La France constitutionnellement en retard dans l’ère du numérique !

Le conseil constitutionnel vient de rejeter plusieurs articles de la loi relative à la protection de l’identité et notamment son article 3, prévoyant l’ajout des fonctionnalités d’authentification et de signature électronique sur la carte nationale d’identité électronique.

Cette décision laisse, encore une fois, la France à l’âge de pierre dans les modes de vie actuels de nos concitoyens alors qu’une grande majorité des pays européens (Espagne, Belgique et Allemagne en têtes) ont déjà adopté la mise en œuvre telle d’une carte nationale d’identité assurant ces fonctions.

Alors que notre pays affiche un taux de pénétration record de l’Internet et du mobile, que le commerce en ligne se porte particulièrement bien et que les services en ligne se démocratisent, les sages retraités du conseil pour qui une souris n’est rien d’autre qu’un animal de compagnie interdisent la signature électronique et nous renvoient à l’utilisation du stylo et de la bonne vieille feuille de papier.

Bravo !

C’est l’été ! Les 10 règles de sécurité pour profiter de vos vacances.

Ha l’été !

L’été c’est avant tout le soleil, les vacances et la plage pour la plupart d’entre nous. Mais l’été, comme toute période de vacances, c’est surtout une période de relâchement dans l’application de la politique de sécurité.

Alors avant de partir, petit rappel des 10 règles à ne pas contourner, même par 35°c à l’ombre, pour que la rentrée ne soit pas plus dure que ce qu’elle n’est déjà :

1. Pas de compte générique, non, J-A-M-A-I-S ! Sinon point d’imputabilité et point de responsabilité des actions. Les stagiaires et travailleurs temporaires sont des utilisateurs comme les autres, alors pas de dérogation pour leurs comptes et leurs mots de passe.
2. Vigilance sur les connexions distantes. Un collaborateur en congés qui se connecte un samedi soir c’est louche -oui, il y a des exceptions -, alors pas de répit pour la revue des journaux de connexion. Quitte à la faire moins souvent, mais il faut la faire.
3. Les collaborateurs n’ont pas de raison de se connecter en WIFI, en clair, depuis la plage ou le bar de l’hotel ! Authentification forte et VPN pour les accès distants sinon rien.
4. Réduire la surface d’attaque. Les systèmes sont souvent moins sollicités en cette période estivale, c’est la période idéale pour appliquer les dizaines de correctifs de sécurité qui attendent depuis des mois !
5. La séparation des privilèges ne doit pas entraver le bon déroulement de l’activité. Assurez-vous que les différents porteurs de responsabilités ne soient pas tous indisponibles en même temps.
6. Au contraire profitez de ces changements de postes pour chercher les collusions.
7. Attention aux niveaux des ressources internes. Le temps de surf et d’envoi de courriels perso est inversement proportionnel à l’activité de l’entreprise. Une piqure de rappel de la charte ne fais jamais de mal et permet d’éviter que les abus ne se multiplient et ne pénalisent trop les flux business.
8. Vous êtes en vacances ? Super ! Mais ce n’est pas une raison pour informer tout le monde que plus personne ne s’occupe de la sécurité Restez discret.
9. Si un compte ou un accès temporaire doit être créé, prévoyez sa destruction et veillez à cette dernière.
10. Enfin, anticipez les expirations / oublis / pertes d’identifiants en tous genre (mots de passe, certificats, …). La rentrée sera plus calme !

Voila, bonne checklist et surtout bonnes vacances !

Goodies de la Nuit du Hack 2010

La Nuit du Hack 2010 est terminé !

Vous pouvez retrouver les comptes-rendus de l’évenement chez Émilien ou chez encore Nico.

Pour tous ceux qui les ont demandées voici les affiches que nous avions réalisées pour l’occasion:

La Nuit du Hack 2010

Le mois de juin est chargé en conférences et c’est tant mieux

L’équipe sera à la Nuit du Hack 2010 samedi 19 prochain dont le programme et les conférenciers (Geohot, Matthieu Suiche,  Emilien Girault, …) laisse présager du meilleur !

Petite nouveauté cette année le cabinet confirme son engagement en prenant part au sponsoring de l’évenement.

