13 décembre 2012, Rendez-vous à l’Intercontinental Paris Avenue Marceau

Administrer la sécu du SI : FW NG , IPS NG, gestion des identités, gestion des risques, tablettes, PDAs … Comment ne rien oublier ? Comment optimiser ? Conseils et Solutions

Cliquer ici pour : S’inscrire en ligne aux matinées de CNISevent

La sécurité devient un marché mature et toutes les entreprises ont d’ores et déjà toute une armada de produits et technologies pour se protéger. Les questions qui se posent souvent sont « comment gérer ces différents produits et technologies de façon la plus aisée possible ? Les produits Nouvelles Génération qu’apportent-ils en termes de gestion de sécurité ? » ou encore « Comment optimiser ? Centraliser est-ce possible ? », voire « comment récupérer les informations nécessaires et suffisantes dans mon SI pour prévenir les prochaines attaques ou fuites de données, internes comme externes ? ». Autant d’interrogations qui vont de comment administrer la sécurité à comment l’optimiser grâce à l’administration, des interrogations auxquelles de nombreux experts viendront répondre le jeudi 13 décembre prochain.
Des experts, de tous bords, associations dans le domaine de la sécurité, cabinets de conseil ou acteurs du domaine viendront donner des conseils et répondre aux questions. Des avocats de différents cabinets juridiques seront également là pour conseiller les personnes présentes sur le plan juridique. Le débat se tiendra aussi autour d’une table ronde qui sera encore un moyen mis à disposition des personnes présentes (patrons, DSI, RSSI, personnel IT ou non mais concernés par la sécurité) pour les informer et répondre à leurs questions

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).
InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL (Correspondant Informatique & Liberté), les avocats et juristes de l’entreprise, les consultants également. Tous sont concernés par et confrontés à l’administration de la sécurité. Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour :

S’inscrire en ligne aux matinées de CNISevent

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 –Quoi administrer ? Les risques d’une mauvaise administration de la sécurité, tour d’horizon par Hervé Schauer, Clusif,
• 9H20 –  Expert terrain, point de vue d’un acteur du secteur,
• 9H40 – Conseils, guide et expertise, par Gérome Billois, Directeur Sécurité chez Solucom,
• 10H00 – Expert terrain, point de vue de Yann Leborgne, Sorucefire,
• 10H20 – Minute Juridique : les impacts juridiques sur les entreprises du manque de maîtrise de la sécurité d’un SI, avec Maîtres Olivier Itéanu et Garance Mathias répondent à toutes vos questions,
• 10H40 – PAUSE Networking
• 11H00 – Marché, Tendance et Evolutions de la gestion des identités, par un expert d’Atheos/RIAM,
• 11H20 – Témoignage d’un RSSI,
• 11H40 – Panel sur « Administrer la sécurité du SI : Comment ne rien oublier ? Comment centraliser ? Conseils et Solutions» avec un avocat, un consultant qui donnera quelques conseils sur la question de l’administration des SI, Gérard Gaudin, Président du Club R2GS qui donnera son retour terrain et des conseils en la matière et Meydéric Leborgne, Directeur technique RIM qui parlera plateforme d’administration centralisée pour PDAs/tablettes. Animé par un analyste IT, Bertrand Garé.
• 12H 25– Tirage au sort de Noël, Champagne & Clôture de la dernière conférence 2012

Si, en France, il faut attendre après les publications de Cryptome ou se plonger dans l’indigeste lecture du Rapport annuel de la cour des comptes pour connaître les tarifs des écoutes téléphoniques … en Allemagne, il semble en revanche assez simple de se faire une idée du prix de l’ensemble des techno-gadgets utilisés tant par la police que par les services de renseignements (BSI). Un rapport qui serait pratiquement passé inaperçu si la journaliste bloggeuse Anne Roth n’avait fait état d’une version de ce document traduite en anglais

Jan Korte, homme politique du mouvement Die Linke (gauche), a posé une question écrite au Ministère de l’Intérieur portant sur les outils de surveillance actuellement en service. La réponse partielle (certains services ayant invoqué la sacrosainte « discrétion pour raison d’Etat ») a été publiée par le Bundestag et rendue publique. Système par système, entreprise sous-traitante par service acheteur, les détails de cette comptabilité de la cybersurveillance font état d’un budget de près de 2 millions d’Euros sur les 5 dernières années. 4 lignes de crédit sont allouées à la surveillance de Skype, 6 à l’écoute et l’interception de communications radio dont GSM, deux autres sur les GPS, sans oublier plusieurs marchés portant sur des véhicules d’écoute à large spectre. De tous les sous-traitants, Digitask est l’un des plus cités, avec une trentaine d’occurrences. Cette entreprise s’était faite épinglée il y a un an par le Chaos Computer Club qui avait récupéré et analysé un cheval de Troie destiné aux cyber-écoutes de la police Fédérale. Il n’y a pas qu’en France que les officines sous-traitantes, même les plus faillibles, conservent la confiance de leurs apporteurs d’affaires.

