. Les 18 ans de certification 9001,
 la maîtrise historique de la sécurité physique et l'adaptation des processus 
 opérationnels existants ont ainsi facilité le projet. Toutefois, Sylvie Penou
 a fait part des difficultés rencontrées comme le respect d'un planning très 
 serré initialement prévu sur six mois, une offre jeune et en permanente 
 évolution, le nombre des sites cibles (6 répartis sur le territoire), le
 risque  d'exclusions hâtives dans la DdA car au-delà de la sécurité physique,
 le SI de sûreté doit être aussi considéré dans son ensemble.
 
 
 
--[ 6. Compte-rendu des GS-Days 2016 ]----------------------------------
       par Jean Cherin et Jérôme Naucelle

     "Lutte défensive : de la détection à la réponse à incident, quelle
 réalité ?", avec Jean-Luc Moliner (Directeur Sécurité Groupe Orange, OIV),
 Vincent Strubel (sous directeur Expertise ANSSI) et Jean-Paul Mazoyer (CIGREF)

     Il s'agissait d'une table ronde à propos de la Loi de Programmation
 Militaire et de ses conséquences. Cette loi prône avant tout des bonnes
 pratiques inspirées du bon sens mais souvent oubliées. Il a été rappelé que
 la loi rend les pratiques de prévention, détection, réaction obligatoires
 pour les OIV. 
 Or, ce qui est vital du point de vue de l'état ne l'est pas forcément 
 du point de vue de l'entreprise, c'est pourquoi des discussions devaient être 
 menées (problème du coût de la sécurité). Actuellement la plus grande partie du
 budget sécurité est attribuée à la protection, on manque de détection et de
 réponse à incident. Nous assistons à un changement des mentalités : les gens
 deviennent conscients que la direction possède un impact et un devoir vis-à-vis
 de la sécurité car un responsable sécurité ne pourra être efficace sans
 pouvoir ni budget. Enfin, la France est en avance sur ce terrain mais il
 semble que de nombreux états préparent une législation dans ce sens, en
 anticipation de la directive NIS.
 

     "Lutte défensive, pour répondre à quels risques légaux et
 règlementaires ?" par Lise Bréteau, avocate

     Lise Breteau a présenté les enjeux et le cadre juridique applicable pour
 la lutte défensive. 
 Il s'agit d'abord aujourd'hui de répondre aux nouvelles obligations légales 
 de notification. Cela concerne notamment les OIV et opérateurs telecom, mais
 elles auront vocation à se généraliser. Elles se retrouvent dans le projet de
 règlement européen relatif aux  données personnelles, dans la directive NIS,
 etc. Les textes tendent également à renforcer les obligations de gestion de
 la sécurité, qu'elles soient générales pour les données personnelles ou
 sectorielles.
 Lise Breteau insiste sur la nécessité de gérer la banalisation de risques
 forts, qui sont apparus avec les nouvelles possibilités d'intrusion dans les
 SI (objets connectés, du BYOD, du Cloud ...). Les risques de responsabilité à
 couvrir sont nombreux : responsabilité vis-à-vis des tiers affectés par
 l'incident de sécurité ; mais aussi ceux de réputation, par la publication de
 décision des autorités ou la notification aux clients ; ou encore les risques
 de sanction par des autorités comme la CNIL.
 Le dernier enjeu est celui de protection des actifs de l'entreprise, 
 qu'il s'agisse de droits de propriété intellectuelle ou de savoir-faire 
 ainsi que les informations commerciales.
 
 
     "Politique de sécurité inapplicable et inappliquée : comment faire
 mieux ?" par Cyril Corcos (Harmonie Technologie) 

     Cyril Corcos commence par rappeler qu'une politique de sécurité est
 opposable: les enjeux sont considérables notamment lors d'un audit.
 Il a ensuite expliqué qu'une politique peut devenir rapidement inapplicable, 
 notamment si les implications budgétaires ou les délais de mise en oeuvre 
 ne sont pas pris en compte. 
 Sur le cas de la classification des informations, il constate par exemple que 
 celle-ci est souvent considérée uniquement sous l'angle du nombre des 
 personnes auxquelles elle peut être diffusée.
 Sur les contrôles d'accès, il estime qu'il faut se poser la question de savoir 
 si les managers ont l'information, la compréhension des applications et les 
 outils nécessaires leur permettant de faire ce travail.
 En ce qui concerne l'acquisition et le développement, en réalité, il demande 
 si une analyse de risque est toujours systématique, si les risques sont suivis 
 pendant le projet, et pose la question de l'organisation des arbitrages.


