Subscribe: newsoft's fun blog
http://news0ft.blogspot.com/feeds/posts/default
Added By: Feedage Forager Feedage Grade A rated
Language: French
Tags:
avec  cette  dans  des  est  les  mais  même  par  pas  pour  qui  sont  sur  sécurité  une  vous   
Rate this Feed
Rate this feedRate this feedRate this feedRate this feedRate this feed
Rate this feed 1 starRate this feed 2 starRate this feed 3 starRate this feed 4 starRate this feed 5 star

Comments (0)

Feed Details and Statistics Feed Statistics
Preview: newsoft's fun blog

newsoft's fun blog



Un blog où il y a de tout ... et parfois de la sécurité informatique.



Updated: 2018-04-19T14:44:44.637+02:00

 



Ma contribution au mois de la cybersécurité

2017-10-30T09:23:21.147+01:00

Dans le cadre du mois de la sécurité, l'ANSSI met en avant son MOOC : la SecNumAcadémie. Il m'a semblé opportun de vous résumer les 2h48 que j'ai passées sur le premier module afin de vous épargner cette peine.Dans l'ensemble la réalisation technique est correcte, quoi qu'un peu répétitive après presque 3 heures. Quelques animations, et une sensation de progression (plutôt qu'une répétition de la même image d'accueil) auraient été les bienvenues.Toutefois je n'ai pas pu m'empêcher de prendre la plume face à la tare rédhibitoire qui afflige ce MOOC : il ne se destine absolument pas au grand public ; il est un pur instrument de politique interne à l'administration.En effet, comment croire que je puisse recommander à mes proches un outil qui attaque bille en tête par le RGS, pour prendre ensuite soin d'énumérer exhaustivement tous les organes administratifs touchant de près ou de loin à la "cyberdéfense" en France (comme le CALID ou la DGSSI, totalement inconnus du grand public) ? Où sont les conseils pratiques qui vont parler à l'internaute moyen ?L'autre point qui m'a choqué est le biais éminemment politique des messages prodigués. Certes la sécurité informatique n'est pas une science, mais dans le cas d'espèce, l'idéologie occulte parfois des réalités quantifiables. Par exemple, que penser de l'assertion ci-dessous ? "De nombreux états souhaitent contrôler les frontières du numérique pour des raisons de souveraineté nationale".Au lieu d'une référence à "Shaping the Internet in China", il aurait peut-être fallu mentionner que la France est pionnière en la matière … bien avant les délires "souverains" de ces dernières années. Le CloudSi j'ai bien compris le message de ce MOOC, l'administration ne croit plus à l'émergence d'un Cloud "souverain" et s'attache donc à dire pis que pendre de toute forme d'externalisation. Espérons qu'ils aient raison, sinon le rétropédalage sera compliqué … "Les sites hébergés en France sont plus dignes de confiance car de nombreuses lois vous garantissent la protection de vos données" : que voilà une formulation vague et ambiguë !Aucune loi n'empêche le piratage de vos données chez un prestataire … qu'il soit en France ou ailleurs.Ah, et le domaine "secnumacademie.gouv.fr" résout en "178.32.43.203" chez moi, qui est une adresse située chez OVH … en Belgique. Idem pour cette autre formule : "un service gratuit ne vous apporte aucune garantie de service".Les clients (commerciaux) du Cloud 2E2 ont appris à leurs dépens que payer ne vous apporte guère plus de garanties …Faut-il que j'arrête d'utiliser mon adresse email chez LaPoste.net car elle est gratuite ? Une dernière à propos du Cloud et puis j'arrête.Sachez simplement que même si vous n'utilisez pas le "Cloud", vos données peuvent être perdues ou divulguées …Je serais curieux d'avoir des statistiques à ce sujet, mais je peux vous assurer qu'on perdait déjà des données bien avant l'invention du Cloud. Précisons au passage que la page de login du site "secnumacademie.gouv.fr" utilise Google Recaptcha. Mais je suppose que "le Web" n'est pas "le Cloud".Les erreursOn peut comprendre que la position de l'ANSSI se doive d'être cohérente avec celle de l'ENISA … d'ailleurs le MOOC va jusqu'à reprendre certaines illustrations publiées par l'ENISA. Mais du consensus naquit la vulnérabilité … Le choix d'un mot de passe : un grand classique. Outre le fait que cette recommandation ne pourra pas s'appliquer à tous les sites (voir @pwtoostrong et @badpasswordrule à ce sujet), elle est malheureusement l'opinion d'un seul homme … qui regrette désormais d'avoir donné ce mauvais conseil.Votre seul espoir : des mots de passe aléatoires, un password manager, et de l'authentification à deux facteurs partout où c'est possible. Les trollsPour conclure, quelques captures d'écran "amusantes" dans le contexte. Pas sûr qu'il soit opportun d'utiliser l[...]



Un compte rendu alternatif du SSTIC 2017

2017-06-12T14:24:38.697+02:00

Le SSTIC 2017 vient de se terminer. Comme chaque année depuis 15 ans, cet événement confirme sa place centrale dans l’écosystème de la cybersécurité française – aussi bien par la qualité des échanges entre les participants que par la fluidité d’une organisation bien rôdée.Vous trouverez le compte-rendu technique des différentes présentations chez n0secure [J1][J2][J3] ou Xavier Mertens [J1][J2][J3]. En ce qui me concerne, j’ai souhaité vous faire partager un point de vue avec un peu plus de recul sur cet événement.L’ANSSTICDès la première matinée, on comprend que le SSTIC est devenu un événement politique interne de l’ANSSI (et dans une moindre mesure de la DGA-MI) – avec 4 présentations qui s’enchaînent.On m’objectera que les agents de l’ANSSI sont les seuls à soumettre des papiers, ce qui explique leur surreprésentation. De mémoire cette année il y a eu ~35 soumissions pour ~25 créneaux de présentation, ce qui ne permet effectivement pas au processus de sélection de jouer à plein. J’ai bien une explication à ce faible nombre de soumissions tierces. En 2003 le SSTIC était une conférence technique d’excellence, unique dans le paysage français et rare dans le paysage international. En 2017, le monde a changé ; force est de constater que soumettre à SSTIC ne présente plus aucun intérêt pour le commun des mortels. Le (long) processus de soumission et d’édition des actes n’est pas compatible avec le rythme médiatique ; seuls de travaux de recherche très amont (comprendre : très théoriques) peuvent s’accommoder d’un tel cycle. D’où le décalage notable entre les présentations retenues et les attentes des participants. Franchement, à quoi peut bien servir un parser de fichiers PDF écrit en OCaml dans le travail quotidien d’un industriel ? (Réponse). La couverture médiatique nationale est nulle (à l’exception de cet article dans Ouest France). Je ne parle même pas de la couverture internationale puisque SSTIC doit être l’un des derniers événements majeurs à se tenir dans la langue vernaculaire de ses hôtes.Le SSTIC permettait auparavant à de jeunes consultants isolés en SSII de mettre en avant leurs découvertes et de rencontrer leurs pairs. Intervenir à SSTIC leur permettait de se faire connaître, voire d’être recruté dans des institutions où ils pourraient épanouir leurs talents. Cette mission n’est plus ; aujourd’hui le SSTIC sert essentiellement de piédestal aux différents bureaux de l’ANSSI afin qu’ils puissent se comparer entre eux (et je ne parle pas seulement de Rust vs. OCaml).Le point d’orgue de cette compétition stérile fût probablement la conférence de clôture à propos de la compromission de TV5 Monde. Louons l’effort de mise en scène qui nous donnait l’impression d’être dans un film d’espionnage (« merci de ne pas divulguer l’identité des intervenants, nos agents risquent leur vie »). Mais au final, cette présentation ne fût que le rappel de quelques conseils de base sur les mots de passe par défaut, les dangers d’un réseau « à plat », etc.Aucune mention des techniques d’attribution utilisées pour incriminer les Russes, l’utilisation d’outils de forensics et de reconstruction Active Directory qui ne seront probablement jamais publiés ; bref, rien d’actionable pour les participants.Par ailleurs les quelques CERTs privés avec lesquels j’ai eu l’occasion de discuter attendent toujours de disposer des IOCs liés à cette attaque – qui n’ont apparemment été distribués … qu’aux journalistes ! Quand on compare aux rapports étrangers publiés après la compromission de Diginotar ou plus récemment RUAG, on mesure le chemin qui reste à parcourir avant de disposer de véritables retours d’expérience en France …Il va être difficile pour le secteur privé de monter en puissance tant qu’il reste infantilisé par les autorités. Le contenuLe programme de l’événement peut lui aussi surprendre ; par exemple[...]



Le gâchis

2016-06-20T22:19:32.724+02:00

Enfin ! Après 4 ans de travail et 5M€ de financement public, le projet d’antivirus « souverain » vient d’être publié sur GitHub.Initialement connu sous le nom de DAVFI (Démonstrateurs d'AntiVirus Français et Internationaux), puis Uhuru Anti Malware (marque commerciale), le projet Open Source s’appelle désormais Armadito – est-ce un clin d’œil à la protection logicielle bien connue - mais désormais obsolète - « Armadillo » ?HistoireL’histoire de ce projet est controversée. Comme toute initiative dont la nationalité est la seule raison d’être, elle fut vertement critiquée à ses débuts. Et comme toutes les initiatives comparables, la malédiction n’a pas tardé à s’abattre : après avoir initié le développement du projet, puis transféré l’industrialisation (ainsi qu’un « personnel administratif senior » – en l’occurrence sa femme) au consortium porté par Nov’IT, M. Filiol a subitement fait volte-face et lâché ses chiens contre le projet Uhuru – allant même jusqu’à annoncer un « fork » Open Source sous le d’OpenDAVFI (dont on attend toujours la publication promise).Ce drame franco-français n’est pas sans rappeler la mésaventure du « Cloud souverain », assez rapidement scindé en deux projets aussi infructueux l’un que l’autre. La dissension ne conduit généralement qu’au saupoudrage d’argent public.Le divorce des « antivirus souverains » semble avoir été particulièrement douloureux, à en juger par les billets publiés sur le blog (payant) SecuriteOff : « Uhuru antimalware, a French deception » et « Les antivirus Uhuru, la grande mystification ». A contrario, le seul article positif – « Fin et bilan du projet DAVFI » - a disparu d’Internet (puisque le site n’autorise aucune indexation ni archivage de son contenu – à se demander qui sont ses lecteurs).EDIT: l'article est toujours disponible à cette adresse. L'éditeur n'a pas jugé utile de rediriger les favoris antérieurs à la refonte du site (circa septembre 2015).TechniqueIl serait loisible mais peu charitable de se gausser des errements techniques du projet. Après tout nul n’est à l’abri d’une erreur d’implémentation.Certes la librairie de « chiffrement » Perseus – censée protéger les SMS sur la version « Android » du projet – est régulièrement la risée des participants à la conférence SSTIC [2014][2015]. Le plus grave dans ces failles n’étant pas les détails d’implémentation, mais la méconnaissance répétée des mécanismes de génération d’aléa par son auteur ; pourtant l’un des fondamentaux de la cryptologie.Certes la version « Android » du projet, publiée en 2014, a été immédiatement « cassée » de manière triviale : il était possible d’exécuter des commandes shell depuis la mire de démarrage du téléphone. Le plus grave a probablement été la réaction du projet, consistant à éditer agressivement la page Wikipedia dans une tentative désespérée de damage control.Certes la version « Windows », récemment libérée sur GitHub, souffre de failles énormes – pour la plupart présentées lors BeeRump 2016 et dont j’espère la publication prochaine. Certains esprits taquins s’en sont même amusés publiquement. A cette liste s’ajoute la détection de codes malveillants dans les fichiers PDF par la recherche de motifs triviaux, ou l’incapacité totale à analyser des exécutables « .NET ».L’essentiel des heuristiques « avancées » issues de la recherche en virologie consiste à comparer la liste des sections et des imports du fichier exécutable avec une base de référence, comprenant des fichiers « sains » et des fichiers « malveillants ». Il serait possible de se livrer à une analyse critique sur la méthode de calcul utilisée – et surtout l’importance de la base de référence – mais il s’agit d’un domaine technique ennuyeux pour le lectorat, qui est invité à chercher « import hash » dans son moteur favori ([...]



