21 mars 2012, Rendez-vous à l’Intercontinental Paris Avenue Marceau

Vulnérabilités du SI :Panorama des menaces & « Back to basics » pour protéger le SI ouvert

Cliquer ici pour :
S’inscrire en ligne aux matinées de CNISevent

CNIS Event fait le point sur les menaces d’aujourd’hui et de demain. Des experts expliqueront quelles sont les menaces actuelles qui visent le système d’information, détailleront les vulnérabilités, d’aujourd’hui et de demain, comme les attaques potentielles. Ils approfondiront également la question en expliquant sur quoi elles portent mais surtout parleront de la manière dont les Responsables Sécurité pourraient se prémunir. Certains acteurs du secteur viendront appuyer les faits en détaillant leur propre vision. D’autres expliciteront les défenses potentielles imaginées. De nombreux experts seront présents et répondront autour d’une table ronde aux questions des patrons, DSI, RSSI, personnel IT présents dans la salle.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).
InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise, les CIL, les avocats et juristes et DRH de l’entreprise, les consultants également. Tous sont concernés par les menaces actuelles et à venir qui guettent le SI. Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour :

S’inscrire en ligne aux matinées de CNISevent

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 – Panorama des nouvelles menaces du SI (VoIP, « BYOD », réseaux sociaux …) par Vincent Hinderer, Cert Lexsi
• 9H20 – Expert terrain, point de vue d’un acteur
• 9H40 – Conseils, guide et expertise, par Gérôme Billois, Solucom
• 10H00 – Expertise terrain, point de vue de Sourcefire
• 10H20 – Minute Juridique : Protection et piratage du SI … quels sont les droits des entreprises, Maîtres Olivier Itéanu et Garance Mathias répondent à toutes vos questions
• 10H40 – PAUSE Networking
• 11H00 – Expertise terrain, vision du problème par RSA
• 11H20 – Retour terrain du CSO de la Société Générale, Olivier Chapron
• 11H35 – Panel sur les menaces actuelles et future du SI et les Solutions potentielles avec François Coupez, avocat qui abordera la partie juridique; Franck Veysset, patron du CertA; Nicolas Ruff, Chercheur Sécurité EADS, Léonard Dahan, Stonesoft qui expliquera sa vision. Animé par un journaliste sécurité
• 12H20 – Clôture de la conférence

Il s’appelle SecurityTube Tools et doit désormais figurer en tête des favoris de tout professionnel de l’analyse binaire. Dépouillé à l’extrême, ce site utilise une structure de Wiki, et classe une foultitude d’outils de hacking et d’analyse en respectant une indexation par « thème » intelligemment ordonnée. Récolte d’informations, cartographie réseau, IDS/IDP, reverse, cassage de mots de passe, anti « tout » (spyware, virus etc.), chaque entrée donne accès à une liste de programmes, puis à une description parfois excessivement détaillée de l’usage du logiciel en question. L’article s’achève par un lien direct pointant sur la ressource de téléchargement, aucun binaire ou source n’étant directement hébergé sur le serveur de SecurityTube.

Le lièvre a été soulevé par Korben et la faille découverte par l’auteur du blog Console Cowboy. Faille qui donne accès au flux des caméras IP d’origine Trendnet.

Des mésaventures semblables avaient également frappé les caméras Web Axis, et l’on ne compte plus les interfaces d’administration Web de routeurs Wifi et d’appliances diverses qu’un rapide « googlehacking » déniche en quelques secondes… pour peu que l’on connaisse généralement le « chemin » codé en dure de ladite page d’administration. Korben rappelle même l’existence de quelques sites qui évitent d’avoir à ingurgiter la prose technique de Johnny I_Hack_Stuff, père de cette si amusante technique de récolte d’information.

Security Exploded vient de mettre en ligne un guide entièrement consacré à l’analyse forensique des machines sous IOS, guide reposant sur l’utilisation des outils développés par les laboratoires de Sogeti. Même si l’on ne s’intéresse ni aux techniques de dump mémoire avancées, ni aux subtilités des attaques en brute force, on peut parcourir les premiers paragraphes qui expliquent de manière très didactique les méthodes employées. Une séquence vidéo commentée détaille les différentes étapes nécessaires pour retrouver le numéro de téléphone disparu de Tante Ursule.

La DefCon annonce l’ouverture de son vingtième « CTF » (Capture the flag, concours de hack), probablement la plus prestigieuse manifestation du genre …

Le vendredi 2 mars prochain aura lieu l’incontournable nuit Helvétique du hacking, la désormais fameuse Insomni’Hack 2012. Il s’agit là probablement du CTF le plus important de la région alpine. Cette manifestation, organisée par SCRT, se déroulera dans le centre de Genève, à l’HEPIA, 4 rue de la prairie (prévoir un compte off-shore pour s’acquitter des 40FS de vignette autoroutière, à usage unique pour certains).

