Академический Документы
Профессиональный Документы
Культура Документы
scu 44
lACTUSCU est un magazine numrique rdig et dit par les consultants du cabinet de conseil XMCO SEPTEMBRE 2016
Tests dintrusion
des applications iOS
Prsentation de la mthodologie utilise pour ce type daudit
Confrences
HITB, SSTIC et HackInParis
Actualit du moment
Analyse des vulnrabilits ImageTragick, BadLock et HTTPoxy
1
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
www.xmco.fr
2
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Vous tes concern
par la scurit informatique
de votre entreprise ?
XMCO est un cabinet de conseil dont le mtier est
laudit en scurit informatique.
Fond en 2002 par des experts en scurit et dirig par ses
fondateurs, les consultants de chez XMCO ninterviennent que
sous forme de projets forfaitaires avec engagement de rsultats.
Les tests dintrusion, les audits de scurit, la veille en
we deliver security expertise
vulnrabilit constituent les axes majeurs de dveloppement
de notre cabinet.
Nos services
Test dintrusion
Mise lpreuve de vos rseaux, systmes et applications web par nos
experts en intrusion. Utilisation des mthodologies OWASP, OSSTMM, CCWAPSS.
Audit de scurit
Audit technique et organisationnel de la scurit de votre Systme
dInformation. Best Practices ISO 27001, PCI DSS, Sarbanes-Oxley.
Cert-XMCO - Serenety
Surveillance de votre primtre expos sur Internet.
Nous recrutons !
Indpendamment dune solide exprience dans la scurit informatique, les candidats devront
faire preuve de srieuses qualits relationnelles, dun esprit de synthse et dune capacit rdi-
ger des documents de qualit. XMCO recherche avant tout des consultants quilibrs, passionns
par leur mtier ainsi que par bien dautres domaines que linformatique.
Tous nos postes sont bass Paris centre, dans nos locaux du 2me arrondissement.
XMCO recrute des analystes/consultants juniors afin de participer aux activits du CERT-XMCO.
Comptences requises :
Forte capacit danalyse et de synthse
Bonne qualit rdactionnelle (franais et anglais)
Connaissances techniques scurit, rseau, systme et applications
Maitrise du langage Python
XMCO recrute des consultants juniors avec une premire exprience (1 an) et des
consultants avec une exprience significative (2 ans 3 ans minimum) en audit de scurit
et en tests dintrusion.
Comptences requises :
Profil ingnieur Janvier 2015
Analyste/Consultant junior
Matrise des techniques de tests dintrusion : Injection SQL, XSS, Exploits, XXE, etc.
XMCO
Exprience
recruteen des
testsanalystes/consultants
dintrusion applicatifs,junior
web-services, mobile, internes,
afin de participer etc. du
aux activits
CERT-XMCO.
Matrise dun langage de programmation (Java, C) et dun langage de scripting (Perl, Ruby,
Python) et des mthodes de dveloppement scuris OWASP
Le
Matrise des meilleures
CERT-XMCO est un CERTpratiques
officiel,de scurit auprs
rfrenc pour lesdusystmes dexploitation Windows
CERT gouvernemental (le /
Unix et les quipements rseau
CERT-FR) et le rseau des CERT Europen Trusted Introducer.
Le
Capacits
CERT-XMCO relationnelles et en
est lentit rdactionnelles
charge de laimportantes
surveillance et de la prvention des
Possibilit,impactant
menaces pour les profils leset applications
les systmes plus expriments, de raliser
de nos clients. des missions
Les principales
daccompagnement PCI DSS.
activits du CERT-XMCO sorientent autour de 4 axes :
Veille en vulnrabilits
Les consultants travaillent en quipe et en mode projet.
44
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Stagiaire CERT-XMCO
Le cabinet XMCO propose un stage de fin dtudes sur le thme de la scurit informatique,
afin de participer aux activits du CERT-XMCO.
Le cabinet XMCO propose un stage de fin dtudes sur le thme de la scurit informatique
et des tests dintrusion.
Les concepts suivants seront approfondis par le stagiaire sous la forme dtudes, de
travaux pratiques et dune participation aux audits raliss par les consultants XMCO :
Veille en vulnrabilits Systmes et Rseaux
Les intrusions informatiques et les tests dintrusion
Les failles dans les applications Web et les web-services
Les vulnrabilits des quipements mobiles
Projets de dveloppement internes encadrs
Participation aux projets R&D du cabinet
55
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
sommaire p. 7
p. 7
p. 24
p. p.
xxx24
p. 29
Confrences
HITB, SSTIC et HIP
p. 29
p. 59
Actualit du moment
Analyse des vulnrabilits
ImageTragick, Badlock et
HTTPoxy
p. 59 p. 75
p. 75
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Les tests d'intrusion d'application mobiles iOS
Il y a un an (juillet 2015), nous avions publi au sein de lActuScu #41 (https://www.xmco.fr/actu-secu/XMCO-ActuSe-
cu-41-Tests-Intrusion-Android.pdf), un dossier sur les tests dintrusion dapplications Android.
Bien entendu, afin dadresser le plus dutilisateurs possible, lapplication iOS va de pair avec lapplication Android. Nos
clients nous demandent trs frquemment de raliser des tests sur les deux types dapplications.
Cette anne, nous vous proposons donc de partager notre retour dexprience travers une approche de notre mthodo-
logie en matire de tests sur les applications iOS. Cet article naura donc pas pour vocation de prsenter de manire ex-
haustive l'ensemble des techniques utilises dans le cadre de tests dintrusion dapplications mobiles. Il s'agira davantage
d'un support permettant d'identifier les problmes de scurit inhrents aux applications mobile et plus prcisment iOS.
RadishTM
> Introduction
Au fil des annes, les smartphones sont devenus incontournables, tant dans notre vie personnelle que professionnelle. Ce
besoin de rester connect ainsi que cette course la technologie des consommateurs a littralement fait exploser les ventes
de produits, atteignant la barre des 400 millions de ventes en 2015 (http://www.zdnet.fr/actualites/chiffres-cles-les-ventes-
de-mobiles-et-de-smartphones-39789928.htm).
Les entreprises ont galement saut le pas et le nombre dapplications mobiles a augment de manire exponentielle au
cours des cinq dernires annes. Que cela soit pour une application mtier (chiffrement des donnes, communication avec les
ressources de lentreprise, gestion du cur de mtier pour les consultants nomades, etc.) ou bien pour une application vitrine,
les entreprises investissent de plus en plus dans ces nouvelles mthodes de travail.
Lexplosion du nombre dapplications iOS na pas laiss le temps aux dveloppeurs de se former aux diffrentes techniques
de dveloppement scuris entranant la remise au got du jour de certaines vulnrabilits que lon rencontrait au sein des
applications Web il y a une dizaine dannes (mots de passe stocks en dur, logs verbeux, absence de chiffrement des donnes
critiques, etc.) 7
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Cette volution ne pouvait se faire sans un certain revers de mdaille. Le succs a un prix payer. Plusieurs tudes font ainsi
ressortir les craintes concernant une augmentation du nombre de menaces visant les tlphones mobiles (http://www.le-
mondeinformatique.fr/actualites/lire-hausse-attendue-des-cybermenaces-visant-les-terminaux-apple-en-2016-63272.html).
En effet, les menaces visant les terminaux mobiles ont pris de lampleur et des socits spcialises nhsitent pas rache-
ter prix dor des failles de scurit impactant les plateformes mobiles (https://www.zerodium.com/ios9.html). La scurit
informatique restant un business part entire, il va sans dire que payer un million de dollars pour une faille de scurit
affectant la dernire version diOS en rapportera probablement le double son acqureur
LiPhone est une gamme de tlphones commercialiss par la socit Apple depuis le 29 juin 2007. Selon lancien PDG
dApple, Steve Jobs, son dveloppement aurait dur deux ans et demi.
Profitant dune importante campagne de publicit aux tats-Unis, 200 000 iPhone ont t vendus au cours des trois
premires semaines suivant son lancement. La campagne internationale fut galement soigne. 10 000 tlphones ont
ainsi t vendus en Allemagne et en Angleterre ds le premier jour.
Depuis sa sortie en juin 2007, 13 versions ont vu le jour amliorant continuellement le design, mais aussi la capacit de
stockage, les performances matrielles, le systme dexploitation (iOS / iPhone OS), etc.
LiPad, quant lui, est une tablette tactile commercialise depuis le 27 janvier 2010 disposant du mme systme
dexploitation que liPhone.
Du ct de l'OS, les volutions ont galement permis d'apporter de nombreux ajouts aussi bien en termes de
fonctionnalits, de performances, d'ergonomie, mais aussi de scurit (ce dernier point nous intresse). ce sujet, voici
quelques points permettant de retracer cette volution :
+ iOS 1 / juin 2007 : OS considr comme "rvolutionnaire" dont la proccupation principale n'tait pas la scurit (et
pas encore d'AppStore) ;
+ iOS 2 / juillet 2008 : Nouvelle mouture apportant son lot de correctif de scurit (dont 22 CVE). Support des
technologies Cisco IPSec VPNs, Wi-Fi WPA2 Enterprise et authentification 802.1x. cela s'ajoute le durcissement des rgles
de scurit.
+ iOS 3 / juin 2009 : Ajout des contrles distance et de golocalisation (en cas de vol par exemple / Find My iPhone).
Correction d'une cinquantaine de vulnrabilits (officielles).
+iOS 4 / juin 2010 : Ajout de la possibilit de saisir des mots de passe "longs" la place du classique PIN 4 chiffres,
gestion du multitches, ajout du chiffrement des pices jointes des mails, et gestion des permissions par application (bien
avant Android), renforcement du keychain. Correction d'environ 200 vulnrabilits (officielles) dmontrant la prise de
conscience et l'importance de la scurisation des donnes.
+iOS 5 / octobre 2011 : Siri fait son apparition. Correction d'environ 100 vulnrabilits (officielles).
+iOS 6 / septembre 2012 : Ajout de nouvelles options de scurisation (confidentialit, tracking, etc.). Correction
d'environ 200 vulnrabilits (officielles).
8
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Les tests dintrusion iOS
+ iOS 7 / septembre 2013 : "Scandale" de la backdoor aka "gotofail" et " juicejacking". Utilisation des lecteurs
d'empreintes afin de dverrouiller l'OS. Correction d'environ 100 vulnrabilits (officielles).
+iOS 8 / septembre 2014 : Utilisation d'une adresse MAC alatoire (antitracking). Correction d'environ 200
vulnrabilits (officielles).
+iOS 9 / septembre 2015 : 2FA avec El Capitan. Le mot de passe par dfaut passe de 4 6 caractres.
Ce bref historique tant tabli, rentrons prsent dans le vif du sujet en abordant les diffrents tests.
Nous lvoquions en introduction, bien que diverses et varies, les applications mobiles peuvent se regrouper en deux
catgories :
+ Application "lgre"
Nous retrouvons dans cette catgorie les applications vitrine (via des Web Views, appels des Web Services, etc.).
+ Application "lourde"
Les applications dites lourdes sont de plus en plus nombreuses et les fonctionnalits intgres sont de plus en plus
volues. Celles-ci sont en mesure de communiquer avec des serveurs dentreprise, de grer des systmes de chiffrement
de donnes, etc. Dans ce contexte, l'intelligence mtier est porte par l'application et non totalement dporte vers un ou
plusieurs serveurs.
En se plaant dans la position des tests dintrusion classiques et en fonction de la demande du client, il est possible de
sous-diviser nouveau les tests :
+ Bote blanche
Dans le contexte dun audit en bote blanche, lauditeur disposera galement de lapplication au format .ipa ainsi que de
son code source permettant la ralisation daudit de code intrusif (possibilit de vrifier les vulnrabilits remontes par
laudit de code). Ce type daudit est typiquement ralis dans le cadre des homologations ARJEL [https://www.xmco.fr/
audits-de-securite/]
En fonction de la nature de lapplication ainsi que de celle des tests souhaits, la dmarche suivre, les diffrents
rfrentiels de scurit sur lesquels sappuyer ainsi que les outils diffreront lgrement.
9
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Prsentation dune application iOS
Une application iOS est un fichier IPA. Mais encore ? Un fichier IPA n'est rien d'autre qu'une archive (type zip) contenant
l'application.
