Gaspar Émilien (gapz)

Depuis la création de chroot, que l’on situerait, après une datation au carbone 14, entre la fin des années 70 et le début des années 80, un grand chemin a été parcouru par les différentes techniques d’isolation au sein de l’espace utilisateur pour être aujourd’hui la pierre angulaire de nouvelles approches telles que le mouvement DevOps.

« We just have these mysterious electromagnetic waves that we cannot see with the naked eye. But they are there. » - Heinrich Hertz

Le domaine des télécommunications, et plus particulièrement celui des communications sans fil, a pris une ampleur considérable ces dernières années avec l’apparition de nombreux protocoles et des usages tout aussi variés : Bluetooth, WiFi, LTE, DVB, LoRa, Sigfox, Zigbee, WiMAX, NFC, etc. Les équipements électroniques grand public sont désormais ultra-connectés et le développement de ces technologies ne fait que progresser. Cependant, l’histoire de ce domaine, les télécommunications, ne s’est pas construite de manière linéaire et en adéquation avec les principes des autres domaines proches que sont, entre autres, les réseaux informatiques.

Une grande majorité des communications électroniques se font désormais par l'usage incontournable de technologies sans-fil. Qu'il s'agisse de téléphoner, payer, se localiser...

« Tout ce qui précède l'apocalypse s'appelle le progrès. » - Romain Guilleaumes

Ayant été traitée quelques fois dans des articles précédents de MISC de manière spécifique, la sécurité des objets connectés est aujourd’hui au cœur des actualités, tant dans les grands médias que dans les grandes conférences de sécurité. Le hors-série que vous tenez entre vos mains y est pleinement consacré.

Si l’on devait raconter l’histoire récente de la sécurité de l’Internet des objets, ce serait celle d’un échec programmé dont on ne mesure encore que faiblement les conséquences réelles. De ce constat accablant, il n’en reste pas moins que l’enjeu de la sécurité des objets connectés est devenu une thématique de premier plan tant son développement s’accélère de jour en jour. Au-delà des statistiques de la démesure qui nourrissent les médias concernant l’IoT (« Internet of Things »), certaines attaques ont déjà mis au devant de la scène la trivialité des failles de sécurité exploitées.

Parmi l'ensemble des outils offensifs vous permettant de tester la sécurité d'un système, on distingue le célèbre framework d'exploitation de vulnérabilités Metasploit. Développé activement depuis de nombreuses années, il regorge d'un nombre impressionnant de modules organisés autour d'une architecture pensée pour les tests d' intrusions. Cet outil vous offre ainsi de larges possibilités dont une partie va être détaillée dans le présent numéro.

Une fois n'est pas coutume, l'intégralité de ce hors-série de MISC est dédié à l’un des outils de test d'intrusion les plus connus du monde de la sécurité des systèmes d'information : le projet Metasploit. Qu'il s'agisse d'attaquer de vieux services obsolètes ou d'exploiter une vulnérabilité dans une application web moderne, Metasploit a développé au fil du temps une grande habilité à intégrer et gérer une quantité de modules impressionnants aux possibilités très variées : exploitation en tout genre, maintien d'accès, scanneur, récupération d'informations, post-exploitation et bien d'autres choses encore tel un module d'exploitation automatique dédié aux navigateurs (browser_autopwn2). En témoigne l'excellent « Weekly Metasploit Wrapup » [1], le projet est également très actif et bénéficie d'une grande communauté d'utilisateurs et de contributeurs.

Ces dernières années auront vu naître un intérêt croissant de la cryptographie à destination du grand public. Du développement de protocoles destinés à la protection de la vie privée en passant par la normalisation de courbes elliptiques réputées « de confiance », il apparaît aujourd'hui intéressant d'étudier quelques-unes de ces initiatives qui ont vocation à répondre à des problèmes concrets posés par l'utilisation de plus en plus généralisée de la cryptographie.

La cryptographie à base de courbes elliptiques est devenue ces dernières années une des alternatives les plus intéressantes à RSA en termes de cryptographie asymétrique. Cependant, sa jeunesse et ses développements récents en font encore une solution questionnée, tant sur sa solidité que sur la manière de correctement l'utiliser. L'heure est aujourd'hui à une nouvelle vague de normalisation dans une situation pour le peu troublée par un élément clef du succès d'un standard: la confiance.