Exfiltrer les données d’une machine en modulant l’une des nombreuses diodes LED qui constellent son boîtier, cela n’a rien de nouveau. Mais une équipe de quatre chercheurs de l’Université Ben Gourion du Negev viennent d’établir un record de vitesse : près de 4 kilobits/seconde sur une distance de près de 30 mètres. A titre de comparaison, les recherches comparables étaient parvenues à des débits dix fois plus faibles, à condition que le récepteur soit situé entre 5 et 10 mètres de la source de lumière. Ajoutons que cet exploit, à tous les sens du terme, n’exige pas franchement de connaissances techniques très poussées.

L’étude d’une vingtaine de pages ne laisse pas planer le suspense très longtemps : tout le secret réside dans la qualité et la sensibilité du capteur. Injecter un malware qui détourne l’usage de la diode d’activité du disque dur n’est pas un tour de force, mais distinguer clairement le rythme de modulation de la source de lumière, malgré les interférences de l’environnement extérieur (tubes néon, lumière ambiante …) exige de très bons yeux. Et plus exactement un photodétecteur silicium Thorlab (plus de 300 euros pièce). D’autres essais, avec des portées moindres mais des débits comparables, ont été obtenus avec une photodiode SFH-2030 (moins de 36 centimes au détail).

La qualité de la source joue, elle aussi, fortement dans l’équation de puissance. Les diodes bleues, très à la mode dans les boîtiers modernes, se montrent plus efficaces en termes de rayonnement que les LED rouges ou blanches.

L’étude n’aborde pas, de manière chiffrée, la question des interférences et du niveau de bruit lumineux ambiant. Tout comme avec un récepteur radio, la qualité de décodage est caractérisée par la dynamique du récepteur (écart entre le signal le plus faible et le signal le plus fort avant saturation), dynamique qui a tendance à se réduire lorsque le plancher de bruit s’élève.

Hormis la détection du malware chargé de modifier le comportement de la diode électroluminescente (antivirus, détecteur de spyware) et l’ajout d’un petit bout de ruban adhésif pour masquer cet émetteur indiscret, il n’existe pas beaucoup de contre-mesures et d’autres méthodes de détection.

Il en aura fallu, du temps, pour avoir la peau du Sha 1. Au cours de 2013-2014, les principales autorités de certification commerciales (Thawte, Comodo, Symantec…) supportaient déjà « chatoux », alias Sha256, et la dépréciation de Sha1, techniquement remplacé depuis 2011, faisait l’objets de nombreuses annonces. « Janvier 2016, fin des certificats Développeur » promettait Microsoft. Et fin de la reconnaissance des certificats Serveur dès janvier 2017, continuait Redmond mi-2015. Mais il en va souvent des certificats comme d’IP v4. Certains standards ont la vie dure, et les dates d’enterrement sont indéfiniment reportées

Lorsque les chercheurs de Google et du CWI d’Amsterdam parviennent, après deux ans de recherche et des moyens techniques impressionnants, à obtenir une collision (un même condensat à partir de deux contenus différents), nombre de médias ont immédiatement prédit une apocalypse numérique. D’une certaine manière, ils n’ont pas tout à fait tort.

Bien sûr, les grands acteurs vont tenter d’accélérer le processus de dépréciation de Sha1. Avant que l’on ne trouve sur le marché à la fois des systèmes assez puissants pour « casser » ce mécanisme de chiffrement et une version exploitable de la méthode de cassage, Microsoft aura largement eu le temps de sortir 2 versions différentes de System Center et Samsung une bonne centaine de modèles d’équipements téléphoniques de nouvelle génération. Webmestres et architectes systèmes, du moins les plus consciencieux et pour les 10 années à venir, ne jureront plus que par Sha256, et l’intégralité des services Cloud auront mis à niveau leurs panoplies de chiffrement. C’est juré.