Etat de l’Art

2015-10-06T09:50:32.646+02:00

Cette année encore, il m'a été donné d'assister à l'évènement professionnel majeur de la sécurité informatique française, à savoir les Assises de la Sécurité.Je n'ai pas l'intention d'en produire un compte-rendu circonstancié ; d'autres s'en chargeront mieux que moi. J'ai plutôt l'intention de revenir sur un sentiment diffus parmi les barbus du domaine: plus les choses changent, plus elles restent les mêmes.Retour sur une keynoteLa seule conférence digne d'intérêt est la désormais traditionnelle keynote de l'ANSSI. Sans nier la qualité des autres "ateliers" – tantôt distrayant, tantôt édifiant – ils relèvent plus de l'anecdote quand il ne s'agit pas purement et simplement d'un vendor pitch. A contrario, l'ANSSI est probablement la seule institution qui dispose d'un plan. C'est la seule à pouvoir faire référence à ses interventions passées – réalisant un point d'étape sur différents sujets tels que la labellisation ou la législation. Tous les autres acteurs sont ballotés au gré des modes.(Car la sécurité est une vraie victime de la mode. Cette année, exit le patch management ou l'APT. Cette année, c'est le (Cyber)SOC qui est fashionable)Et il faut dire que l'ANSSI ne manque pas de sujets cette année: la règlementation, les coopérations avec l'Allemagne mais aussi avec les USA, le développement "en régions", la sensibilisation du grand public (jetez un œil à la Hack Academy, ça vaut son pesant de cacahuètes), le partage d'information avec les industriels, la labellisation des prestataires (PDIS, PRIS et Cloud entre autres) … impossible de tout commenter, mais les trois messages suivants me semblent intéressant.1. L'ANSSI est réticente à partager des indicateurs de compromission (IOC) avec les industriels pour au moins deux raisons: d'abord les industriels disposent rarement de la maturité nécessaire pour pouvoir rechercher un IOC efficacement dans leur parc (ce qui n'est malheureusement pas faux) ; ensuite ils ne savent pas conserver ces IOC secrets. On peut débattre sur le fait qu'un IOC doive rester secret – puisqu'ils servent plus à comprendre le passé qu'à prédire l'avenir – mais il est certain que le recours massif à la sous-traitance dans les services informatiques est difficilement compatible avec la préservation d'un secret. Sans parler du cas où l'industriel est dans le conflit d'intérêt patent, étant à la fois fournisseur de services de détection d'intrusion et intrusé lui-même (ne rigolez pas, ça s'est vu).2. La détection et la réponse aux incidents sont des domaines qui ne tolèrent pas l'amateurisme ; le recours à des prestataires aguerris est vivement recommandé. On ne peut que partager ce constat, néanmoins j'ai la vague impression que les prestataires actuels – qu'ils soient en cours de labellisation ou non – manquent singulièrement d'expérience dans le domaine et font une large part à l'improvisation la plus totale (voire à l'amateurisme).3. Le Cloud élève le niveau de sécurité des petites entreprises dont le service informatique n'atteint pas la masse critique. Là encore, on ne peut que partager ce constat: vos emails sont bien souvent mieux protégés dans un service en ligne supportant l'authentification à 2 facteurs que sur un serveur de messagerie interne.Au delà de la keynote de l'ANSSI, et avec mon regard désormais extérieur, j'ai été frappé par les trois plaies de la cybersécurité françaises tandis que je déambulais dans les travées du salon.1. L'empilement des boitesC'est une tarte à la crème sur laquelle tout le monde s'accorde: la technique ne résout pas tout (pas de silver bullet), il ne faut pas négliger l'humain, etc.Pourtant on ne croise au fil des allées que des vendeurs de boites.Quiconque a déménagé sait que les boites s'empilent plus facilement quand elles sont du même gabarit. Et c'est bien le problème: chaque vendeur conçoit des produits parfaitement autistes, comptant sur les[...]



Sécurité et espionnage informatique

2015-02-03T16:44:06.485+01:00

J’ai donc lu “Sécurité et espionnage informatique – connaissance de la menace APT”. Je ne vais pas vous faire le profil de l’oeuvre. Si votre chef vous a demandé une synthèse des solutions miracles pour demain … débrouillez vous :) Par contre je vais vous épargner la recopie manuelle des hashes donnés en exemple page 106 – ils ne contiennent rien d’intéressant. $ john --show hash.txt borislz:TOTO42:F67AC4C658E4EBA7AAD3B435B51404EE:F116850228DF3C891BB260730A65E78F cpe:TOTOTOTO42:A466CD4F80A06085A973C7865148EF2E:837DB89C7B7C6444E1D189AFC266F1BE Non, si vous avez vraiment du temps à perdre, il vaut mieux vous attaquer directement aux hashes donnés page 105: ils ont été “anonymisés” ; ils doivent donc être importants. Voici ce que ça donne: cpe:cpe-PC:3A6999A4D3EA7D4469...:35560bc48654e... Nous disposons donc du hash LM partiel et du hash NTLM partiel pour le même mot de passe. C’est entièrement suffisant pour retrouver le mot de passe d’origine, sauf collision hautement improbable. Tout expert sécurité sait que le hash LM se compose de deux demi-hashes totalement indépendants. Ici la première moitié du hash LM est donnée en totalité, l’inversion du demi-hash s’effectue donc instantanément avec John ou n’importe quelle Rainbow Table. 3A6999A4D3EA7D44 –> PCKRD42 Malheureusement le mot de passe est mis en majuscules avant le calcul du hash LM ; il n’est donc pas possible de connaitre la casse réelle à ce stade. Prenant en compte ce fait, il est désormais possible de compléter le mot de passe jusqu’à tomber sur un hash NTLM commençant par 35560bc48654e (la probabilité d’une collision est pour ainsi dire nulle). Un simple script Python suffit, car la réponse ne tarde pas à venir: Pckrd42!:3A6999A4D3EA7D44695109AB020E401C:35560BC48654EF33BD7162C7721BDE8C::: Ce mot de passe est très intéressant, car il vérifie tous les critères appliqués habituellement en entreprise (mais beaucoup plus rarement chez les particuliers): Longueur 8 Présence de majuscules/minuscules/chiffres/caractères spéciaux Deux derniers chiffres ressemblant fortement à un incrément (il s’agit d’une construction universellement appliquée par les utilisateurs lorsqu’un changement régulier de mot de passe est imposé – 42 jours par défaut sous Windows). S’agirait-il d’une capture d’écran réalisée sur le poste de travail de l’auteur ? Celui-ci ayant changé d’entreprise il y a quelques semaines ; on peut de toute façon espérer que son compte ait été verrouillé et ses accès révoqués :) [...]



FIC Challenge Writeup, EPITA edition

2015-02-01T13:48:28.514+01:00

Les solutions du challenge EPITA – réalisé par des élèves pour le FIC 2015 – sont désormais en ligne, mais uniquement sous forme de vidéos. Je vais donc vous proposer une solution pour la catégorie "Virus", plus old school car sous la forme d’un billet de blog. La question posée Tout commence par un dump mémoire de 1 Go, qu'on identifie assez facilement comme étant issu d'un système Windows 32 bits: $ file MEMORY.DMP MEMORY.DMP: MS Windows 32bit crash dump, PAE, full dump, 262014 pages Ce fichier est accompagné d'une signature au format ".nbd" (utilisé par ClamAV): virus=60400001000000EB9490909090565383EC14C7042430604000E8B70700008B1D4860400083EC0485DB742D66908B03890424E8A607000083EC0489C6E8 On imagine assez bien qu'il va falloir retrouver cette signature dans le dump mémoire. Deux outils s'offrent à nous: WinDbg ou Volatility. Je choisis Volatility, qui est quand même plus adapté au forensics. Identifions plus précisément le "profil" du système à l'aide de la commande imageinfo: Determining profile based on KDBG search... Suggested Profile(s) : Win7SP0x86, Win7SP1x86 AS Layer1 : IA32PagedMemoryPae (Kernel AS) AS Layer2 : WindowsCrashDumpSpace32 (Unnamed AS) AS Layer3 : FileAddressSpace (MEMORY.DMP) PAE type : PAE DTB : 0x3ecd8680L KDBG : 0x82938be8 Number of Processors : 1 Image Type (Service Pack) : 0 KPCR for CPU 0 : 0x82939c00 KUSER_SHARED_DATA : 0xffdf0000 Image date and time : 2014-11-17 13:25:46 UTC+0000 Image local date and time : 2014-11-17 14:25:46 +0100 Une fois le bon profil identifié, il est possible de lister tous les processus en cours d'exécution avec la commande pslist ou pstree. La commande psscan permet de retrouver également les processus récemment exécutés dont le jeton persiste en mémoire, mais dans le cas présent seul consent.exe est concerné (qui présente la fameuse boite de dialogue "Cancel or Allow"). Offset Name Pid PPid Thds Hnds Time > 0x84138b78 System 4 0 90 532 2014-11-15 12:49:59 UTC+0000 > 0x85359d40 smss.exe 260 4 2 29 2014-11-15 12:49:59 UTC+0000 > 0x85ad2d40 csrss.exe 348 332 9 549 2014-11-15 12:50:00 UTC+0000 > 0x85a7cc88 wininit.exe 400 332 3 74 2014-11-15 12:50:00 UTC+0000 > 0x85cd6030 services.exe 500 400 9 213 2014-11-15 12:50:00 UTC+0000 > 0x85e8aad0 msdtc.exe 436 500 12 143 2014-11-15 12:50:06 UTC+0000 > 0x85d17658 svchost.exe 632 500 11 365 2014-11-15 12:50:01 UTC+0000 > 0x8434fb30 dllhost.exe 2660 632 6 80 2014-11-17 13:25:36 UTC+0000 > 0x85d4a138 svchost.exe 712 500 8 292 2014-11-15 12:50:01 UTC+0000 > 0x85d6aa30 svchost.exe 800 500 19 507 2014-11-15 12:50:01 UTC+0000 > 0x8433fc88 audiodg.exe 1280 800 7 150 2014-11-15 13:05:54 UTC+0000 > 0x85da6030 svchost.exe 884 500 14 341 2014-11-15 12:50:01 UTC+0000 > 0x85ebed40 dwm.exe 1160 884 6 199 2014-11-15 12:50:06 UTC+0000 > 0x85db3530 svchost.exe 916 500 34 1067 2014-11-15 12:50:01 UTC+0000 > 0x85e1f530 svchost.exe 1036 500 14 387 2014-11-15 12:50:01 UTC+0000 > 0x85e7b030 svchost.exe 1148 500 19 509 2014-11-15 12:50:01 UTC+0000 > 0x85f00880 spoolsv.exe 1364 500 14 340 2014-11-15 12:50:02 UTC+0000 > 0x85f15760 taskhost.exe 1396 500 10 221 2014-11-15 12:50:02 UTC+0000 > 0x85f2f1f8 svchost.exe 1432 500 18 297 2014-11-15 12:50:02 UTC+0000 > 0x8542a030 vmtoolsd.exe 1596 500 11 391 2014-11-15 12:50:02 UTC+0000 > 0x85df2a58 TPAutoConnSvc. 1784 500 10 141 2014-11-15 12:50:02 UTC+0000 > 0x85e35d40 TPAutoConnect. 200 1784 4 131 2014-11-15 12:50:03 UTC+0000 > 0x85e0c968 sppsvc.exe 1820 500 4 149 2014-11-15 12:50:02 UTC+0000 > 0x85f85d40 svchost.exe 1892 500 6 92 2014-11-15 12:50:03 UTC+0000 > 0x843fb5d8 svchost.exe 2588 500 5 42 2014-11-17 13:24:45 UTC+0000 > 0x842c898[...]



