10 déc. 2015, RV à l’Intercontinental Paris Avenue Marceau

Données, Utilisateurs & Machines :

Comment garder le contrôle dans un SI ouvert ?

(Suivi des données, gestion des identités et des accès, gestion de logs, SIEM, compliance …) 

Stratégie, Conseil & Solutions

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Cloud, Mobilité ou autre évolution naturelle du Système d’Information, Désormais l’entreprise n’a plus le contrôle direct de son environnement et la problématique devient où se trouve la donnée ? Qui la manipule ? Pour quels traitements ? RSSI, DSI, CIL mais aussi CEO, toute personne en charge d’une quelconque partie du patrimoine de manière générale, tout le monde est concerné.

Sur site, dans le Cloud ou dans un système d’information hybride, public et privé, c’est la même problématique pour l’utilisateur comme pour le device : savoir qui se connecte et s’il agit en conformité avec ses droits est primordial et savoir si une machine avec laquelle le SI va établir une connexion est saine. Des préoccupations que ne datent pas d’hier mais pour lesquelles il n’y a toujours pas de réponse claire et simple, souvent plutôt multiples et parfois même complexes.

Comment éviter de perdre partiellement ou totalement son business ? Comment rester conforme dans le temps aux législations avec un SI dont on ne contrôle pas toute l’infrastructure ? Quels outils ? Quels partenaires ? Suivi des données, gestion de l’identité et des accès, gestion des logs, SIEM … Quelle stratégie adopter ? Quelle politique de sécurité ? Quels risques juridiques ?

Autant de questions et sujets auxquels répondront le 10 décembre matin des experts Sécurité reconnus, Consultants, Avocats, Acteurs, Chercheurs, Responsables sécurité ou DSI. De la théorie à la pratique, des risques et menaces aux conseils ou solutions potentielles : une matinée d’Informations concrètes, de Sensibilisation et de Networking.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité 

Agenda

• 8H00 – Accueil des participants : petit-déjeuner et Networking
• 8H40 – Panorama des Risques & Vulnérabilités, par Julien Steunou, ManagerSécurité Lexsi
• 9H00 – Retour d’expérience & Solution, point de vue de Fortinet avec Raphaël Lignier
• 9H20 – Conseils et guides pratiques, par Benoît MARION, expert Sécurité Solucom
• 9H40 – Expérience terrain, point de vue de Darktrace
• 10H00 – Point de vue d’un organisme officiel 
• 10H20 – PAUSE Networking
• 10H40 – Panel sur «Données, Utilisateurs & Machines : Comment garder le contrôler dans un SI ouvert ? Stratégie, Conseil & Solutions »avec Maître François Coupez, avocat qui abordera la partie juridique, Cyberdéfense et SIEM avec Gérard Gaudin, Président du Club R2GS, Ely de Travieso, Elu en charge de la Cybersécurité CGPME et Dirigeant PhoneSec, également expert en sécurité pour la partie conseils et retour terrain Raphaël Lignier, Fortinet sur  dans le Secure Access Architecture Animé par Solange Belkhayat-Fuchs, Rédactrice en Chef CNIS Mag
• 11H25 – La Minute Juridique : les impacts juridiques, nouvelles législations et jurisprudences en sécurité du SI par Maîtres Olivier Itéanu et Garance Mathias. Ils répondront à toutes les questions du public sur le sujet de façon interactive.
• 11H45 – PAUSE Networking Tirage au sort de lots pour fêter Noël autour d’une coupe de champagne (Tablettes, Montres connectées …)
• 12H15 – Clôture de la conférence

Le titre accroche. « Sécurité et espionnage informatique », ça sent la jamesbonderie à plein nez, l’aventure au coin du clavier, le cyberflingue en pogne. Et si l’on entame l’ouvrage par la fin, chapitre 11 (Exemples de campagnes de cyberespionnage), on est effectivement plongé dans un bain où barbouzes et truands se côtoient, s’échangent des astuces et des outils, tapotent avec confiance des épaulettes de haut gradés de l’armée Chinoise ou officiers supérieurs de la Loubianka. Ainsi aurait donc pu débuter (par des faisceaux de preuves et de présomptions) un livre destiné aux dirigeants d’entreprises, ceux pour qui, aujourd’hui, le risque informatique est un « risque parmi tant d’autres » dont il faudra s’occuper lorsque surviendra une crise… pas avant. C’est oublier que le « risque informatique » ne provoque pas la moindre crise, du moins pas immédiatement, et qu’une fois détecté, il s’est souvent passé 300 ou 600 jours durant lesquels la victime s’est peu à peu fait saigner à blanc. L’abus d’images fortes et de rapports de hacks inquiétant serait donc un moyen comme un autre d’attirer l’attention des CxO en matière d’InfoSec.

