Suivre

Bonjour, Lille !

Aujourd'hui, premier jour du forum-fic.com/ On va parler de sécurité informatique.

Le premier jour est consacré à , la conférence technique sur l'investigation numérique cecyf.fr/activites/recherche-e

Et on commence avec Guénaëlle De Julis, qui investigue . Tiens, les données sont stockées dans un bon vieux (avec un schéma de données différent sur iOS et Android, des valeurs ≠ pour l'état d'un message, etc).
On peut retrouver les messages supprimés, dans certains cas.
Notez que, sur iPhone, on ne peut pas regarder toutes ses propres données (seul Apple est root).

Afficher le fil de discussion

« Dans le cloud, on n'a pas toujours le listing des assets. Les business units ne préviennent pas toujours le SOC et ça devient du shadow-iT. » Ah, ça devient sérieux.

Afficher le fil de discussion

(Philippe Baumgart et Fahim Hasnaoui, « Gestion d’Incidents et investigations en environnement Cloud »)

Afficher le fil de discussion

En balayant les 19 658 bases de données MongoDB sur AWS, accessibles de partout, on voit que 8,;6 % ont été rançonchiffrées.

Afficher le fil de discussion

Sur Microsoft Azure, la console peut vous prévenir « ce serveur a été compromis » mais il faut payer pour connaitre les détails.

Afficher le fil de discussion

Finalement, c'était un exposé très intéressant sur les avantages et inconvénients de la sous-traitance en matière de sécurité. J'en retiens que, dans certaines boites, vu leurs pratiques de sécurité, c'est encore le cloud qui est le moins vulnérable. Notamment, l'investigation est plus facile (mais pas forcément admissible devant le juge).

Afficher le fil de discussion

François Normand nous fait un amusant tour de tous les trucs rigolos trouvés sur
(Genre du Javascript/Powershell encodé en Base64)

Afficher le fil de discussion

Je ne vais pas parler de la présentation « A year hunting in a bamboo forest » par Aranone Zarkan et Sébastien Larinier car elle est TLP:Amber.

Afficher le fil de discussion

Dans la salle : « Il y a des liens très étroits entre les sociétés de cybersécurité privées et l'État dans tous les pays, pas juste en  [censuré, TLP:Amber]. » Ah, c'est dur, l'analsye géopolitique.

Afficher le fil de discussion

Giovanni Rattaro présente maintenant , un système d'exploitation pour l'investigation et l'analyse post-incident tsurugi-linux.org/

Afficher le fil de discussion

Une des originalités de est que le noyau Linux a été patché : il ne peut que lire, pas écrire, de manière à garantir qu'il ne modifie pas les systèmes qu'il analyse, ce qui est crucial en investigation.

Afficher le fil de discussion

Bonjour, la démo, où on branche l'ordiphone sur et où toutes les données sont aspirées…

Afficher le fil de discussion

La tendance moderne, c'est plus d'attaquer les PC (c'est vieux) ni les ordiphones (c'est banal) mais les routeurs.

Solal Jacob explique comment analyser un routeur Cisco compromis. Donc, de l'IOS (XR) mais pas de l'iOS.

Afficher le fil de discussion
Déplier

@bortzmeyer Donc, en fait, pour les boîtes dans lesquelles l'informatique n'est pas l'activité principale, faute de trouver des sous traitants compétents/honnêtes (comprendre "sans service marketing/commercial...), elles se rabattent sur le cloud (géré par des gens certainement plus compétents mais pas forcément plus honnêtes...), C'est ça?

@bortzmeyer @fredds

Tu as une référence pour ça ?
Cela m'intéresse...

@fredds
La maîtrise de la sécurité coute de plus en plus chère.
Xefi (Jura) une société de sous-traitance s'est fait trouer, empoisonnant une cinquantaine de ses clients.
Une partie de ses clients va rechercher des fournisseurs, plus rassurant, donc plus gros.
actu.fr/bourgogne-franche-comt

@bortzmeyer

@Natouille " AMBER - limited distribution

The recipient may share AMBER information with others within their organization, but only on a ‘need-to-know’ basis. The originator may be expected to specify the intended limits of that sharing."

@Natouille Tu aimerais, il y a plein d'animaux mignons (les groupes de cyberattaquants sont souvent référencés par des noms d'animaux).

@bortzmeyer Y a une différence entre du PowerShell et un blob en base64 ? 🤔

@bortzmeyer Je ne peux pas venir cette année :( L'année prochaine j'espère !

Inscrivez-vous pour prendre part à la conversation
Mastodon - Gougère Network

Le réseau social de l'avenir : Pas d'annonces, pas de surveillance institutionnelle, conception éthique et décentralisation ! Possédez vos données avec Mastodon !