Archives

Vulnérabilités et Menaces 2016 :  Comment savoir si on a été attaqué ? Tracer une attaque, nettoyer son SI, comment se protéger ? Se défendre ?  Conseils & Solutions

Vulnérabilités et Menaces 2016 : Comment savoir si on a été attaqué ? Tracer une attaque, nettoyer son SI, comment se protéger ? Se défendre ? Conseils & Solutions

Posté on 08 avr 2016 at 8:45

10 mai 2016, RV à l’Intercontinental Paris Avenue Marceau

 

Vulnérabilités et Menaces 2016 :

En pleine mutation ? Comment savoir si on a été attaqué ? Comment tracer une attaque ? Comment nettoyer son SI ? Comment se protéger ? se défendre ?

Conseils et Solutions

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

 

Numérisation de l’entreprise, évolution du Système d’Information, rôle des Dirigeants, DSI, RSSI, départements métier, DRH … c’est toute l’entreprise qui est en pleine mutation. Un SI en perpétuelle évolution et sans frontière physique, qui avec le Cloud voit apparaître de nouveaux services internes et externes, à un rythme soutenu. De nouvelles manières de travailler, l’apparition d’Objets Connectés dans le quotidien professionnel … autant de raisons de faire régulièrement le point sur les vulnérabilités et menaces qui pèsent sur l’entreprise car il est difficile d’imaginer et mettre sur pied une stratégie de protection et de défense sans connaître les risques encourus. Comment savoir si on a été attaqué ? Comment tracer une attaque ? Comment nettoyer son SI ? Comment se protéger ? se défendre ?

Autant de questions et sujets auxquels répondront le 10 mai matin des experts Sécurité reconnus, Consultants, Avocats, Acteurs, Chercheurs, Responsables sécurité ou DSI. De la théorie à la pratique, des risques et menaces aux conseils ou solutions potentielles : une matinée d’Informations concrètes, de Sensibilisation et de Networking.

 

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 av. Marceau, Paris 8

 

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

 

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité 

 

Agenda

  • 8H00 – Accueil des participants : petit-déjeuner et Networking
  • 8H40 – Panorama des Vulnérabilités, Menaces & Risques 2016, par Helmi Rais, Directeur AlliaCERT chez Alliacom
  • 9H00 – Retour d’expérience & Solution, point de vue de Forcepoint, avec Florent Fortuné
  • 9H20 – Conseils et guides pratiques, par Vincent Nguyen, Directeur Technique CERT Solucom, gestion de crise cyber et particularités
  • 9H40 – Expérience terrain, point de vue de Darktrace
  • 10H00 – Panel sur «Vulnérabilités et Menaces 2016 : Comment savoir si on a été attaqué ? Comment tracer une attaque ? Comment nettoyer son SI ? Comment se protéger ? se défendre ? Stratégie, Conseil & Solutions » avec Maître François Coupez, avocat qui abordera la partie juridique, Expérience en entreprise et conseils avec un RSSI, réalité au sein des entreprises avec Nacira Salvan, ex-RSSi et actuelle Directrice Cybersécurité chez PwC, Point de vue d’un acteur avec un expert sécurité de Blackberry qui avec Good Technology se tourne vers la Sécurité des plateformes et des applications mobiles, également retour terrain et conseils avec Sébastien Gioria, Fondateur du Chapitre français de l’OWASP qui parlera des dernières publications de l’association sur les IoT entre autres, Animé par Solange Belkhayat-Fuchs, Rédactrice en Chef CNIS Mag 
  • 10H45 – PAUSE Networking
  • 11H00 – Une nouvelle attaque expliquée et décortiquée par Lexsi
  • 11H20 – La Minute Juridique : les impacts juridiques, nouvelles législations et jurisprudences en sécurité du SI par Maîtres Olivier Itéanu et Garance Mathias. Ils répondront à toutes les questions du public sur le sujet de façon interactive.
  • 11H40 – PAUSE Networking avec Tirage au sort de Tablettes autour d’une coupe de champagne
  • 12H15 – Clôture de la conférence

 