     "Privacy by Design - Anticiper pour mieux protéger" par Gérôme Billois
 et Raphaël Brun (Solucom)

     Le Privacy By Design (PBD) est un des impacts majeurs du règlement
 européen. Se pose donc la question de sa mise en place en pratique dans la
 gestion des projets. Pour que la démarche du PBD soit efficace, il est
 nécessaire de s'intégrer dans le processus de gestion déjà existant. Il faut
 également prioriser les efforts d'accompagnement en identifiant les projets
 sensibles, et enfin outiller les chefs de projet.
 Il a été proposé une méthodologie agile, qui se découpe en 3 phases:
 La phase amont correspond à une classification des projets, en évaluant leur 
 besoin d'accompagnement PBD. C'est une fois la classification effectuée que 
 le PIA doit être lancé.
 La phase projet doit permettre de mettre en place les mesures qui sont à 
 pré-identifier, en adaptant plus ou moins un existant déjà riche.
 La phase aval correspond au contrôle de la conformité, à l'alimentation d'un
 plan de contrôle et de collecte d'enregistrements/preuves, et à la définition
 d'un plan de gestion des incidents et des crises.
 Ils concluent sur une proposition de calendrier : 
 en 2016 la priorité doit être la formalisation des processus et outils. 
 Il s'agira pour 2017 d'accompagner les projets identifiés par les chefs de 
 projets et experts formés. Enfin en 2018, un déploiement de la méthodologie, 
 est envisageable et il faudra former tous les chefs de projet.


     "PowerShell for Pentesters" par Damien Picard (Synacktiv)

     L'objectif de cette présentation était de démontrer qu'un pentester peut
 faire son pentest avec powershell sans les droits administrateurs à la base.
 Après quelques rappels sur PowerShell, Damien Picard aborde les restrictions :
 signature des scripts et "languagesModes". Il indique qu'une quinzaine de 
 contournements sont possibles et en présente quelques-uns (lancement avec un
 débogueur, en outrepassant les ExecutionPolicy...). Il conclut que sans 
 AppLocker il est impossible d'empêcher un script PowerShell malveillant de 
 s'exécuter. Il nous présente ensuite quelques fonctions et classes utiles lors 
 d'un pentest : navigation sur le web (récupération d'une charge utile), scan
 réseau (à travers la classe TCPClient), authentification AD...
 Il présente une technique d'injection réflexive en mémoire pour déployer 
 Mimikatz en outrepassant les antivirus. Enfin, il finit sur la présentation des
 possibilités d'injection et d'instanciation de code .NET. Ces méthodes 
 permettant d'inspecter un client lourd .NET et d'instancier des applications 
 bloquées par AppLocker.


     "Identité et objets connectés" par Francis Grégoire (Memority)

     Francis Grégoire commence par présenter les nouvelles problématiques
 émergentes dues aux objets connectés : des types de données différentes
 peuvent être adressés à des populations différentes. Il y a une notion de
 propriétaire mais il conviendrait d'avoir des profils avec différents droits,
 cas d'une voiture connectée par exemple. De plus en plus d'objets
 interagissent avec d'autres objets, d'où une problématique d'authentification.
 Le nombre d'objets connecté est en forte croissance et les systèmes d'objet
 se complexifient. Il met en avant les problèmes d'identification car chaque 
 information transmise par un objet connecté peut avoir des implications 
 importantes. Il démontre que l'utilisation d'une PKI reste peu envisageable : 
 en cas de cession/vente de l'objet il faudrait repasser par le constructeur 
 pour déployer un nouveau certificat. Enfin il présente un nouveau protocole
 émergeant : UMA dont l'avancée par rapport à OAuth est de normaliser la 
 communication entre le serveur de Ressource et le serveur d'Autorisation.


