Spécial sécurité : Portrait robot / Recettes / Références
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères reviennent sur une conférence organisée par le Clusif autour de la menace informatique interne. Ils se penchent aussi sur un hacking en règle qui commence... sur YouTube. Et de pointer sur les minutes des dernières SSTIC de Rennes.
Sommaire :
- Clusif : dans la tête d’un fraudeur numérique
- Recettes et ingrédients pour conduire un hacking en règle
1 - Clusif : dans la tête d’un fraudeur numérique
Le 4 juin dernier, le Clusif organisait à Paris une conférence intitulée Fraude et malveillance interne : détection et gestion. Une conférence dont l’intégralité a été filmée et dont les séquences sont disponibles gratuitement sur le site de l’association. Aux propos introductifs de Pascal Lointier, du Clusif, suit l’exposé de Francis Hounnongandji, Président de l'ACFE France (Association of Certified Fraud Examiners). Un regard très distancié, très critique, sur la fraude interne, ses mécanismes, sa réelle évaluation, tant en pertes d’image qu’en déboires financiers. Regard décalé également, que celui d’Estelle Dossin, Psychologue clinicienne au Ministère de l'Intérieur. Elle tente ici d’expliquer les facteurs qui poussent un fraudeur –et plus spécifiquement un cyber-fraudeur- à passer du côté obscur de la force. De l’héritage éducatif aux facteurs sociaux, de la banalisation de l’acte virtualisé à une certaine forme de complaisance élitiste de la part des policiers qui les inculpent, le tableau psychologique du black-hat est brossé avec des mots, avec une perspective française. On avait jusqu’à présent l’habitude que de telles études soient essentiellement publiées par des universitaires américains. Surprises encore, avec la vision purement juridique de l’avocate Me Blandine Poidevin, qui explique par le menu la conduite à tenir en cas de constatation de fraude au sein d’une entreprise. L’on pourrait croire le sujet rebattu et les conduites à tenir parfaitement précises… Et pourtant, Maître Poidevin nous fait découvrir des aspects techniques surprenants lorsqu’il s’agit d’aborder les questions de recevabilité des preuves et de validité des constats d’huissier. Des règles qui vont, pour certaines, à l’encontre des pratiques d’un enquêteur technique.
2 - Recettes et ingrédients pour conduire un hacking en règle
Tout commence par une chanson, postée sur Youtube, et intitulée « 50 ways to inject SQL ». Paroles de Paco Hope, musique de Paul Simon, exploits d’un peu tout le monde, idée originale, faut-il le rappeler, de Monsieur Fred Cohen, inventeur du mot « virus » et père de la toute première série des « 50 Ways to… » consacrée au hacking. Si la voix n’est pas aussi précise que celle de Simon, les paroles valent le détour Try a quick hack, Jack
Add a new row, Joe
Try an insert, Kurt
Change their SQL query
Moins chantonnant, plus hard-rock, l’annonce saluée par tous de la dernière édition de l’analyseur de protocole Wireshark 1.2, le successeur d’EtherReal. Support de Windows 64 bits, de Mac OS/X, des recherches de localisation GeoIP sur la cartographie OpenStreetMap… toujours gratuit, toujours téléchargeable, source et documentation y compris, sur le site de l’équipe.
Largo ma non troppo sur le blog Ha.ckers qui nous parle de Slowloris, une œuvre –une preuve de faisabilité- signée RSnake et qui sert à conduire des attaques en déni de service contre des serveurs Web. L’idée originelle n’est pas nouvelle, ce qui ne signifie pas que l’attaque est inefficace. Loin de là. Le principe de Slowloris est de maintenir ouverte une session http le plus longtemps possible. En général, les sessions sont de très courtes durées, http n’étant pas un protocole orienté connexion. Il est donc nécessaire d’envoyer contre le serveur, lors d’une attaque en déni de service classique, des millions de requêtes depuis une armée de zombies. Avec Slowloris, les sessions s’accumulent jusqu’à ce qu’asphyxie s’en suive, avec très peu de connexions, rendant inutile un gros réseau de Bot. Chi va sano va lontano.
3 - SSTIC, des minutes à piller
Des heures de conférences, des mégaoctets de savoir sont à télécharger, pour et par tous ceux qui n’ont pu avoir la chance de participer aux dernières Sstic de Rennes. Le fil rouge est à suivre sur le blog de Cédric Blancher. Certaines des interventions sont d’un niveau technique impressionnant –le papier de Loic Duflot par exemple-, d’autres, tel que celle de Marie Barel ou de Nicolas Ruff, sont abordables par des humains normalement constitués. Il y a là au moins deux à trois bonnes semaines de lecture.
Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)
-
Concur resserre son étau autour des fraudeurs aux notes de frais
-
Lutte antifraude : Rakuten France préfère son moteur de règles au machine learning
-
Arkose Labs joue l’apprentissage automatique contre le trafic Web frauduleux
-
Le hacking d'une brosse à dent connectée souligne la vulnérabilité de l'IoT