MISC N°

Telegram, Signal, WhatsApp : quelle confiance leur accorder ?

Mars/Avril 2017

Introduction au dossier : Signal, Telegram et consorts : des messageries vraiment sécurisées ?

S’il est un sujet relatif à la sécurité dont le grand public s’est emparé ces dernières années c’est bien celui de la vie privée. Grâce aux révélations de Snowden, aux leaks sauvages de données personnelles défrayant la chronique chaque mois ou encore aux publicités ciblées de plus en plus invasives, le grand public a largement saisi les enjeux de la préservation de sa vie privée en ligne.

Dans ce numéro...

Édito : L’IA, c’est plus fort que toi.

Par Foll Cédric

MISC

n°

mars 2017

| Foll Cédric

Ces dernières semaines, quelques articles ont relayé la première victoire d’une intelligence artificielle contre des joueurs professionnels de Poker. Une victoire d’abord symbolique. Si l’on s’était habitué depuis quelque temps à ce que la machine supplante l’homme aux jeux ne laissant que peu de place au hasard, le Poker semblait pouvoir rester, encore pour quelque temps, un jeu pour lequel une analyse froide ne suffirait pas. Pourtant à bien y regarder, il s’agit essentiellement d’un calcul de probabilités, domaine trivial pour un ordinateur si on lui fournit assez de données, avec un soupçon d'adaptation au style du jeu de l’adversaire. Mais le grand public et la presse n’aiment rien tant que se faire peur en imaginant un futur proche dans lequel les ordinateurs dépasseront les humains pour la plupart des tâches.

> Lire l'extrait

Authentification interprotocolaire sous Windows et élévation de privilèges

Par Garrigues Christophe

Exploit

MISC

n°

mars 2017

| Garrigues Christophe

Plusieurs vulnérabilités d’élévation de privilèges ont été découvertes sur les systèmes Windows ces derniers temps, reposant sur un même concept. Bien qu’elles aient été rectifiées, elles révèlent en réalité un problème bien plus profond, qui lui, n’est pas corrigé. En effet, la force d’interopérabilité entre les protocoles présents sous Windows en fait aussi sa faiblesse.

> Lire l'extrait

Injection de DLL dans le service IKEEXT : un moyen (encore) efficace pour élever ses privilèges sous Windows

Par Labro Clément

Sécurité système Pentest

MISC

n°

mars 2017

| Labro Clément

Sur les systèmes Windows, l'injection de DLL dans le service IKEEXT est un sujet qui remonte à la fin de l'année 2012. Il s'agit d'une faiblesse donnant lieu à une élévation de privilèges sous certaines conditions. Introduit sous Vista, ce problème n'a cependant été corrigé qu'à partir de Windows 8.1. Or, les systèmes Windows 7/Server 2008 R2 sont, encore aujourd'hui, largement présents dans les entreprises et force est de constater que son exploitation est toujours aussi simple et efficace.

> Lire l'extrait

À la découverte de Mirai

Par Mélin Vincent

Malware

MISC

n°

mars 2017

| Mélin Vincent

Le malware Mirai a fait beaucoup parler de lui durant le second semestre 2016. Outre son utilisation dans des attaques DDoS « massives », c’est aussi parce que c’est un exemple de l’usage d’équipements tels que des routeurs, des caméras IP ou des enregistreurs vidéos qu’il a défrayé la chronique.

> Lire l'extrait

Dans la jungle des messageries instantanées

Par Kadhi Saad

Sécurité réseau Société

MISC

n°

mars 2017

| Kadhi Saad

Armée d’ordiphones et de tablettes, une part substantielle de l’humanité utilise très fréquemment des applications de messagerie instantanée pour communiquer. Les solutions ne manquent pas dans ce domaine. Elles sont même surabondantes. Mais vues des angles croisés de la sécurité et du respect de la vie privée, leurs similitudes ne sautent pas toujours aux yeux.

> Lire l'extrait

Telegram, la controversée

Par Mathiot Jef

Sécurité réseau

MISC

n°

mars 2017

| Mathiot Jef

Très prisée du grand public — ses développeurs revendiquent 100 millions d’utilisateurs actifs chaque mois — l’application de messagerie Telegram est disponible sur quasiment toutes les plateformes mobiles ou desktop. Elle fait aussi l’objet de critiques régulières, souvent sévères. En matière de sécurité, Telegram est-elle une panacée ou une catastrophe ? La réalité se situe sans doute quelque part entre les deux.

> Lire l'extrait

Chiffrement de messagerie quasi instantanée : à quel protocole se vouer ?

Par Maury Florian

Crypto Sécurité réseau

MISC

n°

mars 2017

| Maury Florian

Telegram, WhatsApp, Signal, OTR… et autant de protocoles de messagerie quasi instantanée, de modèles de sécurité et de protocoles cryptographiques : lesquels choisir ? Et si la solution idéale n’était pas dans la liste précédente ? Cet article évoque les limites de plusieurs de ces solutions, et présente le cœur cryptographique de Signal, WhatsApp et du protocole OMEMO. Il met finalement en exergue, par une analyse comparative, certaines limites de Signal et des qualités d’OMEMO.

> Lire l'extrait

Présentation de l’attaque Man In The Contacts pour piéger les utilisateurs de WhatsApp, Signal et Telegram

Par Matos Jérémy

Sécurité réseau

MISC

n°

mars 2017

| Matos Jérémy

L’année 2016 a marqué l’essor du chiffrement de bout en bout pour les messageries mobiles, avec notamment l’activation d’un tel protocole pour WhatsApp en avril. Mais aussi avec l’engouement autour de l’application Signal suite aux recommandations d’Edward Snowden [1]. Véritable progrès pour la vie privée de ses utilisateurs, c’est son utilisation supposée par des groupes terroristes qui a fait les grands titres des médias. C’est ainsi que Bernard Cazeneuve a mentionné l’application Telegram lors d’un déplacement à Berlin le 23 août 2016, en déclarant vouloir « armer véritablement nos démocraties sur la question du chiffrement » [2].

> Lire l'extrait

Durcissement des commutateurs HP Comware

Par Beaulieu Éric

Sécurité réseau

MISC

n°

mars 2017

| Beaulieu Éric

Les commutateurs réseau (que l’on appelle communément des switchs) sont les équipements informatiques situés au plus près du poste de travail de l’utilisateur (ou des serveurs). Il est donc important – dans une optique de défense en profondeur – d’assurer la sécurité de ces dispositifs. Nous nous attacherons dans cet article à détailler le durcissement (ou « Hardening ») des commutateurs disposant du système HP Comware.

> Lire l'extrait

Usurpations de préfixes en BGP

Par Valadon Guillaume

Sécurité réseau

MISC

n°

mars 2017

| Valadon Guillaume

Le sujet des usurpations de préfixes en BGP (en anglais BGP hijacking) est récemment revenu au goût du jour à travers différents rapports publics décrivant leurs utilisations dans un but offensif. Cet article propose de faire le point sur ce sujet en commençant par des rappels sur BGP et le contexte des usurpations récentes. Il décrit ensuite les mécanismes de détection et de prévention qu'il est possible de mettre en œuvre.

> Lire l'extrait

L’évolution de la fonction CIL vers la fonction DPO

Par Virole Denis

Droit Sécurité organisationnelle

MISC

n°

mars 2017

| Virole Denis

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données définit dans la section 4, articles 37, 38 et 39 la désignation du Délégué à la Protection des Données, ses fonctions et ses missions. Le G29 a adopté le 13 décembre 2016 un « Guidelines on Data Protection Officers » afin d’aider les organismes à se mettre en conformité dans la désignation du DPO. Pourtant, un grand nombre d’organismes au sein de l’union se pose un grand nombre de questions dans l’interprétation de ces différents textes. Le DPO est-il simplement le nouveau nom du Correspondant à la Protection des données (CIL) pour la France ou s’agit-il d’une nouvelle fonction ? Comment intégrer la répartition des fonctions dans la gouvernance pour la sécurité des données à caractère personnel et la protection de la vie privée ?

> Lire l'extrait

Psychologie… et mots de passe

Par Levier Laurent

Crypto

MISC

n°

mars 2017

| Levier Laurent

La qualité de l’authentification constitue de nos jours l’unique moyen de protection de la vie privée et de l’accès à l’information. Mais très souvent celle-ci n’est constituée que d’un mot de passe dont la fabrication repose sur des individus aux comportements stéréotypés, permettant une forte prédictibilité des choix.

> Lire l'extrait

Acheter ce numéro en version papier

J'achète ce numéro

Accès par numéro standard

130

Introduction pratique aux attaques par canaux auxiliaires

129

Active Directory CS : quand la configuration est votre pire ennemie !

128

Sécurité de KeePass & techniques d’extraction des secrets

127

Bug Bounty - Quand les hackers deviennent chasseurs de primes !

126

USB - Votre pire ennemi ? Un vecteur d’attaque souvent négligé…

125

Web 2023 - Les nouvelles surfaces d’attaques !

124

Objets connectés : Quels risques pour votre système d’information ?

123

Patch management - Améliorer les processus de mise à jour de sécurité

122

Adopter le DevSecOps - Intégrer la sécurité dans votre production informatique

121

Sécurité & langages de programmation

120

Gestion de parc : Active Directory - Est-il toujours la solution incontournable ?

119

Outils et méthodes pour l’analyse et la réponse à incident

118

Techniques d’OSINT à l’usage des honnêtes gens

117

Sécurisez votre production informatique

116

EDR : Quel apport pour la sécurité de votre parc ?

115

Tour d’horizon de la sécurité de la 5G

114

Puces sécurisées : À la découverte de la sécurité matérielle

113

ARM & Sécurité

112

Sécurité de l'orchestrateur Kubernetes

111

Télétravail : comment ne pas sacrifier la sécurité ?

110

Zero Trust : avenir de la sécurité ou chimère marketing ?

109

Outils Python pour la recherche et l'exploitation de vulnérabilités

108

Sécurité des navigateurs web : où en sommes-nous ?

107

Ransomwares : état de la menace

106

Éprouver la sécurité des applications mobiles

105

Sécurité des environnements cloud Amazon Web Services

104

Masquez vos attaques pour bien réussir vos missions Red Team

103

Pentest Windows : outils & techniques

102

Durcissement de la sécurité des systèmes GNU/Linux

101

Sécurité des applications web

100

Supervision : retours d'expériences autour des SIEM

Environnements d'exécution sécurisés : de SGX à TrustZone

Authentification : enfin la fin des mots de passe ?

Meltdown, Spectre, Cryptanalyse : comprendre le fonctionnement des attaques par canaux auxiliaires !

Blockchain : un réel progrès pour la sécurité ?

Docker : quelle sécurité pour les conteneurs ?

CERT, CSIRT et SOC en pratique : comment s’organiser et quels outils mettre en place