Archives

Administration de la Sécurité : IAM, SIEM … et Maîtrise des données (en entreprise, scada-OIV & industrie) : Stratégie, Conseils & Solutions

Administration de la Sécurité : IAM, SIEM … et Maîtrise des données (en entreprise, scada-OIV & industrie) : Stratégie, Conseils & Solutions

Posté on 04 déc 2014 at 4:57

9 décembre 2014, Rendez-vous à l’Intercontinental Paris Avenue Marceau

 

 

 

Administration de la Sécurité : IAM, SIEM … et Maîtrise des données (en entreprise, scada-OIV & industrie) :

perte, vol, responsabilité, tracer, chiffrer …

Stratégie, Conseils & Solutions

 

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

 

Perte, vol des identités et des données, quelles responsabilités au sein de l’entreprise? Comment administrer la sécurité des données ? Authentifier, accéder, tracer,chiffrer …Quelles solutions sont à la disposition des entreprises, scada-oiv ou industrie ? Comment s’assurer que les solutions en place ne sont pas obsolètes ? Comment faire évoluer ses défenses au rythme des nouvelles vulnérabilités et menaces ?

 

Risques et conséquences d’une mauvaise administration de la sécurité, impact et responsabilités … autant de questions et sujets auxquels répondront des experts de tout bord : consultants, avocats, acteurs, chercheurs, de la théorie à la pratique. Une matinée de Sensibilisation, d’Information et de Networking

 

Exceptionnellement pour fĂŞter NoĂ«l et la nouvelle annĂ©e, Ă  l’issue de cette matinĂ©e, tirage au sort de cadeaux (tablettes, Smartphones etc.) autour d’une coupe de champagne.

 

OĂą ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

 

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

 

Agenda

    • 8H30 – Accueil des participants : petit-dĂ©jeuner et Networking
    • 9H00 – Risques & ConsĂ©quences d’une mauvaise administration de la sĂ©curitĂ©, par HervĂ© Schauer, Fondateur HSC Consulting
    • 9H20 – 2015, passer Ă  la vitesse supĂ©rieure en SSI : OpĂ©ration Emmental et Pawn Storm etc., recherches en interne & prĂ©dictions 2015 par LoĂŻc GuĂ©zo, Trend Micro
    • 9H40 – Conseils et guides pratiques : « SOC et CERT : les dĂ©fis pour une meilleure surveillance et une rĂ©action efficace » par GĂ©rĂ´me Billois, Solucom
    • 10H00 – «SĂ©curisez les postes partagĂ©s de votre SI» par Guillaume Guerrin, expert sĂ©curitĂ© Ilex
    • 10H20 – Panel sur «Administration de la SĂ©curité : IAM, SIEM … et MaĂ®trise des donnĂ©es (en entreprise, scada-OIV & industrie) : StratĂ©gie, Conseils & Solutions» avec MaĂ®tre François Coupez, avocat qui abordera la partie juridique, Gerald Oualid chez Thalès et membre fondateur de l’association R2GS qui parlera de cyberdĂ©fense et SIEM,Eric VAUTIER, RSSI, membre du Clusif, qui nous parlera de son quotidien et donnera des conseils en fonction de son expĂ©rience, un consultant et MĂ©dĂ©ric Leborgne, Directeur Technique Blackberry qui nous parlera de l’ouverture de son produit et de la prise en compte de l’administration de la sĂ©curitĂ© en incluant les principaux tablettes et PDAs du marchĂ©. AnimĂ© par Solange Belkhayat-Fuchs, RĂ©dactrice en Chef CNIS Mag
    • 11H05 – PAUSE Networking
    • 11H25 –Retour Terrain : refonte des procĂ©dures de la gestion des habilitations Ă  la Maif, par Alice MILANOVA, RSSI MAIF, membre du Clusif
    • 11H55 – La Minute Juridique : les impacts juridiques, nouvelles lĂ©gislations et jurisprudences en sĂ©curitĂ© du SI par MaĂ®tres Olivier ItĂ©anu et Garance Mathias. Ils rĂ©pondront Ă  toutes les questions du public sur le sujet de façon interactive.
    • 12H15– Tirage au sort de cadeaux (tablettes, smartphones …) autour d’une coupe de champagne
    • 12H45 – ClĂ´ture de la confĂ©rence

 

En Bref ...

