Spécial sécurité : Les "conf" sécurité françaises, collection été

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, nous distribuent le programme des trois événements sécurité à ne pas rater : Hackito Ergo Sum, les Sstic et Hack in Paris. Trois manifestations où se rencontreront les membres de la communauté internationales des experts en sécurité sur le sol français. Nos confrères reviennent enfin sur le dernier Patch Tuesday de Microsoft. Une fournée de rustine au sein de laquelle la double vulnérabilité du protocole RDP attire notre attention.

Sommaire
1 - Les "conf" sécurité Françaises, collection été
2 - Les "conf" sécurité Françaises collection été (bis)
3 - Les "conf" sécurité Françaises collection Printemps (ter)
4 - Patch Tuesday : beau comme un mois pair

1 - Les "conf" sécurité Françaises, collection été
Cas de conscience et dilemme cornélien au sein de la rédaction de Cnis-mag : devait-on ou non rédiger un article pour chaque conférence sécurité sous prétexte qu’elles se déroulent en France ? Simultanément, Hackito Ergo Sum, les vénérables Sstic, le gigantesque Hack in Paris multiplient leurs communiqués. La France Sécu bouge et montre à quel point cette profession est vivante.

Honneur aux Anciens, avec les Sstic, la plus ancienne réunion de spécialistes du genre, traditionnellement placée sous les hospices de l’armée en général (bien qu’il y ait plus de colonels et de commandants présents que bâtons étoilés) et du corps des transmissions en particulier. Le programme de cette année vient d’être publié, occasion de rappeler que la manifestation rennaise se déroulera du 6 au 8 juin prochain… rappel de pure forme puisque les Sstic se jouent toujours quasiment à guichet fermé, les réservations se bouclant généralement en moins de 24 heures plusieurs mois à l’avance. C’est dire l’estime, voir le culte que vouent les spécialistes du métier envers cette grand-messe. Cette année, la provenance des « communicants » a tendance à se restreindre, une grande part des travaux portant la marque de l’Anssi. News0ft, sur son blog, fait remarquer que ces amours Anssilaires tirent un peu trop la couverture médiatique à eux. On ne peut totalement lui donner tort. Les Sstic sont la vitrine de la recherche française, et ladite recherche tend à se concentrer un peu trop autour d’un pôle qui semble aimer autant l’information que les renseignements.

2 - Les "conf" sécurité Françaises collection été (bis)
Programme également du côté de Hack in Paris. Les différences avec les Sstic sont nombreuses. ( NdlC Note de la correctrice : déjà, on peut y aller en métro, et les journalistes ne payent pas leur droit d’entrée). Les conférences sont toutes effectuées en langue anglaise, tablant sur un public et des orateurs en provenance de l’Europe entière. Ce qui ne veut pas dire que les chercheurs français soient exclus. Notons au passage une cession sur les attaques XML par Nicob. De grands noms y apparaissent : Winn Schwartau, Mikko Hypponen… Les sujets sont un peu plus orientés « préoccupations quotidiennes concernant monsieur toutlemonde » et un peu moins « reverse d’un jeu de composants utilisé aux USA ». L’on préfère également parler de hack Android, d’audit de sécurité IPv6 (si si, on y viendra un jour), de Scada car c’est à la mode, de Windows 7, Windows 8 (déjà !), Poscript… c’est moins glamour qu’un root de serveur BSD sécurisé mais « ça fait sens » pour l’homme du XXème siècle. Rappelons que Hack in Paris se déroulera du 18 au 22 juin, quelques jours après les Sstic.

3 - Les "conf" sécurité Françaises collection Printemps (ter)
Achevons avec le programme de Hackito Ergo Sum, la plus proche dans le temps des trois manifestations. Elle se tiendra du 12 au 14 avril et sera elle aussi entièrement animée en langue anglaise ( ndlc Note de la correctrice : et toujours gratuite pour les journalistes… c’est un métier pratique et économique). Elle aussi internationale, puisque l’on y rencontrera très certainement des Georg Wicherski, Fyodor Yarochkin (Veracode), Mikael Lindstrom (EUROPOL), Marc Van Hauser (THC, faut-il le présenter), Rodrigo Branco un habitué de HES, Mohamed Saher (Egypte), Daniel Mende et Enno Rey (ERNW), Cesar Cerrudo en chair et en os... le niveau des intervenants s’approche de celui d’un HITB ou d’un CanSecWest. Côté Français, seront présents Ivan Fontarensky et Jean-Michel Picod (Cassidian), Philippe Langlois (P1 Security), Matthieu Suiche (MoonSols), Jonathan Brossard (Toucan), ou encore Renaud Lifchitz, un autre pilier de HES (B.T.), sans oublier les équipes de Vupen, nos professionnels nationaux de l’Exploit, qui viennent d’ailleurs de remporter ces jours-ci le P0wn20wn en faisant un sort à Google Chrome en un temps record.

Nous reviendrons très bientôt sur l’organisation de Hackito, la seule manifestation de « hacking sécurité » se déroulant dans Paris intra-muros. Car il y en aura, des choses à raconter sur les thèmes et les fils conducteurs de ces séries de conférences, sur les « after » parfois aussi instructifs que les présentations, ainsi que sur les inévitables « rump », les inévitables concours de keylock picking et autres évènements moins convenus. Rappelons que cette conférence aura lieu dans la prestigieuse salle des congrès du Parti Communiste Français, Espace Niemeyer, place du Colonel Fabien.

4- Patch Tuesday : beau comme un mois pair
Il aurait presque fait bailler d’ennui, ce mardi des rustines chez Microsoft, avec seulement 6 correctifs et 7 CVE et pas même un cumulatif Internet Explorer. Mais fort heureusement, dans le lot, se trouve un double trou affectant RDP, le protocole « Remote Desktop », celui-là même utilisé par Terminal Server et par l’outil de prise de contrôle administrative de Windows et de toute la famille Serveur de Microsoft. Une faille sans exploit connu, exploitable via le réseau local, voir depuis Internet via le port 3389 si la machine doit être télé-opérée pour des opérations de maintenance via Wan.

De l’avis même de tous les sp écialistes, à commencer par le Sans, la probabilité d’exploitation dans les 30 jours à venir est quasi certaine. Ce qui vaut au trou MS12-020 une étiquette rouge et un « Patch Now ! » péremptoire. Il faut dire qu’il y a des raisons. La faille CVE-2012-0002 permettrait de contourner, en « ring 0 », les mécanismes d’authentification d’ouverture de session. Une fois dans la place, tout exploit « remote » devient quasi-local grâce à la magie de la redirection écran-clavier. Notons au passage que la console RDP est également utilisée pour accéder à des machines virtuelles sous hyper-V, mais personne n’a mentionné l’exploitabilité d’une telle configuration.

Comme à l’accoutumé, les correctifs sont décrits en détail sur le blog du MSRC.

Chez Apple, en revanche, la mise à jour de Safari de ce mois de mars constitue l’un des plus beaux « correctifs cumulatifs » de l’histoire de l’informatique. Même au meilleur de sa forme, Microsoft n’a, de mémoire de folliculaire de la sécurité, jamais égalé une telle performance : 83 CVE d’un coup, la majorité d’entre eux (72) concernant Webkit.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)