FIC Challenge Writeup

2015-01-23T14:00:08.708+01:00

Pour le troisième challenge du FIC 2015, Sogeti nous promettait un challenge résolument orienté hacking. Voici un essai de solution. Le challenge se déroule de la manière suivante: chaque participant vient avec son propre matériel, et doit configurer une adresse IP statique associée à son emplacement physique dans l'Espace Challenge (le sous-réseau privé 192.168.0.0/24 est utilisé). A 11h00 le challenge démarre avec comme indication une simple adresse IP: http://192.168.0.35/ Un serveur Web est disponible à cette adresse. Il sert une image statique avec la musique de NyanCat en arrière-plan. On imagine assez facilement que ceci n'est qu'un leurre et qu'il nous revient la charge de découvrir l'étape suivante. Deux hypothèses sont envisageables: soit le challenge se trouve sur le serveur Web (un scan "à la Nikto" devrait révéler une page cachée) ; soit le challenge se trouve sur un autre service. Pour l'instant difficile de conclure car les deux pistes fonctionnent. Un scan Nmap révèle une configuration bien connue des pentesters, dite "arbre de Noël": Port Service 80/tcp Apache 2.0.54 (Win32) 135/tcp MS-RPC Endpoint Locator 139/tcp MS-SMB 445/tcp MS-CIFS 902/tcp VMWare client 912/tcp VMWare client 1025/tcp MS-RPC (port dynamique) 1026/tcp MS-RPC (port dynamique) 1027/tcp MS-RPC (port dynamique) 1030/tcp MS-RPC (port dynamique) 1031/tcp MS-RPC (port dynamique) 1032/tcp MS-RPC (port dynamique) 2048/tcp ? 2701/tcp MS-SCCM 3306/tcp MySQL 3389/tcp MS-RDP 5357/tcp ? 6129/tcp DameWare 8081/tcp ? Le système lui-même est un Windows 7 x64 SP1 ; un grand classique compatible avec les outils de type Metasploit. On peut supposer que les organisateurs ne veulent pas nous faire perdre de temps à ajuster des offsets exotiques dans nos payloads. Il est temps de lancer un scan Nessus. Malheureusement nous sommes confrontés à la crise du riche: · La machine n'est pas à jour de MS14-066 (et donc probablement de MS14-068). · D'après la bannière du serveur Web, Apache (2.0.54) et PHP (5.2.3) sont vulnérables à des dizaines de failles connues et non corrigées, puisque ces versions ne sont plus maintenues. · La version de MySQL (4.1.22) est elle-même antédiluvienne. A ce stade, on peut noter une propriété intéressante (et rare) de ce challenge: chacun peut y trouver son compte. Les fans de stack overflow peuvent tenter d'exploiter les failles de PHP, tandis que les pe[...]



Pitié.

2014-10-24T09:00:05.534+02:00

J'ai suivi les 2ème Rencontres Parlementaires de la Cybersécurité via Twitter (hashtag #RPCyber). Initialement j'avais l'intention de commenter ou de re-tweeter les messages les plus pertinents ; finalement le volume m'a contraint à un billet de blog – format plus adapté à l'argumentation.Bien que tout le monde se soit largement congratulé (au moins sur Twitter) pour la qualité de cet événement, j'étais de mon côté atterré par la vision "cyber" (comme on dit maintenant) de nos éminences grises. Florilège.Le cyber, c'est la guerrePremier constat: le cyber est aux mains des militaires. La première édition se déroulait au siège de la Gendarmerie, la deuxième édition à l'école militaire. Toute la fine fleur des industriels "de confiance" était là (Thales, Airbus ex-Cassidian, Sogeti, …) au côté des amiraux et des députés. Pas de représentants de la société civile, sauf les sponsors.Quant au contenu des tables rondes: cyber-criminalité, cyber-guerre, cyber-espionnage (dit APT).Bref, on n'était pas là pour faire de la philosophie comparée entre le Java et le OCaml, mais plutôt pour dézinguer du cyber-terroriste. Ca va filer droit et sécuriser sec. D'ailleurs …https://twitter.com/echo_radar/status/525294388675903488AutokiffLe moins que l'ont puisse dire, c'est que tout le monde est extrêmement satisfait des progrès réalisés. L'ANSSI recrute, la DGA recrute, les lois sont votées, les décrets vont tomber … bref, on est bientôt "secure".D'ailleurs, personne n'a encore réussi à m'expliquer ce qu'est le "cyber", mais on a déjà voté plus de lois à ce propos que tous les autres pays dans le monde ! Vive la France !https://twitter.com/DefStrategie/status/525314242648743936Et puis il y a déjà 7 thèses en cours sur le sujet, bientôt le bout du tunnel …https://twitter.com/DefStrategie/status/525296121762304000Il y a même 60% des gens (dans la salle) qui pensent que le niveau de sécurité s'est amélioré en France ces dernières années ! Bon travail, chef.https://twitter.com/ISSA_France/status/525224359448031232Et aussi …Quelques annonces en vrac: l'Etat à décidé de rebondir après la fermeture de Surcouf. Mme Michu aura donc le droit à un CERT dédié pour nettoyer son PC, accélérer son navigateur et sauvegarder dans le Claude souverain.https://twitter.com/ericfreyss/status/525264594944929792Et aussi, une réserve opérationnelle.https://twitter.com/comptoirsecu/status/525308543927595008Mais à quoi vont servir ces réservistes ? A manger les bénéfices du principal sponsor de la journée – à savoir Microsoft – en allant réinstaller des Active Directory le week-end après une compromission ! (L'un des principaux gagne-pains de la branche "conseil" chez Microsoft)https://twitter.com/echo_radar/status/525307690147676160Le meilleur pour la finAlors celui là, je ne sais même pas quel commentaire y apporter. Alors que les instances de l'Etat n'arrivent pas à stimuler la production d'un système Android "souverain", ils veulent attaquer frontalement un marché hyper-fragmenté qui se renouvelle tous les 3 mois, dans lequel aucun industriel français n'est impliqué ?https://twitter.com/AlexArchambault/status/525263148363055104Mais en réalité …https://twitter.com/echo_radar/status/525303357242888192https://twitter.com/echo_radar/status/525301585334009857https://twitter.com/lsamain/status/525300659827273728Plus sérieusementTrêve de plaisanterie, voici mon point de vue sur les thèmes abordés durant cette journée.La cyberguerre: il sera temps de la faire quand elle arrivera.Parce que pour le moment c'est un peu comme l'hiver dans Game of Thrones: on en parle beaucoup mais on ne la voit jamais. A côté de ça les problèmes concrets, moins gratifiants, plus durs, mais certainement beaucoup plus impactant, n'avancent pas. Voter une loi pour rendre illégal la posse[...]



Que vaut le CAC 40 ?

2014-05-12T08:45:43.527+02:00

Pour être honnête, j’hésite entre “cyber” et “souverain”. Je ne sais pas laquelle de ces deux tartes à la crème a été la plus entendue en 2013. Mais qu’en est-il sur le terrain ? Y a-t-il une réalité derrière ces termes ?Pour le savoir, menons une expérience assez simple: si j’écris à n’importe quel collègue travaillant dans une entreprise du CAC 40, où va arriver mon email ?Cette expérience n’a rien de scientifique, mais au moins elle peut être menée sur la base de données publiques, et s’avère reproductible par tout un chacun.La liste des entreprises du CAC 40 se trouve sur Wikipedia. Identifier le serveur de messagerie qui collecte tous les courriers entrants est très simple avec la commande nslookup sous Windows ; host ou dig MX sous Unix et Mac OS X.La partie la plus difficile (et la moins scientifique) de l’expérience consiste à identifier l’ensemble des domaines de messagerie utilisés par un groupe, ses filiales et ses acquisitions. Par exemple une filiale qui n’est pas détenue à 100% doit-elle rentrer dans le périmètre ? Dans le cadre du groupe Bouygues par exemple, faut-il considérer @bouygues.com, @bouygues-construction.com et/ou @bouyguestelecom.fr ? Dans le doute, j’ai fait au plus simple: je me suis limité aux sites Web “notoirement” identifiables, puis j’ai supposé que ces domaines étaient capables de recevoir du mail. Vous trouverez dans le tableau ci-dessous tous les domaines retenus, mais n’hésitez pas à compléter cette liste dans les commentaires !J’ai ensuite extrait l’enregistrement DNS MX pour chaque domaine. Dans certains cas, il est nécessaire de géolocaliser l’adresse IP correspondante: pour cela j’ai utilisé la base MaxMind. Dans d’autres cas, le suffixe DNS est suffisant pour conclure, selon le guide de lecture suivant (un éditeur de services sera considéré selon sa nationalité d’origine, pas l’emplacement géographique de ses serveurs):pphosted.com = ProofPoint (américain)outlook.com = Microsoftgmessaging.net = Orange (cocorico)frontbridge.com = Microsoft Exchange Onlinepsmtp.com = Postini (racheté par Google)messagelabs.com = SymantecJe ne dispose malheureusement pas de compte chez DomainTools, mais il serait probablement intéressant d’étudier l’historique de ces enregistrements (gardons celà pour un deuxième temps).Bien entendu les résultats sont potentiellement incomplets, à cause des techniques DNS Round Robin ou Anycast par exemple. Mais au moins elle ne produit pas de faux positifs.La conclusion est la suivante: dans seulement 12 cas sur 40, il est certain que le message arrivera sur un serveur hébergé en France. Dans les autres cas, le message est susceptible d’arriver à l’étranger. Il ne s’agit pas de détournement BGP ou d’intrusion sur des câbles sous-marin: l’entreprise du CAC 40 paie effectivement pour recevoir son mail à l’étranger.J’en arrive donc à la conclusion que la notion de souveraineté qui agite beaucoup les cyber-penseurs se heurte au principe de réalité suivant: les coûts et la qualité de service offerts par les opérateurs spécialisés (généralement étrangers) est imbattable. Même en injectant beaucoup d’argent public pour essayer de rattraper le retard.Pour conclure, je vous laisse méditer sur ces perles:$ dig MX bouygues-immobilier.fr;; ANSWER SECTION:bouygues-immobilier.fr. 3600    IN      MX      30 charybde.wolfbusiness.com.bouygues-immobilier.fr. 3600    IN      MX      10 mail.wolfbusiness.com.$ dig MX bouygues.fr;; ANSWER SECTION:bouygues.fr.            600     IN      M[...]



