S’il est tout à fait humain, de réagir avec violence à la suite des évènements abominables du 13 novembre dernier, il est cependant du devoir des médias et des institutions garantes de la sécurité de la Nation d’éviter de rechercher, à chaud, des boucs émissaires. De nombreux quotidiens, dont 20 Minutes mais c’est loin d’être le seul, se sont inquiété des capacités de communications chiffrées (et non cryptées …) des consoles de jeu, lesquelles « auraient pu être utilisées par les terroristes durant la phase de préparation des attentats ». Des réseaux qui, insiste d’ailleurs le Ministre de l’Intérieur Belge (point de départ de cette polémique), seraient très compliqués à surveiller. Du coup, certaines presses passent du conditionnel à l’affirmatif, brandissent le spectre de ce « darknet » que sont les outils de chat des Xbox et Playstation, Whatsapp, Skype, et toutes les messageries instantanées de la création, associées éventuellement à certains réseaux sociaux.

Tentative de récupération ou pas, ce genre d’assertions mènent tout de même tout droit à l’apparition de nouveaux moyens de contrôle sur les outils de communication. Rappelons que les multiples lois existantes visant à la libéralisation des écoutes téléphoniques et surveillances du réseau Internet, la course aux infrastructures de surveillance vidéo ne sont pas parvenues à endiguer l’horreur. Une preuve de plus de leur inefficacité, pourtant prévisible … La surveillance des NTIC ne peut en aucun cas remplacer le travail de renseignement sur le terrain.

D’ailleurs, cette sur-réaction n’est-elle précisément pas ce que souhaitent les mouvements djihadistes ? Ceux-là même qui parviennent à pousser leur propre adversaire à surveiller ses propres citoyens, à transformer la société qu’ils combattent en une forme de « soft dictature » plus conforme à leur vision du monde, à contraindre ses dirigeants à revendiquer le droit de « mener un combat impitoyable », c’est-à-dire littéralement « sans la moindre pitié ». Ne se rapproche-t-on pas ici de l’état d’esprit inhumain dont font preuve les terroristes ? Faire « la guerre à la terreur », outre le fait qu’on ne peut pas combattre une idée avec des armes, ce genre de réactions a déjà mené à d’autres guerres sur site. Guerres que l’on pourrait qualifier de perdues puisqu’ayant donné naissance à l’Etat Islamique au bout du compte. Ne serait-il pas temps d’apprendre les leçons de ces échecs et de réfléchir « à froid » à la riposte ?

C’est le business florissant des données de géopositionnement vendues sous l’appellation « Telco Data as a service » (TDaaS). Un marché qui flirte avec les 24 milliards de dollars cette année et devrait dépasser 79 milliards de dollars en 2020, estime une étude du groupe 421 rapportée par cet article de Ad Age. De telles données sont commercialisées par des détaillants spécialistes, tel que SAP, qui revend cette « surveillance permanente as a service » sous le nom très discret de « Consumer Insights 365 ». « Grâce à notre service, explique en substance la brochure du service, vous savez exactement à quelle heure arrive votre client, combien de temps il demeure sur place… » et surtout « combien de fois il revient sur les lieux » : c’est là plus que de la simple analyse statistique de fréquentation, cela relèverait presque du marquage individuel. Des indiscrétions pourtant garanties « anonymes ». Mais plus personne n’est vraiment dupe quant au véritable anonymat dès lors que les données de ces TDaaS passent au crible de n’importe quel logiciel d’analyse « big data ». Avec de tels procédés, bien sûr, personne ne connaît le patronyme d’une personne ainsi surveillée, mais son lieu d’habitation et de travail, ses horaires de déplacement, ses résidences de vacances, ses trajets, ses habitudes de consommation font l’objet d’une constante consignation.

Cette crainte, (cette certitude affirment certains) est telle en Europe que SAP propose essentiellement ses services aux USA et en Asie, mais ne peut assurer le même niveau de précision au sein de la C.E. car il y est impossible « d’obtenir de la part des Telco des données intégrant ce niveau d’indiscrétion ».