Au sein de cette archive, sont prsents le binaire excutable (rpertoire Payload), limage de lapplication utilise par
iTunesConnect sur lApple Store (iTunesArtwork) ainsi que le fichier iTunesMetadata.plist permettant lApple Store de
disposer dinformations supplmentaires sur lapplication (Nom du dveloppeur, version, copyright, catgorie, etc.).
Note :
Durant un pentest mobile, il est possible de dcouvrir des fichiers qui n'ont tout simplement rien faire dans une
application (documents de conception, notes, etc.). Il est donc parfois opportun de regarder le contenu direct de
l'application avant d'initier les tests.
Prenons l'exemple de l'application de tests DVIA. Lextraction de contenu de larchive se fait simplement :
$unzip -q DamnVulnerableiOSApp.ipa -d DamnVulnerableiOSApp
Afin de dvelopper une application, on retrouve dans la plupart des cas les deux alternatives que sont Objective-C (C et
C++ si besoin) et Swift. Si l'on compare Android, nous avons donc le modle suivant : Android & Java / IOS & Objectif C /
Swift. Le code compil pour les applications iOS apporte un niveau de difficult supplmentaire dans les phrases de reverse
en comparaison d'Android.
10
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Les tests dintrusion iOS
+ Objective-C
Langage de programmation orient objet qui se veut tre une extension du C comme le C++ (les deux pouvant tre
combins). N dans les annes 80, il se veut proche du Smalltalk.
Aujourd'hui, il est principalement utilis dans les systmes d'exploitation d'Apple : OS X et iOS, bass sur la bibliothque
de classes Cocoa.
+ Swift
Langage de programmation dvelopp par Apple partir de 2010 avec une premire version parue en 2014. Il est
destin la programmation d'applications sur les systmes d'exploitation iOS, OS X, watchOS et tvOS. Il est tout fait
possible de le faire coexister avec l'Objective-C. Sa cration est en partie due la volont d'Apple de simplifier la
conception de programmes sur ses plateformes (syntaxe, rduction du nombre de lignes, scurit, lisibilit, maintenance,
performances, etc.). En raison de sa "jeunesse", des absences restent combler, mais Apple se veut rassurant quant aux
amliorations qui vont y tre apportes.
Les tests ncessaires pour valuer une application lourde sont beaucoup plus chronophages que ceux lencontre des
applications lgres et ncessitent des points de vrification supplmentaires (analyse des documents d'architecture et
de la documentation, coute rseau, rtro-ingnierie, analyse dynamique, tude de la mmoire, analyse du systme de
fichiers, etc.).
Il est galement important de parler du "sandboxing" qui sera abord plus loin dans cet article (partie Analyse du
tlphone). Ce mcanisme de protection permet de protger l'intgrit d'une application et de ses donnes en limitant
les accs quil sagisse d'utilisateurs, d'autres applications (malveillante ou non), de mcanismes de communication entre
applications, etc. Dans notre contexte, il s'agit donc d'un environnement isol spcifiquement ddi une application.
Et comme un bon schma vaut largement une longue explication, voici l'illustration propose par le support de
dveloppement d'Apple afin d'illustrer le "avec et sans Sandbox" :
partir de ces informations de base, il est maintenant possible de regarder ce qu'il se passe une fois l'application installe
sur le terminal.
11
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> En amont des tests dintrusion
Les rfrentiels
Lors de la ralisation de tests dintrusion ou daudits de scurit, il est courant dentendre parler des Meilleures Pratiques
de Scurit. Mais que sont exactement ces meilleures pratiques ? Il ne sagit pas uniquement des connaissances acquises
par les auditeurs au fil des missions, mais bien de rfrentiels communs sur lesquels il est possible de se baser.
Connu pour ses guides de recommandations en matire de scurit des applications Web, lOpen Web Application Se-
curity Project (OWASP) a galement initi le projet OWASP Mobile Security Project (https://www.owasp.org/index.php/
OWASP_Mobile_Security_Project#tab=Home) afin daccrotre la scurit des applications mobiles au travers doutils, de
mthodologies, de plans de tests, etc.
Afin de rafrachir les mmoires de chacun, voici un bref rappel du TOP 10 Mobile qui permet de garder un fil conducteur afin
de couvrir une bonne partie des tests raliser ( adapter au contexte de chaque application bien entendu):
Nous lvoquions prcdemment, certaines applications peuvent tre considres comme des coquilles vides (exemple
avec une simple Web View).
Dans ces conditions, valuer la robustesse de lapplication "mobile" revient valuer celle du serveur distant (mme si des
exceptions existent). Nous pourrons dans ce cas faire rfrence lOWASP Testing Guide (https://www.owasp.org/index.
php/OWASP_Testing_Guide_v4_Table_of_Contents) utilis par les pentesteurs.
Bote outils
Tout comme il nexiste pas de remde miracle ou de botier magique permettant de garantir la scurit dun Systme dIn-
formation, il nexiste pas de bote outils parfaite pour les applications iOS. Chaque pentester pourra trouver son bonheur
dans tels ou tels outils. Le dveloppement de scripts personnels lui permettra galement dtre encore plus laise/rapide.
Ainsi, nous ne prsenterons dans cet article quune courte slection des outils que nous avons lhabitude dutiliser
constituant notre must have . Le nombre doutils lis la scurit des applications iOS ne faisant que crotre, nous
invitons le lecteur curieux faire ses propres tests afin de se forger sa propre opinion. ce titre, il existe de nombreuses
applications d'entranement ou encore des Bug Bounty ddis aux applications mobiles.
Analyse statique
+ Clutch
Clutch permet de dumper une application. Grce cet utilitaire, il est possible dobtenir le fichier au format ipa partir
dune application dj installe sur un terminal Apple. Clutch est donc indispensable dans le cas o il nest pas possible
dobtenir directement lapplication (bote noire).
+ IDA Pro
IDA Pro est un dsassembleur supportant les applications au format ipa. Les applications fonctionnant sur un simulateur
grce Xcode (Outil de dveloppement pour iOS et Mac OS X) disposent dune architecture i386 alors que les applications
fonctionnant sur un smartphone Apple disposent dune architecture ARM. IDA Pro prend en comptes ces deux formats.
+ Class-dump
Class-dump est un petit utilitaire extrmement pratique permettant dexaminer les informations contenues au sein des
fichiers Mach-O. Class-dump est souvent utilis conjointement Cycript, que lon voquera dici peu, pour faire de lanalyse
dynamique.
12
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Les tests dintrusion iOS
Analyse dynamique
+ Cycript
Cycript est un dbogueur tel que GDB, permettant dinteragir avec une application en cours dexcution au travers dune
console interactive.
+Keychaindumper
Quest-ce que le keychain ?
Sous forme dune base de donnes SQLite situe lemplacement /private/var/Keychains/keychain-2.db, le keyChain est un
conteneur chiffr (AES 128 bits) stockant des informations sensibles (noms dutilisateur, mots de passe, cl Wi-Fi, certificats,
etc.) dont les droits daccs sont restreints.
Keychaindumper est un petit utilitaire permettant de dchiffrer lensemble des donnes contenues dans le Keychain. Les
bonnes pratiques veulent quil soit ncessaire de supprimer les donnes relatives une application lorsque celle-ci est sup-
prime. Nanmoins, ces bonnes pratiques sont rarement observes.
+ Idb
Idb est un vritable couteau suisse pour les audits
dapplications iOS. En effet, cet outil trs complet
permet dobtenir des informations sur lapplication
(utilisation des protections type ASLR/PIE, DEP, ARC),
de raliser une analyse rapide des diffrentes m-
thodes de stockage (plist, base sqlite, fichiers Cache.
db, etc.) ou encore danalyser les logs gnrs par
lapplication.
Analyse rseau
+ BurpSuite
Bien connu de tous les pentesters, le proxy intrusif Burp permet dintercepter/diter/rejouer les requtes HTTP changes
par le client avec le serveur.
+ Tcpdump / Wireshark
Dans le cas o BurpSuite ne suffirait pas (application lourde), il est possible de sortir la grosse artillerie en utilisant le couple
tcpdump/Wireshark afin de raliser une analyse protocolaire plus complte.
Afin de nous rapprocher au plus prs des conditions dutilisation standard, nous avons ralis lensemble de nos tests sur
un terminal iOS jailbreak. En effet, la version iOS 9.0.1 de notre priphrique de tests est jailbreakable, permettant ainsi
dobtenir les droits root sur celui-ci.
Une fois le Jailbreak effectu, Cydia est disponible sur lappareil, nous permettant ainsi dinstaller tout le ncessaire pour
disposer dune plateforme de tests digne de ce nom.
13
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Afin de ne pas avoir faire des manipulations depuis le priphrique, nous avons commenc par installer OpenSSH afin
dy accder distance. Toujours grce Cydia, nous avons install les paquets BigBoss Recommended tools et MTerminal
permettant respectivement de disposer doutils en ligne de commande tels que la suite GNU, less, make, wget, sqlite, etc.
ainsi que dun terminal sur le priphrique, pratique si la connexion SSH est temporairement indisponible.
Par dfaut, Apple restreint laccs ses appareils par souci de scurit. Le jailbreak est le processus permettant dobtenir
un accs complet au systme dexploitation dun appareil mobile Apple grce lexploitation de failles de scurit. Une fois
jailbreak, les utilisateurs ne souffrent plus daucune restriction et peuvent accder des fonctionnalits avances (console,
accs SSH) ainsi qu des magasins dapplication alternatifs tels que Cydia (pour nen citer quun). Sans attention particulire,
le jailbreak induit des faiblesses au sein de la scurit des appareils mobiles. En effet, les magasins alternatifs ne mettent pas
en place de processus de validation des applications linstar dApple et de son AppleStore (http://blog.octo.com/1er-mai-
2013-de-nouvelles-restrictions-sur-la-validation-des-applications-ios/). De plus, les comptes utilisateurs root (super adminis-
trateur) et mobile (utilisateur courant) disposent de mot de passe connu (alpine) quil est impratif de changer (LiPhone et
le jailbreak : https://www.xmco.fr/actu-secu/XMCO-ActuSecu-24-PCI-DSS-SSL-iPhone.pdf)
Une fois SSH install, il est possible daccder au priphrique de deux manires :
+ Via le rseau
Laccs se fera de la mme manire quune connexion SSH classique.
+Via USB
Il est galement possible dutiliser iproxy faisant partie de la suite libimobiledevice afin de se connecter grce au
multiplexer USB (la commande qui suit est saisir ct machine).
Lensemble des applications excutes sur un priphrique appartenant la marque la pomme doit tre sign. Pour notre
plus grand bonheur, les priphriques jailbreaks autorisent les applications auto signes. Afin de signer les applications,
les outils codesign et ldid pourront tre utiliss.
Dans le cadre de laudit dune application iOS, lutilisation dun proxy intrusif (Burp, ZAP, etc.) permettra dditer/modifier/
rejouer les requtes. Si aucun change chiffr ne transite par notre proxy, cela peut signifier que les dveloppeurs de lap-
plication ont mis en place un mcanisme de Certificate pinning. Ce type de fonctionnalit permet dempcher toute
attaque de type MitM (Man in the middle).
Le Certificate pinning est une mthode de validation du certificat du serveur, complmentaire celle habituellement uti-
lise dans le cadre de connexion SSL/TLS. En plus deffectuer les contrles classiques sur le certificat prsent par le serveur,
comme valider la chane de certification jusqu un certificat racine ou sa date de validit, lapplication contrle en plus cer-
taines caractristiques du certificat, comme son numro de srie, la clef publique qui lui est associe. Cette mthode prsente
lavantage dtre plus robuste que la mthode classique, et permet de ne plus dpendre que du systme ou des autorits de
certification racine pour sassurer que le certificat prsent est le bon.
Le contournement de cette protection est nanmoins possible sur un appareil jailbreak grce aux outils iOS SSL Kill Switch
et TrusteMe. iOS SSL Kill Switch va patcher la vole les fonctions prsentes au sein de lAPI Secure Transport (SSLCrea-
teContext, SSLSetSessionOption et SSLHandshake). De ce fait, le mcanisme de validation du certificat est alors dsactiv,
permettant ainsi lanalyse des changes protgs par HTTPS (https://nabla-c0d3.github.io/blog/2013/08/20/ios-ssl-kill-
switch-v0-dot-5-released/).
