Le Symposium sur la Sécurité des Technologies de l’Information et de la Communication (SSTIC) est un événement important pour la communauté sécurité francophone. L’édition 2009 a regroupé 440 personnes du 4 au 6 Juin dans un amphi de l’université de Rennes. Le détail des conférences est sur le site du SSTIC; l’objet de cet article n’est pas de décrire ou paraphraser les conférences, mais d’essayer de faire un lien entre les présentations parfois très techniques ou du domaine de la recherche avec les problèmes que nous rencontrons régulièrement en tant que consultants sécurité.

Lire le reste de cet article »

Le 4 juin 2009, Devoteam s’invite à CA Expo !

Dans le cadre de notre partenariat avec CA, nos équipes participeront le 4 juin prochain, au CNIT, Espace Darwin, à cette journée dédiée à l’écosystème CA, sur le thème de l’innovation et de la maîtrise des infrastructures informatiques :
- Gouvernance,
- Gestion des risques,
- Virtualisation,
- Performance,
- Automatisation,
- Saas,
- Green IT.
Les interventions reposeront principalement sur des témoignages d’utilisateurs et d’experts des problématiques attachées aux solutions CA. A noter, en ouverture de cette journée, les interventions de Nathalie Kosciusko Morizet, Secrétaire d’Etat à la Prospective et au Développement de l’économie numérique auprès du Premier Ministre et Yves Coppens, paléoanthropologue.

La journée se découpera en :
- Sessions plénières (2)
- Parcours thématiques (4)
- Ateliers (30)
- Zone d’exposition

Devoteam, sponsor de l’événement, participera à trois ateliers sur les thématiques suivantes :
- Data Center : prêts pour industrialiser ?
=> intervenant : Frédéric Ceitlin

- Performance et disponibilité : comment tendre vers une vue unifiée ?
=> Intervenant : Cyril Bouillot

- CMDB/CMS, le pivot de la gestion des services
=> Intervenant : Hubert de Langautier

Comme régulièrement dans l’histoire informatique, il semble que la presse se soit emparée d’une alerte, parmi tant d’autres pourtant : l’affaire « virus Conficker », présentée quelque peu comme la dernière terreur du monde numérique.

Commençons par le bruit médiatique.

Google renvoie presque 20 millions de résultats pour la recherche du mot « conficker », ce chiffre parle tout seul. On notera d’ailleurs que certaines structures n’ont pas hésité à acheter le mot clef « conficker », et des sites internet tels www.downadup.org , www.webroot.fr , www.pctools.com ou encore www.mcafeestore.com apparaissent dans les liens « commerciaux » des réponses Google, c’est à dire en tête des résultats !

On remarquera aussi l’apparition de certains domaines un peu plus étranges comme www.conficker.com , resté pendant au moins 2 mois dans les 10 premières réponses Google.

Ce site, en plus d’accorder visiblement une relative importance à la publicité (Google Adwords), ne fait que relayer partiellement des informations sur Conficker, et renvoie sur une société de services assez obscure. Il peut également être intéressant de s’interroger sur l’enregistrement du nom de domaine conficker.com : il semble que l’organisme référencé soit quelque peu opaque ( http://www.domaincrawler.com/domains/view/conficker.com « Domains by proxy », une branche de GoDaddy, spécialisée dans les services Internet sous anonymat) et il en est de même avec le domaine www.digitalperfections.com : http://www.domaincrawler.com/domains/view/digitalperfections.com/

Pourquoi rester anonyme pour relayer (partiellement) une information déjà si diffusée ?

Lire le reste de cet article »

La problématique de sécurisation des frontaux Web dits “RIA” ou “RDA” (Rich Internet Application ou Rich Desktop Application) entre dans le scope des préoccupations des utilisateurs. Le domaine bancaire est à ce jour l’un des plus attentif aux apports potentiels de ce type de technologie, mais s’attache encore à traiter ses failles de sécurité sur le ton de l’étude ou du Proof of concept.