     "Techniques et outils pour la compromission de postes clients" par
 Renaud Feil et Clément Berthaux (Synacktiv)

     Après un rappel sur l'harponnage (spear-fishing), ils nous rappellent que
 c'est encore une des méthodes fonctionnant le mieux lors d'une attaque :
 faire exécuter du code malfaisant par une personne interne à l'entreprise
 visée. Ils nous présentent leur méthode lors de leurs tests d'intrusion,
 en axant leur recherche de cible sur les réseaux sociaux, puis la préparation
 d'un scénario adapté. Enfin, ils nous présentent leur outil "Oursin" qui est
 un framwork de spear-fishing : template de mail par scénario, choix du type
 de payload, récupération des sessions créé lors de l'exécution par les
 cibles... Les conteneurs OLE posant encore beaucoup de difficulté aux
 antivirus, il s'agit du format privilégié pour les attaques. Leurs conseils
 pour éviter ces pièges : désactiver les macros (au moins non signées) par
 GPO, sensibiliser les  utilisateurs et durcir les configurations. 


     "Vision d'un SOC efficace par l'ANSSI" par Matthieu Hentzien (ANSSI)

    Le référentiel PDIS (Prestataire de détection des incidents de Sécurité)
 vient définir, entre autres choses, ce qu'est un SOC efficace. Après un rappel
 et une définition sur ce qu'est un SOC (dispositif robuste concentrant des
 moyens humains techniques et organisationnels destinés à mener, avec le
 maximum d'efficacité, des opérations de cyber défense), Matthieu Hentzien
 explique pourquoi l'ANSSI s'intéresse aux SOC. Parce qu'il s'agirait d'un
 début de réponse à la situation actuelle avec des menaces élevées et
 asymétriques. Le SOC permettrait de réduire le temps de réaction en cas de
 gros incident. On nous parle des prestataires qualifiés PASSI : un gage de
 qualité et de confiance avec un accès privilégié à certains appels d'offres
 et contre lequel il est possible de déposer des réclamations. En résumé,
 selon le référentiel PDIS, un SOC efficace est défini par un SI robuste, du
 personnel compétent et organisé, une prestation sur mesure, une gouvernance
 rigoureuse et enfin une dynamique d'amélioration continue.



--[ 7. HSC by Deloitte partenaire du séminaire Sécurité IoT du 9 juin ]----

     HSC by Deloitte sera présent au séminaire CAPTRONIC sur "Sécurité IOT et
 Systèmes Embarqués" jeudi 9 juin à Paris à l'ESME Sudria.
 Venez rencontrer Baptiste Dolbeau, Cyril Solomon et Hervé Schauer, à votre
 disposition pour discuter de vos projets.
 Hervé Schauer participera à la table-ronde animée par François Gauthier
 du journal l'Embarqué.

 Programme : http://www.g-echo.fr/20160609-CapTronic.html
 Inscription 50 euros : http://www.linscription.com/identification.php?P1=2420
 Pour une invitation : contactez Hervé Schauer



--[ 8. HSC by Deloitte partenaire de la Nuit du Hack le 2 juillet ]--------

     HSC by Deloitte sera présent à la Nuit du Hack avec un stand dans la
 grande salle de conférence à l'opposé de l'estrade, à l'hôtel New York
 à Disneyland Paris.
 Venez rencontrer Pierre-Antoine Bonifacio, Hervé Schauer, et de nombreux
 consultants. Nous serons à votre disposition pour les formations, vos projets,
 ainsi que vos recherches d'emploi.