Dans d'autres cas, la non-interception des communications proviendra de l'utilisation de librairies "maison" ou de fonctions
ne s'appuyant pas sur les librairies systme. Il faudra alors utiliser d'autres solutions d'interception ( titre d'exemple via
un partage wifi/Bluetooth avec redirection des changes, etc.) . Mme s'il s'agit de bon sens, nous souhaitons rappeler
que rinventer la roue dans le cadre de dveloppements scuriss est trs souvent peine perdue. Il est bien plus sage de
s'appuyer sur des mcanismes reconnus et prouvs.
Comme nous lvoquions en amorce de la prsentation de notre bote outils, il nest pas possible dtre exhaustif sur les
outils que nous utilisons (utiliserons) pour nos tests. En effet, les applications voluent rapidement et les outils de demain
seront peut-tre diffrents de ceux daujourdhui. Nanmoins, grce lensemble prsent, il est possible de se constituer
une base solide et relativement rapide prendre en main.
14
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Les tests dintrusion iOS
D'autres mcanismes sont galement prendre en compte dans la protection des applications, mais cette fois-ci du ct
des dveloppeurs et du systme (certains sont spcifier la compilation), on pourra citer :
Toujours dans l'ide d'effectuer un parallle avec Android, nous avons deux solutions de travail :
Bien videmment, certains pourront lancer le dbat des termes utiliss en diffrenciant mulateur et simulateur, mais il
ne s'agit l que d'une prsentation "globale". Quant la question latente, quelle est la meilleure solution ? Il n'y a pas de
rponse boolenne ici.
Chacune dispose d'avantages et d'inconvnients, et il peut tre opportun d'utiliser les deux solutions en parallle afin de
complter les tests. Au final, ce sont surtout les prfrences de l'auditeur ou une limite bien spcifique qui dfiniront le
choix, et non pas un jugement biais par des prjugs ou une argumentation bancale.
15
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Accs et Dumps
Mais que peut-on rcuprer ou observer sur le systme une fois l'application dploye (ou dj installe) ? Voici quelques
lments de rponses. La liste est bien entendu non exhaustive et sera complte dans la partie statique :
+Des donnes directement dans des fichiers de prfrences (Property List Files / plist, etc.) ;
+Des donnes dans les fichiers cache, les cookies, les logs ;
+Des bases de donnes locales avec des informations non chiffres (sqlite, etc.) ;
+ Des informations enregistres lors de la saisie ou dans le presse papier (cela induit des identifiants, rfrences
bancaires, etc.) en gnral conserves des fins d'auto correction / auto compltion.
Exemple :
Tous ces points vont tre dtaills dans la partie analyse statique.
16
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Les tests dintrusion iOS
La notion danalyse statique permet d'obtenir des informations sur le comportement d'un programme sans avoir
l'excuter. En clair, on se limite l'application pr et post installation, mais sans s'intresser son comportement dyna-
mique.
Dans le cadre dun test dintrusion, le code source nest pas toujours fourni avec les applications. Et, tout comme avec
les fichiers APK dAndroid, les outils de dcompilation ont parfois des difficults apporter des rsultats exploitables
rapidement. Il sera d'ailleurs beaucoup plus difficile de "reverser" une application iOS quun APK (binaire vs bytecode java).
Le challenge n'est, pour ainsi dire, pas comparable.
cela s'ajoute une documentation qui n'est pas toujours jour ou tout simplement absente (du ct d'Apple comme des
outils). Il sera alors ncessaire de recourir des outils d'analyses de binaires afin de comprendre la logique de l'application,
d'identifier des chanes de caractres spcifiques, etc. On pourra citer les outils comme IDA ou encore les excellents otool,
class-dump, hopper, radare2, sans omettre Clutch et les lignes de commandes usuelles (grep, strings, xxd, etc.).
D'autres solutions peuvent apporter un soutien non ngligeable, mais attention la facilit du "tout automatique" (iNalyzer
par exemple).
+ Authentification (rejeu, bruteforce, usurpation d'identit, certificats, rgles sur le couple login / mot de passe, tokens,
OTP, SSO, etc.) ;
+ Autorisation (gestion des permissions sur les fichiers, contournement des restrictions d'accs / des rles / des flags /
des rponses attendues, etc.) ;
+ Gestion / Stockage des donnes (chiffrement utilis et implmentation ralise, Cloud, rpertoire systme, tmp -
ou dans la sandbox de l'application, types de donnes - personnelles, bancaires, signatures, identifiants, base de donnes
utilise, etc.) ;
+Gestion des sessions (conservation d'informations sensibles, dure de validit, format de stockage, etc.) ;
+ Gestion des communications avec le serveur distant (certificate pinning, contrles des certificats SSL/TLS, protocoles
utiliss, transmission chiffre ou en clair, etc.) ;
+Ltude du cache des Web Views qui peut s'avrer relativement gnreux en informations ;
+La recherche de traces dans les bases SQLite permettant de rcuprer des infos mme aprs suppression des donnes
(ex. avec https://github.com/aramosf/recoversqlite) ;
+ Ou encore l'tude des mcanismes de communication dits InterApp (changes de donnes entre applications - cf.
https://developer.apple.com/library/ios/documentation/iPhone/Conceptual/iPhoneOSProgrammingGuide/Inter-AppCommu-
nication/Inter-AppCommunication.html) ;
18
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Les tests dintrusion iOS
Une fois le schma de verrouillage cr, il devient possible danalyser lensemble des fichiers crs / modifis / supprims :
Le dernier fichier de la liste (rduite pour plus de visibilit), nous fait de lil de par son nom relativement explicite (com.
maxgunner.androidlocklite.plist).
Dans la mme ligne, une vrification des contrles de donnes doit tre effectue. En effet, de la mme manire quen
2016, il parat impensable pour une application Web digne de ce nom deffectuer des contrles uniquement en JavaScript, il
en est de mme pour les applications iOS. Toute vrification uniquement faite par lapplication pourra tre contourne grce
au binme infernal (non non, pas Arnaud et Rgis, soyez vigilant ;)) : class-dump et cycript (cf. Bonus 2 : contournement
dun formulaire dauthentification).
Nous continuerons notre recherche du ssame grce aux fichiers crs/supprims/modifis sur le systme. En effet, il
nest pas rare de voir des fichiers dont laccs est cens tre scuris, finalement accessible (cf. Bonus 1 : contournement
dun schma de verrouillage). Linsertion de cls dans le keychain peut galement permettre douvrir de nouveaux axes
danalyse.
Enfin, et nous finirons par-l : les logs ! Bien souvent oublis, ces derniers prsentent souvent des informations
croustillantes (nom dutilisateur, mot de passe, token de session). Toutes ces informations peuvent tre utiles pour les
phases de dveloppement, mais ne doivent en aucun cas tre divulgues par une application disponible en production.
Analyse du rseau
Lanalyse rseau risque dtre relativement similaire des tests dintrusion classiques. Les tests vont principalement se
porter sur lutilisation de protocoles de communication HTTP.
Nanmoins, dans le cas dune application lourde, il nest pas impossible que des donnes transitent sur des protocoles de
communication non pris en charge par Burp. Il est alors ncessaire dutiliser tcpdump (ou des alternatives) afin dtre en
mesure danalyser la totalit du trafic rseau.
Il est bon de noter que lutilisation de tcpdump ne ncessite pas le jailbreak de lappareil. En effet, lutilisation de la
bibliothque libimobiledevice (https://github.com/libimobiledevice/libimobiledevice) couple la commande rvictl (Re-
mote Virtual Interface Tool) permet de crer une interface virtuelle quil est alors possible de monitorer.
$ ./idevice_id -l
c0237da2309f6ca0b087b56f9a4781912703d546
Damn Vulnerable iOS Application (DVIA) [http://damnvulnerableiosapp.com/] est une application iOS vulnrable de
nombreuses failles de scurit. Son principal objectif est de fournir une plate-forme pour sentraner lanalyse de la
robustesse des applications iOS.
Lapplication dispose dun formulaire dauthentification (Login Method 1) rclamant un identifiant ainsi quun mot de passe.
Aprs avoir ralis une analyse rseau complte (wireshark) ne rvlant rien, il est possible den dduire que le contrle
est effectu localement par lapplication et peut alors tre contourn de plusieurs manires :
Nous allons donc nous orienter vers la modification dynamique du comportement de lapplication grce au binme :
class-dump-z et Cycript.
Il est possible danalyser le binaire la recherche dun angle dattaque permettant de contourner lauthentification grce
class-dump :
[ rsenet-XMCO]
$ ./class-dump ~/Desktop/Payload/DamnVulnerableIOSApp.app/DamnVulnerableIOSApp
21
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Nous allons donc tenter de la redfinir grce Cycript. Pour faire cela, il est ncessaire dattacher Cycript au processus de
lapplication DVIA :
Une fois Cycript attach (cycript p <PID>), il est possible daccder lensemble des variables / fonctions dfinies au sein
de lapplication. Il est alors possible de redfinir la fonction isLoginValidated afin de lui faire retourner une valeur vraie :
cy# RuntimeManipulationDetailsVC.messages[isLoginValidated] =
function () {return YES ;}
{}
Un audit de code, c'est avant tout une forme de reverse engineering. Pour cela, il faut :
+ Cartographier le fonctionnement de l'application et avoir la fois une vue macroscopique et microscopique du pro-
gramme ;
+Parvenir monter un environnement de travail fonctionnel si l'on veut tester dynamiquement le comportement afin
de valider ou non ses observations ;
+Prvoir une boussole, une torche, et s'assurer d'avoir tous ses vaccins jour.
Ok, c'est bien sympa tout a, mais sur quoi se concentrer exactement ? Avec plusieurs milliers de lignes, il apparat
inconcevable de passer sur toute la structure d'un programme. Il est alors ncessaire de travailler de manire intelligente
(ou dessayer) afin de se focaliser sur les composants risque.
On cherchera tout d'abord ce que l'on trouve de manire commune tous les programmes, et ce, quel que soit le langage
utilis (informations dans les messages de logs, prsence de chanes en dur dans le code, conservation des donnes sur
l'appareil quoi/comment/o, prsence de chiffrement applicatif, librairies et fonctions utilises, etc.)
Dans un second temps, on se concentrera sur les spcificits propres chaque application : gestion des sessions et des
erreurs, mcanisme d'authentification, gestion des entres/sorties, etc.
Une nouvelle fois, il faut tenir compte du contexte de l'application et des spcificits de l'audit (cadre ARJEL par exemple).
22
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Les tests dintrusion iOS
> Recommandations
Les tests dintrusion sur les applications mobiles rvlent trs souvent le mme type de points faibles alors que des actions
relativement simples peuvent tre mises en place afin dassurer un niveau de scurit oprationnel :
+ Effectuer les contrles de donnes (contrles d'accs, protection des entres utilisateur / injections de code, upload,
etc.) au niveau du serveur et du ct applicatif (la scurit ne doit jamais tre porte uniquement par le client) ;
+Sassurer du chiffrement des communications (SSL/TLS, etc.) ainsi que des donnes stockes localement ;
+ Ne divulguer aucune information sensible (fichier de log, cache, documents dans les archives, dsactivation de
laffichage des mots de passe, etc.) et penser supprimer les informations de dveloppement ;
+Raliser des contrles pour tout ce qui touche les attaques de type "race condition", " buffer overflows", contournement
des mcanismes d'authentification, etc.
+Renforcement de la scurit si ncessaire (certificate pinning, maitrise des caches, contrles des lments de la GUI,
etc.)
Lutilisation dun MDM permettra galement de renforcer la scurit des applications iOS dune flotte de priphriques en
entreprise. En effet, grce ce dernier, il est possible de sassurer de la prsence des dernires mises jour du systme
dexploitation, de forcer la mise en place dun code de dverrouillage, etc.
L'ensemble de ces recommandations peut tre retrouv dans le guide de dveloppement d'Apple :
https://developer.apple.com/library/mac/documentation/Security/Conceptual/SecureCodingGuide/
23
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> PCI DSS v3.2 : analyse des volutions majeures du standard
La version 3.2 du PCI DSS a t publie le 28 avril 2016. Comme les versions mineures prcdentes, cette dernire apporte
son lot de clarifications avec une revue du vocabulaire utilis (wording) ainsi que des explications supplmentaires pour
certaines exigences (guidance) mais pas seulement. En effet, des exigences ont t modifies, voire ajoutes. Au sein
de cet article, nous passons en revue tous les changements les plus structurants de cette nouvelle version.
