MISC Hors-série N°
Numéro
19

Comprendre les vulnérabilités de l'IoT

Temporalité
Février/Mars 2019
Image v3
Comprendre les vulnérabilités de l'IoT
Article mis en avant

Introduction au dossier : Comprendre les vulnérabilités de l'IoT

Résumé

La sécurité des objets connectés est une vaste thématique tant ce qui est couvert par cette dénomination représente un peu près tout ce qui est désormais connecté et ne l’était pas : montre, voiture, brosse à dents, etc. Ce qui a réellement changé, c’est la possibilité de pouvoir s’interfacer facilement au travers de protocoles connus et d’équipements accessibles financièrement (merci la radio logicielle).

Lire la suite

Dans ce numéro...


Édito : Éthique et sécurité
Par Gaspar Émilien (gapz)
Marque
MISC
HS n°
Numéro
19
|
Mois de parution
février 2019
| Gaspar Émilien (gapz)
En ce début d’année 2019, le prix d’un exploit pour un remote jailbreak d’iOS est désormais passé à la modique somme de 2 millions de dollars sur la plateforme Zerodium. Pour rappel et pour ceux qui ne suivent pas cette actualité, l’ancien prix était d’un 1.5 millions de dollars et l’on parle bien de vendre de manière exclusive un exploit 0day fonctionnel (non d’une vulnérabilité comme on peut l’entendre ici et là).
> Lire l'extrait
Revue de livres...
Par Erra Robert
Brèves
Marque
MISC
HS n°
Numéro
19
|
Mois de parution
février 2019
| Erra Robert
Malware Data Science: Attack Detection and Attribution / Deep Learning with Python
> Lire l'extrait
Foreshadow-SGX, nouvelle vulnérabilité sur Ies processeurs Intel
Par El Mohib Salma
Sécurité système
Marque
MISC
HS n°
Numéro
19
|
Mois de parution
février 2019
| El Mohib Salma
En début d’année 2018, les attaques Meltdown et Spectre ont remis en question la conception de la plupart des processeurs du marché en exploitant des optimisations CPU. Cependant si certaines technologies comme les SoftGuard Extensions d’Intel ont pu leur résister, la publication de la vulnérabilité Foreshadow en août 2018, encore une fois liée aux optimisations du fabricant, laisse entrevoir de nouvelles menaces pour le modèle de confiance conféré par Intel SGX. Cet article présente l’attaque Foreshadow sur les enclaves de la technologie SGX.
> Lire l'extrait
Bus CAN : se lancer dans l'analyse des communications de votre véhicule
Par Mainand Sébastien
Sécurité réseau Embarqué
Marque
MISC
HS n°
Numéro
19
|
Mois de parution
février 2019
| Mainand Sébastien
Cet article a pour but de s’intéresser aux communications internes d’un véhicule. Il sera présenté comment réaliser sa propre interface CAN/USB basée sur un Arduino, puis sera décrite la manière d’analyser et d’injecter des paquets à l’aide d’outils d’analyse réseau classiques.
> Lire l'extrait
Lecture d’une mémoire flash NAND et dump de firmware
Par Walter Mickaël
Sécurité réseau Embarqué
Marque
MISC
HS n°
Numéro
19
|
Mois de parution
février 2019
| Walter Mickaël
Obtenir le firmware est une étape importante de l’analyse d’un système embarqué puisqu’il donne de précieux indices sur le fonctionnement de l’équipement. Il peut parfois s’avérer nécessaire de le récupérer directement sur la mémoire flash de l’équipement.
> Lire l'extrait
Attaques des équipements mobiles GPRS à LTE
Par Dudek Sébastien
Sécurité réseau Mobilité
Marque
MISC
HS n°
Numéro
19
|
Mois de parution
février 2019
| Dudek Sébastien
Les équipements de l’écosystème Internet of Things (IoT) utilisent diverses technologies telles que la radiocommunication mobile, perçue aujourd’hui comme un moyen éprouvé pour transporter de l’information partout dans le monde. Dans cet article, nous verrons en pratique comment attaquer ces équipements, ainsi que leurs infrastructures suivant différents scénarios en boîte noire.
> Lire l'extrait
Des traceurs GPS bien trop indiscrets
Par Kim Barre Pierre, Kasmi Chaouki
Pentest Sécurité réseau
Marque
MISC
HS n°
Numéro
19
|
Mois de parution
février 2019
| Kim Barre Pierre, Kasmi Chaouki
Le suivi d’individus et de biens à forte valeur ajoutée est depuis plusieurs années réalisé par l’utilisation de traceurs GPS. Ces équipements ont pour fonction de transmettre les coordonnées de géolocalisation périodiquement à un serveur distant via un module radio mobile et une carte SIM. Il a été également constaté que certaines de ces balises intègrent un microphone fournissant un accès distant à une fonction d’espionnage. Considérant différents vecteurs d’attaque, nous nous sommes intéressés aux méthodes de compromission possibles démontrant un trop faible niveau de sécurité de ces solutions. Nous proposons dans cet article de décrire la méthodologie appliquée pour l’évaluation du niveau de sécurité de différentes balises GPS disponibles sur le marché. Plusieurs vulnérabilités sont décrites démontrant les risques liés à l’emploi de cette technologie pour le suivi des biens sensibles et des trajets de personnes importantes.
> Lire l'extrait
Leurrage du GPS par radio logicielle
Par Goavec-Merou Gwenhaël, Friedt Jean-Michel, Meyer F
Sécurité réseau
Marque
MISC
HS n°
Numéro
19
|
Mois de parution
février 2019
| Goavec-Merou Gwenhaël, Friedt Jean-Michel, Meyer F
Le système de navigation GPS est avant tout un système de dissémination de temps utilisé comme référence dans une multitude d’applications nécessitant une synchronisation de sites géographiquement distants. Nous démontrons ici comment une implémentation en radio logicielle des trames émises par les satellites permet de leurrer un récepteur en position et en temps (sortie 1 PPS).
> Lire l'extrait
Introduction au framework ATT&CK du MITRE
Par Mélin Vincent
Forensic Cyber Intelligence
Marque
MISC
HS n°
Numéro
19
|
Mois de parution
février 2019
| Mélin Vincent
Le framework ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) du MITRE fait de plus en plus parler de lui dans le monde des modèles de description d'attaques. Focalisé sur la description des tactiques et techniques « post compromission », il offre des clés pour monter ou faire évoluer des programmes de protection, de détection et de réaction. Cet article se propose de présenter ATT&CK ainsi que ses applications possibles dans des contextes opérationnels type CERT/SOC/CSIRT.
> Lire l'extrait
Machine Learning pour les systèmes de détection : recommandations et solutions avec SecuML
Par Beaugnon Anaël
Sécurité système IA
Marque
MISC
HS n°
Numéro
19
|
Mois de parution
février 2019
| Beaugnon Anaël
Le machine learning est souvent présenté comme une solution miracle pour les systèmes de détection. Dans cet article, j’identifie les pièges à éviter et je propose des solutions pratiques, disponibles dans SecuML [SECUML], pour construire des modèles de détection performants avec du machine learning.
> Lire l'extrait

