MISC N°

Sécurité des moyens de paiement

Janvier/Février 2015

Introduction au dossier : Des achats en toute sécurité : comment faciliter les échanges tout en évitant la fraude ?

Une nouvelle année commence, et si j'ai souhaité à ma famille, à mes amis, santé et réussite (ce que je vous souhaite aussi amis lecteurs), je n'ai pas particulièrement pensé à leur souhaiter une année sans fraude bancaire. Pourtant la plupart d'entre nous sortent à peine d'une période d'application frénétique d'un comportement, qu'on pourrait juger à risque, développé tout au long de l'année : l'utilisation insouciante de la carte bancaire.

Dans ce numéro...

Édito : Auto-nécrologie d'un rédacteur en chef (mais pas que)

Par Raynal Frederic

MISC

n°

janvier 2015

| Raynal Frederic

Après de nombreuses années au service de MISC en tant que rédacteur en chef, il nous quitte. Certains diront « enfin », les plus joueurs qu'il nous double. En tout cas, il en avait une belle paire et se défonça pour ce magazine au point de se mettre carpette. Enfin ... tapis. C'est donc avec émotion, tremblant, chancelant, limite brelan, que je rédige ce dernier édito, cette auto-nécrologie.

> Lire l'extrait

Exploitation de la CVE-2014-7228 : exécution distante de code dans Joomla! / Akeeba Kickstart

Par Herbulot Vincent

Exploit

MISC

n°

janvier 2015

| Herbulot Vincent

Le 24 septembre 2014, Johannes Dahse reporte deux vulnérabilités à l'équipe Akeeba Backup et à la JSST (Joomla Security Strike Team). L'une d'entre elles, la CVE-2014-7228, permet une exécution de code distante sous certaines conditions.

> Lire l'extrait

« Hookons » avec JavaSnoop !

Par Soullie Arnaud, Debize Thomas

Sécurité du code Pentest

MISC

n°

janvier 2015

| Soullie Arnaud, Debize Thomas

L’auditeur le plus motivé peut se retrouver désappointé lors de l’audit d’une application client-lourd développée en Java. On décompile et on regarde le code source ? Pourquoi se donner tant de mal ? Cet article présente le logiciel JavaSnoop, qui facilite l’audit d’applications Java en permettant d’intercepter et de modifier à la volée les appels aux méthodes Java, puis nous conclurons par un cas pratique d’utilisation.

> Lire l'extrait

Utilisation de l'analyseur de performances en live forensic Windows

Par Guichard Jean-Philip

Forensic

MISC

n°

janvier 2015

| Guichard Jean-Philip

Il est parfois nécessaire en traitement d'incident d'analyser une machine pour trouver le processus responsable d'une communication TCP ou UDP jugée suspecte. Les outils permettant d'afficher les communications actives des processus (netstat, resmon...) ne sont alors pas toujours adaptés. Par exemple lorsqu'il s'agit d'identifier l'origine d'une communication UDP ou dans le cas d'une communication nocturne qui implique une analyse a posteriori. Il faut alors pouvoir journaliser les événements de communications réseaux des processus de la machine. L'article présente une méthode simple basée sur un outil standard Windows : l'analyseur de performances.

> Lire l'extrait

La carte bancaire, comment ça marche ?

Par Galindo Virginie

Société Sécurité système

MISC

n°

janvier 2015

| Galindo Virginie

Carte bleue, carte gold, carte sans contact, quel que soit son petit nom, la carte de paiement fait partie des piliers technologiques des échanges monétaires mondiaux.

> Lire l'extrait

Cartes bancaires et e-commerce

Par Charpentier Frédéric

Sécurité réseau Société Sécurité système

MISC

n°

janvier 2015

| Charpentier Frédéric

La nature des échanges lors d'un paiement sur Internet demeure un domaine méconnu. Aux yeux de l'internaute lambda, la sécurité du paiement e-commerce repose sur la présence du fameux petit cadenas HTTPS. Derrière le formulaire où l'on saisit son numéro de carte, que se passe-t-il ? Découvrons ce domaine méconnu où les échanges transitent au travers d'une tuyauterie complexe, aussi appelée « Monétique ».