> Changement du standard PCI DSS (CardHolder Data). Ce document doit minima dcrire en
dtail les algorithmes, les protocoles et les cls (avec leur
Chapitres 1 12 date dexpiration) utiliss, ainsi que linventaire des HSM et
autres SCD employs. Celui-ci devra bien entendu tre tenu
On retrouve ainsi 47 clarifications, 3 additionnal jour en cas de modification de lenvironnement.
guidance ainsi que 8 volutions des exigences. Exigence 3.5.1
Documentation
Voici un rsum des changements apports par cette Applicable uniquement aux Services Provider
version 3.2 : Applicable partir du 1er fvrier 2018
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Procdure responsables de la socit (Executive Management).
Documentation Exigence 12.4.1
Applicable partir du 1er fvrier 2018 Documentation
Applicable partir du 1er fvrier 2018
+ Une authentification multifacteur est dsormais
obligatoire pour tout accs distant au CDE (Cardholder Data
Applicable uniquement aux Services Provider
> Changement des exigences appli- omises et mriteraient d'tre rajoutes : la ralisation de
tests d'intrusion et de scans de vulnrabilit externes serait
cables au sein des SAQ deux contrles ncessaires pour assurer qu'un pirate n'est
pas en mesure de compromettre le serveur et de changer
le code source de l'application (risque principal).
Le passage en version 3.2 du PCI DSS a galement
entran une mise jour des diffrents SAQ (Self-Assessment
Questionnaire). Nous vous proposons ici un aperu des
modifications apportes aux SAQ les plus utiliss.
Les SAQ intgrent donc les mises jour du PCI DSS 3.2,
mais pas seulement. Plusieurs exigences qui n'taient pas
prsentes auparavant le sont maintenant.
SAQ A
+Aucun compte partag ne doit tre utilis (#8.5) routeurs qui a t durcie, et la documentation associe, avec
notamment:
26 De notre point de vue, deux exigences importantes ont t + lutilisation d'un pare-feu personnel pour les postes de
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
travail utiliss pour l'administration (#1.4) rseau et des processus de surveillance associs (#11.4)
Chapitre 2 et 3
Pas de changement
Chapitre 4, 5 et 7
Ajout d'une exigence. Il est dsormais ncessaire de
documenter les politiques et procdures de scurit
concernant le chiffrement des donnes sur les rseaux
publics, l'utilisation des antivirus, et la gestion des accs
(#4.3, #5.4, #7.3)
Chapitre 6
Ajout de 5 exigences mineures concernant le dvelop-
pement scuris et le maintien de la scurit en cas de
changement significatif de l'infrastructure (#6.5.4, #6.5.5,
#6.5.6, #6.7)
Chapitre 8
Passage de 14 23 exigences. Les changements concernent
principalement les lments suivants : SAQ P2PE-HW
+
jours
Dsactivation des comptes inactifs depuis plus de 90 Le SAQ P2PE-HW destin aux marchands qui utilise des
terminaux de paiement P2PE, a t simplifi. Les exigences
Chapitre 9
Pas de changement
Chapitre 10
Passage de 17 30 exigences. Les changements concernent
principalement les lments suivants :
SAQ B-IP Tous les documents (standard, SAQ, AOC, etc.) sont
disponibles ladresse suivante :
Rduction de 83 80 exigences, mais avec l'ajout de
l'exigence relative l'implmentation de l'authentification https://fr.pcisecuritystandards.org/document_library
multifacteurs pour les accs administratifs au CDE.
SAQ-D
28
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Confrences scurit
+
mobilit rduite et dobtenir des rsultats plus prcis quun
Vido vote traditionnel. De plus en plus de pays choisissent cette
https://www.youtube.com/watch?v=uQ0-vmJlDyo&in- mthode de vote. Il devient donc important de proposer
dex=1&list=PL3UAg9Zuj1yJ_6pySNwbJWi_M1RqJU7Wf une solution scurise.
La prsentation douverture de la confrence Hack in Leur modle sapplique pour les machines au sein des bu-
Paris concernait le vote lectronique. Deux membres de reaux de vote, ainsi que pour les terminaux personnels (or-
la socit SCYTL prsentaient une tude des diffrentes dinateurs, smartphones). 29
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
De ce fait, les problmatiques suivantes ont t identifies : Whisper in the Wire: Voice Command Injection Reloaded
Chaouki Kasmi (@EMHacktivity), Jose Lopes Esteves (@
+ Le modle doit permettre de sassurer que le vote
reste confidentiel et anonyme. La confidentialit peut tre
lopessecurity) - ANSSI
+
durant la confrence Hack In Paris.
Au travers des transformateurs, en injectant sur le
Cette prsentation a permis de montrer que le choix de rseau lectrique ;
Des questions ont t souleves sur la problmatique de la Ces injections ne semblent pas perturber lutilisation des
scurit physique des terminaux. Les orateurs ont bott en autres appareils branchs sur la mme source lectrique.
touche, en faisant comprendre que leur modle prenait en
compte le risque de terminal vrol.
Un facteur aggravant cette attaque est le nombre de
contextes prdifinis permettant dactiver cette fonctionnali-
t sur notre tlphone. Le manque de personnalisation des
mot-cls dclencheurs et de lauthentification de la voix ex-
30
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Hack In Paris 2016
posent encore un peu plus nos tlphones. Plusieurs problmes sont rencontrs dans le cadre dana-
lyses dattaques web :
De plus, les diteurs forcent, dans certains cas, lutilisation
de ces fonctionnalits. Par exemple, lactivation de com-
mande vocale est autorise par dfaut lorsque le tlphone
+ Le principal problme est que lapprentissage est
dpendant du contexte dutilisation (architecture, type de
est en charge. donnes, etc.).
+ Slides
http://www.slideshare.net/moshez/abusing-the-train- Les points dinjection sur le BUS sont relativement acces-
communication-network-or-what-could-have-derailed-the- sibles depuis le train ; on les trouve par exemple au sein
northeast-regional-188 des toilettes ou en bout de wagon. La surface dattaque
peut galement tre tendue si le train propose du Wifi,
+ Vido
https://www.youtube.com/watch?v=59I1gd-QAuE&in-
qui utilise indirectement le mme BUS de communication.
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Hack In Paris 2016
All Your Door Belong To Me Attacking Physical Access Ainsi, la sensibilisation aux problmatiques de la scurit
Systems physique est ncessaire afin de garantir de manire globale
Valerie Thomas (@hacktressog) - Securicon Washington DC la protection des accs aux systmes dinformations.
+ Slides
http://fr.slideshare.net/centralohioissa/valerie-thomas-all- From zero to SYSTEM on full disk encrypted Windows
your-door-belong-to-me-attacking-physical-access-systems system
Nabeel Ahmed (@NabeelAhmedBE) & Tom Gilis (@tgilis) -
+ Vido
https://www.youtube.com/watch?v=TqwvVQVm1to&in-
Dimension Data
dex=6&list=PL3UAg9Zuj1yJ_6pySNwbJWi_M1RqJU7Wf
Les cartes daccs RFID peuvent par exemple tre +la victime doit tre membre dun domaine Windows.
mules via des outils comme Proxmark3. Les lecteurs de
Lattaque se droule en deux temps :
carte peuvent tre exploits avec des produits comme le
BLEKey, qui permet de rejouer des identifiants de carte
Dans un premier temps, lattaquant contourne linterface
prcdemment passs sur le lecteur. Les contrleurs dac-
dauthentification Windows. Pour ce faire, il met en place
cs sont bien souvent exposs sur le rseau interne, voire
un serveur de domaine quil contrle. Au sein de lAD, il
externe. Les services tels FTP, Web ou SNMP sont accessibles
configure le compte cibl comme ayant un mot de passe
sans protection et divulguent de nombreuses informations.
expir. Au dmarrage du poste cibl, Windows demande
33
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
ainsi lutilisateur de changer son mot de passe avant Security offense and defense strategies: Video-game
de continuer. Le mot de passe utilis en cache est alors consoles architecture under microscope
mis jour par ce nouveau mot de passe ; la session est Mathieu Renard (@mathieu_renard) & Ryad Benadjila -
dverrouille. ANSSI
+ Vido
https://www.youtube.com/watch?v=q1XGJ_PCNNI&in-
de mcanismes de scurit. Au fil du temps, les fabricants
ont mis en place des solutions tels que le SecureBoot, le
chiffrement des binaires, restreignant les possibilits des
dex=9&list=PL3UAg9Zuj1yJ_6pySNwbJWi_M1RqJU7Wf
pirates. A ce jour, la PS4 nest pas encore compltement
compromise.
Durant sa prsentation, Matias Katz nous a montr quil
tait possible de mettre en oeuvre une plateforme dOSINT
La prsentation montrait ainsi les mcanismes de protec-
(Open Source Intelligence) en moins dune semaine. Il
tion tablis sur chaque console, les attaques hardware et
sagit dun framework qui cherche un certain type de don-
software relatives celles-ci, ainsi que les correctifs propo-
nes, les stocke et les qualifie. Cette prsentation tait un
ss par les diteurs.
retour dexprience ce sujet.
+ Slides
https://conference.hitb.org/hitbsecconf2016ams/mate-
rials/D1T2%20-%20Yann%20Allain%20and%20Julien%20
Moinard%20-%20Hardsploit%20Project.pdf
+ Vido
https://www.youtube.com/watch?v=foeCXe_Gzhc&in-
dex=12&list=PL3UAg9Zuj1yJ_6pySNwbJWi_M1RqJU7Wf
Le speaker est parti des donnes fournies par lAPI twitter, La prsentation de Julien Moinard tait particulirement
retournes en JSON. Il a cherch toutes les rfrences re- technique, et se focalisait sur les problmatiques de lana-
tournes par le mot Brexit, avec des requtes vers lAPI lyse des systmes hardware. Ceux-ci sont de plus en plus
twitter envoyes toutes les secondes. courant avec lavnement de lInternet Of Things. Il devient
donc essentiel de soutiller face aux nombreuses vulnrabi-
LAPI Google est ensuite utilise pour stocker ces donnes, lits contenues dans ce materiel.
et les afficher sur Google map. Enfin, les donnes sont qua-
lifies partir de la bibliothque python Natural Language
Toolkit (NLTK), qui permet de dterminer si le message as-
soci au terme Brexit est positif ou ngatif. Ainsi, lappli-
cation mise en oeuvre permettait davoir une visualisation
en temps rel de lavis global des utilisateurs Twitter sur le
sujet du Brexit.
34
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Hack In Paris 2016
Le confrencier nous a prsent le produit HARDSPLOIT quil Because of the advancements in prosthetics
a ralis. Il sagit dune carte permettant de faciliter la r- Gregory Carpenter (@gscarp12)
cupration et linjection de donnes sur du matriel phy-
sique. Ces donnes peuvent tre des systmes de fichier,
des firmwares, ou plus simplement des mots de passe. Elle
+ Slides
http://fr.slideshare.net/EC-Council/security-concerns-of-fu-
supporte les types de liaison UART, SPI, PARALLEL, I2C et ture-technology-arriving-today-gregory-carpenter
bien sr JTAG/SWD.
+ Vido
https://www.youtube.com/watch?v=zvffct0ZpAM&in-
DIFFDroid - Dynamic Analysis Made Easier for Android dex=14&list=PL3UAg9Zuj1yJ_6pySNwbJWi_M1RqJU7Wf
Anto Joseph (@antojosep007) - Intel
Un verre de vin dans une main et un Cohiba dans lautre,
+ Slides
http://fr.slideshare.net/antojoseph007/diffdroidantojo-
cest dans une atmosphre dtendue que Gregory Carpen-
ter sapprte commencer une confrence pour le moins
sephhip2016 intrigante.
+ Vido
https://www.youtube.com/watch?v=E4-yc7CW87U&in-
dex=11&list=PL3UAg9Zuj1yJ_6pySNwbJWi_M1RqJU7Wf
+ Ressource
https://github.com/antojoseph/diff-gui
35
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Type=5, Code=1 (or Lady In The Middle) mis en oeuvre durant le cadre dune mission.