En Bref …

Posté on 20 nov 2014 at 12:28

Comment truquer le résultat d’un vote par Internet , un article de recherche qui devrait intéresser tous les Français résidant à l’étranger …

NoSuchCon : Anthony « Frantic » Zboralski ferme le ban

NoSuchCon : Anthony « Frantic » Zboralski ferme le ban

Posté on 19 nov 2014 at 12:36

A la fin de la session 2014 de NoSuchCon, l’une des plus importantes conférences sécurité Française, ce sera Anthony Zboralski qui aura l’honneur d’assurer la conférence de clôture de NSC 2014. Le public se souvient du coup d’éclat du hacker « Frantic » qui, en 1994, tutoyait d’un peu trop près les serveurs des agences à trois lettres situées de l’autre côté de l’Atlantique. Devenu depuis expert-conseil en SSI, il tiendra, devant l’assistance, un « no such talk » sur le thème « la sécurité n’est pas une recette de cuisine ou un empilement d’outils », une défense passive purement périmétrique. Ce qui se conçoit bien…

Jusqu’au 21 novembre , « after hours » non compris, l’Espace Niemeyer devient une fois de plus le centre du « monde sécu », celui qui cherche (et qui trouve), celui qui tente d’anticiper d’éventuelles menaces, d’imaginer de nouvelles attaques sans logo ni communiqué de presse.

Réseau : Une attaque ? Plus de télétravail

Réseau : Une attaque ? Plus de télétravail

Posté on 18 nov 2014 at 12:17

Après avoir été victime d’une attaque massive, les services postaux US ont décidé de suspendre toutes les liaisons VPN utilisées par les télétravailleurs d’USPS nous apprend Dark Reading. L’intrusion, qui fait tourner la tête de certains politiques en direction de la Chine ou d’autres Etats-Nations jugés « cyber-agressifs », a visé les identités et numéros de sécurité sociale d’employés à la retraite de la Poste de l’Etat Fédéral (800 000 personnes au total) et d’un peu moins de 3 millions de clients. Il n’est pas établi que cette intrusion ait été perpétrée via l’accès distant d’un des employés en activité. Mais le VPN, estiment les responsables sécurité de l’organisation, présente des vulnérabilités nécessitant une mise à niveau, ce qui expliquerait cette décision radicale.

International RFID Congress : RFID, les sur-Ă©tiquettes arrivent (suite 3)

International RFID Congress : RFID, les sur-Ă©tiquettes arrivent (suite 3)

Posté on 17 nov 2014 at 11:24

L’univers des RFID serait apollinien et son avenir barbouillé de rose-Barbie si l’on s’en tenait là. Mais l’art de coller un « machin qui cause » à un système d’interrogation radio ne connaît pas de frontières. Bon nombre d’intervenants présents lors du Congrès RFID de Marseille parlaient même d’Internet des Objets (IoT). Abus de langage ? Que Nenni ! vision prospective et débouchés commerciaux. Se retrouvent ainsi raccrochés les wagons des smart-meters, des appareils de télé-contrôle des feux de signalisation urbains, des biochips dans le secteur médical, des réfrigérateurs sous IPv6, des bus de commande, des capteurs et des actuateurs du secteur automobile, des périphériques d’authentification de personnes, des appareils liés à des réseaux domotiques et de divertissement audio-vidéo, des capteurs de température/pression/humidité, des systèmes industriels, des instruments de mesure…

