MISC N°
Numéro
85

Tests d'intrusion internes : attaques et contre-mesures

Temporalité
Mai/Juin 2016
Image v3
Tests d'intrusion internes : attaques et contre-mesures
Article mis en avant

Résumé

La pratique d’un test d’intrusion externe pour un auditeur s’apparente souvent à une partie de roulette. Outre les compétences et l’expérience, à moins de recourir à des techniques de social engineering et autres envois de messages piégés, la compromission du réseau cible tient pour beaucoup à la chance. Et pour une fois, l’avantage est plutôt du côté du défenseur. À moins de disposer d’une surface d’attaque monstrueuse, tout en étant particulièrement peu regardant sur ce qui se passe sur son réseau. L’insécurité généralisée d’Internet faisant que lorsque l’on dispose de failles béantes son réseau tombe sous les coups de boutoir des scripts kiddie bien avant le passage d’un auditeur.

Dans ce numéro...


En 2010, Jean-Marc Manach publiait « La vie privée, un problème de vieux cons ? ». Cet ouvrage discute, pour la mettre à mal, l’opinion répandue selon laquelle les natifs du numérique considéreraient qu’il est légitime d’être tracé numériquement et que leur vie privée est une marchandise échangée contre le droit d’accéder gratuitement à des services en ligne.
Qu’on se prenne pour James Bond ou pour un shaman, ce que notre industrie appelle la Threat Intelligence fait place à beaucoup de fantasmes que les vendors nourrissent joyeusement à chaque fois qu’un nouveau rapport est publié. Mais, concrètement, à quoi ça sert de « faire de la threat intelligence » ? Quelle est la différence par rapport au renseignement classique ? Quels sont les avantages concrets que le renseignement sur les menaces apporte lors de la gestion d’un incident de sécurité ? C’est ce que cet article cherche à expliquer, du point de vue de deux DFIRers.
Lors du démarrage d'un test d'intrusion interne, il est possible de se retrouver dans une situation désagréable où aucune vulnérabilité ne semble exploitable dans les services accessibles. Sans un premier accès à une machine du périmètre, il peut être compliqué d'atteindre la très convoitée position d'administrateur du domaine. Cependant, dans bien des cas, il va être possible de démarrer la compromission en exploitant les protocoles de résolution de noms utilisés par Windows. L'outil Responder est fait pour ça.
Début 2015, un nouveau rançongiciel a vu le jour : TeslaCrypt. Ce malware a tout d'abord ciblé des machines avec certains jeux vidéo spécifiques installés pour aujourd'hui cibler tout type de machine sous Windows. En mai 2015, des chercheurs (http://blogs.cisco.com/security/talos/teslacrypt) ont trouvé une faiblesse dans l'implémentation du déchiffrement des fichiers. Peu après cette découverte, les développeurs du malware ont implémenté une version 2.0 du rançongiciel corrigeant leur erreur. Aujourd'hui, nous sommes à la version 3.0 de ce code.
Nombreuses sont les entreprises mettant en œuvre des restrictions logicielles sur les socles système de ressources jugées critiques, de par leur degré d’exposition ou du point de vue de la continuité de leur activité. Cet article vise, en détaillant plusieurs méthodes, à démontrer comment ces restrictions peuvent être contournées.
Depuis 2012 sont apparues des publications à propos de la compromission de l'Active Directory et des vulnérabilités dans les mécanismes d'authentification Kerberos. Mimikatz, implémentant certaines attaques, et le site adsecurity.org fournissant un mode d’emploi deviennent de plus en plus connus. Votre Active Directory est-il en mesure de résister à ces nouvelles attaques ?
Quoi de plus dangereux que l’assurance injustifiée d’un bon niveau de sécurité ? Plusieurs remèdes largement employés par les entreprises deviennent finalement de nouveaux maux, parfois plus graves que ceux qu'ils devaient corriger. Les « bonnes recettes », laissées entre des mains inexpertes, sont des portes ouvertes aux pires revers.
Aujourd'hui, alors que les systèmes d'exploitation et les navigateurs sont de mieux en mieux protégés, le réseau, qui est à la base de tous nos systèmes informatiques est toujours vulnérable, à tout un tas de techniques vieilles comme le monde. Après un bref rappel des fondamentaux, nous vous proposons dans cet article de revenir sur plusieurs de ces techniques en détaillant les principes théoriques et leur mise en œuvre.Il sera d'abord question des attaques de type « MiTM » aussi connues sous l'appellation « Attaques par le milieu » qui permettent à un attaquant local d'écouter le trafic, mais aussi et surtout de compromettre des machines. On abordera aussi les attaques réseau  pour effectuer un saut de VLAN ou détourner du trafic.
AES est une solution de chiffrement puissante. Ceci implique notamment qu'elle doit être manipulée avec soin et ne pas être laissée entre les mains de développeurs trop pressés. Comme pour la plupart des chiffrements modernes, les failles résultent essentiellement d'une mauvaise utilisation/implémentation plutôt que d'un problème intrinsèque.
Le Mainframe, objet souvent mystérieux parfois qualifié de « relique » est entouré d'une aura toute particulière. Technologie des années 60, mais néanmoins massivement utilisée de nos jours par des banques, assurances ou encore des compagnies aériennes, sa sécurité reste moins publiquement discutée que d'autres systèmes tels qu'Un*x ou Windows. Étant un point critique du SI, un audit intrusif est primordial. Quelle démarche suivre lorsque l’on est confronté à ce type de système ? Quels outils utiliser ? Et surtout, quels réflexes adopter ?
De nombreuses publications détaillent le mode opératoire des attaques APT (Advanced Persistent Threat), ces attaques qui ciblent des entités diverses et variées afin de leur dérober leurs propriétés intellectuelles ou encore de les espionner. Ces attaques suivent généralement le même schéma connu et reconnu. Par contre, peu d’informations sont disponibles sur les attaquants. Certains chercheurs exposent des identités réelles d’attaquants, mais cela ne fournit pas forcément d’information sur les différents profils présents dans les groupes APT. Le but de cet article est de fournir une vue plus précise sur les profils composant ces groupes d’attaquants, ainsi que la façon dont ils sont structurés.