Dorota Kulas (@dorotaq) - Red Teamer
+ Vido
https://www.youtube.com/watch?v=QYzSz25Bh0M&in-
Gregory Pickett nous a prsent
lavancement de loutil SDN toolkit
dex=13&list=PL3UAg9Zuj1yJ_6pySNwbJWi_M1RqJU7Wf
qui permet de dcouvrir, d' identifier
+ Ressource
https://gitlab.com/litm/redirect
et de manipuler les rseaux
bass sur SDN
+ Vido
https://www.youtube.com/watch?v=GV3Xz0CIrjg&in-
dex=15&list=PL3UAg9Zuj1yJ_6pySNwbJWi_M1RqJU7Wf
Dominique Brack est revenu sur le concept des attaques Le framework propos par Reputelligence permet de sas-
par Social Engineering, et a prsent une mthodologie, un surer que tous les lments sont connus et bien pris en
framework mis la disposition des entreprises. charge. Il permet galement la conduite dun contre-audit
afin de sassurer du progrs des employs face des vec-
Aucun logiciel ne peut corriger des failles humaines, il est teurs spcifiques.
donc primordial de faire de la prvention et dorganiser des
sances de sensibilisation auprs des employs. Le conf-
rencier recommande notamment lutilisation de logos et de
donnes parlant aux quipes dirigeantes.
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Hack In Paris 2016
+ Vido
+ https://www.youtube.com/playlist?list=PL3UAg9Zu-
j1yJ_6pySNwbJWi_M1RqJU7Wf
https://www.youtube.com/watch?v=49ZbieW1wi4&in-
dex=16&list=PL3UAg9Zuj1yJ_6pySNwbJWi_M1RqJU7Wf +https://hackinparis.com/
Cette confrence fait suite la prsentation Abusing
Software Defined Networks qui a eu lieu la Black Hat
Europe 2014, par le mme confrencier Gregory Pickett.
Comme son nom lindique, elle faisait rfrence aux mo-
dles darchitecture Software-defined Networking
(SDN), permettant aux administrateurs rseau de grer les
services de rseau par abstraction de fonctionnalits.
37
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Confrences scurit
Cette anne encore, XMCO tait partenaire de la conf- Virtualization System Vulnerability Discovery
rence Hack In The Box. Retour sur cette septime dition Framework
qui sest droule il y a peu. Tang Qinghao
L'utilisation de ce framework
ddi aux environnements virtualiss
leur a ainsi permis de dcouvrir 9
vulnrabilits sur QEMU et 2 vulnrabilits
affectant VMWare
Exploit Kits: Hunting the Hunters et actuellement utilis par les criminels, notamment parce
Nick Biasini (@infosec_nick) qu'il dispose d'un mode d'intgration des nouvelles vuln-
rabilits rendues publiques trs rapidement, augmentant
+ Slides
https://conference.hitb.org/hitbsecconf2016ams/mate-
d'autant plus sa capacit infecter de nouveaux systmes.
Il intgre galement des vulnrabilits de type "0day" qui
rials/D1T1%20-%20Nick%20Biasini%20-%20Exploit%20 ne sont pas connues des diteurs.
Kits%20-%20Hunting%20the%20Hunters%20.pdf
Les souches du kit d'exploitation Angler disposent gale-
A travers cette confrence, Nick Biasini, chercheur pour le ment d'une infrastructure bien plus sophistique que les
compte de la socit Talos Security, est revenu sur la mtho- premiers kits d'exploitation. Chaque souche dispose d'un
dologie qu'il a suivie pour traquer et analyser le fonction- serveur mandataire central (proxy), d'un serveur dlivrant
nement et l'volution des kits d'exploitation. Il est notam- les codes d'exploitation, d'un serveur de monitoring et
ment revenu sur les rsultats de ses travaux de recherches, enfin d'un serveur matre denregistrement des journaux
et comment, par la suite, il a pu les exploiter pour rduire d'vnements des autres serveurs de l'infrastructure.
l'impact et influer sur le comportement des administrateurs D'aprs ses recherches, Angler Kit rapporterait 2,9 millions
de ces botnets. de dollars mensuellement ses administrateurs.
Cette confrence trs ludique a prsent l'tude en masse Le kit d'exploitation Nuclear quant lui se transmet mas-
de 3 variantes de kits dexploitation : Angler, RIG, Nuclear sivement au travers de fichiers JS de mmes noms d'ap-
et Gate. parence anodine : compiled.js, headers.js, min.js, lang.js,
ga.js, core.js, jquery.js, detectAn.js, quotes.js, ips.js, dropb-
Aprs quelques rappels sur les kits d'exploitation, il est in- down.js ou encore features.js.
tressant de noter que, d'aprs Nick Biasini, les attaquants
opportunistes souhaitant montiser leur botnet cherchent Au travers de son analyse qui s'est tale sur plus d'un an,
principalement infecter des ordinateurs de particuliers Nick est parvenu mettre en vidence des relations entre
avec des ransomeware. les kits d'exploitation Angler et Rig. Dans un premier temps,
une mme campagne de SPAM pouvait amener sur les
cela 2 raisons : deux kits d'exploitation, de plus une mme infrastructure
a t utilise un jour par Angler et le jour d'aprs par Rig.
+ les particuliers ont une maturit en scurit bien moins
volue que les entreprises qui disposent gnralement
d'outils de scurit plusieurs niveaux (antivirus, IDS, IPS, Telescope: Peering Into the Depths of TLS Traffic in Real-
pare-feu, etc.) Time
Caragea Radu
+ les ransomewares sont les plus rentables, car ils per-
mettent directement de montiser l'infection sans passer
par un tiers, contrairement aux solutions plus complexes
+ Slides
https://conference.hitb.org/hitbsecconf2016ams/ma-
qui reposent sur la vente dinformations drobes sur le terials/D1T1%20-%20Radu%20Caragea%20-%20Pee-
systme informatique ou la ralisation de services tiers (ex: ring%20into%20the%20Depths%20of%20TLS%20Traf-
dni de service ou minage de monnaies virtuelles) fic%20in%20Real%20Time.pdf
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
HITB 2016
taques idaux sont les rparateurs de tlphones, baptiss Time is On My Side: Forging a Wireless Time Signal to
loccasion les Pawn Store. Attack NTP Servers
Yuwei Zheng et Haoqi Shan
Cette vulnrabilit a partiellement t corrige par Apple.
En effet, depuis iOS 8.3, il nest plus possible de remplacer
une application sur un appareil iOS par une version modi-
+ Slides
http://conference.hitb.org/hitbsecconf2016ams/wp-
fie en indiquant le mme numro de bundle (paquet). content/uploads/2015/11/D2T1-Yuwei-Zheng-and-Haoqi-
Cependant, Tamir a dcouvert que son attaque est toujours Shan-Forging-a-Wireless-Time-Signal-to-Attack-NTP-Ser-
ralisable et a cr un outil baptis SandJacking. vers.pdf
+ Les documents, les fichiers et la base SQLite; Un appareil de Proof of concept a t montr lors de
+ Slides
https://conference.hitb.org/hitbsecconf2016ams/mate-
rials/CLOSING%20KEYNOTE%20-%20Sophia%20D%20An-
toine%20-%20Hardware%20Side%20Channels%20in%20
Virtualized%20Environments.pdf
45
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Confrences scurit
SSTIC 2016
par Julien TERRIAC, Damien GERMONVILLE,
Arnaud REYGNAUD et Antonin AUROY
> Jour 1 - mercredi 1er juin +HARDEN_IPC, un durcissement des objets IPC
Confrence d'ouverture
Brad Spengler
+DENYUSB, un systme pour dsactiver la reconnaissance
des priphriques USB aprs le boot (ou pour la dsactiver/
activer temporairement)
+ Slides :
https://grsecurity.net/SSTIC2016.pdf Il a ensuite parl du systme RAP (Reuse Attack Protector)
qui permet de rendre trs compliqu, voire impossible, le
Brad Spengler est le dveloppeur du patch grsecurity qui ROP (Return Oriented Programming). RAP est implment
permet de durcir le noyau Linux. Dans un premier temps, comme un plugin de GCC qui va limiter les fonctions qui
il a prsent les avancements raliss depuis 2012 sur peuvent tre appeles partir d'une certaine place, ainsi
grsecurity : que les endroits auxquels le flot d'excution peut retourner
aprs avoir atteint la fin d'une fonction.
+ KSTACKOVERFLOW, un systme afin d'liminer les stack
overflow sous les architectures 64bits Dans un second temps, Brad Spengler a parl de l'tat
de la scurit informatique. Avec un regard assez critique
+ RANDSTRUCT, une mesure afin de rendre alatoire
l'organisation des structures critiques en mmoire
l'gard des pratiques du milieu, il a expliqu comment,
selon lui, l'industrie ne prend pas les bonnes mesures de
scurit et a les mauvaises priorits. D'aprs lui, les
46
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
acteurs de l'industrie devraient s'occuper d'implmenter de Gunpack : un outil gnrique d'unpacking de malwares
vraies mesures de scurit au lieu de tenter de mitiger les Julien Lenoir
problmes, c'est--dire concrtement qu'il faudrait
liminer des classes de vulnrabilits plutt que d'enchaner
indfiniment les corrections de bugs.
+ Slides :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/
gunpack/SSTIC2016-Slides-gunpack-lenoir.pdf
+ Article complet :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/de- Devant le volume important de malwares
marche_d_analyse_collaborative_de_codes_malveill/ analyser et le manque de ressources
SSTIC2016-Article-demarche_d_analyse_collaborative_de_
codes_malveillants-chevalier_le-berre_pourcelot.pdf
humaines, les agents de l'ANSSI
ont conu une plateforme nomme
Devant le volume important de malwares analyser et le Polichombr permettant de traiter ce volume
manque de ressources humaines, les agents de l'ANSSI ont de faon efficace
conu une plateforme nomme Polichombr permettant de
traiter ce volume de faon efficace. Certains malwares tant
simplement des versions modifies d'autres malwares, il Gunpack fonctionne en instrumentant l'OS de l'intrieur et
peut tre utile de faire le travail d'analyse en tenant compte collecte le maximum d'informations sur la vie du processus
des connaissances dj collectes sur les autres malwares. tudi.
La nouvelle plateforme propose donc des fonctionnalits
de stockage, de centralisation d'informations, de travail
collaboratif et d'automatisation.
Cryptanalyse en bote noire de chiffrement propri- Eurisko : dveloppement dune carte lectronique s-
taire: tude de cas curise
Pierre Capillon Arnaud Ebalard, Arnaud Fontaine, David Diallo, Jean-Pierre
Flori, Karim Khalfallah, Mathieu Renard, Ryad Benadjila
+ Slides :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/ + Slides :
cryptanalyse_en_boite_noire_de_chiffrement_proprie/ https://www.sstic.org/media/SSTIC2016/SSTIC-actes/euris-
SSTIC2016-Slides-cryptanalyse_en_boite_noire_de_chiffre- ko/SSTIC2016-Slides-eurisko-ebalard_fontaine_diallo_flo-
ment_proprietaire-capillon.pdf ri_khalfallah_renard_benadjila.pdf
+ Vido :
http://static.sstic.org/videos2016/SSTIC_2016-06-01_P04.
+ Vido :
http://static.sstic.org/videos2016/SSTIC_2016-06-01_P05.
mp4 mp4
+ Article complet :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/cryp-
+ Article complet :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/euris-
tanalyse_en_boite_noire_de_chiffrement_proprie/SS- ko/SSTIC2016-Article-eurisko-ebalard_fontaine_diallo_flo-
TIC2016-Article-cryptanalyse_en_boite_noire_de_chiffre- ri_khalfallah_renard_benadjila.pdf
ment_proprietaire-capillon.pdf
Plusieurs membres de l'ANSSI nous ont prsent com-
Pierre Capillon nous a prsent le fruit de 6 semaines de ment ils ont dvelopp une carte informatique scurise.
rtro-ingnierie sur un firmware chiffr et obfusqu de 18 Cette carte contient une chane de dmarrage scurise
mga-octets. via un composant scuris certifi EAL5+. L'EAL (Evaluation
Assurance Level) est un systme d'valuation dfini dans
les Critre Communs.
