ISO 27001 pour les nuls : la série télévisée. C’est sur le site IS & CBA, 13 vidéos louées une soixantaine de dollars par mois (ou 15 $ par séquence).

Le gouvernement Britannique, nous informent nos confrères du Telegraph, serait sur le point d’imposer (comme c’est déjà le cas en France) la conservation des traces de communication sur les logs des fournisseurs d’accès Internet et opérateurs de téléphonie mobile. Tout comme chez nous également (article 6-II de la loi du 21 juin 2004 de la LCEN, loi n° 2006-64 du 23 janvier 2006 etc.), ce dispositif policier utilise comme prétexte la lutte contre le terrorisme. Cette conservation de trace devrait faire l’objet d’une information auprès de tout ressortissant Français appelé à effectuer des missions professionnelles au Royaume Uni.

Deux chercheurs, Terry McCorkle et Billy Rios, se sont mis au défi de créer leur propre « Month of Scada Bug », et de trouver 100 bugs majeurs en l’espace de 100 jours dans un éventail de systèmes de commandes industriels. Le résultat de ce pari a fait l’objet d’une présentation formelle à l’occasion du « Kaspersky Security Analyst Summit 2012 » de Cancun, information rapportée par nos confrères de Search Security. Pouquoi 100 bugs « seulement » ? Parce que, estimaient les chercheurs, plus de 1000 trous de sécurité, dont 95% étaient exploitables très facilement, avaient déjà été découverts durant les 9 mois de travail qu’exigeait la phase préliminaire de leurs travaux. Trous bien entendu signalés aux éditeurs et équipementiers concernés et corrigés depuis. Il était donc logique que les perfectionnements et remises à plat provoquées par ce déluge d’alertes ait rendu la gageure plus difficile.

Que nenni ! les 100 trous furent trouvés sans effort démesuré. La faute en reviendrait principalement aux méthodes, ou plus exactement à la quasi absence de méthode des éditeurs de logiciels de supervision de contrôle de processus industriels. Pas la moindre notion de « software development lifecycle », pas la plus petite opération de « fuzzing » (laquelle est devenue une quasi routine chez bon nombre d’éditeurs de logiciels du secteur de « l’informatique informaticienne »).

L’on pourrait ajouter que, des décennies durant, ces spécialistes du pilotage d’automates programmables se sont habitués à pondre un code simple, destiné à des mini-ordinateurs ou des calculateurs industriels utilisant une architecture et des noyaux très propriétaires, le tout évoluant au sein de complexes industriels coupés de tout lien avec les réseaux publics. Mais, la crise économique actuelle aidant, les tarifs pratiqués durant toute cette période sont vite devenus prohibitifs. Les « Minis » ont été remplacés par des « micros », les noyaux cryptiques et les architectures ésotériques ont cédé la place à de la machine Wintel, la superbe isolation de l’automate programmable s’est évanouie aux accents triomphants d’Internet, outil de communication Ô combien plus économique qu’une ligne spécialisée posée par Transpac et louée à des tarifs proche du PIB d’un état Africain. Ces multiples virages technologiques contraignent aujourd’hui les éditeurs de logiciels de commande de processus industriels à réaliser en quelques mois ce qui a pris plus de deux décennies à des Microsoft, des Oracles ou des Linux : savoir écrire « propre » et avec méthode, afin de limiter (et encore) le nombre probable d’erreurs exploitables. Une équation à N inconnues qu’aucun exercice Piranet, même scénarisé par le plus imaginatif des Enarques, ne saurait résoudre.

Suis-je victime d’une attaque DNS-Changer ? Pour le savoir, le Cert-Fi vient de rendre publique une page Web de test à distance, accompagnée d’une série d’URL d’information

Le mot de passe du Président Syrien Bashar El Assad était « 12345 », nous apprennent quelques Anonymous via Fail Blog. Information non confirmée mais si amusante qu’on pourrait presque la prendre pour argent comptant

Du 7 au 9 février s’est déroulé l’exercice Piranet 2012 visant à « tester la capacité de l’État à réagir et se coordonner en cas d’attaques causant graves dysfonctionnements des systèmes d’information de la Nation ». Le scénario simulait, précise le communiqué, une attaque d’ampleur sur l’Internet Français et les réseaux de l’administration. Aucune information complémentaire n’a filtré, sinon que les résultats avaient été « riches d’enseignements ».