Vous pouvez suivre la préparation en live sur Twitter. Le stream de la conférence sera également disponible sur Live Stream.

Bonne Nuit du Hack 2010 !

SSTIC 2010

Comme chaque année vous pourrez nous retrouver au SSTIC.

Pas de compte rendu, nous assurerons à la place un live tweet sous le hashtag #sstic sous le compte @stelauconseil !

Bon SSTIC 2010 à tous

Compte rendu de la JSSI 2010 de l’OSSIR

Mardi dernier se tenait la Journée Sécurité des Systèmes d’Information 2010 de l’Observatoire de la Sécurité des Systèmes d’Information et des Réseaux.

Nous vous livrons un bref compte rendu de l’évènement, les supports de présentation devraient être disponibles rapidement.

• “Juste une imprimante ?”
  Thibault Koechlin et Jean Baron (NBS System) ont fait un retour d’expérience sur la compromission des imprimantes par trois vecteurs différents: le logiciel (applications web, services), le Firmware et la modification matérielle.
  Les imprimantes sont aujourd’hui devenus des systèmes autonomes exécutant des systèmes d’exploitation le plus souvent basés sur GNU/Linux avec les services qu’on lui connait. Le nombre de vulnérabilités augmente en conséquence et les imprimantes doivent être considérées comme tout autre serveur du système d’information de l’organisation. La modification du firmware permet quant à elle d’installer un système sous le contrôle de l’attaquant et assure à ce dernier la pérennité de son accès au SI. Enfin, la disponibilité d’alimentation 5 ou 12 V dans toute imprimante permet d’y introduire assez facilement des systèmes matériels tiers, agissant comme un pont réseau et offrant assez de puissance pour y exécuter tous les outils nécessaires à la poursuite d’une intrusion (scanner, outils divers).

• “Analyse avancée de la mémoire physique de Mac OS X”
  Matthieu Suiche (MoonSols) a présenté ses travaux sur l’analyse de la mémoire physique (par opposition à la mémoire virtuelle) des systèmes d’exploitation Mac OS X (10.5 – Leopard et 10.6 – Snow Leopard). La présence des symbols de débug du noyau (mach) et la documentation de l’organisation de la mémoire (structures, listes chainées, …) de la partie libre du noyau de ces systèmes d’exploitation permet l’analyse poussée de dumps mémoires obtenus par l’injection de drivers (Kext) ou lors de la sauvegarde de la mémoire pour une hibernation. Ces analyses sont toutes particulièrement intéressantes lors d’analyses post-mortem (forensic) ou lors d’études de malwares. C’est un gros travail qui a été présenté et qui comble enfin une carence pour l’analyse des OS d’Apple. Les outils de Matthieu devraient être disponibles bientôt.

• “Les aspects juridiques du scan et des tests intrusifs”
  Yoann Garot (iTrust) est revenu sur la situation juridique des scans et tests d’intrusif. Comme toujours le flou est de mise et les jurisprudences diverges. C’est la nature légitime (la curiosité semble être recevable…) des tests qu’il faudra démontrer en cas de contentieux et cela peut s’avérer délicat. La recommandation globale est d’encadrer très strictement les interventions de cette nature à l’aide de contrats adéquats et d’accords de confidentialité.

• “Se préparer à la réponse judiciaire contre les attaques informatiques”
  Eric Freyssinet (DGGN) a rappelé l’importance d’une bonne préparation à la réponse judiciaire contre les incidents de sécurité. Les maitres mots sont préparation et anticipation. En effet, il est fondamental de prendre contact en amont avec les différents services pouvant apporter leur aide dans ce domaine. Cela permet de disposer d’un interlocuteur et de pouvoir définir avec lui les procédures d’échange et d’intervention nécessaire. Cette préparation sera la garantie d’une réaction efficace lorsque l’incident surviendra (et il surviendra !). Eric Freyssinet a également rappelé que les services de Gendarmerie et de Police Nationale étaient prêts et que les organisations ne portaient malheureusement que trop rarement plainte.

