• (CERTA) Les bons réflexes en cas d’intrusion sur un système d’information http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html

• (ANTIROOTKIT) Produits antirootkit http://www.antirootkit.com/software/index.htm

• (VT) Virus Total http://www.virustotal.com

• (AN) Anubis http://analysis.seclab.tuwien.ac.at

• (REVEALER) Rootkit Revealer http://www.microsoft.com/technet/sysinternals/Utilities/RootkitRevealer.html

• (RKU) Rootkit UnHooker http://forum.sysinternals.com/uploads/20071210_182632_rku37300509.rar

• (PE) Process Explorer http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

• (AR) Autoruns http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx

• (UL) Unlocker http://ccollomb.free.fr/unlocker/

• (NMF) NotMyFault http://technet.microsoft.com/en-us/sysinternals/bb963901.aspx

• (TCPV) TcpView http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx

• (LDLL) ListDll http://technet.microsoft.com/en-us/sysinternals/bb896656.aspx

• (CYG) Outils grep de cygwin http://www.cygwin.com/

• (PS) Pstools http://technet.microsoft.com/en-us/sysinternals/bb896649.aspx

• |1| FILIOL (E.), « La sécurité des communications vocales (1) : le codage de la voix », MISC 35 – Le journal de la sécurité informatique, janvier 2008.
• |2| FILIOL (E.), « La sécurité des communications vocales (2) : techniques analogiques », MISC 37 – Le journal de la sécurité informatique, mai 2008.
• |3| ROSSI (Mario), Audio, Presses Polytechniques et Universitaires Romandes, Lausanne, ISBN 978-2-88074-653-7. Ouvrage nominé pour le Prix international francophone Roberval 2007.
• |4| POHLMAN (Ken C.), Principles of Digital Audio, 2nde éd. Sams/Prentice Hall Computer Publishing, 1985, ISBN 0-672-22634-0.
• |5| WAGGENER (William N.), Pulse Code Modulation Systems Design, Artech House, 1999, ISBN 0-89006-776-7.
• |6| ROSIE (Aeneas M.), Information and Communication Theory, 2nde éd. Van Nostrand Reinhold, Londres,1973, ISBN 0-44-27840-90.
• |7| FILIOL (E.), « Le chiffrement par flot », MISC 16 – Le journal de la sécurité informatique, novembre 2004.
• |8| YULIANG (Goa) et CHIRUI (Zhong), « Système pratique de brouillage vocal analogique » (traduit du chinois), Actes de la conférence Chinacrypt’92 (en chinois), pp. 34-39, 1992. Les deux auteurs travaillaient à l’Air Force Radar College à Wuhan, Chine.

Pour feuilleter le magazine dès maintenant, c’est ici.

Le magazine est disponible chez votre marchand de journaux et sur notre site marchand.

Voir la suite »

Mea culpa :

C’est « amusant » de voir la confiance accordée à la cryptographie. Je me souviens encore d’une époque proche de la préhistoire en temps informatique (comprendre l’an 2000) où des responsables de banque criaient sur tous les toits et autres revues spécialisées combien leur site en ligne était sécurisé, puisqu’il utilisait de la cryptographie. Bien sûr, toute personne qui a réalisé ne serait-ce qu’un ersatz de pentest se rend bien compte de l’absurdité, pour ne pas dire de la bêtise, d’une telle assertion : une faille PHP include() ou une injection SQL, ça reste toujours des failles, que le canal soit chiffré et authentifié ou non. Bref, ça n’empêche pas de se faire rooter. À la décharge de ces hauts responsables et autres directeurs, ils ne sont pas les seuls à commettre des erreurs. La faille à la mode est due à la spirale infernale, à savoir Debian. Un article du présent numéro détaille les raisons de ce qui m’apparaît comme une des plus grosses failles jamais publiées. Pourquoi une des plus grosses ? Les conséquences sont simplement énormes. En gros, tout ce qui emploie de la cryptographie construite sur la version Debian d’OpenSSL depuis mi-2006 est à mettre à la poubelle. De manière évidente, ça signifie les clés SSH, les certificats SSL (pour se connecter à sa banque) ou encore certains VPN. S’il n’est pas toujours simple de mettre à jour tout ça, ça reste faisable. Non, le plus gros problème est ailleurs (comme la vérité).