C’est là une spécialité nationale, qui consiste à répéter inlassablement des « grandes manœuvres » destinées à codifier une discipline et une série de réactions et de ripostes à des agressions répertoriées. Afin, comme le dit la formule immortalisée par le Maréchal Le Bœuf à la veille de la dérouillée de 1870, que « nous soyons prêts, archiprêts et qu’il ne nous manque pas un bouton de guêtre ». Las, la guerre, cyber ou non, ne se conduit pas avec du fil à repriser et une collection de boutons de rechange. Les mauvaises habitudes étant les plus faciles à conserver, ce fut avec la même constance et le même amour de la méthode que l’on défendit la France en 1939, en « imaginant » la répétition d’agressions connues et répertoriées et en codifiant les parades possibles. On sait ce qu’il advint de l’utilité des firewall Maginot, de l’efficacité d’une cavalerie marchant au pas et conçue pour appuyer l’infanterie et d’une aviation protégée sur ses bases arrières. Sans une décision réellement politique consistant à revoir les bases d’un « ethical hacking » réellement agressif et libéré des carcans d’une LCEN assez inutile (notamment pour ceux disposés en deçà de la frontière) et quelque peu inadaptée (surtout pour les entreprises ayant besoin de tester la solidité de leurs défenses), il ne saurait y avoir de réel « entraînement » aux exercices de défense des S.I. nationaux.

Comme en France (et dans le monde du hack en général) tout finit par des chansons, les hardis pentesteurs de métropole et de nos riants DOM-TOM peuvent entonner avec Marco le rap de Metasploit (http://www.muziboo.com/marcofigueroa/music/what-you-need-metasploit/), un hymne de circonstance.

Vite ! plus qu’une centaine de places disponibles pour participer aux prochaines JSSI, la Journée Sécurité des Systèmes d’Information qui se déroulera le 13 Mars prochain FIAP Jean Monnet, 30 rue Cabanis dans le XIVème à Paris. Une JSSI qui s’adresse particulièrement à tous ceux qui pratiquent ou achètent du test d’intrusion cette année. Car, comme le détaille le programme de la manifestation, on y parlera des aspects juridiques de ces tests, d’analyse forensique sous Windows, d’injections « No-SQL », d’audits d’applications Web et de prestations de services en sécurité de manière générale. Du très sérieux, comme d’habitude. Je me fais tester, tu testes, il certifie, nous sécurisons, vous garantissez…. Ils respirent. Les noms des conférenciers sont quasiment connus de tous : Nicolas Grégoire, Nicolas Hanteville, Olivier Caleff etc. Le droit d’entrée est de 75 euros, tarif spécial pour les étudiants et membres de l’Ossir. Détail important : l’Ossir n’ayant aucun numéro de téléphone ou de fax public, les seuls moyens d’inscription sont soit le courrier « papier », soit l’email, à l’adresse i12(à)ossir.org.

La conférence sécurité Hackito Ergo Sum 2012 se déroulera (le secret était bien gardé) dans l’Espace Oscar Niemeyer, 2 place du Colonel Fabien, dans le XIXème arrondissement de Paris. Rappelons que l’évènement aura lieu du 12 au 14 avril, et que le « call for paper » final est disponible sur le site de la manifestation

L’espace Oscar Niemeyer, également appelé la « soucoupe volante » par les gens du quartier, n’est autre que la salle des congrès du Parti Communiste Français. Elle porte le nom de son architecte concepteur, également célèbre pour ses réalisations à Brasilia et à New York. C’est également à deux pas de ce lieu chargé d’histoire que se dressaient les « fourches de grande justice », le gibet de Montfaucon, où finirent quelques compagnons de François Villon. Légèrement plus bas, en descendant la rue de la Grange aux Belles, dans le Xème, on tombe sur le célèbre Hôtel du Nord, son canal et la gueule d’atmosphère de Louis Jouvet et d’Arletty. Au Nord, le parc des Buttes Chaumont, lieu probable du Gibet, et repère secret d’Arsène Lupin. Quelques stations de métro plus tard, le Musée des sciences de La Villette… quelle conférence Sécurité peut prétendre à un tel cadre ?

Virtualisation & Sécurité :

où et comment se protéger ?

