Subscribe:

Ads 468x60px

26 September 2022

F5 APM – SSO Forms – Client Initiated



Si vous envisagez de configurer une plate-forme SSO avec de nombreuses applications, il est probable que plusieurs applications auront des champs masqués requis lors de l'authentification de l'utilisateur. Autrement dit, certaines applications auront besoin d'un jeton caché, en plus d'un nom d'utilisateur et d'un mot de passe, pendant le processus d'authentification. Ces jours-ci, j'ai travaillé sur un projet SSO où il y avait ce type d'applications.

Bugzilla est une application Web qui envoie à l'utilisateur un jeton caché appelé "Bugzilla_login_token" qui doit être utilisé lors du processus d'authentification. Par conséquent, lorsque l'utilisateur saisit ses informations d'identification et clique sur soumettre, le jeton masqué est également envoyé via un en-tête HTTP. F5 APM peut SSO des applications avec des champs dynamiques masqués à l'aide de la fonctionnalité SSO Forms - Client Initiated.
 
 
Ci-dessous, vous pouvez voir une vidéo avec la configuration nécessaire pour effectuer SSO dans une application avec des champs dynamiques cachés. De plus, vous pouvez voir comment ajouter facilement des applications aux utilisateurs à l'aide d'attributs Active Directory à valeurs multiples. En fait, j'ai utilisé la configuration faite dans les phases précédentes du projet SSO où le mot de passe de l'utilisateur est également crypté pour le stocker sur le contrôleur de domaine.
 

Connaissiez-vous cette fonctionnalité ? L'avez-vous déjà utilisé ?

19 September 2022

F5 ASM - ICAP pour la protection Anti-Virus

À mesure qu'Internet se développe, le besoin de services Internet évolutifs augmente également. Les serveurs Web populaires sont invités à fournir du contenu à des centaines de millions d'utilisateurs connectés à des bandes passantes sans cesse croissantes. Le modèle de serveurs centralisés et monolithiques qui sont responsables de tous les aspects de la demande de chaque client semble arriver en fin de vie.

Pour faire face à la croissance du nombre de clients, il y a eu une évolution vers des architectures qui évoluent mieux grâce à l'utilisation de la réplication, de la distribution et de la mise en cache. Du côté des fournisseurs de contenu, les techniques de réplication et d'équilibrage de charge permettent de répartir la charge des requêtes des clients sur une myriade de serveurs. Les fournisseurs de contenu ont également commencé à déployer des réseaux de distribution de contenu géographiquement diversifiés qui rapprochent les serveurs d'origine de la "périphérie" du réseau où les clients sont connectés. Ces réseaux de serveurs d'origine distribués ou "substituts" permettent au fournisseur de contenu de distribuer son contenu tout en gardant le contrôle sur l'intégrité de ce contenu.

ICAP, l'Internet Content Adaption Protocol, est un protocole visant à fournir une vectorisation de contenu simple basée sur des objets pour les services HTTP. ICAP est, par essence, un protocole léger pour exécuter un "appel de procédure à distance" sur des messages HTTP. Il permet aux clients ICAP de transmettre des messages HTTP aux serveurs ICAP pour une sorte de transformation ou un autre traitement ("adaptation"). Le serveur exécute son service de transformation sur les messages et renvoie les réponses au client, généralement avec des messages modifiés. Les messages adaptés peuvent être soit des requêtes HTTP, soit des réponses HTTP.
 
Serveur ICAP de TrendMicro

Vous pouvez configurer le système BIG-IP ASM pour vérifier les demandes de virus en configurant le système pour se connecter à un serveur ICAP (Internet Content Adaptation Protocol). Lorsque vous configurez la protection antivirus, le système se connecte à un serveur ICAP externe et invite le serveur à inspecter les téléchargements de fichiers et les pièces jointes à la recherche de virus avant de diffuser le contenu au membre du pool.

Protection Anti-Virus

Vous pouvez configurer le système BIG-IP pour effectuer une inspection de contenu sur des données binaires pour les types de données suivants. Téléchargements de fichiers HTTP : le système vérifie les types de contenu pour les téléchargements de fichiers en plusieurs parties auxquels aucun profil de contenu n'est associé. Pièces jointes SOAP : vous devez configurer le profil XML pour autoriser et inspecter les pièces jointes SOAP (Simple Object Access Protocol). Pièces jointes SMTP : Le profil SMTP doit avoir les options antivirus sélectionnées.

En-tête de virus

Connaissiez-vous ce genre de configuration ?

12 September 2022

F5 BIG-IP 17.0 – Quels sont les nouveautés ?

J’aime beaucoup connaître les nouveautés des prochaines versions de BIG-IP parce que les clients me demandent de temps en temps si les dernières versions valent le coup de mettre à jour. Donc, il est nécessaire de lire, comprendre et essayer les nouveautés avant d’installer dans les appareils en production. Enfin, il y aura des clients qui ont besoin de mettre à jour rapidement leurs appareils pour utiliser quelques nouveautés et, or, il y aura aussi des clients qui peuvent attendre plus longtemps pour mettre à jour leurs appareils. Je vais vous raconter les principales nouvelles ci-dessous.

