La première étape de la compétition de hacking éthique à travers l’Europe et l’Afrique aura lieu le 26 avril 2014 en Belgique. L’association Française à but non lucratif ACISSI annonce la sixième édition de son challenge. Devenu international depuis 2013, le Hacknowlewdge-Contest adopte un nouveau format puisqu’il s’étendra sur deux années afin de permettre la participation d’un maximum de pays. La première étape se déroulera le 26 avril au WEX (Wallonine Expo à Marche-en-Famenne), en partenariat avec la Haute école de Namur-Liège-Luxembourg.
Les organisateurs issus des secteurs académique et professionnel ont pour objectif de valoriser les compétences européennes et africaines dans le domaine du hacking. Tout en permettant de révéler de nouveaux talents, ils souhaitent ainsi promouvoir le hacking éthique et défier les meilleurs hackers avec une approche ludique et préventive de la sécurité informatique.
Chaque compétition s’étend sur douze heures non-stop, tenant en haleine des équipes de passionnées allant de deux à six challengers (cryptographes, ingénieurs en télécommunication, autodidactes, chercheurs en sécurité informatique, étudiants et développeurs).
Au programme, plus de soixante dix épreuves illustrées par des techniques multiples (forensic, hardware, réseau filaire, wifi, web, applicatif, systèmes industriels…) auxquelles plus d’un millier de participants fera face. Les attaquants devront ainsi pénétrer leurs cibles et y récupérer des codes de validation. Autant de trophées et de preuves d’intrusion dans les systèmes informatiques, dont les résultats s’afficheront en temps réel.
Les challenges auront lieu sur les continents Europe et Afrique jusqu’en 2015. Chaque équipe qualifiée recevra une bourse pour représenter son pays lors de la compétition finale qui se déroulera en France. Le Hacknowledge-Contest 2014-2015 récompensera les lauréats d’un séjour à Las Vegas, où ils participeront à la mythique conférence DEFCON, qui rassemble chaque année l’élite du hacking planétaire.
Franck Ebel, Responsable de la licence professionnelle de Ethical Hacking, CDAISI, et co-organisateur du concours, déclare : « Cyberguerre, cybercriminalité, cybersécurité ou cyberdéfense sont devenus des mots à la mode avec des définitions parfois différentes suivant ceux qui les portent. La réalité est que les Etats, les infrastructures industrielles, les ministères, sont attaqués et peu importe la définition des cybermots les conséquences peuvent être désastreuses. Ils nous faut donc des techniciens compétents pour répondre à ce contexte, les meilleurs si possible. La découverte de ces derniers passe par une compétition, une mise à l’épreuve à travers un concours inter continents, l’Europe et l’Afrique. Le hacknowledge-Contest est né. Les meilleurs seront présents mais seuls les élites vaincront. »
L’ensemble des compétitions sera suivi par ZATAZ, dont Damien Bancal, le rédacteur en chef, est partenaire du concours depuis la première heure. Des reportages seront proposés via ZATAZ Web TV http://zatazweb.tv/ dédiée à l’actualité décalée du multimédia et de la sécurité.
L’agenda des compétitions est actuellement en cours de construction, il sera communiqué ultérieurement.
ACISSI (Audit, Conseil, Installation et Sécurisation des Systèmes Informatiques) est une association loi 1901. Ses fondateurs sont trois membres de l’Université de Valenciennes et du Hainaut Cambrésis, Franck Ebel, Responsable de la licence professionnelle Ethical Hacking « CDAISI », Jérôme Hennecart, Responsable de la formation continue en DUT Mesures Physiques, et Robert Crocfer, administrateur réseau et responsable administratif de l’antenne de Maubeuge. Les autres membres techniques de l’association sont des professionnels et experts en sécurité informatique reconnus. L’association a pour principal objectif de sensibiliser et former à la sécurité informatique l’ensemble des publics ayant un contact de près ou de loin avec les systèmes d’informations.
Les zones d’accès sans fil gratuites sont omniprésentes et fournissent des points de connexion pratiques pour les personnes en déplacement. Malheureusement, elles ne fournissent pas la sécurité nécessaire pour une connexion sans danger. Les pirates informatiques peuvent facilement accéder aux données personnelles des utilisateurs connectés à ces réseaux non protégés et les dérober. AVAST a résolu ce problème avec le VPN avast! SecureLine pour les smartphones et les tablettes Android. La version de SecureLine pour iPhone et iPad a également été mise à jour. En chiffrant les données utilisateur, SecureLine se comporte comme un tunnel, formant ainsi un bouclier virtuel qui rend les activités de l’utilisateur invisibles au monde extérieur. Les utilisateurs du VPN avast! SecureLine peuvent naviguer sur le web de façon complètement anonyme, se protégeant ainsi des pirates informatiques et des espions.
Selon une étude effectuée auprès de plus de 340,000 répondants, près de la moitié des possesseurs de smartphones du monde entier se connectent à un Wi-Fi ouvert chaque mois, 52 % d’entre eux le faisant tous les jours ou toutes les semaines. Que ce soit dans un aéroport, un café ou un parc local, le Wi-Fi non sécurisé permet aux utilisateurs d’accéder à Internet sans entrer de mot de passe. Environ un tiers de ces utilisateurs effectuent des transactions sensibles sur un Wi-Fi public, comme des achats en lignes, des transactions bancaires et d’autres activités qui nécessitent la saisie de mots de passe et de données personnelles. « Les pirates informatiques ciblent les zones d’accès sans fil publiques, où il est facile de suivre chaque mouvement des utilisateurs de connexion Wi-Fi. Les pirates ont ainsi accès aux e-mails, mots de passe, documents et comportement de navigation. » a déclaré Vincent Steckler, président-directeur général d’AVAST Software. « Le Wi-Fi ouvert ne va pas disparaître, nous devons simplement faire en sorte qu’il y ait une façon plus sécurisée de s’y connecter. C’est pourquoi nous proposons le VPN SecureLine pour PC, iPad, iPhone et les appareils Android. »
En plus de protéger les utilisateurs lorsqu’ils utilisent un Wi-Fi non sécurisé, le VPN avast! SecureLine donne aux utilisateurs la possibilité de changer de lieu lorsqu’ils surfent. Cette fonctionnalité est particulièrement utile pour les voyageurs fréquents, qui doivent contourner les restrictions régionales pour accéder aux contenus : le VPN avast! SecureLine permet aux voyageurs de se connecter avec des serveurs de leur pays d’origine pour accéder aux services auxquels ils sont abonnés.
Fonctionnement du VPN
Une fois le VPN avast! SecureLine installé sur un smartphone ou une tablette, il avertit automatiquement les utilisateurs des dangers d’un Wi-Fi non sécurisé. L’utilisateur a alors la possibilité de se connecter au VPN sécurisé d’AVAST. Le VPN peut être activé volontairement par l’utilisateur, ou être configuré pour établir une connexion chiffrée sécurisée à chaque connexion de l’appareil mobile à un Wi-Fi ouvert. Par défaut, l’application sélectionnera automatiquement le serveur le plus proche pour fournir un niveau de performance optimal. L’utilisateur peut également choisir de changer le lieu virtuel à partir duquel il souhaite accéder à Internet, par exemple New York, Seattle, Singapour ou Londres. Lorsque le VPN est activé, toutes les activités de l’utilisateur effectuées sur Internet sont rendues anonymes et protégées des pirates informatiques.