Reste l’effet du « Windows 98 éternel » ou du Service Pack maudit, celui que l’on oublie systématiquement de mettre à jour ou de déployer. L’effet qui, souvent combiné avec une erreur d’intégration ou une mauvaise pratique d’administration, permettra l’usage d’un futur « L0phtcrack Sha1 » par une horde de dangereux pirates affublés de cagoules et de gants cirés de noir. Contre ce risque encore très lointain, il n’y a pas grand-chose à faire. Pas plus qu’il n’a été possible aux usagers de Yahoo ou aux abonnés d’Ashley Madison de prévoir le pillage massif de leurs données personnelles, pourtant garanties contre toute attaque de pirates. Le « petit » Sha est mort, l’ignorer serait irresponsable, s’affoler serait prématuré.

… et toujours des backdoors dans tout un éventail d’IoT d’origine Chinoise sous la marque DBLTech alerte Trustwave

Encore un risque d’injection SQL dans WordPress, sous certaines conditions, alerte Slavco Mihajloski de Sucuri

HackerOne, l’une des grandes plateformes de Bug Bounty US, ouvre son service « Community Edition » destiné à aider les petites structures Open Sources

Double faille IE et Edge, dévoilée par le Google Project Zero . Ce trou de sécurité pourrait être exploité à distance. C’est la seconde fois en moins d’une semaine que le Project Zero révèle un défaut Microsoft non encore corrigé

16 mars 2017, RV à l’Intercontinental Paris Avenue Marceau

Vulnérabilités & Menaces 2017 :

panorama, détection, preuves, remédiation & réduction de la surface d’attaque, 

Conseils & Solutions

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Tour d’horizon des menaces et vulnérabilités 2017. Comment détecter une attaque ? Comment tracer une attaque ? Comment être sûr qu’on a bien nettoyé son Système d’Information ? Comment parer les attaques inconnues ? Comment réduire la surface d’attaque ? Comment les nouvelles générations d’outils de sécurité (suite de sécurité, Sécurité as a Service … ) peuvent aider à réduire la surface d’attaque ? Quels audits aujourd’hui, Pentests traditionnels ou Bug Bounty ? etc.

Autant de questions et sujets auxquels répondront le 16 mars matin des experts Sécurité reconnus, Consultants, Avocats, Acteurs, Chercheurs, Responsables sécurité ou DSI. De la théorie à la pratique, des risques et menaces aux conseils ou solutions potentielles : une matinée d’Informations concrètes, de Sensibilisation et de Networking.

 

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 av. Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants et le personnel IT bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son Système d’Information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité 

Agenda

• 8H00 – Accueil des participants : petit-déjeuner et Networking
• 8H30 – Etat de l’art du marché avec le panorama de la cybercriminalité 2017 du Clusif, par Nicolas Vieillard, RSSI membre du Clusif
• 8H50 – Expertise terrain du domaine, avec Darktrace
• 9H10 – Benchmark des vulnérabilités & Guide et Conseils par Etienne Capgras, co-Responsable équipe audit Sécurité chez Stonewave,
• 9H30 – Retour terrain d’un expert du domaine, par Vectra Networks Inc.
• 9H50 – Différents Concepts de Bug Bounty, avec Guilaume Vassault-Houlière, plateforme Yes We H4ck & Ely de Travieso, plateforme BugBountyZone
• 10H10 – De la détection à la remédiait des APT : apport des technologies next-Gen (machine learning, sandboxing …), par Hervé Doreau, Directeur Technique de Symantec
• 10H30 – PAUSE Networking
• 10H50 – Présentation d’Ambionics Security, start-up spécialisée dans le domaine des vulnérabilités & menaces
• 11H10 – Panel sur « Vulnérabilités & Menaces 2017 : Tour d’Horizon. Savoir quand on a été attaqué. Tracer une attaque. A nouvelles vulnérabilités, nouvelles générations d’outils de sécurité (Suite de sécurité, SaaS etc.) ? Quels audits ? Pentests ou Bug Bounty ? Conseils & Solutions» avec 1) Maître François Coupez, avocat qui répondra aux questions d’ordre juridique, 2) Helmi Rais, Head of AlliaCERT, 3) Edouard Jeanson, Directeur Cybersécurité Sogeti & RSSI Adjoint du Groupe et 4) Laurent Heslault, Directeur Stratégie Sécurité Symantec EMEA. Animé par Solange Belkhayat-Fuchs, Rédactrice en Chef CNIS Mag
• 11H50 – « La Minute Juridique », Maître Olivier Itéanu répondra à toutes les questions d’ordre légal relatives au sujet après un rappel des dernières législations en vigueur
• 12H10 – PAUSE Networking au champagne, Tirage au sort (Tablette, IoT …) & Clôture de la conférence