Il serait injuste de transformer SAP en bouc émissaire. Le business du flicage marketing bat son plein et attire d’autres grands noms, tels qu’IBM, HP, AirSage, et des opérateurs réputés comme Verizon, Sprint, Telefonica, AT&T… Cette mode, ajoute l’article de Ad Age, explique également la frénésie de fusions-acquisitions autour des spécialistes de ces grandes braderies de l’identité et des déplacements. Ainsi l’absorption par Verizon d’Aol et du géant de la publicité sur réseaux mobiles Millenial Media.

La seconde journée Hackito Ergo Sum comptait également son lot de présentations de haut vol, et débutait avec une signée Laurent Ghigonis et Philippe Langlois, P1 Security, les organisateurs de HES. L’an passé, le protocole SS7 et ses vulnérabilités avait soulevé pas mal d’interrogations sur la prétendue inviolabilité des réseaux d’opérateurs télécom, cette année, le dévolu des deux chercheurs a été jeté sur les réseaux mobiles LTE, et plus particulièrement sur les DRA, Diameter Routing Agents et de son protocole d’authentification associé. Une fois cette sécurité contournée, le réseau interne de l’opérateur est accessible, avec les conséquences que l’on peut imaginer. Mais le plus inquiétant, explique Philippe Langlois, c’est qu’un opérateur scrupuleux qui aurait tout mis en œuvre pour contrer ce type de menaces n’est pas à l’abri d’une attaque puisque l’adversaire peut fort bien exploiter la fragilité des infrastructures d’un tout autre opérateur pour, une fois dans la place, profiter à la fois de l’authentification octroyée par ce « maillon faible » et des « tuyaux » reliant les entreprises télécom entre elles.

Lukasz Siewierski, quant à lui, s’est penché sur les malwares Android qui « n’intéressent strictement personne car ils n’ont rien à voir avec les vecteurs d’attaque en code natif que l’on rencontre sur le créneau de l’informatique classique ». Pourtant, ces malwares font preuve d’un comportement général proche des virus classiques : un « loader », ou plus exactement une DLL qui attend les ordres émis depuis l’extérieur via un SMS (à l’instar de tout C&C en train de piloter un bot). Ainsi, lorsque la DLL recevait le caractère « / », certains malwares bancaires se mettaient à intercepter les « mots de passe unique » (OTP) expédiés par l’intermédiaire d’un SMS, message réexpédié à destination du « bot herder » qui s’empressera bien entendu de l’utiliser pour son plus grand bénéfice. Pour éviter tout soupçon, une fois son forfait accompli, le pilote du réseau de téléphones compromis peut même expédier un « ! » au terminal zombifié pour que s’efface toute trace du code indésirable. Ce genre de virus s’est répandu assez rapidement en Pologne notamment, jusqu’à ce que l’analyse du malware révèle le secret de ses commandes cachées. A partir de ce jour, les SMS expédiant les codes de « second facteur » émis par les banques locales ont tous débuté par un expéditif « ! »

Hackito 2015 s’est achevé avec la remise d’un prix Intel qui (c’est une presque tradition désormais) profite de ce genre de manifestation pour promouvoir ses plateformes de développement. Cette fois, c’était l’Edison qui était à l’honneur, le vecteur « IoT » du constructeur.

La seconde journée de la conférence HES était, en partie, destinée à un public un peu moins technique, grâce à trois présentations plus « humaines ». C’est Alex Triffault qui ouvrait le bal, en détaillant par le menu le travail d’un expert en recherches de preuves spécialisé dans le crochetage de serrures. Si, par tradition, chaque conférence sécurité possède qui son atelier, qui sa présentation traitant de l’art de savoir tutoyer les verrous, loquets et autres cadenas, il faut savoir, explique Triffault, que chacune des méthodes préconisées par les chatouilleurs de pistons et des cylindres laissent de légères griffures ou tonches indélébiles sur le métal des serrures. D’autant plus indélébiles que biens souvent les outils de crochetage sont en acier et le mécanisme des cadenas en laiton, plus tendre. D’un coup de binoculaire, l’expert relève immédiatement la signature de l’effraction, le type d’outil employé, et indirectement le degré d’expérience de l’adversaire. Parapluie ou crochet, vibreur ou « bumper », la marque de l’intrus est enregistrée et ce témoignage peut être versé dans les éléments de preuves au cours d’une enquête de police.