La maturité opérationnelle n’est donc pas encore atteinte du moins pour envisager sereinement une généralisation significative de ces solutions. Les analyses de risque prennent en compte les différents cas d’utilisation et menaces possibles aux seins du SI bancaire :
         - Portails et sites transactionnels bancaires sensibles (exemple : banque en ligne particuliers, professionnels et entreprises)
         - Portails et sites vitrines internet peu sensibles
         - Applicatifs transactionnels intranet (ou extranet) sensibles
         - Applicatifs transactionnels intranet (ou extranet) peu sensibles (site d’information, ..)

et les confrontent aux menaces externes et internes les plus envisagées, parmi lesquelles :
         - Phishing, troyens bancaires,
         - Fraude internet,
         - Denis de service (botnet,..)
         - Altération du contenu
         - Fraude interne
         - Vol de données

Une qualification des risques en termes de  probabilité d’occurrence, et de technicité nécessaires à l’exploitation sont les deux sujets les plus envisagés. Ils sont le généralement traités sous forme de recommandations visant au minimum les thèmes suivants :
         - Interdits
         - Bonnes pratiques
         - Contre-mesures et solutions de contournement (outils, configuration, choix de mise en oeuvre, administration.)
         - Mesures organisationnelles (formation, sensibilisation, procédure, cloisonnement des responsabilités, …)

La cartographie des attaques potentielles est déjà constituée : elle en identifie au moins deux nouvelles que sont le Cross Site Scripting (XSS) et le Cross Site Request Forgery (CSRF).

Lire le reste de cet article »

La supervision de la sécurité est un vaste sujet.

En 2004, avec un ancien collegue (David Bizeul), nous avions rédigé un Livre Blanc sur le concept de la gestion des informations de sécurité (Security Information Management).

Les principes évoqués restent d’actualité plusieurs années après.

Par contre, la gestion des informations de sécurité s’est structurée et industrialisée… En particulier les chapitres sur les sources d’informations et l’organisation à mettre en place seraient à compléter

Bonne lecture

Pour le télécharger, cliquez ici : livre-blanc-securite-monde-du-sim

Comme d’habitude dans le monde de la virologie, les évènements du calendrier civil sont une aubaine et surtout un prétexte rêvé, à la propagation de parasites de tout genre.

Le code malveillant Storm Worm, est certainement un cas d’école dans ce domaine, et il n’est plus à présenter. Cela fait 2 ans qu’il fait parler de lui (tempête d’Europe en janvier 2007, d’où le nom) ! Il aura un peu tout fait, exploré même : Saint Valentin, jour de l’an, fausse alerte de sécurité, codec vidéo, divers logiciels comme des jeux, fausses informations choc, etc… Sans oublier des techniques innovantes comme les “fast flux”.

On retiendra de Storm Worm sa longévité, sa diversité d’attaques, et ses nombreuses variantes, ainsi que et surtout leur rythme effréné de parution. Il a mené la vie dure aux antivirus. Trend Micro l’avoue à demi-mot ici par exemple :

http://emea.trendmicro.com/emea/about/news/pr/be/article/20080201155058.html

La presse grand public en parle aussi :

http://www.lepoint.fr/actualites-technologie-internet/le-virus-storm-worm-vous-souhaite-une-bonne-saint-valentin/1387/0/223819

Et on peut citer enfin des docteurs virus, qui expliquent les problématiques amenées par Storm Worm, ainsi que les tendances virales actuelles :

http://marc-blanchard.com/blog/index.php/2007/12/21/41–dfinitionexplications-les-storm-worm-et-storm-botnet

Il semble pourtant que le réseau BotNet, monté et entretenu avec Storm Worm, soit au moins en cours d’extinction.
Mais il a un fils, un successeur… au moins aussi perfectionné que lui, sinon plus : Waledac.