Mais le livre de Cedric Pernet est écrit pour des RSSI, des Directeurs informatiques, des administrateurs systèmes et réseaux. Des gens qui ne sombrent pas facilement dans le sensationnalisme. L’aspect quasiment anecdotique des « hommes derrières les APT », les dates auxquelles les grandes cyber-attaques ont été lancées, les liens supposés entre groupes actifs passent donc en second plan. Pernet propose une vision opérationnelle et technique des APT (méthodes d’attaques, exemples de codes et vecteurs d’intrusion) et des moyens pour s’en préserver (détection, remédiation, mécanismes préventifs). Un travail de titan ou de bénédictin qui retrace parfois plus de 10 ans d’évolution des techniques d’intrusion. Il « parle » le langage de son lecteur, le RSSI, pour qui les attaques « évoluées et persistantes » ne constituent pas un risque latent, mais une réalité d’autant plus difficile à saisir qu’elle est polymorphe. On ne cherche pas à combattre un risque viral clairement identifié, on ne s’évertue pas à colmater une défense périmétrique, à combattre une campagne de phishing, à interdire la fuite des hachages de mots de passe ou à bloquer du XSS… la chasse à l’APT, c’est tout ça à la fois et plus encore, un combat défensif sur plusieurs fronts. Car « en face », les malware kits ressemblent de plus en plus à des bombes à fragmentation. Le seul moyen de les combattre, semble expliquer l’auteur, c’est de tenter d’en connaître les principaux rouages, les astuces les plus courantes, donc de les « comprendre » et pas seulement les détecter, pour défendre au mieux. La sécurité est un processus, pas une réaction conditionnée. Et surtout, insiste-t-il, il faut communiquer, faire savoir à la communauté SSI. Plus vite un risque est identifié, mieux il sera déjoué. Communiquer, mais aussi surveiller, notamment l’activité des trafics provenant de noms de domaines suspects, sensibiliser (car bon nombre d’APT ont encore recours aux vieilles ficelles de l’ingénierie sociale) et enfin pratiquer la religion du test de pénétration.

Sécurité et espionnage informatique

Auteur : Cedric Pernet

Editeur : Eyrolles, 220 Pages

Beau mariage que celui de JM Manach et de Nicoby, de l’auteur du « Pays de Candy », enquêteur infatigable du scandale Amesys, et de l’illustrateur de « La Révolution Pilote ».

Le premier écrit de manière précise, hache son texte de phrases courtes, de faits, de dates, de lieux, le second colle une ambiance, avec un trait tout aussi simple et haché, des esquisses dichromes caractéristiques de cette BD contemporaine qui est (enfin) parvenue à s’émanciper de la « ligne claire », celle de Polite (mâtin, quel journal). Nicoby dessine « cru », JM Manach raconte « cash ».

Car il fallait bien une bande dessinée pour parler sans sombrer dans le pathos de cette saga Amesys qui, de personnages troubles en dictatures ensanglantées, de rétro-commissions en conflits d’intérêts, fait ressortir sinon des complicités de la part de certains élus Français, du moins des aveuglements coupables, des candeurs difficilement compréhensibles. D’ailleurs, le mot d’ordre n’est-il pas de parler « d’outils-de-télécommunications-dont-l’usage-a-été-détourné-mais-qui-ne-sont-pas-des-systèmes-d’arme » ?