Venait ensuite l’une des présentations les plus attendues, celle de Raul « Nobody » Chiesa sur la sécurité des aéroports. Allait-on apprendre la présence de nouvelles failles spécifiques ? Qui donc, après une telle causerie, oserait encore monter dans un avion ? En fait de conférence, Chiesa a relaté les résultats d’un audit de sécurité et d’une campagne de pentesting effectués « intra » et « extra » muros d’un aéroport, campagne qui a révélé… ce dont tout le monde se doutait depuis longtemps : failles de sécurité dans les infrastructures WiFi destinées au public mais révélant des porosités avec le LAN interne, certificats dépassés ou dangereux, bug SSL, trous RDP Windows, avalanches de configuration et de mots de passe par défaut… il n’y a guère de différence avec ce que l’on a coutume de rencontrer en entreprises, que celles-ci appartiennent au cercle restreint des OIV ou non.

Bien sûr, à partir de certaines de ces failles, outre une attaque en chiffrement sauce Cryptolocker ou un déni de service généralisé, l’on pourrait imaginer quelques forgeries d’identités capables de faire passer un dangereux terroriste pour un innocent quidam, quand bien serait-il inscrit sur une « no flight list ». Bien sûr aussi peut-on craindre des fuites de données personnelles ou bancaires. Mais peut-on imaginer un péril frappant le moyen de transport lui-même ? Sur ce point, Raul Chiesa se contente de reprendre (tout en émettant des doutes légitimes) les affirmations de Chris Roberts, et tente de classer au rang des vulnérabilités les échanges en clair des transmissions ADSB et Acars. C’est, doit-on rappeler, également le cas des communications en modulation d’amplitude des aéronefs entre eux, mais également entre les aéronefs et la tour de contrôle, sans oublier les communications « au sol », que l’échange concerne un A380 ou le plus humble des « tagazous » monomoteurs. La verve transalpine pousse parfois le bouchon un peu loin.

Reste que l’avertissement de Chiesa mérite toute l’attention des sociétés de gestion aéroportuaires. Fin septembre, un groupe Anonymous s’en était pris aux systèmes de Saudi Airline. Au début de cette année, c’était Malaisia Airline qui avait fait les frais d’une opération-éclair orchestrée par le Lizard Squad, et en juin, c’était au tour de LOT, la compagnie nationale Polonaise, ainsi qu’une partie de l’aéroport Chopin de Varsovie, de succomber à une attaque informatique, causant l’annulation d’une dizaine de vols et un retard considérable dans le trafic national et international. Les compagnies aériennes ont, de tous temps, fait l’objet de menaces, car elles représentent leur pays d’origine. Les alertes à la bombe (et attentats réels) qui ont régulièrement frappé les agences d’Aeroflot ou de Turkish Airline prouvent à quel point ce risque a toujours été présent.

On peut presque regretter que l’équipe Chiesa se soit limitée à un pentesting réseau purement informatique. La périmétrie radio (télémétrie, services au sol, radars, systèmes de guidage et d’approche) de ce genre d’infrastructure est encore plus complexe et, par certains aspects, plus fragile compte tenu de l’évolution des techniques d’émission-réception depuis ces 20 dernières années. D’un point de vue purement binaire, la sécurité informatique des aéroports est préoccupante.