Insomni’hack 2016 : ça n’est pas que du technoPr0n

Insomni’hack 2016 : ça n’est pas que du technoPr0n

Posté on 07 avr 2016 at 12:38

Mention spéciale à Florian Hammers (Tenable) avec son « 8 security lessons from 8bit games », qui a su faire salle comble avec un parterre de spectateurs attendant un cours magistral sur le retrogaming/retrohacking à grand renfort de C64, Pet Comodore et autres Oric Atmos et ZX81. Hélas il n’en fût rien, le discours se limitant à énoncer les bases des « bonnes pratiques » que l’on ressasse lors des réunions de sensibilisation à la SSI. Dans une autre salle, au même moment, Nick Stephens déroulait son « Million Dollar Baby: An “angr”y Attempt at Conquering the DARPA CGC ». Plus d’un auront regretté d’avoir manqué cette discussion à propos d’Angr, plateforme d’analyse de binaires.

Insomni’hack 2016 s’achevait par une plénière de clôture totalement déjantée, animée par le plus Breton des responsables sécurité Helvétique, Bruno Kerouanton. Lequel offrait à l’assistance un patchwork de séquences vidéos, de chansons loufoques sur l’impossible rôle du RSSI en entreprise, d’extraits de films au langage pseudo technoïde et de références subtiles allant de « the IT Crowd » au traité de management ou aux ouvrages de sociologie contemporaine. Le métier de Ciso, résume-t-il, relève tantôt de « Mission : Impossible », tantôt de « On doit vivre dangereusement ». Poste moitié technique, moitié stratégique, métier en éternelle recherche d’une queue de budget ou d’un cyber-parapluie miracle, le siège de super-RSSI n’est pas une sinécure. Ce n’est pas une raison pour se complaire dans l’auto-affliction, explique Kerouanton, tout en arrosant l’assistance d’une pluie de paquets de céréales de marque Nerds. Il sera difficile de faire mieux l’an prochain.
Le traditionnel CTF -qui traditionnellement se déroule une fois les dernières conférence achevées- a été remporté haut la main par l’équipe DragonSector, qui a battu ses concurrents de plusieurs longueurs

Insomni’hack 2016 : hébergeurs à l’épreuve des balles

Insomni’hack 2016 : hébergeurs à l’épreuve des balles

Posté on 06 avr 2016 at 12:20

Moins d’IoT, plus de rançons, de crimes, de spam, de pluies de malwares et de bot-herders avec la conférence de Maxim Goncharov (Trend Micro) « Criminal Hideouts for Lease: Bulletproof Hosting Services ». Cette présentation avait déjà été donnée à l’occasion de Pac_Sec, au Japon. Qui, au sein de la communauté des Cert et autres Response Team, s’intéresse de près aux hébergeurs à haute disponibilité, qui louent leurs services aux cyber-mafieux ? Ils sont très peu, en fait. L’un des premiers, des plus tenaces, fut longtemps Dancho Danchev, lequel inlassablement listait les liens qui unissaient les différents prestataires Russes et Ukrainiens et les groupes mafieux du Russian Business Network et leurs héritiers. Depuis que Danchev a cessé ses publications, Goncharov a repris le flambeau. Il publiait d’ailleurs en juillet dernier une étude complète sur ces hébergeurs véreux. Des opérateurs pour truands qui imposent à leurs clients des règles morales très élastiques. « Pas de pédopornographie… sans en discuter avec l’opérateur. Pas d’attaque visant le marché Russe ou Ukrainien ». Mais depuis les récents affrontements entre Moscou et Kiev, les coups de canifs au contrat sont nombreux. « Il suffit parfois de lire les accroches publicitaires de ces entreprises pour deviner le profil des clients ». Certains mettent en avant leurs capacités de hosting et leurs datacenter situés à l’étranger, fort utiles pour brouiller les pistes et les origines d’une attaque, d’autres tentent de charmer les spécialistes du racket au dénis de service en proposant des grappes de machines virtuelles en location à court terme, d’autres encore vantent leurs capacités en bande passante et l’efficacité de leur force de frappe lors de campagnes de malwaretizing ou de spam. « Leurs catalogues ressemblent à ceux des prestataires occidentaux, à la différence près qu’ils ne proposent ni suite bureautique, ni agenda partagé, ni support aux forces de ventes, mais des C&C as a service, des adresses IP mobiles, des serveurs Torrent, des pseudo sites SEO… et en prime, de véritables sites légitimes piratés par leurs soins qu’ils peuvent « sous-louer » dans le cadre d’attaques en DdoS ou phishing, des pans entiers de sites d’hébergement secondaires (Amazon, OVH) ainsi transformés en hébergeurs mafieux malgré eux »

