MISC N°

Cloud Computing et sécurité : une difficile cohabitation ?

Mars/Avril 2012

Introduction au dossier : Cloud computing et sécurité : une difficile cohabitation ?

Depuis quelques années maintenant, un domaine de l'informatique est en pleine expansion : le cloud computing. Qu'est-ce donc que cette informatique en nuage qui suscite de telles passions ? Un certain nombre d'acronymes gravitent autour. On entend parler, par exemple, de SaaS (Software as a Service), PaaS (Platform as as Service).

Dans ce numéro...

Analyse et exploitation d'une « race condition » dans le serveur X

Par Lantheaume Julien

Exploit

MISC

n°

mars 2012

| Lantheaume Julien

Cet article revient sur la vulnérabilité Xorg publiée fin 2011 sous l'identifiant CVE-2011-4029. Cette dernière exploite une condition de concurrence (en anglais « race condition ») qui permet à un utilisateur local de positionner les droits en lecture sur n'importe quel fichier du système. L'exploitation s'appuie sur la façon maladroite dont le serveur X manipule des fichiers temporaires.

> Lire l'extrait

Attaques NoSQL : l'exemple de MongoDB

Par Viot Nicolas

Pentest Data / Big Data

MISC

n°

mars 2012

| Viot Nicolas

Depuis 2009, le « mouvement » NoSQL est apparu afin de s'écarter du modèle relationnel des bases de données traditionnelles. Le terme NoSQL pour « Not Only SQL » représente bien cet état d'esprit. Nombreux de ses défenseurs affirment que les bases de données de type NoSQL sont plus sûres que les bases de données relationnelles. Typiquement, l'argument mis en avant est l'absence d'injection SQL sur ce type de bases. Bien que cet argument ne soit pas totalement faux, nous verrons dans cet article les différentes attaques possibles sur ce type de bases et qu'il reste du chemin à parcourir afin d'élever le niveau de sécurité des bases NoSQL.

> Lire l'extrait

Injections web malveillantes

Par Pernet Cédric, Teissier Jean-Philippe

Malware

MISC

n°

mars 2012

| Pernet Cédric, Teissier Jean-Philippe

Les malwares modernes sont en constante évolution. Parmi ces malwares, la catégorie la plus distribuée actuellement est celle des chevaux de Troie (également appelés « troyens » ou « trojans »), qui constituent probablement le plus grand risque pour les internautes. Ces malwares ont pour but de dérober certaines informations sur un système qu’ils ont infecté. Ils peuvent être utilisés pour obtenir des documents sensibles et/ou confidentiels d’entreprises, mais également pour dérober diverses informations sur des ordinateurs d’internautes lambda. Les chevaux de Troie évoluent en termes de technicité pour poursuivre leur but : infecter le système quelle que soit sa configuration, obtenir l’information recherchée, et se maintenir si nécessaire sur le système, le plus longtemps possible.

> Lire l'extrait

Introduction au Cloud Computing : risques et enjeux pour la vie privée

Par Pailhès Bertrand, Heslot Armand

Sécurité réseau

MISC

n°

mars 2012

| Pailhès Bertrand, Heslot Armand

Poussées par la promesse de gains financiers importants, de plus en plus d'entreprises envisagent d'avoir recours à des services de Cloud Computing, mais sans avoir nécessairement conscience que cette transition nécessite de repenser l'ensemble de la sécurité des traitements informatiques de l'entreprise.

> Lire l'extrait

Le nuage Dropbox vu de la terre ferme

Par Kadhi Saad

Sécurité réseau

MISC

n°

mars 2012

| Kadhi Saad

« Left my data in El Dropbox, I gotta get, I got-got ta get it » A Tribe Called Quest (Dropbox remix) Dropbox est un service emblématique du « Cloud ». Nous vous proposons de partir à sa découverte en nous penchant sur l'entreprise éponyme avant d'évoquer deux incidents de sécurité majeurs dont elle et ses clients furent victimes. Enfin, nous allons nous intéresser aux coulisses du service.

