Les publications du cabinet XMCO

Monnaies virtuelles : Les nouveaux circuits financiers clandestins...

La monnaie virtuelle, instrument financier caractéristique d'Internet, discret et révolutionnaire, s'est imposée depuis quelques années comme un moyen de paiement indispensable. La criminalité organisée, qui peine à blanchir ses revenus par les voies classiques maintenant très encadrées, s'est rapidement intéressée au potentiel que lui offre la monnaie virtuelle. Ainsi, plusieurs dizaines de monnaies privées répondant à leurs attentes et leurs besoins sont disponibles en libre accès sur Internet. Le CERT-XMCO publie un livre blanc consacré à cette économie de tous les dangers intitulé "Monnaies virtuelles : les nouveaux circuits financiers clandestins". Ces monnaies aux structures complexes et parfaitement rodées semblent infaillibles malgré leur caractère frauduleux. Elles ont en effet des années d'avance sur les moyens d'investigations utilisés par les services répressifs et les législations en vigueur. Télécharger l'étude au format PDF

L'ActuSécu

Tous les 2 mois, les consultants publient leur newsletter sur la sécurité informatique du moment et les nouvelles attaques.

Autopsie et observations in vivo d'un banker (conférence SSTIC 2008)

Cet article présente une analyse approfondie d'un logiciel espion dédié au vol de mots de passe des utilisateurs de banques en ligne : le malware Anserin. Cette analyse dissèque le fonctionnement de ce malware selon plusieurs angles : sa présence sur le système, son mécanisme de vol des mots de passe, son protocole de communication réseau, ainsi que les techniques utilisées pour déjouer les protections mises en place par les banques, telles que les claviers virtuels. Cet article présente également les évolutions observées au cours de l'année 2007 ainsi que les méthodes et outils employés pour analyser et suivre l'évolution de ce malware. Télécharger l'article en PDF Le site des Actes de la SSTIC 2008

Common Criteria Web Application Security Scoring - CCWAPSS

Cet article, publié par Frédéric Charpentier, expert en test d'intrusion, propose une méthode d'évaluation du niveau de sécurité d'une application Web dans le cadre d'audit de plate-forme applicative : la Common Criteria Web Application Security Scoring (CCWAPSS). Le projet CCWAPSS définit en 11 points de contrôle une méthode de calcul permettant de définir une note (de 0 à 10) sur la sécurité de vos applications. Chacun des critères sont issus du guide OWASP 3.0 (Open Web Application Security Project) Télécharger l'article en PDF (en anglais) Le blog du projet CCWAPSS

Retour d'expériences sur les tests d'intrusion (CLUSIR 2007)

Marc Behar et Frédéric Charpentier présentent leurs retours d'expériences sur les prestations de "tests d'intrusion" lors de la conférence CLUSIR-EST 2007. Les aspects techniques et managériaux, le choix de périmètre et méthodes sont abordés. Télécharger la présentation réalisée au CLUSIR

Le Livre Blanc de la Commission Bancaire

Analyse du livre blanc de la commission bancaire. Méthodes d'évaluation des risques du Système d'Information d'une banque et exemples de calcul du RMT (Risque Maximal Tolérable).  Télécharger "Livre Blanc Bancaire et le RMT"

Les Attaques CSRF

Présentation de l'attaque baptisée "Cross Site Request Forgery" (CSRF), technique de base pour les attaques Drive-By-Pharming. Des exemples illustrés de schémas et une présention des mesures de protections possibles.  Télécharger "Les attaques CSRF"

VoIP Security Overview - A layered approach

Étude complète des enjeux de la sécurité des technologies de Voix sur IP. Publié par Mihai Amarandei, collaborateur XMCO et chercheur pour l'école Polytechnique.  Télécharger "VoIP-security-Xmco" (2.1 Mo)

Intrusion Agent - The Next Generation Of Spy