MISC N°

Télétravail : comment ne pas sacrifier la sécurité ?

Septembre/Octobre 2020

Introduction au dossier : Télétravail : comment ne pas sacrifier la sécurité ?

Le dossier du précédent numéro traitait du concept de « Zero Trust ». Le numéro actuel est en quelque sorte une suite logique : nous passons d’un idéal où l’accès distant est possible « par design », à une réalité où il a fallu faire des choix fonctionnels et être conciliant avec la sécurité.

Dans ce numéro...

Édito

Par Foll Cédric

MISC

n°

111

septembre 2020

| Foll Cédric

Plutôt que de sombrer dans le french bashing et la supposée incapacité de l’État à conduire des projets informatiques, il est intéressant de prendre quelques minutes pour revenir sur l’échec de StopCovid et tenter d’en tirer quelques enseignements.

> Lire l'extrait

CVE-2020-3153 : élever ses privilèges grâce au télétravail

Par Goichot Antoine

Exploit

MISC

n°

111

septembre 2020

| Goichot Antoine

Cet article explique comment développer un exploit pour la CVE-2020-3153, une élévation de privilèges à l’aide d’un « path traversal » dans le client Cisco AnyConnect pour Windows (avant la version 4.8.02042). Après une brève présentation de ce produit et de son fonctionnement, nous étudierons cette vulnérabilité et verrons comment elle peut être exploitée.

> Lire l'extrait

Retour d’expérience : investigation numérique dans un environnement Windows

Par Menelet Alain, Maurugeon Cédric

Forensic

MISC

n°

111

septembre 2020

| Menelet Alain, Maurugeon Cédric

L’investigation numérique d’un système d’information (SI) consiste à comprendre d’un point de vue temporel et factuel les évènements ayant conduit à l’incident. Bien que les SI présentent une architecture bien souvent commune, les interventions sont toutes différentes et mettent en lumière l’ingéniosité des attaquants afin d’œuvrer de la manière la plus discrète possible. Nous allons présenter au cours de cet article, notre retour d’expérience relatif à une intervention auprès d’un client début 2020.

> Lire l'extrait

Désamorcer des bombes logiques

Par Samhi Jordan, Bartel Alexandre

Malware

MISC

n°

111

septembre 2020

| Samhi Jordan, Bartel Alexandre

Aujourd’hui, les développeurs de code malveillant sont capables de contourner les mesures de sécurité et les techniques d’analyse les plus poussées grâce à de simples mécanismes appelés « bombes logiques ». Un exemple significatif est le Google Play qui accepte toujours des applications malveillantes pouvant déjouer ses barrières de sécurité. Cette introduction aux bombes logiques permet de sensibiliser sur les différentes solutions pouvant être mises en place pour détecter ces artifices.

> Lire l'extrait

Covid-19, télétravail : mise en œuvre d’accès distants sécurisés pour se rapprocher du SI

Par Sarr Amadou, Ladent Étienne

Sécurité réseau Sécurité organisationnelle

MISC

n°

111

septembre 2020

| Sarr Amadou, Ladent Étienne

Les mesures de confinement prises par le gouvernement mi-mars 2020 pour contrer la propagation du Covid-19 ont poussé les entreprises et administrations de toutes tailles à promouvoir le télétravail. Cet article présente le retour d’expérience d’une partie de l’équipe EDF en charge des « accès distants sécurisés » pendant cette période.

> Lire l'extrait

Télétravail : une sécurité à repenser et une nouvelle organisation à encadrer

Par Baffard William, Boulet Anne-Lise, Casal Anne-Sophie, Le Corre Frédéric, Le Méné Patrice, Mallet Victor

Sécurité réseau Sécurité organisationnelle

MISC

n°

111

septembre 2020

| Baffard William, Boulet Anne-Lise, Casal Anne-Sophie, Le Corre Frédéric, Le Méné Patrice, Mallet Victor

Entre mode et nécessité, le télétravail nous oblige à repenser notre organisation du travail et les règles de sécurité associées. Comment mettre en place ces nouveaux modèles sans risque pour l’entreprise et ses salariés ?