> Lire l'extrait

Aspects réseau de l’informatique dans les nuages

Par Fischbach Nicolas

Sécurité réseau

MISC

n°

mars 2012

| Fischbach Nicolas

Pourquoi le réseau joue-t-il un rôle fondamental pour le cloud (« l’informatique dans les nuages ») ? Sans réseau, pas de cloud. Sans une certaine qualité de service, une expérience utilisateur variable et potentiellement médiocre. Sans sécurité réseau, une disponibilité aléatoire. Pour beaucoup d’utilisateurs, le réseau ne devient un point critique que lorsque celui-ci ne se comporte pas « comme d’habitude ». Peu de métriques, que ce soit de performances, de sécurité ou encore d’évolution du réseau sont définies, mesurées et encore moins activement supervisées. Le réseau est bien trop souvent relégué et comparé à un élément d’infrastructure « de base », comme l’eau et l’électricité : vital, mais ca reste « juste un tuyau ». Et s’il est assez « gros », entendons par là au niveau de la bande passante (pour beaucoup de personnes, c’est tout ce qui compte), tout va bien.

> Lire l'extrait

Botnet as a Service

Par Arcas Guillaume

Sécurité réseau

MISC

n°

mars 2012

| Arcas Guillaume

« Hey! You! Get off of my cloud, don't hang around 'cause two's a crowd, on my cloud » (Rolling Stones) Deux secteurs innovent ou adoptent précocement les nouvelles technologies Internet : l'industrie pornographique légale et le cybercrime. Le Cloud Computing n'échappe pas à cette règle non écrite. Nous verrons dans cet article comment et pourquoi les cybercriminels se sont rués vers le nuage.

> Lire l'extrait

Calculs sur GPU : gain ou menace pour la sécurité informatique ?

Par Sevestre Guillaume

Sécurité système

MISC

n°

mars 2012

| Sevestre Guillaume

Entrés dans le domaine de la sécurité SI par le « cassage » des hashs de mots de passe, quels sont aujourd'hui les apports du GPGPU en SSI ? Tour d'horizon des applications possibles et exemple pratique par l'implémentation d'une fonction de hachage cryptographique sur GPU.

> Lire l'extrait

Canyoucrackit.co.uk : analyse d'un buzz et solution du challenge

Par Bienaimé Pierre

Sécurité du code Sécurité réseau

MISC

n°

mars 2012

| Bienaimé Pierre

Canyoucrackit.co.uk est un challenge de sécurité qui a su faire parler de lui. Derrière ce défi se cache une campagne de recrutement d'un nouveau genre lancée par les services secrets britanniques. Ces derniers promettaient en effet un poste à ceux capables de résoudre leur énigme. Après une analyse du phénomène canyoucrackit, nous proposerons une solution détaillée de ce challenge.

> Lire l'extrait

Sécurité des accès à Internet : utopie ou réalisme

Par Berthier Nicolas, Flauss Fabrice

Sécurité réseau

MISC

n°

mars 2012

| Berthier Nicolas, Flauss Fabrice

La plupart des entreprises garantissent la disponibilité de leurs serveurs web vis-à-vis d’Internet. Mais qu’en est-il de la disponibilité de leurs accès à Internet et l’éventuelle fuite de données confidentielles via les accès de leurs propres employés ? C’est ce qui va être traité dans cet article.

> Lire l'extrait

Dimension cybernétique du conflit libyen de 2011

Par Ventre Daniel

Sécurité réseau Société Sécurité organisationnelle

MISC

n°

mars 2012

| Ventre Daniel

Au milieu du mois de février 2011 éclatent en Libye des manifestations qui dégénèrent rapidement en révolte. En Tunisie et en Égypte, les deux pays voisins, les populations se sont soulevées et ont chassé leurs dirigeants. Le cyberespace a, dit-on, joué un rôle majeur dans le succès des révoltes populaires : on parle des révolutions Facebook. Mais le contexte libyen est différent : la population est moins « connectée » qu’en Tunisie ou en Égypte (§I) ; le régime est décidé à tenir sa place, les rebelles à combattre, la violence qui se déchaîne transforme la révolte en guerre civile ; la communauté internationale intervient ; les armes parlent. Le cyberespace n’en demeure pas moins central dans le conflit (§II), devenant un lieu d’affrontement et un objet de lutte entre partisans et adversaires du régime du colonel Kadhafi. L’après-Kadhafi sera le temps des bilans, mais aussi des révélations (§III).