On est bien parti pour que cette Ă©volution logique des objets interrogeables par radio finisse par constituer une faune polymorphe innombrable, dont strictement personne ne pourra, ne saura dĂ©terminer ni le pĂ©rimètre, ni la valeur des donnĂ©es communiquĂ©es entre diffĂ©rents systèmes, entre diffĂ©rentes architectures. L’Internet des Objets est en passe de ressembler Ă  la chanson des Frères Jacques : Il y a un machin et un truc. Quand on a l’bout qui a le truc, Faut trouver l’bout qui a l’machin, On tâte et on trouve des tas d’trucs, Mais on ne trouve jamais l’machin. Autrement dit, il est toujours possible de savoir oĂą se trouve l’objet de l’Internet (puisqu’il se trouve Ă  portĂ©e radio), mais connaĂ®tre avec prĂ©cision les frontières du machin, sur combien de niveaux de profondeur, sur combien de rĂ©seaux et vers quels serveurs transitent et Ă©chouent les donnĂ©es captĂ©es, mystère.

A l’exception peut-être de systèmes tels que Shodan et certainement des robots et automates estampillés Google, Apple ou Microsoft. A peine sortie d’une phase de normalisation et de sécurisation, voilà que le RFID s’engage vers une nouvelle course à la technologie débridée, et risque fort de commettre à nouveau les mêmes erreurs… en plus grand encore. Le magazine en ligne Stuffi offrait en début de semaine à ses lecteurs un florilège de hacks IoT. Le compteur qui coupe le courant, l’ampoule connectée qui espionne ou le « bébé-phone » et le téléviseur piratés par des imprécateurs au vocabulaire rabelaisien ne sont que les premiers signes d’une nouvelle forme d’attaques seulement subversives aujourd’hui, qui se transformeront rapidement en razzias d’informations personnelles pour le compte de mafias Russo-sino-mafieuses.

Face à une telle perspective, il est évident que le Centre de National de Référence du CNRFID a un rôle à jouer. Tant sur le plan de la normalisation des solutions (normalisation qui assurerait une traçabilité des informations stockées et véhiculées) que sous l’angle sécurité. Un problème totalement négligé jusqu’à présent, si l’on excepte les efforts, nécessairement parcellaires, des constructeurs eux-mêmes. Or, en matière de sécurité appliquée aux réseaux de communication, les points de faiblesse sont rarement là où on les cherche (généralement au niveau de chaque maillon) mais sur les passerelles, les points de jonctions, là où une rupture ou traduction de protocole constitue une voie d’eau potentielle, là où se commettent ce que les anglophones appellent les « implementation errors ». Sans une instance capable de donner un avis impartial sur la fiabilité d’une chaîne complète mettant en œuvre des RFID (autrement dit que le CNRFID se dote d’un laboratoire d’analyse totalement neutre et indépendant des fabricants et intégrateurs), l’internet des objets se transformera en un fantastique terrain de jeu pour blackhats.

Des failles fermées par tombereaux ouverts

Des failles fermées par tombereaux ouverts

Posté on 12 nov 2014 at 11:49

16 bouchons, certains d’entre eux résolvant jusqu’à 17 vulnérabilités d’un coup, concernant pratiquement toutes les facettes de Windows. C’est un véritable défilé du 11 novembre, que ce mardi des rustines. Comme de bien entendu, la vieille garde des trous Internet Explorer ouvre la marche, avec, précisément, ses 17 blessures de guerre dont un contournement du bastion ASLR suivit d’une élévation de privilège donnant à chaque soldat-hacker son bâton de Maréchal-Système pour peu qu’il sache comment l’utiliser. Egalement de la revue, la faille OLE, un vieux briscard qui fit les honneurs de l’attaque très médiatique Sandworm, désormais consolidée par une jambe de bois immatriculée MS14-064. Mais ce n’est pas tout. Le serveur de première classe IIS en prend pour son grade, .Net en réchappe de peu, tandis que RDP a été à deux doigts de faire passer l’ennemi, TCP/IP confondait les privilèges de sergent et de lieutenant-colonel, idem pour les o services audi. « Dites 33 » demande le médecin-chef qui supervise le Conseil de Révision logiciel. Un chiffre qui fait tousser, puisqu’il s’agit du nombre total de CVE colmatés en ce jour de commémoration d’Armistice. Au passage, 14 autres anciens correctifs Microsoft se sont vus relever de leurs positions par de nouvelles rustines-recrues qui assurent désormais la relève. Fermez le ban

Ouvrez le ban. Emet version 5.1 corrige quelques bugs exploitables et méthodes de contournement (dont une figurant dans la panoplie Kali Linux) affectant la précédente édition. Roulement de tambour et changement d’éditeur.