Scanner le patrimoine écrit de l’humanité relève de la mission divine (et un peu commerciale) pour Google, et de l’hérésie pour bon nombre d’éditeurs. Histoire de fausser un peu plus le jeu en sa faveur, Google a décidé de rendre publique et sous licence open (modèle Apache 2.0 ) les plans d’un scanner de livres automatique à défilement linéaire. Une mécanique relativement simple (guère plus complexe qu’une Reprap) qui devrait permettre de faire de la duplication d’ouvrages imprimés un sport international et un vecteur d’enrichissement des réseaux P2P.

On entend déjà le lamentoso des Ayants Droits qui, tels les cœurs antiques, vont faire écho aux déclamations des quémandeurs de taxe anti-piratage, mélodie bordée par le rythme contrapunctique des éditeurs de DRM, accompagnée par la basse des officines de délation spécialisées dans le suivi des partages de contenu et, en sourdine, le plain-chant des diffuseurs de contenu (légaux) geignant l’agonie d’un catalogue aussi mince que leur propre légitimité. Le tout rythmant la danse des grands businessmen de l’industrie du partage de documents publics, opérateurs cloudifiés et insaisissables mais capables de transformer n’importe quel fichier pdf en or et n’importe quel MP3 ou MKV en platine.
Le mythe du scanner DIY va-t-il relancer la chimère du livre tué par la généralisation des photocopieuses et réveiller quelque député en mal d’une proposition de loi portant son nom ? Peu importe. Google s’amuse, probablement au détriment de ce qui est réellement important : la mise à disposition pour tous d’une véritable bibliothèque numérique regroupant le thésaurus classique, de manière libre de droit et indépendante de toute entreprise.

A peine sorti et déjà p0wné : Windows Phone 8, le noyau « mobile » de Microsoft reposant sur le code Windows NT, pourrait être victime d’un « malware de démonstration » conçu par le chercheur Shantanu Gawde, et devant faire l’objet d’une présentation à la conférence Malcom de New Dehli

Il y a presque un an jour pour jour, Luigi Auriema, l’un des plus grands chasseurs de failles à la surface des terres émergées, publiait une série d’alertes concernant des logiciels de commande de processus industriel d’origine 3S (Smart Software Solution).

Il semblerait que les automates programmes d’ABB soient eux aussi malades, atteints d’une lèpre assez semblable, fait remarquer le chercheur Italien. Dans les deux cas, les vulnérabilités (par débordement de buffer) ont été découvertes dans le serveur http intégré au logiciel/firmware des entreprises respectivement citées.

Cette sorte de loi des série rappelle bien entendu une autre épidémie de peste, celle des failles des serveurs web de console d’administration intégrés systématiquement dans le moindre routeur, la plus petite caméra en réseau, ou le plus anodin des firewalls. Il a fallu plus de 15 ans pour que l’on puisse constater un net fléchissement des bulletins d’alertes intitulés « httpd vulnerability in module xxxx », et l’on entend encore parfois quelques échos résonner à l’occasion du lancement d’un nouveau produit. Ce qui nous laisse augurer une décennie très animée dans le secteur scada.

Bruits (de couloir) et chuchotements twittés, il flotte ces derniers jours comme un parfum de fin de règne pour les frères ennemis de la microinformatique. Chez Apple tout d’abord, avec la divulgation de petits-riens qui auraient, en d’autres temps, été fermement muselés… un fléchissement de la bourse après le lancement de l’iPhone 5 en raison de certaines craintes de rupture de stock, une fermeture provisoire de son sous-traitant Chinois Foxconn, des bugs de jeunesse dans le systèmes de cartographie du terminal… autant de vagues rumeurs qui n’auraient pas eu l’ombre d’une chance d’être évoquées il n’y a pas deux ans. Et voilà que le « père fondateur », Woz, le véritable papa de l’Apple II, confie aux participants de TEDx Bruxelles (via TechCrunch ) qu’il trouverait plus d’innovations dans les récents produits vendus par Microsoft que chez Apple tout entier. Et de lancer au fil de l’interview une série de « wooww » admiratifs, gimmick utilisé lors du lancement publicitaire de Seven.