> Lire l'extrait

Acheter ce numéro en version papier

Cloud Computing et sécurité : une difficile cohabitation ?

J'achète ce numéro

Accès par numéro standard

126

USB - Votre pire ennemi ? Un vecteur d’attaque souvent négligé…

125

Web 2023 - Les nouvelles surfaces d’attaques !

124

Objets connectés : Quels risques pour votre système d’information ?

123

Patch management - Améliorer les processus de mise à jour de sécurité

122

Adopter le DevSecOps - Intégrer la sécurité dans votre production informatique

121

Sécurité & langages de programmation

120

Gestion de parc : Active Directory - Est-il toujours la solution incontournable ?

119

Outils et méthodes pour l’analyse et la réponse à incident

118

Techniques d’OSINT à l’usage des honnêtes gens

117

Sécurisez votre production informatique

116

EDR : Quel apport pour la sécurité de votre parc ?

115

Tour d’horizon de la sécurité de la 5G

114

Puces sécurisées : À la découverte de la sécurité matérielle

113

ARM & Sécurité

112

Sécurité de l'orchestrateur Kubernetes

111

Télétravail : comment ne pas sacrifier la sécurité ?

110

Zero Trust : avenir de la sécurité ou chimère marketing ?

109

Outils Python pour la recherche et l'exploitation de vulnérabilités

108

Sécurité des navigateurs web : où en sommes-nous ?

107

Ransomwares : état de la menace

106

Éprouver la sécurité des applications mobiles

105

Sécurité des environnements cloud Amazon Web Services

104

Masquez vos attaques pour bien réussir vos missions Red Team

103

Pentest Windows : outils & techniques

102

Durcissement de la sécurité des systèmes GNU/Linux

101

Sécurité des applications web

100

Supervision : retours d'expériences autour des SIEM

Environnements d'exécution sécurisés : de SGX à TrustZone

Authentification : enfin la fin des mots de passe ?

Meltdown, Spectre, Cryptanalyse : comprendre le fonctionnement des attaques par canaux auxiliaires !

Blockchain : un réel progrès pour la sécurité ?

Docker : quelle sécurité pour les conteneurs ?

CERT, CSIRT et SOC en pratique : comment s’organiser et quels outils mettre en place

Wikileaks et les Shadow Brokers

Exploration des techniques de Reverse Engineering

Smart Cities : comment protéger les villes intelligentes ?

Telegram, Signal, WhatsApp : quelle confiance leur accorder ?

Pub & Internet : le nouvel arsenal des publicitaires

Web : quelles évolutions pour la sécurité ?

Social Engineering : découvrez les techniques de manipulation et apprenez à les déjouer

Quelle sécurité pour l'Internet des Objets ?

Tests d'intrusion internes : attaques et contre-mesures

Disaster Recovery : outils et organisation

IPv6 : 10 ans après !

Protégez vos codes à tous les niveaux

Vie privée sur le Web : souriez, vous êtes tracés !

Windows : quelle sécurité pour le plus populaire des OS ?

APT : Advanced Persistent Threats

Navigateurs web : quels mécanismes pour renforcer leur sécurité ?

Sécurité des moyens de paiement

Sécurité du Cloud : peut-on confier son infrastructure à un tiers ?

Les objets connectés : de nouveaux usages partout, la sécurité nulle part ?

Les réseaux industriels : découvrir leur fonctionnement, comprendre leurs vulnérabilités !

Confrontez-vous aux meilleurs : mesurez vos compétences grâce aux challenges de sécurité !

Comprendre le déni de service pour mieux le prévenir

SSL & TLS : la crypto peut-elle nous protéger ?

Big Data quand la taille compte !

Supervisez la sécurité de votre système d'information !

Télévision & téléphonie : la sécurité ultra-connectée

Apple & Mac ou la face cachée de la pomme...

Bring Your Own Device... ou l'histoire d'une bombe à retardement !

Les fleurs du MALware