Sous l’étendard Adobe, à peine une escouade de 18 CVE visant Flash Player (proche cousin d’I.E. en matière de régularité dans la vulnérabilité et AIR, versions Windows, OSX et Linux.

Et les tambours virtuels d’entonner « Aux Morts ». Dulce et decorum est pro informatica mori.

International RFID COngress : RFID, Des ancêtres encombrants, une génétique trouble (suite 2)

International RFID COngress : RFID, Des ancêtres encombrants, une génétique trouble (suite 2)

Posté on 10 nov 2014 at 11:29

A quoi peut servir un RFID ? et surtout qu’est-ce qu’un RFID ? Il y a quelques années, ces choses-là étaient claires : le RFID était le successeur pressenti du code à barre, fonctionnant en très grande majorité dans la bande HF des 13 MHz, avec une distance de lecture de quelques centimètres maximum. Au rencart la douchette, vive le sans contact, sans « sens de lecture », sans « orientation préalable ». Cette définition simple, simpliste même allait être bousculée par une foultitude de problèmes. A commencer par un usage abusif Outre Atlantique qui eut pour conséquence une campagne de dénigrement assez violente orchestrée par quelques défenseurs des libertés individuelles. A commencer par Katherine Albrech. Avec le développement des premiers RFID ont également fait surface les carences évidentes en matière de sécurité. Des « serial hackers » de talent, dont Adam Laurie et son site RFidiot ou Melanie Rieback de l’Université Libre d’Amsterdam, voire les Charlies Miller ou Cesare Cerrudo ne sont pas les moins connus dans la longue histoire de la chasse aux trous constellant les étiquettes « intelligentes ».

Tout comme les transmissions Wifi, excessivement fragiles à leurs débuts, puis de plus en plus résistantes avec l’arrivée des WPA de tous poils, les étiquettes radio ont pu combler peu à peu leurs défauts. La situation est encore loin d’être parfaite, mais elle est bien meilleure qu’il y a encore 5 ans. En outre, la majorité des usagers ont parfaitement intégré la notion d’analyse de risque liée à l’adoption de cette technique d’étiquetage radio. Tous les RFID n’ont pas nécessairement obligation d’être chiffrés ou d’être inaltérables, impossible à reproduire. Se sont donc constitués différentes strates de sécurité, empilées selon la destination finale et les exigences de leurs usagers.

Autre point délicat, celui du prix du RFID, considérablement plus élevé que celui du code à barre. De quelques dizaines de centimes par pièce, le RFID est passé en dessous de la barre des 8 à 10 cts dernièrement. Mais cette évolution ne s’est pas faite en un jour, et reste supérieure à ce que coûte une bande de 5 centimètres de papier autocollant recouverte d’un peu d’encre. Durant ce laps de temps également, le code à barre a reconquis quelques parts de marché là où on ne l’attendait pas. Dans le secteur Internet notamment, grâce à l’apparition des appareils photos sur smartphone qui ont popularisé les QRcodes. Des smarphones qui sont encore loin d’être tous équipés de lecteurs RFID d’ailleurs.