 Programme et inscription : https://www.nuitduhack.com/fr/



--[ 9. Agenda des interventions publiques ]--------------------------------
      
 - 1er juin - Kleverdays - Paris, Hotel Bedford
   9e édition de la convention annuelle de Kleverware
   "L'accès aux données des salariés" par Frédéric Connes
   Accès gratuit, inscription obligatoire
   http://www.kleverware.com/fr/kleverdays/

 - 8 juin - 24ème journée thématique SSI organisée par l'Observatoire zonal
   SSI Sud-Est et le CLUSIR Rhône-Alpes
   "PSSI, Charte informatique : pour qui, pour quoi ?" par Hervé Schauer

 - 9 juin - Séminaire "Sécurité IOT et Systèmes Embarqués" organisé par
   CAPTRONIC 
   Participation à la table ronde d'Hervé Schauer

 - 22 juin - SecureFrance - Paris
   HSC sera présent à SecureFrance le 22 juin et Hervé Schauer concluera
   la journée.
   http://www.cvent.com/events/conférence-isc-securefrance-2016/



--[ 10. Prochaines formations HSC ]----------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 6 au 10 juin (#)
        ISO 22301 Lead Implementer    ..........    : 6 au 10 juin (#)
        Formation RPCA    ......................    : 13 au 17 juin
        Correspondant Informatique et Libertés      : 13 au 15 juin (@)
        ISO 27005 Risk Manager    ..............    : 13 au 15 juin (#)
        Gestion des risques avancée    .........    : 16 et 17 juin
        ISO 27001 Lead Auditor    ..............    : 20 au 24 juin (#)
        Privacy Lead Implementer                    : 20 au 24 juin (#)
        Inforensique ordiphones/tablettes (FOR585)  : 20 au 24 juin (*)(#)
        Anticiper le règlement européen    .....    : 27 juin
        ISO 27001 Lead Implementer    ..........    : 27 juin au 1 juillet (#)
        Supervision, surveillance et détection
        d'intrusion (SANS SEC511 / GIAC GMON)       : 27 juin au 1 juillet(*)(#)
        Essentiels de l'ISO22301    ............    : 9 septembre
        Essentiels techniques de la SSI    .....    : 12 et 13 septembre
        Protéger les applis web (DEV522 /GIAC GWEB) : 12 au 16 septembre (*)(#)
        Formation RPCA    ......................    : 12 au 16 septembre
        ISO 27005 Risk Manager    ..............    : 14 au 16 septembre (#)
        Sécurité du Cloud Computing    .........    : 19 au 21 septembre
        ISO 27001 Lead Implementer    ..........    : 19 au 23 septembre (#)
        Inforensique Windows (SANS FOR408/GIAC GCFE): 19 au 23 septembre (*)(#)
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 26 au 30 septembre (*)(#)
        ISO 27005 Risk Manager    ..............    : 3 au 5 octobre (#)
        Formation RSSI    ......................    : 3 au 7 octobre
        Inforensique réseau avancée (SANS FOR572)   : 3 au 7 octobre (*)(#)
        Techniques de hacking, exploitation de failles
        et gestion des incidents (SEC504/GCIH)      : 10 au 14 octobre (*)(#)
        Préparation au CISA    .................    : 10 au 14 octobre (#)
        Essentiel de PCI-DSS 3.2   .............    : 11 octobre
        Formation CISSP    .....................    : 17 au 21 octobre (#)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 24 au 29 octobre (*)(#)
        Sécurité SCADA    ......................    : 2 au 4 novembre (*)
        Essentiels Informatique et Liberté   ...    : 4 novembre
        Sécurité du WiFi    ....................    : 7 et 8 novembre (*)
        EBIOS Risk Manager    ..................    : 7 au 9 novembre (#)
        DNSSEC    ..............................    : 9 et 10 novembre (*)
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 14 au 18 novembre (*)(#)
        PSSIE & RGS v2   .......................    : 18 novembre
        ISO 27001 Lead Implementer    ..........    : 21 au 25 novembre (#)
        Expert Sécurité Linux LPI 303   ........    : 21 au 25 novembre (*)(#)
        Tests d'intrusion avancés des applications
        web et hacking éthique (SANS SEC642)  ...   : 21 au 25 novembre (*)
        Tests d'intrusion avancés, exploitation de
        failles et hacking éthique (SEC660/GXPN)    : 28 novembre au 3 déc(*)(#)
        Droit de la sécurité informatique    ...    : 1 et 2 décembre
        Mesures de sécurité ISO 27002:2013   ...    : 5 et 6 décembre
        Indicateurs & tableaux de bord SSI/ISO27004 : 7 décembre
        Gestion des incidents de sécurité/ISO27035  : 8 décembre
        Gestion de crise IT/SSI    .............    : 9 décembre
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 12 au 16 décembre (*)(#)
        ISO 22301 Lead Auditor    ..............    : 2017 (#)
        Sécurité des nouveaux usages   .........    : 2017
        PKI : principes et mise en oeuvre    ...    : 2017 (*)
        Outils et techniques d'analyse
        (SANS FOR610/GIAC GREM)   ..............    : 2017 (*)