« Malheureusement, le piratage n’est pas un processus compliqué : il y a des outils disponibles en ligne que n’importe qui peut utiliser facilement pour voler des données personnelles. », déclare Ondrej Vlcek, directeur technique d’AVAST. « Nous avons créé le VPN avast! SecureLine pour permettre aux utilisateurs de naviguer de façon anonyme et en toute sécurité sur le web, particulièrement lorsqu’ils utilisent un Wi-Fi ouvert. » Petit bémol cependant, l’application consomme énormément de batterie et se permet d’utiliser votre compte Google Play (l’email qui est utilisé pour se connecter, ndr) pour vous envoyer un courriel commercial.
Ce VPN est disponible sous la forme d’un abonnement mensuel pour 2,59 € par mois ou d’un abonnement annuel de 19,99 € par mois pour Android sur Google Play ; de 2,69 € par mois ou 17,99 € par an pour iOS dans l’Apple App Store. A noter qu’il existe d’autres solutions, comme VyprVPN. Si Avast propose 11 VPN (6 américains, 1 britannique, 1 allemand, 1 Pays-bas, 1 à singapoure et un à Prague), VyprVPn propose des VPN dans plus d’une quarantaine de pays.
La chaîne de magasins Michaels alerte ses clients sur une potentielle fuite de données à la suite d’un piratage. Les américains, il y a déjà plusieurs années, ont réfléchit à une loi obligeant les entreprises à alerter leurs clients d’une perte ou d’un piratage informatique ayant donné lieu à une fuite de données. Après Target, ZATAZ.COM vous en révélait le piratage début décembre de 70 millions de comptes clients, ou encore le spécialiste du luxe Neiman Marcus, voici le tour de la chaîne de magasins Michaels. Cette marque propose des produits pour les loisirs créatifs.
La direction vient d’annoncer qu’elle avait très certainement été visitée par un vilain pirate informatique. C’est, ici aussi, le système de paiement par carte bancaire qui a été visé. Les services secrets enquêtent. « Nous craignons que le système de protection des données de Michaels ait été attaqué, de telle manière que cela pourrait concerner les informations relatives aux cartes bancaires de nos clients, et nous avons entrepris une action énergique pour déterminer la nature et l’ampleur du problème« , déclare le directeur général de la chaîne, Chuck Rubin, dans un communiqué de presse.
Voici la quatrième partie (Troisième sur zataz.com) des réponses concernant les épreuves du challenge Forensic proposé par les étudiants de la licence CDAISI lors du Forum International de la Cybersécurité 2014. Les 21 et 22 janvier derniers, la ville de Lille a reçu le 6ème Forum de la CyberSécurité. Pour la première fois, un Challenge « forensic » a été proposé. Le mardi 21, les étudiants de la licence CDAISI (Collaborateur pour la Défense et l’Anti-intrusion des Systèmes Informatiques) de l’Université de Valencienne (Antenne de Maubeuge) ont proposé une vingtaine d’épreuves. Étant l’animateur de ce rendez-vous, et que vous avez été très nombreux (et le mot est un doux euphémisme, Ndr) à demander les réponses aux épreuves, voici la seconde partie du Challenge Forensic FIC 2014.
Le challenge FIC a eu pour objectifs, en distinguant quelques profils prometteurs, d’encourager et de valoriser chaque année, les métiers liés au forensic et à la lutte informatique défensive. Vous allez comprendre pourquoi des étudiants, mais aussi des professionnels de chez Google, Thalès, … sont venus tâter du bit à la sauce ethical hacking [Voir]. Les nouvelles épreuves que nous vous présentons ici sont signées par Kévin B., Tony S. et Saïd M. Ils étaient encadrés par Thibaut Salut. Retrouvez la première partie des réponses au challenge forensic FIC 2014 de la CDAISI ici et là. Pour rappel, ces épreuves consistaient à la recherche d’un mot de passe dans un ou plusieurs fichiers, dans des programmes compilé, ou encore en déchiffrant des messages codés. Le but était de valider le maximum d’épreuves et ainsi engranger un maximum de points. Les épreuves étaient classées par niveau. Chaque épreuve, selon sa difficulté, pouvait rapporter plus ou moins de points.
Cette épreuve avait pour but de reconnaître des Hash MD5. En effet le fichier avait chaque lettre d’un mot hashé en MD5. Chaque hash placés les uns à la suite des autres. Nous avions donc ici 13 hash MD5. Les participants devaient découper cette chaîne de caractères, toutes les 32 caractères (longueur d’un hash MD5, Ndr) et à l’aide d’un dictionnaire de reverse MD5 trouver la lettre qui correspondait à chaque hash.
o = d95679752134a2d9eb61dbd7b91c4bcc
r = 4b43b0aee35624cd95b910189b3dc231
n = 7b8b965ad4bca0e41ab51de7b31363a1
i = 865c0c0b4ab0e063e5caa3387c1a8741
t = e358efa489f58062f10dd7316b65649e
h = 2510c39011c5be704182423e3a695e91
o = d95679752134a2d9eb61dbd7b91c4bcc
r = 4b43b0aee35624cd95b910189b3dc231
y = 415290769594460e2e485922904f345d
n = 7b8b965ad4bca0e41ab51de7b31363a1
q = 7694f4a66316e53c8cdd9d9954bd611d
u = 7b774effe4a349c6dd82ad4f4f21d34c
e = e1671797c52e15f763380b45e841ec32
La réponse finale était : ornithorynque.
Épreuve : Decode Me
Inspirée par Gilbert Vernam, le but de cette épreuve était de déchiffrer le masque ayant servit à chiffrer le message codé. Le principe de Gilbert Vernam est le suivant :
– Le masque doit être de la même taille que le message à chiffrer.
– Le masque ne doit jamais être ré-utilisé.
– Le masque doit être réellement aléatoire.
Cependant, pour cette épreuve, les organisateurs ont créé le masque, d’où le fait que cette épreuve est uniquement “inspirée “ de Vernam. Le message Codé était : HWYKSLK UEGWJSGU ZYMREE 3 TXEAA 1890 – 7 NVFVXEXG 1960 HBW RG VX&K OEXD PLPF WBTXEMRT EWS TR 1917 UNNUHXHR IG EWUMWMGE BSXCTLXSLFUNMN WFVWSM MROMW FEH WEFEJ SI MAZHBBXM AZ ACLSFRXVH IGM-EQEI AEP CAFBIU JMKRTD TISTZDIP E GXLPTRBBBVV RWJYGV BG ALXTL U KVRJCGHGFQ XEWEIISQ CHC CEBX HU DDTHV VHXJ NJ GAQOBRXF GATVCNXJE FQ VWAJANXEK KQKL ELQ DEDMCTWPX PIUWCNE EZ TEUHYUX ZPP DMGAZV KRXF. Le challenger devait utiliser les chiffres qui n’étaient pas “chiffrés“ pour pouvoir en déduire la page originelle se trouvant sur internet. La première difficulté était d’essayer ces dates, avec mois, en anglais.