Ces petits hiatus ne sont rien comparés à la confusion croissante qui caractérise le monde des RFID dans son ensemble. Car le mot englobe beaucoup de choses. Les étiquettes 13,56 MHz elles-mêmes et leurs différentes normes (dont font partie par exemple les tags « myfare », clef d’hôtel, forfaits de ski, conteneurs biométriques des passeports etc.), les NFC de nos cartes bancaires et autres identifiants sans contact à très faible portée, mais également les dispositifs UHF consultables jusqu’à 10 mètres avec une vitesse de défilement de 50 km/h. Des RFID UHF qui, d’ailleurs, tendent de plus en plus à remplacer les étiquettes électroniques « old school » sur 13 MHz, car plus souples, plus faciles à « lire » , plus adaptées aux secteurs des transports, du stockage, voir même du contrôle d’accès, chasse gardée des RFID « HF » jusqu’à présent (et pour certaines, plus facilement hackables, ne serait-ce qu’en collectant les métadonnées). En utilisant des fréquences plus hautes, il devient plus facile, grâce à des antennes directives de taille acceptable, d’effectuer des lectures sectorielles, d’orienter un lobe de rayonnement de manière précise dans une direction donnée, de restreindre la distance de lecture de manière plus fine que ne le ferait un aérien dans la bande décamétrique.

Mais les étiquettes HF ont encore de beaux restes. Car dans cette famille, si l’on trouve des composants à lecture seule quasiment passifs, il existe également des systèmes intégrant un processeur ARM, un bloc de chiffrement DES, 32 k d’Eeprom, 28 k de mémoire ram, un capteur de température, un port externe pour récupérer les informations d’un accéléromètre (ou autre capteur), un port SPI… le tout communiquant par radio à un peu moins d’un Mb/s. Lorsqu’un paquet parvient à destination, l’on peut immédiatement savoir si le conteneur sur lequel il a été collé a été choqué, s’il a brisé la chaîne du froid, s’il a franchi telle ou telle étape de validation en fonction des données contenues en mémoire. Défaut de ses qualités, ce sont précisément ces performances techniques qui, associées à l’identité d’une personne, peuvent se transformer en véritable mouchard environnemental et contrevenir aux recommandations d’une Cnil quelconque …

International RFID Congress : Le RFID, avenir politique et devenir technique (1)

International RFID Congress : Le RFID, avenir politique et devenir technique (1)

Posté on 10 nov 2014 at 11:14

Début octobre se déroulait à Marseille le Congrès International sur les RFID. Une manifestation qui, traditionnellement, s’attache année après année à un thème unique. Transports, secteur médical, distribution… Mais en 2014, tout change. Le comité d’organisation décide de mettre fin à ce cloisonnement et convie les fabricants et grands utilisateurs de RFID de tous bords. Les militaires du service de l’Intendance discutent avec les professionnels des transports aériens, qui eux-mêmes regardent avec attention ce qui se pratique dans le secteur médical ou, plus prosaïquement, dans la gestion des couettes de la SNCF ou l’étiquetage des bouteilles de vin.

Car le RFID, après des années de ratés au démarrage et de mauvaise presse, commence peu à peu à s’imposer. Politiquement tout d’abord, avec un sous-groupe du plan industriel « objets connectés » (qui fait partie des fameux « 34 projets de reconquête industrielle » initié le 12 septembre de l’an passé par le Gouvernement).

Un groupe de travail qui sera chargé d’identifier des projets industriels porteurs, tout en assurant du respect de la vie privée et de la protection des données et en situant les « principaux enjeux de gouvernance et de standardisation sur lesquels les intérêts de l’industrie française doivent être défendus » précise le communiqué. La formule est belle, mais la course est loin d’être gagnée. D’autres pays, USA et Japon en tête, ont déjà des idées très précises sur leur façon de voir la standardisation et de développer des applications spécifiques.

Toute aussi politique est la décision de constituer un « Centre National de référence RFID » qui ouvrira dès le début 2015. Un centre dont la mission sera de présenter les « meilleures applications dans le NFC et permettre à toutes les sociétés de disposer de moyens techniques (téléphone mobile NFC, échantillons de tags représentatifs, moyens techniques de caractérisation) pour développer de nouvelles solutions NFC ». En d’autres termes, ce sera là une « plateforme de compatibilité opérationnelle », une sorte de « preuve de faisabilité » mais en aucun cas une collégiale ayant pouvoir de certifier, tant en matière d’interopérabilité que de sécurité des contenus, maîtrise des fuites d’information ou conseils en matière d’intégration technique. « C’est une plateforme qui reposera sur la notion de « best effort »précisait le Président du CNRFID à l’occasion du congrès annuel.

