MISC Hors-série N°
Numéro
10

Réagir à une intrusion

Temporalité
Octobre/Novembre 2014
Image v3
Réagir à une intrusion
Article mis en avant

Résumé

ISO 27035, page 7, paragraphes 4 et 5. Merci, bonne journée. Qu'il serait pratique de pouvoir s'arrêter à la définition de l'ISO de « l'incident de sécurité ». L'auteur n'aurait pas à se fatiguer davantage à écrire et, cher (chère) lecteur (trice), avec les idées enfin claires, nous pourrions passer à ce pour quoi nous tenons réellement ce recueil entre nos mains : les articles techniques. Pourtant, la question mérite sans doute d'être posée, car le gestionnaire de la sécurité vit dans la peur de cet incident de sécurité et ce même incident est ce qui justifie l'existence d'investigateurs, d'équipes de CERT, CSIRT et autres « analystes forensic ». C'est, pour utiliser les termes à la mode, l'élément précurseur de tout APT qui se respecte et définir convenablement un incident de sécurité est ce qui permet de lancer proprement la démarche de réponse sur incident.

Dans ce numéro...


Qu’elle soit faite dans le cadre d’une prestation de service ou dans un contexte interne à une organisation, les équipes de réponse à incident sont souvent confrontées à différentes problématiques au rang desquelles figure l'épineuse question de la conformité légale et réglementaire des actions entreprises. En effet, quelle gouvernance faut-il mettre en place en amont ? Quels sont les standards et bonnes pratiques à appliquer ? Il s'agit, par ailleurs, pour ces équipes d'être en mesure de fournir des preuves admissibles en justice dans l'éventualité de poursuites judiciaires. Quelles sont les conditions pour une telle admissibilité dans un contexte, par définition immatériel et quel cadre juridique s'applique plus généralement aux activités de réponse à incident ? Autant de questions que nous allons tenter de démystifier ici, à la lumière des textes et référentiels juridiques applicables.
Cet article a pour objectif de proposer une démarche d'analyse de malware dans le cadre d'une réponse à un incident. L'analyste doit adopter une approche rigoureuse afin de qualifier la menace inhérente à cet incident tout en agissant dans un temps limité. Son objectif est de produire une analyse exhaustive du malware comprenant les marqueurs nécessaires pour contenir et éradiquer l'incident remonté.
Cet article présente, à travers l'analyse de la vulnérabilité CVE-2014-0322 affectant Internet Explorer, le cheminement suivi pour parvenir à la détermination de signatures permettant de détecter les codes exploitant cette vulnérabilité.
Cet article est une introduction à l’investigation numérique de terminaux Apple iOS. L'objectif est d’infirmer ou confirmer la compromission du terminal par un programme malveillant. Dans les différents exemples, nous partons du principe que le terminal à analyser est fourni volontairement par la victime et donc que l'éventuel mot de passe protégeant le terminal est connu. D’autre part, les thèmes relatifs à l’analyse des éléments de la chaîne de démarrage du terminal (BootRom, LLB, iBoot, etc.) ainsi que le code exécuté sur la puce radio (Baseband) ne seront pas abordés, leur complexité d’analyse nécessitant un article à eux seuls.
Les terminaux mobiles sous Android sont aujourd'hui autant ciblés par les attaquants que les postes de travail ou serveurs pour tenter de s'introduire sur les systèmes d'information des entreprises. Ces dernières doivent donc s'organiser pour prendre en compte dans leur processus de réponse à incident ces nouveaux vecteurs d'attaque. Quelle est la complexité d'un tel sujet ? Les outils existants suffisent-ils ? Comment agir sur une flotte d'entreprise ? Ce sont autant de questions auxquelles nous allons essayer de répondre.
« Exfiltration de données », « APT », « compromission » ,  pourquoi tant d’affaires ? Quelles en sont les causes ? Comment gérer une telle situation ?
Comment détecter un attaquant à l'intérieur de votre réseau ? Cet article couvre l'examen des points terminaux, c’est-à-dire les serveurs et les stations de travail.
Cet article présente une introduction à l’analyse des logs et des flux réseau dans le contexte d’un incident, de type APT ou SPT (Simple Persistent Threat pour les intimes), sur un grand parc client. Ce domaine étant vaste, cet article d’introduction s'attachera à comprendre et analyser les besoins et les aspects pratiques de l'analyse des logs et du réseau. Il se poursuivra sur des exemples, idées et axes de réflexion utiles sur le terrain d'une réponse sur incident.
L’une des premières tâches de l’attaquant, lorsqu’il dispose d’un accès à un réseau d’entreprise, est la compromission de l’Active Directory. Pourquoi ne pas utiliser BTA pour rechercher des backdoors au sein de l'AD ? Les « mauvaises pratiques d'admins » découvertes donneront encore plus de sueurs froides aux équipes de réponse à incident :)

Magazines précédents

Les derniers articles Premiums

Les derniers articles Premium

Cryptographie : débuter par la pratique grâce à picoCTF

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

L’apprentissage de la cryptographie n’est pas toujours évident lorsqu’on souhaite le faire par la pratique. Lorsque l’on débute, il existe cependant des challenges accessibles qui permettent de découvrir ce monde passionnant sans avoir de connaissances mathématiques approfondies en la matière. C’est le cas de picoCTF, qui propose une série d’épreuves en cryptographie avec une difficulté progressive et à destination des débutants !

Game & Watch : utilisons judicieusement la mémoire

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Au terme de l'article précédent [1] concernant la transformation de la console Nintendo Game & Watch en plateforme de développement, nous nous sommes heurtés à un problème : les 128 Ko de flash intégrés au microcontrôleur STM32 sont une ressource précieuse, car en quantité réduite. Mais heureusement pour nous, le STM32H7B0 dispose d'une mémoire vive de taille conséquente (~ 1,2 Mo) et se trouve être connecté à une flash externe QSPI offrant autant d'espace. Pour pouvoir développer des codes plus étoffés, nous devons apprendre à utiliser ces deux ressources.

Raspberry Pi Pico : PIO, DMA et mémoire flash

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Le microcontrôleur RP2040 équipant la Pico est une petite merveille et malgré l'absence de connectivité wifi ou Bluetooth, l'étendue des fonctionnalités intégrées reste très impressionnante. Nous avons abordé le sujet du sous-système PIO dans un précédent article [1], mais celui-ci n'était qu'une découverte de la fonctionnalité. Il est temps à présent de pousser plus loin nos expérimentations en mêlant plusieurs ressources à notre disposition : PIO, DMA et accès à la flash QSPI.

Body