Insomni’hack 2016 : Taïaut sur l’IoT, Cryptax et Mylacoon sur la brèche

Insomni’hack 2016 : Taïaut sur l’IoT, Cryptax et Mylacoon sur la brèche

Posté on 05 avr 2016 at 12:09

La seconde couche était passée par Axelle « Cryptax » Apvrille (Fortinet). Une approche plus technique, les objets de l’Internet ayant fait l’objet d’une opération d’ingénierie inverse étant respectivement une paire de lunettes (sous Android), une brosse à dent (qui discute avec tout smartphone via une liaison BLE), et une …. Centrale d’alarme, également sous Android, laquelle a l’extrême politesse de transmettre via SMS son propre mot de passe ainsi que le numéro de téléphone de l’intéressé. Même un effacement de la « boîte de courriers sortant » ne permet de conserver le secret du mot de passe. Les « transparents » de la conférence de Cryptax peuvent être récupérés sur l’espace de stockage Fortiweb.

Tout comme lors de ses dernière présentations (le hack des montres Fitbit), Axelle Apvrille insiste sur les risques élevés de fuites de données personnelles. Rien n’est plus personnel qu’une brosse à dent, plus « permanent » et attaché à la personne qu’une paire de lunettes de sport…

 

 

Et de trois, avec Candid « Mylacoon » Wueest (Symantec), qui remplaçait au pied levé Sylvain Maret. Un Candid Wueest qui craignait que Cryptax ne fasse un exposé trop proche du sien. Il n’en fut rien. Les propos du chercheur étaient moins techniques, moins tactiques que stratégiques.« Le Web, explique-t-il, est devenu un monde dans lequel les attaques, le chantage à la rupture de service sont monnaie courante. Que la menace soit celle d’un cryptovirus ou d’une publication sur Pastebin, le cyber-racketeur poursuit toujours un unique but : extorquer de l’argent de victimes incapables de se défendre car techniquement dépendantes d’un outil informatique qu’elles ne maîtrisent pas, ou peu. Il est quasiment certain que cette dérive va toucher le secteur IoT. Son adoption rapide sur le marché grand public, le manque d’attention porté à l’intégration de règles de sécurité « by design », la quasi omniprésence de ces objets en relation directe avec nos habitudes de vie, tout ça en fait une cible quasi certaine des sphères techno-mafieuses ». Et de fournir quelques exemples, prouvant que la solidité de l’IoT se limite en général à celle du système de collecte de l’information, autrement dit une boîte Linux ou un Android embarqué. Plus les objets de l’Internet nous seront indispensables, plus leur compromission présentera un handicap pour ses usagers, du « soft hacking » qui exploite des fuites d’informations susceptibles d’intéresser une compagnie d’assurance (laquelle peut moduler ses primes en fonction de ces données personnelles jugées plus ou moins « à risque » (au verrouillage de l’IoT débloqué contre versement d’une rançon versée en Bitcoin).