16 mars 2017, RV à l’Intercontinental Paris Avenue Marceau

Vulnérabilités & Menaces 2017 :

panorama, détection, preuves, remédiation & réduction de la surface d’attaque,

Conseils & Solutions

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Tour d’horizon des menaces et vulnérabilités 2017. Comment détecter une attaque ? Comment tracer une attaque ? Comment être sûr qu’on a bien nettoyé son Système d’Information ? Comment parer les attaques inconnues ? Comment réduire la surface d’attaque ? Comment les nouvelles générations d’outils de sécurité (suite de sécurité, Sécurité as a Service … ) peuvent aider à réduire la surface d’attaque ? Quels audits aujourd’hui, Pentests traditionnels ou Bug Bounty ? etc.

Autant de questions et sujets auxquels répondront le 16 mars matin des experts Sécurité reconnus, Consultants, Avocats, Acteurs, Chercheurs, Responsables sécurité ou DSI. De la théorie à la pratique, des risques et menaces aux conseils ou solutions potentielles : une matinée d’Informations concrètes, de Sensibilisation et de Networking.

 

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 av. Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants et le personnel IT bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son Système d’Information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité 

Agenda

• 8H00 – Accueil des participants : petit-déjeuner et Networking
• 8H30 – Etat de l’art du marché avec le panorama de la cybercriminalité 2017 du Clusif, par Nicolas Vieillard, RSSI membre du Clusif
• 8H50 – Expertise terrain du domaine, avec Darktrace
• 9H10 – Benchmark des vulnérabilités & Guide et Conseils par Etienne Capgras, co-Responsable équipe audit Sécurité chez Stonewave,
• 9H30 – Retour terrain d’un expert du domaine, par Vectra Networks Inc.
• 9H50 – Différents Concepts de Bug Bounty, avec Guilaume Vassault-Houlière, plateforme Yes We H4ck & Ely de Travieso, plateforme BugBountyZone
• 10H10 – De la détection à la remédiait des APT : apport des technologies next-Gen (machine learning, sandboxing …), par Hervé Doreau, Directeur Technique de Symantec
• 10H30 – PAUSE Networking
• 10H50 – Présentation d’Ambionics Security, start-up spécialisée dans le domaine des vulnérabilités & menaces
• 11H10 – Panel sur « Vulnérabilités & Menaces 2017 : Tour d’Horizon. Savoir quand on a été attaqué. Tracer une attaque. A nouvelles vulnérabilités, nouvelles générations d’outils de sécurité (Suite de sécurité, SaaS etc.) ? Quels audits ? Pentests ou Bug Bounty ? Conseils & Solutions» avec 1) Maître François Coupez, avocat qui répondra aux questions d’ordre juridique, 2) Helmi Rais, Head of AlliaCERT, 3) Edouard Jeanson, Directeur Cybersécurité Sogeti & RSSI Adjoint du Groupe et 4) Laurent Heslault, Directeur Stratégie Sécurité Symantec EMEA. Animé par Solange Belkhayat-Fuchs, Rédactrice en Chef CNIS Mag
• 11H50 – « La Minute Juridique », Maître Olivier Itéanu répondra à toutes les questions d’ordre légal relatives au sujet après un rappel des dernières législations en vigueur
• 12H10 – PAUSE Networking au champagne, Tirage au sort (Tablette, IoT …) & Clôture de la conférence

L’année sécurité 2017 débutait, le 23 janvier dernier, avec la troisième édition de la Conférence sur la Réponse aux Incidents et l’Investigation Numérique (Cori&in), dans l’amphi de Lille-EuraTechnologies. Cet évènement à caractère technique se déroule traditionnellement la veille de l’ouverture du FIC de Lille, mêlant tantôt analyses générales, tantôt recherches portant sur un défaut de sécurité précis.