Message d’origine : Gilbert Sandford Vernam 3 April 1890 – 7 February 1960 was an AT&T Bell Labs engineer who in 1917 invented an additive polyalphabetic stream cipher and later co invented an automated onetime pad cipher Vernam proposed a teleprinter cipher in which a previously prepared key kept on paper tape is combined character by character with the plaintext message to produce the cipher text. La seconde étape était d’en déduire le masque. Il était possible de le faire à la main, en comparant les caractères codés et d’origines. Une méthode longue. Il était donc possible d’utiliser des utilitaires disponible sur internet comme Dcode pour en déduire le masque.
Le masque reconstitué donnait : bonjour cette epreuve est inspiree de gilbert vernam selon son principe le masque doit etre de la meme taille que le message chiffre le masque ne doit jamais etre reutilise le masque doit etre reellement aleatoire pour cette epreuve nous nous inspirons de sa methode de chiffrement et cette clef n est pas aleatoire le mot de passe de ce challenge est gilbert vernam.
Épreuve : HaveFun
Cette épreuve était un fichier exécutable. Le programme, une compilation d’un code écrit en C, compilé à l’aide de GCC. Les participants devaient donc désassembler l’exécutable, à l’aide de GDB par exemple, pour retrouver le pass caché à l’intérieur. Code C : Une variable déclarée initialisée à 0x41. Elle correspond au code hexadécimal de l’ascii ‘A’. Il fallait déclarer un tableau de caractères. Puis incrémenter ou décrémenter la variable, puis assigner la valeur résultante dans l’une des cases du tableau. Le mot de passe final de cette épreuve était ‘OMGWTFBBQ‘.
Épreuve : Le rendez-vous du musée
Voici une épreuve se constituant d’un mail banal en apparence mais contenant un indice caché en WhiteSpace. Il suffisait de regarder dans le coin, en haut à gauche, et utiliser une image en pièce jointe. Le but était d’en déduire un lieu et une date de rencontre. Dans cette épreuve de stéganographie, il fallait apercevoir un QrCode, celui-ci, tel-quel, ne pouvait pas être scanné. Il devait être reconstitué. Il fallait donc recréer les carrés ; inverser horizontalement le QrCode ; inverser les couleurs. Une étape inutile avec certains scanners de QrCode. Cette reconstitution permettait de lire le flash code. Il dirigeait le joueur au pied de la Tour Eiffel.
L’étape suivante était de retrouver la date et l’heure du rendez-vous, pour cela, le challenger devait découvrir l’indice se situant dans le mail, sinon il devait analyser l’image de fond en comble. La date et l’heure étaient fondus dans la peinture de la pièce. Difficile à déchiffrer. Une excellente vue ou bonne maitrise d’un logiciel de retouche d’image était nécessaire. Le mot de passe était : TourEiffel10juin201416h15
Épreuve : cœur
Cette épreuve combinait de la stéganographie, de la recherche ainsi que la reconstruction d’un fichier corrompu. Les participants avaient à leur disposition un fichier PDF d’une nouvelle de Edgar Allan Poe. Ils devaient ouvrir ce fichier PDF en hexadécimal, à l’aide du logiciel hexeditor par exemple. Le concurrent devait se rendre compte que des données étaient cachées à la fin du fichier. En effet, un fichier PDF normal se termine par un EOF (End Of File). De ce fait, si on rajoutait des données à la suite de ce EOF, le fichier PDF restait lisible et sans perturbation. Il fallait constater après ce EOF, une suite de chiffre, 6, 22, 5, puis des données. Ces données correspondaient à une image compressée en RAR, rar corrompu. L’indicateur de fichier ‘Rar !’ était remplacé par des 0x00. Les données extraites du PDF, et les quatre premiers octets remplaçaient par 0x52, 0x61, 0x72 et 0x21, réclamaient un mot de passe. C’était ici que la suite de chiffre rentrait en compte.
En effet, 6, 22 et 5 correspondaient respectivement à un numéro de page, un numéro de la ligne et un numéro du mot. Si on ouvrait le PDF avec ces indications. La page 6, ligne 22, 5e mot correspondait à EPECTASE. Le plus « bourrin » auront utiliser un brute force sur le mot de passe qui donnait accès à l’image orgasme.jpg, et au mot de passe EPECTASE.
Épreuve : Wait Whaat
Cette épreuve se composait de 6 fichiers. Ces fichiers étaient en fait composés de données aléatoires dans le seul but de brouiller les pistes. Les participants devaient se concentrer sur les droits des différents fichiers, chaque fichier ayant des droits bien spécifiques et « non normaux ». Prenons par exemple le fichier 1, qui avait les droits : – – – x – – x r w x. On admettra que : ‘-‘ = 0 ; lettre = 1. On obtennait donc : – – – x – – x r w x, soit 000 1 001 1 1 1. Informations qui donnait le chiffre hexadécimal 0x4F. Dans la table ascii correspondante, cela donnait la lettre ‘O’. La procédure était la même avec les autres fichiers.
—x–xrwx = 0 001 001 111 = 0x4F = ‘O’
—xr—wx = 0 001 100 011 = 0x63 = ‘c’
—xrw-r– = 0 001 110 100 = 0x74 = ‘t’
—xr—-x = 0 001 100 001 = 0x61 = ‘a’
—xrw-rw- = 0 001 110 110 = 0x76 = ‘v’
—xr–r-x = 0 001 100 101 = 0x65 = ‘e’
Voici la première partie des réponses concernant les épreuves du challenge Forensic proposé par les étudiants de la licence CDAISI lors du Forum International de la Cybersécurité 2014. Les 21 et 22 janvier derniers, la ville de Lille a reçu le 6ème Forum de la CyberSécurité. Pour la première fois, un Challenge Forensic (recherche de trace, Ndr) a été proposé. Le mardi 21, les étudiants de la licence CDAISI (Collaborateur pour la Défense et l’Anti-intrusion des Systèmes Informatiques) de l’Université de Valencienne (Antenne de Maubeuge) ont proposé une vingtaine d’épreuves. Étant l’animateur de ce rendez-vous, et que vous avez été très nombreux (et le mot est un doux euphémisme, Ndr) à demander les réponses aux épreuves, voici la première partie du Challenge Forensic FIC 2014. Le challenge FIC a eu pour objectifs, en distinguant quelques profils prometteurs, d’encourager et de valoriser chaque année, les métiers liés au Forensic et à la lutte informatique défensive. Vous allez comprendre pourquoi des étudiants, mais aussi des professionnels de chez Google, Thalès, … sont venus tâter du bit à la sauce ethical hacking [Voir]. Les premières épreuves que nous vous présentons ici sont signées par Lucas R., Florian E., Julien G.. Ils étaient encadrés par Thibaut Salut. Retrouvez les réponses de la première partie de ce challenge sur zataz.com. La suite sera diffusée lundi prochain, le 27 janvier.