Magazines précédents

Les derniers articles Premiums

Les derniers articles Premium

PostgreSQL au centre de votre SI avec PostgREST

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Dans un système d’information, il devient de plus en plus important d’avoir la possibilité d’échanger des données entre applications. Ce passage au stade de l’interopérabilité est généralement confié à des services web autorisant la mise en œuvre d’un couplage faible entre composants. C’est justement ce que permet de faire PostgREST pour les bases de données PostgreSQL.

La place de l’Intelligence Artificielle dans les entreprises

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

L’intelligence artificielle est en train de redéfinir le paysage professionnel. De l’automatisation des tâches répétitives à la cybersécurité, en passant par l’analyse des données, l’IA s’immisce dans tous les aspects de l’entreprise moderne. Toutefois, cette révolution technologique soulève des questions éthiques et sociétales, notamment sur l’avenir des emplois. Cet article se penche sur l’évolution de l’IA, ses applications variées, et les enjeux qu’elle engendre dans le monde du travail.

Petit guide d’outils open source pour le télétravail

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Ah le Covid ! Si en cette période de nombreux cas resurgissent, ce n’est rien comparé aux vagues que nous avons connues en 2020 et 2021. Ce fléau a contraint une large partie de la population à faire ce que tout le monde connaît sous le nom de télétravail. Nous avons dû changer nos habitudes et avons dû apprendre à utiliser de nombreux outils collaboratifs, de visioconférence, etc., dont tout le monde n’était pas habitué. Dans cet article, nous passons en revue quelques outils open source utiles pour le travail à la maison. En effet, pour les adeptes du costume en haut et du pyjama en bas, la communauté open source s’est démenée pour proposer des alternatives aux outils propriétaires et payants.

Sécurisez vos applications web : comment Symfony vous protège des menaces courantes

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Les frameworks tels que Symfony ont bouleversé le développement web en apportant une structure solide et des outils performants. Malgré ces qualités, nous pouvons découvrir d’innombrables vulnérabilités. Cet article met le doigt sur les failles de sécurité les plus fréquentes qui affectent même les environnements les plus robustes. De l’injection de requêtes à distance à l’exécution de scripts malveillants, découvrez comment ces failles peuvent mettre en péril vos applications et, surtout, comment vous en prémunir.

Body