> Lire l'extrait

Organisation d'un groupe cybercriminel de chasseurs de cartes

Par Barrot Louis-Herve

Sécurité système

MISC

n°

janvier 2015

| Barrot Louis-Herve

La guerre contre la cybercriminalité se fait chaque jour de plus en plus intense, comme le disait Sun Tse pour remporter la victoire : « Connais ton ennemi et connais-toi toi-même ».Le groupe cybercriminel étudié ici n'est pas fictif, certains éléments ont cependant été modifiés ou omis volontairement.

> Lire l'extrait

Fraude aux mouchards bancaires (« skimming ») et analyse forensique

Par Souvignet Thomas, Regnery Matthieu

Sécurité système Forensic

MISC

n°

janvier 2015

| Souvignet Thomas, Regnery Matthieu

La fraude aux moyens de paiement s’élève à plus de 450 millions d’euros par an en France [1]. Nous présenterons dans cet article les dispositifs qu’utilisent les fraudeurs pour capter les données des cartes de paiement puis nous dévoilerons, sans outrepasser la confidentialité liée à ces techniques sensibles, quelques procédés d’analyse de ces systèmes.

> Lire l'extrait

Le bitcoin : de l'argent liquide numérique

Par Delahaye Jean-Paul

Société Crypto

MISC

n°

janvier 2015

| Delahaye Jean-Paul

Les monnaies cryptographiques sont fondées sur les réseaux P2P et la cryptographie mathématique. Elles ne reposent sur aucune autorité centralisée. Elles permettent des transactions quasi-instantanées et sans coût.

> Lire l'extrait

Manipulation du trafic et des protocoles réseaux en userland (partie 1/2)

Par David Robin

Sécurité réseau

MISC

n°

janvier 2015

| David Robin

De nombreux outils permettent la manipulation du réseau en userland. Le plus connu est Scapy qui permet de coder, décoder,recevoir et envoyer des trames sur le réseau en fournissant une interface aux RAW sockets. Cet article montre les possibilités offertes en combinant une pile TCP/IP « stateful » basique avec Scapy pour la manipulation et la création de trafic réseau.

> Lire l'extrait

Surveillance généralisée : quid de la confidentialité persistante ?

Par Gaspar Émilien (gapz)

Crypto

MISC

n°

janvier 2015

| Gaspar Émilien (gapz)

Dans l'écosystème actuel des bonnes propriétés cryptographiques des outils à destination du grand public, nous avons la désormais célèbre « confidentialité persistante ». Conceptualisée puis implémentée à la fin des années 1980, elle devient aujourd'hui incontournable dans l'élaboration de nouveaux protocoles de communication à destination du plus grand nombre, tels OTR ou celui utilisé par crypto.cat.

> Lire l'extrait

Quel plan d’action pour la diffusion, l’explication et la mise en application de la nouvelle PSSI de l’État ?

Par Virole Denis

Droit Sécurité organisationnelle

MISC

n°

janvier 2015

| Virole Denis

Le 17 juillet 2014, le Gouvernement français publiait la circulaire n°5725/SG imposant aux différents ministères ou autorités administratives de s’organiser afin de mettre en œuvre la Politique Sécurité Système d’Information de l’État (PSSI E), élaborée par l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI). La PSSI de l’État doit s’appliquer aux systèmes d’information traitant les informations non classifiées de défense. Elle doit être mise en œuvre sur tous les systèmes d’information des administrations de l’État : ministères, établissements publics sous tutelle d’un ministère, services déconcentrés de l’État et autorités administratives indépendantes.

> Lire l'extrait

Utilisation d’une sonde de détection (suricata) comme contre-mesure à l’usurpation d’e-mails

Par Courbier François

Sécurité réseau

MISC

n°

janvier 2015

| Courbier François

Le spam d’e-mails a constitué pas moins de 69.6% du trafic e-mail en 2013, et 3.2% de l’ensemble des e-mails contenaient des malwares en pièce jointe [1]. Pour répondre aux attaques ciblées d'usurpation d'adresses e-mail, il est possible d'utiliser la sonde suricata avec un plugin spécifique pour loguer ou bloquer les spams ciblés.

> Lire l'extrait

Acheter ce numéro en version papier

J'achète ce numéro

Accès par numéro standard

129

Active Directory CS : quand la configuration est votre pire ennemie !