L’épreuve du Morse
Un exécutable, codé en python, reposait sur l’exécution de print et de sleep. Chaque participant récupérait un exécutable qui, une fois lancé, affichait des lignes en hexadécimal. Ils devaient découvrir deux intervalles différents lors de l’affichage des lignes. Un court intervalle court qui correspondait à un point et un intervalle long qui correspondait à un tiret. En faisant la correspondance avec un tableau morse, on obtenait alors les coordonnées géographiques d’un toit dans un parc d’attraction, en Australie, sur lequel est écrit Big Brother. Big Brother était la clé qui permettait de passer à l’épreuve suivante.
Epreuve Scapy
L’idée de cette épreuve, dissimuler la clé dans les paquets ICMP. Pour cela, il a été utilisé un framework python spécialisé réseau nommé Scapy. Un petit script a envoyé les paquets ICMP modifiés à l’adresse voulue. Il suffisait d’exécuter le script et faire une capture Wireshark. Les participants recevaient une capture Wireshark contenant plusieurs milliers de trames. Parmi toutes ces trames, se trouvaient des trames ICMP dont le champ ID avait été modifié. Les candidats devaient alors, soit écrire un script permettant de récupérer le champ ID, soit le faire à la main en regardant le détail de chaque trame avec Wireshark.
Epreuve Windows
Pour créer l’épreuve, il a été utilisé une machine virtuelle Windows sous Virtual box. Pour modifier les shellbags, juste brancher une clé USB avec le dossier voulu, et attendre un peu que les shellbags soient modifiés. Chaque participant avait à sa disposition une machine virtuelle Windows. Son but était de retrouver le nom d’un dossier stocké sur une clé USB qui auparavant avait été branchée sur la fameuse machine virtuelle. Il suffisait d’utiliser des logiciels comme Windows ShellBag Parser (sbag) afin de remonter aux traces.
Epreuve de l’icône
Dans cette première étape, 2 fichiers : un fichier texte et un fichier ReadMe dans lequel se trouvait le sujet de l’épreuve. La partie 1 consistait à retrouver le mot de passe de l’épreuve 1. Il était dissimulé dans le fichier epreuve1.txt. Ce dernier est en réalité non pas dans le contenu du fichier texte mais dans l’icône de celui-ci. Le mot de passe était : funnyh4ck.
Epreuve archive
Les participants recevaient une archive contenant un dossier contenant lui-même un certain nombre d’images, un fichier ReadMe.txt (dans lequel se trouvait le sujet de l’épreuve) et un fichier chiffré comportant l’extension .axx. Il fallait donc, dans un premier temps, savoir ce qu’était un fichier .axx. Après une brève recherche, on s’apercevait que ce fichier était chiffré à l’aide de l’outil AxCrypt. Les challengers devaient ensuite déduire qu’il fallait un mot de passe, ou un fichier clé, pour lire le .axx. Etant donné qu’un dossier rempli d’images était donné aux candidats, ils devaient en déduire qu’un fichier avait été caché parmi elles. Cacher un fichier dans un autre est le principe même de la stéganographie. Ils devaient alors récupérer à l’aide de l’outil de leur choix (steghide par exemple), un éventuel fichier dans l’une des images fournies. Pour retrouver la passphrase, il suffisait de regarder les commentaires de l’archive : cdaisi. Une fois le fichier clé retrouvé, il suffisait de lancer AxCrypt, préciser le fichier clé et lancer le déchiffrement.
Epreuve Blowfish
Il fallait que le candidat déduise que le fichier proposé était crypté en blowfish-cbc. Dans le fichier ReadMe qui lui avait été proposé, il y avait des informations importantes. Il suffisait de regarder quel genre de chiffrement prenait deux paramètres. Blowfish prends 2 paramètres en hexadécimal, cependant les éléments donnés sont en ASCII et en base64. Il fallait donc les convertir. La commande pour le déchiffrer était la même que pour chiffrer sauf qu’il suffisait d’ajouter -d à la commande pour préciser l’action de déchiffrement. Une fois le fichier déchiffré, on obtenait un fichier texte contenant une suite de chiffre qui, à première vue, n’a rien de spécial. Sauf qu’il y avait un message caché : « Le Losc ira en champions league l’année prochaine. Félicitation : Vous avez réussi l’épreuve =) » Il ne restait plus qu’à tester cette phrase avec le fichier testEXE.!
Première journée chargée pour le Forum International de la Cybersécurité qui se déroule, jusqu’au 22 janvier, au Zénith Arena de Lille. Conférences, ateliers et challenge Forensic au menu de deux jours dédiés aux problématiques de la sécurité informatique. L’occasion pour la gendarmerie nationale de présenter son « Permis Internet », une opération de sensibilisation des jeunes élèves en classe de primaire. Emmanuel Valls, Ministre de l’Intérieur, en a profité pour saluer des élèves de CME2 venus recevoir ce document scolaire qui fait de ces enfants des internautes dorénavant avertis. « Nous en avons parlé à nos parents, soulignaient les élèves. Nous avons pu leur apprendre à mieux comprendre ce qu’est l’identité numérique sur Internet et comment bien la sécuriser« .
Ethical Hacking
Durant ces deux jours, deux challenges « Forensic » sont proposés. Le premier, celui du mardi, mis en place par les enseignants et les universitaires de la licence CDAISI de l’Université de Valencienne, antenne de Maubeuge. Sténographie, recherche d’informations cachées dans des images, analyses de son, gestion du … morse, analyse de trame, jouer avec un son stéréo et analyser ses… silences. Trente équipes (France, Belge, Bénin, …) ont participé à cette première pour le FIC. Un challenge qui permet, aussi, aux étudiants, chercheurs ou professionnels travaillant pour Thalès, Google de croiser la souris et les techniques de hack. « Appréhender, évaluer les épreuves, explique Octave, étudiant en 3ème année CDAISI, Nous nous sommes concentrés sur la question – Comment cacher un mot de passe – Nous avons auto testé nos épreuves en cours, avec nos professeurs. » Des créations d’épreuves qui sont intégrées dans le cursus des futurs diplômés, sous forme de projets. Lors du challenge ACISSI, les recruteurs, venus scruter, poser des tonnes de questions. Bref, les challenges se démocratisent, les langues se délient et les « décideurs » peuvent enfin de pencher sur ces têtes biens faîtes. Dommage, cependant, que le Ministre de l’Intérieur n’a pas pris 30 secondes pour venir saluer, voir s’intéresser (alors qu’il a frolé l’espace du challenge ACISSI), aux participants. Il aurait pu croiser des « hackers ethiques » français, des vrais, étudiants ou salariés dans de très importantes entreprises hexagonales ou… tout juste débauché par l’Américain Google. Il est vrai que le nid de lobbyiste qui l’entourait lui donner plutôt envie d’accélerer le pas, que de rester devant ce qui est véritablement la sécurité informatique de demain… des hommes et des femmes qui réfléchissent plus loin qu’une norme ISO et un bouton à pousser proposés par un logiciel d’audit !