> Lire l'extrait

Surveillance des accès de production en télétravail

Par Vehent Julien

Sécurité réseau Sécurité organisationnelle

MISC

n°

111

septembre 2020

| Vehent Julien

Il est courant de protéger l'accès aux infrastructures de production au travers de VPN ou de bastions SSH, et beaucoup d’organisations limitent encore ces points d'entrée à leur infrastructure interne. Lorsque l'organisation passe en mode télétravail à 100%, il faut forcément permettre l'accès depuis des adresses IP arbitraires, et se pose alors la question de surveiller ces accès pour détecter et bloquer rapidement une tentative d'accès malveillante.

> Lire l'extrait

Zéro SQLi malgré les développeurs

Par Courant Judicaël

Sécurité du code Data / Big Data

MISC

n°

111

septembre 2020

| Courant Judicaël

Nous proposons une méthode pour effectuer des requêtes SQL qui garantit l'invulnérabilité aux injections SQL, y compris lorsqu'elle est utilisée par un développeur pressé ou incompétent, contrairement aux requêtes paramétrées. Basée sur l'utilisation d'arbres de syntaxe abstraite, elle permet facilement de construire des requêtes dynamiques et est plus facile à mettre en œuvre qu'un ORM. Nous proposons une bibliothèque Java implémentant nos idées, mais la méthode peut s'appliquer à d'autres langages de programmation et d'autres types de requêtes.

> Lire l'extrait

Détection d'anomalies par ACP

Par Guichard Jean-Philip, Johnson Jack, Parrat Pierre, Perez Christian

Sécurité réseau

MISC

n°

111

septembre 2020

| Guichard Jean-Philip, Johnson Jack, Parrat Pierre, Perez Christian

Retour de vacances. L’analyse du SIEM après un mois d’absence montre que dix incidents ont été déclenchés sur la base des alertes automatiques et ont pu être gérés convenablement par la chaîne de traitement d’incidents. Tout est-il sous contrôle ? Un analyste aimerait rapidement s’en assurer en complétant cette supervision par sa propre analyse du mois écoulé. Mais par où commencer ? Il est inenvisageable de regarder un mois de logs « rapidement » et d’autant plus quand on ne sait pas précisément ce que l’on cherche… Une solution possible est de recourir à des outils statistiques qui permettent d’identifier des périodes d’activité atypiques sur lesquelles concentrer son analyse. L’analyse en composantes principales (ACP ou PCA en anglais) est une méthode statistique qui peut répondre relativement efficacement à cette problématique. L’article présente cette méthode et son apport dans la détection d’anomalies, en prenant comme exemple l’analyse de flux réseaux.

> Lire l'extrait

Comprendre et exploiter les données d’authentification sur Windows

Par Koszyk Romain

Exploit Sécurité système

MISC

n°

111

septembre 2020

| Koszyk Romain

L’objectif de cet article est de décrire les différentes données d’authentification qu’un attaquant peut récupérer sur une machine Windows au sein d’un domaine Active Directory.

> Lire l'extrait

Acheter ce numéro en version papier

J'achète ce numéro

Accès par numéro standard

137

Intégrez les exigences du Cyber Resilience Act dans vos cycles DevSecOps

136

Sécurité des outils d’administration à distance : quelles menaces & solutions ?

135

Sécurité des hyperviseurs : surfaces d’attaques et vulnérabilités

134

Techniques de contournement des EDR

133

Déployer aisément AppLocker en liste de blocage

132

Exploitation des mécanismes de cache http

131

IA & Analyse de filtrages réseaux par apprentissage automatique

130

Introduction pratique aux attaques par canaux auxiliaires

129

Active Directory CS : quand la configuration est votre pire ennemie !

128

Sécurité de KeePass & techniques d’extraction des secrets

127

Bug Bounty - Quand les hackers deviennent chasseurs de primes !

126

USB - Votre pire ennemi ? Un vecteur d’attaque souvent négligé…

125

Web 2023 - Les nouvelles surfaces d’attaques !

124

Objets connectés : Quels risques pour votre système d’information ?

123

Patch management - Améliorer les processus de mise à jour de sécurité

122

Adopter le DevSecOps - Intégrer la sécurité dans votre production informatique

121

Sécurité & langages de programmation

120

Gestion de parc : Active Directory - Est-il toujours la solution incontournable ?

119

Outils et méthodes pour l’analyse et la réponse à incident

118

Techniques d’OSINT à l’usage des honnêtes gens

117

Sécurisez votre production informatique

116

EDR : Quel apport pour la sécurité de votre parc ?

115

Tour d’horizon de la sécurité de la 5G

114

Puces sécurisées : À la découverte de la sécurité matérielle

113