+ Slides :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/evo-
lution_et_d-volution_des_systmes_multimdia_emba/
SSTIC2016-Slides-evolution_et_d-volution_des_systmes_
multimdia_embarqus-pollet_massaviol.pdf
+ Vido :
http://static.sstic.org/videos2016/SSTIC_2016-06-01_P06.
Il est trs critique l'gard des constructeurs qui dve- mp4
+
loppent leurs propres algorithmes de chiffrement et nous
dmontre comment il russit dterminer le format du Article complet :
firmware: il sagit dun binaire ELF de 42 Mo, contenant un https://www.sstic.org/media/SSTIC2016/SSTIC-actes/evo-
OS temps rel complet. Enfin, le reverse du firmware aura lution_et_d-volution_des_systmes_multimdia_emba/
permis didentifier des vulnrabilits concrtes (qui nont SSTIC2016-Article-evolution_et_d-volution_des_systmes_
pas t communiques par lorateur). multimdia_embarqus-pollet_massaviol_1.pdf
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Network) rendent possible le contrle de fonctionnalits ganisation du code des gros programmes, et ncessite de
critiques de la voiture telles que le freinage travers l'ex- faire un compromis sur la scurit afin de ne pas sacri-
ploitation des botiers multimdias. fier les performances. Florent Saudel prend l'exemple du
projet WebKit dans lequel certaines classes peuvent conte-
nir jusqu' 300 classes filles, ce qui rend la vrification du
type de l'objet compliqu ou coteux en performance.
+ Slides :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/logi-
ciels_verifies_f_star_poly1305/SSTIC2016-Slides-logiciels_
verifies_f_star_poly1305-beurdouche_zinzindohoue.pdf
USB Toolkit
Benoit Camredon
+ Vido :
http://static.sstic.org/videos2016/SSTIC_2016-06-01_P09.
mp4
+ Slides :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/usb_
toolkit/SSTIC2016-Slides-usb_toolkit-camredon.pdf
+ Vido :
http://static.sstic.org/videos2016/SSTIC_2016-06-01_P07.
mp4
+ Article complet :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/usb_
toolkit/SSTIC2016-Article-usb_toolkit-camredon.pdf
+
qu l'algorithme Poly1305 afin d'en faire une
Slides : implmentation dont la fiabilit est mathmatiquement
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/ prouve.
confusion_type_cpp/SSTIC2016-Slides-confusion_type_
cpp-saudel.pdf
Aprs avoir analys les communications
+ Vido :
http://static.sstic.org/videos2016/SSTIC_2016-06-01_P08.
rseau du jeu avec le logiciel Wireshark,
puis avoir fait de la rtro-ingnierie
mp4 sur le binaire du jeu, Ivan Kwiatkowski
est parvenu crire un mulateur et
Florent Saudel nous a prsent comment l'exploitation
dcompilateur du bytecode utilis pour le jeu
d'un type de vulnrabilit peu connu, la confusion de type,
permet d'arriver jusqu' l'excution de code arbitraire. afin d'en retrouver la source.
Cette faiblesse est lorigine de 6 vulnrabilits depuis
dbut 2016.
F* permet notamment de se protger contre les
Cette vulnrabilit provient de la conversion (casting) d'ob- dpassements mmoire, les integer overflow, et de vrifier
jets dans un autre type d'objets (appel polymorphisme que les chemins d'excution de code sont indpendants des
dans le paradigme de la programmation oriente objet). secrets.
Cette faille est trs rpandue ce qui complexifie de l'or- 49
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
SSTIC 2016
My friends botnet: How to use your friends to perform Un FizzBuzz pour le cyber
Cyber Int ? Eric Jaeger, Olivier Levillain
Amaury Leroy
+ Vido :
+ Vido :
http://static.sstic.org/videos2016/SSTIC_2016-06-01_P10.
http://static.sstic.org/videos2016/SSTIC_2016-06-01_P12.
mp4
mp4
+ Slides :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/
broken_synapse/SSTIC2016-Slides-broken_synapse-kwiat- > Jour 2 - jeudi 2 juin
kowski.pptx
A first glance at the U2F protocol
+ Vido :
http://static.sstic.org/videos2016/SSTIC_2016-06-01_P11.
Florian Maury, Mickal Bergem
mp4 + Slides :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/a_
+ Article complet :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/
first_glance_at_the_u2f_protocol/SSTIC2016-Slides-a_first_
glance_at_the_u2f_protocol-maury_bergem_1.pdf
broken_synapse/SSTIC2016-Article-broken_synapse-kwiat-
kowski.pdf + Vido :
http://static.sstic.org/videos2016/SSTIC_2016-06-02_P01.
Ivan Kwiatkowski nous a prsent comment lexploitation mp4
de vulnrabilits au sein du jeu vido Froken Synapse lui a
permis d'augmenter ses chances de gagner lors de parties
contre d'autres utilisateurs en ligne. Aprs avoir analys les
+ Article complet :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/a_
communications rseau du jeu avec le logiciel Wireshark, first_glance_at_the_u2f_protocol/SSTIC2016-Article-a_
puis avoir fait de la rtro-ingnierie sur le binaire du jeu, first_glance_at_the_u2f_protocol-maury_bergem.pdf
il est parvenu crire un mulateur et dcompilateur du
bytecode utilis pour le jeu afin d'en retrouver la source. Les deux orateurs ont expos le rsultat de leur tude
du protocole U2F (Universal Second Factor) dont les
Il a ensuite pu crire son propre script qui a t charg dans spcifications ont t tablies par la FIDO Alliance. L'un
le jeu et qui lui a permis de le modifier afin de lui procurer des objectifs d'U2F est de compenser la faiblesse des se-
un avantage. conds facteurs d'authentification (comme les codes de
scurit envoys par SMS) face aux attaques de phishing, en
permettant de se reposer sur une solution matrielle telle
qu'une cl USB.
U2F prvoit galement la possibilit de dtecter les
attaques de type Man-in-the-Middle.
50
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Leur tude qui semble tre la premire ralise sur Les constructeurs ont t avertis et malgr le peu de
ce nouveau protocole rvle que du point de vue des transparence envers les chercheurs, ont dvelopp les
spcifications, celui-ci remplit ses objectifs. correctifs de scurit. Le dploiement de ces derniers reste
nanmoins laborieux...
+ Slides :
N/A
+ Vido :
http://static.sstic.org/videos2016/SSTIC_2016-06-02_P03.
mp4
+ Article complet :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/
mthodologie_dextraction_de_signatures_issues_des_s/SS-
Cependant, les implmentations actuelles (pour la plupart TIC2016-Article-mthodologie_dextraction_de_signatures_
exprimentales) ne suivent pas les spcifica- issues_des_signaux_ais-alincourt_ricordel.pdf
tions. De plus, le protocole est encore jeune. Sa
fiabilit n'a donc pas encore t prouve Dans l'univers naval, AIS (Automatic Identification System)
contrairement aux autres schmas d'authentification forte est un systme de communication permettant notamment
tels que les TOTP (Time-based One-Time Password) ou la golocalisation des bateaux en mer. Lors de sa concep-
encore les certificats client. tion, la scurit des communications n'a pas t prise en
considration rendant AIS vulnrable l'interception et
l'altration de donnes. Ainsi, un attaquant disposant du
How to not break LTE crypto matriel ncessaire peut par exemple usurper l'identit
Benoit Michau, Christophe Devine d'un navire ou encore relayer une position incorrecte pour
tromper les autorits.
+ Slides :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/how_
to_not_break_lte_crypto/SSTIC2016-Slides-how_to_not_
break_lte_crypto-michau_devine.tgz
+ Vido :
http://static.sstic.org/videos2016/SSTIC_2016-06-02_P02.
mp4
+ Article complet :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/how_
to_not_break_lte_crypto/SSTIC2016-Article-how_to_not_
break_lte_crypto-michau_devine.pdf
51
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
SSTIC 2016
+ Vido :
http://static.sstic.org/videos2016/SSTIC_2016-06-02_P04.
mp4
+ Slides :
N/A
+ Slides :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/app_
Pour tester la scurit d'un circuit intgr, il existe trois
approches possibles (par ordre croissant d'agressivit) :
+
vs_wild/SSTIC2016-Slides-app_vs_wild-duverger.pdf
non-intrusive : base uniquement sur les signaux
+ Article complet : extrieurs, aucun accs la puce ;
52
+ Vido :
http://static.sstic.org/videos2016/SSTIC_2016-06-02_P06.
lectromagntiques, etc.) ;
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
+ intrusive : accs physique la puce avec modification
matrielle autorise (contournement des protections de la
Dverrouillage d'Android en simulant un clavier/souris
Antoine Cervoise (@acervoise)
+
puce, ingnierie inverse, etc.).
Slides :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/un-
lock_android/SSTIC2016-Slides-unlock_android-cervoise.
pdf
+ Article complet :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/un-
lock_android/SSTIC2016-Article-unlock_android-cervoise.
pdf
+ Vido :
http://static.sstic.org/videos2016/SSTIC_2016-06-02_P08.
mp4
+ Slides :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/de-
bogage_furtif_et_introspection_de_machines_virtu/SS-
TIC2016-Slides-debogage_furtif_et_introspection_de_ma-
chines_virtuelles-couffin.pdf
+ Article complet :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/de-
bogage_furtif_et_introspection_de_machines_virtu/SS-
TIC2016-Article-debogage_furtif_et_introspection_de_ma-
chines_virtuelles-couffin.pdf
+ Vido :
http://static.sstic.org/videos2016/SSTIC_2016-06-02_P07. Une webcam, connecte l'ensemble, sera utilise pour
mp4 prendre une photo chaque tentative de dverrouillage.
Une comparaison en temps rel des photos prises avec une
Lorsque l'on souhaite analyser le comportement d'un pro- photo talon permettra alors de dtecter le dverrouillage
gramme (malveillant ou non), on utilise bien souvent un de l'appareil.
debugger, afin de pouvoir raliser une analyse dynamique Sur la plupart des tlphones Android, il suffira d'une
au cours de l'excution du programme. vingtaine de minutes pour tester 100 mots de passe
Seulement, l'utilisation d'un debugger modifie systma- diffrents.
tiquement l'environnement d'excution du programme,
et dans certains cas celui-ci est en mesure de s'en rendre
compte et de mettre en place diverses protections "anti-de- The Metabrik Platform: Rapid Development of Reusable
bug". Security Tools
Patrice Auffret (@PatriceAuffret)
C'est pour rpondre cette problmatique que Nicolas
Couffin nous prsente Winbagility : un debugger furtif
bas sur la solution de virtualisation VirtualBox. Celui-ci
+ Slides :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/
permet le debug d'un programme s'excutant au sein d'une the_metabrik_platform_rapid_development_of_reusabl/
machine virtuelle sans jamais interagir avec le systme SSTIC2016-Slides-the_metabrik_platform_rapid_develop-
invit de celle-ci, rendant l'action totalement furtive. ment_of_reusable_security_tools-auffret.pdf
+ Vido :
http://static.sstic.org/videos2016/SSTIC_2016-06-02_P09. 53
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
SSTIC 2016
+
sant la fonctionnalit System Integrity Protection (SIP)
Vido : a.k.a "rootless" d'OSX (dsactivable en mode Recovery).
http://static.sstic.org/videos2016/SSTIC_2016-06-02_P10. L'objectif est ici de dfinir un ensemble de permissions
mp4 propres chaque application et non plus lies un utilisa-
teur. Il est ainsi question d'tablir des restrictions au niveau
Afin de rpondre aux problmatiques d'isolation des SI in- du compte root ou des sudoers afin de protger l'intgrit
dustriels, Arnaud Soulli nous prsente son boitier DYODE. des fichiers et rpertoires risque sur le systme en bloquant
Le but ? Raliser une diode rseau (NB: il s'agit d'un qui- notamment l'accs en criture aux /System, /bin, /sbin,
pement qui garantit physiquement un flux rseau unidirec- etc, aux processus systmes signs par Apple, etc. Le tout
tionnel) open source pour moins de 200 euros - un quipe- est dfini dans le fichier de configuration /System/Library/
ment commercial de ce type coutant plusieurs dizaines de Sandbox/rootless.conf ou visualisable via un "ls -lO <path>".
milliers d'euros.