Magazines précédents

Machine learning et sécurité
MISC Hors-série N°18
Machine Learning & sécurité
Recherche de vulnérabilités
MISC Hors-série N°17
Recherche de vulnérabilités
Sécurité des systèmes sans fil
MISC Hors-série N°16
Sécurité des systèmes sans fil
Sécurité des objets connectés
MISC Hors-série N°15
Sécurité des objets connectés
Apprenez à tester les vulnérabilités de vos systèmes et de vos serveurs grâce à Metasploit
MISC Hors-série N°14
Apprenez à tester les vulnérabilités de vos systèmes et de vos serveurs grâce à Metasploit
Cryptographie
MISC Hors-série N°13
Cryptographie

Les derniers articles Premiums

Les derniers articles Premium

La place de l’Intelligence Artificielle dans les entreprises

La place de l’Intelligence Artificielle dans les entreprises

Magazine
Marque
Contenu Premium
Auteurs
Par
Blachowiak Thomas
Spécialité(s)
Société
IA
Résumé

L’intelligence artificielle est en train de redéfinir le paysage professionnel. De l’automatisation des tâches répétitives à la cybersécurité, en passant par l’analyse des données, l’IA s’immisce dans tous les aspects de l’entreprise moderne. Toutefois, cette révolution technologique soulève des questions éthiques et sociétales, notamment sur l’avenir des emplois. Cet article se penche sur l’évolution de l’IA, ses applications variées, et les enjeux qu’elle engendre dans le monde du travail.

Ajouter à une liste de lecture
Petit guide d’outils open source pour le télétravail

Petit guide d’outils open source pour le télétravail

Magazine
Marque
Contenu Premium
Auteurs
Par
Samhi Jordan
Spécialité(s)
Système
Résumé

Ah le Covid ! Si en cette période de nombreux cas resurgissent, ce n’est rien comparé aux vagues que nous avons connues en 2020 et 2021. Ce fléau a contraint une large partie de la population à faire ce que tout le monde connaît sous le nom de télétravail. Nous avons dû changer nos habitudes et avons dû apprendre à utiliser de nombreux outils collaboratifs, de visioconférence, etc., dont tout le monde n’était pas habitué. Dans cet article, nous passons en revue quelques outils open source utiles pour le travail à la maison. En effet, pour les adeptes du costume en haut et du pyjama en bas, la communauté open source s’est démenée pour proposer des alternatives aux outils propriétaires et payants.

Ajouter à une liste de lecture
Sécurisez vos applications web : comment Symfony vous protège des menaces courantes

Sécurisez vos applications web : comment Symfony vous protège des menaces courantes

Magazine
Marque
Contenu Premium
Auteurs
Par
Blachowiak Thomas
Spécialité(s)
Sécurité du code
Web
Résumé

Les frameworks tels que Symfony ont bouleversé le développement web en apportant une structure solide et des outils performants. Malgré ces qualités, nous pouvons découvrir d’innombrables vulnérabilités. Cet article met le doigt sur les failles de sécurité les plus fréquentes qui affectent même les environnements les plus robustes. De l’injection de requêtes à distance à l’exécution de scripts malveillants, découvrez comment ces failles peuvent mettre en péril vos applications et, surtout, comment vous en prémunir.

Ajouter à une liste de lecture
Bash des temps modernes

Bash des temps modernes

Magazine
Marque
Contenu Premium
Auteurs
Par
Pelisse Romain
Spécialité(s)
Système
Résumé

Les scripts Shell, et Bash spécifiquement, demeurent un standard, de facto, de notre industrie. Ils forment un composant primordial de toute distribution Linux, mais c’est aussi un outil de prédilection pour implémenter de nombreuses tâches d’automatisation, en particulier dans le « Cloud », par eux-mêmes ou conjointement à des solutions telles que Ansible. Pour toutes ces raisons et bien d’autres encore, savoir les concevoir de manière robuste et idempotente est crucial.

Ajouter à une liste de lecture
Voir les 48 articles premium
Body