D’abord, F5 LTM a amélioré l’intégration du protocole MQTT dans BIG-IP 17.0. En effet, l’incapacité d’équilibrer la charge de trafic MQTT vers les appareils IoT, et l’impossibilité de prendre en charge les appareils IoT, réduit l’activité et la croissance globales des entreprises alors la prise en charge de MQTT permet à BIG-IP LTM de tirer parti de l’équilibrage de charge du trafic MQTT pour les appareils IoT des clients. De plus, BIG-IP équilibre principalement la charge du trafic MQTT entre les courtiers MQTT via un profil MQTT qui est ajouté à un profil de socket Web.

 

MQTT

Ensuite, alors que les entreprises s’appuient sur de plus en plus d’applications clientes publiques et mobiles pour fournir aux clients un accès à des données hautement sensibles (par exemple, financier ou médical), ils font face à des risques inhérents associés à ces types d’applications – du stockage de secrets non sécurisé au potentiel des mauvais acteurs d’intercepter les jetons d’autorisation à l’aide de schémas d’URL personnalisés. Néanmoins, F5 APM 17.0 prend en charge PKCE, un flux d’autorisation plus sécurisé basé sur OAuth 2.0 qui améliore la sécurité de tous les clients OAuth (y compris mobiles et publics) pour empêcher les attaques telles que l’interception de code d’autorisation en activant des jetons secrets dynamiques.

Flux de processus PKCE général

Quant à F5 AWAF, il y a aussi beaucoup de nouveautés. Cependant, d’après moi, il y en a une qui était obligatoire. OWASP Top 10 2021 est la norme de facto de l’industrie de la sécurité des applications Web, l’OWASP a mis à jour son top 10 des risques, et on a adapté Adv. WAF à la dernière liste, pour permettre aux utilisateurs de comprendre les dernières menaces et de les atténuer efficacement. De plus, le tableau de bord fournit un score de sécurité relatif aux OWASP Top 10 2021 (par exemple, 8 sur 10).

Tableau de bord de conformité OWASP 2021

Finalement, F5 DNS, F5 SSLO et F5 AFM ont amélioré aussi ses caractéristiques. D’une part, F5 DNS est capable de crypter et sécuriser les communications DNS avec DNS sur TLS (DoT). D’autre part, les clients peuvent désormais utiliser NETSCOUT pour effectuer une analyse du trafic déchiffré par F5 SSLO. Enfin, F5 AFM inclut une intégration avec BrightCloud qui est un leader fournisseur de renseignements sur les menaces.

Solution NETSCOUT nGeniusOne Service Assurance dans le catalogue de service de F5 SSLO

Il y a bien sûr beaucoup de nouveautés que je n’ai pas écrit dans cet article et que je vous recommande de lire sur le site web de F5.

À bientôt !

5 September 2022

F5 APM-Attributs à valeurs multiples dans l’AD

J’aimerais continuer après l’été en écrivant sur le projet où un client voulait garder le nom d’utilisateur et le mot de passe dans attributs d’Active Directory parce qu’ils ont beaucoup d’applications qui n’utilisent pas l’AD par défaut, sinon que ces applications ont une base de données d’utilisateurs installed sur MySQL ou Postgresql. D’abord, on lui propose une solution technique où le nom d’utilisateur, le mot de passe (crypté) et l’application sont enregistrés dans une attribut d’Active Directory de chaque personne. Cependant, c’était difficile à gérer. Donc, ensuite, on lui propose l’utilisation des attributs à valeurs multiples dans l’AD.

On peut regarder dans la vidéo suivante comment j’utilise des attributs à valeurs multiples dans l’AD pour enregistrer les applications, les noms d’utilisateur et les mots de passe du compte utilisateur « testing ». De plus, les mots de passe sont cryptés. Alors, on peut ajouter facilement toutes les applications qui sont utilisées par l’utilisateur « testing » dans l’attribut à valeurs multiples. De cette manière, les gens doivent entrer seulement une fois (SSO) son identifiant et un mot de passe pour accéder à toutes les applications de l’entreprise, et peu importe si les applications utilisent AD par défaut ou une base de données utilisateur locale sur MySQL ou Postgresql.

La configuration est très simple. Le plus difficile peut-être a été de développer l’iRule bbdd-local où les données de la personne sont obtenues à partir de l’Active Directory pour les enregistrer ensuite dans de variables de l’appareil APM. Il y a autant « Portal Access » ou « Webtop Link » qu’il y a d’applications dans l’entreprise, et chaque application a son profil SSO. De plus, s’il y a des « Webtop Link », il faut en ajouter dans « SSO / Auth Domains ». Enfin, il est très utile la caisse « Advanced Resource Assign » pour choisir quelle application doit être montrée à l’utilisateur.

Comment avez-vous ajouté des applications héritées à votre portail SSO unique ?

1 August 2022

Profitez de l’été !

C'est le dernier article avant d'aller en vacances. C'est le temps de se reposer, de lire, d'étudier et aussi de regarder derrière pour évaluer ce qu'on a fait pendant la dernière année. J'aime faire cet exercice d'évaluation pour rappeler toutes les choses que j'ai fait depuis l'été dernier et pour organiser les tâches que je voudrais faire après les vacances. À mon avis, c’est une manière d’établir des objectifs personnels pour s’améliorer professionnellement et personnellement.