A noter que Data Security Breach et zataz.com diffuseront dans quelques heures les réponses aux épreuves du Challenge FIC 2014 ACISSI.
CECyF
Pas de doute, l’argent va couler à flot dans le petit monde de la sécurité informatique. Le milliard d’euro annoncé par le Ministre de la Défense, dans le cadre de la sécurisation des infrastructures informatiques du pays, fait briller les petits yeux des commerciaux. Il suffit de voir le nombre de CERT privés sortir du terre pour s’en convaincre… tous avec LA solution miracle de prévention, sécurisation, …
Mardi après-midi, à l’occasion du Forum international sur la Cybersécurité ont été signés les statuts du CECyF, le Centre Expert contre la Cybercriminalité Français. Le CECyF est une association qui rassemble les acteurs de la lutte contre la cybercriminalité : services d’investigation, établissements d’enseignement et de recherche, entreprises impliquées dans la cybersécurité ou impactées par la cybercriminalité. L’association sera aussi ouverte à des adhérents individuels qui souhaiteraient participer aux projets du CECyF (notamment des chercheurs ou des étudiants). Le CECyF se veut un espace de rencontre et de créativité en matière de lutte contre la cybercriminalité. Il a pour vocation de favoriser les projets collaboratifs en la matière en aidant à la recherche de financements et en proposant un soutien juridique et opérationnel (communication, conférences, hébergement de plateformes collaboratives de développement, etc.).
La démonstration d’interception wifi de l’Epitech était particulièrement bien réalisée.La démonstration d’interception wifi de l’Epitech était particulièrement bien réalisée.
Les premiers projets proposés aux membres au cours de l’année 2014 concerne les thématiques suivantes :
– développement d’outils opensource d’investigation numérique ;
– contribution à la création de supports de sensibilisation aux cybermenaces ;
– développement de formations à distance pour les services d’investigation, mais aussi les acteurs du secteur privé ou des collectivités locales ;
– partage d’informations et nouvelles études sur les besoins en formation et cartographie des formations disponibles ;
– participation des membres à des conférences existantes pour dynamiser les échanges entre les différentes communautés sur les différents aspects de la prévention et de la lutte contre la cybercriminalité : Journées francophones de l’investigation numérique de l’AFSIN, Botconf, SSTIC, conférences du CSFRS, de Cyberlex, etc.
Le CECyF s’inscrit dans le projet 2CENTRE (Cybercrime Centres of Excellence Network for Training, Research and Education), un réseau de centres d’excellence européens visant le développement et la mise en œuvre de projets de recherche et de formation coordonnés, associant des services enquêteurs, des établissements d’enseignement et de recherche, ainsi que des spécialistes des industries des technologies numériques. Le premier d’entre eux, dénommé 2CENTRE, a reposé sur les relations préexistant en Irlande et en France. D’autres pays travaillent à l’établissement d’un centre d’excellence national, en particulier la Belgique avec BCCENTRE, mais aussi l’Allemagne, la Bulgarie, l’Estonie, l’Espagne, la Grèce, le Royaume-Uni, la Roumanie et la République Tchèque. Pour le moment, au sein du CECyF, la gendarmerie, la police nationales, les douanes, des écoles d’ingénieurs et universités (EPITA, enseigné privé), l’Université de Technologie de Troyes, Orange, Thalès, Microsoft France et CEIS (Organisateur du FIC).
Allocution de Manuel Valls, ministre de l’Intérieur
Vous n’y étiez pas, pas d’inquiétude. Data Security Breach vous propose l’allocution de Ministre de l’Intérieur effectuée mardi, lors du lancement du Forum Internet de la Cybersécurité.
A la même époque, l’année dernière, j’avais le plaisir de clore les travaux de la 5ème édition du Forum International de la Cybersécurité. C’est avec un plaisir renouvelé que je viens, aujourd’hui, ouvrir cette 6ème édition. Je tiens, tout d’abord, à féliciter et à remercier le conseil régional du Nord Pas-de-Calais, et son premier vice-président Pierre de SAINTIGNON, pour l’organisation de cette manifestation, conduite en partenariat avec la gendarmerie nationale et CEIS. La qualité des invités, la présence de membres de gouvernements étrangers, que je salue chaleureusement, témoignent de la réputation désormais établie de cet espace de réflexion et d’échanges, lancé en 2007. Le caractère précurseur de cette initiative montre combien la gendarmerie, au même titre que la police nationale, sont des institutions en phase avec leur temps.
Nous tous sommes – et chaque jour davantage – immergés dans un monde de données. Nous les créons, les exploitons, les transmettons, faisons en sorte de les protéger. Ces données sont intellectuelles, commerciales, juridiques, ou encore financières et fiscales. Elles sont, aussi et surtout, des données d’indentification, constitutives de notre identité numérique. Elles disent ce que nous sommes, ce que nous faisons. Et même ce que nous pensons.
Cette identité est, par définition, précieuse. Elle peut cependant être attaquée, détournée, usurpée. Ces atteintes nuisent alors profondément à la confiance, pourtant indispensable pour l’essor du cyberespace. Face à cela, chaque acteur a une responsabilité et un rôle à jouer. L’État joue pleinement le sien. Il doit assurer dans la sphère virtuelle – autant que dans la sphère réelle – la sécurité de nos concitoyens, mais aussi celle de nos entreprises et plus largement des intérêts de la Nation. Cette action intervient dans un cadre indépassable, celui du respect des libertés fondamentales : respect de la vie privée et de la liberté d’expression. Le débat autour de la géolocalisation illustre bien ma volonté de concilier liberté et sécurité.
La géolocalisation permet en effet de connaitre en temps réel ou en différé les déplacements d’une personne. Cette technique d’enquête est utilisée dans le domaine judiciaire mais aussi dans le domaine administratif et préventif. En matière judiciaire, nous avons immédiatement réagi aux arrêts de la cour de cassation. Avec la Garde des Sceaux, nous avons rédigé un texte qui répond désormais aux exigences de la CEDH et de la Cour de Cassation. Il est actuellement soumis au Sénat, dans le cadre de la procédure accélérée. En matière administrative, l’article 20 de la LPM est venu combler un cadre juridique lacunaire. Il donne désormais un fondement clair à l’ensemble des demandes de données de connexion, qui peuvent être effectuées par tous les services de renseignement ainsi que par tous les services de police et unités de gendarmerie, dans le cadre strict des finalités de la loi de 1991.
Nous aurons donc d’ici quelques semaines un arsenal juridique complet et solide, confortant l’action des services de renseignement et de la police judiciaire. A la lumière de l’actualité récente [enrôlement de mineurs dans le Jihad], je m’en félicite. Lutter contre les cybermenaces demande d’intégrer une triple exigence :
tout d’abord, en avoir une bonne connaissance, sans se limiter à la cybercriminalité ;
ensuite, adapter les réponses opérationnelles, en portant, notamment, une attention particulière à la politique de prévention ;
enfin, mieux piloter et coordonner les moyens engagés et les différents services impliqués.
Ce sont ces trois exigences que je veux détailler devant vous.