Ajoutons à la liste des hacks « compréhensibles par tous » la présentation (en anglais) d’un jeune homme de 13 ans « perceur de coffre-fort », et accessoirement fils d’un spécialiste de la sécurité des systèmes bancaires… la pomme ne tombe jamais très près de l’arbre. Le challenge n’était pas évident : comment récupérer un téléphone portable ou une console de jeu confisquée par d’indignes parents et enfermés à double tour dans un coffre-fort à clavier ? La réponse est presque trop simple : en installant discrètement une petite caméra dans l’axe du clavier en question et en attendant qu’un des parents y accède, révélant ainsi la combinaison. Et c’est sous un tonnerre d’applaudissement et l’œil ému de son père que le jeune orateur terminait son « lightning talk », en affirmant haut et fort « I’m a hacker, not a thief ».

La sixième édition de la conférence Parisienne Hakito Ergo Sum s’est déroulée fin octobre, tout comme l’an passé dans un amphithéâtre de la Cité des Sciences de La Vilette. Quelques jours après Hack.Lu, quelques jours avant GreHack, il en faut, de l’endurance, pour suivre l’actualité InfoSec Européenne. HES, cette année, faisait essentiellement se succéder des chercheurs du domaine « pure software » et « infrastructure ». Le domaine des ondes radio ou des vulnérabilités matérielles n’était cette fois présent qu’en filigrane.

Et c’est le célèbre « FX » qui a ouvert le feu, avec une conférence plénière très « plénière », c’est-à-dire non technique, divertissante et instructive pour ceux qui avaient quelque peu oubliés leurs cours de génétique. Le chef de file du groupe Phenoelit, assisté d’une authentique biologiste, établissait parallèles et analogie entre le monde du hacking et le fonctionnement du noyau cellulaire.

A peine le temps de se remettre de ce changement d’univers que Camille Mougey et Xavier Martin, du CEA plongeaient l’assistance dans le labyrinthe parfois très ténébreux du machine learning appliqué à la recherche massive d’indice. La cible choisie pour les besoins de la démonstration était un vieux routier des vulnérabilités Scada, le protocole de contrôle de processus industriel Modbus et ses points d’entrée visibles sur Internet. Zmap, MassScan facilitent la collecte de ce genre de « Google hacking » dopé aux stéroïdes. Mais il en faut plus pour que cette collecte soit exploitable. Notamment être capable de filtrer les résultats par pays, par densité des réponses, par indice de plausibilité également, car il existe « aussi » des honeypots chargés de détecter des chasseurs de ports Modbus. Les représentations en nuages de points « 3D » générées par le moteur d’analyse des deux chercheurs parviennent alors à raconter des choses insoupçonnées, à isoler les « faux » sites, à mettre en exergue les installations les plus vulnérables ou les plus importantes, classées par emplacements géographiques. Le Machine Learning appliqué au scan réseaux massif pourrait bien devenir le cauchemar des OIV, la terreur des zones classées Seveso. Il y a un an environ, il n’était de meilleurs articles alarmistes que ceux traitant de Shodan, la très imparfaite base de données IoT mondiale. Que l’on attende encore quelques années le temps que l’Internet des Objets et ses vulnérabilités se développent réellement, et l’on pourra alors craindre le numéro de duettistes d’un super-Shodan et d’un moteur d’analyse « big data » offensif tel que celui présenté par Mougey Martin.

Olivier Levillain et Pierre Chifflier (Anssi) ont enchaîné dans les méandres des incohérences intrinsèques aux langages. Opérations arithmétiques ou logiques aux résultats défiant la raison, égalités qui ne sont plus égales, additions aux résultats incohérents, les deux chercheurs ont passé au crible Java et Javascript, PHP, Python, Ruby… Ce genre de présentation rappelle les travaux de plusieurs chercheurs du MIT qui, en 2013, s’étaient penchés sur les résultats surprenants d’un source passé à la moulinette de certains compilateurs (Python, C++…).

S’il est difficile de voir en ces défauts un risque d’exploitation direct, c’est, à n’en pas douter, un vecteur certain de bugs fonctionnels généralement inexplicables. L’on remarquera au passage qu’après la présentation très médiatisée de deux autres chercheurs de l’Anssi à l’occasion de Hack in Paris, c’est la seconde fois que l’Anssi expose ses talents et son savoir-faire durant une conférence sécurité parisienne. Il est important qu’une institution gouvernementale vienne apporter tout son crédit à des « conférences de hackers ».

