Le gouvernement Britannique, nous informent nos confrères du Telegraph, serait sur le point d’imposer (comme c’est déjà le cas en France) la conservation des traces de communication sur les logs des fournisseurs d’accès Internet et opérateurs de téléphonie mobile. Tout comme chez nous également (article 6-II de la loi du 21 juin 2004 de la LCEN, loi n° 2006-64 du 23 janvier 2006 etc.), ce dispositif policier utilise comme prétexte la lutte contre le terrorisme. Cette conservation de trace devrait faire l’objet d’une information auprès de tout ressortissant Français appelé à effectuer des missions professionnelles au Royaume Uni.

Deux chercheurs, Terry McCorkle et Billy Rios, se sont mis au défi de créer leur propre « Month of Scada Bug », et de trouver 100 bugs majeurs en l’espace de 100 jours dans un éventail de systèmes de commandes industriels. Le résultat de ce pari a fait l’objet d’une présentation formelle à l’occasion du « Kaspersky Security Analyst Summit 2012 » de Cancun, information rapportée par nos confrères de Search Security. Pouquoi 100 bugs « seulement » ? Parce que, estimaient les chercheurs, plus de 1000 trous de sécurité, dont 95% étaient exploitables très facilement, avaient déjà été découverts durant les 9 mois de travail qu’exigeait la phase préliminaire de leurs travaux. Trous bien entendu signalés aux éditeurs et équipementiers concernés et corrigés depuis. Il était donc logique que les perfectionnements et remises à plat provoquées par ce déluge d’alertes ait rendu la gageure plus difficile.

Que nenni ! les 100 trous furent trouvés sans effort démesuré. La faute en reviendrait principalement aux méthodes, ou plus exactement à la quasi absence de méthode des éditeurs de logiciels de supervision de contrôle de processus industriels. Pas la moindre notion de « software development lifecycle », pas la plus petite opération de « fuzzing » (laquelle est devenue une quasi routine chez bon nombre d’éditeurs de logiciels du secteur de « l’informatique informaticienne »).

L’on pourrait ajouter que, des décennies durant, ces spécialistes du pilotage d’automates programmables se sont habitués à pondre un code simple, destiné à des mini-ordinateurs ou des calculateurs industriels utilisant une architecture et des noyaux très propriétaires, le tout évoluant au sein de complexes industriels coupés de tout lien avec les réseaux publics. Mais, la crise économique actuelle aidant, les tarifs pratiqués durant toute cette période sont vite devenus prohibitifs. Les « Minis » ont été remplacés par des « micros », les noyaux cryptiques et les architectures ésotériques ont cédé la place à de la machine Wintel, la superbe isolation de l’automate programmable s’est évanouie aux accents triomphants d’Internet, outil de communication Ô combien plus économique qu’une ligne spécialisée posée par Transpac et louée à des tarifs proche du PIB d’un état Africain. Ces multiples virages technologiques contraignent aujourd’hui les éditeurs de logiciels de commande de processus industriels à réaliser en quelques mois ce qui a pris plus de deux décennies à des Microsoft, des Oracles ou des Linux : savoir écrire « propre » et avec méthode, afin de limiter (et encore) le nombre probable d’erreurs exploitables. Une équation à N inconnues qu’aucun exercice Piranet, même scénarisé par le plus imaginatif des Enarques, ne saurait résoudre.

Suis-je victime d’une attaque DNS-Changer ? Pour le savoir, le Cert-Fi vient de rendre publique une page Web de test à distance, accompagnée d’une série d’URL d’information

Le mot de passe du Président Syrien Bashar El Assad était « 12345 », nous apprennent quelques Anonymous via Fail Blog. Information non confirmée mais si amusante qu’on pourrait presque la prendre pour argent comptant

Du 7 au 9 février s’est déroulé l’exercice Piranet 2012 visant à « tester la capacité de l’État à réagir et se coordonner en cas d’attaques causant graves dysfonctionnements des systèmes d’information de la Nation ». Le scénario simulait, précise le communiqué, une attaque d’ampleur sur l’Internet Français et les réseaux de l’administration. Aucune information complémentaire n’a filtré, sinon que les résultats avaient été « riches d’enseignements ».

C’est là une spécialité nationale, qui consiste à répéter inlassablement des « grandes manœuvres » destinées à codifier une discipline et une série de réactions et de ripostes à des agressions répertoriées. Afin, comme le dit la formule immortalisée par le Maréchal Le Bœuf à la veille de la dérouillée de 1870, que « nous soyons prêts, archiprêts et qu’il ne nous manque pas un bouton de guêtre ». Las, la guerre, cyber ou non, ne se conduit pas avec du fil à repriser et une collection de boutons de rechange. Les mauvaises habitudes étant les plus faciles à conserver, ce fut avec la même constance et le même amour de la méthode que l’on défendit la France en 1939, en « imaginant » la répétition d’agressions connues et répertoriées et en codifiant les parades possibles. On sait ce qu’il advint de l’utilité des firewall Maginot, de l’efficacité d’une cavalerie marchant au pas et conçue pour appuyer l’infanterie et d’une aviation protégée sur ses bases arrières. Sans une décision réellement politique consistant à revoir les bases d’un « ethical hacking » réellement agressif et libéré des carcans d’une LCEN assez inutile (notamment pour ceux disposés en deçà de la frontière) et quelque peu inadaptée (surtout pour les entreprises ayant besoin de tester la solidité de leurs défenses), il ne saurait y avoir de réel « entraînement » aux exercices de défense des S.I. nationaux.

