La dernière réunion de l’OSSIR s’est déroulée le 9 avril 2013 dans les locaux de l’INRIA. Les sujets suivants y ont été présentés :
- BackTrack Linux par Giovanni Rattaro et Renaud Leroy du projet BackTrack
- CerberHost, l’hébergement haute sécurité par Thibault Koechlin de NBS
- Revue d’actualité par Nicolas Ruff
BackTrack Linux (Giovanni Rattaro & Renaud Leroy / coordinateurs du projet BackTrack)
Giovanni Rattaro et Renaud Leroy, les deux coordinateurs en France du projet BackTrack sont venus présenter dans les grandes lignes les origines et l’histoire du projet, ainsi que son état actuel.
BackTrack est né suite à la distinction proposée par Dan Farmer en 1993 entre la sécurité défensive et la sécurité offensive. Lorsque la première version de la distribution Linux est née, il n’existait pas, selon ses auteurs, d’outil dédié à ce concept de sécurité offensive. Le projet qui a continuellement cherché à adhérer à plusieurs standards tels que le PTES, OSSTMM, l’OWASP ou encore OSSINT, a beaucoup évolué depuis ses débuts passant d’une base Slackware à Ubuntu, et enfin, plus récemment, à Debian.
Les deux présentateurs ont rapaillé plusieurs caractéristiques importantes du projet, comme le support de plusieurs architectures matérielles particulièrement prisées dans le monde de la sécurité telles que les Teensy device, les RaspbrryPi. La distribution supporte aussi nativement diverses technologies exotiques, telles que les lecteurs de carte RFID. Enfin, le projet est soutenu par un prestigieux sponsor. En effet, Rapid7, la société éditrice du célèbre framework d’exploitation Metasploit soutient les développeurs du projet.
Ils ont enfin présenté les motivations qui ont poussé les auteurs de BackTrack à délaisser Ubuntu pour migrer vers l’écosystème Debian et renommer à cette occasion leur outil Kali. A l’origine, un simple problème de propriété intellectuelle : en effet, le nom BackTrack appartient déjà à une société concevant des « montres ». Cependant, cette transformation aura été bénéfique à Kali puisque de nombreux points bloquants ont été abordés à cette occasion : – nettoyage dans la base d’outils embarqués ; – support officiel de nouvelles architectures matérielles telles que l’ARM ; – construction d’un écosystème de développement à la Debian, permettant aux utilisateurs de télécharger facilement les sources d’un logiciel et d’y apporter les patchs souhaiter pour travailler avec des outils les plus adaptés à leurs besoins.
Enfin, la présentation s’est conclue par une interview « Skype » de l’un des principaux développeurs de Kali : Crossbower.
SLIDES
CerberHost, l’hébergement haute sécurité (Thibault Koechlin / NBS)
Thibault Koechlin, consultant chez NBS, est venu présenter l’offre d’hébergement sécurisé CerberHost.
Après avoir rappelé les impacts importants de l’exploitation des failles de sécurité, le spécialiste a précisé que les problématiques en matière de développement sont connues, tout comme les solutions permettant d’y remédier. Pour illustrer ses propos, il a donc détaillé les menaces existantes associées à chacune des couches de l’architecture d’un service d’hébergement :
- l’utilisateur
- le site Internet
- la base de données
- la couche applicative
- le réseau
- le système d’exploitation
- et enfin la couche physique
Thibault a ensuite détaillé les solutions techniques existantes pour protéger chacune des couches contre les menaces précédemment présentées. Il a ainsi détaillé en particulier les différentes solutions développées en interne pour les besoins spécifiques de Cerberhost, par exemple le WAF Naxsi, MySQL Sniffer, InodeMon, ou encore ExecvKiller. NBS n’a cependant pas cherché à réinventer la roue, et tire parti de bon nombre de solutions techniques ayant fait leur preuve, par exemple le patch Grsec/PAX du noyau Linux ou encore le logiciel fail2ban. Mais l’offre Cerberhost ne concerne pas uniquement la partie technique, mais aussi la partie procédurale liée à la gestion d’un service d’hébergement sécurisé.
Enfin, le consultant a présenté le challenge proposé par NBS aux internautes. En effet, pour éprouver la sécurité de son offre, et en plus des habituels audits/Pentest, la société a proposé une prime de 5 000€ aux internautes réussissant à contourner les différentes solutions techniques mises en place pour protéger un site développé spécifiquement pour contenir des failles de sécurité (un site du type DVWA). Le challenge a pris fin, sans qu’aucun internaute ne parvienne à exploiter entièrement l’application vulnérable.
SLIDES
Revue d’actualité (Nicolas Ruff)
La réunion s’est enfin terminée par la revue de l’actualité du mois écoulé par Nicolas Ruff avec comme toujours, la publication de correctifs, les découvertes de failles de sécurité et les informations diverses autour de la sécurité.
- Windows 7 SP0 n’est plus supporté depuis le 9 avril
- L’April saisit la Commission d’accès aux documents administratifs (CADA) pour obtenir plus de transparence concernant l’accord entre Microsoft et le Ministère de la Défense
- Les équipements d’HP et d’Huawei comportent la même faiblesse permettant de récupérer des mots de passe via de simples requêtes SNMP
- Un opérateur intègre des bandeaux publicitaires dans les pages web consultées par ses internautes
- La loi américaine empêche les internautes iraniens d’appliquer les mises à jour de Java
- La National Vulnerability Database (NVD) a été mise hors ligne quelques jours suite à la présence d’un malware sur les serveurs du NIST
- Le groupe de hackers « TeamSpy » utilise TeamViewer, le logiciel de contrôle à distance, comme porte dérobée
- L’ANSSI publie plusieurs guides de sécurisation et de recommandations concernant le WiFi, les dispositifs de vidéoprojection et les pare-feu
- Phishing Initiative publie ses statistiques : plus de 80 000 sites ont été dénoncés pour hameçonnage en 2 ans par les 18 000 utilisateurs français
- Selon la HADOPI, Sony « devrait » fournir les clés de déchiffrement à VLC pour la lecture de Blu-Ray
- Un radar automatique installé en pleine ville sur un axe très fréquenté a été découpé à la disqueuse et volé
- Le projet de directive européenne serait dangereux pour la sécurité informatique
- L’authentification Google à 2 facteurs pourrait être contournée via l’API Android
- Un chercheur extrait les clés HDCP
- Lors de la conférence RSA, le cryptographe Adi Shamir déclare que l’intérêt de la crypto diminue lorsque ce sont les postes clients qui sont pris pour cible. La meilleure solution pour éviter les fuites de données est donc d’avoir des fichiers énormes
- CrowdStrike prend le contrôle d’un botnet lors d’une conférence
- Le challenge SSTIC était « trop facile » cette année !
- ZeroBay, une nouvelle plateforme de trading de code d’exploitation vient de faire son apparition
- RSF publie la liste des sociétés « ennemies d’Internet » – Gamma, Trovicor, Hacking Team, Amesys et Blue Coat
- France vs Skype : Skype est-il un opérateur télécom ?
SLIDES
Rendez-vous le mardi 14 mai prochain pour la prochaine réunion du groupe Paris de l’OSSIR.