Insomni’hack 2016 : Taïaut sur l’IoT, la cavalcade Beau Woods

Insomni’hack 2016 : Taïaut sur l’IoT, la cavalcade Beau Woods

Posté on 04 avr 2016 at 11:54

Si, l’an passé, la conférence sécurité Genevoise avait bien timidement abordé les problèmes liés à la sécurité de l’informatique embarquée automobile, son édition 2016 a littéralement mis les pieds dans le plat de l’IoT. S’il fallait une seule phrase pour résumer le discours des chercheurs, ce serait « Peut mieux faire : de bonnes idées, mais une intégration bâclée et un travail rendu trop rapidement. Apprenez à réfléchir ».
Apprenez à réfléchir. C’est le cri d’alarme que pousse Beau Woods au fil de son intervention intitulée « A Hippocratic Oath for Connected Medical Devices ». Rien de particulièrement nouveau sous le soleil, ce cyber-serment d’Hippocrate avait été rapidement brossé en janvier dernier dans un billet de blog rédigé par Woods lui-même. Ses travaux, ainsi que ceux de tous les participants du mouvement « I am the Cavalry », expliquent clairement le manque de compétence et d’attention dont font preuve les intégrateurs du domaine de l’instrumentation médicale. Entre les hacks de pacemakers et les intrusions dans les électroniques des pompes à insuline, en passant par les razzias effectuées sur les fichiers d’imagerie médicale (ou les parachutages de crypto-malwares), le capital confiance dont bénéficiaient les professionnels de l’électronique médicale s’érode peu à peu. Et rien, ou si peu, est fait pour que cette situation s’améliore, déplore Woods. Et de recommander ces « règles d’un Owasp médical » à la fois si simples à comprendre, si difficiles à mettre en place : une sécurité by design, le recours aux conseils de professionnels de la sécurité qui savent, des outils de conservation des traces et des preuves recevables, des mécanismes de mise à jour, le tout protégé par des appareils résilients dans le cadre d’une architecture segmentée pour limiter les risques de propagation. Il reste à espérer que le clairon de la cavalerie ne se fera pas entendre trop tard au sein des grands OEM du milieu médical, automobile, de l’habitat ou des infrastructures publiques.

Le « Privacy Shield » Européen, des décisions dramatiques

Le « Privacy Shield » Européen, des décisions dramatiques

Posté on 18 mar 2016 at 4:01

Plus d’une vingtaine d’organisations de défense des libertés individuelles, sous l’égide du Groupe de Travail 29A (les Cnil d’Europe) ne croient pas que les accords entre USA et l’Union Européenne soient conformes à la vision de la Cour de Justice Européenne (celle-là même qui a récemment dénoncé l’iniquité du « safe harbor » à l’américaine). « Sans une réforme significative qui assurerait la protection des droits fondamentaux des individus de part et d’autre de l’atlantique, le « Privacy Shield » met en danger les usagers, mine la confiance placée dans l’économie numérique, et perpétue les violations des droits de l’homme qui sont actuellement commises, conséquence des programmes de surveillance et autres activités » fustige le communiqué, rédigé sous l’autorité de la Présidente du 29A, Isabelle Falque-Pierrotin.

Pour les Cnil d’Europe, la Quadrature du Net, l’ACLU, l’EFF, l’Epic, Amnesty International, la Digitale Gesellschaft e.V., le Digital Rights Ireland, l’ IT-Political Association Danoise et 13 autres organisations de défense, le « Privacy Shield » et une suite de décisions léonines dictées par le gouvernement US, totalement opaques, qui se passent de la moindre justification, du moindre cadre légal, qui ne respectent pas les droits de l’homme et qui ne souffrent aucun examen de la part d’un organisme indépendant. « Les usagers ne sont jamais avertis de la collecte, de la diffusion ou de l’usage , et de ce fait il n’existe aucune solution pour que les personnes ainsi concernées puissent trouver une parade, un remède » explique en substance le communiqué.

En Bref ...

En Bref …

Posté on 18 mar 2016 at 2:29

Tout augmente. 100 000 $ (et non plus 50 000$) de prime à qui sera capable de compromettre un ordinateur Chromebook de manière persistante. La récompense est naturellement promise par l’équipe sécurité de Google.

En Bref ...

En Bref …

Posté on 18 mar 2016 at 2:01

Mark Gibbs , de Network World, dresse une liste de l’arsenal d’écoutes téléphoniques employé par les services de police et de renseignement US. Une compilation d’articles de Cryptoarmy, de l ’EFF et de The Intercept.

En Bref ...

En Bref …

Posté on 18 mar 2016 at 1:48

L’existence du réseau Prism d’entente entre industriels des NTIC et les services de renseignements US (NSA principalement) est officiellement reconnue par un juge Fédéral dans un document publié par l’Aclu, l’American Civil Liberties Union (page 11 et suivantes).

En Bref ...

En Bref …

Posté on 18 mar 2016 at 1:27

Les propriétaires d’avions multi-rôles F-35 Lightning II de Lookeed Martin sont priés, conseille le fabricant, de rebooter leur radar à périodes régulières durant leurs missions. Un bulletin d’alerte est publié par Ars Technica, aucun correctif n’est prévu à courte échéance. Un bug de plus pour l’avion le plus cher du monde

Publicité

MORE_POSTS

Archives

avril 2016
lun mar mer jeu ven sam dim
« mar    
 123
45678910
11121314151617
18192021222324
252627282930