Bien que la dernière année ait été bizarre et très différente à cause de la naissance de ma première fille, j’ai réussi à continuer à écrire sur le blog. Cela a été très difficile d’autant plus que je n’ai pas eu beaucoup de temps pour m’asseoir à écrire. Or, j’ai lu des livres, pas beaucoup mais tous en français, aussi j’ai étudié pour donner des cours sur la sécurité des appareils mobiles et sur SD-WAN. F5 BIG-IP est toujours l’un des produits avec lesquels je travaille le plus. Vous pouvez regarder les dernières vidéos que je mets sur YouTube. D’un autre côté, les produits de Fortinet me sont bien connus et cette année j’ai beaucoup travaillé avec FortiManager, FortiAnalyer, FortiGate, FortiAP et FortiSwitch grâce à un projet de cybersécurité très passionnant. Finalement, j’ai étudié français, en effet, j’écris déjà en français dans ce blog, et j’ai connu des conférences de hacking en France qui seront très intéressantes dans l’avenir pour maîtriser mes compétences en français.

Je dois regarder à l’avenir et je dois penser à ce que je veux faire après les vacances. D’abord, j’aimerais réussir mes examens de français en septembre. C’est la raison pour laquelle j’écris en français. Ensuite, je suis en train d’étudier sur F5 APM parce que je souhaite passer à l’examen 304 pendant l’été. Cependant, mon certificat 303, qui est sur F5 ASM, expire en septembre alors que je voudrais aussi renouveler cette certification. Même si je n’ai guère beaucoup de temps, je veux continuer à écrire dans le blog. On verra après l’été !

À bientôt ! Profitez de l’été !

25 July 2022

F5 APM – SSO et mot de passe dans l’AD

J’ai fini récemment un projet où le client voulait ajouter des applications web à les utilisateurs dans un site web unique alors les employés introduisent leurs identifiants d’accès seulement une fois pour accéder à toutes les applications. C’est-à-dire, ils ont besoin de configurer d’authentification unique ou SSO dans le site web. C’est facile de faire avec F5 APM et groupes d’Active Directory. Cependant, il y avait beaucoup d’applications, beaucoup de groupes et beaucoup d’utilisateurs où les employées avaient plusieurs noms d’utilisateur et mots de passe. C’est pourquoi une solution alternative devait être proposée.

Même si la configuration avec groupes du contrôleur de domaine est la plus facile, le client voulait le faire directement dans les attributs des objets utilisateur. Ils préfèrent ajouter toutes les applications d’une personne dans un attribut qui est lu par F5 APM pour en montrer dans le site web unique. Donc, il y a un attribut comme ça (app1&userapp1&passapp1; app2&userapp2&passapp2) dans le contrôleur de domaine où se trouve toutes les applications que l’employé peut utiliser. De plus, il était nécessaire de chiffrer les mots de passe dans l’attribut pour empêcher tout accès non autorisé en cas de vol de la base de données.
 

Bien que le vidéo ne soit pas très descriptif, je voulais le partager avec vous d’autant plus que c’est un exemple de configuration d’authentification unique et SSO où les applications autorisées pour les utilisateurs sont dans un attribut du contrôleur de domaine, et aussi, les mots de passe sont chiffrés. À mon avis, la configuration plus importante et plus ardue de faire est l’iRule où l’attribut est lu et traité pour démonter chaque application et nom d’utilisateur qui sont ensuite enregistrés dans les variables du F5 APM.

Vous avez fait quelque fois un projet d’authentification unique dans une entreprise ?

18 July 2022

F5 APM – App Tunnel pour Win & Unix


J’ai déjà écrit il y a deux ans sur Portal Access dans F5 APM. À mon avis, c’est un bon outil pour accéder aux ressources internes à partir d’Internet. Or, bien que Portal Access soit facile à configurer, il n’est pas toujours la meilleure option parce qu’il y a des applications web qui ne fonctionnent pas bien à cause du JavaScript ou du code CSS. En effet, la plupart des applications web ne fonctionnent guère avec Portal Access d’autant plus qu’elles ont besoin du JavaScript pour travailler correctement.

Dès que je connais App Tunnel l’année dernière, je l’utilise de plus en plus. D’abord, je configurais App Tunnel pour Windows, ensuite je le configure aussi pour Unix. Donc, App Tunnel est une bonne caractéristique quand il y a des problèmes avec Portal Access car l’ordinateur créera un tunnel contre l’application directement. Il ressemble à une SSL VPN où il n’est pas nécessarie de réserver des adresses IP pour les clients parce qu’il aura des NAT entre F5 APM et les ressources.

Ci-dessous vous pouvez regarder une vidéo pour configurer App Tunnel pour les clients Windows et Unix.
 
 
Comment donnez-vous accès aux ressources internes à partir d’Internet aux clients Windows et Unix.

11 July 2022

Migration de F5 BIG-IP

Vous vous rendez compte que j’écris de temps en temps des choses que j’ai fait ou que j’ai appris dans mon boulot. En effet, il y a beaucoup d’articles sur la cybersécurité et les réseaux dans ce blog, où je range mes idées, qu’ils sont très nécessaire plus tard pour moi quand je dois rappeler quelque chose ou je dois le faire encore. C’est-à-dire, ce sont mes remarques et ma mémoire pour les tâches au travail.

Aujourd’hui, j’aimerais vous raconter brièvement comment j’ai migré les paramètres d’un dispositif F5 à un autre sans modifier la configuration des équipements en production. Bien que ajouter le nouvel F5 au cluster soit la meilleure option pour la synchronisation de la configuration, ce n’était pas possible parce que le client ne voulait pas modifier les paramètres du dispositif en production alors qu’on doit copier peu à peu la configuration d’un dispositif à l’autre.