Intervention de Gérôme Billois, Expert Sécurité Solucom

Panorama des environnements virtuels et de leurs failles

Télécharger les slides : présentation de Gérôme Billois

Intervention de Luis Delabarre, CTO de Trend Micro

Virtualization & Security, real solutions

Télécharger les slides : présentation de Luis Delabarre

Intervention de Anne Coat, Expert Sécurité bureau Assistance et Conseil

Sécurité de la virtualisation : risques et recommandations

Télécharger les slides : présentation de Anne Coat

Intervention de Yann Le Borgne, Technical Manager SEUR

Virtualisation & Sécurité

Télécharger les slides : présentation de Yann Le Borgne

Intervention de Nicolas Ruff, Chercheur Sécurité EADS

Démonstration pour expliquer pourquoi il est indispensable de protéger son environnement virtuel : exemple de hack de VM.
Vidéo de l’Event

Une seconde vidéo du Hack de VM : KVM évasion

La Vidéo …

Maître Olivier Iteanu, avocat du barreau de Paris répond aux questions des entreprises

Minute Juridique : virtualisation, quels impacts juridiques ? Notification des failles obligatoire depuis l’ordonnance du 24 août 2011

Panel sur les nouveaux dangers dus à la virtualisation et solutions

Eric Caprioli, avocat à la cour pour l’aspect légal à considérer, réalité terrain sur les bonnes pratiques quand on virtualise, Gerome Billois, Solucom, Nicolas Ruff, Chercheur Sécurité chez EADS, membre de ARCSI et de l’OSSIR, Gil Delille, Président du Forum des Compétences qui expliquera sa vision. Animé par Jérôme Saiz, SecurityVibes

KALEIDOSCOPE DE PHOTOS DE L’EVENEMENT …

Photos réalisées par KIZ Photoshoping, photoshoping@me.com

(un simple clic sur une photo pour la déployer et utiliser les flèches de direction pour voir toutes les photos sur ce mode !!!)

« Votre entreprise peut-elle s’inspirer du business-model des pirates Somaliens ou des méthodes d’Al Quaida ? Avez-vous jamais pensé de lancer un service « anti-hacker » en embauchant des hackers » ? Ce sont là les thèmes d’un séminaire abordés par un tandem de sociétés de conseils, l’une spécialisée dans le marketing, l’autre dans le « business model innovation ». Aucune des deux sociétés n’est connue pour son niveau d’expertise dans le domaine de la sécurité.

Le hacking (noir si possible) et l’absence de respect des règles régaliennes des organisations mafieuses ont, de tous temps, tenté les cercles du pouvoir et de l’argent. Parfois de manière indirecte (c’est la notion d’alliance objective que l’on voit (peut-être) si souvent mise en pratique en Chine et dans les pays de l’ex URRS dans le cadre de cyber-batailles), parfois plus directement, tels ces Spam King et vendeurs de produits pharmaceutiques qui agissent souvent dans des pays occidentaux, sous la protection de lois « libérales » (la Can Spam US et similaires).La crise aidant et les marges bénéficiaires évoluant à la baisse, Il semble que l’on assiste de plus en plus à la dérive d’une forme de capitalisme « amoral » vers un capitalisme « décomplexé », voire carrément illégal (EDF vs Greenpeace pour ne citer que cet exemple). Tout l’art de ce jeu subtil consiste à redéfinir un vocabulaire qui aide à faire passer la pilule. Une méthode de truand se transforme en business model, l’Intelligence Economique masque une l’opération de barbouzerie, et, sous le couvert d’une campagne de lobbying, on organise quelques « tests de pénétration » sur les systèmes de traitement d’information d’un organisme ou d’un concurrent qui dérange. Après tout, la loi sur le secret des affaires permet de laisser planer une certaine obscurité sur ce genre de pratiques.

Cette « MasterClass en Black Business Model », même si son intitulé peut froisser quelques esprits, est révélateur d’une évolution très nette dans l’éthique des affaires. Jusqu’à présent, les histoires mêlant les Services de Renseignements et les secrets industriels étaient rares, ne touchant ou ne bénéficiant qu’à de grandes entreprises. Mais la tentation est de plus en plus grande pour les moyennes entreprises de faire appel à ces officines de conseil en « sécurité » qui se multiplient, aux sièges souvent situés hors d’Europe, et qui offrent à leur catalogue des prestations considérées comme illégales de ce côté-ci des Alpes ou des Pyrénées.