Amesys, c’est cette ancienne filiale du groupe Bull, spécialisée dans le développement de systèmes d’écoutes massives, capables d’intercepter emails, échanges sur les réseaux sociaux, conversations téléphoniques, bref, tous dialogues de nature numérique. Amesys, c’est l’entreprise qui a vu, dans les régimes autocratiques arabes en général, et en la Lybie de Kadhafi en particulier, des débouchés commerciaux inespérés. Peut-on, un seul instant, croire le discours du Directeur commercial de la filiale qui compare Eagle (le système de surveillance massive en question) à un stylo-plume ? Un « je ne suis pas responsable » qui prendra plus tard une résonance macabre devant les témoignages des survivants opposants au régime Libyen torturés sur la seule preuve de leurs échanges de courriels. Courriels interceptés par … ? L’encre rouge de Nicoby envahi la case, éclabousse les phylactères, donne au témoignage de Manach une dimension morbide que le texte de « Au pays de Candy » ne parvenait pas à transcrire.
Amesys est également une entité dont la Direction de la Communication est confiée à un membre de la famille du Ministre de la Défense d’alors, lequel Ministre reprend, devant la Chambre, les mêmes arguments que le Directeur Commercial de l’entreprise. Les « éléments de langage » sont strictement conservés pour que jamais ne soit remis en cause les intérêts de la filiale de Bull ou la politique de rapprochement d’alors. D’ailleurs, comment évoquer la fourniture d’armes technologiques à une dictature alors que Kadhafi est reçu par Nicolas Sarkozy à l’Elysée ? Zoom de Nicoby sur les manchettes de journaux de l’époque, gros plan sur Alain Juppé qui nie une évidence technique. Amesys, ce sont enfin ces trois « Pied Nickelés » de l’équipe chargée de la direction opérationnelle d’Eagle qui désignent par des noms de bonbons les pays potentiellement « clients ». Nicoby abandonne pour quelques planches son trait sec et sa dichromie, retrouve le style ébouriffé de René Pellos pour camper Ribouldingue, Filochard et Croquignol en train de semer, par pure indifférence des multitudes de traces sur les réseaux sociaux. Lorsque leur quasi complicité avec le régime jamahiriyen est sur le point d’éclater dans la presse, les trois compères s’ingénient à faire disparaître Amesys. Le Sauve-qui-peut réussit, Bull est dégagé de toute implication, le business continue avec Nexa Technologies, et aucun Commissaire Croquenot ou Lenoir n’est là pour menacer la liberté des trois compères. Fin de l’histoire. L’album s’achève en mentionnant l’affaire Snowden, qui dénonce une NSA amoureuse de gadgets aussi intrusifs que ceux d’Amesys, en utilisant les mêmes ficelles en guise de justification : Terroristes, cyber-pédophiles, ennemis intérieurs, l’ère des grandes oreilles n’en est qu’à la préadolescence.

Grandes oreilles et bras cassés

Scénario de Jean Marc Manach, dessins de Nicoby

Editeur : Futuropolis, 110 pages

Il existe des moyens plus rébarbatifs pour apprendre Python. Pour Franck Ebel, Enseignant à l’Université de Valencienne, qui avait déjà commis un ouvrage sur la lutte anti-cybercriminalité, c’est l’occasion de revenir sur l’inéluctable condition d’Homo-connectus qu’est l’informatisé moderne, un être qui ne vit quasiment jamais sans son lien Internet. Ne peut-on rêver meilleur prétexte que celui-ci pour étudier ce qu’est un Socket et en écrire un, à tout hasard en Python ? Et, exercices après exemples, exemples après analyse d’outils fondamentaux (Scapy, par exemple et pas franchement par hasard), Franck Ebel nous entraîne, nous fait passer de l’état d’usager du Net et de la messagerie à celui d’observateur (de trames et de paquets). Comment attaquer, comment détecter l’attaque et au passage s’adonner aux plaisirs du fuzzing et de l’analyse réseau.

Tout ça est à la fois pratique (à ne lire qu’un clavier sous la main, un .py sous les yeux), clair, pas nécessairement simple, mais sans conteste « for fun and profit ».

Hacking et Forensic, Développez vos propres outils en Python

Auteur : Franck Ebel

Editeur : Eni, collection Epsilon

Cet hiver, la demande de rançon est à la mode, et il n’existe pratiquement plus un seul recoin du monde Internet et télécom qui ne soit touché. A ce train-là, on peut s’attendre à recevoir des lettres de menace du genre « pAy3 B0cou d’ArGent siN0n J3 tue ton T313viseur, ta m0ntr3 conn3kté é ton N4bazT4g ».

Le premier à s’en inquiéter est, une fois de plus, Brian Krebs qui remarque une très nette augmentation des virus-chiffreurs visant les sites Web. Données et fichiers textes ou images sont irrémédiablement chiffrés et rendus inexploitables tant qu’une rançon conséquente n’aura pas été versée. Le salaire du backup, en quelques sortes. Si l’on ajoute à ces méfaits l’activité presque traditionnelle des attaques visant les stations de travail des particuliers (principalement du fait de CryptoWall) c’est près d’un millier de plaintes pour racket au chiffrement qu’aurait reçu le FBI durant le premier semestre de 2015.

