MISC N°

La lutte antivirale, une cause perdue ?

Janvier/Février 2010

Introduction au dossier : La lutte antivirale, une cause perdue ?

Ne laissons pas planer le doute plus longtemps car la réponse a déjà été donnée il y a plus de 20 ans par Fred Cohen : oui ! Il a démontré mathématiquement que le problème de détection virale était tellement complexe qu'il ne pouvait être résolu dans un temps acceptable. Quand on ramène ça aux contraintes des logiciels antivirus, on comprend d'emblée que ceux-ci vont devoir faire des compromis. Le simple bon sens suffit à percevoir qu'un logiciel tournant sous Windows 7 sur un PC multicœur avec 8Go de mémoire ne peut pas atteindre les mêmes performances que celui tournant sur les 256Mo associé au processeur ARM d'un téléphone portable. Et pourtant, on nous vend des antivirus dans les 2 cas. Accessoirement, les menaces ne sont pas les mêmes non plus...

Dans ce numéro...

Vulnérabilités du moteur PHP

Par Raboin Romain, Skondras Maël

Exploit

MISC

n°

janvier 2010

| Raboin Romain, Skondras Maël

Du point de vue d'un auditeur, PHP n'est finalement qu'un vecteur d'entrée parmi d'autres. Un attaquant vise, une fois l'exécution de code PHP arbitraire obtenue, à progresser dans le système d'information (vers le noyau pour élever ses privilèges, vers d'autres applications, vers le réseau interne, ...). Pour cette raison, le moteur PHP s'est doté au fil des ans de divers moyens de protection et de cloisonnement. Pour peu qu'elles soient correctement configurées, ces options peuvent empêcher toute progression vers le système d'exploitation sous-jacent. Cependant, le moteur PHP contient une classe de vulnérabilités inhérente à son architecture. Pire, exploiter ces vulnérabilités permet de s'affranchir de toutes ces protections...

> Lire l'extrait

Actions de reconnaissance sur les systèmes et réseaux

Par Luiggi Jean-Philippe

Pentest

MISC

n°

janvier 2010

| Luiggi Jean-Philippe

S'il est un fait établi, c'est que la sécurité informatique s'appuie beaucoup sur des concepts anciens (militaires et autres) afin de mettre en œuvre des actions défensives ou offensives [1]. Prenons, par exemple, la notion d'attaquer un adversaire. Il est évident que deux façons de faire sont possibles, l'une de type « direct » ; mais souvent risquée si l'opposant est adéquatement préparé, et la seconde qui est indirecte et surtout plus subtile (furtive). Utiliser cette dernière permet de se faire une idée de ce que l'on a en face de soi, de chercher à comprendre à la fois la nature et le type des défenses, les cibles intéressantes ou en d'autres termes, effectuer une reconnaissance.

> Lire l'extrait

Quand un ransomware devient un KeygenMe

Par Brulez Nicolas

Malware

MISC

n°

janvier 2010

| Brulez Nicolas

Dans le numéro 46 de MISC, je vous présentais l'analyse d'un ransomware (application qui modifie une machine pour ensuite demander une rançon au propriétaire avant de la remettre dans l'état initial) qui chiffrait les fichiers afin d'extorquer les utilisateurs. Dans ce numéro, je vais vous présenter un autre type de ransomware, détecté en novembre 2009 sous le nom de Trojan-Ransom.Win32.SMSer.qmMD5: 2CE9D15F7B43B0DEC6C3935DE0743113.

> Lire l'extrait

Malware : du nouveau sous le capot ?

Par Bureau Pierre-Marc

Malware

MISC

n°

janvier 2010

| Bureau Pierre-Marc

Depuis que les logiciels malveillants ont dépassé l'étape des preuves de concept, leur qualité et surtout leur nombre sont en croissance. Cet article donne une description de quelques caractéristiques de malwares que nous avons observés au cours des derniers mois. Ces observations montrent dans quelles directions évoluent ces programmes.

> Lire l'extrait

Architectures de protection antivirale : allier défense périmétrique et défense en profondeur

Par Roger Sylvain

Malware

MISC

n°

janvier 2010

| Roger Sylvain

Depuis quelques mois, la lutte antivirale semblait être un sujet un peu mis en retrait, faute d’impacts médiatisés et d’attaques massives récentes. Conficker a permis de rappeler en 2009 l’importance de mettre en place et de maintenir une architecture de protection antivirale efficace. Comment les entreprises, quelle que soit leur taille peuvent-elles se protéger contre de nouvelles attaques ciblées ou de grande ampleur ? En mettant en place une stratégie globale alliant une approche historique : la défense périmétrique à une approche plus récente : la défense en profondeur.

> Lire l'extrait

Peut-on faire confiance aux antivirus ?