Chez Microsoft, pourtant, les flottements sont tout aussi importants. Le grand public n’adhère pas (encore) à la nouvelle interface de Windows 8/RT et ne s’enthousiasme pas pour Surface comme un Bobo Yupie devant une devanture Apple un jour de lancement. A ceci s’ajoute le récent départ du patron de la division Windows, Steven Sinofsky, homme qui était parfois présenté comme le successeur probable de Ballmer. Un Sinofsky qui avait succédé à un autre personnage de valeur que l’on croyait inamovible à ce poste, Jim Allchin, qui lui-même reprenait les rennes de Brad Silverberg. Il est presque de tradition qu’un patron de division change de poste ou quitte l’entreprise une fois une ligne de produits lancée sur le marché. Mais, font remarquer quelques microsoftophiles, « Corp » compte un peu moins de « personnages » à sa tête. Sinofsky n’était pas, aux dires de ceux qui le côtoyaient, d’un charisme et d’une humanité débordante, et n’imposait pas, dans les médias, une image de « gourou » comme ont pu le faire un Silverberg, un Ray Ozzie ou un Allchin… voire un Bill Gates. Un Gates qui avait le talent de découvrir les talents et savait les mettre en valeur, ce qui n’est peut-être pas exactement un don qu’a su développer Steve Ballmer

Pendant ce temps, Google caracole. Le marché français des mobiles porte le logo Android dans 50% des cas, réalise 75% des nouvelles ventes de mobiles dans le monde et est en train de manger tout cru le marché Chinois en imposant un quasi-monopole. Des chiffres analysés par nos confrères de PCInpact et diffusés par une étude publiée dans Eguan, et que confirme une analyse de marché effectuée par le Gartner. Chiffres d’une portée stratégique incalculable, car ils illustrent ce qui se passe réellement en matière de transition technologique : le passage de la téléphonie mobile traditionnelle vers l’ère du smartphone se résume en deux chiffres : les ventes globales de téléphones mobiles ont chuté de 3% au 3ème trimestre 2012, mais celle des smartphones se sont envolées de 47% (marché lui-même détenu à 46,5% par deux marques seulement : Apple et Samsung). Et de ces deux protagonistes, c’est Samsung (donc Android) qui bénéficie le la plus forte croissance.

Voilà qui va faire les affaires des vendeurs d’outils de sécurité. Android est de plus en plus souvent présenté comme un système vulnérable, bien plus que celui de ses concurrents (iOS ou le tout « nouveau mais éprouvé » noyau de RIM, QNX). Cette perception de la vulnérabilité est d’ailleurs très relative. D’un côté, il y est encore très facile d’y trouver des failles ou des erreurs de conception favorisant des fuites d’information, de l’autre, le succès croissant de la plateforme va probablement provoquer une sorte « d’effet Windows » en attirant l’attention des auteurs de malwares.

Lue, sur la liste Netsec et largement décrite et commentée sur un site d’information Russe, cette faille Skype est exploitable avec une simplicité toute enfantine.

Dans un premier temps, il suffit de suivre la procédure de création de compte Skype en utilisant l’adresse email connue de la victime.

La procédure va immédiatement vitupérer et déclarer que l’adresse de messagerie en question est déjà utilisée… mais il suffit de ne pas tenir compte de l’avertissement et de continuer l’inscription, puis de tenter un login une fois la procédure achevée.

Sans Sésame, point d’accès possible, mais une procédure de demande de récupération de mot de passe est offerte par le programme en cas d’échec. En déclenchant cette procédure, le service Skype expédie un email à l’adresse de la victime…ainsi qu’un lien dans le logiciel client Skype. Ce lien donne accès à une fenêtre de renouvellement de mot de passe, le tour est joué, le compte est détourné. Il est notamment possible de récupérer au passage, outre le carnet d’adresse de la victime, l’historique des conversations « chat » tenues par le possesseur originel du compte.

