Spécial sécurité : Exploits made in France / Pentesting gratuit / Twitter
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères s'intéressent à Vupen, un service de vente d'exploits et de PoCs "made in France". Et d'évoquer également le Security Quest de l'Epitech, sorte de "concours de piratage éthique" pour étudiants. Mais CNIS Mag s'attarde aussi sur les bugs affectant Twitter et ses services périphériques.
Sommaire :
- 1 - Vupen : Exploits « made in France » à vendre
- 2 - Security Quest d’Epitech : Pentesting gratuit
- 3 - En anglais, Twitter veut dire « cuit, cuit, cuit »
1 - Vupen : Exploits « made in France » à vendre
On en parlait depuis plusieurs mois déjà : depuis début juillet, Vupen ouvre officiellement son service de vente d’exploits et PoCs. Ces outils de tests de pénétration sont à destination des entreprises, des sociétés de services en sécurité spécialisées dans le pentesting et éditeurs de logiciels de protection. L’offre se place plus ou moins en concurrence de Core Impact ou de Canvas, mais, précise son fondateur Chaouki Bekrar, « Nous nous distinguons des autres de bien des manières. A commencer par le fait que chacune de nos publications sont documentées, avec binaire et source, le tout accompagné d’une documentation donnant des conseils d’utilisation et une liste précise des conditions de fonctionnement, et surtout d’une indication précise de l’exploitabilité de la faille visée. En outre, nous nous attachons à survoler l’ensemble du parc logiciel. Les applications clientes, notamment, qui constituent le « gros » des vulnérabilités ciblées par les malwares, mais également les serveurs, tels que Windows, Websphere… Et tout çà dans des éditions Françaises et Européennes, ce que n’assurent pas nos concurrents »
A l’heure H du lancement du service, Vupen possède déjà une collection de près de 150 codes, stock qui s’enrichit d’une vingtaine d’exploits par mois en moyenne. L’accès au service est ouvert sur la base d’un abonnement annuel, commercialisé aux environs de 20 000 euros pour les entreprises et sociétés de sécurité, et de 50 000 euros pour les éditeurs de sécurité. La différence de prix s’explique par différence de « profondeur d’information » fournie avec chaque PoC. Dans le premier cas, la documentation s’attache à expliquer la dangerosité de l’attaque potentielle, doublée du binaire de l’exploit, de son source commenté, le tout accompagné de quelques conseils d’utilisation. Il est évident que l’usage de ces outils nécessite une compétence certaine et d’une solide expérience dans le domaine du test d’intrusion offensif.
La version éditeur bénéficie en plus d’une analyse binaire complète du PoC, des causes de vulnérabilité et des méthodes de détection envisageables. L’on se trouve donc là en présence d’une aide à la conception d’outils de détection.
Security Quest d’Epitech : Pentesting gratuit
Une fois par an, l’Epitech organise une sorte de « concours de piratage éthique » qui consiste à lâcher de petites équipes d’étudiants de quatrième année à la recherche de certificats cachés au fin fond des ressources d’un réseau. Car, affirment les chargés de cours de cette école, c’est en piratant que l’on parvient à comprendre les méthodes de pirates. En termes plus châtiés, les spécialistes de la sécurité diraient « c’est en effectuant des campagnes de pentesting à périodes régulières que l’on est à même d’évaluer le niveau de solidité des défenses périmétriques et internes de l’entreprise »… langue de bois ou franc-parler, le résultat et les méthodes sont les mêmes.
Mais plus intéressant encore que cette expérience formatrice, c’est que n’importe quelle entreprise peut, dans le cadre d’un contrat très précis, participer à cette expérience et ainsi bénéficier d’un audit quasi gratuit et effectué dans les règles de l’art. Parallèlement à ce concours, l’école propose aux participants d’analyser les activités de leurs filtres antiviraux afin de les aider à ajuster leurs politiques de sécurité. Les bénéficiaires réalisent une économie non négligeable, les « attaquants », quant à eux, apprennent à travailler dans des conditions réelles qui dépassent, et de très loin, le cadre restreint d’un « T.P. ».
Toute entreprise intéressée par cette offre peut contacter Arnaud Maillard. Les détails et explications relatives à cette campagne de « hacking éthique » sont disponibles sur le site de l’Epitech.
3 - En anglais, Twitter veut dire « cuit, cuit, cuit »
Il y a les véritables bugs qui affectent Twitter et ses services périphériques, il y a les remarques fort désobligeantes de Matthieu Suiche qui ose laisser entendre qu’un mot de passe de 4 lettres ou chiffres ne serait pas suffisant pour protéger un accès (ce qui rappelle étrangement certains propos sur la sécurité de Bluetooth), et il y a Aviv Raff, encore plus désagréable, qui vient d’ouvrir, comme promis, son « mois du bug Twitter », MoTB avec un XSS très simple visant le service bit.ly. (Corrigé après un mois et demi d’efforts de la part des concepteurs). Juillet sera chaud dans le Web deuxzéro.
Toujours dans le petit musée des horreurs « gazouillées » -puisque le mot Twitter évoque la douceur d’un chant d’oiseau- signalons ce petit développement découvert sur le forum Open Framework. Il s’agit d’un outil de capture de frappe clavier (keylogger) capable d’expédier sur Twitter les séquences interceptées. Grâce au Web 2.0, le carding vient de franchir un pas de géant.