Il faudra faire de très sérieux efforts d’imagination pour voir, dans le rôle d’« Oz », le patron sans scrupule d’une équipe de pentesteurs, un Dave Aitel ou un Hervé Schauer, et les célèbres Kostya ou Matthieu Suiche dans la peau de la pulpeuse Melanie Green. Mais qu’importe. Après les NCIS, Experts et Numbers, voici que les scénaristes d’Hollywood ont concocté une « saison » narrant le quotidien sacrément romancé d’une équipe d’auditeurs de sécurité en informatique. Ca s’appellera Breaking in. Les amoureux de la vérité technique en seront pour leur frais, car ces « hackers de cinéma » utilisent plus les cordes de rappel, le chantage, l’infiltration et la pratique des arts martiaux que la capture de trame ou l’analyse de log. Il faut admettre que 50 minutes de plan-fixe sur un geek lunetteux penché sur l’interface de Wireshark, ça ne risque pas de faire péter l’audimat. Et puis, pour la profession, si la moralité trouve à y redire, l’égo, lui, sera considérablement renforcé. Grâce à cette série, le grand public comprendra enfin que même un Ethical Hacker possède un passé aussi lourd que le casier d’un serial killer, qu’il pratique le body-building tout comme Arnold, la conduite automobile sportive tout comme Fangio, le speed-dating tout comme Silvio et l’art de s’habiller « Celio/Banana Republic » tout comme… non, comme personne. Et si la série ne marche pas, on pourra toujours recycler les vieux scénars avec un habillage différent : « login-in, the adventures of ISO2001 Lead Auditors », ou alors « Count Down, la saga des responsables de parc à la poursuite des Rogue A.P. », voir « Deep Inside : aventure érotiques d’un Reverser avec une certaine IDA ». On regarde quoi, ce soir ? Champs Elysée sur TF1 ou on pirate Breaking_In.SE01E0.EZTV.LOL.avi sur MegaUpload ?

Richard Garsthagen est à la fois blogueur et Senior Evangelist VMware EMEA. Pas franchement le genre à dire du mal de la main qui le nourrit. Mais l’un de ses derniers billets risque de lui faire battre des records de hits. De par son titre déjà, alarmiste en diable : « Scary! Is your VMware server being hacked??? ». Car inspiré par les conférences de la dernière BH de Barcelone, notre évangéliste-blogueur s’est demandé combien de consoles de management VMware seraient visibles sur Internet. Car, rappelle-t-il, une bonne station d’administration est généralement située dans son propre réseau isolé, et à plus forte raison coupée du monde extérieur qu’est le réseau public.

Garsthagen se met donc à appliquer les méthodes de Johnny « I hack Stuff » Long et se met à balayer Internet à la recherche de signatures particulières via les API VMware. Adresse IP, numéro de version et de « build », en moins de 24 heures, le scanner à architectures VM avait amassé une conséquente collection de serveurs « exposés » (ESX, ESXi et vCenter), dont certains, précise l’auteur, étaient de « très vieilles versions dont on pouvait se demander si elles avaient bien reçu leur lot nécessaire de correctifs ».Question aussi rhétorique qu’ironique.

Mais le terme « scary » était-il bien approprié ? Une machine « visible » n’est pas nécessairement une machine « exploitable ». Certes, connaître le numéro de version d’un serveur, c’est déjà offrir sur un plateau une indication guidant un cracker ou un pentester vers telle ou telle collection d’exploits. Mais guère plus que ne peut le faire « l’infamous nMap » de Fyodor, longtemps accusé de faire le jeu des black hats. C’est oublier que le scanner n’est pas la faille, que la carte n’est pas le lieu. En ces temps où « l’advanced persistent threat » fait figure d’épouvantail et où les hordes de crackers aux yeux bridés se tapissent derrière chaque remaniement ministériel, au tournant de chaque communiqué de presse publié par un vendeur de firewall, titrer « Scary » suivi d’un triple point d’exclamation n’est qu’une adaptation quasi pavlovienne à l’ambiance actuelle. Cela n’atténue en rien l’intérêt d’un tel test.

Il ne faudrait surtout pas résumer le papier de Garsthagen à cette simple et amusante étude. Car l’auteur signale également avoir commis un très intéressant « how to » qui traite de l’installation d’Ossec, un outil gratuit diffusé par Trend Micro et qui joue le rôle de « chien de garde comportemental » dans l’univers VMware. Ossec utilise une base de connaissance issue d’une compilation bien tempérée de log d’ESX et ESXi, base qui permet à cet automate d’émettre une alerte lorsque des actions anormales et répétitives sont commises dans le cadre d’une architecture VMware.