Comme en France (et dans le monde du hack en général) tout finit par des chansons, les hardis pentesteurs de métropole et de nos riants DOM-TOM peuvent entonner avec Marco le rap de Metasploit (http://www.muziboo.com/marcofigueroa/music/what-you-need-metasploit/), un hymne de circonstance.

Vite ! plus qu’une centaine de places disponibles pour participer aux prochaines JSSI, la Journée Sécurité des Systèmes d’Information qui se déroulera le 13 Mars prochain FIAP Jean Monnet, 30 rue Cabanis dans le XIVème à Paris. Une JSSI qui s’adresse particulièrement à tous ceux qui pratiquent ou achètent du test d’intrusion cette année. Car, comme le détaille le programme de la manifestation, on y parlera des aspects juridiques de ces tests, d’analyse forensique sous Windows, d’injections « No-SQL », d’audits d’applications Web et de prestations de services en sécurité de manière générale. Du très sérieux, comme d’habitude. Je me fais tester, tu testes, il certifie, nous sécurisons, vous garantissez…. Ils respirent. Les noms des conférenciers sont quasiment connus de tous : Nicolas Grégoire, Nicolas Hanteville, Olivier Caleff etc. Le droit d’entrée est de 75 euros, tarif spécial pour les étudiants et membres de l’Ossir. Détail important : l’Ossir n’ayant aucun numéro de téléphone ou de fax public, les seuls moyens d’inscription sont soit le courrier « papier », soit l’email, à l’adresse i12(à)ossir.org.

La conférence sécurité Hackito Ergo Sum 2012 se déroulera (le secret était bien gardé) dans l’Espace Oscar Niemeyer, 2 place du Colonel Fabien, dans le XIXème arrondissement de Paris. Rappelons que l’évènement aura lieu du 12 au 14 avril, et que le « call for paper » final est disponible sur le site de la manifestation

L’espace Oscar Niemeyer, également appelé la « soucoupe volante » par les gens du quartier, n’est autre que la salle des congrès du Parti Communiste Français. Elle porte le nom de son architecte concepteur, également célèbre pour ses réalisations à Brasilia et à New York. C’est également à deux pas de ce lieu chargé d’histoire que se dressaient les « fourches de grande justice », le gibet de Montfaucon, où finirent quelques compagnons de François Villon. Légèrement plus bas, en descendant la rue de la Grange aux Belles, dans le Xème, on tombe sur le célèbre Hôtel du Nord, son canal et la gueule d’atmosphère de Louis Jouvet et d’Arletty. Au Nord, le parc des Buttes Chaumont, lieu probable du Gibet, et repère secret d’Arsène Lupin. Quelques stations de métro plus tard, le Musée des sciences de La Villette… quelle conférence Sécurité peut prétendre à un tel cadre ?

Virtualisation & Sécurité :

où et comment se protéger ?

Intervention de Gérôme Billois, Expert Sécurité Solucom

Panorama des environnements virtuels et de leurs failles

Télécharger les slides : présentation de Gérôme Billois

Intervention de Luis Delabarre, CTO de Trend Micro

Virtualization & Security, real solutions

Télécharger les slides : présentation de Luis Delabarre

Intervention de Anne Coat, Expert Sécurité bureau Assistance et Conseil

Sécurité de la virtualisation : risques et recommandations

Télécharger les slides : présentation de Anne Coat

Intervention de Yann Le Borgne, Technical Manager SEUR

Virtualisation & Sécurité

Télécharger les slides : présentation de Yann Le Borgne

Intervention de Nicolas Ruff, Chercheur Sécurité EADS

Démonstration pour expliquer pourquoi il est indispensable de protéger son environnement virtuel : exemple de hack de VM.
Vidéo de l’Event

Une seconde vidéo du Hack de VM : KVM évasion

La Vidéo …

Maître Olivier Iteanu, avocat du barreau de Paris répond aux questions des entreprises

Minute Juridique : virtualisation, quels impacts juridiques ? Notification des failles obligatoire depuis l’ordonnance du 24 août 2011

Panel sur les nouveaux dangers dus à la virtualisation et solutions

Eric Caprioli, avocat à la cour pour l’aspect légal à considérer, réalité terrain sur les bonnes pratiques quand on virtualise, Gerome Billois, Solucom, Nicolas Ruff, Chercheur Sécurité chez EADS, membre de ARCSI et de l’OSSIR, Gil Delille, Président du Forum des Compétences qui expliquera sa vision. Animé par Jérôme Saiz, SecurityVibes

KALEIDOSCOPE DE PHOTOS DE L’EVENEMENT …

Photos réalisées par KIZ Photoshoping, photoshoping@me.com

(un simple clic sur une photo pour la déployer et utiliser les flèches de direction pour voir toutes les photos sur ce mode !!!)

