Le top-départ des cybermatinées sécurité, organisées par les rédactions du Monde Informatique et CIO, a été donné ce 3 avril 2019 à Lyon. Cet événement, qui a réuni plus de 90 participants en entreprises utilisatrices (RSSI, responsables IT...) à Port Rambaud, a été monté avec les clubs sécurité locaux (Clusir Rhône-Alpes et Club 27001) ainsi que nationaux (AFCDP, Cesin et Clusif), et avec le soutien de nos partenaires sponsors Darktrace, RSA, Vade Secure et VMware-Soluceo. Cette seconde édition des cybermatinées sécurité a ouvert sur un grand débat ayant pour thème « Hacking éthique : Apprendre de l’attaquant pour mieux se défendre » auquel ont participé Mickaël Brouty (lead pen tester Fidens/Club 27001), Rémi Allain (responsable technique du club Hacking Ethique du Clusir Rhône-Alpes), Cyril Bras (RSSI Grenoble Alpes Métropole), et Sylvie Ducharne (DSI de l'Opac Saône et Loire et membre du Cesin).
« J'ai mis le pied dans l'informatique très jeune à coup de manipulations et de bidouillages et suis venu à la sécurité en autodidacte après m'être formé sur différentes plateformes comme Root Me », a expliqué Mickaël Brouty. Conscient qu'il aurait pu « mal tourner » en basculant du côté obscur du hack, c'est au contraire vers le hack éthique que le lead pen tester s'est tourné avec en toile de fond une véritable volonté de faire progresser la sécurité des systèmes des entreprises en pointant n'avoir pas été « élevé comme cela » pour justifier son choix de carrière et plus globalement de vie.
Plus de 90 participants ont assisté à la cybermatinée sécurité à Lyon organisée par la rédaction du Monde Informatique, à Port Rambaud le 3 avril 2019. (crédit : D.F.)
Entraîner et sensibiliser pour mieux se défendre
Afin de sensibiliser et d'entraîner les responsables IT à la sécurité informatique pour protéger leurs systèmes aussi bien des cybermenaces externes qu'internes, le Clusir Rhône-Alpes a monté une activité d'hacking éthique leur permettant de mieux appréhender les techniques d'intrusion des attaquants pour mieux se défendre. « Le but est d'entraîner et de sensibiliser », a précisé Rémi Allain. Si la démarche apparaît louable il existe toutefois un décalage en termes de perception de l'utilité de recourir au pen test et hack éthique en France et ailleurs en particulier aux Etats-Unis. « En France la démarche de hack éthique est récente et pas encore mature », poursuit Rémi Allain. Complémentaires des traditionnels tests d'audits de sécurité, les pen tests commencent à être intégrés dans la stratégie globale de sécurité de l'entreprise comme c'est le cas pour Grenoble Alpes Métropole. « A l'époque où j'étais au CNRS j'avais moi-même hacké les systèmes. En arrivant à la métropole on a fait du hack éthique avec Algo Secure à l'occasion de la mise en place d'un nouveau service en ligne et tester l'intégrité de nos données de cadastre. Cela nous a permis de trouver des failles XSS et de les lever début 2019 », a indiqué Cyril Bras.
Preuve que la maturité envers le hack éthique monte en puissance en France : des organismes a priori moins exposés à des attaques s'y mettent, c'est notamment le cas de l'Opac de Saône et Loire. « Nous allons faire appel à du hack éthique après la mise en place de notre projet de PSSI. C'est marquant, cela permet d'être confronté à la vie réelle. Dans notre cas nous allons juste prévenir la direction mais après ce sera open bar », a prévenu Sylvie Ducharne, DSI de l'organisme public.
Mickaël Brouty, lead pen tester chez Fidens / club 27001 a effectué une démonstration de hack de système informatique en direct sur la cybermatinée sécurité de Lyon. (crédit : D.F.)
Parmi les autres temps forts de la matinée à signaler, on retiendra la démonstration de hack effectuée en direct par Mickaël Brouty permettant d'exploiter une faille MySQL d'un site de réservation en ligne de séjours afin de voler des données clients. « Une erreur dans la syntaxe du code permet d'injecter les données clients dans la requête pour s'exécuter dans la base de donnée. Comme effet de bord, premièrement on accède aux droits, s'ils sont mal paramétrés et on peut même lire des fichiers », a expliqué le lead pen tester de Fidens/Club 27001. Après avoir utilisé un outil de test d'URL pour identifier un dossier d'administration, le pen testeur a testé ses mots de passe. « Les administrateurs sont flemmards et ne changent pas les mots de passe produits, pas faute de temps mais d'envie », raconte Mickaël Brouty. Dans le cas de la démonstration les mots de passe ont été changés mais grâce à l'injection SQL ces derniers auront finalement pu tomber entre ses mains.
Le grand entretien de la cybermatinée sécurité a eu pour grand témoin William Bourgeois, responsable de la filière sécurité du CNAM Auverggne Rhône-Alpes, ex-RSSI d'In Extenso, enseignant en cryptographie à l'Université Lyon 2, docteur en informatique et membre du Clusif et du Club 27001. (crédit : LMI)
Lors de la matinée, un grand entretien de la rédaction de LMI a été réalisé avec comme grand témoin William Bourgeois, responsable de la filière sécurité au CNAM Rhône-Alpes Auvergne, enseignant en cryptologie pendant plus de 10 ans, RSSI d’In Extenso pendant près de 2 ans, titulaire d'un doctorat informatique en génie logiciel et également membre du Clusif et du club 27001. « Les entreprises n'ont pas assez vu monter les nouveaux risques de sécurité », a analysé William Bourgeois qui compte à son actif près de 20 ans d'expérience dans l'accompagnement des projets sécurité et des fonctions de responsable de la sécurité périmétrique. « Aucun projet informatique ne devrait être réalisé sans analyse de risques. Avec le temps mon rôle a évolué de RSSI à celui de risk manager qui amène l'entreprise à ne plus seulement se préoccuper de la sécurité informatique mais de la sécurité de l'information ».
Les clubs sécurité locaux et nationaux, partenaires de la cybermatinée sécurité à Lyon, se sont impliqués et pris la parole sur l'événement avec (de gauche à droite) : William Bourgeois (membre du Clusif), Raphaël Peuchot (membre de l'AFCDP), Didier Savalle (représentant et animateur du club 27001) et Sylvie Ducharne (membre du Cesin). Est absent sur la photo Rémi Allain (membre du Clusir Rhône-Alpes). A droite : Serge Leblal (directeur des rédactions d'IT News Info) et Dominique Filippone (chef des informations LMI). crédit : LMI
A l'occasion de cette matinée, plusieurs démonstrations mettant en situation la prise en mains de solutions pour répondre à des usages sécurité (traitement des menaces avancées avec Darktrace, sécurisation des environnements virtualisés avec VMware-Soluceo et gestion des identités couplée à l'analyse comportementale avec RSA) sans oublier un tour d'horizon des pratiques de hack les plus répandues en 2019 avec Vade Secure.