Nos confrères du Monde rapportent une décision de la Commission Européenne visant à protéger les citoyens des dérives d’usage possible des composants RFID. Un communiqué de presse de l’Anec (European Association for the Co-ordination of Consumer Representation in Standardisation), un autre, plus long, de la Commission reviennent sur les problèmes maintes fois rebattus soulevés par ces « spy chips ». Mais la conclusion est très éloignée du ton conquérant des titres. « les entreprises effectueront une évaluation complète des risques liés à la vie privée et prendront des mesures pour déterminer les risques décelés avant qu’une nouvelle application de puce intelligente ne soit mise sur le marché ». Les entreprises, pas une commission indépendante diligentée par l’UE. Pas un groupe de travail du « working party 29 ». Et ceci sans présumer des « meilleurs efforts » prodigués par l’industrie, sous l’impulsion des instances Européennes, pour que cette technologie ne puisse être exploitée pour faciliter des vols d’information. Ce qui, jusqu’à présent, s’est souvent avéré impossible. Les signataires de l’accord réunissant ce conseil d’entreprises vigilantes promettent de « s’assurer que les problèmes de protection des données soient réglées avant que des produits soient mis sur le marché». Des propos qui n’engagent qu’à très peu de choses, les grands utilisateurs de RFID (réseaux de distribution) n’étant pas les concepteurs de ces composants, et les failles desdits composants ou de l’architecture les contrôlant sortant de leurs domaines de compétence. Reste que la Commission a entamé là un processus visant à éviter les « abus d’usage » tels qu’il en a déjà été constaté aux Etats-Unis (découverts notamment grâce aux enquêtes de Katherine Albrecht, de SpyChip.com ). L’on peut également rappeler l’existence de l’ouvrage de mm Michel Alberganti et Patrice Georget intitulé La RFID, quelles menaces, quelles opportunités .

Cliquer ici pour :

S’inscrire en ligne aux matinées de CNISevent

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe . A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense … ) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

DETAIL DU PROGRAMME

Vulnérabilités aujourd’hui et demain : Panorama des menaces & Solutions

CNIS Event fait le point sur les menaces d’aujourd’hui et de demain. Des experts expliqueront quelles sont les menaces pour le système d’information, détailleront les vulnérabilités comme les attaques potentielles. Ils approfondiront également la question en expliquant sur quoi elles portent mais surtout parleront de la manière dont on pourrait se prémunir. Certains acteurs du secteur viendront appuyer les faits en détaillant leur propre vision. D’autres viendront raconter de quelle manière, ils se défendent par exemple sur le Web 2.0 ou encore par rapport à leur flotte mobile. De nombreux experts seront présents et répondront autour d’une table ronde aux questions des patrons, DSI, RSSI, personnel IT présents dans la salle 

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise, les CIL, les avocats et juristes de l’entreprise. Tous sont concernés par la question des vulnérabilités des systèmes d’information car elles pourraient permettre des intrusions, des vols de données ou de propriété intellectuelle … Il faut connaître et comprendre à qui et à quoi on a à faire pour pouvoir envisager et organiser sa défense. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 – Ouverture sur un panorama des Menaces actuelles et futures, David Bizeul, CERT SG
• 9H20 – Stuxnet, Découverte d’un programme malveillant hors norme, présentation de JM Doan, expert du Cert LEXSI
• 9H40 – Les APT, nouvelles menaces ? Quelle dangerosité ? Le rapport avec le cyber-espionnage, Nicolas Ruff,  EADS, animateur de l’OSSIR et membre de l’ARCSI et du Forum ATENA
• 10H00 – Minute Juridique : deux avocats débattent et répondent aux questions de l’assemblée sur les obligations de l’entreprise en termes de protection du SI, Cloud et Sécurité, Maîtres Garance Mathias et Olivier Itéanu
• 10H30 – PAUSE Networking
• 10H50 – Retour expertise terrain : lutter contre les vulnérabilités, réalité au quotidien, par Philippe Langlois, CEO de P1 Security
• 11H10 – Panel sur les vulnérabilités d’aujourd’hui et de demain, menaces et solutions : (1) Eric Caprioli, avocat, (2)Edouard Jeanson, Directeur du centre de compétences sécurité Sogeti pour la réalité terrain, (3) Pascal Lointier, Président du Clusif, (4) Hervé Schauer, HSC Consulting, (5) Philippe Langlois, CEO de P1 Security. Animé par un journaliste Sécurité.
• 11H55 – Clôture de la conférence

Cliquer ici pour :