« Votre entreprise peut-elle s’inspirer du business-model des pirates Somaliens ou des méthodes d’Al Quaida ? Avez-vous jamais pensé de lancer un service « anti-hacker » en embauchant des hackers » ? Ce sont là les thèmes d’un séminaire abordés par un tandem de sociétés de conseils, l’une spécialisée dans le marketing, l’autre dans le « business model innovation ». Aucune des deux sociétés n’est connue pour son niveau d’expertise dans le domaine de la sécurité.

Le hacking (noir si possible) et l’absence de respect des règles régaliennes des organisations mafieuses ont, de tous temps, tenté les cercles du pouvoir et de l’argent. Parfois de manière indirecte (c’est la notion d’alliance objective que l’on voit (peut-être) si souvent mise en pratique en Chine et dans les pays de l’ex URRS dans le cadre de cyber-batailles), parfois plus directement, tels ces Spam King et vendeurs de produits pharmaceutiques qui agissent souvent dans des pays occidentaux, sous la protection de lois « libérales » (la Can Spam US et similaires).La crise aidant et les marges bénéficiaires évoluant à la baisse, Il semble que l’on assiste de plus en plus à la dérive d’une forme de capitalisme « amoral » vers un capitalisme « décomplexé », voire carrément illégal (EDF vs Greenpeace pour ne citer que cet exemple). Tout l’art de ce jeu subtil consiste à redéfinir un vocabulaire qui aide à faire passer la pilule. Une méthode de truand se transforme en business model, l’Intelligence Economique masque une l’opération de barbouzerie, et, sous le couvert d’une campagne de lobbying, on organise quelques « tests de pénétration » sur les systèmes de traitement d’information d’un organisme ou d’un concurrent qui dérange. Après tout, la loi sur le secret des affaires permet de laisser planer une certaine obscurité sur ce genre de pratiques.

Cette « MasterClass en Black Business Model », même si son intitulé peut froisser quelques esprits, est révélateur d’une évolution très nette dans l’éthique des affaires. Jusqu’à présent, les histoires mêlant les Services de Renseignements et les secrets industriels étaient rares, ne touchant ou ne bénéficiant qu’à de grandes entreprises. Mais la tentation est de plus en plus grande pour les moyennes entreprises de faire appel à ces officines de conseil en « sécurité » qui se multiplient, aux sièges souvent situés hors d’Europe, et qui offrent à leur catalogue des prestations considérées comme illégales de ce côté-ci des Alpes ou des Pyrénées.

21 mars 2012, Rendez-vous à l’Intercontinental Paris Avenue Marceau

Vulnérabilités du SI :Panorama des menaces & « Back to basics » pour protéger le SI ouvert

Cliquer ici pour :
S’inscrire en ligne aux matinées de CNISevent

CNIS Event fait le point sur les menaces d’aujourd’hui et de demain. Des experts expliqueront quelles sont les menaces actuelles qui visent le système d’information, détailleront les vulnérabilités, d’aujourd’hui et de demain, comme les attaques potentielles. Ils approfondiront également la question en expliquant sur quoi elles portent mais surtout parleront de la manière dont les Responsables Sécurité pourraient se prémunir. Certains acteurs du secteur viendront appuyer les faits en détaillant leur propre vision. D’autres expliciteront les défenses potentielles imaginées. De nombreux experts seront présents et répondront autour d’une table ronde aux questions des patrons, DSI, RSSI, personnel IT présents dans la salle.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).
InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise, les CIL, les avocats et juristes et DRH de l’entreprise, les consultants également. Tous sont concernés par les menaces actuelles et à venir qui guettent le SI. Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour :

S’inscrire en ligne aux matinées de CNISevent

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 – Panorama des nouvelles menaces du SI (VoIP, « BYOD », réseaux sociaux …) par Vincent Hinderer, Cert Lexsi
• 9H20 – Expert terrain, point de vue d’un acteur
• 9H40 – Conseils, guide et expertise, par Gérôme Billois, Solucom
• 10H00 – Expertise terrain, point de vue de Sourcefire
• 10H20 – Minute Juridique : Protection et piratage du SI … quels sont les droits des entreprises, Maîtres Olivier Itéanu et Garance Mathias répondent à toutes vos questions
• 10H40 – PAUSE Networking
• 11H00 – Expertise terrain, vision du problème par RSA
• 11H20 – Retour terrain du CSO de la Société Générale, Olivier Chapron
• 11H35 – Panel sur les menaces actuelles et future du SI et les Solutions potentielles avec François Coupez, avocat qui abordera la partie juridique; Franck Veysset, patron du CertA; Nicolas Ruff, Chercheur Sécurité EADS, Léonard Dahan, Stonesoft qui expliquera sa vision. Animé par un journaliste sécurité
• 12H20 – Clôture de la conférence