Imaginons, vous comprenez que tout ceci est totalement fictif bien sûr, un endroit regroupant environ 400 personnes, plutôt sensibilisées à la sécurité. Au hasard, ça correspond à un amphi pour une conférence de sécurité (qui a dit SSTIC ? Imaginons toujours que des personnes aient voulu superviser le trafic, et qu’elles l’aient donc enregistré avec leur sniffer préféré. Eh bien, la bonne nouvelle, c’est qu’aujourd’hui elles pourraient déchiffrer tout ce trafic ! Sessions SSH, IMAPS ou POPS, connexions SSL vers des sites web : tout cela est déchiffrable a posteriori, sans demander une puissance de calcul incroyable (n’importe qui peut le faire chez lui). J’ai bien dit que c’était fictif, hein ? Enfin, j’espère… Plus drôle (ou pas), on peut se demander qui s’est rendu compte de cette faiblesse pendant ces deux ans, et qui en a donc profité. Au-delà de ça, il n’est pas rare de trouver des affaiblissements dans les fonctions cryptographiques, que ce soit volontaire ou non. En effet, il est techniquement simple d’introduire des limitations (invisibles) dans toutes les protections cryptographiques, et ce, que ce soit au niveau des algorithmes mathématiques (les fameuses trappes) ou au niveau de leur implémentation. Des exemples ? Hans Bühler, employé de la société suisse Crypto-AG, fut retenu en otage en Iran en 1995. Certains hommes politiques avaient parlé dans les médias, révélant des informations qui permirent au gouvernement iranien de comprendre que les matériels de communication (servant pour les militaires, la diplomatie, etc.) achetés à Crytpo-AG étaient piégés. Ou encore Lotus qui affaiblit volontairement – et le reconnaît ensuite publiquement – un générateur aléatoire dans la version de Notes livrée au gouvernement suédois en 1997. Et il en existe de nombreux autres, voire on déterre des vestiges du passé 1, résultats d’une époque où la cryptographie était considérée comme une arme chez nous… De ces quelques exemples, faut-il conclure que cette pratique est systématique ? Et si d’autres le font, qu’en est-il des entreprises françaises ?

J’en profite au passage pour corriger une erreur que j’ai commise dans un article paru par ailleurs sur ce thème. En parlant de Vista, j’attribue à tort une déclaration à B. Ourghanlian (Chief Security Officer de Microsoft France depuis 2001) stipulant que Microsoft aurait installé, à la demande du gouvernement, une clé de recouvrement. Erreur et imprécision de ma part, toutes mes excuses ! Une telle clé générique n’existe a priori pas, mais cette fonctionnalité est présente pour un annuaire Active Directory configuré pour cela : le séquestre des clés utilisateurs permet alors d’accéder à leurs données chiffrées. Plus généralement, comment prouver qu’un algorithme ne possède pas de trappe. C’est hélas impossible. On se retrouve confronté au paradoxe classique de la sécurité. D’un côté, on aimerait prouver tout un tas de choses pour se rassurer. De l’autre, on en est incapable et on en revient toujours à une question de confiance, et à qui/quoi on l’accorde.

Qu’il s’agisse d’erreurs volontaires ou non, de fonctionnalités, on sent bien que les conséquences sont énormes, et pas uniquement sur le plan technique. Les États sont, quant à eux, confrontés à un choix politique complexe entre protection des citoyens et autorisation d’outils susceptibles de nuire à l’intégrité de nos démocraties. Et si ces trappes étaient leur (bonne) réponse ? Du moins tant qu’elles ne sont pas découvertes par ailleurs : et là, c’est le drame… Bonnes vacances, on se retrouve à la rentrée, avec une surprise. Fred Raynal

1 http://expertmiami.blogspot.com/2008/06/francaises-francais-time-to-bend-over.html

Pour feuilleter le magazine dès maintenant, c’est ici.

Le magazine est disponible chez votre marchand de journaux et sur notre site marchand.

Voir la suite »