1. Face à une sphère virtuelle en mutation permanente, une connaissance des usages et des menaces potentielles est indispensable. Nous sommes, en effet, devant un phénomène en pleine expansion ; un phénomène complexe et global, mal appréhendé par un droit qui est soit peu adapté, soit en construction, et en tout cas sans réelle cohérence.La cybercriminalité nous renseigne de façon parcellaire sur l’état réel de la menace : que sont les 1 100 faits d’atteintes aux systèmes d’information dénoncés aux services de police et aux unités de gendarmerie, en 2011, par rapport à la réalité vécue par les entreprises et les administrations ? Un simple aperçu !
La plateforme PHAROS de signalement de contenus illicites de l’Internet, opérée par l’OCLCTIC, donne un éclairage complémentaire. Avec près de 124 000 signalements en 2013, elle atteint un nouveau record, signe de la vigilance des internautes. Nous devons être en mesure d’appréhender des menaces toujours plus diverses : risques de déstabilisation de l’activité économique, atteintes à l’e-réputation, menaces pesant sur l’ordre public et la sécurité du territoire mais aussi radicalisation, embrigadement, recrutement par des filières terroristes et diffusion de messages de haine (racistes, antisémites, antireligieux, homophobes…).
Je veux insister devant vous sur la lutte contre les messages antisémites et racistes sur internet qui passe bien entendu, par la fermeté et le refus de la banalisation de la haine. Mais elle passe aussi par une responsabilisation du public. Ainsi, la décision du Conseil d’Etat relative au spectacle de Dieudonné M’bala M’bala aura permis une prise de conscience.
Elle passe enfin par un travail avec les acteurs du net et notamment les réseaux sociaux comme nous l’avons fait avec Twitter. Ainsi, grâce à la concertation conduite avec cet opérateur, des engagements de sa part
ont pu être obtenus concernant :
– la suppression des contenus illicites : Twitter a mis en place des techniques permettant de restreindre l’affichage des contenus prohibés dans les seuls pays où ils sont illicites [exemple des contenus xénophobes et discriminatoires illicites en France mais pas aux USA] ;
– le gel de données : Twitter s’engage à procéder au gel de données d’enquête sur simple courriel sans aviser ses utilisateurs si les enquêteurs demandent expressément à ce que ces mesures restent confidentielles ;
– l’obtention de données d’enquêtes : Twitter communique des données sur simple réquisition pour des affaires non urgentes mais d’une particulière gravité, qualifiées de serious crimes. Des travaux sont encore à cours sur ce sujet ;
– le déréférencement des hashtags : Twitter déréférence les hashtags à succès mais illicites quand ils apparaissent dans les « tendances » de sa page d’accueil, pour limiter leur résonnance. De telles mesures ont déjà été prises à la demande des autorités ou d’associations françaises telles que SOS Homophobie ;
– un référent pour la France concernant le respect des obligations légales.
D’autres travaux se poursuivent pour : – rendre plus accessible le formulaire de signalement public, – développer les partenariats avec les acteurs français d’internet : SAFER Internet (protection des mineurs), SOS Homophobie, SOS Racisme, etc. ; – développer un formulaire en ligne destiné à faciliter les démarches officielles des enquêteurs internationaux. Le réseau mondial est aussi celui où se rencontrent, se fédèrent, se préparent, souvent dans l’obscurité, les pires intentions. Internet est un lieu de liberté certes, mais cela ne doit pas être une zone de non droit où l’on pourrait tout se permettre. Les menaces de l’Internet concernent tout le monde, ne serait-ce que du fait de la progression de la fraude sur les moyens de paiement à distance. Mais elles ciblent, en particulier, les plus jeunes. Une étude récente a ainsi souligné que 40% des élèves disent avoir été victimes d’une agression en ligne. Nous devons donc mettre en œuvre des politiques publiques à la hauteur de ces enjeux.
Des enjeux qui sont éclairés par un travail qui va au-delà de nos frontières. Le monde virtuel n’en connaît pas. A ce titre, je veux saluer la contribution du centre de lutte contre la cybercriminalité EC3 d’Europol. En un an, il contribué à la résolution de plusieurs dossiers d’enquête complexes et permis de compléter la vision des risques cyber auxquels nous, pays européens, sommes confrontés. Seule une démarche globale peut nous permettre de prendre la mesure d’une menace elle-même globale.
Ceci passe par une approche décloisonnée ; décloisonnée entre services, entre matières. Travaux de recherches, observatoires thématiques, veille des réseaux numériques, surveillance des activités des groupes criminels et terroristes, alertes sur la sécurité des systèmes d’information : c’est l’ensemble de ces démarches qui permettent d’appréhender les risques et de piloter au mieux la réponse opérationnelle.
2. De nombreuses actions sont mises en oeuvre, chaque jour, pour contrer ces nouvelles formes de menaces qui ont chacune leur spécificité3 Je connais la mobilisation des acteurs européens, étatiques, industriels. Je vais visiter, dans quelques instants, les stands des partenaires institutionnels, des industriels, des PME-PMI, des écoles et des universités. Je sais que leur objectif commun est d’améliorer la confiance dans l’espace numérique, de proposer un cyberespace plus sûr et protecteur de nos libertés fondamentales.
Je sais que les attentes les plus grandes à l’égard de l’action de l’État viennent des entreprises, qui demandent une protection efficace contre les atteintes aux systèmes d’information, les fraudes, l’espionnage industriel.
Et il y a urgence ! Par exemple, en décembre, dans deux régions françaises, deux PME ont été victimes d’escroqueries aux faux ordres de virement pour des montants respectifs de 480 000 € et 450 000€. Pour l’une d’entre elle, les escrocs ont pris la main sur le système d’information de la société pour finaliser la transaction. Depuis 2011, ce type d’escroquerie représente un préjudice estimé à plus de 200 millions d’euros pour les entreprises françaises. Ce chiffre prend un relief tout particulier alors que les entreprises françaises doivent s’adapter à une concurrence internationale de plus en plus forte.
La loi de programmation militaire, récemment adoptée, renforce le dispositif de protection des entreprises les plus sensibles. Elle conforte et amplifie le rôle de l’Agence nationale de la sécurité des systèmes d’information – dont je salue le directeur présent aujourd’hui – dans le contrôle de nos opérateurs d’importance vitale. Cette mesure était prioritaire. Au-delà, les entreprises qui forment notre tissu économique, bénéficient au quotidien de l’action des services de la police et des unités de la gendarmerie qui les sensibilisent aux cyber-risques dans le cadre de leurs missions d’intelligence économique. Cette action territoriale, s’adressant tant aux grandes entreprises qu’aux PME-PMI participe de la réponse globale de l’État.
Une réponse qui doit concerner l’ensemble de nos concitoyens. J’ai d’ailleurs la conviction que le niveau de sensibilisation à la cybersécurité est encore insuffisant et que nous avons, dans ce domaine, de grandes marges de progression. Aussi, je me félicite des initiatives de la police et de la gendarmerie à destination des plus jeunes, à l’image de l’opération « Permis Internet » mise en place par la gendarmerie nationale, en partenariat avec AXA Prévention. Je viens d’ailleurs de remettre des « Permis Internet » aux élèves de CM2 de l’école Roger Salengro
d’Hallennes-lez-Haubourdin. Au sein de leur établissement scolaire, depuis quelques semaines, ils apprennent à utiliser en sécurité l’Internet, à mieux identifier les dangers auxquels ils peuvent être confrontés. Ils deviennent donc des Internautes avertis.