+ Slides :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/
fuzzing_and_overflows_in_java_card_smart_cards/SS-
TIC2016-Slides-fuzzing_and_overflows_in_java_card_
smart_cards-bouffard_lancia.pdf
+ Vido :
http://static.sstic.org/videos2016/SSTIC_2016-06-03_P03.
mp4
Jean a pris le relai afin de prsenter son travail permet- Noyaux Linux durcis
tant de contourner le mcanisme de scurit protgeant Yves-Alexis Perez
+
les cls cryptographiques embarques (avec un BCV
correct). A ce titre, un exemple permettant de contourner Slides :
le firewall (destin sparer des applications sur la carte et https://www.sstic.org/media/SSTIC2016/SSTIC-actes/
pour le routage d'apdu) l'aide d'un stack d'overflow a t noyaux_linux_durcis/SSTIC2016-Slides-noyaux_linux_dur-
expos permettant d'altrer et de maitriser dans une cis-perez.pdf
+
certaine mesure la stack afin d'abuser du security context.
Le problme vient donc d'un bug de la VM au moment du Vido :
runtime conduisant une lvation de privilges. http://static.sstic.org/videos2016/SSTIC_2016-06-03_P04.
mp4
+
Seconde technique : injection de fautes avec une attaque
combine en utilisant une oprande RET (permettant de Article complet :
raliser un saut vers une adresse en fin d'une subroutine https://www.sstic.org/media/SSTIC2016/SSTIC-actes/
dclenche via un bloc finally). Il en rsulte la lecture d'une noyaux_linux_durcis/SSTIC2016-Article-noyaux_linux_dur-
variable locale maitrise par l'attaquant et l'excution du cis-perez.pdf
code malveillant.
Prsentation du composant grSecurity (https://grsecu-
En l'tat, le BCV ne peut assurer lui seul la scurit, il est rity.net) permettant d'apporter un niveau de scurit
important de protger la fois la partie software et la partie supplmentaire au noyau Linux. grSecurity inclut
hardware afin de se prmunir de ce type d'attaques, mais notamment le systme de contrle d'accs PaX utilis afin
la surface d'exploitation demeure importante. de renforcer la scurit du systme (espaces d'adressage
mmoire alatoires, protection contre le ROP, etc.) ou en-
core Role Based Access Control (RBAC) permettant d'affi-
ner la gestion des droits des utilisateurs. Yves-Alexis a ici 55
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
SSTIC 2016
voqu l'ternel problme de correction des bugs alors d'extraction de cls secrtes. Il s'agit l de la contrepartie logi-
qu'une surveillance "active" semble une solution bien plus cielle des attaques dites de Differential Power Analysis (DPA)
prenne. bases sur la consommation lectrique.
+
cryptographie white-box supposes "scurises" en
Slides : pensant dtenir le Graal. Leur solution miracle ? La cessa-
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/de- tion de publication des implmentations ou comment re-
sign_de_cryptographie_white-box_et_a_la_fin_c_es/ venir aux bons vieux dmons de la scurit par l'obscurit.
SSTIC2016-Slides-design_de_cryptographie_white-
box_et_a_la_fin_c_est_kerckhoffs_qui_gagne-hubain_ Pourtant, en dveloppant des greffons applicables sur des
teuwen_1.pdf outils d'instrumentation binaire dynamique, il a t possible
+
d'enregistrer les adresses mmoire et les donnes qui sont
Vido : utilises afin d'tablir des corrlations permettant d'obtenir
http://static.sstic.org/videos2016/SSTIC_2016-06-03_P05. les cls voulues.
mp4
+ Article complet :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/de-
sign_de_cryptographie_white-box_et_a_la_fin_c_es/
SSTIC2016-Article-design_de_cryptographie_white-box_
et_a_la_fin_c_est_kerckhoffs_qui_gagne-hubain_teuwen.
pdf
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Bypassing DMA remapping with DMA Scapy en 15 minutes
Benot Morgan, Eric Alata, Guillaume Averlant, Vincent Guillaume Valadon, Pierre Lalet
Nicomette
+ Slides :
+ Slides :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/dma_ scapy_en_15_minutes/SSTIC2016-Slides-scapy_en_15_mi-
bypass_with_dma/SSTIC2016-Slides-dma_bypass_with_ nutes-valadon_lalet.pdf
dma-morgan_alata_averlant_nicomette_1.pdf
+ Vido :
+ Vido :
http://static.sstic.org/videos2016/SSTIC_2016-06-03_P08.
http://static.sstic.org/videos2016/SSTIC_2016-06-03_P07. mp4
mp4
15 minutes pour parler de Scapy, "challenge accepted" et
+ Article complet :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/dma_
avec brio. L'outil de manipulation de paquets en Python a
t dcrit en prsentant un chantillon de ses nombreuses
bypass_with_dma/SSTIC2016-Article-dma_bypass_with_ fonctionnalits (gnration de paquets, manipulation
dma-morgan_alata_averlant_nicomette.pdf des champs, snippet de code python, composants gra-
phiques de visualisation, gestion des piles rseau, gestion
La confrence s'est tout d'abord oriente autour d'un d'automates, etc.). Avec le support ASN1 et X509, l'outil
tat des lieux des attaques DMA (accs la mmoire devient de plus en plus complet, mais attention, une version
principale depuis les priphriques qui sont indpendants Python 3 n'est pas encore d'actualit.
sur processeur donc potentiellement accs au code et la
mmoire d'applications privilgies). Puis une attaque
d'IOMMU (InputOutput Memory Management Unit) Microsoft reoit, au travers de Windows
mettant en avant une erreur de conception au sein du
Error Reporting plus de
firmware et du driver dIOMMU Intel pour Linux a t
prsente. Comment a se passe ? 10 millions de rapports par jour.
Ces rapports sont trs prcieux
+Un priphrique PCI Express dvelopp sur FPGA ; pour dcouvrir des 0-days.
+ Vido :
http://static.sstic.org/videos2016/SSTIC_2016-06-03_P09.
mp4
les formats d'image disque (RAW, VDI, VMDK, ...). Des plugins avoir t envoys.
peuvent galement tre ajouts pour automatiser les tches
fastidieuses, comme l'interaction avec Virus Total. Microsoft reoit plus de 10 millions de rapports par jour.
Ces rapports sont trs prcieux pour dcouvrir des 0-days.
+ psort.py qui permet de filtrer/trier ces mmes
vnements. Cet outil fournit une sortie exploitable pour utili-
Notamment nous vous conseillons la lecture sur le blog
de Microsoft de l'origine de la dcouverte de la MS08-067
ser le meilleur outil de forensics "grep". L'outil permet gale- (https://blogs.technet.microsoft.com/johnla/2015/09/26/
ment de faire certaines analyses. the-inside-story-behind-ms08-067/). Seul Microsoft
reoit ces rapports. Nanmoins il est possible de se dclarer
L'outil est disponible sous Mac, Windows et Linux. Il est comme tiers de confiance pour avoir accs ces rapports.
installable facilement notamment via les gestionnaires de
paquets (python-plaso). Il est galement possible de configurer son propre
serveur (Collecteur WER entreprise) pour recevoir les
Timesketch est un outil bas sur Elasticsearch qui fournit une rapports. Les changes utilisent le protocole Corporate Error
riche GUI pour afficher la timeline. Il permet notamment : Reporting (CER) v1 en SMB ou v2 en HTTP ou HTTPS. Cette
fonctionnalit est trs pratique notamment en cas d'ana-
+d'annoter des vnements; lyse Forensics (tous les crashs dumps sont ainsi centraliss).
+ Slides :
https://www.sstic.org/media/SSTIC2016/SSTIC-actes/win-
dows_error_reporting/SSTIC2016-Slides-windows_error_
reporting-bordes_1.pdf Une autre fonctionnalit permet de configurer des actions
+
qui seront ralises lors du prochain crash :
Vido :
http://static.sstic.org/videos2016/SSTIC_2016-06-03_P06.
mp4 +Rcupration de fichier arbitraire
Aurlien Bordes a prsent Windows Error Reporting ou +Excution de commande WMI
WER qui est le remplaant de Docteur Watson. Il permet
de gnrer un rapport d'erreur (crash d'application, crash +Lecture ou modification de cl de registre
noyau, etc.) qui sera envoy Microsoft. Un rapport WER
est situ au sein du rpertoire utilisateur (Appdata/local/ +Gnration d'un dump mmoire
Microsoft/Windows/WER/ReportQueue) et est compos Heureusement, toutes ces actions sont ralises dans le
des lments suivants : contexte de l'application qui a crash. Donc en cas de crash
Matt Berger
Analyse de vulnrabilits
Image Tragick et HTTPoxy
L'ACTUA
Par Jean-Christophe PELLAT
LIT Buzz
BadLock
DU
Par Vincent MARQUET
59
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
ImageTragick, la nouvelle faille
qui embrase la scne IT
Par Jean-Christophe PELLAT
Jeremy Fitzhardinge
> Introduction > Prsentation de la vulnrabilit
Aprs le buzz autour de Heartbleed, Shellshock, Poodle,
Badlock et jen passe, cest au tour de la faille baptise Quest-ce que ImageMagick?
ImageTragick dobtenirson nom,son logo, et son site
ddi. ImageMagick est une bibliothque Open Source trs
rpandue de traitement dimages. Elle permet de crer,
Le 3 mai dernier, le petit monde de linfosec senflamme. dditer, de convertir ou de composer des images. Plus de
Deux chercheurs dorigine russe publient leur tragick 200 formats sont supports. Elle est disponible en C, C++,
dcouverte. De multiples vulnrabilits ont t dcouvertes PHP, Perl, Python, etc., pour Linux, Mac OSX et Windows.
au sein de la bibliothque ImageMagick, et permettent la Enfin, ImageMagick est trs largement utilise : on la
prise de contrle distance. Lune dentre elles sort du lot. retrouve notamment au sein des logiciels tels que les fo-
Elle est rfrence CVE-20163714. rums, rseaux sociaux, galeries, CMS, etc..
Cette dernire vulnrabilit touche les versions dImage- Pour cela, rien de plus simple, il suffit de spcifier un che-
Magick 6.x > 6.9.3-10 et ImageMagick 7.x > 7.0.1-1. Soit min absolu du type URL comme source. Comme le montre
les versions datant davant le 30 avril 2016. le fichier delegate.xml , le traitement des URL est
dlgu par ImageMagick lutilitaire Curl. En loccurrence,
La faille permet linjection de commandes arbitraires, et lorsquune image distante est rfrence via une URL en
provient dun filtrage insuffisant sur les chemins daccs HTTP ou HTTPS, la commande Curl suivante est excute par
aux images, quils sagissent de chemins locaux, ou distants ImageMagick. Ici, on comprend aisment que le paramtre
(HTTP(s) entre autres). En effet, il est possible dutiliser des %M correspond au lien spcifi en entre.
caractres pouvant tre utiliss en ligne de commande.
> Exploitation de la faille quil soit auto hberg sur un systme srement non main-
tenu jour
63
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
ImageTragick
> Conclusion
Rfrences
+https://www.nolimitsecu.fr/imagetragick/
+ https://lebackend.leportail.xmco.fr/watch/advisory/
CXN-2016-1392
+ https://cve.mitre.org/cgi-bin/cvename.cgi?-
name=CVE-2016-3714
+ https://web.nvd.nist.gov/view/vuln/detail?vul-
nId=CVE-2016-3714
+
3714
https://access.redhat.com/security/cve/cve-2016-
+ https://access.redhat.com/security/vulnerabili-
ties/2296071
+https://imagetragick.com/
+https://github.com/ImageTragick/PoCs
+ https://mukarramkhalid.com/imagemagick-imagetra-
gick-exploit/#introduction
64
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Badlock, la faille qui dchane
les passions
Par Vincent MARQUET
darkday
> Introduction Mais dabord, Samba, quest-ce que cest ? Revenons aux
sources. Le protocole SMB (Server Message Block) fut
En avril 2016, la faille nomme badlock [1] a dchai- dabord dvelopp par IBM dans les annes 1980 dans
n les passions dans le monde de la scurit informatique. le but de pouvoir accder au systme de fichiers dune
Dabord prsente comme une faille critique, sa svrit a autre machine sur le rseau local. Il fut ensuite repris par
finalement t remise en cause. Outre laspect technique, Microsoft au dbut des annes 1990, et renomm en CIFS
la publicit autour de lannonce de la faille a galement (Common Internet File System).
reu son lot de critiques, allant jusqu la cration dun
site parodique [2], et mme des accusations lencontre
du dcouvreur de la faille qui laurait lui-mme introduite D'abord prsente comme une faille cri-
(involontairement) et en aurait ensuite profit afin de faire tique, sa svrit a finalement t remise en
parler de lentreprise qui lemploie au lieu de simplement cause. Outre l'aspect technique, la publicit
la corriger [3]. Dans cet article, nous allons tudier laspect
autour de l'annonce de la faille a galement
technique de cette vulnrabilit, puis nous reviendrons sur
laspect mdiatique qui en a dcoul. reu son lot de critiques
+[1] http://badlock.org/
Les faits
+[2] https://sadlock.org/
La socit Sernet, qui emploie le dveloppeur lorigine
de la dcouverte de la faille, a cr un site web et un logo
+[3] http://securityaffairs.co/wordpress/45579/hacking/
afin de rendre la vulnrabilit visible. Le nom de domaine
badlock.org a t rserv le 11 mars 2016, soit environ un
mois avant la publication des patchs fournis entre autres badlock-windows-samba-flaw.html
+[4] https://www.samba.org/samba/PFIF/
par Sernet et Microsoft (Patch Tuesday du 12 avril).