10 déc. 2015, RV à l’Intercontinental Paris Avenue Marceau

Données, Utilisateurs & Machines :

Comment garder le contrôle dans un SI ouvert ?

(Suivi des données, gestion des identités et des accès, gestion de logs, SIEM, compliance …) 

Stratégie, Conseil & Solutions

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Cloud, Mobilité ou autre évolution naturelle du Système d’Information, Désormais l’entreprise n’a plus le contrôle direct de son environnement et la problématique devient où se trouve la donnée ? Qui la manipule ? Pour quels traitements ? RSSI, DSI, CIL mais aussi CEO, toute personne en charge d’une quelconque partie du patrimoine de manière générale, tout le monde est concerné.

Sur site, dans le Cloud ou dans un système d’information hybride, public et privé, c’est la même problématique pour l’utilisateur comme pour le device : savoir qui se connecte et s’il agit en conformité avec ses droits est primordial et savoir si une machine avec laquelle le SI va établir une connexion est saine. Des préoccupations que ne datent pas d’hier mais pour lesquelles il n’y a toujours pas de réponse claire et simple, souvent plutôt multiples et parfois même complexes.

Comment éviter de perdre partiellement ou totalement son business ? Comment rester conforme dans le temps aux législations avec un SI dont on ne contrôle pas toute l’infrastructure ? Quels outils ? Quels partenaires ? Suivi des données, gestion de l’identité et des accès, gestion des logs, SIEM … Quelle stratégie adopter ? Quelle politique de sécurité ? Quels risques juridiques ?

Autant de questions et sujets auxquels répondront le 10 décembre matin des experts Sécurité reconnus, Consultants, Avocats, Acteurs, Chercheurs, Responsables sécurité ou DSI. De la théorie à la pratique, des risques et menaces aux conseils ou solutions potentielles : une matinée d’Informations concrètes, de Sensibilisation et de Networking.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité 

Agenda

• 8H00 – Accueil des participants : petit-déjeuner et Networking
• 8H40 – Panorama des Risques & Vulnérabilités, par Julien Steunou, ManagerSécurité Lexsi
• 9H00 – Retour d’expérience & Solution, point de vue de Fortinet avec Raphaël Lignier
• 9H20 – Conseils et guides pratiques, par Benoît MARION, expert Sécurité Solucom
• 9H40 – Expérience terrain, point de vue de Darktrace
• 10H00 – Point de vue d’un organisme officiel 
• 10H20 – PAUSE Networking
• 10H40 – Panel sur «Données, Utilisateurs & Machines : Comment garder le contrôler dans un SI ouvert ? Stratégie, Conseil & Solutions »avec Maître François Coupez, avocat qui abordera la partie juridique, Cyberdéfense et SIEM avec Gérard Gaudin, Président du Club R2GS, Ely de Travieso, Elu en charge de la Cybersécurité CGPME et Dirigeant PhoneSec, également expert en sécurité pour la partie conseils et retour terrain Raphaël Lignier, Fortinet sur  dans le Secure Access Architecture Animé par Solange Belkhayat-Fuchs, Rédactrice en Chef CNIS Mag
• 11H25 – La Minute Juridique : les impacts juridiques, nouvelles législations et jurisprudences en sécurité du SI par Maîtres Olivier Itéanu et Garance Mathias. Ils répondront à toutes les questions du public sur le sujet de façon interactive.
• 11H45 – PAUSE Networking Tirage au sort de lots pour fêter Noël autour d’une coupe de champagne (Tablettes, Montres connectées …)
• 12H15 – Clôture de la conférence

10 déc. 2015, RV à l’Intercontinental Paris Avenue Marceau

Données, Utilisateurs & Machines :

Comment garder le contrôle dans un SI ouvert ?