D’abord, il est nécessaire que les deux appareils aient la même version du micrologiciel. Ensuite, on doit télécharger une sauvegarde de chaque appareil. Le dispositif en production et le nouveau dispositif. La sauvegarde sera un fichier avec l’extension .ucs qu’on peut décompresser pour analyser et copier les paramètres. Donc, il faut ajouter dans les fichiers bigip.conf et bigip_base.conf les paramètres qu’on veut migrer d’un appareil à l’autre. Le fichier bigip.conf contient la plupart de la configuration comme les serveurs virtuels, pools et noeuds tandis que le fichier bigip_base.conf conf sert à enregistrer la configuration des cartes réseau. Or, c’est un peu difficile de localiser le dossier filestore dans la sauvegarde parce qu’il se trouve dans le dossier /var/tmp où on a les iFiles ou moniteurs externes.

Sauvegarde de F5 BIG-IP

Par exemple, s’il y a des iApps, on trouvera la section « sys folder » dans bigip_base.conf et la section « sys application service » dans bigip.conf. Les deux sections doivent être copiées pour migrer les iApps vers le nouvel appareil. Ce sont les premiers objets à migrer puis on peut continuer avec les certificats numériques, profils, nœuds, pools, etc. Il est important de signaler qu’il est préférable d’exporter et d’importer les sections sur les certificats numériques, les profils APM et les politiques de sécurité plutôt que de copier les paramètres d’un fichier à un autre.

Configuration d'iApp

En dernier lieu, il faut exécuter « tmsh load sys config verify » pour savoir si le fichier de configuration a été copié correctement et « tmsh load sys config » pour charger la configuration dans le système. Ma recommandation est de charger peu à peu la configuration au lieu d'importer tous les paramètres en une seule étape.

tmsh load sys verify
Comment migrez-vous la configuration d’un appareil à l’autre ?

4 July 2022

Conférences de hacking en France

Vous savez déjà que je suis en train d’étudier Français et c’est la raison pour laquelle j’ai commencé à écrire en français dans ce blog. Je suis désolé s’il y a des erreurs dans le texte mais l’apprentissage d’une langue a besoin d’incorporer la langue dans la vie d’étudiant. C’est pourquoi, en tant qu’ingénieur informatique, j’ai cherché des ressources sur l’IT et la cybersécurité pour maîtriser le français dans le domaine où je travaille. À mon avis, c’est le meilleur moyen d’apprendre une langue d’autant plus qu’on peut profiter du chemin de l’apprentissage. Il est non seulement nécessaire d’étudier le vocabulaire et les verbes mais aussi de voir la langue dans le monde réel.

Grâce à la recherche de ressources en français dans le domaine de la cybersécurité, j’ai trouvé des conférences sur le hacking à Paris. Ils sont très loin d’ici d’où j’écris mais il y a déjà beaucoup de vidéos des années précédentes sur YouTube qu’on peut regarder. D’abord, les conférences de leHack qui a été initiée en 2003 par l’équipe HZV et a été inspirée par la célèbre DEF CON de Las Vegas, leHack est l’une des plus anciennes conférence de hacking underground francophone. Ensuite, Hack in Paris est un autre événement qui est en pleine croissance, rassemblant chaque année des experts et passionnés de la sécurité informatique dans la capitale française. Tous les deux sont très intéressant pour apprendre sur la cybersécurité et aussi le français.

Je n’ai guère le temps de regarder toutes les vidéos alors que je regarderai seulement les vidéos qui sont en français pendant l’été. Or, je pense que la chaîne YouTube de leHack est plus intéresante que la chaîne de Hack in Paris parce qu’ils sont des conférences de hacking underground vraiment francophone. En effet, il y a plus de vidéos en français dans leHack que dans Hack in Paris. On verra quand je les regarde cet été. Bien que je ne réussisse pas mes examens de français, je sais que le temps consacré à les regarder en valait la peine.

Qu’est-ce que vous faites pour apprendre une langue ?

27 June 2022

CLUSIF : la sécurité des systèmes industriels

Je ne connaissais pas Le CLUSIF jusqu’au dernier weekend quand j’ai lu à propos d’une conférence sur la sécurité des systèmes industriels. Le Clusif est une association qui promeut la sécurité numérique en France. Par exemple, il a contribué à faire le kit de sensibilisation de Cybermalveillance.gouv.fr. Ce mois-ci, le CLUSIF a organisé une conférence sur le thème de la sécurité des systèmes industrielle où il y avait des experts sur le sujet de la cybersécurité industriel qui donnaient des conseils et recommandations pour améliorer la sécurité dans les systèmes industriels.

D’abord, Theo Gissinger-Schumann (EIFFAGE) a expliqué que la convergence entre l’IT et OT existe depuis plusieurs années avec le but de faire des interconnexions entre ces deux mondes. Il rappelle que les incidents sur l’OT sont plus sérieux et dangereux que ceux sur l’IT d’autant plus que l’impact sur le processus industriel qui parfois est arrêté. De plus, il fait remarquer que les attaques hors ligne coûtent souvent plus chers pour les attaquants par rapport à celles en ligne parce que celles hors ligne impliquent le concours de personnes de l’entreprise qui le font intentionnellement ou non.

