MISC N°

Numéro

76

Commençons par une banalité : l'affaire Snowden, qui nous envoie de bons baisers de Russie, a été un électrochoc. Ceci dit, quelques mois auparavant, l'intrusion de Bercy aussi. Tout comme celles de l'Élysée, de Belgacom, d'Areva, bref, la routine est faite d'Opérations Tonnerre. Elles ont toutes en commun d'être récentes. Difficile de trouver trace d'une grosse intrusion en France avant 2010.

Inutile de présenter le framework d'exploitation Metasploit, conçu par HD Moore et désormais maintenu par la société Rapid7. Devenu une trousse à outils incontournable pour les tests d'intrusion en quelques années, il est très largement utilisé par la communauté de la sécurité informatique. C'est d'ailleurs probablement cette communauté qui est à l'origine de ce succès, car elle contribue grandement au développement de l'outil. Mais comment peut-on contribuer au projet ? Est-ce à la portée de tout le monde ? En prenant un exemple concret de soumission d'exploit, nous allons essayer de répondre à ces questions.

Cet article décrit le malware Blame. Ce malware est un Remote Administration Tool (RAT) qui permet de prendre la main sur les systèmes infectés. La plus ancienne version identifiée dans la nature date de 2012, et la plus récente de cette année. Ce malware est donc utilisé depuis plus deux ans. Cet article décrit le dropper, ainsi que l’astuce mise en place par le développeur pour tromper les analystes. Il traite également des systèmes d'obfuscation mis en place.

Cet article fait suite au premier publié dans le numéro 72. La première partie présentait l'acquisition de la mémoire volatile d'un système GNU/Linux ainsi que les « internals » de Volatility. Cet article présente les commandes et les possibilités d'analyses associées avec un rappel sur les structures noyaux utilisées.

Cet article propose une introduction au fonctionnement des différentes solutions de « Cloud Computing ». Comme toute nouvelle technologie, nous verrons que ces nouvelles solutions arrivent de concert avec de nouvelles problématiques liées à la sécurité.

Pour ce dossier consacré à la sécurité du cloud, nous livrons avec cet article une introduction à un nouveau domaine de vulnérabilités apparu avec la virtualisation et le partage des ressources qu’elle induit, celui de la gestion dynamique des ressources connue sous la terminologie « élasticité du cloud ».

Cet article propose une présentation des technologies mises en œuvre au niveau matériel pour assurer la protection des machines virtuelles sur plateforme x86. Ces solutions sont notamment utilisées par certaines plateformes de « cloud computing ».

Terme devenu à la mode pour désigner une réalité technique finalement assez ancienne, le Cloud Computing soulève certaines questions juridiques, mais également éthiques.

Les réseaux Fast-Flux sont une menace parfois méconnue, mais malgré tout présente pour les utilisateurs de l’Internet. Si elle est rare et à faible impact au début de sa croissance, elle reste une nuisance qui peut s’avérer désastreuse par la suite comme le phishing, les malwares ou autres attaques de grandes ampleurs sur des cibles de choix. Toutes ces raisons font que les réseaux Fast-Flux doivent être pris au sérieux. Cependant, il est très difficile à l’heure actuelle de trouver des solutions efficaces pour différencier un domaine Fast-Flux d’un domaine sain. C’est pourquoi nous proposons une méthode de détection dans le cas d’une connexion d’un utilisateur vers un domaine Fast-Flux.

Bien que les attaques en bruteforce des SSH fassent partie du bruit blanc du trafic réseau des systèmes connectés, leur étude révèle des profils d'attaquants à l'hétérogénéité intrigante. Leur analyse approfondie grâce à un pot de miel dédié révèle des informations intéressantes sur les agresseurs.

La convergence LAN/SAN s'introduit lentement, mais sûrement dans les réseaux des entreprises, même si cela se fait sous des formes différentes de celles prévues. Avec ces technologies viennent évidemment de nouvelles failles, mais également une plus grande exposition qui, via une mutualisation de fait des réseaux, ne permet plus de considérer le réseau de stockage avec la même légèreté qu'un SAN Fibre Channel isolé au fond du Datacenter. Dans la foulée de la première partie [1], focalisée sur les SAN Fibre Channel classiques, cet article aborde les différentes technologies de convergence LAN/SAN sur le marché, puis, après quelques explications sur leur fonctionnement présente les risques et contre-mesures spécifiques à chacun.

Lorsqu’un internaute visite un site web ou s’y inscrit, il laisse certaines de ses données personnelles au site. Mais des acteurs tiers peuvent aussi en être destinataires… Peu visibles de l’internaute, ils agissent parfois à l’insu du site web lui-même. Ce sont d’abord des acteurs situés au niveau applicatif, dont le code source s'exécute directement dans la page web (régies publicitaires, services de mesure d’audience, plateformes RTB). Ce sont aussi les CDN, qui se positionnent comme des intermédiaires au niveau réseau. Nous vous proposons l'analyse de deux méthodes utilisées pour détecter ces fuites de données. Les exemples présentés dans cet article sont fictifs, mais fondés sur des situations réelles rencontrées lors de contrôles de la CNIL.