Gaspar Émilien (gapz)

Il y a maintenant 5 ans, MISC dédiait un dossier complet à la sécurité des navigateurs web [1]. Il y était traité de sandboxing sous Firefox, de JIT, de cloisonnement JavaScript, d’exploitation du navigateur Chrome sous Android. Une grande partie de ce qui a été écrit à l’époque est encore en partie valide et je vous invite à y jeter un œil si vous ne connaissez pas déjà ce dossier.

Lorsque l’on commence à s’intéresser à la sécurité informatique, on est vite confronté à la complexité actuelle des systèmes, et l’apprentissage dans un contexte réaliste peut apparaître d’autant plus difficile. Il existe cependant une manière simple et ludique d’apprendre par la pratique grâce à des compétitions techniques aux niveaux variés, les CTF (Capture The Flag). Cet article propose, pour les débutants, un premier pas dans cet univers.

Il ne se passe plus un mois sans qu’un ransomware ne touche une entreprise ou administration publique et que cette dernière se retrouve dans une situation délicate, au point que cela atterrisse invariablement dans les colonnes de nos quotidiens (oui bon, dans les bandeaux des chaînes d’information continue). On pourrait simplement dire que l’histoire se répète, qu’il s’agit d’un énième malware qui touche des infrastructures qui ne sont pas à jour, mal configurées, et que tout cela était inéluctable.

Il serait difficile de vous convaincre qu’aujourd’hui les applications mobiles ne représentent qu’une part minime de nos usages « numériques », et qu’il n’y a aucun risque de sécurité associé. La réalité est en effet bien différente, et dans le domaine des statistiques de la démesure, le volume de smartphones vendus a de quoi impressionner : plus d’un milliard par an depuis 2015.

Lors de l’usage quotidien d’un ordinateur de bureau sous une distribution Linux, de nombreuses menaces existent pour la sécurité de ce dernier. Des outils permettent de réduire ces risques, notamment en effectuant une isolation plus forte de vos applications. C’est le cas de Firejail, dont l’objectif est de fournir une solution de sandboxing générique pour les usages de bureau.

S’il y a bien quelque chose qui évolue dans le monde de la sécurité informatique, ce sont les affirmations indiquant que tel ou tel système est le plus sécurisé. Même si un système a été structurellement mieux développé du point de vue de la sécurité au départ et que sa surface d’attaque est faible, les attaques évoluent, et l’on ne cesse d’améliorer ce qui hier était considéré comme fragile.

Windows est un sujet vaste et la sécurité d’Active Directory est un domaine à part entière. Ces dernières années auront vu publier de nombreux travaux, naître et s’améliorer de nombreux outils, qu’il s’agisse de frameworks offensifs (pour de la post-exploitation avec le défunt empire ou PowerSploit par exemple) et défensifs : d’un côté en assistant l’audit (comme BloodHound) ou plus orientés sur le forensique (ADTimeline). Bref, le domaine est actif, la communauté grandissante, et l’intérêt toujours aussi fort.

Le dossier du présent numéro est consacré à la sécurité de l'offre cloud d'Amazon, j'ai nommé les Amazon Web Services (AWS). Il est de nos jours acquis que notre salut passera par le cloud, et qu'il faudra donc passer par un des grands prestataires du domaine.