Fiat Lux

2013-09-17T08:00:03.645+02:00

J’ai assisté à la réunion d’information PASSI du mardi 10 septembre dernier. Et je n’étais pas le seul. Vu l’épaisseur du listing au point de contrôle, il devait bien y avoir 500 personnes invitées, pour une centaine effectivement présentes dans la salle.Personnages principauxPour cette réunion clé dans le paysage de la prestation de services en SSI, il faut admettre que l’ANSSI avait réellement effectué un travail amont de fourmi en recensant toutes les structures qui réalisent des audits de sécurité en France. SSII de toutes tailles, freelances, et même associations – Club PSCO, CESIN, OSSIR, CLUSIF, Club 27001 – à l’exception notable des FPTI (canal historique ou pas).Sur scène : Contre-amiral Dominique Riban (directeur adjoint de l’ANSSI)Yann Tourdot (ANSSI)Armelle Trotin (LSTI)Hervé Schauer (HSC)AMOSSYSL’absence de Sogeti/ESEC, troisième larron de la procédure expérimentale, a été remarquée. Y avait-il un message politique ?Hervé Schauer a été égal à lui-même, et nous a gratifié des quelques saillies drolatiques telles que « je ne sais pas combien ça a coûté car je n’ai jamais été très fort en comptabilité analytique » ou « vous n’avez pas besoin de formation pour présenter le PASSI mais on est prêt à vous en vendre quand même ».Enfin il faut rendre hommage au maitre de cérémonie - Yann Tourdot - qui a encaissé pendant presque 3 heures le feu roulant des questions de la part d’un public pas vraiment conquis (c’est un euphémisme) avec un calme olympien. Je cherche encore à découvrir le secret de cette incroyable résistance au troll : pratique de la méditation Asubha ou perfusion de Lexomil ?Acte 1 : le message est délivréLes hostilités démarrent à 14h, modulo les quelques minutes de retard de M. Schauer. Le contre-amiral Dominique Riban nous remémore par son bref exposé que l’ANSSI est la digne héritière de la DCSSI. On ne va pas parler audit de code Java ou recherche de XSS dans des applications PHP – non, nous sommes ici entre représentants de la « chaine de cyberdéfense » (le terme a été employé une bonne demi-douzaine de fois).Son allocution brève et précise délivre la clé du PASSI en quelques minutes seulement : l’ANSSI pourra se faire remplacer dans ses interventions par un PASSI de son choix, au TJM de 1000€/jour(indexé sur le point de la fonction publique), et ce pour une durée illimitée. Car malgré un effectif cible de 500 personnes à horizon 2015, l’ANSSI est débordée par la situation calamiteuse dans les administrations et les grandes entreprises françaises (sans toutefois oser employer le mot d’échec de la sécurité).J’aurais alors pu me lever et partir à la suite du contre-amiral, mais j’aurais peut-être eu l’impression d’avoir fait le déplacement pour rien (d’autant qu’il n’y avait ni café ni goodies). Je restais donc pour l’acte 2, durant lequel les détails d’implémentation allaient être âprement débattus.Acte 2 : la principale subtilitéMon objectif n’est pas de retranscrire ici deux heures de questions par ordre chronologique, mais plutôt par ordre de pertinence.L’un des points essentiels qui a été soulevé concerne le niveau de technicité recherché chez les auditeurs (tout le monde connaît la rigueur des entretiens d’embauche à l’ANSSI). L’objectif du PASSI est de labelliser des prestataires de confiance, non pas de trier sur le volet les meilleurs experts français. La différence est subtile ; sans vouloir faire de mauvais esprit je pense qu’elle conduira les usual suspects à être automatiquement labellisés indépendamment de leur capacité à délivrer une prestation de qualité.Acte 3 : le diable est[...]



PASSI cool

2013-09-09T08:00:03.751+02:00

Vous rêvez d’une carte de visite à rallonge – CISSP CEH MCSA CCNA – mais vous n’avez pas les moyens de cotiser à la fois à l’ISC2, à l’EC Council, chez Microsoft, et chez Cisco ? Rassurez-vous, grâce à l’ANSSI vous aurez bientôt la classe américaine. Après les certificateurs ARJEL, les laboratoires d’évaluation CSPN, les PSCE, les PSHE, le nouveau titre à la mode s’appelle PASSI (ce qui est – vous en conviendrez – beaucoup plus facile pour les jeux de mots). D’autres suivront, tels que les opérateurs certifiés de sonde ANSSI, les prestataires certifiés de réponse à incident, etc. mais il conviendra d’en parler en son temps.Il n’y a PASSI longtemps (à l’échelle administrative)Souvenez-vous, il y a deux ans : trois sociétés – Sogeti/ESEC, HSC et AMOSSYS – étaient retenues pour « beta-tester » la procédure expérimentale. Après moult péripéties, la phase de test est déclarée concluante, et la procédure de labellisation officiellement « bonne pour le service ».Je ne voudrais pas ennuyer le lecteur avec tous les réglages techniques qu’il est nécessaire d’apporter pour mettre au point une telle mécanique, mais je vous laisse vous délecter de cette anecdote : pour valider la certification, un inspecteur de l’ANSSI doit assister à une prestation en conditions « réelles » chez un client. On imagine les difficultés du pauvre prestataire qui essaie de vendre à son client que s’il est retenu, il faudra faire ménage à trois avec l’ANSSI. Une fois le client enfin convaincu, il reste un détail à régler : l’administration ne se déplace jamais en province car … elle n’a pas de processus pour établir des notes de frais !Un exercice de PASSIenceBref, la certification entre en service. Petit détail (mais qui a son importance) : après avoir gracieusement travaillé pendant plus d’un an pour l’administration, tous les prestataires de service retournent désormais à la case départ. Il n’existe aucunprestataire officiellement labellisé actuellement.La re-certification, une simple promenade de santé pour les vétérans du programme « beta » ? Pas vraiment, car chez la majorité d’entre eux, le turn-over a frappé : plus aucun consultant ayant participé à la phase expérimentale n’émarge encore aux effectifs …On touche ici l’une des limites (prévisibles) de l’exercice : comment délivrer un label à une entreprise dans sa globalité, alors que ce sont des personnes qui sont auditées ? N’est-ce pas un manque de clairvoyance sur le consultant en SSII, dont l'objectif principal est de s'en évader ? Et pour une fois, le système PCI-DSS – avec sa liste de consultants accrédités intuitu personae – ne serait-il pas plus cohérent ?PASSI rentableAutre détail qui a son importance : depuis que le processus de labellisation est « en production », celui-ci est entièrement délégué au secteur privé. L’organisme certificateur est évidemment la société LSTI – qui dispose d’un monopole de fait sur l’activité de certification en France dans de nombreux domaines.Et donc, la certification est payante. Voire pas donnée, compte-tenu des coûts annuels liés au maintien de la certification. Vous n’avez pas voulu cotiser à l’ISC2, vous participerez au redressement productif.Pour les petites sociétés, l’équation n’est pas évidente : entre le coût de préparation, le coût de passage, et les coûts récurrents liés à la certification, il faut vraiment aimer les appels d’offres publics pour rentrer dans ses frais. Et savoir fidéliser ses consultants certifiés, tout en leur faisant quand même faire un peu d’EBIOS[...]



Vers une certification … utile

2013-07-29T08:00:00.182+02:00

Contexte Avec les nouvelles CSPN très symboliques délivrées ces derniers mois, il apparaît clairement que la certification sécurité de produits logiciels est une activité politico-marketing, dont l'efficacité réelle a largement été battue en brèche lors de la conférence SSTIC 2013. Les questions fondamentales qui se posent alors sont les suivantes : est-il possible d'améliorer la sécurité des logiciels commerciaux ? D'aider à la sélection des meilleurs, lorsque ni Darwin, ni la main invisible du marché n'y arrivent ? Et si oui, par quel miracle ? La sûreté logicielle est un domaine curieux. La majorité des problèmes avaient été résolus il y a 30 ans. La quête de la perfection a produit les langages formels, la preuve de programme, ainsi que des certifications fiables - comme la DO-178 en aéronautique. L'ANSSI semble d'ailleurs redécouvrir aujourd'hui que les systèmes critiques sont programmés en ADA. L'industrie informatique était alors à son apogée. On entrait dans les salles machines en blouse blanche, et les informaticiens étaient promis à de brillantes carrières dans leurs entreprises respectives. Bref, le paradis originel. Puis tout a basculé avec l'informatique personnelle. En quelques années, tout le monde est devenu informaticien. Les systèmes MS-DOS, puis Windows 3.1, sont devenus des références pour le grand public, habituant les utilisateurs à tolérer les bogues et les redémarrages intempestifs. La science informatique est devenue une commodité dont la valeur ajoutée a été remise en cause, jusqu'à être complètement niée, ouvrant la voie à l'externalisation puis à la "cloudification", voire au BYOD, qui sont les négations suprêmes de toute forme d'informatique interne. Ce billet ne va donc pas essayer de résoudre un problème qui n'existait pas avant d'avoir été inventé. Il va juste pointer les défauts du processus de certification actuel, en proposant (une fois n'est pas coutume) des solutions concrètes. Point de vue de l'éditeur Pour l'éditeur, l'équation est simple : une CSPN coûte environ 30k€ et permet de mettre le logo "ANSSI" sur toutes ses plaquettes commerciales. Même si le produit n'a aucune qualité, deux ou trois itérations sur la cible de certification permettront d'obtenir le précieux label sur un périmètre tellement contraint que l'échec est impossible. Rappelons que Windows NT4 est certifié "C2" (soit EAL4) sur un système qui n'a pas de lecteur de disquette, de lecteur de CD-ROM, ni de carte réseau. Au pire le produit est une bouse innommable qui échoue même à remplir les fonctions de sécurité élémentaires pour lesquelles il a été conçu. Il n'obtiendra donc (probablement) pas la certification, mais personne n'en saura jamais rien. Point de vue de l'auditeur Pour l'auditeur, l'équation est plus compliquée, car elle fait intervenir son "éthique" (une notion si difficile à définir) … La première réaction d'un auditeur qui découvre une faille peut être de la garder sous le coude. Car cela lui permettra de "réussir" tous ses pentests futurs dans le même environnement. Et après tout, No More Free Bugs. Supposons maintenant que l'auditeur décide de remonter les failles de sécurité. C'est une obligation pour les sociétés certifiées PASSI (certification qui va être un échec, mais ceci est une autre histoire ). La communication avec le vendeur est la suivante : "Votre produit souffre d'un Cross-Site Scripting (XSS). Voici une preuve de concept en Python permettant de reproduire la faille." Et là, tout est possible … Réponse A : "C'est quoi Python ?" Décision : vendez la faille au plus offrant. Vous a[...]