(Suivi des données, gestion des identités et des accès, gestion de logs, SIEM, compliance …) 

Stratégie, Conseil & Solutions

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Cloud, Mobilité ou autre évolution naturelle du Système d’Information, Désormais l’entreprise n’a plus le contrôle direct de son environnement et la problématique devient où se trouve la donnée ? Qui la manipule ? Pour quels traitements ? RSSI, DSI, CIL mais aussi CEO, toute personne en charge d’une quelconque partie du patrimoine de manière générale, tout le monde est concerné.

Sur site, dans le Cloud ou dans un système d’information hybride, public et privé, c’est la même problématique pour l’utilisateur comme pour le device : savoir qui se connecte et s’il agit en conformité avec ses droits est primordial et savoir si une machine avec laquelle le SI va établir une connexion est saine. Des préoccupations que ne datent pas d’hier mais pour lesquelles il n’y a toujours pas de réponse claire et simple, souvent plutôt multiples et parfois même complexes.

Comment éviter de perdre partiellement ou totalement son business ? Comment rester conforme dans le temps aux législations avec un SI dont on ne contrôle pas toute l’infrastructure ? Quels outils ? Quels partenaires ? Suivi des données, gestion de l’identité et des accès, gestion des logs, SIEM … Quelle stratégie adopter ? Quelle politique de sécurité ? Quels risques juridiques ?

Autant de questions et sujets auxquels répondront le 10 décembre matin des experts Sécurité reconnus, Consultants, Avocats, Acteurs, Chercheurs, Responsables sécurité ou DSI. De la théorie à la pratique, des risques et menaces aux conseils ou solutions potentielles : une matinée d’Informations concrètes, de Sensibilisation et de Networking.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité 

Agenda

• 8H00 – Accueil des participants : petit-déjeuner et Networking
• 8H40 – Panorama des Risques & Vulnérabilités, par Julien Steunou, ManagerSécurité Lexsi
• 9H00 – Retour d’expérience & Solution, point de vue de Fortinet avec Raphaël Lignier
• 9H20 – Conseils et guides pratiques, par Benoît MARION, expert Sécurité Solucom
• 9H40 – Expérience terrain, point de vue de Darktrace
• 10H00 – Point de vue d’un organisme officiel 
• 10H20 – PAUSE Networking
• 10H40 – Panel sur «Données, Utilisateurs & Machines : Comment garder le contrôler dans un SI ouvert ? Stratégie, Conseil & Solutions »avec Maître François Coupez, avocat qui abordera la partie juridique, Cyberdéfense et SIEM avec Gérard Gaudin, Président du Club R2GS, Ely de Travieso, Elu en charge de la Cybersécurité CGPME et Dirigeant PhoneSec, également expert en sécurité pour la partie conseils et retour terrain Raphaël Lignier, Fortinet sur  dans le Secure Access Architecture Animé par Solange Belkhayat-Fuchs, Rédactrice en Chef CNIS Mag
• 11H25 – La Minute Juridique : les impacts juridiques, nouvelles législations et jurisprudences en sécurité du SI par Maîtres Olivier Itéanu et Garance Mathias. Ils répondront à toutes les questions du public sur le sujet de façon interactive.
• 11H45 – PAUSE Networking Tirage au sort de lots pour fêter Noël autour d’une coupe de champagne (Tablettes, Montres connectées …)
• 12H15 – Clôture de la conférence

Le titre accroche. « Sécurité et espionnage informatique », ça sent la jamesbonderie à plein nez, l’aventure au coin du clavier, le cyberflingue en pogne. Et si l’on entame l’ouvrage par la fin, chapitre 11 (Exemples de campagnes de cyberespionnage), on est effectivement plongé dans un bain où barbouzes et truands se côtoient, s’échangent des astuces et des outils, tapotent avec confiance des épaulettes de haut gradés de l’armée Chinoise ou officiers supérieurs de la Loubianka. Ainsi aurait donc pu débuter (par des faisceaux de preuves et de présomptions) un livre destiné aux dirigeants d’entreprises, ceux pour qui, aujourd’hui, le risque informatique est un « risque parmi tant d’autres » dont il faudra s’occuper lorsque surviendra une crise… pas avant. C’est oublier que le « risque informatique » ne provoque pas la moindre crise, du moins pas immédiatement, et qu’une fois détecté, il s’est souvent passé 300 ou 600 jours durant lesquels la victime s’est peu à peu fait saigner à blanc. L’abus d’images fortes et de rapports de hacks inquiétant serait donc un moyen comme un autre d’attirer l’attention des CxO en matière d’InfoSec.

