Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

JSSI 2010 : "Attaque / Défense : score 2.0"

mars 2010 par Marc Jacob

L’édition 2010 de la Journée Sécurité des Systèmes d’Information a réuni plus d’une centaine de personnes à la FIAP Jean-Monet (Paris 14ème). Cette année encore les démonstrations techniques ont permis à la communauté d’explorer de nouvelles pistes en matière de vulnérabilité des SI. Cette année, un avocat d’une entreprise spécialisée dans le test d’intrusion a montré l’importance de signer un contrat bien ficelé avant de procéder à tout audit.

Après le traditionnel message de bienvenue, Jean baron et Thibault Khoechlin, NBS System, ont fait la démonstration des vulnérabilités des périphériques multifonctions qui peuvent devenir une cible privilégiée pour les pirates informatiques. Ces périphériques contiennent un disque dur qui peut être facilement dérobé lors d’opération de maintenance. De plus, étant connecté au réseau, il est très aisé de les pirater à distance. Ils ont aussi créé un petit outil qui permet pour 200 euros de récupérer toutes les informations qu’elles contiennent. Ils ont également démontré que les smartphones sont vulnérables aux attaques en buffer overflow. En outre, ils se sont intéressés aux caméras IP, en particulier de marque Axis, sur lesquelles il est possible en quelques minutes d’installer une backdoor pour récupérer toutes les informations dont le pirate a besoin. De plus, il est possible de transformer la caméra IP en outil d’attaque du réseau.
Pour conclure leur intervention, ils ont recommandé d’utiliser un serveur d’imprimante via un port USB.

Outil de foresnsic pour Apple

Matthieu Suiche, fondateur de MoonSols, est un chercheur en sécurité français, spécialisé dans le reverse engineering et l’autopsie de la mémoire physique. Il a présenté un outil forensics pour la capture et l’analyse de mémoire physique adapté au système d’exploitation d’Apple Mac OS X, Leopard et Snow Leopard. Il a démontré qu’il était possible d’avoir accès à la mémoire RAM et de naviguer dans l’espace virtuelle du Kernel. Un attaquant pourra récupérer tous les événements qui se sont déroulés sur une machine, y compris les informations sur la personne qui avait les droits sur la machine. Cet outil sera disponible prochainement sur la toile.

Test d’intrusion : le contrat est un « must »

Yoann Garot, juriste de métier, qui travaille chez iTrust, un cabinet d’audit, a insisté sur l’importance de signer un contrat en bon et due forme avant de procéder à tout audit de vulnérabilité pour le compte d’une entreprise. L’apparition constante de nouvelles contraintes légales et jurisprudentielles oblige les Professionnels de la Sécurité informatique à prendre en compte le droit dans la mise en œuvre de leur travail. Qu’ils soient Consultants Sécurité, RSSI, DSI, Administrateurs Réseaux et surtout Pentesteurs, plus que jamais l’aspect juridique s’impose pour des actions aussi courantes que le scan de sécurité ou l’audit intrusif. Quel est le contexte juridique ? Que disent les textes ? Quelles sont les bonnes pratiques ? Les limites à nos métiers ? Autant de questions qu’il a abordé dans sa présentation. Après un rappel des différentes législations en France et dans le monde, en particulier la Loi Godfrain, la LCEN, LOPSI, DRM, la Convention de Budapest…, il a rappelé que la limite est mince entre les actions d’un pirate informatique et d’un expert informatique qui procède à un test d’intrusion pour le compte d’une entreprise afin de l’aider à renforcer la sécurité de son SI. En général, les uns et les autres utilisent les mêmes outils… Ils sont donc susceptibles d’encourir le même type de peine soit suivant les cas de 2 ans d’emprisonnement et 30.000 € d’amende à 3 ans et 45.000 € d’amende. Il a passé en revue toutes les étapes d’un audit de vulnérabilités, à commencer par le Scan, qui pour lui quelque soit le type de scan réalisé n’est répréhensible que du fait de pouvoir causer dans une faible part un DOS. Par contre, l’intrusion est bien entendu totalement interdite. Donc, il a recommandé avant de procéder à tout audit d’avoir signé un contrat et de vérifier que les adresses IP à auditer appartiennent bien à l’entreprise qui commande les audits. Il a aussi rappelé que la publication publique de vulnérabilité est un délit.

Les entreprises doivent déposer plainte en cas d’incident de sécurité

Le Lieutenant-colonel Eric Freyssinet de la direction générale de la gendarmerie nationale, chargé des projets de lutte contre la cybercriminalité, a insisté pour que les entreprises déposent plainte en cas d’attaques informatiques. Au-delà du débat sur le chiffre noir des attaques que subissent les systèmes d’information des entreprises ou des administrations, bien souvent les responsables informatiques ou juridiques ne se sont pas bien organisés pour la gestion des aspects non techniques d’une telle atteinte. Ils doivent être préparés à plusieurs aspects : la collecte de preuves, le choix d’une action judiciaire et la communication. Quelles que soient les suites judiciaires sur une affaire individuelle, l’implication au bon moment des services d’enquête et de la justice est la seule solution pour permettre éventuellement l’identification et l’interpellation des auteurs et donc de faire cesser le dommage pour l’ensemble des victimes potentielles, voire d’obtenir réparation. Il a insisté sur le fait que les forces de police, de gendarmerie et de justice sont prêtes à recevoir les plaintes. Elles disposent aujourd’hui d’un arsenal juridique suffisant qui devrait être renforcé par la nouvelle législation en matière notification des incidents de sécurité.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants