Les textes de la plupart des interventions sont sur le site de l’OSSIR : http://www.ossir.org/jssi/jssi2012/index.shtml.
L’OSSIR est une association « loi de 1901 » qui, outre la JSSI, organise une réunion mensuelle consacrée aux questions de sécurité, d’accès libre et gratuit
Le rôle de la prestation de services en sécurité
Philippe Bernard, RSSI de MBDA, second constructeur mondial de missiles, abordait en fait sous ce titre les problèmes posés par l’intervention d’auditeurs de sécurité extérieurs au sein d’une entreprise dont les activités sont particulièrement sensibles du point de vue de la confidentialité.
On peut distinguer trois types d’objectifs pour un audit de sécurité : analyse des processus, contrôle technique, documentation. Il s’agit de faire un point, un bilan, de vérifier l’évolution du SI et de s’en servir comme argument pour justifier des investissements dans tel ou tel projet afin de le sécuriser.
Le choix se fait souvent sur des critères de réputation de la société, voir sur la réputation d’un individu particulier, et parfois les écarts entre les auditeurs d’une même société peuvent être importants : qualité de contact, compétences, implication... La qualité des contacts entre auditeurs et audités est un facteur essentiel de succès ou d’échec.
Les liens de dépendance de la société candidate avec un pays étranger ou avec une société concurrente sont bien sûr à prendre en considération.
La définition de la cible et la détermination de la méthodologie sont importantes.
Pendant l’audit, il faut obtenir l’acceptation des équipes qui sont auditées, et rester à l’écoute des besoins de l’auditeur.
Protection du site Charlie Hebdo par le logiciel NAXSI
Le résumé de la communication est ici : http://www.n0secure.org/2012/03/jssi-2012-protection-du-site-charlie.html
L’hebdomadaire Charlie Hebdo a fait appel à la société NBS pour héberger et protéger son site Web après une série d’attaques consécutives à des articles sur des sujets polémiques, des caricatures qui visaient des adeptes de la religion musulmane. (Je tiens à préciser que si l’agression contre Charlie Hebdo est odieuse, la publication des caricatures en question était à mes yeux inopportune, à tout le moins. Dans son dernier livre Les ennemis intimes de la démocratie, le philosophe Tzvetan Todorov explique que publier des caricatures qui ridiculisent les puissants au pouvoir ou des caricatures qui ridiculisent une minorité en butte au racisme, ce n’est pas la même chose, et cela n’a pas la même valeur morale. Les premières sont une conquête de la liberté d’expression, les secondes consistent à hurler avec les loups.)
La plupart des systèmes de protection d’applications WEB (Web Application Firewall, WAF) sont en fait des antivirus, qui détectent les accès malveillants par comparaison avec des bases de données de signatures. Un des plus connus est mod_security, un module qui s’intègre à un serveur Apache.
Ces systèmes ont des inconvénients : les bases de signatures sont volumineuses, leur consultation ralentit et alourdit le fonctionnement du site ; en outre, par définition ils ne détectent que des malveillances déjà identifiées.
NAXSI est un WAF innovant sous licence libre, qui repose sur des principes différents et une démarche inductive positive : au lieu d’administrer une liste noire, la configuration de NAXSI passe par une phase d’apprentissage au cours de laquelle le système construit une « liste blanche » d’accès légitimes. NAXSI se base sur des profils d’accès caractéristique des primitives de l’attaque, et sur un sytème de scores. NAXSI fonctionne en coopération avec le logiciel serveur Nginx.
NAXSI se contente de 42 (sic) règles dont les principales correspondent aux attaques classiques : injection SQL, Cross-site scripting (XSS), chargement illégal de fichier, Remote/Local File Inclusion (RFI/LFI), etc.
La mise en place sur le site de Charlie Hebdo s’est faite en une journée.
Aspects juridiques des tests d’intrusion
Frédéric Connes est juriste au sein du cabinet HSC. L’ignorance de ce sujet peut conduire aux pires ennuis.
Qu’a-t-on le droit de faire dans le cadre d’un audit ? Limites légales, hébergement de l’application par un tiers, non respect du périmètre, constatation d’infraction, secret professionnel, etc.
Les termes pour désigner un SI dans un contexte juridique sont : Système de traitement automatisé de données. S’y introduire de façon non autorisée tombe sous le coup de la loi 323-1. Il convient donc, pour éviter cette embûche, de s’assurer de l’accord écrit du propriétaire du SI, revêtu d’une signature vraiment autorisée, et de mentionner les détails de l’intervention dans un contrat en bonne et due forme. L’ANSSI a produit un référentiel sur le sujet.
Les questions de protection de la vie privée doivent faire l’objet d’une attention particulière. Si l’audit amène la découverte d’infractions, il faut savoir que si la dénonciation de crimes est une obligation légale, celle de délits ne l’est pas, sauf dans le cas de fonctionnaires dans l’exercice de leurs fonctions.
Les injections No-SQL
Les bases de données No-SQL, telles mongoDB, CouchDB, SimpleDB, se répandent rapidement, notamment pour administrer de façon répartie de grands volumes de données peu structurées. Parmi les applications qui reposent sur de telles architectures, on peut citer YouTube, Twitter, Facebook, Amazon, Wikipédia...
Le moteur NoSQL utilise un langage de requêtes, qui comme SQL peut faire l’objet d’une injection. L’auteur (Nicolas Viot) nous présente quelques démonstrations, en PHP ou en JavaScript.
Sans surprise, la première mesure de protection et la plus efficace consiste à contrôler le format des données introduites par l’utilisateur.
XML et sécurité
Cet exposé de Nicolas Grégoire fut peut-être le plus stimulant de la journée. En effet, pour l’observateur peu averti, XML semble un objet bien innofensif, du même ordre que HTML : ce langage n’est même pas Turing-équivalent, c’est tout dire ! Eh bien personne ne pouvait plus penser ainsi à l’issue de l’exposé. XML offre des possibilités bien plus grandes que celles de HTML, ainsi il permet d’intégrer un namespace PHP pour appeler directement des fonctions PHP. En outre il embarque XSL, qui est lui un langage Turing-équivalent.
Par exemple, XML Data Package (XDP) est un format Adobe, qui peut contenir du PDF et du XFA ; du PDF peut embarquer du XDP ; on a donc un effet poupées russes qui offre une solution de camouflage très puissante.
L’auteur nous donna quelques démonstrations spectaculaires de ce qui était possible en termes de déni de service et d’intrusion avec XML et ses cousins XSL et XDP.
Forensics Windows
Le but d’une autopsie est d’identifier le scénario d’intrusion et de comprendre les actions de l’attaquant sur le système. Les sources d’investigations sont l’état instantané du système, la base de registres, le système de fichiers, les journaux d’audit, etc.
Comme les outils disponibles pour l’autopsie étaient rares, imparfaits et d’usage malcommode, Nicolas Hanteville et l’équipe de Devoteam se sont lancés dans l’écriture d’une boîte à outils pour ce faire.
Conclusion
Ce type de conférence est un peu à la cyberstratégie ce que pourrait être le salon du Bourget à la stratégie aérienne : avoir une idée de ce que l’on peut faire avec les derniers modèles d’avions et de drones est assez indispensable pour ne pas se trouver gravement pris au dépourvu.