Lire le reste de cet article »

INTRODUCTION

« Tu ne trouves pas ce que tu cherches ? demande à ton ami Google » . Qui n’a jamais entendu cette phrase, au moins dans les milieux professionnels informatisés ?

Google est un outil à la puissance connue et reconnue. Mais on lui associe aussi l’image de « l’ami » de nos divers besoins de recherche d’information.

De surcroit, « ami » signifie implicitement « digne de confiance » . Google est-il alors digne de confiance ? Les experts pourraient se plonger dans les détails des engagements de confidentialité que l’entreprise a pu publier, par rapport à ses différentes technologies.

Ces grands débats ne sont pas l’objet du présent article. La problématique principale est que la plupart des utilisateurs répondraient certainement : « oui, puisque tout le monde le connaît et l’utilise » .

Par ailleurs, il semble que les utilisateurs aient en tête que les premiers résultats Google, pour une requête donnée, sont censés être les plus pertinents. La fameuse bataille du référencement entre sites n’y est certainement pas étrangère. Il est d’ailleurs dit que très peu de personnes vont au delà des 10 premiers résultats, et encore moins au delà du cinquantième.

Compte tenu de ces éléments, la question suivante paraît presque rhétorique : « pour une recherche internet courante, les internautes considèrent-ils qu’un site bien classé dans les résultats de leur « ami » Google, est forcément digne de confiance par conséquence » ?

D’ailleurs, n’oublions pas que Google se veut rassurant sur le plan sécurité, via notamment sa politique officielle, le programme « SafeBrowsing » (cf. section Références), ainsi que ses équipes internes dont la réputation n’est plus à faire.

Et pourtant, voici une brève démonstration des dangers possibles cachés derrière les réponses « les plus pertinentes » de Google, comme « messenger », « winrar », « internet explorer », etc.

Il s’agit ici de considérer des requêtes Google très simples, courantes, voire populaires au point d’être dans les 10 premières des statistiques du moteur (en France notamment, source Google Insights for Trends, voir section Références).

NB : Les résultats Google indiqués ici sont ceux constatés en date de rédaction de cet article, le 15 décembre 2008. Cependant, la constatation initiale de la présence dans les résultats Google, des sites douteux exposés ici, date du 1er décembre 2008.

Lire le reste de cet article »

Un REX sur ma mission aux USA.

 Bientôt une décennie d’existence, tout le monde en parle mais très peu en font vraiment :  voilà l’étrange situation de la SOA - le pattern d’architecture d’entreprise basé sur des services faiblement liés, réutilisables et surtout basés sur des standards ouverts. La SOA porte les promesses d’une modernisation en profondeur des systèmes d’information en les rendant plus flexibles. De cette flexibilité est attendue l’amélioration de la réactivité des entreprises pour adresser des nouvelles situations à l’avantage de l’entreprise.

Lire le reste de cet article »

Une Sécusphère spéciale a été organisée le 17 Novembre 2008 conjointement entre l’ESIEA et Devoteam. Cet événement a réuni une soixantaine de participants, majoritairement des étudiants.

Lire le reste de cet article »

L’affaire récente du “piratage” du compte bancaire du chef de l’état nous rappelle que cette question est toujours d’actualité. Un bref rappel des faits sortis dans la presse: le 19 octobre, le JDD nous apprend que des escrocs se sont procurés les coordonnées bancaires de Mr Sarkozy et qu’ils ont effectué des prélèvements sur son compte. Le 21 octobre, 01net, 20minutes et d’autres annonçaient l’arrestation de 2 personnes qui auraient utilisé les coordonnées bancaires du président pour ouvrir un ou plusieurs abonnements de téléphonie mobile. Le 30 octobre, leVif.be confirmait la thèse d’une organisation criminelle (sic) mettant en cause des vendeurs complices.

Cette affaire pose en fait deux questions de sécurité: Comment les coordonnées bancaires ont elle été récupérées? Comment sont vérifiées les coordonnées bancaires et en particulier, l’identité des détenteurs? Lire le reste de cet article »