Les articles de MISC N°95

Image promotionnelle
Introduction au dossier : Docker : Quelle sécurité pour les conteneurs ?
Article mis en avant

Introduction au dossier : Docker : Quelle sécurité pour les conteneurs ?

Depuis la création de chroot, que l’on situerait, après une datation au carbone 14, entre la fin des années 70 et le début des années 80, un grand chemin a été parcouru par les différentes techniques d’isolation au sein de l’espace utilisateur pour être aujourd’hui la pierre angulaire de nouvelles approches telles que le mouvement DevOps.
The user's going to pick dancing pigs over security every time™ Lors d’une conférence il y a quelques semaines, j’évoquais avec une collègue la GPDR et la nécessité selon moi d’une intervention des États pour contraindre les sociétés à protéger les données personnelles des usagers de leurs services numériques.
La vulnérabilité CVE-2015-4843 est une vulnérabilité de type dépassement d’entier qui affecte plus de cinquante versions de Java 1.6, 1.7 et 1.8. Elle permet de s’échapper de la sandbox Java pour exécuter du code arbitraire avec les droits du processus de la machine virtuelle et est donc classée en tant que vulnérabilité « critique » par Oracle.
Le 28 avril 2017, Wikileaks a ajouté un nouveau projet, Scribbles, à sa série de publications Vault7. Suite aux nombreux vols de documents confidentiels dans le milieu de la défense américaine, ce projet a pour but de permettre aux services de remonter à l’origine des fuites.
Une réponse à incidents est un exercice qui n'est pas forcément complexe en soi. Malheureusement, étant peu communément pratiqué, la difficulté est d'y être entraîné, préparé et d'obtenir ce qu'il faut comme artefacts.
Lorsque l’on approche la question de la sécurité des technologies de conteneurs, il apparaît directement qu’une grande part de cette sécurité repose de fait sur des fonctionnalités du noyau et donc de ses bons usages, et qu’une autre part tient à la structure propre de la technologie choisie. Au travers de cette introduction seront posées quelques questions fondamentales autour de la sécurité d’une solution bien connue : Docker.
Les containers n’existent pas. Enfin, pas en tant que tel. Cet article présente les briques de base des containers Linux que sont les namespaces et les cgroups à travers des exemples concrets. Les lecteurs assidus repartiront avec un module PAM sur mesure pour sandboxer un utilisateur SSH.
À travers les différentes étapes de la construction d’une infrastructure, cet article vise à présenter les bonnes pratiques à adopter lors de l'usage de Docker. Cet article explique comment installer Docker, définir un service, le mettre en œuvre, le faire interagir avec d'autres et plus encore.
Nul besoin aujourd’hui de démontrer les nombreux avantages de Docker pour accélérer la mise à disposition de services numériques. Mais sécurité et agilité sont assez rarement conciliables : soit on veut faire plus rapide, mais moins sécurisé, soit on met plus de sécurité dans les process et donc on les ralentit. Comment peut-on réconcilier le DevOps avec l’aspect sécuritaire grâce à un environnement automatisé avec les conteneurs ?
« Nous avons mis en place du 802.1x sur notre réseau d'entreprise donc bon… les résultats du pentest ne sont pas si graves que ça ! ». Cette citation tirée d'un cas réel montre que le fonctionnement et les limites de la protection 802.1x sur un réseau sont encore méconnus par les administrateurs des entreprises. Cependant, différents moyens de la contourner existent !
Nous présentons dans cet article comment rechercher des vulnérabilités sur des équipements réseau grâce au langage BIRD. Après une présentation de celui-ci et d'une vulnérabilité récente concernant des équipements Cisco, nous décrirons une méthodologie de recherche puis nous comparerons les performances de BIRD par rapport à HAWK dans une telle recherche.
Cet article relate un retour d'expérience sur le développement d'une solution « sexy » pour allier sécurité et réduction des coûts. Cette dernière consiste à associer une authentification Active Directory et un token utilisant l'application Google Authenticator afin de former une authentification à 2 facteurs pour un VPN d'entreprise.
Le premier CERT est né du constat d’un besoin de coordination entre les acteurs chargés de réagir aux cyber-incidents. Le FIRST, traduisant la nécessité d’élargir cette coordination à l’international, fut créé en 1990 afin d’offrir à la communauté de CERT naissante les moyens d’échange, de partage, susceptibles de conférer plus d’efficacité à leurs missions. Aujourd’hui, CERT de la première heure et organisations récemment créées, trouvent dans les outils de coordination internationale des espaces de rencontre, des moyens d’échange de données et offrent aussi aux nouveaux entrants des ressources (expérience, parfois financements). Depuis le début des années 90, le paysage des CERT a considérablement évolué. Se sont multipliées notamment les initiatives de coordination internationale dont l’observation permet de s’interroger sur les modalités conditionnant des relations efficaces, et de constater des freins à leur expansion.