Les lasagnes de M. Pailloux

2013-05-28T10:23:10.844+02:00

Note: ceci est la version originale de la tribune que j'ai écrite pour 01net, ce qui explique sa brièveté. Plusieurs personnes ont remarqué que l'article mis en ligne avait été édité et ne correspondait pas à mon style habituel. Félicitations aux fidèles lecteurs ! ;)Les lasagnes de M. Pailloux"Patrick Pailloux a regretté que le secteur de la sécurité informatique ne se soit pas créé ses propres labels comme l'alimentaire avait su le faire."Cette phrase ô combien prémonitoire, on a pu l'entendre lors d'un évènement sécurité qui s'est joué à guichet fermé début février à Paris. Prémonitoire, car à l'époque tout le monde vantait les mérites de la traçabilité mise en place pour parer au scandale précédent: celui de la "vache folle". On ne savait pas encore que 13% des produits alimentaires testés en France contiendraient de la viande frauduleuse …Dans quel contexte cette phrase a-t-elle été prononcée ? Il s'agissait de savoir si l'ANSSI devait labelliser toujours plus afin de réguler le marché de la sécurité informatique en France (aussi bien celui des logiciels de sécurité que celui des prestations intellectuelles).Les "labels" délivrés par l'Etat dans le domaine de la sécurité informatique sont déjà multiples: Critères Communs (CC), Certification Sécurité de Premier Niveau (CSPN), Prestataire d'Audit des Systèmes de Sécurité de l'Information (PASSI), sans compter les labels sectoriels comme ceux de l'ARJEL.Et le moins que l'on puisse dire, c'est que l'expérience n'est pas concluante. Malgré leurs 30 ans d'expérience, les critères communs n'ont jamais réussi à produire de la confiance au-delà des cartes à puce et de quelques implémentations cryptographiques. Certes Windows NT4 est certifié au niveau EAL4+, mais les conditions de validité d'une telle certification sont assez difficiles à obtenir en pratique (à savoir: pas de réseau ni de lecteur de disquette) …La CSPN, plus "agile" et plus opérationnelle, devait rendre la certification accessible à tous. Las ! Après 5 années d'existence, force est de constater qu'on trouve très peu de produits "utiles" dans la liste à la Prévert publiée par l'ANSSI. Les produits les plus certifiés restent … les outils de signature et les coffres forts logiciels, pour lesquels la demande est soutenue artificiellement par le RGS et l'ARJEL.Et là encore, le périmètre de certification a son importance. Que penser d'une carte à puce logicielle dont l'hypothèse de mise en œuvre est l'absence de tout code malveillant sur le poste de travail ? D'un logiciel de sécurité qui présente une faille exploitable à distance sans authentification dans un composant impossible à désactiver, mais "hors périmètre" de certification ? Enfin, pourquoi les logiciels développés par l'administration (tels que SecDroid ou TrustedBird) ne font pas eux-mêmes l'objet d'une certification en bonne et due forme ?Il est vrai que selon le site de l'ANSSI, 53 produits étaient entrés en évaluation au 1er septembre 2011. Depuis, seules 14 certifications ont été délivrées. On aimerait bien savoir où sont passés les autres …On pourrait également aborder le sujet de la certification PCI/DSS ou celle des centrales nucléaires … mais la vérité, c'est qu'aucun label dans lequel l'audité est partie prenante – que ce soit dans l'alimentaire ou dans l'informatique – ne peut délivrer de résultat objectif. Les seuls labels qui ont de la valeur sont ceux qu'on ne peut acheter.Un exemple récent ? L'ARJEL vient de retirer son agrément à un site de jeux en ligne. Car les labels décernés par l'ARJEL ne sont pas là pour "réguler" le marché, mais bien pour s'assurer que l'argent des [...]



L’échec du e-commerce français

2012-10-22T08:00:07.633+02:00

J'ai envie d'un Google Galaxy Nexus. C'est quand même pratique pour tester Android 4.1 ou webOS 1.0. Pas de problème, puisque la page officielle de Google France me donne la liste des revendeurs: des opérateurs, mais également des sites connus comme RueDuCommerce. J'opte pour ce dernier. Je paie en ligne sur leur site (mais que font-ils de mon numéro de carte bleue ? La même chose que la FNAC ?). Il n'y a que deux options de livraisons: deux jours après pour 8 euros, ou le lendemain pour 9 euros. Soit.Le lendemain, pas de livraison. Je consulte mon compte client, et là, c'est le drame:Afin de valider votre commande et vous permettre de recevoir votre colis au plus vite, nous avons besoin de pièces justificatives.* QUELLES PIECES JUSTIFICATIVES FAUT-IL ENVOYER ?Nous vous demandons de nous adresser, pour valider votre commande :- une copie de votre pièce d'identité (carte nationale d'identité, passeport ou permis de conduire)- une copie recto verso de la carte bancaire ayant servi au règlement de votre commande en prenant soin de ne laisser apparaitre que les 4 premiers et 2 derniers chiffres du numéro sur l'avant et en masquant sur l'arrière de la carte : - le cryptogramme (ce qui garantit la sécurité totale de votre envoi et empêche toute utilisation de la carte)- le numéro complet de la carte bancaire qui peut apparaitre en creux.* POURQUOI CES PIECES JUSTIFICATIVES ?Pour vous protéger ! Afin de vous garantir une parfaite sécurité de paiement et vous défendre contre toute tentative d'utilisation frauduleuse de votre moyen de paiement, nous devons nous assurer que la personne débitée est bien celle qui a commandé sur notre site.* COMMENT ADRESSER CES PIECES JUSTIFICATIVES ?Vous pouvez nous adresser les documents en indiquant impérativement votre numéro de commande :> Par e-mail : verifications2.rdc@sc.rueducommerce.com (photographie ou scan lisible)> Par courrier : Mais attention au délai : les produits en stock vous sont réservés pendant 4 jours seulement !RueDuCommerce - Service vérification 44-50 avenue du Capitaine Glarner93585 Saint Ouen Cedex> Par fax (non recommandé - et si utilisé, veillez à paramétrer un mode de scan ultra-fin) : 01 72 93 14 01SRSLY. Envoyer mon numéro de carte bleue et mon CVV par email (en clair) ou par fax ? En 2012 ? C'est ça le e-commerce ? Est-ce que ces gens ont entendu parler de PCI/DSS, de 3D Secure, d'assurance contre la fraude bancaire ?Notez le: "pour vous protéger". Cela protège éventuellement le vendeur (et encore cela reste à démontrer – car je ne vois pas en quoi cela protège contre quelqu'un qui aurait volé physiquement mon portefeuille), mais en ce qui me concerne, j'ai plutôt l'impression que ça contribue à diminuer le niveau de protection de ma carte bancaire …Effectivement, je suis un peu couillon: j'aurais pu me renseigner, car RueDuCommerce pratique cette politique depuis bien longtemps semble-t-il. Du coup j'ai rapidement fait le tour des critiques concernant les autres revendeurs français proposés par Google (comme Expansys): elles sont toutes mauvaises.Bref, je vais sur Amazon Marketplace, je trouve un revendeur allemand totalement inconnu qui dispose de 92% d'évaluations positives, j'achète en un clic, j'ai une protection contre la fraude, et je suis livré … un jour plus tôt que prévu !Je ne sais pas où on est du redressement productif et de la création de valeur dans le numérique, mais si le e-commerce français a pour seul modèle Père-Noël.fr, pas étonnant que Amazon, Apple iTunes et autre Google Play récupèrent la plus grosse part du gâteau …PS. Le Galaxy Nexus est un excellent téléphone par ailleurs, et l'un des rares à supporter le [...]



L'obligation morale de dire: WAT?

2012-10-04T13:15:21.483+02:00

Je ne suis pas aux Assises de la Sécurité. Je travaille (dur, et tard). Mais il faut bien dire que le discours d'ouverture de Patrick Pailloux (directeur de l'ANSSI) sur le thème "le courage de dire non" était quand même très attendu … et déjà très largement commenté ici ou là.Commençons par les détails (je vous réserve le meilleur pour la fin).Les sanctionsVoilà un point sur lequel je suis entièrement d'accord: une règle n'est suivie d'effet que s'il existe des sanctions … appliquées (donc édifiantes). N'importe quel parent aura appris "à la dure" cette leçon de terrain.Le problème ? Après avoir écrit des politiques de sécurité (mais aussi des chartes d'accès Internet et autres documents opposables) en tant que consultant pendant des années, je n'en ai jamais vu aucune appliquée (et encore moins sanctionnée). Le document ne sert que de parapluie juridique. D'ailleurs personne (en dehors de la sécurité) ne l'a jamais lu.Quelle surprise lorsque je suis amené à travailler avec des partenaires allemands ou anglo-saxons du domaine de la défense, et qu'ils me demandent effectivement de poser une bandelette sur l'objectif de mon téléphone portable (les photographies étant interdites sur à peu près n'importe quel site sensible dans le monde) …L'autre problème du bâton, c'est qu'il ne fonctionne bien qu'avec la carotte. Or la sécurité "défensive" est actuellement perçue comme essentiellement vexatoire: le RSSI "saute" s'il y a un problème, l'utilisateur doit changer son mot de passe tous les X jours (ce qui est totalement inutile dans les faits), etc. Elle ne procure aucune récompense. A contrario les attaquants n'ont que la pure satisfaction du succès, et ne sont pour ainsi dire jamais punis (puisque jamais attrapés). Dans ces conditions, on comprend qu'ils mettent plus d'ardeur à nous attaquer que nous à nous défendre …La maturitéJe vous livre cette citation telle quelle: "Pendant longtemps j'ai dit qu'il ne doit pas y avoir de sanction dans le domaine de la sécurité car le niveau de maturité est tel que cela ne sert à rien. Je pense qu'on est en train d'élever ce niveau et cela commence à se savoir qu'il faut faire de la sécurité informatique !".Voilà enfin une bonne nouvelle ! Les autorités de certification ne font plus n'importe quoi, les prestataires labellisés ont été notifiés, l'algorithme SHA-3 a été sélectionné, bref: que des motifs de satisfaction pour le RSSI qui va enfin pouvoir se consacrer à des tâches plus nobles que de convaincre ses utilisateurs de ne pas tout mettre dans Dropbox, et sa direction générale de ne pas faire suivre leurs emails professionnels sur une adresse @icloud.com !Les analogiesUn piège classique pourtant: celui de l'analogie. Mais qui a relu ce discours ?"Quand vous sortez de chez vous, vous fermez les portes à clé": certes, mais vous changez les serrures tous les 30 jours ? Vous achetez des serrures complexes, en prenant soin de mélanger serrure à goupille, serrure à pompe, et serrure à gorge ? Vous prenez soin de ne pas racheter la même serrure que les 24 modèles précédents quand vous en changez ? Et surtout, à quoi cela sert-il, puisqu'un expert met quelques minutes pour crocheter n'importe quelle serrure ?La serrurerie est à l'image des mots de passe: un échec. Les gens ferment essentiellement leur porte parce que l'assurance leur impose une serrure certifiée A2P avec au moins 3 points d'ancrage. Mais dès qu'on s'éloigne des grandes villes, les maisons restent ouvertes d'une manière ou d'une autre - le chien de garde étant souvent beaucoup plus efficace qu'une serrure sur un périmètre indéfendable. C'est le [...]