L’année dernière, je m’exprimais devant vous à l’issue de longs débats sur la loi antiterroriste. Je vous avais alors fait part de ma volonté et de celle du gouvernement de lutter plus efficacement encore contre le cyber terrorisme. Plus largement, renforcer notre efficacité en matière de cybercriminalité nécessite de prendre un certain nombre de mesures : adapter notre arsenal juridique, coordonner l’action de tous les services de l’État, sécuriser les titres d’identité et leur exploitation ou encore améliorer la formation des personnels de tous les ministères concernés. C’est pourquoi, j’ai souhaité la constitution d’un groupe de travail interministériel, réunissant, sous la présidence d’un haut magistrat, des représentants des ministères de l’Economie et des Finances, de la Justice, de l’Intérieur et de l’Economie numérique. Les travaux menés, depuis l’été 2013, sous la présidence du procureur général Marc ROBERT, sont achevés. Les conclusions seront remises aux quatre ministres dans les prochains jours.
J’attends des propositions ambitieuses, notamment en termes de techniques d’enquête ou de recueil et de traitement des plaintes. J’attends, également, des propositions permettant d’améliorer l’organisation de nos services et d’offrir aux citoyens un dispositif plus lisible et plus proche de leurs préoccupations. Il s’agira naturellement, à court terme, et en parallèle des évolutions de l’organisation du ministère de la Justice, de renforcer les capacités d’investigation pour les infractions spécifiques liées au monde cyber en s’appuyant sur les enquêteurs spécialisés en technologies numériques de la gendarmerie et de la police.
3. Je souhaite également qu’au sein du ministère de l’Intérieur soit menée une réflexion de fond pour développer une capacité fine de pilotage et de coordination dans la lutte contre les cybermenaces. Nous devons fédérer les actions des différents services, faire le lien entre les capacités d’anticipation, la politique de prévention, les efforts de recherche et développement et les dispositifs de répression.
L’attention que je porte aux moyens consacrés, au sein du ministère de l’Intérieur, à la lutte contre les cybermenaces s’étend bien évidemment à ceux dédiés à la sécurité et la défense de ses propres systèmes d’information. Les systèmes d’information mis en oeuvre pour la sécurité intérieure et pour la conduite de l’action territoriale de l’État ne peuvent souffrir d’aucun manquement à leur propre sécurité. Ces outils permettent, au quotidien, l’action de notre administration, de nos forces. Le ministère de l’Intérieur est ainsi engagé au premier chef dans les démarches entreprises par les services du Premier ministre, afin de renforcer et garantir la sécurité de nos systèmes d’information.
J’ai donc demandé aux directeurs de la gendarmerie et de la police nationales de me proposer une stratégie de lutte contre les cybermenaces, sous trois mois, et de définir un véritable plan d’action. Cette réflexion s’appuiera sur les compétences développées au sein du ministère mais devra également, le cas échéant, définir ce qui nous manque. Elle pourra déboucher sur des évolutions structurelles. En outre, dans le cadre de la réforme des statistiques, j’avais demandé que l’on améliore la mesure des phénomènes de cyber-délinquance, et ce dans le cadre rigoureux des principes de la statistique publique. Les travaux de conception sont désormais bien avancés et je demanderai au chef du nouveau service statistique ministériel (SSM), dès sa prise de fonction fin février, de se prononcer sur le nouvel indicateur composite. Celui-ci devra clairement distinguer les atteintes directes aux systèmes d’information, les infractions liées aux contenus, les fraudes et escroqueries réalisées par l’internet, etc. Il est grand temps d’améliorer la qualité, la disponibilité et la régularité des données publiques sur ces enjeux fondamentaux de sécurité.
Enfin, si la sécurité du cyberespace relève en premier lieu de l’État, elle passe, aussi, nécessairement, par une mobilisation autour de partenariats avec le monde académique et les acteurs privés, fournisseurs de services et industriels de la sécurité des systèmes d’information.
Aussi, je salue la création cet après-midi, dans cette même enceinte, du « centre expert contre la cybercriminalité français (CECyF) », qui associera dans un premier temps la gendarmerie et la police nationales, les douanes, des écoles d’ingénieurs et universités – l’EPITA, l’Université de Technologie de Troyes – et des industriels – Orange, Thalès, Microsoft France et CEIS. Ce centre permettra l’émergence d’une communauté d’intérêts autour de la lutte contre la cybercriminalité. Les objectifs sont clairs : contribuer à la réflexion stratégique dans ce domaine, développer des actions de formation et encourager la mise au point d’outils d’investigation numérique et de travaux de recherche.
Mesdames, messieurs, Chaque époque connaît des mutations techniques, technologiques. Elles sont porteuses de progrès pour nos sociétés tout en générant des contraintes, des menaces nouvelles qu’il faut savoir intégrer. Comme vous le voyez, les pouvoirs publics se sont pleinement saisis des enjeux liés au monde cyber. Chaque phénomène, chaque menace doit pourvoir trouver une réponse adaptée. Mais l’essor du réseau mondial nous oblige à agir en réseau, à mobiliser l’ensemble des acteurs pour assurer la cybersécurité, c’est-à-dire simplement la sécurité de tous.
Le 5 janvier dernier, le forum 4chan a servi de support à la 3ème édition d’une immense chasse au trésor sauce chiffrement. Depuis 2012, l’opération cigale est lancée par des inconnus. Impossible, sauf pour les vainqueurs des années passées, de savoir qui se cache derrière Cicada 3301. D’après le ou les auteurs, cette grande course doit permettre de recruter « des individus très intelligents. Pour les trouver, nous avons conçu un test. Un message se cache dans cette image. Trouvez-le, et il vous mènera sur la voie pour nous trouver. Nous sommes impatients de rencontrer les quelques personnes qui réussiront à faire le chemin jusqu’à nous. Bonne chance.«
Prétentieux les « organisateurs » ? Les premières traces ont permis de remonter, d’abord, à un leurre, puis ensuite à décortiquer l’image (il fallait multiplier 3301 à la longue et hauteur de l’image d’origine. 3 nombres premiers qui donnaient l’ip d’un site web, et d’une image de cigale qui, exploitait avec le logiciel de sténographie OutGuess indiquait aux joueurs « Vous avez été suffisamment bons pour arriver jusqu’ici. La patience est une vertu. Revenez à 17:00 lundi 9 janvier 2012, UTC. » 14 points GPS sont apparus alors ce 9 janvier. Chaque point dirige vers une affiche et un QR Code, affiches collées dans les villes de Paris, Séoul, Varsovie, Miami. Chaque QR code dirige vers de nouveaux documents à décortiquer avec le même OutGuess.