Ensuite, Philippe Puyou-Lascassies (TEREGA) qui travaille dans une opérateur d’infrastructures gazières a noté que la sécurité de son réseau est assurée par une DMZ où la partie IT est isolée de la partie industrielle. Il a ajouté que l’entrée de données dans le réseau est interdite sauf exception. Or la sortie d’éléments est possible. Ils ont positionné des diodes pour assurer l’export de fichiers de façon sécurisée. De l’autre côté, l’entrée de données est très surveillée avec un système propriétaire qui alimente un jumeau numérique dans le Cloud.

Puis, David Arnold (Michelin) présente comment la cybersécurité a évolué dans son entreprise depuis l’arrêt d’une usine aux États Unis à cause d’une clé USB qui contenait un malware. Aujourd’hui un service cybersécurité pour l’OT a été créé avec des automaticiens. Il explique que les usines achètent souvent de nouvelles machines et en analysant les contrat de maintenance, la partie patchs de sécurité et plus généralement maintenance en condition opérationnelle pour l’informatique n’étaient pas prise en compte.

Finalement, Baptiste Fouque (ALSTOM) explique que le problème de cette entreprise reste que les agents qui entretiennent les machines ne sont pas les mêmes entre ceux qui l’ont fait par exemple à Paris le matin et à Marseille le soir. Donc, il est nécessaire de fournir une gestion des identités fortes, disponible et alignée sur les besoins des opérateurs : la solution est le jeton. On leur donne des droits ponctuels pour effectuer ses missions, par exemple, en cas de panne en rase campagne, des jetons de mission sont données pour une durée limitée et pour des actions limitées.

Malheureusement, il n’y a pas de vidéos de cette conférence sur la chaîne Youtube de CLUSIF alors que j’ai pu seulement lire des articles sur ce sujet.

Vous avez assisté à cette conférence? Qu’est-ce que vous avez appris ?

20 June 2022

Smartphone et forensique : Pégasus


J’ai regardé ce weekend la présentation de Etienne Maynier dans le symposium sur la sécurité des technologies de l’information et des communications (SSTIC), qui est une conférence francophone sur le thème de la sécurité de l’information, oú il a parlé surtout de l’histoire de la société israélienne NSO Group, le fonctionnement de Pégasus et il a détaillé la méthodologie forensique utilisée pour démontrer techniquement l’infection avec le logiciel-espion Pégasus. Je vous recommande vraiment cette présentation pour mettre à jour vos connaissances sur la scène de l’espionnage.

Les attaques informatiques contre les journalistes et les défenseur·ses des droites humaines se sont multipliées dernièrement, bien souvent avec les mêmes outils et techniques utilisées contre des gouvernements ou des entreprises. Dès 2012, il est apparu que plusieurs d’États utilisaient les malwares développés par la première génération d’entreprises d’espionnage, notamment Hacking Team et Gamma Group/Finfisher. En 2016, l’existence de NSO Group a été révélée comme un nouveau leader avec un logiciel-espion appelé Pégasus permettant de pirater des téléphones portables.

Pégasus au Maroc
Pégasus est un malware commercial développé exclusivement pour smartphone et vendu officiellement à des fins de lutte contre le terrorisme. Il se base sur l’utilisation de vulnérabilités 0-day pour l’infection et l’élévation de privilège afin de s’installer au plus haut niveau de privilège du système. Il est malheureusement difficile de savoir à quoi ressemble Pégasus aujourd’hui mais les anciennes versions surveillent l’état du téléphone et suppriment le malware si une tentative de jailbreak est découverte, ou si le malware ne peut pas communiquer avec les serveurs de C&C.

Pégasus pour BlackBerry en 2010
Les chercheurs pensent que les versions récentes de Pégasus n’ont pas de persistance sur le système et sont donc supprimées par un simple redémarrage du téléphone parce que les infections sans clics permettant de réinfecter le téléphone si besoin, rendant très difficile la récupération du logiciel lors d’une analyse. Donc, Amnesty International a développé une méthodologie d’analyse forensique pour identifier des traces de Pégasus sur smartphone. Notamment, il est basé sur les backups sur les iPhone car Android a besoin d’une méthode plus intrusive a cause du jailbreak.

Méthodologie forensique
Afin de simplifier l’analyse de backups, Amnesty International a développé et publié un logiciel (Mobile Verification Toolkit) qui permet à la fois d’aider à l’analyse d’un téléphone, d’extraire les données ainsi que d’identifier de potentielles traces malveillantes à partir d’indicateurs de compromission (IOC). L’analyse d’artefacts est organisée en modules qui sont regroupés par type d’analyse et sont lancés les uns après les autres lors d’un l’analyse.

Mobile Verification Tookit
Pégasus est à la une ces semaines en raison du fait que le gouvernement espagnol l’a utilisé contre des politiciens catalans et c’est pour ça que je voulais lire et apprendre sur ce logiciel-espion.

Qu’est-ce que vous pensez de Pégasus? J’espère vos réponses.

13 June 2022

Les fondamentaux de la gestion de crise cyber

La lecture est une activité que j’aime beaucoup. En effet, j’ai écrit sur les livres que j’ai lu dans ce blog. Dans le café de la jeunesse perdu, L’Anomalie, et Trois jours et une vie sont quelques livres en Français que j’ai lu récemment. Or, en tant qu’ingénieur informatique, j’aime aussi lire sur la technologie et la cybersécurité. Ainsi donc, j’ai trouvé ce livre de Laurane Raimondo que je voudrais lire pendant cet été et que je vais te raconter le table de matières au cas où vous voulez aussi le lire.

