MISC N°
Numéro
69

Supervisez la sécurité de votre système d'information !

Temporalité
Septembre/Octobre 2013
Article mis en avant

Dans ce numéro...


J'apprécie de passer l'été à Paris, en bon parisien : les provinciaux rentrent chez eux, et on se retrouve enfin entre gens biens, sous le soleil exactement. Eh oui, le Parisien, il vaut mieux l'avoir en journal, et vous l'avez entre les mains ;)
En avril dernier, [TRINITY], le fuzzer d'appel système Linux, met en évidence une mauvaise vérification des bornes d'une valeur numérique normalement non signée qui est considérée comme signée dans le système perf_events [PATCH]. Cette erreur permet l'obtention des privilèges root sur un système utilisant un noyau Linux dont la version est comprise entre 2.6.37 et 3.8.8 (incluses) ainsi qu'à partir de la version 2.6.32 pour les systèmes CentOS. Cet article a pour but de présenter l'exploitation de cette vulnérabilité sur les architectures x86, x86_64 et ARM.
Les implémentations JSF sont courantes dans les applications J2EE. Les JSF utilisent les ViewState, déjà connus pour les attaques cryptographiques liées à l'utilisation d'un oracle [PADDING] ou pour réaliser des attaques côté client de type Cross-Site Scripting [XSS]. Nous allons voir qu'en réalité, ceux-ci peuvent aussi être utilisés pour mettre à mal la sécurité d'une application côté serveur.
Lorsque l'on demande à Firefox de mémoriser des mots de passe, il est connu que ceux-ci sont stockés dans le fichier signons.sqlite, chiffrés via 3DES avec une clé située dans key3.db [1]. Mais se posent alors plusieurs questions. Par exemple, comment cette clé est-elle dérivée du 'mot de passe principal' ? Une recherche par force brute est elle possible? Cet article propose justement de décrire les formats de données et algorithmes utilisés afin de protéger vos mots de passe dans Firefox et Thunderbird.
Les auteurs ont collaboré sur un projet SIEM « Infrastructures » pour un grand groupe français, pendant plusieurs années. Ce retour d'expérience met en exergue les facteurs de réussite, qu'ils soient techniques ou organisationnels. Cet article est garanti « 100 % product-less » ;-)
La sécurité informatique se développe de plus en plus aujourd'hui vers de la sécurisation en amont (analyse de risques, pentest) et en aval (inforensique, réponse à incidents), mais peu sur les problématiques de détection des attaques et de surveillance de l'état de sécurité du SI. Pourtant, le monitoring permet d'obtenir un état précis et continu du niveau de sécurité d'un système d'information. Cette surveillance est opérée en pratique par des IDS (ou Systèmes de Détection d'Intrusions), et une corrélation des alertes remontées par chacun de ces outils peut être réalisée par un SIEM (Security Information and Event Management).Nous allons dans cet article tenter de vérifier s'il est réellement utile de s'équiper d'un SIEM pour monitorer son système d'information, ou si des IDS suffisent à eux seuls à assurer un bon niveau de détection.
Cet article dresse un rapide tour d’horizon de NetFlow, protocole injustement méconnu par beaucoup d’équipes sécurité et pourtant particulièrement utile pour analyser, en un clin d’œil, la bonne santé (ou pas) de vos réseaux.
Les Top Level Domains, tels que .fr, sont faciles à extraire avec une simple regex. Une fois n'est pas coutume pour Misc, voici un article entier sur une seule regex !
Les tests logiciels sont nécessaires pour s'assurer du niveau de qualité de l'application développée. Dans le cadre des tests de sécurité, il est aussi possible d'intégrer des tests de régression sur des failles déjà découvertes. Ceci a pour but d'identifier les éventuelles régressions lors d'évolutions logicielles. Nous proposons dans cet article un exemple dans un contexte de tests de régression en environnement Web relatif aux failles XSS.
Le directeur général est allé négocier un important contrat dans un pays étranger [1]. Son officier de sécurité l’avait averti sur les risques d’interception par le gouvernement local et de ne jamais mentionner le montant de l’offre française par téléphone. Il a également fait attention à ne jamais mentionner d’informations sensibles ni dans sa chambre d’hôtel ni dans les locaux avant la réunion finale. Le seul moment où il a mentionné le montant avant la soumission officielle, était par e-mail à son directeur financier pour avoir son avis suite à un changement de dernière minute. Cet e-mail était transmis sur un canal chiffré, le VPN SSL de l’entreprise. Il avait pris soin de s’authentifier avec son token et de vérifier l’absence d’erreurs de certificats. Pourtant… pourtant le champion local avait, semble-t-il, eu vent du montant et, au dernier moment, baissé son offre… à peine cent mille euros en dessous de la sienne. Le contrat était perdu, des mois d’efforts qui se soldent par un échec.Comment ce concurrent a-t-il fait ? Une nouvelle vulnérabilité dans SSL ? Un Zero-Day sur le concentrateur VPN ? Ou avait-il déjà compromis le SI de l’entreprise [2] ? Rien de tout cela : dans ce cas le gouvernement locala simplement utilisé une vulnérabilité inhérente à la conception du modèle de confiance de distribution des certificats SSL, afin d'aider l'entreprise concurrente.Cette attaque est connue depuis des années et documentée de façon spécifique en 2010 par Christopher Soghoian et Sid Stamm [Gov Cert] et rend accessible ce type d'interception de communications chiffrées à de nombreux gouvernements.Dans un premier temps, nous exposerons le fonctionnement de l’attaque avec un exemple de mise en œuvre technique puis nous aborderons différentes contre-mesures.
L'IDS/IPS Suricata présenté dans MISC n°66 est une sonde de détection/prévention d'intrusion développée depuis 2008 par la fondation OISF. Les fonctionnalités IPS suivent de près les évolutions des systèmes d'exploitation et Suricata propose notamment sous Linux des modes de fonctionnements inédits. Cet article se propose de détailler le fonctionnement et les possibilités du mode IPS.
L’objectif principal d’IPv6 est de palier au problème du manque d’adresses en IPv4. Cependant, IPv6 introduit aussi de nouvelles fonctionnalités et impacte de nombreux aspects d’Internet. Nous allons voir dans cet article quel est l’impact de ces nouveautés sur la privacy : est-il moins facile ou plus facile de protéger sa vie privée avec IPv6 ?