Puisqu’il faut bien en parler ...

2012-07-23T08:00:05.809+02:00

Malgré les vacances, le microcosme de la sécurité informatique ne bruisse que de la récente publication du « Rapport Bockel » sobrement intitulé « La cyberdéfense : un enjeu mondial, une priorité nationale » (le titre « La sécurité informatique : un échec global » ayant probablement été jugé moins sexy ou non libre de droits). Je ne vais pas parler de ce rapport, pour la bonne raison qu’il fait 158 pages et que je ne l’ai pas lu. Fort heureusement, une synthèse officielle de 4 pages est disponible en ligne, ainsi que de nombreuses analyses tierces - dont celles de Sysdream, SecurityVibes, HackersRepublic, Reflets.info, Le Mag IT, 01Net, et tous les médias traditionnels … « Analyse » étant un bien grand mot, la plupart se contentant de traduire la synthèse officielle dans une forme plus journalistique. Rassurez-vous, j’écris trop peu souvent pour perdre mon temps à vous servir la soupe officielle. Car pour moi, ce rapport est une nième déclaration d’intention qui fera certainement bouger les lignes politiques, mais n’aura aucun effet sur le niveau d’insécurité actuel – même si toutes ses recommandations étaient mises en œuvre promptement. De la représentativité du panel choisi Sur la forme, on peut constater en Annexe que l’essentiel des personnes auditionnées sont des fonctionnaires français ou des militaires américains (et assimilés, comme les militaires anglais, et les penseurs de l’OTAN). On peut déjà s’attendre à une vision très américaine du monde, du type : « La cyberguerre est une chose trop sérieuse pour être confiée à des poilus (du menton ou du caillou) ». Certes ça va parler failles de sécurité, botnets, Anonymous, et autres fléaux de l’Internet moderne – mais après tout qui de mieux placé qu’un militaire pour cela ? Quelques entreprises françaises ont néanmoins été auditionnées : AREVA, Cassidian, CEIS, SOGETI (par la voix de son PDG), SysDream et Thalès. Un panel pour le moins … éclectique. Sans compter les prestataires mentionnés dans le corps du document : « On trouve également en France un tissu de PME-PMI innovantes, à l’image de Netasq et d’Arkoon en matière de logiciels et produits de sécurité ou de Sysdream, d’Atheos et de DevoTeam en matière de services. » Comme me le glissait à l’oreille un concurrent qui préfère rester anonyme (ce sont toujours les mieux informés), on peut se demander en quoi ces entreprises sont plus innovantes que les dizaines d’autres prestataires existants sur le marché français. A part dans le choix de la Côte d’Azur pour organiser des séminaires clients, peut-être ? Donc, après avoir interviewé l’ANSSI, le Ministère de la Défense, et des prestataires au service des précédents, la conclusion du rapport est que pour augmenter le niveau de sécurité … il faut augmenter les ressources de l’ANSSI et celles de la « Lutte Informatique Offensive ». Brillant ! Dommage que personne n’ait pensé à interviewer n’importe quel PDG d’une entreprise du CAC40 ou d’un OIV (dont il est tant question dans ce rapport), qui achètent des iPad à la cantonade et « cloudifient » leur informatique à coup de Google Apps. Autant dire qu’ils n’auraient pas tout à fait la même vision de l’avenir de l’informatique, et encore moins de sa sécurité. Car aujourd’hui en entreprise, le DSI comme le RSSI sont priés d’arrêter de jouer les Cassandres, mais plutôt d’introduire plus « d’innovation » (comprendre : de gadgets technologiques et de services « grand public ») au sein d’une entreprise qui ne fonctionne plus qu’avec [...]



Que vous réserve SSTIC cette année ?

2012-03-06T22:45:00.725+01:00

Comme prévu, le programme de la conférence SSTIC 2012 a été publié aujourd’hui (hors conférences invitées). Cet événement n’est pas guetté avec autant de fébrilité que l’ouverture des inscriptions, mais permet néanmoins de prendre le pouls de la recherche française en sécurité informatique.Et comme disent souvent les vieux (dont je crains de faire partie) : « c’était mieux avant » …Car s’il a pu exister une vieille rivalité entre les quelques laboratoires de recherche privés en SSI (tels que Sogeti/ESEC, Orange R&D, LEXSI et EADS Innovation Works), c’est désormais bien fini.Si vous avez aimé DNS-SEC par l’ANSSI en 2011, alors vous adorerez ce cru 2012, à base de :BGP-SEC par l’ANSSI.TLS-SEC par l’ANSSI.Microsoft RDP-SEC par l’ANSSI.Active Directory-SEC par l’ANSSI.Windows-SEC par l’ANSSI ? Ah non, par le gagnant du challenge SEC&SI de l’ANSSI (par ailleurs célèbre depuis SSTIC 2009).Protocol-SEC par … les auteurs de Java-SEC pour l’ANSSI.Network-SEC, devinez par qui ? C’était un piège :) Ca n’est pas Eric qui est parti à l’ANSSI, mais Pierre (son ex-associé chez EdenWall).Ajoutez 3 personnes de l’ANSSI au Comité d’Organisation, 4 au Comité de Programme. Mâtinez le tout de quelques universitaires qui « tournent » dans le circuit depuis longtemps, et vous obtenez un programme parfaitement équilibré … ou pas.On pourrait se féliciter d’une telle efficacité de l’Agence à sécuriser l’Internet français … et à le faire savoir.On pourrait aussi déplorer qu’après avoir asséché les compétences disponibles sur le marché, concurrencé de manière déloyale les prestataires de services (au moins dans les domaines de l’audit, de la formation continue et de la réponse aux incidents), et réglementé le secteur de la prestation de services au risque de voir les petits cabinets disparaître, l’Agence jette désormais son dévolu sur les conférences de sécurité.Est-ce un bien ou un mal ? Pour avoir assisté à toutes les éditions de SSTIC depuis la première, je crains que l’esprit « hacker » (désolé pour ce mot vulgaire) des origines, déjà bien amoché par l’obligation d’envoyer un article LaTeX de 20+ pages, ne succombe à la pesanteur conjuguée de l’administration et de la recherche universitaire. On s’éloigne d’un CCC à la française, où l’on puisse parler librement de protocole GSM, de sécurité des cartes bancaires, ou du site « impots.gouv.fr ». Fini la révérence du groupe Rstack sur scène en guise de conférence de clôture (pour ceux qui s’en souviennent). On se dirige plutôt vers un monde où OCaml nous sauvera des XSS (ou pas) grâce à des anciens de l’Agence. Voire à une migration de Rennes vers le Mont Valérien - après tout les RMLL ont bien quitté Bordeaux pour aller à Strasbourg (et maintenant Genève).Au fait !Si vous m’avez lu jusque là, vous commencez à vous douter qu’une telle diatribe n’est pas le fruit du hasard. Levons le suspens : ma soumission à SSTIC a effectivement été rejetée :)Vous me direz : « c’est le jeu », et je vous l’accorde. D’ailleurs j’avais déjà été refusé deux fois à SSTIC : l’année où les *Box étaient accessibles en Telnet côté Internet, et l’année où nous avions inventé le forensics du fichier d’hibernation avec Matthieu Suiche (ça n’est pas moi qui le dit, mais Harlan Carvey).Mais cette fois-ci c’est différent. Comment ne pas penser que « quelquechose » s’est cassé quand on lit une revue telle que celle-là (authentique) :« Et quid de la légalité d'une conf[...]



Les jeux sont faits

2011-12-29T14:00:04.357+01:00

Depuis le 16 décembre 2011 est en ligne la version 1.0 du Référentiel d’exigences pour la labellisation des prestataires d’audit SSI - qui font partie des PSCO (Prestataires de Services de COnfiance, une notion introduite par le RGS). D’ailleurs l’article de l’ANSSI précise que le document actuel sera intégré à la prochaine version du RGS. Ce document - qui avait déjà fait parler de lui - n’est pas applicable en l’état : on peut lire page 7 que: « La procédure d’évaluation de la conformité des prestataires d’audit aux règles du Référentiel qui leur sont applicables fera l’objet de documents complémentaires ». Néanmoins le document existant mérite d’être étudié, car il est appelé à devenir une référence dans les futurs appels d’offres de l’administration – du moins si un nombre suffisant d’acteurs jouent le jeu, puisqu’on peut lire sur le site de l’ANSSI que : « Les autorités administratives peuvent utiliser ce référentiel, en totalité ou en partie, dans les cahiers[1] des charges de leurs appels d’offres de prestations d’audit. Une fois le nombre de qualification de prestataire d’audit suffisant, elles pourront également requérir que l’audit soit réalisé par un prestataire qualifié ». Que le lecteur se rassure : je ne vais pas me lancer dans une analyse différentielle ligne à ligne des versions 0.9 et 1.0 du même document, mais plutôt jeter quelques bouteilles dans l’océan qui me sépare de l’administration. Premier point qui me fait chaud au cœur : la page 10. Oui, vous ne rêvez pas, le terme « ingénierie inverse » fait partie des compétences nécessaires au pentester. C’est une révolution de palais – ou une facétie de l’éditeur, car ce terme n’apparaît plus en page 21 (tous les audits applicatifs nécessitent d’avoir accès au code source) ni en Annexe B (dans la liste des compétences techniques). Deuxième point notable : il n’est plus nécessaire de savoir tout faire. Un prestataire peut être certifié sur tout ou partie des périmètres suivants : •    Audit d’architecture •    Audit de configuration •    Audit de code source •    Test d’intrusion •    Audit organisationnel Il est précisé toutefois page 7 qu’un prestataire ne peut pas être certifié uniquement sur le test d’intrusion ou l’audit organisationnel : « une telle activité étant jugée insuffisante si elle est menée seule ». Voilà qui risque d’éliminer un certain nombre de micro-entreprises … a contrario, j’en connais d’autres qui doivent jubiler devant une définition aussi proche de leur activité – il ne manque qu’une exigence sur les compétences juridiques et/ou CNIL pour éliminer le peu de concurrents encore en lice. Le document se prononce également sur le délicat sujet du social engineering : on peut lire page 14 que les tests doivent être conduits « dans le respect des personnels ». Ce sujet épineux avait déjà beaucoup agité la Fédération des Professionnels du Test d’Intrusion – lorsqu’elle existait. Enfin le document donne en page 12 la réponse à la sempiternelle question : « qu’est-ce qu’un ancien hacker » ? Dormez tranquilles : « Le prestataire d’audit peut également demander au candidat une copie du bulletin n° 3 de son casier judiciaire ». Le principe de bon sens « pas vu – pas pris » continue donc de s’appliquer. Désolé pour les « hackers repentis » … Il faut dire que les prestataires de [...]