Réquisitoire de la haine ordinaire à l’usage des rustres et des malpolis

Français, Françaises ! Belges, Belges ! Mesdames, messieurs les jurés ! Public chéri, mon amour. Bonjour ma colère, salut ma hargne, et mon courroux : coucou !
Récemment, plusieurs personnes m’ont posé la même question : comment on fait MISC ? Et d’abord, d’où ça vient, MISC ? Pour répondre à la seconde, à tout seigneur, tout honneur, ce handicap patronymique a été proposé par le rédacteur en chef de GNU/Linux Magazine, Denis Bodor. Le titre n’est pas évident à porter, mais il ne faut pas se moquer des noms, comme le répète souvent Monsieur Paul, le sympathique proxénète grec. Vous croyez que ça l’amuse qu’on l’appelle le maquereau Paul, à Athènes ?
Pour la première question, que les choses soient dites immédiatement : il s’agit d’un travail d’équipe. D’abord, on élabore le plan du magazine : le thème du dossier, les articles autour, etc. Là, soit une personne me propose une idée, soit ça germe dans mon cerveau. Quoi qu’il en soit, ça tourne régulièrement au flagrant délire, heureusement non passible du tribunal et encore moins de publication.
Je saisis la perche que je m’auto-tends d’ailleurs pour remercier chaleureusement Renaud Bidou pour la réalisation de ce dossier, et tous ses coups de main antérieurs. Croyez-moi, seule la virulence de mon hétérosexualité m’a empêché à ce jour de le demander en mariage. À la place, je l’invite à boire. Le problème, c’est que je lui dois déjà tellement de verres (en fait, ça se compte en fûts), donc, cette fois, il devra se contenter de ma reconnaissance, ce qui ne sera pas plus mal pour sa cirrhose et le trou de la sécu.
La vraie course s’engage alors : tels des chevaux lancés au galop, auteurs et relecteurs échangent des messages pour améliorer les articles autant que possible. Collaboration simple et aisée, pensez-vous ? Nenni, disent les chevaux (car le cheval n’hennit). Ces palabres durent un certain temps. Pour signaler que les articles arrivent à maturation, on utilise un mérou, qui indique que c’est cuit quand ça explose, comme pour le chat Grand-Veneur : quand le chat pète, le mérou bout. Et quand le chat bout, le mérou pète.
Commence alors le travail, que dis-je, le labeur, de la chasse à la faute d’orthographe. Dominique, spécialiste ès lettres, s’arme de patience et d’un dictionnaire à la recherche de la moindre erreur*. Je ne conseille pas plus de compter sur sa clémence que de sauter ma Josiane. Dans un cas comme dans l’autre, vous seriez déçu : sa clémence a ses règles …. et Josiane a des limites.
Tout ceci se passe sous l’œil bienveillant de Véro pour l’organisation, et la main artistique de Kathrin pour la mise en page. La bigamie, c’est quand on a deux femmes, la monotonie, c’est quand on n’en a qu’une, alors autant avouer qu’on ne s’ennuie pas lors de ces derniers réglages avant impression et mise en vente !
Bref, MISC, il y a ceux qui en parlent, et ceux qui le font, à partir de quoi il m’apparaît urgent de me taire.
Vous l’aurez compris, c’est un gros travail d’équipe sur 2-3 mois pour un numéro complet. Et pour réussir en sécurité, le même genre d’association s’avère bien souvent nécessaire. Alors, quand je lis ou j’entends du corporatisme basique, de la ségrégation « universitaires versus industriels » ou du « c’est moi qui l’ai fait en premier », ça m’agace. Oui, l’courroux m’noue, oui, ma voix s’éraille, oui, l’ire m’égare, oui, la colère m’étreint, de 8h47 exactement.
Outre-Atlantique, je vois des recherches académiques sur la rémanence de la mémoire 1. Elles conduisent une entreprise réalisant des tests d’intrusion (Intelguardians) à collaborer ensuite avec l’équipe de Princeton pour une petite étude sur l’impact du boot en mémoire (afin de la détériorer le moins possible), puis à créer une clé USB spécifique réalisant la capture de ladite mémoire… je me dis – sans ironie pour une fois – que c’est encore loin l’Amérique !!!

Bonne lecture,
Fred Raynal

Voir la suite »

Pour feuilleter le magazine dès maintenant, c’est ici.

Le magazine est disponible chez votre marchand de journaux et sur notre site marchand.

Voir la suite »

Souvenez-vous… Pagrec, le paladin, amoureux des langues anciennes (et non pas gigolo) ; Derien, le clerc, et son air de ne pas y toucher ; Metha, le voleur, avec sa ponctualité défaillante ; Canonix, le mage, pas encore bon pour la maison de retraite.

L’an passé, nos héros étaient finalement venus à bout du terrible dragon noir et avaient récupéré le joyau impérial 1. Depuis, tout roule ! Plébiscités par le roi, ils se voient remettre le sceptre de la Justice. Plébiscités par le jury populaire, ils sont devenus la crème des stars. La vie suit son cours, de quêtes en sauvetages du monde, la routine quoi (enfin, Pagrec commence à prendre un peu de bide, à bouffer tout le temps des sandwiches).

Voir la suite »

Le dossier de ce numéro est consacré à la récupération d’information : du forensics à l’e-discovery, ausculter un disque dur n’est pas une mince affaire …

Pour feuilleter le magazine dès maintenant, c’est ici.

Voir la suite »

S’occuper d’une revue n’est pas toujours une sinécure, en particulier en période de Noël : on mange trop et on pense au cadeau envoyé par tata Rodriguez directement depuis le Portugal en paquet Fado (Desproges). Avec ça, essayez d’écrire un édito digne de ce nom, et de prendre un peu de recul sur six années d’existence…

En fait, je traîne dans ce milieu depuis une dizaine d’années, ce qui n’est rien comparé à certains respectables dinosaures. Mais, quand je regarde dans le rétroviseur, je me dis que, finalement, ça ne change pas beaucoup. Si j’étais candidate à l’élection de Miss France, je voudrais la paix dans le monde et de quoi boire et manger pour tous les hommes. Comme je suis cynique et que je travaille dans un monde qui ne l’est pas moins, je dis « tant mieux » : si les choses ne changent pas, ça veut dire que je devrais avoir du boulot pour quelques décennies encore (et accessoirement mes padawans aussi, parfait pour mes cotisations retraite).

Voir la suite »