128

Sécurité de KeePass & techniques d’extraction des secrets

127

Bug Bounty - Quand les hackers deviennent chasseurs de primes !

126

USB - Votre pire ennemi ? Un vecteur d’attaque souvent négligé…

125

Web 2023 - Les nouvelles surfaces d’attaques !

124

Objets connectés : Quels risques pour votre système d’information ?

123

Patch management - Améliorer les processus de mise à jour de sécurité

122

Adopter le DevSecOps - Intégrer la sécurité dans votre production informatique

121

Sécurité & langages de programmation

120

Gestion de parc : Active Directory - Est-il toujours la solution incontournable ?

119

Outils et méthodes pour l’analyse et la réponse à incident

118

Techniques d’OSINT à l’usage des honnêtes gens

117

Sécurisez votre production informatique

116

EDR : Quel apport pour la sécurité de votre parc ?

115

Tour d’horizon de la sécurité de la 5G

114

Puces sécurisées : À la découverte de la sécurité matérielle

113

ARM & Sécurité

112

Sécurité de l'orchestrateur Kubernetes

111

Télétravail : comment ne pas sacrifier la sécurité ?

110

Zero Trust : avenir de la sécurité ou chimère marketing ?

109

Outils Python pour la recherche et l'exploitation de vulnérabilités

108

Sécurité des navigateurs web : où en sommes-nous ?

107

Ransomwares : état de la menace

106

Éprouver la sécurité des applications mobiles

105

Sécurité des environnements cloud Amazon Web Services

104

Masquez vos attaques pour bien réussir vos missions Red Team

103

Pentest Windows : outils & techniques

102

Durcissement de la sécurité des systèmes GNU/Linux

101

Sécurité des applications web

100

Supervision : retours d'expériences autour des SIEM

Environnements d'exécution sécurisés : de SGX à TrustZone

Authentification : enfin la fin des mots de passe ?

Meltdown, Spectre, Cryptanalyse : comprendre le fonctionnement des attaques par canaux auxiliaires !

Blockchain : un réel progrès pour la sécurité ?

Docker : quelle sécurité pour les conteneurs ?

CERT, CSIRT et SOC en pratique : comment s’organiser et quels outils mettre en place

Wikileaks et les Shadow Brokers

Exploration des techniques de Reverse Engineering

Smart Cities : comment protéger les villes intelligentes ?

Telegram, Signal, WhatsApp : quelle confiance leur accorder ?

Pub & Internet : le nouvel arsenal des publicitaires

Web : quelles évolutions pour la sécurité ?

Social Engineering : découvrez les techniques de manipulation et apprenez à les déjouer

Quelle sécurité pour l'Internet des Objets ?

Tests d'intrusion internes : attaques et contre-mesures

Disaster Recovery : outils et organisation

IPv6 : 10 ans après !

Protégez vos codes à tous les niveaux

Vie privée sur le Web : souriez, vous êtes tracés !

Windows : quelle sécurité pour le plus populaire des OS ?

APT : Advanced Persistent Threats

Navigateurs web : quels mécanismes pour renforcer leur sécurité ?

Sécurité des moyens de paiement

Sécurité du Cloud : peut-on confier son infrastructure à un tiers ?

Les objets connectés : de nouveaux usages partout, la sécurité nulle part ?

Les réseaux industriels : découvrir leur fonctionnement, comprendre leurs vulnérabilités !

Confrontez-vous aux meilleurs : mesurez vos compétences grâce aux challenges de sécurité !

Comprendre le déni de service pour mieux le prévenir

SSL & TLS : la crypto peut-elle nous protéger ?

Big Data quand la taille compte !

Supervisez la sécurité de votre système d'information !

Télévision & téléphonie : la sécurité ultra-connectée

Apple & Mac ou la face cachée de la pomme...

Bring Your Own Device... ou l'histoire d'une bombe à retardement !

Les fleurs du MALware

Firewall : Grande muraille de Chine ou ligne Maginot ?

Sécurité Android

Sécurité des applications sous Linux

Sécurité des bases de données

Cloud Computing et sécurité : une difficile cohabitation ?

Ingénierie sociale sur Internet : quand le Web devient un outil d'influence et de leurre

Sécurité et architecture PC : l'impossible confiance ?