• “Les PME françaises contre la mafia russe et les hackers chinois – retour d’expérience”
  Nicolas Ruff (EADS IW) a livré un retour d’expérience plus vrai que nature sur les difficultés rencontrées au quotidien par les PME dans leur gestion de la sécurité de l’information. Vers, Clés USB infectées, utilisateurs à l’imagination débordante pour contourner les mesures de sécurité… le menaces ne manquent pas. Nicolas s’est surtout attaché à démontrer que l’utilisation des mesures de protection des systèmes d’exploitation et des applications modernes (Windows Vista, 7, IE 8), pour peu qu’on ai migré des systèmes sorties dans les années 90, permettent d’assurer un niveau de sécurité très acceptable et de parer à une majorité d’attaques. Il a plus particulièrement insisté sur l’utilisation du DEP (prévention de l’exécution de code dans des pages mémoires accessibles en écriture), le principe de moindre privilège – et la nécessité de ne pas donner les droits administrateurs à ses utilisateurs, ainsi qu’à la mise en œuvre des protections avancées disponibles dans les OS/Compilateurs (ASLR, /GS, SafeSEH,…). Rien de nouveau donc, mais un message clair pour les RSSI: avant de dépenser votre budget en anti-(virus, malware, spyware, [entrer votre buzzword ici]ware), H,N-IPS, commencer par durcir vos postes utilisateurs et à restreindre les droits de ces derniers.

• “Présentation du livre blanc sur les logs issu du groupe de réflexions technico-juridiques de l’OSSIR”
  Eric Barbry (Avocat au Barreau de Paris) et Christophe Labourdette (CNRS et OSSIR) ont présenté les résultats du groupe de travail sur les logs. Une fois la divergence de vocabulaire entre les juristes et les experts en sécurité constaté une nouvelle fois, il apparait rapidement que les exigences réglementaires en termes de journalisation (LCEN, Loi du 23 janvier 2006 relative à la lutte contre le terrorisme, règlementation sectorielle…) sont diverses et que les obligations de journalisation s’accumulent. Si les contraintes ne sont pas claires, les obligations sont là et la couverture du risque juridique passe par la mise en œuvre d’une journalisation des activités de ses utilisateurs. Celle-ci doit être faite avec discernement (proportionnalité, finalité) et il est important de communiquer à l’intérieur de son organisation sur son existence.

• “Les webshells, ou comment ouvrir les portes de son réseau ?”
  Renaud Dubourguais (HSC) a dressé un panorama des possibilités offertes par l’installation/déploiement de codes malveillants dans les serveurs d’applications. Les webshells, véritables portes dérobées des serveurs web, offrent un vecteur idéal pour permette à un attaquant de contourner l’essentiel des mesures périmétriques de filtrage (firewall). Ce contournement se fait par rebond sur un serveur web le plus souvent en DMZ. Il a tout particulièrement insisté sur la possibilité, sous certaines conditions, de transformer le serveur web infecté en véritable pivot vers l’intérieur du système d’information de l’organisation cible. Scan des hôtes internes, injection de trafic, installation et exécution d’applications tierces sur le serveur compromis, les webshells sont de véritables boites à outils qui n’ont de limites que l’imagination et le temps dont dispose l’attaquant. Pour s’en prémunir, il conviendra donc de configurer correctement les serveurs d’applications et les environnements d’éxecution de scripts (PHP en tête) et de vérifier régulièrement la non-compromission de ses serveurs. On pourra également prendre pour hypothèse que le serveur sera compromis et configurer ses DMZ en conséquence dès le début.

• “OWASP ASVS: Une boite à outils pour améliorer la sécurité d’une application Web”
  Sébastien Gioria (OWASP) – L’intervention a été annulée.

Appel à commentaires sur l’avant projet de norme PR NF ISO/CEI 27000

L’AFNOR lance un appel à commentaires sur l’avant projet de norme PR NF ISO/CEI 27000, dans le cadre de la traduction de la version anglaise (librement téléchargeable à sur le site de l’ISO) dans la langue de Molière.

Pour rappel, “L’ISO/CEI 27000 présente une vue d’ensemble des systèmes de management de la sécurité de l’information, qui constituent l’objet de la famille de normes du SMSI, et définit les termes qui s’y rapportent.”

Pour les commentaires ça se passe sur le site de l’AFNOR !

Image © Audie 1983 Adams/Lob