Yahoo! (ou Android ?) #fail

2011-06-09T11:13:48.947+02:00

Un micro-post pour faire suite à mon intervention au SSTIC (et dissiper les malentendus lus sur Twitter).

L'application "officielle" Yahoo! Mail pour Android communique périodiquement en HTTP avec "controller.php" ... et fait fuir le cookie de session au passage.

A ne jamais utiliser sur un WiFi non protégé, donc.




Challenge #fail

2011-06-03T08:00:08.773+02:00

Je ne parle pas du Challenge SSTIC évidemment, qui était encore une fois de très bonne facture (félicitations aux gagnants … et aux organisateurs). Je parle plutôt du Challenge iAWACS/RSSIL. Enfin le challenge officiel, pas celui qui consiste à pirater des sites Internet en live et pouvoir rentrer chez soi tranquillement. Le principe de ce challenge est simple: deux fichiers chiffrés avec un algorithme “maison” sont publiés. La première personne capable de produire les fichiers source gagne 3000€. Bien entendu, afin de respecter le principe de Kerckhoffs, l’algorithme utilisé a également été publié. Le challenge consiste donc à cryptanalyser cet algorithme. Ou plutôt devrait consister. En effet, une lecture attentive des sources permet d’identifier la séquence de code suivante: PUNCT_CONC_CODE * generateCode() { (...)   now = time(NULL);   while(now == (time_t)(-1)) now = time(NULL);   srand(now); (...)   Et dans le programme de test: aKey->INIT1 = (unsigned long int)((float)(0xFFFFFFFFL) * alea()); aKey->INIT2 = (unsigned long int)((float)(0xFFFFFFFFL) * alea()); aKey->INIT3 = (unsigned long int)((float)(0xFFFFFFFFL) * alea()); aKey->INIT4 = (unsigned long int)((float)(0xFFFFFFFFL) * alea());   Sachant que la définition de la macro alea() est plutôt simple: /* alea(): a random float in [0, 1]      */ #define alea() (rand()/(RAND_MAX + 1.0))   Le lecteur averti aura remarqué que la simple connaissance du time() – en secondes - à l’instant de la génération du fichier permet de casser entièrement le challenge. Même en visant large - disons 1 an – la complexité calculatoire reste donc inférieure à 225. Je ne cours pas après l’argent, mais 3000€ en 10 minutes reste une affaire rentable :) Toutefois les deux fichiers fournis présentent un entête qui ne semble pas provenir de la librairie fournie par l’auteur. $ xxd -l 64 challenge_lipperseus1 0000000: 4631 3232 3938 4630 3030 0067 51b3 df01  F12298F000.gQ... 0000010: b663 4b33 4565 0637 0c1f 7912 4e39 64e5  .cK3Ee.7..y.N9d. 0000020: 7f71 3678 5438 2276 3c34 4726 13b8 6b37  .q6xT8"v<4G&..k7 0000030: 3a4a d9c5 3f9c 6d43 ccc6 37f8 59ec 33df  :J..?.mC..7.Y.3. $ xxd -l 64 challenge_lipperseus2 0000000: 4638 3230 3946 3030 3030 ad94 31b0 1ec1  F8209F0000..1... 0000010: 82c1 4de0 9c97 2797 52f1 458a 5b40 2fe7  ..M...'.R.E.[@/. 0000020: 09b8 fe85 2ea7 2f7a 186b 277f 65a4 5275  ....../z.k'.e.Ru 0000030: 6cfb 845d c6a7 32b3 9141 db25 3526 456b  l..]..2..A.%5&Ek D’ailleurs, la librairie disponible en ligne ne compile même pas à cause d’une typo. Il est donc difficile de croire que les fichiers aient été “produit directement à partir de ce code source” ;) Je m’enquière donc du programme original (principe de Kerckhoffs, toujours). Et visiblement je ne suis pas le seul à avoir remarqué le problème. L’affaire aurait pu en rester là, mais l’auteur a cru bon de répondre. Et là, à défaut d’un gros chèque, je tenais un solide blogpost ;) Je vous laisse lire la réponse en question, car chaque ligne est délectable. Vraiment. Tenter de la résumer en quelques lignes serait risquer d’en perdre le substantifique fiel. Sans parler du blogpost d’origine qui a lui aussi été édité (oh la vilaine pratique). Dans tous les cas, en ce qui me concerne, je vais continuer à pen[...]



Le diable est dans les détails

2011-05-16T11:04:24.628+02:00

Ainsi donc l'activité d'audit sécurité va être réglementée en France. Le projet est encore en phase expérimentale, mais le processus étant enclenché, il est inéluctable (modulo le temps de convergence des autorités concernées). Il faut dire que l'ARJEL avait déjà ouvert cette voie[1] en fournissant une liste d'organismes certificateurs.C'est une idée qui circule depuis quelques temps, sans que j'en aie bien compris les avantages. Car si tout un chacun peut effectivement constater que le marché est inondé par des charlatans ou des sociétés unipersonnelles[2], l'apport effectif d'une réglementation reste à prouver. En théorie "la main invisible du marché" est censée faire son travail. Et elle le fait plutôt bien: la plus grosse partie de l'activité fonctionne par bouche à oreille. Quant aux "tests d'intrusion qui n'intrusent pas", ils correspondent aussi à une demande de certains clients: les mauvais ont donc leur place dans l'écosystème, c'est pour cela qu'ils y survivent.Maintenant regardons de plus près l'avant-projet produit par l'ANSSI (version 0.9).Chapitres 3 et 4: de la mesure des compétences techniquesCe qui frappe en premier lieu, c'est le très haut niveau d'exigence requis par ce document. J'ai immédiatement pensé à la VAE ESSI, qui nécessite des compétences aussi diverses que la cryptographie, l'intelligence économique, la gestion d'une équipe et d'un budget, et un anglais parfait. Au passage, si quelqu'un a des chiffres sur le nombre de VAE ESSI délivrées, merci de les poster en commentaire …Dans l'avant-projet, on peut lire que "le prestataire d'audit doit s'assurer que les compétences [techniques | organisationnelles], théoriques et pratiques, de l'ensemble des auditeurs qu'il emploie couvre les domaines suivants […]". S'en suit une longue liste à la Prévert, allant des systèmes & réseaux, du développement d'outils intrusifs[3], à la maitrise de la norme ISO 27001, de la méthode EBIOS et du RGS, entre autres. Cette liste est détaillée dans les grandes largeurs en annexe A.Puisque nous sommes dans le chapitre 3, cette exigence s'applique a priori à la société prestataire et pas à chaque auditeur individuellement. Mais la plupart des prestataires de taille moyenne (disons, moins de 20 personnes) - et il en existe beaucoup dans le secteur - sont quasiment assurés d'avoir un "trou dans la raquette" … Quant aux autres, il restera très difficile de valider que toutes les compétences soient disponibles, persistantes (dans un contexte de turn-over important), et utilisées si la mission le requière.Dans le chapitre 4 - qui concerne les auditeurs eux-mêmes - il est recommandé que les auditeurs, disposent d'un bac+5 reconnu d'état, justifient en sus de 2 ans d'expérience en informatique "pure", 1 an d'expérience en sécurité, et 1 an d'expérience en audit. Autant dire qu'on n'est pas loin du mouton à 5 pattes, surtout avec les difficultés de recrutement actuelles (et futures, à en juger par la production du système éducatif dans le domaine).De mon expérience, la mesure objective des compétences techniques est un exercice très difficile … et inutile.Difficile, car à moins d'enfermer le candidat dans une pièce pendant des heures (sans accès Internet) pour le faire plancher sur des travaux pratiques, il n'est possible d'estimer "au jugé" qu'une infime partie des compétences annoncées sur le CV (dont la liste dépasse souvent les 50 entrées).Comme l'ANSSI, nous disposons d'un questionnaire te[...]



Une semaine avec l'iPad

2011-01-31T08:00:12.047+01:00

Il se trouve que j'ai récupéré par hasard un iPad, dans des circonstances qui ne peuvent s'expliciter qu'autour d'une bonne bière. N'ayant aucune attente particulière par rapport à cet objet - qui commence à fasciner et inquiéter les entreprises - je vais donc pouvoir en faire un compte-rendu dépassionné et objectif.Pour commencer, l'engin est assez élégant, quoique pesant. On reconnait la qualité du design Apple, y compris en ce qui concerne l'emballage.La prise en main est bonne - il y a peu de chances de le laisser choir par inadvertance.Ce qui ne marche pasA l'usage, voici plusieurs lacunes qui apparaissent assez rapidement:Tout d'abord, ça n'est pas l'objet ubiquiteux qu'on nous promet. J'ai un toujours un téléphone dans la poche, mais emporter son iPad demande une certaine planification (y a-t-il un vestiaire à destination, etc.). Et le sortir dans le métro pour lire son journal favori relève encore de la science-fiction.C'est très cher à l'usage. Autant l'iPhone nous avait habitués à des applications gratuites (en version bridée, ou financée par la publicité), autant les applications iPad se destinent immédiatement à un public de gens "qui ont les moyens".Même les applications gratuites font un usage intensif du "in app purchase". Laisser ses enfants jouer avec l'iPad peut rapidement se transformer en drame. Le jeu "village des schtroumpfs" en est la caricature: tous les éléments du jeu sont payants. Si les enfants aiment la salsepareille, papa va devoir sortir l'oseille …L'absence de multifenêtrage fait cruellement défaut quand on vient de la bureautique traditionnelle. Impossible de copier/coller rapidement un morceau de texte d'une application dans une autre: il faut suspendre la première application, ouvrir la deuxième, puis revenir à la première …La communication avec le monde extérieur se limite au navigateur Web (impossible de brancher une clé USB par exemple). Du coup la suite d'applications Google devient rapidement indispensable pour entrer et sortir de l'engin (prendre des notes, sauvegarder des signets, etc.)Impossible d'avoir confiance dans les applications disponibles sur l'App Store. Il existe bien des clients RDP et SSH gratuits par exemple, mais il faut réaliser un sérieux background check sur l'éditeur avant de saisir son mot de passe root dans une telle application.Mon efficacité au clavier virtuel reste inférieure à celle d'un clavier réel, en particulier à cause de la séparation entre lettres, chiffres et signes de ponctuation dans trois claviers distincts. Autant dire que taper des lignes de commandes shell avec un clavier virtuel relève de l'épreuve de nerfs. Les gens qui utilisent des mots de passe robustes prennent rapidement l'habitude de les mémoriser dans les applications ...Il est impossible d'imprimer (par exemple un plan Mappy).Maintenant il est clair que cet objet remplit parfaitement son rôle dans plusieurs domaines.Ce qui marcheSa supériorité sur un PC (et sa qualité principale à mon avis) c'est que … ça marche ! Grâce à la maitrise complète du matériel et du système d'exploitation par Apple, et au cloisonnement des applications tierces, plus besoin de se préoccuper d'une incompatibilité entre un antivirus et une protection logicielle par exemple …Sans parler des problèmes de drivers insurmontables sur PC (surtout depuis la cohabitation entre drivers Windows XP, drivers Windows Seven 32 bits, et drivers Windows Seven 64 bits - lorsqu'ils existent[...]