Sexe, drogue et sécurité informatique

Forensics : les nouveaux enjeux

Au coeur des technologies sécurité de Microsoft

Anonymat sur Internet : risque ou nécessité ?

La sécurité du Wi-Fi : des paroles en l'air ?

4 outils indispensables pour tester votre sécurité !

Sécurité des OS mobiles

La sécurité des jeux

Vulnérabilités Web et XSS

Comment se protéger contre la peste SPAM ?

La lutte antivirale, une cause perdue ?

Construisez et validez votre sécurité

La sécurité de Java en question !

Compromissions électromagnétiques

La sécurité des Web Services

La virtualisation : vecteur de vulnérabilité ou de sécurité ?

La cybercriminalité... ou quand le net se met au crime organisé

Sécurité des réseaux : les nouveaux enjeux

Fuzzing : injectez des données et trouvez les failles cachées

Codes malicieux : quoi de neuf ?

Déni de service : vos serveurs en ligne de mire

Spécialités

Magazines précédents

MISC N°76

Sécurité du Cloud : peut-on confier son infrastructure à un tiers ?

MISC N°75

Les objets connectés : de nouveaux usages partout, la sécurité nulle part ?

MISC N°74

Les réseaux industriels : découvrir leur fonctionnement, comprendre leurs vulnérabilités !

MISC N°73

Confrontez-vous aux meilleurs : mesurez vos compétences grâce aux challenges de sécurité !

MISC N°72

Comprendre le déni de service pour mieux le prévenir

MISC N°71

SSL & TLS : la crypto peut-elle nous protéger ?

Les derniers articles Premiums

Les derniers articles Premium

Stubby : protection de votre vie privée via le chiffrement des requêtes DNS

Contenu Premium

Par

Brocas Christophe

Sécurité système

Depuis les révélations d’Edward Snowden sur l’espionnage de masse des communications sur Internet par la NSA, un effort massif a été fait pour protéger la vie en ligne des internautes. Cet effort s’est principalement concentré sur les outils de communication avec la généralisation de l’usage du chiffrement sur le web (désormais, plus de 90 % des échanges se font en HTTPS) et l’adoption en masse des messageries utilisant des protocoles de chiffrement de bout en bout. Cependant, toutes ces communications, bien que chiffrées, utilisent un protocole qui, lui, n’est pas chiffré par défaut, loin de là : le DNS. Voyons ensemble quels sont les risques que cela induit pour les internautes et comment nous pouvons améliorer la situation.

Ajouter à une liste de lecture

Surveillez la consommation énergétique de votre code

Contenu Premium

Par

Beuret Stéphane

Système

Être en mesure de surveiller la consommation énergétique de nos applications est une idée attrayante, qui n'est que trop souvent mise à la marge aujourd'hui. C'est d'ailleurs paradoxal, quand on pense que de plus en plus de voitures permettent de connaître la consommation instantanée et la consommation moyenne du véhicule, mais que nos chers ordinateurs, fleurons de la technologie, ne le permettent pas pour nos applications... Mais c'est aussi une tendance qui s'affirme petit à petit et à laquelle à terme, il devrait être difficile d'échapper. Car même si ce n'est qu'un effet de bord, elle nous amène à créer des programmes plus efficaces, qui sont également moins chers à exécuter.

Ajouter à une liste de lecture

Donnez une autre dimension à vos logs avec Vector

Contenu Premium

Par

Beuret Stéphane

Système

Avoir des informations précises et détaillées sur ce qu’il se passe dans une infrastructure, et sur les applications qu'elle héberge est un enjeu critique pour votre business. Cependant, ça demande du temps, temps qu'on préfère parfois se réserver pour d'autres tâches jugées plus prioritaires. Mais qu'un système plante, qu'une application perde les pédales ou qu'une faille de sécurité soit découverte et c'est la panique à bord ! Alors je vous le demande, qui voudrait rester aveugle quand l'observabilité a tout à vous offrir ?

Ajouter à une liste de lecture

Écriture d’une API REST en Python : sécurisation des requêtes Flask RESTful

Contenu Premium

Par

Colombo Tristan

Code

Créer une API REST, c’est bien, mais la sécuriser, c’est mieux. Dans cet article, nous allons aborder le problème de la sécurisation des requêtes au sein d’une API REST élaborée à l’aide du framework Flask RESTful.

Ajouter à une liste de lecture