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC, LPI ou ISACA
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 - Luxembourg
        Formation CISSP    .....................    : 27 juin au 1er juillet (#)
        ISO 27001 Lead Implementer    ..........    : 17 au 21 octobre (#)
        ISO 27005 Risk Manager    ..............    : 2017 (#)
        ISO 22301 Lead Implementer    ..........    : nous consulter (#)

 - Toulouse
        ISO 27005 Risk Manager    ..............    : mai 2017 (#)
        ISO 27001 Lead Auditor    ..............    : mai 2017 (#)
        Correspondant Informatique et Libertés .    : 2017

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Intertek sur
 ses formations.

 Pour tout renseignement ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704 ou standard +33 141 409 700

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2016 en PDF sur http://www.hsc-formation.fr/



--[ 11. Actualité des associations : Club 27001, OSSIR et Clusif ]--------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris jeudi 19 mai à 14h00 chez Akamai
         - "Présentation de l'outil de gestion des risques Risk'n Tic"
           par Christophe Delpierre (Sigfy)
     . Assemblée Générale annuelle du Club 27001 mercredi 6 juillet à 17h00
     . Réunion suivante à Paris jeudi 20 octobre
     . Reprise des réunions à Lyon !!
       Inscrivez-vous à la liste du club à Lyon
       http://www.club-27001.fr/mailman/listinfo/club-27001-lyon
     . Prochaine réunion à Toulouse le 27 mai à 13h45 la CARSAT Midi-Pyrénées
         - Présentation des normes par Claire Albouy-Cossard (CNAM-TS)
        - "Hôpital Numérique, HAS, Certification des comptes : impacts du
          contexte réglementaire dans la gouvernance SSI du CHRU de
    Montpellier" par Nicole Genotelle, RSSI du CHU de Montpellier (MiPih)
        - "ISO-IEC 27001 et/ou ISO 22301 : divergences et convergences entre
    un SMSI et un SMCA" par Gilles Trouessin (Accesssif)
      . Réunion suivante à Toulouse le 
     . Autres prochaines réunions annoncées sur www.club-27001.fr et dans
       les listes électroniques.
       Inscrivez-vous sur les listes de chaque ville sur www.club-27001.fr
       pour suivre l'activité du Club 27001 en région.
     . Conférence annuelle le 7 avril 2016, programme au paragraphe 7

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 14 juin à l'EPITA amphi 3 à 14h
         - "Outil FRIDA pour l'instrumentation dynamique de binaire"
           par Eloi Vanderbeken (Synacktiv)
         - "La 'Threat Intelligence'" par Sébastien Larinier (Sekoia)
         - Revue de vulnérabilités
     . Réunion suivante à Paris le mardi 12 juillet à l'EPITA amphi 3 à 14h
         - "Compte-rendu du SSTIC" par Bruno Dorsemaine et Jean-Loup Richet
	   (Orange)
         - "SOC 2.0 avec plateforme EDR (Endpoint Detection & Response)"
           par Francis Ia (Guidance Software)
         - Revue de vulnérabilités
     . Réunion suivante à Paris le mardi 13 septembre
     . Afterworks le lundi 30 mai à La Kolok
         - "Phishing, contournement des antivirus et solutions de sandboxing"
           par Vladimir Kolla (NetXP)
     . Prochaine réunion à Toulouse à la rentrée de septembre
     . Prochaine réunion à Rennes jeudi 26 juin chez Orange Salle A026 à 14h
         - "Résolution du challenge SSTIC 2016 par Guillaume Teissier (Orange)
         - "Compte-Rendu du SSTIC 2016"
     . Prochaine réunion à Rennes jeudi 15 septembre