Par la technicité de son contenu et la qualité de ses intervenants (et accessoirement son faible coût de participation), Coriin est LA conférence professionnelle à ne pas manquer. Avec d’autant moins de raison que 90% des participants du FIC se déplacent et sont hébergés aux frais de leur entreprise ou de leur organisation gouvernementale.

C’est Benoît Dupont, de l’Université de Montréal, qui ouvrait le ban. Avec une analyse sociologique de Darkcode, un forum de blackhats démantelé en 2015, grâce notamment aux révélations de Xylitol. Dans le monde de la cyber-pègre, il n’y a pas de grands hommes, il n’y a que des seconds couteaux, explique Dupont. Malgré un mécanisme de cooptation (plus égotiste que rigoureusement technique), l’étude laisse apparaître que les membres de ce forum étaient plus des codeurs que des reverseurs, plus des exploitants de malwares et de « kits » que des gourous de l’intrusion. Une faune de délinquants ordinaires qui tentent de vivre d’un business très fluctuant. Et l’universitaire Canadien de narrer les reproches de « ruptures de contrats » que les uns adressent aux autres, voir même le chantage et les épreuves de force qui empoisonnent les relations entre vendeurs et clients. Ainsi le pirate BX1, dépeint par toutes les polices du monde (à commencer par le FBI) comme étant un super-truand au palmarès édifiant : 50 millions d’ordinateurs compromis, le vol d’une foultitude d’identités bancaires d’une valeur estimée à un milliard de dollars, de quoi justifier les 15 ans d’emprisonnement dont il écopera après sa capture. Mais BX1 n’était qu’une « petite frappe » escroquées par ses pairs. Son pactole de 140 000 cartes de crédit, initialement mis en vente 70 000 dollars sur Darkcode, sera négocié à 3000$. Grandeurs et misères du cyber-voyou, campagne d’intox douteuse et anxiogène orchestrée par les services de police. Le FUD (la désinformation sensationnaliste) est une sécrétion endogène du monde infosec. Et par ceux généralement qui dénoncent inlassablement l’exagération marketing de certains vendeurs d’antivirus et services de sécurité informatique.

Reste, explique le chercheur, que certains « handles » de cyber-truands apparaissent encore dans les réseaux actifs. Des personnages moins visibles, plus prudents et probablement plus puissants. Tout juste de quoi alimenter les fantasmes des auteurs de romans cyber-policiers.

Du cyber-policier à l’Anssi, il n’y a qu’un lien de cousinage. Sébastien Chapiron et Thierry Guignard, qui travaillent tous deux au sein de cette agence, se sont penchés sur la possibilité de créer un «pre-bootkit » logé dans le bios… et offrir à l’assistance captivée par tant de sapience, un outil d’analyse disponible sur github. Depuis les travaux d’Endrazine/Goldorak (Hackito Ergo Sum, 2012), les méthodes se complexifient, mais le niveau de risque réel demeure très bas. Notons au passage que les participants ont pu, par deux fois au cours de cette mémorable journée, apprendre tout ou presque de la structure du MBR et du VBR, puisque Solal Jacob, ArxSys, reviendra sur le sujet au fil d’une présentation intitulée RAM Disk EFI Dumper. En langage normal, le conférencier a décrit les affres d’un chercheur tentant d’accéder au contenu d’un disque SSD protégé par un chiffrement Bitlocker et dont l’accès était conditionné par un composant TPM. La mémoire flash étant soudée directement sur la carte mère de l’ordinateur, impossible d’utiliser des techniques presque traditionnelles (réfrigération des mémoires, attaque firewire…). C’est donc grâce à l’UEFI, un système à lui tout seul doté d’un shell directement utilisable, que Solal Jacob est parvenu à dumper le contenu de son disque, racontant au passage ses multiples tentatives, échecs, espoirs, nouvelles tentatives… tenir l’assistance sur un sujet aussi aride en ayant l’air de déclamer un roman policier, avec ses rebondissements et son happy end, c’est presque de l’art.