Par Le Berre Stéfan, Devine Christophe

Malware

MISC

n°

janvier 2010

| Le Berre Stéfan, Devine Christophe

Un produit antivirus est un logiciel comme un autre, conçu et réalisé par des êtres humains, et donc susceptible de contenir des bogues. Plus ou moins graves, ces derniers peuvent donner lieu à l’absence de détection des menaces voire, dans le pire des cas, à la compromission du système par un attaquant. Cet article vous propose de découvrir dans plusieurs failles des antivirus et leurs conséquences pour l’utilisateur final. Finalement, nous donnerons quelques recommandations pour renforcer la sécurité d’un système Windows.

> Lire l'extrait

Méthodologie d'évaluation des antivirus

Par Bédrune Jean-Baptiste, Gazet Alexandre

Malware

MISC

n°

janvier 2010

| Bédrune Jean-Baptiste, Gazet Alexandre

Cet article décrit une méthodologie d'évaluation des logiciels antivirus. Elle reprend les grandes lignes de la méthodologie d'évaluation CSPN (Certification de Sécurité Premier Niveau), et tente de prendre en compte les spécificités de ces logiciels. Notre méthodologie se veut un compromis entre les aspects formels et opérationnels. Certains points sont ouverts : il s'agit plus d'un guide que d'une méthode rigide. Une certaine liberté est donc laissée aux évaluateurs.

> Lire l'extrait

ISO/IEC 27001 : implémentation d’un SMSI

Par Bailleux Christophe

Sécurité organisationnelle Sécurité système

MISC

n°

janvier 2010

| Bailleux Christophe

Les systèmes d’information sont au cœur de nos entreprises et sont souvent une ressource indispensable à nos activités. Les protéger et prévenir toute menace devient donc une priorité.Pour beaucoup, la sécurité est avant tout une affaire de techniciens. Mais, beaucoup oublient que la sécurité des systèmes d’information concerne également la Direction Générale de l’organisme. Comment serait-il possible de répondre aux besoins sécurité d’une entreprise sans une implication forte du management.L’objectif de cet article est donc de vous présenter la démarche à suivre lors de la mise en place d’un système de management de la sécurité de l’information, en vous présentant les étapes majeures devant être réalisées pour mener à bien un tel projet.

> Lire l'extrait

Netflow, protocole de télémétrie réseau

Par Luiggi Jean-Philippe

Sécurité réseau

MISC

n°

janvier 2010

| Luiggi Jean-Philippe

Le protocole (propriétaire) Netflow a été développé par la société Cisco en 1996 et si son utilisation première fut (entre autres choses) de faire de la facturation, de l'audit, il est devenu un standard (de-facto) aujourd'hui pour tout ce qui touche à l'administration et à la sécurité des réseaux informatiques (analyse des flux normaux, détection de ceux qui ne le sont pas, etc.), car permettant de répondre efficacement à des questions qui au demeurant simples prennent un sens essentiel aux yeux des administrateurs réseau et/ou de ceux en charge de la sécurité.

> Lire l'extrait

Tâches planifiées et gestion de credentials sous Windows

Par Asselineau Roderick

Sécurité système

MISC

n°

janvier 2010

| Asselineau Roderick

Sous Windows, toute tâche planifiée est authentifiée auprès du système au moment de son exécution. Cet article explique comment Windows gère les credentials associés aux tâches et présente un nouvel outil, alternative à TaskPwDmp, capable de les récupérer de façon fiable sous Windows XP et 2003.

> Lire l'extrait

Mac OS X et les injections de codes

Par Ayad Karim

Sécurité système Sécurité du code

MISC

n°

janvier 2010

| Ayad Karim

L'injection de codes dans un autre processus n'est pas une technique novatrice en soi. Elle est aussi bien utilisée par des applications dites de sécurité que par des programmes malveillants. Ces derniers en sont particulièrement friands lorsqu'il s'agit de détourner des protections logicielles telles que les pare-feu applicatifs. Les techniques d'injection pour le système d'exploitation Windows sont amplement documentées sur Internet, néanmoins il n'en est pas de même pour le système d'Apple. Ainsi, pour combler le manque de documentation sur le sujet, cet article décrit certaines méthodes d'injections de codes au sein des processus Mac OS X Snow Leopard en mode 64 bits.

> Lire l'extrait

Patchwork stéganographie

Par Bodin Nicolas

Algo Société

MISC

n°

janvier 2010

| Bodin Nicolas

Cet article présente une nouvelle méthode de stéganographie dans le domaine spatial. L'intérêt de cette méthode est d'introduire une nouvelle façon d'insérer un message sans utiliser la classique LSB. Les résultats montrent que l'on peut alors insérer des messages de différentes tailles sans modifier la probabilité de détection, le tout en utilisant le bruit naturellement présent dans une image.