 o Clusif (http://www.clusif.fr/)
     . Prochaine conférence mercredi 23 juin à 16h00 à la CCI place de la
       Bourse : Présentation des résultats de l'étude annuelle MIPS
       "Menaces informatiques et pratiques de sécurité en France"
       Accueil à 15h30.
       Programme :
         - Entreprises par Lionel Mourer (ATEXIO)
         - Collectivités territoriales par Thierry Henniart (Région
           Nord-Pas-de-Calais)
         - Internautes par Eric Freyssinet (Ministère de l'Intérieur)
       https://www.clusif.asso.fr/fr/infos/event/

 o ISSA France
     . Prochain afterworks mardi 17 mai au Barramundi
         - "Celui qui s'incruste" ou les reconversions professionelles vers
           la SSI
     . Afterworks suivant remplacé par le diner annuel le 21 juin
       http://securitytuesday.com/



--[ 12. Le saviez-vous ? La réponse ]-------------------------------------

       Il est possible d'exécuter la méthode grâce au code suivant (qui sera
 expliqué par la suite):

class Attack extends LicenseManager { //#1
static LicenseManager License; //#2

    Attack(String licence) {
        super(licence);
    }

    public void finalize() { //#3
        License = this;
    }

    public static void main(String[] args) {
        Attack prog = null;
        try {
            prog = new Attack("RandomString"); //#4
        } catch (Exception e) {
            System.out.println(e);
        }
        System.gc(); //#5
        System.runFinalization(); //#6
        if (prog.License != null) {
            prog.License.loadProgramme();
        }
    }
}

     Dans un premier temps, nous étendons la classe cible, celle-ci n'ayant pas
 l'attribut final (#1). Par la suite, nous définissons un "main" permettant 
 d'instancier un objet LicenceManager (#4) afin de pouvoir appeler notre
 méthode loadProgramme().
 Cependant, ne connaissant pas de licence valable, nous définissons un bloc
 "try/except" afin de gérer l'exception lorsque celle-ci est invalide. Lors
 de la levée de celle-ci, notre objet Attack sera instancié mais non référencé
 (étant rentré dans le bloc except).

 Nous préparons ensuite la JVM a lancer le garbage-collector (ci après "gc")
 (#5) afin de libérer les objets non-référencés.

 Pour rappel, avant qu'un objet ne soit désalloué en mémoire au travers du gc,
 la méthode finalize() est appelée 
 (http://docs.oracle.com/javase/specs/jls/se8/html/jls-12.html#jls-12.6).

 Nous profitons donc de l'appel à System.runFinalization() (#6) afin de forcer
 l'appel à la méthode finalize() pour l'ensemble des objets qui ne sont plus 
 référencés. Grâce à cette fonctionnalité, il est possible de re-référencer 
 notre objet (#3) sur un attribut static (#2) afin de pouvoir 
 interagir avec celui-ci et donc de contourner le gestionnaire d'exception
 (en effet, prog est toujours à null).

 Une solution possible pour résoudre cette vulnérabilité est d'ajouter
 l'attribut "final" à la classe LicenseManager.



--[ Administrativia ]--------------------------------------------------

La Newsletter HSC est éditée par
Hervé Schauer Consultants
185, avenue Charles de Gaulle,
F-92200 Neuilly-sur-Seine
Tel +33 141 409 700
Fax +33 141 409 709
Contact commercial : sales at hsc.fr
Contact pour la Newsletter HSC : newsletter at hsc.fr

Pour vous désabonner ou modifier vos options :
http://www.hsc-news.com/mailman/listinfo/newsletter



Plus d'informations sur la liste de diffusion newsletter