Un cycle de conférences techniques débutera, pour la deuxième année consécutive, dans la journée précédent le concours de hacking. Passé 20 heure, les organisateurs tolèrent l’usage de certains produits dopants tels la Tome de Savoie, l’Abondance ou le véritable Gruyère (sans trou). L’usage de liens Internet par liaison GSM est très mal vu des compétiteurs, les ressources locales mises à la disposition des participants devant a priori suffire. Cette générosité ne va tout de même pas à fournir les outils de première nécessité (Backtrack, Wireshark et autres Nmaps ne sont pas offerts par la maison)

Oups, un bug Mozilla (possible DoS distant précise le CVE ) authentifié par l’éditeur. L’inventeur n’est pas un inconnu

Encore une dernière loi dictée par des impératifs de sécurité et passée pratiquement sous silence. Il s’agit de l’invention de la notion de « secret des affaires », qui donne à une entreprise le droit d’estimer ce qui relève du secret professionnel et ce qui peut être rendu public. De manière très schématique, ce texte, voté par l’Assemblée Nationale et proposé par le député UMP Bernard Carayon donne aux Directions de la Communication un droit de vie et de mort sur la liberté d’information en France, dès qu’elle touche à une entreprise… particulièrement de grande envergure. Notre consœur Sophie Fay, du Nouvel Obs, pose la question de manière synthétique : aurait-on, aujourd’hui, le droit de soulever une affaire comme celle du Mediator ou des implants mammaires ? Aurions-nous encore la possibilité de douter et de critiquer les déclarations d’un porte-parole d’Areva suite au piratage d’un de ses réseaux ? Et dans quelle mesure cette loi Carayon ne rend-elle pas totalement caduque les obligations de déclarations à la Cnil en cas de perte ou de vol de fichier nominatif ? Faute inavouée et protégée par le secret des affaires n’est pas à pardonner.

Il faut dire que les occasions de voir des Ministres ou grands fonctionnaires ruer dans les brancards manquent de moins en moins dans le domaine des lois sécuritaires. Mais les réactions sont moins épidermiques sur l’axe Brest-Strasbourg. Malgré une dangerosité mille fois moins élevée qu’un week-end de pentecôte, le risque de vol et d’usurpation d’identité a fait passer sans anicroche le projet de loi sur le fichage biométrique des « gens honnêtes ». Le blog Barabel donne une analyse dépassionnée de la question. En omettant toutefois de tirer deux perspectives, l’une historique, l’autre technique.

La première perspective, c’est celle qui consiste à se demander non pas « si », mais « quand » les institutions ayant un droit d’accès à ces fichiers, et notamment la police nationale, systématiseront les accès à ces données menant à un usage abusif de ces dernières. Les lois considérées comme justifiées aujourd’hui peuvent se transformer en redoutables instruments de bigbrotherisme demain… la démocratie est une chose si fragile et surtout si instable dans le temps. La seconde perspective est purement technique. En gravant dans les tables de loi ce fichage biométrique systématique de tous les citoyens (ou de tous ceux demandant une carte d’identité ou un passeport), on prend le risque de transformer ces mesures d’identification en objets d’authentification… Dans le domaine informatique, le propre d’une authentification est d’être répudiable… Remember Diginotar, remember RSA, des accidents pourtant réputés hautement improbables… voire impossibles. Comment s’appelle alors la procédure de répudiation d’une signature biométrique conservée par l’administration ? Combien de députés se sont posés la question ?

L’on pourrait également s’interroger sur la façon dont une telle loi a été présentée. Aurait-on suggéré de créer un fichier d’empreintes biométriques de tous les automobilistes verbalisés pour stationnement interdit (voir même d’excès de vitesse) que l’on aurait entendu une clameur monter de tous les fauteuils de l’Assemblée. Mais aucune réaction lorsqu’il s’agit d’éviter d’« ouvrir une centaine d’enquêtes dans le cadre d’une plainte pour vol d’identité », un argument par défaut qui met en avant l’efficacité des outils offerts à la Police chargée de rechercher les voleurs d’identité, et non le fichage des personnes innocentes.

Ajoutons qu’après l’article de nos confrères d’Owni, Mediapart a également abordé le sujet. Aucun écho dans la presse audiovisuelle.

La nouvelle a fait le tour de la blogosphère en l’espace d’un Twitt : Helena Drnovšek Zorko, dépendant du Ministère des Affaires Etrangères de Slovénie, ayant rang d’Ambassadeur au Japon, publiait en fin de semaine une lettre d’excuses pour avoir, « par négligence politique », osé signer Acta ( accord commercial anti-contrefaçon ). Un accord dicté par sa hiérarchie, mais qui a valu à cette grande servante de l’Etat une avalanche d’emails de protestations et d’explications. Laquelle avalanche de protestations a permis à Madame Drnovšek Zorko de reconsidérer sa position et convenir qu’elle avait joué un rôle de « député godillot ». Cette attitude de contrition responsable tranche avec l’usage Français, de droite comme de gauche, qui consiste soit à demeurer « droit dans ses bottes », soit à « fermer sa gueule ; si ça veut l’ouvrir, à démissionner ».