> Lire l'extrait

Acheter ce numéro en version papier

J'achète ce numéro

Accès par numéro standard

134

Techniques de contournement des EDR

133

Déployer aisément AppLocker en liste de blocage

132

Exploitation des mécanismes de cache http

131

IA & Analyse de filtrages réseaux par apprentissage automatique

130

Introduction pratique aux attaques par canaux auxiliaires

129

Active Directory CS : quand la configuration est votre pire ennemie !

128

Sécurité de KeePass & techniques d’extraction des secrets

127

Bug Bounty - Quand les hackers deviennent chasseurs de primes !

126

USB - Votre pire ennemi ? Un vecteur d’attaque souvent négligé…

125

Web 2023 - Les nouvelles surfaces d’attaques !

124

Objets connectés : Quels risques pour votre système d’information ?

123

Patch management - Améliorer les processus de mise à jour de sécurité

122

Adopter le DevSecOps - Intégrer la sécurité dans votre production informatique

121

Sécurité & langages de programmation

120

Gestion de parc : Active Directory - Est-il toujours la solution incontournable ?

119

Outils et méthodes pour l’analyse et la réponse à incident

118

Techniques d’OSINT à l’usage des honnêtes gens

117

Sécurisez votre production informatique

116

EDR : Quel apport pour la sécurité de votre parc ?

115

Tour d’horizon de la sécurité de la 5G

114

Puces sécurisées : À la découverte de la sécurité matérielle

113

ARM & Sécurité

112

Sécurité de l'orchestrateur Kubernetes

111

Télétravail : comment ne pas sacrifier la sécurité ?

110

Zero Trust : avenir de la sécurité ou chimère marketing ?

109

Outils Python pour la recherche et l'exploitation de vulnérabilités

108

Sécurité des navigateurs web : où en sommes-nous ?

107

Ransomwares : état de la menace

106

Éprouver la sécurité des applications mobiles

105

Sécurité des environnements cloud Amazon Web Services

104

Masquez vos attaques pour bien réussir vos missions Red Team

103

Pentest Windows : outils & techniques

102

Durcissement de la sécurité des systèmes GNU/Linux

101

Sécurité des applications web

100

Supervision : retours d'expériences autour des SIEM

Environnements d'exécution sécurisés : de SGX à TrustZone

Authentification : enfin la fin des mots de passe ?

Meltdown, Spectre, Cryptanalyse : comprendre le fonctionnement des attaques par canaux auxiliaires !

Blockchain : un réel progrès pour la sécurité ?

Docker : quelle sécurité pour les conteneurs ?

CERT, CSIRT et SOC en pratique : comment s’organiser et quels outils mettre en place

Wikileaks et les Shadow Brokers

Exploration des techniques de Reverse Engineering

Smart Cities : comment protéger les villes intelligentes ?

Telegram, Signal, WhatsApp : quelle confiance leur accorder ?

Pub & Internet : le nouvel arsenal des publicitaires

Web : quelles évolutions pour la sécurité ?

Social Engineering : découvrez les techniques de manipulation et apprenez à les déjouer

Quelle sécurité pour l'Internet des Objets ?

Tests d'intrusion internes : attaques et contre-mesures

Disaster Recovery : outils et organisation

IPv6 : 10 ans après !

Protégez vos codes à tous les niveaux

Vie privée sur le Web : souriez, vous êtes tracés !

Windows : quelle sécurité pour le plus populaire des OS ?

APT : Advanced Persistent Threats

Navigateurs web : quels mécanismes pour renforcer leur sécurité ?

Sécurité des moyens de paiement

Sécurité du Cloud : peut-on confier son infrastructure à un tiers ?

Les objets connectés : de nouveaux usages partout, la sécurité nulle part ?

Les réseaux industriels : découvrir leur fonctionnement, comprendre leurs vulnérabilités !

Confrontez-vous aux meilleurs : mesurez vos compétences grâce aux challenges de sécurité !

Comprendre le déni de service pour mieux le prévenir

SSL & TLS : la crypto peut-elle nous protéger ?

Big Data quand la taille compte !

Supervisez la sécurité de votre système d'information !

Télévision & téléphonie : la sécurité ultra-connectée

Apple & Mac ou la face cachée de la pomme...

Bring Your Own Device... ou l'histoire d'une bombe à retardement !

Les fleurs du MALware

Firewall : Grande muraille de Chine ou ligne Maginot ?

Sécurité Android

Sécurité des applications sous Linux

Sécurité des bases de données

Cloud Computing et sécurité : une difficile cohabitation ?

Ingénierie sociale sur Internet : quand le Web devient un outil d'influence et de leurre

Sécurité et architecture PC : l'impossible confiance ?

Sexe, drogue et sécurité informatique

Forensics : les nouveaux enjeux

Au coeur des technologies sécurité de Microsoft

Anonymat sur Internet : risque ou nécessité ?

La sécurité du Wi-Fi : des paroles en l'air ?

4 outils indispensables pour tester votre sécurité !