Mais le livre de Cedric Pernet est écrit pour des RSSI, des Directeurs informatiques, des administrateurs systèmes et réseaux. Des gens qui ne sombrent pas facilement dans le sensationnalisme. L’aspect quasiment anecdotique des « hommes derrières les APT », les dates auxquelles les grandes cyber-attaques ont été lancées, les liens supposés entre groupes actifs passent donc en second plan. Pernet propose une vision opérationnelle et technique des APT (méthodes d’attaques, exemples de codes et vecteurs d’intrusion) et des moyens pour s’en préserver (détection, remédiation, mécanismes préventifs). Un travail de titan ou de bénédictin qui retrace parfois plus de 10 ans d’évolution des techniques d’intrusion. Il « parle » le langage de son lecteur, le RSSI, pour qui les attaques « évoluées et persistantes » ne constituent pas un risque latent, mais une réalité d’autant plus difficile à saisir qu’elle est polymorphe. On ne cherche pas à combattre un risque viral clairement identifié, on ne s’évertue pas à colmater une défense périmétrique, à combattre une campagne de phishing, à interdire la fuite des hachages de mots de passe ou à bloquer du XSS… la chasse à l’APT, c’est tout ça à la fois et plus encore, un combat défensif sur plusieurs fronts. Car « en face », les malware kits ressemblent de plus en plus à des bombes à fragmentation. Le seul moyen de les combattre, semble expliquer l’auteur, c’est de tenter d’en connaître les principaux rouages, les astuces les plus courantes, donc de les « comprendre » et pas seulement les détecter, pour défendre au mieux. La sécurité est un processus, pas une réaction conditionnée. Et surtout, insiste-t-il, il faut communiquer, faire savoir à la communauté SSI. Plus vite un risque est identifié, mieux il sera déjoué. Communiquer, mais aussi surveiller, notamment l’activité des trafics provenant de noms de domaines suspects, sensibiliser (car bon nombre d’APT ont encore recours aux vieilles ficelles de l’ingénierie sociale) et enfin pratiquer la religion du test de pénétration.

Sécurité et espionnage informatique

Auteur : Cedric Pernet

Editeur : Eyrolles, 220 Pages

Beau mariage que celui de JM Manach et de Nicoby, de l’auteur du « Pays de Candy », enquêteur infatigable du scandale Amesys, et de l’illustrateur de « La Révolution Pilote ».

Le premier écrit de manière précise, hache son texte de phrases courtes, de faits, de dates, de lieux, le second colle une ambiance, avec un trait tout aussi simple et haché, des esquisses dichromes caractéristiques de cette BD contemporaine qui est (enfin) parvenue à s’émanciper de la « ligne claire », celle de Polite (mâtin, quel journal). Nicoby dessine « cru », JM Manach raconte « cash ».

Car il fallait bien une bande dessinée pour parler sans sombrer dans le pathos de cette saga Amesys qui, de personnages troubles en dictatures ensanglantées, de rétro-commissions en conflits d’intérêts, fait ressortir sinon des complicités de la part de certains élus Français, du moins des aveuglements coupables, des candeurs difficilement compréhensibles. D’ailleurs, le mot d’ordre n’est-il pas de parler « d’outils-de-télécommunications-dont-l’usage-a-été-détourné-mais-qui-ne-sont-pas-des-systèmes-d’arme » ?