Art oratoire également de la part de Stéphane Bortzmeyer . Dans un exercice de vulgarisation ni bêtifiant, ni hermétique, le pape Français du chiffrement et des RFC a décrit le subtil fonctionnement des Mixers. Ce sont les outils d’anonymisation des paiements effectués en crypto monnaie qu’utilisent certains intermédiaires du secteur. Toute transaction en Bitcoins étant, par construction, traçable dans ses moindres détails, il peut être dangereux pour un wanabee trafiquant de stupéfiant ou brocanteur de flingues « pas de collection » de voir les cyber-pandores remonter la chaine de l’argent. C’est là qu’intervient le Mixer, qui encaisse le montant, puis le reverse au commerçant dont la pratique se tient sur « Darknet Avenue ». Mais attention, un reversement totalement éclaté en une multitude de petites sommes, étalées dans le temps, afin qu’il ne soit plus possible d’établir une relation liée au montant ou au laps temporel de la transaction. Ces usines à blanchiment, qui, au passage, peuvent parfaitement « partir avec la caisse », sont considérablement plus efficaces, rapides et discrètes que ne le sont les réseaux bancaires (légaux) parallèles tels que les Hawalas.

Inquiétante en diable, l’intervention de Pierre Veutin et Nicolas Scherrmann (TRACIP), qui se sont penchés sur les indiscrétions, traces et contenus rémanents que l’on peut exhumer pendant ou après une session avec un service Cloud Google (Google Doc, Drive, Gmail…). Liste de contacts, données partielles ou intégrales d’un document (voire, sous certaines conditions, portions de texte ayant été effacées), historique des différentes étapes de création d’un fichier… ces deux spécialistes de l’analyse forensique dans le Cloud ont pu fabriquer quelques outils spécialisés dans l’extraction des dites traces. Certaines découvertes semblaient même « trop simples pour être vraies ». L’informatique dématérialisée, expliquent Veutin et Scherrmann, n’est pas, sera même de moins en moins une informatique anonyme et fugace.

Software Defined Storage : devenir rapidement une entreprise digitale en étant conforme à la législation sur les données.

Qu’est-ce que c’est ? Comment le mettre en œuvre ? Où stocker ? Comment rester agile, dans le Cloud y compris ? Comment gérer des environnements de stockage hybrides ? Le Software Defined Storage, à quel coût ? Pour quels bénéfices ? Conseils & Solutions

S’inscrire à l’évènement : https://www.cnis-mag.com/inscription-cnis-event

Une matinée pour tout savoir sur le Software Defined  Storage : à quel coût ? Pour quels bénéfices ? Comment devenir numérique rapidement en alliant infrastructure de stockage traditionnelle et Software Defined Storage ? Maîtriser ses données dans le Cloud et en interne, IoT compris. Comment rester agile et conforme aux législations sur les données (GDPR …) ?

Autant de questions et sujets auxquels répondront le 28 février matin des experts reconnus, Consultants, Avocats, Acteurs, Chercheurs, Responsables du Stockage ou DSI. De la théorie à la pratique, de l’Etat de l’Art de ce marché aux conseils ou solutions potentielles : une matinée d’Informations concrètes, de Sensibilisation et de Networking.

Exceptionnellement un numéro de la lettre professionnelle  « Software Defined NEWS » vous sera distribué gracieusement lors de cette matinée qui s’achèvera autour d’un cocktail au champagne et le tirage au sort d’un NAS.

Où ?

CNIS Event a choisi un endroit prisé et de qualité spécialement aménagé pour des séminaires de plus d’une centaine de participants (vidéoprojecteur, écrans dans la salle, micros, scène, espace sponsors, petit déjeuner et cocktail en fin de matinée). Situé au centre de Paris, très proche de l’Arc de Triomphe, il est facile d’accès par les transports en commun ou véhicule (parking public à quelques mètres).

Lieu :
InterContinental Paris avenue Marceau 

64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les DSI, Les Responsables de stockage, ceux de production, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise. Avec l’extension du Système d’Information de l’entreprise via un Cloud interne, hybride ou public, tous sont concernés par l’évolution du business modèle en ce qui concerne l’infrastructure IT car il impacte profondément les façons de travailler en facilitant le time to business.

S’inscrire à l’évènement : https://www.cnis-mag.com/inscription-cnis-event

(entrée gratuite dans la limite des places disponibles)