Des preuves mathématiques pour la sécurité des objets connectés ?

Les objets connectés sont la partie visible de l’Internet des objets, et la cible de nombreuses attaques. Souvent exposés, rarement supervisés, ces objets doivent être très résistants aux cybermenaces. Une architecture robuste, combinée à des preuves formelles, permet d’atteindre des niveaux de sécurité très satisfaisants. Lire la suite

La CCTV : un système de surveillance en circuits ouverts ?

Cela ressemble à une vieille histoire qui a déjà été contée : un système dont les technologies historiques se sont modernisées vers le numérique, introduisant ainsi des vulnérabilités dans un environnement critique. Et si cette évolution rappelle celle des réseaux industriels, c’est aussi celle des réseaux de sûreté, notamment la CCTV.

Lire la suite

LORAWAN : déploiement d’une infrastructure de test – Partie 2/2

2.3 Installation d’un nœud

Nous allons déployer un nœud en mode OTAA ; nous observerons ainsi les différentes étapes d’activation d’un nœud et pourrons traiter les paquets reçus. Afin de faciliter les tests, les éléments suivants sont sélectionnés selon une méthode triviale permettant de s’en souvenir pour les paramétrer à différents endroits. Toute ressemblance avec des faits existants ou ayant existé dans un environnement en production …

Lire la suite

LORAWAN : déploiement d’une infrastructure de test – Partie 1/2

Les opérateurs de télécommunications ont commencé à déployer des réseaux ainsi qu’à fournir des offres d’abonnements pour une galaxie d’objets connectés utilisant la technologie LoRaWAN. Celle-ci leur permet de communiquer par ondes radio sur de grandes distances afin de réaliser de la remontée d’informations. Selon son succès, notre environnement devrait progressivement s’enrichir de ces équipements « communicants » . Les quelques publications sur la sécurité des réseaux LoRaWAN ont donné lieu à des articles aux titres alarmistes qui ont suscité l’envie de savoir si un hacker pouvait effectivement pirater du trafic LoRaWAN à l’abri des ondes radio…

Lire la suite

Auditer la sécurité d’une application iOS avec Needle – Partie 2/2

Malheureusement la version de class_dump fournie ne supporte pas les applications 64bits. Un contournement possible est d’utiliser le module hooking/frida/script_enum_all-methods ou tout simplement de récupérer le fichier ipa (l’archive de l’application) avec binary/installation/pull_ipa pour ensuite utiliser une version plus récente de class_dump sur sa machine.

Lire la suite

Auditer la sécurité d’une application iOS avec Needle – partie 1/2

Needle [needle] (aiguille en anglais) est un cadriciel (framework) open source qui accélère considérablement les analyses orientées sécurité des applications iOS. Conçu par Marco Lancini de la société MWR et présenté lors de l’édition 2016 de Black Hat Vegas, il prend une place laissée vacante jusqu’à maintenant. Sans lui les testeurs étaient obligés de s’armer de tout un tas d’outils disposant chacun de sa syntaxe, de son mode opératoire et de ses limitations. Avec Needle de très nombreuses actions peuvent maintenant être lancées depuis une interface unique, avec une syntaxe et un esprit modulaire « à la metasploit » qui plus est !

Lire la suite

SDN ou comment le réseau s’automatise à grande échelle – Partie 2/2

Il est possible qu’un paquet arrive sur un switch Openflow et n’ait pas d’entrée de flux correspondante. Le protocole laisse la possibilité alors, d’envoyer le paquet au contrôleur pour analyse. De cette manière, le contrôleur pourrait décider de programmer une entrée de flux correspondante. Ce comportement est optionnel, le switch Openflow pourrait jeter le paquet pour lequel il n’a pas d’entrée de flux.

Lire la suite

SDN ou comment le réseau s’automatise à grande échelle – Partie 1/2

Nous présentons dans cet article une évolution majeure dans les réseaux consistant à automatiser ou rendre programmable le réseau grâce au concept SDN. L’objectif est de rendre le réseau plus agile, mais aussi de faciliter le déploiement des services activés par les clients eux-mêmes.

Lire la suite

L’édito de MISC n°95 !

The user’s going to pick dancing pigs over security every time™

Lors d’une conférence il y a quelques semaines, j’évoquais avec une collègue la GPDR et la nécessité selon moi d’une intervention des États pour contraindre les sociétés à protéger les données personnelles des usagers de leurs services numériques. Pour balayer devant ma porte, les administrations font souvent elles aussi preuve d’une coupable négligence et la sécurité est trop souvent considérée par les maîtrises d’ouvrage comme une brique technique pouvant être ajoutée en toute fin de projet par les maîtrises d’œuvre quand tout le reste est terminé. L’expression des besoins se résumant alors très schématiquement à « le niveau de sécurité doit être maximum sans perturber les utilisateurs, retarder la mise en service ou dépenser un euro de plus. Bonne chance les gars, on compte sur vous ! » Lire la suite