Amesys, c’est cette ancienne filiale du groupe Bull, spécialisée dans le développement de systèmes d’écoutes massives, capables d’intercepter emails, échanges sur les réseaux sociaux, conversations téléphoniques, bref, tous dialogues de nature numérique. Amesys, c’est l’entreprise qui a vu, dans les régimes autocratiques arabes en général, et en la Lybie de Kadhafi en particulier, des débouchés commerciaux inespérés. Peut-on, un seul instant, croire le discours du Directeur commercial de la filiale qui compare Eagle (le système de surveillance massive en question) à un stylo-plume ? Un « je ne suis pas responsable » qui prendra plus tard une résonance macabre devant les témoignages des survivants opposants au régime Libyen torturés sur la seule preuve de leurs échanges de courriels. Courriels interceptés par … ? L’encre rouge de Nicoby envahi la case, éclabousse les phylactères, donne au témoignage de Manach une dimension morbide que le texte de « Au pays de Candy » ne parvenait pas à transcrire.
Amesys est également une entité dont la Direction de la Communication est confiée à un membre de la famille du Ministre de la Défense d’alors, lequel Ministre reprend, devant la Chambre, les mêmes arguments que le Directeur Commercial de l’entreprise. Les « éléments de langage » sont strictement conservés pour que jamais ne soit remis en cause les intérêts de la filiale de Bull ou la politique de rapprochement d’alors. D’ailleurs, comment évoquer la fourniture d’armes technologiques à une dictature alors que Kadhafi est reçu par Nicolas Sarkozy à l’Elysée ? Zoom de Nicoby sur les manchettes de journaux de l’époque, gros plan sur Alain Juppé qui nie une évidence technique. Amesys, ce sont enfin ces trois « Pied Nickelés » de l’équipe chargée de la direction opérationnelle d’Eagle qui désignent par des noms de bonbons les pays potentiellement « clients ». Nicoby abandonne pour quelques planches son trait sec et sa dichromie, retrouve le style ébouriffé de René Pellos pour camper Ribouldingue, Filochard et Croquignol en train de semer, par pure indifférence des multitudes de traces sur les réseaux sociaux. Lorsque leur quasi complicité avec le régime jamahiriyen est sur le point d’éclater dans la presse, les trois compères s’ingénient à faire disparaître Amesys. Le Sauve-qui-peut réussit, Bull est dégagé de toute implication, le business continue avec Nexa Technologies, et aucun Commissaire Croquenot ou Lenoir n’est là pour menacer la liberté des trois compères. Fin de l’histoire. L’album s’achève en mentionnant l’affaire Snowden, qui dénonce une NSA amoureuse de gadgets aussi intrusifs que ceux d’Amesys, en utilisant les mêmes ficelles en guise de justification : Terroristes, cyber-pédophiles, ennemis intérieurs, l’ère des grandes oreilles n’en est qu’à la préadolescence.

Grandes oreilles et bras cassés

Scénario de Jean Marc Manach, dessins de Nicoby

Editeur : Futuropolis, 110 pages

Il existe des moyens plus rébarbatifs pour apprendre Python. Pour Franck Ebel, Enseignant à l’Université de Valencienne, qui avait déjà commis un ouvrage sur la lutte anti-cybercriminalité, c’est l’occasion de revenir sur l’inéluctable condition d’Homo-connectus qu’est l’informatisé moderne, un être qui ne vit quasiment jamais sans son lien Internet. Ne peut-on rêver meilleur prétexte que celui-ci pour étudier ce qu’est un Socket et en écrire un, à tout hasard en Python ? Et, exercices après exemples, exemples après analyse d’outils fondamentaux (Scapy, par exemple et pas franchement par hasard), Franck Ebel nous entraîne, nous fait passer de l’état d’usager du Net et de la messagerie à celui d’observateur (de trames et de paquets). Comment attaquer, comment détecter l’attaque et au passage s’adonner aux plaisirs du fuzzing et de l’analyse réseau.

Tout ça est à la fois pratique (à ne lire qu’un clavier sous la main, un .py sous les yeux), clair, pas nécessairement simple, mais sans conteste « for fun and profit ».

Hacking et Forensic, Développez vos propres outils en Python

Auteur : Franck Ebel

Editeur : Eni, collection Epsilon