Le premier chapitre est simplement sur les définitions et origines des crises cyber où on peut comprendre où se trouve le nouvel espace numérique. Néanmoins, le deuxième chapitre semble plus intéressant où Raphaël de Vittoris nous raconte la gestion de crise cyber et classique, entre similitudes et divergences. L’anticipation de la crise cyber : la clé de la réussite est le troisième chapitre qui a un cas concret dont je suis sûre il sera très didactique pour atteindre les objectifs de la gestion de crise cyber.

Ensuite, il y a un chapitre sur la législation qui est vraiment un pilier d’anticipation et de réponse à la crise cyber. C’est vrai que les lois sont différentes dans chaque pays mais le livre remarque aussi les textes européens et internationaux. Le chapitre cinq parle de technique et gouvernance qui sont un équipe indissociable d’autant plus que nous sommes ensemble contre les cyberattaques. Cependant, si vous voulez savoir comment gérer un exercice de gestion cyber, il faut lire le chapitre six où se raconte la formation, la préparation et l’animation d’une simulation.

Puis, on arrive au chapitre sept où nous sommes dans le coeur de la crise cyber grâce à Jérôme Saiz qui raconte depuis le début de la crise jusqu’à la fin. Nous allons savoir comment organiser et réagir avec efficacité. De plus, il est nécessaire de prendre soin des équipes et Jérôme nous dit comment le faire. La communication de crise est une capacité très importante pendant la gestion de crise alors qu’il y a un chapitre pour cela. Le chapitre huit est une présentation de toutes les phases de communication pendant la crise cyber.

Finalement, il y a deux choses que nous oublions de temps en temps. D’abord, la crise n’est pas là pour toujours, c’est pourquoi on doit savoir sortir de la crise. Le chapitre neuf nous le raconte. Ensuite, le dernier chapitre, le dix, s’agit de l’importance du retour d’expérience qui est vraiment important pour l’apprentissage de la gestion cyber. La collecte d’information et le débriefing sont quelques choses qu’on peut trouver dans ce dernier chapitre.

Étant donné que c’est un livre plein de recommandations, je veux le lire cet été. Dans mon cas, c’est une bonne chance d’apprendre français et aussi la gestion de crise cyber.

Qu’est-ce que vous pensez de la gestion de crise cyber? J’espère vos réponses.

6 June 2022

Français

Vous avez vu que j’écris en français dernièrement. La raison principale est que je suis en train d’apprendre le français et je dois écrire en français pour améliorer cette compétence. En effet, j’écoute aussi beaucoup la radio en français pour maîtriser cette autre capacité. Cependant, l’apprentissage de la langue française est très difficile pour moi parce que je ne l’utilise pas d’habitude. C’est totalement différent de l’anglais que j’utilise quotidiennement dans mon travail.

Aujourd’hui, je suis vraiment désolé parce que j’ai des examens cette semaine et je dois étudier. Donc, je ne peux rien vous raconter sur la cybersécurité.

À bientôt !

30 May 2022

Hackeurs au service de la société

C’est le dernier article sur les mécaniques de la cybermenace où on peut trouver un hackeur qui nous raconte comment il cherche des vulnérabilités grâce aux plateformes comme Yogosha, Yes We Hack ou encore Hacker One. D’autre part, le général d’armée Marc Watin-Augouard souligne que la cybersécurité n’est pas seulement pour les geeks mais aussi pour les philosophes, sociologues, etc, c’est-à-dire qu’il ne faut pas s’arrêter à la notion technique de sciences de l’ingénieur. On a besoin de sciences humaines. En effet, il y a des milliers d’emplois dans la cybersécurité qui ne trouvent pas preneurs.

Killian est ingénieur en cybersécurité la journée et hackeur la nuit. Il n’a que 27 ans et fait partie de la trentaine de hackeurs éthiques français qui pourraient vivre uniquement de cette activité. Un profil rare et très recherché. Son job comme hackeur éthique consiste à trouver des bugs, des failles et pour les trouver, il est récompensé par des primes (« bounty » en anglais). L’exercice s’appelle donc Bug Bounty. On peut rendre un site indisponible en le saturant de demandes, par exemple. C’est le principe d’une attaque dite DDoS, par « déni de service ».

Les hackeurs éthiques sont souvent jeunes, car il faut tenir le rythme, se tenir tout le temps informé. « Attention au burn-out », confie Killian. Mais le mode de vie peut être grisant : en un week-end sur un Bug Bounty réussi, il avait empoché 20 000 dollars. Plusieurs hackeurs éthiques avaient alors collaboré pour trouver les failles d’un jeu vidéo que l’éditeur leur avait demandé de tester. Killian fait aussi des « pentest », des « penetration tests » (test d’intrusion) qui sont parfois de vraies intrusions physiques dans les entreprises.

On arrive à la fin du podcast et vous vous dites peut être que tout cela est bien inquiétant, très technique ou affaire de spécialistes. Et pourtant, le cyber est aussi l’affaire de tous. C’est la conviction du général d’armée Marc Watin-Augouard. Il dirige la session nationale cybersécurité, une année de cours en alternance proposée par l’Etat sur des grandes questions stratégiques à destination de dirigeants d’entreprises ou d’administrations, de militaires, de civils, de chercheurs...

Et le cyber, ce ne sont pas que des institutions publiques, loin de là. C’est un secteur économique très dynamique et très rentable. Il y a un bâtiment flambant neuf de 13 étages à La Défense, près de Paris. La tour a ouvert en mars et réunit tout l’écosystème du cyber. L’idée est de faire naître de nouveaux fleurons industriels français du cyber.