+[6] https://msdn.microsoft.com/en-us/library/
Faire parler de la faille avec du marketing (site
web, communications, tweeter, logo) permet de
mobiliser les consciences et encourage patcher rapide- cc243786.aspx
+[7] https://www.samba.org/cifs/docs/what-is-smb.
ment. Cette manire de procder a cependant t beaucoup
critique puisque beaucoup de personnes ont eu peur que les
informations divulgues par Sernet (notamment le titre html
+[8] http://www.hsc.fr/ressources/articles/win_net_srv/
de la faille, Bad Lock) permettent des attaquants de
dvelopper des exploits avant la sortie des patchs. En rali-
t, il nen a rien t puisque le titre de la vulnrabilit nest ncacn_np_transport.html
+[9] https://www.samba.org/
pas en rapport avec ses dtails techniques. Cependant,
certains considrent que ce battage mdiatique a
+[10] https://www.sernet.de/en/samba/
dtourn les entreprises de priorits plus importantes et
leur a fait perdre beaucoup de temps.
+[12] https://www.samba.org/samba/ftp/patches/secu-
doute pas que cela a au moins servi Sernet pour se faire
connatre.
rity/samba-4.4.0-security-2016-04-12-final.patch
> Conclusion
La faille BadLock est donc une faille qui, de par la probable
complexit technique pour dvelopper un exploit, et les
conditions assez avances requises pour son exploitation,
na pas men lapocalypse annonce. Esprons que crier
au loup ne devienne pas une habitude, afin que les esprits
restent ractifs le jour o il faudra grer une vraie faille
critique.
67
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> HTTPOXY une nime faille mdiatise
Oublie pendant 10 ans, la faille HTTPOXY est rapporte aux dveloppeurs dbut juillet. Quelques jours plus tard, elle est
dvoile au grand public accompagne de son logo et son site web.
HTTPOXY provient dun conflit de nom entre deux variables denvironnement (systme et CGI) permettant sous certaines
conditions dintercepter des donnes et de raliser une attaque de type Man-In-The-Middle.
HTTPOXY
Fred Lindgelbach
Jeremy Fitzhardinge
> Introduction baptise environ . Il ny a donc pas de possibilit de
conflit avec le conteneur de la variable denvironnement
systme HTTP_PROXY accessible via os.environ['HTTP_
Quest-ce que CGIet o est-il utilis ? PROXY'] lorsquun en-tte HTTP de la forme Proxy: foo
est reu. En consquence, quelle que soit la bibliothque
CGI ( Common Gateway Interface ) est un standard utilise pour envoyer une requte HTTP, les applications
conu pour gnrer des pages web dynamiques. Pour ce fonctionnant au travers de WSGI ne sont pas vulnrables.
faire, CGI dfinit une interface permettant des serveurs
web HTTP (Apache, nginx, etc.) de communiquer avec des
scripts excutables (ou des fichiers binaires) en vue de
+ CGI:
- Vulnrable sous PHP (en utilisant php-fpm ou mod_php,
gnrer le contenu dune page de manire dynamique, en et le client Guzzle 4+ ou Artax)
fonction des diffrents paramtres (paramtres HTTP, mais - Vulnrable sous Python (CGI-handler ou mod_cgi, et le
galement dautres paramtres techniques comme client requests)
lorigine de la requte). Bien quhistoriquement dvelopp - Vulnrable sous Go (net/httpd/cgi ou mod_cgi, et le client
en Perl, CGI est indpendant de tout langage de dvelop- net/HTTP)
pement: les scripts CGI peuvent tre crit en PHP, Python,
Ruby, Perl, etc.
+ FastCGI:
- Vulnrable sous PHP (HHVM)
- Non vulnrable sous Python
Quels environnements CGI sont vulnrables (scgi, fastc- - Non vulnrable sous Go (net/HTTP/fcgi)
gi, wsgi, etc.)?
+
correctement ce conflit.
Une interne au systme HTTP_PROXY spcifiant le
Oublie pendant prs de 10 ans, elle refait surface en 2013 serveur proxy utiliser pour les flux HTTP sortants.
+
respectivement intitules:
Le serveur HTTP reoit la requte puis excute la proc-
CONTENT_TYPE dure habituelle
+
SERVER_PORT
REQUEST_METHOD Stockage du proxy dans la variable denvironnement
(meta-variable) HTTP_PROXY
Ainsi , lensemble des en-ttes HTTP reus, et ne corres- Et pour finir, si le script effectue des requtes HTTP, alors ces
pondant pas aux en-ttes HTTP classiques est transmis sous requtes transiteront par le serveur proxy de lattaquant qui
cette forme: par exemple le paramtre cookie. sera alors en mesure dintercepter le trafic ou de raliser
une attaque de type Man-in-The-Middle. 69
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
HTTPOXY
> Exploitation
Preuve de Concept PHP issue dHTTPOXY.ORG Lorsque nous effectuons une requte vers le site vitrine,
celui va sauthentifier sur le micro service distant et rcup-
Il suffit de tlcharger, crer limage Docker et lancer lins- rer des ressources. Notre but ici est dexploiter HTTPOXY en
tance injectant notre proxy dans le site vitrine, une fois ceci fait
nous allons alors intercepter la requte queffectuera le site
git clone https://github.com/httpoxy/php- vitrine au micro service.
fpm-httpoxy-poc.git
cd php-fpm-httpoxy-poc/ Ce qui nous permettra ainsi de rcuprer les identifiants
docker build -t fpm-guzzle-proxy . (nom dutilisateur et mot de passe) utiliss.
docker run -d -p 80:80 --name fpm-test-
instance fpm-guzzle-proxy
nc -l -p 12345
70
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Site vitrine:
Voil le contenu du fichier auth.py: Au sein du fichier outfile.txt, on aperoit la requte effec-
tue par le site vers le micro service. Le champ Authoriza-
tion nous intresse ici, car il contient lidentifiant et le mot
de passe encod en base64.
# define 'proxylog' format in the http{} Appelez ensuite le script en effectuant une requte HTTP
context: utilisant len-tte Proxy vulnrable:
log_format proxylog '$remote_addr - $re-
mote_user [$time_local] ' curl -H Proxy: AFFECTED http://my-ser-
'"$request" $status ver-name/cgi-bin/test.cgi
$body_bytes_sent '
'"$http_referer"
"$http_user_agent" ' Si vous voyez la sortie suivante, votre serveur n'est pas af-
'"$http_proxy"'; fect:
# log requests with a Proxy header using HTTP_PROXY="
the 'proxylog' format
access_log /var/log/nginx/badactor.log
proxylog if=$http_proxy; En revanche si vous voyez la sortie suivante, ou tout autre
sortie, votre serveur peut tre affect :
ce jour aucun code dexploitation na t publi. Pour vous protger de la vulnrabilit, il suffit de mettre
jour votre serveur ainsi que dappliquer les solutions de
contournement ci-dessous.
+NGINX/FastCGI
fastcgi_param HTTP_PROXY "";
72
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
+Apache (mod_cgi, mod_php)
Par lutilisation de mod_headers(au sein dun .htaccess):
Rfrences
}
[...]
+[7] https://blog.cloudflare.com/cloudflare-sites-protec-
ted-from-httpoxy/
+ OpenBSD relayd
http protocol httpfilter {
match request header remove "Proxy"
}
> Conclusion
La faille requiert beaucoup de conditions afin dtre relle-
ment exploite (systme utilisant une version vulnrable
de CGI et un script CGI mettant lui-mme des requtes
HTTP vers un autre serveur; ce qui est dautant plus rare)
73
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Le whitepaper du mois
par Bastien CACACE
Kamal Hamid
> LANSSI publie un nouveau rf- +Supervision
rentiel dexigences de scurit LANSSI rappelle cependant que les produits mentionns
dans ce guide nont fait lobjet daucune valuation ou certi-
LANSSI a publi ses recommandations pour les architec- fication de scurit.
tures bases sur VMware vSphere ESXi. Le but de ce do-
cument est de rduire autant que possible la surface dat- Le guide est disponible ladresse suivante :
taque des solutions suivantes : VMware vSphere ESXi 5.5 http://www.ssi.gouv.fr/uploads/2016/07/np_vmwareesx_
(ESX), VMware vCenter Server 5.5 et VMware vSphere Client notetech_v1.pdf
5.5.
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Le meilleur du web
Cette rubrique vous permettra de faire un tour > Slection darticles ddis aux
dhorizon des articles scurit les plus intres- outils et aux tests d'intrusion
sants !
75
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Le meilleur du web
http://www.contextis.com/resources/blog/rdp-replay-
Outil rejouer les sessions RDP depuis un
code-release/
fichier PCAP
http://digital-forensics.sans.org/blog/2015/03/30/
Vol de token sous Windows monitoring-for-delegation-token-theft
https://www.pentestpartners.com/blog/an-interes-
Devenir Administrateur du domaine via les
ting-route-to-domain-admin-iscsi/
partages iSCSI
https://www.ernw.de/download/newsletter/ERNW_
Audit de la technologie DirectAcess de
Newsletter_53_MS_DA_Security_Assessment_Signed.
Microsoft pdf
https://blog.ahmednabeel.com/from-zero-to-system-
on-full-disk-encrypted-windows-system-part-2/
Comment exploiter la vulnrabilit MS16-072
https://www.slideshare.net/slideshow/embed_code/
key/pRiu6l1TJx0p4g
https://github.com/JackOfMostTrades/bluebox
76
76
Ce
Cedocument
documentest
estlalaproprit
propritdu
ducabinet
cabinetXMCO.
XMCO.Toute
Toutereproduction
reproductionest
eststrictement
strictementinterdite.
interdite.
Adam https://twitter.com/_xpn_
b33f https://twitter.com/FuzzySec
RTFM https://twitter.com/redteamfieldman
Adamb https://twitter.com/Hexacorn
77
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Romain MAHIEU
> Remerciements
Photographie
royalty free
https://www.flickr.com/photos/99783447@N07/9433864982
RadishTM :
https://www.flickr.com/photos/radishtm/14889276036
Chris Potter :
https://www.flickr.com/photos/86530412@N02/8186946980
Matt Berger :
https://www.flickr.com/photos/berger787/13852888945
Jeremy Fitzhardinge :
https://www.flickr.com/photos/goop/41111081
darkday :
https://www.flickr.com/photos/drainrat/16372533931
Kiarras :
https://www.flickr.com/photos/kiarras_marinero/8455661691
LActuScu est un magazine numrique rdig et dit par les consultants du cabinet
de conseil XMCO. Sa vocation est de fournir des prsentations claires et dtailles sur le
thme de la scurit informatique, et ce, en toute indpendance. Tous les numros de
lActuScu sont tlchargeables ladresse suivante :
78 https://www.xmco.fr/actusecu/
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
www.xmco.fr
69 rue de Richelieu
75002 Paris - France
SAS (Socits par Actions Simplifies) au capital de 38 120 - Enregistre au Registre du Commerce de Paris RCS 430 137 711
Code NAF 6202A - NSIRET : 430 137 711 00056 - N TVA intracommunautaire : FR 29 430 137 711
79
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.