Les articles de MISC N°91

Pour ne pas se retrouver en slip sur Internet. Tout responsable informatique s’est probablement agacé un jour des contraintes imposées par la CNIL en matière de gestion des données personnelles.
Les mécanismes de démarrage automatique de programme disponibles sous Windows sont nombreux. Le nombre d’onglets de l’outil Microsoft « Autoruns » suffit pour s’en convaincre. Parmi ceux-ci, l’utilisation de la technologie WMI (Windows Management Instrumentation) à des fins de persistance malveillante semble prendre de l’importance depuis quelques années. Rappelons qu’un tel mécanisme implique un contexte post-compromission (avec privilèges administrateur dans le cas présent). La persistance WMI a été abordée dans un précédent article de MISC n°80 (« WMI : la menace silencieuse ») qui permet de prendre la mesure des limites de la journalisation standard à des fins de détection. En effet, le challenge n’est pas tant de détecter cette persistance lors d’une analyse sur incident : des méthodes et outils existent pour l’identifier (si elle est toujours active). La véritable difficulté est de pouvoir alimenter facilement un SIEM afin de la détecter lors de son installation et permettre une réaction avant que la bombe logique n’explose. Seul Windows 10 marque une avancée dans ce domaine et en permet une détection native. L’article présente un axe d’amélioration possible pour les versions antérieures de Windows, permettant d’être plus réactif vis-à-vis de cette menace.
Une fois n’est pas coutume, en ce début d’année le Malware Corner ne vous dévoilera pas les détails du dernier RAT gouvernemental au doux nom évocateur des joies de l’enfance. Il ne vous livrera pas non plus les secrets du dernier rootkit UEFI ou de la dernière APT truffée de 0days. Non, pour une fois et sur la base d’un exemplaire récemment rencontré dans la vraie vie, le Malware Corner va s’intéresser au malware « low cost », au Trojan+RAT à la portée de toutes les bourses et destiné à compromettre la machine de M. Toutlemonde au profit du sous-prolétariat de la cybercriminalité.
Needle [needle] (aiguille en anglais) est un cadriciel (framework) open source qui accélère considérablement les analyses orientées sécurité des applications iOS. Conçu par Marco Lancini de la société MWR et présenté lors de l'édition 2016 de Black Hat Vegas, il prend une place laissée vacante jusqu'à maintenant. Sans lui les testeurs étaient obligés de s'armer de tout un tas d'outils disposant chacun de sa syntaxe, de son mode opératoire et de ses limitations. Avec Needle de très nombreuses actions peuvent maintenant être lancées depuis une interface unique, avec une syntaxe et un esprit modulaire « à la metasploit » qui plus est !
On lit et on fantasme beaucoup sur le concept de « smart city ». Les représentations de ces villes dans l’imaginaire collectif sont largement influencées par les livres de science-fiction, les jeux vidéos et le cinéma, de Minority Report à Die Hard 4. Les problématiques liées à la smart city sont au contraire très concrètes : face à l’hyperdensité des villes, les gouvernements réfléchissent à des solutions qui permettront la pérennité des infrastructures urbaines et l’optimisation des ressources. Mais la mise en place de solutions connectées, gage d’innovation et de compétitivité ne doit pas faire occulter la place de la cybersécurité.
La vidéosurveillance est un système de caméras et de transmission d'images, permettant de faire de la surveillance à distance. Le terme « CCTV » (closed Circuit TV) mentionne le caractère fermé (ou restreint) de la diffusion des images vidéos, par opposition avec le « Broadcast TV ». Nous utiliserons CCTV ou vidéosurveillance indifféremment dans cet article.
La vidéosurveillance est censée être un atout de sécurité du côté des honnêtes gens. Malheureusement, la propre sécurité de ces systèmes est parfois défaillante au point qu'ils se retournent contre leurs propriétaires. C'est ainsi que naissent des botnets de caméras connectées, ou la crainte légitime qu'un inconnu puisse vous surveiller avec votre propre matériel. CCTV, puis virage IP et Internet et finalement explosion de l'Internet of Things (IoT), chaque génération de vidéosurveillance comporte son lot de calamités. Passons en revue cette chronologie du pire.
La démocratisation des concepts d’Open data, de Big data et de Smart cities a permis quelques belles réalisations urbaines, qui ont, en théorie, pour but de rendre les communautés plus agréables à vivre. Voyons comment l’Open data et la Smart City se combinent.
Nous présentons dans cet article une évolution majeure dans les réseaux consistant à automatiser ou rendre programmable le réseau grâce au concept SDN. L’objectif est de rendre le réseau plus agile, mais aussi de faciliter le déploiement des services activés par les clients eux-mêmes.
La sécurité des mobiles et des communications est un enjeu à la fois pour la vie privée, la liberté, mais aussi pour la sécurité des personnes et des pays. Comment résistent les applications de messageries instantanées aux attaques sur les systèmes et/ou les réseaux ?
La messagerie sécurisée permet de maintenir le caractère privé, confidentiel, secret des correspondances. On parle aussi de messagerie chiffrée [1]. La distinction sécurisée/privée peut être décrite ainsi : un message sécurisé est celui que seul reçoit le destinataire indiqué ; le message chiffré celui qui ne peut être lu que par le destinataire désigné [2]. La messagerie sécurisée est parfois présentée comme un outil essentiel pour les activistes, les citoyens qui s’opposent à des régimes totalitaires, comme un instrument d’opposition politique. Échapper à une surveillance étatique jugée intrusive [3], attentatoire aux libertés des individus, n’est toutefois pas la seule finalité des messageries sécurisées. Elles ont plus généralement pour objet de protéger les échanges (e-mail, chat, etc.) contre toutes sortes de regards indiscrets, de tiers non autorisés, et plus généralement de protéger la vie privée et les activités professionnelles. Tout un chacun peut en effet avoir des données à protéger des regards indiscrets : données personnelles, de santé, fiscales ; données classifiées, pour les armées ; données contractuelles pour les entreprises, etc. La sécurisation des échanges répond à ces impératifs particuliers. Les révélations d’Edward Snowden relatives aux pratiques des États en matière de cybersurveillance sont, sans nul doute, en grande partie responsables de nouvelles attentes, qu’une offre relativement pléthorique et en perpétuelle évolution tente de satisfaire.
Comment sensibiliser une population d’informaticiens aux enjeux de la sécurité sans répéter pour la énième fois les mêmes contenus et jouer au Cassandre en prédisant les pires cyber-fléaux à venir ? Par le jeu !