Le campus s’est inspiré d’autres lieux identiques : Beer-Sheva en Israël, ou encore Skolkovo en Russie. Le but est de monter en gamme, avec un incubateur de startups, notamment. En cybersécurité, il y a un concept clé : la résilience. Les cyberattaques font partie du quotidien désormais, il faut y être préparé.

Est-ce que vous voulez travailler comme hackeur éthique ?

23 May 2022

La justice face aux cybercriminels

Lors leurs attaques en profitant de l’anonymat du monde numérique, souvent de l’étranger, et font payer leurs victimes en cryptomonnaie, censée perdre les enquêteurs sur la trace de ces flux financiers illégaux. Les cybercriminels ont beaucoup d’atouts de leur côté, mais face à eux, la police, la gendarmerie et la justice se sont elles aussi converties au numérique avec des services spécialisés comme le C3N, le Centre de lutte contre les criminalité numériques, qui appartient à la gendarmerie et basée à Pontoise.

Le service est dirigé par la colonelle Fabienne Lopez qui a dit « on est entre 20 et 30 % d’augmentation chaque année et ce sont des augmentations qui sont régulières. La délinquance et la criminalité évoluent, elles s’adaptent à son époque et on ne peut pas être efficace en police judiciaire si l’on reste sur des vieux constats, de vieilles habitudes. Car la délinquance aujourd’hui est aussi et surtout sur internet. On se doit de se mettre à niveau et de se mettre au goût du jour. Pour les contrer, il faut être sur leur terrain aussi. »

Le C3N met en avant ses résultats, avec par exemple cette opération menée en coopération avec la police ukrainienne en octobre 2021 (avant la guerre) et racontée dans l’Essor, le magazine de la gendarmerie nationale. Une vidéo de l’arrestation a aussi été publiée (ci-dessous).
 

Les criminels s’affranchissent des frontières, les polices doivent donc coopérer et développer également des compétences très pointues. Le major Florent Peyredieu est le chef de la section ASTAD (pour Atteinte aux services de traitement automatisé des données). Il travaille avec cinq écrans d’ordinateur sur son bureau et il a des graphiques qui retrace le trajet d’une rançon entre la victime et son bénéficiaire final. C’est très compliqué mais on y voit qu’un paiement en crypto-monnaie ne rime pas forcément avec anonymat.

Des cryptomonnaies pas forcément intraçables. On est capable de dire que la rançon a été payée et que l’argent tend à être dissimulé par le biais de mixeurs. Ce sont des outils qui ont vocation à effacer le trajet des flux financiers. Mais toutefois, on arrive à les démixer grâce à les gens formés qui sont capables de retrouver le lien, à partir d’algorithmes et de schémas mathématiques. Finalement, on arrive à suivre la rançon jusqu’à des bascules, des swaps : ce sont des changements de monnaie.

Le montant des rançons varie en fonction du type d’attaque. On en distingue deux principales. Celles menées au chaland, qui ne visent pas de cibles en particulier : de quelques centaines à quelques centaines de milliers d’euros tout de même. Et celles qui visent des cibles en particulier, qui prennent beaucoup de temps à préparer : jusqu’à 70 millions de dollars, par exemple, demandé par le gang Cybercriminels REvil à une entreprise américaine en 2021.

Qu’est-ce que vous pensez de payer la rançon avec de la cryptomonnaie ?

16 May 2022

Les nouvelles technologies : atouts & dangers

Je travaille comme ingénieur informatique depuis 12 ans où on vend toujours les dernières innovations technologiques. En effet, je brûle pour la technologie parce que, dans le bureau, on peut voir tous les atouts que le numérique apporte à la société. Par exemple, grâce aux nouvelles technologies on a de meilleurs médicaments. Non seulement on a amélioré la santé mais en plus la connaissance et l’accès aux informations à travers d’Internet.

En dépit de tous les avantages du numérique, il y a aussi des dangers qu’il faut prendre en compte. Bien que l’accès à beaucoup de services d’Internet soit gratuit, le plus souvent, on paie avec nos données. Les réseaux sociaux sont un exemple de cela où les entreprises utilisent nos goûts et nos recherches pour proposer des produits adaptés à notre profil social. Ainsi donc, Facebook ou Twitter prennent toutes nos données pour montrer des annonces selon nos habitudes d’achat.

À mon avis, la technologie a plus d’atouts que de risques. Même si les dangers sont là, les avantages que le numérique a déjà apporté à notre mode de vie sont notablement évident. Malheureusement, on a beau dire sur les menaces des nouvelles technologies, il y aura toujours des victimes et des cyberattaquants.

9 May 2022

Les victimes de cyberattaques

Dans le troisième épisode de la mécanique de la cybermenace on peut écouter les conséquences d’une cyberattaque très grave à Dax où un hôpital a subi une cyberattaque totale qui a impacté l’intégralité des données. La directrice-adjointe de l’hôpital et le chef informatique nous racontent comment l’hôpital ne savait pas quoi faire parce que les données avaient été chiffrées et les patients y arrivaient mais l’hôpital ne savait rien des malades, s’ils venaient en consultation, pour êtres opérés, ou pour quoi.