Magazines précédents

Les derniers articles Premiums

Les derniers articles Premium

Stubby : protection de votre vie privée via le chiffrement des requêtes DNS

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Depuis les révélations d’Edward Snowden sur l’espionnage de masse des communications sur Internet par la NSA, un effort massif a été fait pour protéger la vie en ligne des internautes. Cet effort s’est principalement concentré sur les outils de communication avec la généralisation de l’usage du chiffrement sur le web (désormais, plus de 90 % des échanges se font en HTTPS) et l’adoption en masse des messageries utilisant des protocoles de chiffrement de bout en bout. Cependant, toutes ces communications, bien que chiffrées, utilisent un protocole qui, lui, n’est pas chiffré par défaut, loin de là : le DNS. Voyons ensemble quels sont les risques que cela induit pour les internautes et comment nous pouvons améliorer la situation.

Surveillez la consommation énergétique de votre code

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Être en mesure de surveiller la consommation énergétique de nos applications est une idée attrayante, qui n'est que trop souvent mise à la marge aujourd'hui. C'est d'ailleurs paradoxal, quand on pense que de plus en plus de voitures permettent de connaître la consommation instantanée et la consommation moyenne du véhicule, mais que nos chers ordinateurs, fleurons de la technologie, ne le permettent pas pour nos applications... Mais c'est aussi une tendance qui s'affirme petit à petit et à laquelle à terme, il devrait être difficile d'échapper. Car même si ce n'est qu'un effet de bord, elle nous amène à créer des programmes plus efficaces, qui sont également moins chers à exécuter.

Donnez une autre dimension à vos logs avec Vector

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Avoir des informations précises et détaillées sur ce qu’il se passe dans une infrastructure, et sur les applications qu'elle héberge est un enjeu critique pour votre business. Cependant, ça demande du temps, temps qu'on préfère parfois se réserver pour d'autres tâches jugées plus prioritaires. Mais qu'un système plante, qu'une application perde les pédales ou qu'une faille de sécurité soit découverte et c'est la panique à bord ! Alors je vous le demande, qui voudrait rester aveugle quand l'observabilité a tout à vous offrir ?

Body