S’inscrire en ligne aux matinées de CNISevent

C’est grâce à la vigilance de nos confrères Australiens de Techworld que l’on peut apprendre cet intérêt soudain du Vatican pour la gente hackeuse. Le père jésuite Antonio Spadaro, dans les colonnes de la revue Civilta Cattolica, explique combien il peut exister de parallèles entre la philosophie hacker et les enseignements du christianisme. Et d’insister sur l’esprit de découverte de ces aventuriers des arcanes logicielles et matérielles, de leur soif de partage de connaissance, de leur altruisme et leur opposition au profit pour le profit… tout en rappelant que « hacker n’est pas cracker ». Remarquable exercice casuistique qui jette un voile pudique sur le fond solidement libertaire, libertin (voir anarchisant) et agnostique du mouvement (des mouvements devrait-on dire) de hack. Qu’il y ait eu des cas de hackers gnostiques, c’est une certitude. Tout comme il a existé (et il existe toujours) des hackers cyberpunk militants athéistes, des groupes largement inspirés de situationnisme et des clubs ou associations se situant dans une mouvance beaucoup plus « conservatrice ». Le tout baignant parfois dans une joyeuse confusion des genres, un syncrétisme politico-technologique capable de mélanger toutes les tendances, toutes les opinions les plus extrêmes grâce à un esprit de tolérance digne des maisons du même métal. Une tolérance qui, toutefois, s’arrête dès que débute le plus petit soupçon de tentative de récupération. Le hacking est-il soluble dans la gnose ? Oui, mais à une lettre près

Ddos encore, de la part des « Anonyme », et à l’encontre de Sony signale le Sans. A l’origine, la volonté de faire justice soi-même en rétorsion aux poursuites de Sony visant les auteurs du hack de la console PS3

Ddos en série : D’Outre Quiévrain, selon DataNews, une attaque a visé le DNS .be. Fait pratiquement inaperçu aux yeux des usager.s

L’annonce de l’accord a été officiellement rendue publique par une lettre d’Amit Yoran, patron de NetWitness. Cette entreprise de Virginie est spécialisée dans la mise en place de plateformes de surveillance et d’analyse s’adressant plutôt à de très grandes organisations et infrastructures gouvernementales. Le virage vers une clientèle de secteur privé était relativement timide, et Yoran cherchait depuis quelques temps déjà un rachat ou un partenariat. Le rachat de RSA (que l’on imagine destiné à renforcer ses propres infrastructures IT), pourrait éventuellement ajouter une activité « services de monitoring » à la branche sécurité d’EMC.

En attendant ces jours meilleurs, les concurrents de RSA s’en donnent à cœur-joie. CA Technologies, par exemple, lançait vendredi dernier une opération « sauvons les clients RSA », en proposant aux « utilisateurs de tokens RSA SecurID® d’échanger ce produit contre l’identifiant logiciel sécurisé CA ArcotID » (sic). Les conséquences du hack risquent de coûter plus cher que le hack lui-même.

Microsoft annonce la publication de la seconde édition du Security Update Guide, ou guide de déploiement bien tempéré des correctifs Système. L’on y trouve des bonnes pratiques d’établissement des priorités, des conseils à propos des tests des mises à jour de sécurité, des guides sur les choix des méthodes de déploiement, des explications sur les « indices de probabilité d’exploitation » ainsi que sur la façon dont sont conçus et testés les correctifs chez Microsoft. Le précédent guide datait de 2009, avant l’institution des indicateurs d’exploitation. Le tout est accompagné de graphiques et organigrammes fonctionnels clairs et pédagogiques. A mettre de côté pour une lecture de week-end, le document comptant tout de même près de 120 pages.

L’attaque Slaac (pour attaque IPv6 Stateless Address Autoconfiguration) que vient d’élaborer Alec Waters  ne risque pas de faire vaciller le monde réseau sur ses bases. Il s’agit pour l’instant d’une étude de cas sur une vulnérabilité du processus de translation d’adresses IPv4/IPv6, outil installé par défaut sur toutes les machines Windows 7, Vista, 2008 et 2008 R2. La première conséquence de cette attaque est de permettre à l’exploitant d’intercepter tout le trafic d’un réseau local sans que les autres usagers en soient avertis ou puissent s’en rendre compte. Il n’est absolument pas nécessaire qu’IPv6 soit utilisé, et la vulnérabilité est exploitable tant sur le réseau « base cuivre » que via un brin sans-fil. Les mesures de contournement, pour l’heure, consistent à désactiver IPv6 s’il n’est pas utilisé. L’attaque reposant sur le module de translation v4/v6, elle ne peut bien entendu pas compromettre les réseaux natifs v6.