En 2012, des commentaires liés aux images pointaient du doigt la NSA. Si en plus ils inventent des jeux sympas, ils vont finir par devenir vraiment sympathiques. En 2013, un PastBin annonçait que derrière cette organisation se cachait des gens dangereux. En attendant, Snowden n’a pas diffusé d’information sur ce concours. La CIA serait aussi dans les rangs des probables GO.
Des informations sont diffusées par des « joueurs » sur un wiki. Un Twitter a aussi été ouvert pour l’occasion.
Le Forum International de la Cybersécurité (FIC) 2014 organisé conjointement par la Gendarmerie Nationale, le cabinet CEIS et le Conseil régional du Nord-Pas de Calais se déroulera les 21 et 22 janvier à Lille Grand Palais. Pour cette 6e édition intitulée « Identité numérique et confiance », le FIC acte une nouvelle étape dans son partenariat avec Epitech, l’école de l’innovation et de l’expertise informatique (membre de IONIS Education Group).
Le partenariat s’est conclu dans le cadre du programme d’Epitech « Ecole citoyenne du numérique ». Ce dispositif permet aux étudiants de s’investir dans des projets concrets d’intérêt général. Au service des acteurs institutionnels et des collectivités, les étudiants de l’école traitent de thématiques liées au numérique. Deux 2 animations autour de l’identité numérique vont être proposées : « Selon où tu es, je sais qui tu es, le sais-tu ? » ; « Selon ce que tu sais, ce que tu as et qui tu es, tu pourras entrer ; ou pas ! ». Les équipes du laboratoire Sécurité d’Epitech, impliquées dans la pédagogie et dans les projets de recherche relatifs à ce sujet, ont créé deux démonstrations interactives et ludiques spécialement pour le FIC.
L’année derniére, les étudiants avaient réussi à piéger des visiteurs via une application distribuée via un flashcode.
Le FIC est devenu le « Salon européen de référence en matière de confiance numérique » réunissant les principaux acteurs institutionnels et experts du domaine dans une démarche de réflexion et d’échanges sous un angle stratégique (géopolitique, sociologique, juridique, managérial, technologique) et opérationnel. Manuel Valls, ministre de l’Intérieur sera présent pour la cérémonie officielle d’ouverture, le mardi 21 janvier 2014 à 9h00. Jean-Yves Le Drian, ministre de la Défense sera présent le mardi 21 janvier à 16h00. A noter que le ministère de la défense français, partenaire du FIC 2014, disposera d’un stand et participera à de nombreux ateliers, en particulier dans le parcours « stratégies de cyberdéfense ». L’intervention de M. Manuel Valls, ministre de l’Intérieur, sera suivie de la séance plénière « La cybersécurité est-elle un échec ? », avec l’intervention de Patrick Pailloux, directeur général de l’ANSSI, David Lacey, directeur de l’Institut des enquêtes criminelles à l’Université de Portsmouth, Jérémie Zimmermann, membre fondateur et porte-parole de La Quadrature de Net, Jean-Pierre Guillon, Président du MEDEF Nord Pas de Calais, Luc-François Salvador, PDG de Sogeti, Jean-Michel Orozco, CEO Cassidian Cybersecurity et Marc Watin-Augouard, Général d’armée (2S).
L’ensemble des conférences, séances plénières, tables rondes, ateliers et débats sont répartis selon 7 parcours thématiques : Lutte anti-cybercriminalité – Dynamiques industrielles – La fonction sécurité en entreprise – Technologies – Stratégies de cyberdéfense – Nouvelles citoyennetés numériques – Géopolitique du cyberespace. A noter que votre serviteur animera, mardi 21 janvier, le challenge Forensic mis en place par l’équipe de la Licence Professionnelle CDAISI. Le challenge consiste en deux séries d’épreuves informatiques de 4 heures dédiées au forensic et à la lutte informatique défensive.
Ces épreuves comportent différents niveaux et sont menées sur un réseau fermé. Le lendemain, mercredi 22 janvier, j’animerai la conférence « Le pouvoir de la perturbation massive sur Internet« . Le piratage du compte Twitter de l’Associated Press et ses conséquences considérables sur le cours de la bourse alertent quant au potentiel des réseaux sociaux. L’horizontalité et la viralité qui caractérisent ces outils en font des armes redoutables de perturbation massive et de soulèvement des populations. Comment anticiper ce risque ? Quel est le réel potentiel des réseaux sociaux et comment l’exploiter ?
Attention, ceci peut vous concerner car il s’agit de routeur « grand public » ou utilisés par certains opérateurs. Sur du matériel personnel, il est conseillé de flasher le firmware avec une solution DD-WRT (http://www.dd-wrt.com/site/index). Pour les routeurs d’opérateurs, vous pouvez demander des explications afin d’être rassurés sur la sécurité de vos informations/connexions. Pour Netgear et LinkSys, les backdoors découvertes dans les boitiers permettent d’interroger le harware à distance. Un accès aux parametres, mot de passe et aux programmes.
Pour Siemens, c’est un chercheur de chez IOActive qui a découvert deux vulnérabilités dans les commutateurs Ethernet Siemens. Des failles qui peuvent permettre à un attaquant distant d’exécuter des opérations administratives sans passer par la case « mot de passe ». Les vulnérabilités ont été découvertes par Eireann Leverett, consultant en sécurité principal pour IOActive. Les failles ont été signalées à Siemens.
La première vulnérabilité (CVE-2013-5944) pourrait permettre à des pirates d’effectuer une opération administrative sur le réseau sans authentification. La deuxième vulnérabilité (CVE-2013-5709) offre la possibilité à un acteur malveillant de détourner des sessions Web sur le réseau sans authentification. Siemens a annoncé fournir un patch de sécurité dans les trois mois. Les clients Siemens doivent appliquer le SCALANCE X-200, une mise à jour du firmware. (Baidu)
Le géant coréen de l’électronique Samsung vient de corriger une fuite de données concernant le smartphone S4 et ses tablettes. Les utilisateurs de tablettes et smartphones Samsung ont très certainement du apercevoir, ces derniers jours, une mise à jour de l’application Samsung Hub. Pourquoi ? La correction d’un bug qui envoyait email, mot de passe et localisation GPS de l’utilisateur sans aucune sécurité, ni chiffrement.
Une brèche de confidentialité qui a été corrigée à quelques jours de Noël. Le constructeur coréen indique à ses clients qu’il est conseillé, sait-on jamais, de changer son mot de passe attenant à son compte Samsung online. Une fuite loin d’être négligeable. Un « espion » aurait pu intercepter les données diffusées, via une connexion wifi.
Faut-il rappeler, cependant, qu’utiliser une connexion wifi non maîtrisé n’est rien d’autre qu’un suicide numérique. Nous vous conseillons d’utiliser un VPN, comme celui proposé par la société VyprVPN qui fournit, en plus une application pour Android et iOS, ainsi que pour Linux, PC et MAC. A noter que la faille permettait aussi de géo-localisé le possesseur du smartphone ou de la tablette via l’application « Find My Mobile« . (MediaTest digital)
Petites entreprises, grandes menaces : restez informés, restez protégés