CyberWar AfterMath

2010-12-13T08:00:03.340+01:00

J'ai reçu un abondant courrier des lecteurs (ou plutôt un téléphone arabe des lecteurs devrais-je dire) autour de mon dernier billet, se résumant en gros à un déluge de critiques fondées sur ma prétendue illégitimité dans le domaine (pour simplifier).Il est vrai que je n'ai pas eu l'occasion de présenter dans des conférences spécialisées, ou de participer à des "cyber-exercices" (même si je vais me permettre de bloguer là-dessus prochainement).Mais puisque la première cyberguerre mondiale n'a pas encore eu lieu, il me semblait pourtant que mon opinion sur le sujet était tout aussi recevable que celle de n'importe qui - tout le monde en est réduit à des spéculations dans le domaine.J'oserais même penser qu'en tant que professionnel de l'informatique, mon opinion est plus qualifiée. Car si tout le monde peut intuiter la dangerosité d'une grenade ou d'une baïonnette sans jamais en avoir utilisé une, il en est autrement dans le domaine informatique où aucune analogie avec le monde physique ne fonctionne. Les théoriciens de la cyberguerre n'ont pour la plupart aucune idée de ce qui se produit lorsqu'ils allument leur téléphone ou lorsqu'ils envoient un email. Ce qui les conduit à des conclusions absurdes, comme HADOPI l'installation d'un bot contrôlé par le gouvernement américain sur le PC de tout bon citoyen, ou le bouton rouge qui permet d'arrêter Internet.Il en est ainsi des domaines techniques comme l'informatique ou la réparation de télé: personne ne peut avoir d'intuitions sans expérience. Le problème c'est qu'en informatique comme dans beaucoup de domaines de la vie courante (l'économie, la politique, etc.), absolument tout le monde a une solide opinion.La différence entre un professionnel de l'informatique et un technicien, voire un simple utilisateur, est la même qu'entre un prof de maths qui enseigne en prépa et un prof de collège. Le premier doit faire face constamment à des situations qui le poussent aux limites de ses capacités, tandis que le second rabâche à des ignorants des concepts à apprendre par cœur (ton mot de passe doit être complexe, tu ne dois pas le noter sur un post-it, tu dois utiliser un antivirus, etc.).Bien sûr, dans l'éducation nationale comme dans l'informatique, il existe de vrais passionnés à tous les niveaux, qui s'attaquent à des problèmes non résolus – le plus souvent sur leur temps libre.Malheureusement, au bout du compte, l'opinion majoritaire reflétée par les médias et couramment admise (même au plus haut niveau) est bien loin des réalités techniques les plus élémentaires. Si vous avez 30 minutes à perdre, et que vous voulez vous payer une bonne tranche de rigolade, je vous conseille de regarder un récent reportage intitulé "les nouveaux pirates de l'informatique", suivi par "alerte à la cyberguerre". C'est disponible partout sur Internet, mais je ne peux pas vous donner de lien ici – seul Google a le privilège d'être au-dessus des lois.Revenons à nos moutonsCe débat sur la cyberguerre est né de mes réflexions sur StuxNet. Tout le monde s'extasie sur la "complexité" d'un tel code. Au gré des conférences ou de mes lectures sur Internet, j'ai pu entendre que StuxNet représentait 9 mois*hommes de travail, ou 10 millions de dollars. Ces chiffres sont bien entendu totalement fantaisistes, puisque le pays d'origine du virus – et donc le salaire moyen des développeurs – reste inconnu :)On peut noter toutefois que[...]



L'échec de la CyberGuerre

2010-10-05T21:33:04.756+02:00

Il n'est pas besoin d'introduire le "fameux" ver Stuxnet, tant les médias (y compris généralistes) se sont gargarisés de cette attaque.Maintenant que les souches sont disponibles sur Internet, ainsi que des analyses techniques très détaillées, il m'est possible d'avancer quelques réflexions étayées sur le sujet.Ce ver représente l'échec flagrant de la CyberGuerre, autre sujet d'actualité s'il en est.Tout d'abord, commençons par une assertion totalement invérifiable: ce ver ciblerait une installation nucléaire iranienne. Brillante idée. Soit il s'agit d'endommager une vanne ou une pompe - ce qui se répare en quelques jours. Soit il s'agit de provoquer l'explosion de la centrale: un nouveau Tchernobyl en quelque sorte …Notons que d'après F-Secure, la plateforme DeepWater Horizon utilisait les mêmes équipements Siemens PLC … Il ne faut pas en tirer de conclusions hâtives, mais sachant que ce ver va tourner pendant quelques années (les clés USB étant le vecteur d'infection numéro un aujourd'hui), on peut facilement imaginer que les dommages à venir risquent d'être importants … et imprévisibles.Un code malveillant comme Stuxnet s'apparente à une arme bactériologique: même s'il semble verrouillé sur une cible donnée, sa propagation est globalement incontrôlable, et les dommages collatéraux peuvent être largement supérieurs à l'intérêt tactique de l'attaque. Il faut avoir des testicules en titane pour lâcher une telle bombe dans la nature, et espérer que ses propres systèmes – ni ceux de ses alliés – ne seront affectés ni par le ver lui-même, ni par les failles révélées (comme le mot de passe Siemens en dur, qui ne peut toujours pas être changé).Regardons maintenant les dommages collatéraux de Stuxnet:Faille "LNK" (MS10-046).Cette faille ayant été corrigée en août 2010, les systèmes Windows XP antérieurs au SP3 (ainsi que les Windows XP Embedded compilés avant cette date) resteront éternellement vulnérables à cette faille d'exécution de code depuis une clé USB.Faille "Spooler" (MS10-061).Celle-là ne compte pas, car elle avait déjà été publiée dans le magazine Hakin9 il y a un an et demi. Il faut croire que personne au MSRC ne lit la presse "pirate" :)Faille(s) d'élévation de privilèges.Ces failles sont documentées dans les analyses techniques (et même disponibles sur étagère), mais non corrigées par Microsoft à l'heure où j'écris ces lignes. Il n'y a plus qu'à attendre les malwares qui vont les exploiter.Bilan: les risques pour la sécurité informatique mondiale se sont durablement accrus, et la cible a été manquée. Sauf si le seul objectif de ce ver était d'augmenter les budgets alloués aux SCADA et à la CyberGuerre, bien sûr :) Bienvenue dans le mois du Cyber Awareness ![...]



Un compte-rendu à froid de SSTIC 2010 (2ème partie)

2010-08-30T21:47:32.993+02:00

Est-ce qu'on est tous foutus ?La conférence de clôture du SSTIC s'est aventurée sur de nombreux terrains, sans langue de bois (même si certains messages ont été délivrés à mots couverts). Difficile dans ces conditions de résumer, et surtout de produire une exégèse pertinente sur cette intervention, d'autant que je n'ai pas compris si les opinions personnelles de l'intervenant, ou la doctrine officielle de l'Etat français, y étaient exprimées. Je vais toutefois m'y essayer.** *Jetons un voile pudique sur l'idée que l'attaque est inutile à la défense. Cette idée a déjà été battue en brèche en séance, puis dans les compte-rendus ultérieurs publiés sur Internet. Je concède toutefois qu'il est inutile de chercher de nouvelles failles tant il en existe déjà. La faiblesse des mécanismes d'authentification dans les systèmes Windows est un problème déjà largement insoluble (attaque dite pass the hash, entre autres).** *Ce qui m'a le plus frappé, c'est d'entendre que face aux échecs flagrants et répétés de la sécurité informatique, l'une des solutions proposées consistait à déployer massivement des IDS.Les IDS faisant partie des échecs les plus retentissants dans l'industrie de la sécurité, cette assertion a de quoi surprendre. Et pourtant elle est parfaitement justifiée, car son auteur ne cherche pas à protéger les systèmes, mais simplement à faire prendre conscience aux responsables de ces systèmes de l'étendue du désastre.Je reste malgré tout circonspect. L'échec commercial des IDS, outre les limitations techniques des produits existants, s'explique aussi par la recherche de l'ataraxie. Pour exploiter un IDS, il faut engager des personnes compétentes dédiées au traitement des alertes, mettre en place des procédures, éventuellement impacter la production par du forensics, et toutes sortes de choses désagréables du même acabit. Dans ces conditions, ne rien voir est beaucoup plus confortable ^H^H^H beaucoup moins cher.Dans le cas contraire, et comme le rappelle Michal Zalewski dans un billet original, quelques astuces permettent de réaliser un IDS du pauvre, pour peu que l'emplacement des "pièges" ne soit pas divulgué. Le plus cher dans la détection d'intrusion reste le traitement de l'incident, pas sa remontée. Déployer des IDS n'est que la première étape, que beaucoup n'ont jamais franchie. Wait and see.** *L'impasse dans laquelle se trouvent actuellement toutes les personnes en charge de la protection des systèmes s'explique par quelques fondamentaux déjà rappelés sur ce blog.Le principal problème est que l'informatique grand public (ce qui couvre le matériel - ordinateurs personnels et téléphones mobiles, le logiciel, et les contenus/services disponibles) a complètement échappé à toute forme de contrôle par les clients finaux, y compris l'Etat.Outre les exemples d'Apple et Google qui n'en font qu'à leur tête dans tous les domaines (ex. interopérabilité pour le premier et contenus numériques pour le deuxième), on peut également rappeler que :La loi est tout simplement bafouée par les CLUF. Toutes les protections basiques du consommateur (ex. vices cachés) ne sont jamais appliquées aux logiciels.Le budget de l'ANSSI est de 90 millions d'euros, alors que les simples revenus publicitaires de Google étaient de l'ordre de 10 milliards de dollars ... en 2006.Comme le déplore l'i[...]