Ça commence comme une panne. Car au début, une cyberattaque n’a rien de forcément très spectaculaire. Dans la nuit du 8 au 9 février 2021, les standardistes de l’hôpital de Dax constatent que leur téléphone ne répond plus et que leurs sessions d’ordinateur ne s’ouvrent plus. L’astreinte informatique est alertée, mais l’agent n’arrive pas non plus à se connecter à distance et il constate surtout la présence d’un petit fichier : RYK, du nom d’un logiciel de rançon bien connu. Ryuk, à l’origine de la plupart des cyberattaques contre les hôpitaux français pendant la pandémie de Covid-19.

Déjà confronté au Covid, l’hôpital fait face à un second virus, mais informatique. Pour éviter une propagation, internet est coupé, tout comme les connexions aux autres hôpitaux et à la médecine de ville. Les urgences sont alors réorientées vers d’autres hôpitaux mais la principale inquiétude concerne les patients soignés pour un cancer en radiothérapie. Ils sont suivis en cure pendant une cinquantaine de séances et le traitement ne doit absolument pas être arrêté. Ils sont eux aussi envoyés vers d’autres hôpitaux.

Tous les soignants évoquent un sentiment de révolte. Mais heureusement, l’attaque n’a pas fait de morts, contrairement à ce qui est arrivé à Düsseldorf, en Allemagne, en septembre 2020. Là bas, une femme n’a pas survécu à son transfert dans un autre hôpital lors d’une cyberattaque. À Dax, le groupe cybercriminel a bel et bien demandé la rançon.

La rançon était réclamée en bitcoins, cryptomonnaie réputée intraçable. L’Hôpital de Dax a refusé de payer, mais ne communique pas sur le montant qui a été demandé, ni sur la faille informatique exploitée par les rançonneurs. Un an après, la quasi-totalité des données a pu être récupérée. L’hôpital estime le coût financier de cette cyberattaque à environ 2 millions d’euros.

Et dans bien des cas, les conséquences sont dramatiques : entre 50 % et 80% des PME dont les données sont bloquées lors d’une cyberattaque finissent par faire faillite, estime un rapport du Sénat publié en juin 2021, citant des sources américaines et britanniques. Entre 2020 et 2021, le nombre d’attaques aux logiciels de rançon a été multiplié par quatre d’après l’Anssi, l’Agence nationale de sécurité des systèmes d’information, qui a envoyé une équipe à Dax pour aider l’hôpital.

Qu’est-ce que vous pensez sur les conséquences du logiciels de rançon ?

Merci! À bientòt!

2 May 2022

La démocratie dans le viseur

J’ai écouté le deuxième podcast ce weekend de la mécanique de la cybermenace dans franceculture.fr. C’est une bonne chance d’apprendre le français et aussi d’être mis à jour sur la cybersécurité. Cet épisode parle de la démocratie et la cybersécurité, comme les cyberattaques reçues aux États-Unis et en France par la Russie avant l’élection présidentielle en 2016 et 2017. Donc, les autorités françaises ont créé une nouvelle agence face aux ingérences numériques étrangères : Viginum.

C’est ce qu’on appelle aujourd’hui une attaque hybride qui, à l’époque, avait été très mal anticipée. En 2016, un mois avant l’élection présidentielle américaine, les directeurs de la Sécurité intérieure et du renseignement national accusent publiquement la Russie d’ingérence dans le processus démocratique. Les comptes email du Parti démocrate ont été piratés et publiés ensuite par WikiLeaks, avec l’intention initiale de nuire à Hillary Clinton ou en tout cas de saper la confiance dans l’élection et dans les institutions démocratiques.

C’est la méthode du « hack and leak », le vol de données, puis la diffusion de ces informations parfois manipulées. Méthode utilisée en France l’année d’après, à l’avant-veille du second tour de l’élection présidentielle : ce qu’on l’appelle « Macron Leaks ». En tout, 20000 emails sont publiés et mêlés à des faux mais la manipulation arrive trop tard pour avoir un impact. La France n’accuse pas officiellement la Russie mais des responsables américains du renseignement le font à demi-mot le 9 mai 2017, lors d’une audition au Congrès : « Nous nous sommes aperçus d’activités russes dont nous avons parlé à nos homologues français, et nous avons partagé nos informations avec eux », déclare le directeur de la NSA Michael Rogers. Cinq ans plus tard, le risque, cette fois, est clairement identifié par les autorités.

Avant la présidentielle et les législatives de 2022, tous les candidats et leurs partis ont été sensibilisés par l’ANSSI, l’Agence nationale de sécurité des systèmes d’information et par une nouvelle agence créée en octobre 2021, chargée de lutter contre les ingérences numériques : Viginum. Une réunion avec tous les représentants des partis politiques a eu lieu le 14 octobre 2021, confirme Cédric O.

Pour contrer ce qu’on appelle la Lutte informatique d’influence (L2l), Viginum est dotée d’une soixantaine d’agents et chapeautée par le Secrétariat général à la défense et à la sécurité nationale (SGDSN), dirigé par Stéphane Bouillon. Ce dernier était auditionné à l’Assemblée nationale le 2 juin 2021 à ce propos. L’objectif est de détecter les fausses informations et les manipulations étrangères avant qu’elles ne déstabilisent l’État ou la vie politique.

Qu’est-ce que vous pensez de ce type d’agence ? Tous les pays devraient avoir une agence comme Viginum ?

Merci! À bientòt!

Related Posts Plugin for WordPress, Blogger...

Entradas populares