Bilan attaque massive : 11 000 « charges » en 24 H, Shellshock en forme

Bilan attaque massive : 11 000 « charges » en 24 H, Shellshock en forme

Posté on 07 nov 2014 at 10:38

Trois chercheurs d’Akamai, Ezra Caltum, Adi Ludmer et Ory Segal, ont dressé un tableau des activités de Shellshock dans les 5 jours suivant sa révélation. Et le moins que l’on puisse dire, c’est que les auteurs d’exploits ont travaillé avec un zèle infatigable.

-67 % des attaques provenaient des USA, 7 % d’Allemagne et 6 % de Grande Bretagne (4% semblant émaner de France).

- Cherchez l’argent : l’immense majorité des attaques visait… les sites de jeu en ligne (environ 300 000 tentatives d’intrusion). La seconde cible par ordre d’importance (équipements électroniques grand public) ne dépassait guère 10 % de ce volume.

- Le pic de volume des attaques a culminé le second et troisième jour après la divulgation publique de la vulnérabilité bash (7400 et 8000 domaines frappés)

- Le nombre de vecteurs uniques d’attaque a atteint le cap des 10 000 dès le lendemain de l’annonce, 15 000 le surlendemain, 20 000 le troisième jour, pour retomber à 15 000 le 28 septembre.

Dell SecureWorks publie notamment une cartographie des tentatives d’injection bash dans le monde, qui confirme et complète l’étude d’Akamai.

Quelques autres spécialistes sécurité commencent à s’inquiéter du « bruit de fond » que ShellShock continuera de générer en visant notamment les routeurs et appliances directement reliés à Internet et utilisant des Linux embarqués.

Stockage : Wuala payant, Office365 illimité

Stockage : Wuala payant, Office365 illimité

Posté on 06 nov 2014 at 10:31

Wuala, entreprise Helvétique rachetée par La Cie, laquelle sera ensuite absorbée par Seagate, s’était fait une place sur le marché du stockage en offrant deux services gratuits. L’un tout à fait classique, à l’instar de ceux qui deviendront ses concurrents plus tard (OneDrive, Dropbox etc.), l’autre participatif, offrant à chaque abonné un espace proportionnel à celui qu’il était en mesure de proposer lui-même. Cette seconde solution, copie conforme du projet universitaire open source Ocean Store, n’eût qu’un succès d’estime, la protection des données stockées dans le « nuage des utilisateurs-collaborateurs » étant toujours demeurée techniquement floue. Exit donc le stockage participatif, ne restait plus que l’offre « 5 Go gratuit ». Laquelle vient à son tour d’être abandonnée, faute de rentabilité, et en raison d’une concurrence sauvage menée par les « gros bras » du stockage externalisé à destination grand-public. Difficile effectivement de soutenir la comparaison avec les 15 Go offerts par Microsoft OneDrive, Mediafire ou GoogleDrive. Désormais, l’offre Wuala devient essentiellement payante explique le blog maison. 12 $ par an pour 5 Go, 48 $ pour 20 Go, il est peu probable que l’intérêt du public se maintienne avec de tels tarifs. Même l’offre professionnelle (100 Go pour 5 utilisateurs à 430 $ l’année) risque d’être boudée.

Car le cloud pas souverain du stockage nébuleux traverse un front de perturbation orageux. Le client professionnel se courtise à coup de propositions de plus en plus avantageuses. Microsoft, cette semaine, supprime la limite du 1 To par défaut et passe en forfait illimité pour tout abonné à Office 365, dont l’abonnement débute à 7 euros par mois. Tout semble indiqué que les hostilités ont atteint leur point culminant, et que dans moins d’un an, le nombre de prestataires stockage significatifs se comptera sur les doigts de la main.

Publicité

MORE_POSTS

Archives

décembre 2014
lun mar mer jeu ven sam dim
« nov    
1234567
891011121314
15161718192021
22232425262728
293031