Les articles de MISC N°98

La sécurité est un succès (et un processus d’amélioration continu)
Ce n’est un secret pour personne : les objets connectés (IoT) et la sécurité, ça fait 10. Cependant, malgré un marché en plein essor et des fabricants toujours aussi peu versés dans les fondamentaux de la sécurité IT,  peu d’outils existent permettant d’assurer des analyses de qualité, régulières et faciles de ces objets. Cet article présente une suite de tels outils libres laquelle, même si elle est encore jeune, s’annonce prometteuse et invite les contributions.
NotPetya est un célèbre malware issu de la famille Petya, apparu en juin 2017. La partie s'exécutant depuis le MBR a souvent été étudiée en statique ou en dynamique grâce au débogueur Bochs pour IDA. Une autre approche d'analyse est-elle possible ? Nous proposons ici d'émuler pas à pas le bootloader de NotPetya en utilisant Miasm.
Nous présentons dans cet article une étude préalable de l’outil ElastAlert en tant que SIEM dans un environnement avec stockage d’événements dans ElasticSearch. Nous aborderons les principes de fonctionnement et les principales fonctionnalités rendues par l’outil ainsi qu’un retour d’expérience de son utilisation opérationnelle.
L’authentification forte, 2FA, 3FA, MFA pour « Multi-Factor Authentication » se démocratise ces dernières années. Le simple couple « login/password » ne suffit plus, notamment pour les accès sensibles à privilèges. Mais de quels « facteurs » parle-t-on ?
Présentation de faiblesses communément observées lors de recherches de vulnérabilités dans le cadre de Bug Bounty publics et privés, à l’encontre des modules web d’authentification et de réinitialisation de mot de passe.
« WebAuthn » pour « Web Authentication » est le nouveau standard du W3C, dont l’objectif est de remplacer U2F pour enfin permettre de s’authentifier sans mot de passe. Comment fonctionne-t-il ? Et va-t-il réussir à s’imposer ?
L'emploi quotidien de nombreux services sur le Web rend l'utilisation de méthodes d'authentification unifiées très utile. La fédération d'identité avec OpenID Connect est une manière de mettre en œuvre cette authentification unique. Cependant, ce jeu à trois acteurs (utilisateur, fournisseur d'identité, fournisseur de service) ne fonctionne que si tout le monde a la même vision de la situation !
Introduits afin d'assouplir la Same Origin Policy pour permettre au Web 2.0 de donner sa pleine mesure, les Cross Origin Ressource Sharing (CORS) souffrent de spécifications pour le moins absconses et d'une dissymétrie d'implémentation particulièrement dommageable à leur bonne mise en œuvre. En conséquence, leur activation côté serveur conduit très souvent à la création de vulnérabilités exploitables susceptibles de faire le bonheur du pentesteur.
Nous avons présenté dans la première partie de cet article le principe des attaques par canaux auxiliaires sur les algorithmes de cryptographie à clef privée en prenant pour exemple l’AES. Dans cette seconde partie, nous nous intéressons aux contre-mesures utilisées pour s’en protéger et poursuivons notre exposé avec deux classes d’attaques plus puissantes : les attaques multivariées et les attaques profilées.
La surface d’attaque est une notion essentielle en cybersécurité. Nous proposons dans cet article un rappel des divers éléments de sa définition (partie 1), puis formulons quelques hypothèses relatives à l’objectif de réduction de la surface d’attaque, qui se heurte à plusieurs difficultés (partie 2). Enfin, dans une visée plus prospective, nous interrogeons-nous sur les effets potentiels de l’intelligence artificielle sur la définition de la surface d’attaque (partie 3).