Une mesure de contournement simple permet d’éviter d’être soi-même victime de ce genre de méfait : créer un compte sur une messagerie publique (Gmail, Hotmail) différent de l’adresse de messagerie généralement utilisée, ajouter cette adresse dans l’écran de gestion du profil Skype, puis, dans un second temps (après avoir sauvegardé la précédente modification), paramétrer ladite adresse comme adresse email par défaut.

L’Amérique du Nord est en émoi : une histoire galante entre le directeur de la CIA et ancien général d’Armée et sa biographe a poussé le patron de l’espionnage US à la démission. A l’origine, une enquête de routine conduite par le FBI suite à l’envoi d’emails d’insultes anonymes émis depuis un compte Gmail. Les policiers remontent la source avec le concours de Google semble-t-il, puis examinent les différentes comptes consultés par l’adresse IP incriminée. C’est là que les agents découvrent un compte de messagerie qui jamais n’émettait de courriel, mais dont la boîte « brouillons » servait de plaque tournante de consultation de messages entre le patron de la CIA, David Petraeus, et Paula Broadwell, auteur de son panégyrique.

LifeHacker décrit dans les grandes lignes le déroulement de l’enquête et les moyens techniques mis en œuvre par les amants terribles. Moyens techniques et erreurs commises, ce qui donne à nos confrères l’occasion de revenir sur les outils d’anonymisation qui auraient garanti une totale discrétion sur ces amours épistolaires.

Robert Graham se penche également sur le sujet, avec un peu plus de détails techniques, au fil d’un article intitulé « Le hacking de la maîtresse d’un général ». Et d’expliquer pas à pas le processus de déchiffrement du mot de passe pouvant donner accès aux correspondances amoureuses, allant même jusqu’à fournir en clair ledit mot de passe du compte de Paula Broadwell. Le condensat du code d’accès en question pouvait être récupéré dans le fichier d’un précédent hack, la fameuse « fuite d’information des emails Stratford » survenue au tout début de cette année. « Pas d’Anonymous dans cette histoire » estime Graham. « Ce que je fais, n’importe quel script kiddy aurait pu le faire ».

La consultation de courriers envoyés à soi-même ou stockés dans une boîte d’instance est une pratique décrite depuis longtemps dans tous les mauvais romans d’espionnage et utilisée semble-t-il par certains membres de Al Quaida peu de temps avant les évènements du 11 septembre. Il est étrange que le chef d’une administration particulièrement spécialisée dans la conservation des secrets et la découverte de ceux de ses adversaires ait pu commettre une telle erreur. Il est tout aussi étrange, pour nous autres, européens, que les épanchements amoureux d’un militaire puissent avoir sa démission pour conséquence. Si cette pratique puritaine avait eu cours en France, que de têtes couronnées, que de chefs de guerre seraient tombés à la simple évocation des noms de Marie Walewska, de la Du Barry, de la Pompadour, d’Agnès Sorel, de Gabrielle d’Estrée ou de la fameuse « connaissance sortie par la porte de derrière* » de Felix Faure.

NdlC Note de la Correctrice : que les journaux de l’époque surnommèrent très élégamment « la Pompe Funèbre »

A une exception près (la MS12-073 ) tous les bulletins d’alerte de ce mois sont considérés comme critiques par le Sans. Toutes, en revanche, sont « cumulatives », colmatant à chaque fois entre deux et 5 CVE. Aucune, en revanche, n’écope du « patch now ! » rouge vif, signifiant par-là que les risques d’exploitation « dans la nature » sont relativement improbables. Tout au plus, le Sans Institute signale l’existence d’une probable preuve de faisabilité (PoC) concernant précisément la 12-073.

Le détail donné par Microsoft précise que sont touchés notamment I.E. 9 (une faille propre à cette version très précise du navigateur affirme l’éditeur), ainsi que deux points névralgiques du système : MS12-072, une faille « shell », et MS12-075, une faille Noyau. Le plus imposant des bouche-trous concerne l’environnement « dot net » avec 5 CVE, dont 4 d’entre eux caractérisés par un index de possibilité d’exploitation élevé.

Encore quelques failles Java, doublement exploitées notamment par la faille CVE-2010-0188.B, résurgence d’un vieux trou datant de l’an passé. Il est conseillé de vérifier la version active à l’aide de la page adéquate (http://www.java.com/en/download/installed.jsp) et d’utilise le bouton de mise à jour vers la « 7U9 » le cas échéant