Les articles de MISC N°87

Image promotionnelle
Techniques de manipulation
Article mis en avant

Introduction au dossier : Entre la chaise et le clavier

Il est bien connu des attaquants que la cible à privilégier pour réussir une attaque est le maillon le plus faible. Sans se montrer exagérément pessimiste quant à la nature humaine, il y a fort à parier que dans bien des cas ce maillon est l’humain, car, comme l’a écrit Bruce Schneier, « Given a choice between dancing pigs and security, users will pick dancing pigs every time ».

Arrête de ramer, t’es sur le sable. L’été 2015 se terminait avec comme principale actualité à nous mettre sous la dent le piratage des données d’Ashley Madison et la mise en pâture d’une kyrielle de données nominatives d'utilisateurs réels (ou pas) qui se seraient bien passés d'apparaître dans ces listings.
Powershell est maintenant intégré par défaut dans tous les systèmes d’exploitation supportés de Microsoft. Ce dernier bénéficiant d’une intégration forte à la plateforme .NET, nous verrons ici comment l’exploiter pour contourner les règles AppLocker.
Depuis quelques années, les attaques par macros Office sont redevenues un passage obligé en pentest. Trop souvent considérées comme des technologies dépassées, les macros et le langage VBA regorgent cependant de fonctionnalités méconnues qui remettent au goût du jour ces attaques d’un autre temps.  Cet article a ainsi pour objectif de présenter comment obfusquer des codes VBA de manière avancée et automatiser leur intégration dans des documents Office grâce à l’outil [VBad].
« GRR » : onomatopée parfois accompagnée de quelques noms d’oiseaux que l’on exprime lorsqu’on recherche des indicateurs de compromission sur un SI. GRR Rapid Response est un framework qui va vous faire arrêter de grogner.
Au fil des années, les systèmes contribuant à la sécurité se multiplient et se complexifient : IDS/IPS, systèmes de supervision, d'agrégations et corrélations de logs… Les entreprises ont tendance à oublier que l'humain est à la base de l'entreprise, à la fois le principal potentiel problème de sécurité ainsi que sa meilleure solution.
Les fraudes ayant cours en matière de cybercriminalité sont en constante évolution. Alors qu’en ce moment nous vivons sous l’explosion médiatique générée par les rançongiciels (ransomwares), d’autres types de fraudes relativement récentes sont beaucoup plus lucratives pour certains cybercriminels. De plus, elles demandent moins de moyens afin de gagner des montants qui se chiffrent généralement en centaines de milliers, voire en millions d’euros. Il s’agit des escroqueries appelées « business e-mail compromise » outre-Manche.
Entreprendre une campagne d’hameçonnage à des fins d’ingénierie sociale est, techniquement, assez simple une fois quelques prérequis remplis, ce qui nécessite un zeste d’inventivité, quelques cuillerées de rigueur et une bonne dose d’organisation. Nous allons vous montrer comment concocter de telles campagnes pour mieux orienter vos futurs programmes de sensibilisation ouévaluer vos dispositifs de protection, de détection et de réaction.
Une brave dame accepte de plonger son téléphone dans une bassine d'eau « pour vérifier sa ligne » ; un cadre clique sur un lien et télécharge un virus dans le réseau de l'entreprise, parce qu'un usurpateur le lui a demandé ; un homme esseulé envoie à une inconnue des photos intimes puis subit un chantage… Ces gens, et bien d'autres, ont été victimes du social engineering (ingénierie psycho-relationnelle). Ça peut aussi vous arriver.
Le mouvement DevOps est une tendance forte ces dernières années pour les organisations qui produisent du code source. Les synergies entre équipes de développement et d’exploitation permettent de déployer plus vite et plus souvent. Mais l’aspect sécurité est fréquemment mis sur le banc de touche et l’approche conventionnelle en mode audit n’arrive plus à suivre le rythme. Nous verrons dans cet article les avantages d’inclure la sécurité dans un pipeline de production DevOps.
L'antivirus de votre véhicule est-il bien à jour ? Son pare-feu est-il bien configuré ? Si cela est pour l'instant de l'ordre de la science-fiction, l'on commence à voir apparaître des attaques sophistiquées sur les systèmes embarqués des véhicules. Cet article présente les architectures actuelles, les attaques qu'elles peuvent subir, et les solutions de sécurité actuelles. Il explique aussi en quoi ces solutions devront évoluer pour sécuriser aussi les véhicules communicants et/ou autonomes.
RSA est l'un des systèmes cryptographiques les plus utilisés à travers le monde. On le retrouve aussi bien dans les échanges sur Internet qu'au sein d'applications propriétaires afin de fournir un niveau de confidentialité élevé. Cependant, pour garantir ce niveau de protection, l'algorithme de chiffrement doit respecter certaines règles fondamentales. Dans le cas où l'une de ces règles venait à ne pas être respectée, le cassage d'une clé RSA ou d'un message chiffré deviendrait possible sous certaines conditions. Diverses attaques seront abordées dans cet article après une introduction sur RSA et les principes de la cryptographie asymétrique puis il en résultera d'exemples réels et des outils nécessaires pour casser une clé RSA.
Lecteurs de MISC, êtes-vous sportifs ? Si oui, alors vous avez sûrement déjà entendu parler de ces bracelets connectés qui mesurent votre activité physique. Il en existe une multitude, pour ne citer que le Fitbit Flex ou Charge, Xiaomi MiBand, Misfit Flash... Et si vous n'êtes pas sportif, ne partez pas en courant : cet article vous demandera au plus un peu de gymnastique cérébrale afin de découvrir une attaque sur le Fitbit Flex.