De son côté, Europol estime qu’à l’intérieur des frontières de la Communauté, durant les deux premiers mois durant lesquels est apparu Cryptolocker en 2013, plus de 250 000 infections auraient été subies, le montant des rançons effectivement versées frisant les 24 millions d’Euros. Cette rapide progression n’a pu être freinée que grâce à l’élimination du botnet Gameover Zeus, l’un des principaux vecteurs de diffusion du virus.

359 millions de dollars : cet autre chiffre impressionnant, fournis cette fois par nos confrères de Hacked.com (d’après une étude signée Heimdal Security), représenterait le « chiffre d’affaires » réalisé par Cryptowall 3.0… et la version 4.0 promet d’être bien plus ravageuse nous assure Elliot Maras.

En général, une clef de déchiffrement est obtenue en payement de la rançon. En général, car parfois, explique Lawrence Abrams dans les colonnes de bleepingcomputer, le virus-chiffreur est frappé par un bug qui rend toute récupération impossible. Il est également difficile d’estimer le pourcentage de personnes ayant effectivement reçu une clef de déchiffrement une fois la rançon payée, les victimes ayant tendance à ne pas crier leur mésaventure sur les toits.

Parfois, les maîtres-chanteurs menacent, si la somme due n’est pas versée, de publier l’intégralité des fichiers sur Internet. « Les auteurs du malware ont donc effectué un backup certainement plus récent que le vôtre et se proposent de le mettre à votre disposition si vous ne leur versez pas un seul centime » explique ironiquement Brian Krebs. Mais la plus élémentaires des prudences veut que chacun puisse sauvegarder ses propres données sur un support inattaquable (disques à écriture unique) ou inaccessible depuis le réseau local. Ajoutons que les sauvegardes « dans le cloud » peuvent constituer un certain niveau d’assurance, mais ne sont pas totalement infaillibles si la ressource distante est connectée à l’ordinateur-victime au moment même de l’infection.

L’éditeur d’anti-virus Dr Web tient à peu près ce même langage en analysant le comportement d’un ransomware visant les machines Linux et baptisé fort à propos « Linux.Encoder.1 ». Un chercheur de l’équipe F-Secure estime que le chiffre d’affaires du gang à l’origine de Linux.Encoder frise les 12 000 dollars par mois. Net d’impôt, payé en Bitcoins. Mais même les histoires les plus ténébreuses peuvent s’achever avec un happy-end. Aussi terrible soit-il, Linux.Encoder est lui-même frappé par un défaut qui a permis à l’équipe de Bitdefender d’offrir à tout usager un petit script de déchiffrement en python.

Les stations de travail et serveurs Web, sous Windows ou sous Linux… ce n’est pas tout. Il en va de même pour les téléphones et tablettes sous Android s’émeut Charlie Osborne de ZDNet. L’article ne mentionne pas spécifiquement les ransomwares, mais plutôt les vecteurs d’attaque qui « rootent » les terminaux mobiles, éliminant du coup le filtre imposé par les éditeurs et possesseurs de places de marché « officielles ». Le Sans en profite pour effectivement faire le lien avec les ransomware qui, d’ailleurs, appartiennent plus à la catégorie des applications « bloquantes » que des virus-chiffreurs, précise un article de Security Intelligence. Et le Sans d’achever son article du jour par une série de recommandations.

– ton téléphone ne jailbreakeras point, et des virus tu seras protégé

– tes applications chez Google, Amazon, Apple ou Microsoft toujours ira chercher, et à Cydia le dos tu tourneras…

L’on pourrait presque ajouter « En ton constructeur de téléphone toujours auras confiance, quand bien même tes données il pillera et tes choix d’achat dictera ».

Vient enfin l’une des dernières catégories de racket : la rançon au déni de service. Le très sécurisé et très Helvétique prestataire de services de messagerie ProtonMail en a fait les frais, et résume, au fil de son blog, le film des évènements.

Dans un premier temps, les serveurs de ProtonMail se font submerger par une impressionnante attaque en dénis de service. Ne pouvant faire face, les responsables de ce service, pressés par certains utilisateurs de poids, acceptent de payer la rançon de près de 6000 dollars payables en Bitcoin.

Quelques jours plus tard, l’équipe dirigeante de ProtonMail modifie son billet et affirme fort et clair qu’elle s’est un peu fait forcer la main et regrette d’avoir cédé à la pression. Pourquoi ? Parce qu’une fois la rançon versée, l’attaque a repris de plus belle. « Plus jamais nous ne payerons », tempête le porte-parole de l’entreprise.