Juste un petit post pour signaler que je serais, normalement, à la BruCon 2013. Je vais essayer de m’efforcer de faire deux blogposts sur le sujet : un par jour de conférence donc ...

En espérant vous y voir !

Bonjour à toutes et à tous,

Je vais tenter ici de faire un petit article sur le cloud et la sécurité, oui j'en vois certain(e)s (là au fond) qui sont déjà prêt(e)s à partir :) mais mon boulot m'a pas mal fait bosser sur le sujet ces derniers temps, du coup je voulais faire un petit retour d'expérience (vraiment petit), et comme ça vous verrez aussi pourquoi je dis que mon boulot me donne un coup de vieux et n'a que très peu de technique :P (vous imaginez pas comment je suis content quand j'ai un peu de forensic ou un audit technique à faire :D). Mais bon la réflexion métier c'est pas mal non plus (si vous verrez).

Revenons à nos moutons avec la sécurité dans le cloud computing (du point de vue du client). Par contre ne vous imaginez pas que je vais vous sortir mes livrables comme ça hein, juste quelques axes de réflexions.

Disclamer : Cet article bien qu'expliquant des problématiques réelles est à prendre aussi avec de l'humour (surtout concernant les textes barrés :)).

Déjà qu'est-ce que le cloud computing : vous vous dites il nous prend pour des cons, mais je vous assure ce n'est pas clair pour tout le monde, même dans une DSI :

Donc le cloud computing c'est du bullshit ou on vous vend des choses que l'on savait déjà faire mais avec un bel emballage commercial ... euh non, sors de ce corps moi maléfique ! Plus sérieusement pour résumer le Cloud Computing c'est la capacité d'offrir un service (on va y revenir), à la demande, modulable, et normalement accessible de partout/tout le temps (on ne parlera pas du cas des clouds privés dans cet article).

Alors je parlais de services, beaucoup d'entre vous (tou(te)s ?!?) ont déjà vu des acronymes comme IaaS, DaaS, STaaS, SaaS, PaaS ... bref *aaS. En soit peu importe le modèle de service, on peut en étudier que trois (oui les trois qui les contrôlent tous), tous les autres ne sont que des spécialisations de ces derniers. Il faut donc comprendre les termes :

• SaaS : Software As A Service ;
• PaaS : Platform As A Service ;
• IaaS : Infrastructure As A Service.

Le reste clairement n'est que du bullshit encore pire que les trois que je viens de citer du langage commercial.

Et donc la sécurité dans le cloud comment on l'aborde ? Comme toujours en étudiant les menaces, les vulnérabilités et les risques ... mais aussi, comme on doit le faire avec toute externalisation, les rôles et responsabilités. C'est ce premier point que l'on va déjà aborder.

Et pour commencer on va apporter un nouveau mot CSP : Cloud Service Provider : bref pour faire simple (et pas faire de superbe phrase à rallonge, parce que, on est pas au boulot ici) c'est l'hébergeur, celui-ci qui offre du service de Cloud Computing.

Les rôles et responsabilité : Pour expliquer les rôles et responsabilités nous allons prendre un scénario avec des CSP multiples (vous allez comprendre très vite).

Imaginons que vous preniez un abonnement à une application en mode SaaS. Et que cette application conserve des données à caractères personnelles (donc sensibles surtout du point de vue de l'image si vous vous les faites leaké).

Bon vous allez me dire rien de très complexe là dedans, mais détrompez-vous, les rôles et responsabilités sont très complexes dans ce cas.

Dans notre petit scénario, comme je l'avais dit, il y a des CSP multiples c'est à dire : que le CSP qui vous loue du SaaS, loue lui même du PaaS à un autre CSP, qui lui même loue du IaaS à un autre CSP (et on peut même imaginer que ce dernier CSP loue ces locaux à une autre entreprise, mais bon, on se contente du point de vue "cloud", vous voyez que c'est du bullshit :)).

Donc regardons un peu ce que dit la CSA (non pas notre organisme de censure de l'audiovisuel, mais la Cloud Security Alliance ...) :

Ce tableau est bien sur une vue simplifiée du problème, mais cela donne un bon point de vue concernant le petit scénario qui nous concerne. En effet dans le cas de CSP multiplent les resposabilités ne sont pas toutes prises par la seule entreprise avec laquelle vous avez un contrat, alors, que faire en cas de problème ? Très bonne question ... et la reponse est ********************** (ou 42 au choix) :). Sans compter que VOUS mettez des données personnelles sur des services externes, donc votre responsabilité peut aussi être jouée sur ce coup là.

On pourrait évoquer les problèmes liés aux données de paiements (mais la prochaine version de PCI devrait revenir la dessus). En clair si vous faites le choix de l'externalisation, mesurez bien les risques (et aussi les menaces) qui pèsent sur vous.

Parlons justement des risques : globalement voici ce qui vous pend au nez :

• Le service ferme -> Perte de données
• Le service est piraté (et vous n'êtes pas forcément la cible, mais vous êtes touchés) -> Altération / perte de données
• Un petit malware se balade sur le service de cloud -> Altération / Perte de données
• Problème matériel -> Perte de données

Alors d'ou viendrait le vrai problème : je sais pas au hasard une vulnérabilité dans un produit de type OpenStack ou autres, un attaque sur/via les outils de virtualisation (hyperviseur) ... en gros c'est tellement le bordel que l'on ne sait pas trop d'ou pourrait venir le coup :). D'ailleurs je compte bien pondre dans très peu de temps un bien meilleur article concernant la sécurité de la virtualisation (donc un peu plus technique que celui-ci).

Quelques menaces/vulnérabilités et risques en vrac : 

• Infrastructure mal dimensionnée (c'est arrivé au cloud nokia)
• API mal protégé (51 incidents répertoriés par la CSA entre 2008 et 2012)
• Un bon vieux comptes user ou opérateur qui se fait pirater (et on sait que ça arrive souvent)
• Une bonne vielle catastrophe naturelle (ou pas)
• ... je vous laisse imaginer/en chercher d'autres.

Donc je vais arrêter là cet article, si vous avez des questions, ou pour en parler plus / échanger des idées, n'hésitez pas à me contacter par le moyen que vous voulez.

Je reviendrai peut être un jour avec un autre article sur le sujet, mais normalement, je vais vous préparer un article un peu plus technique concernant la virtu un de ces quatre, donc comme d'habitude ça sera écrit sur un coin de table (comprendre rapidement) avec plein de fautes d'orthographe à l'intérieur :D.

Sinon retrouvez d'autres lectures sur Paranoiac Thoughts (comme toujours).

Vous êtes en vacances dans un endroit ou vous ne pouvez pas sortir ? Vous êtes au taff ? Vos beaux-parents sont là ? Ou vous avez tout simplement quelques minutes devant vous ? ... Alors pourquoi ne pas lire quelques petits articles ?

Bon comme je ne suis pas une personne très polie, je commence par des trucs auquels je participe :) :

Donc quelques petites lectures de chez Paranoiac Thoughts : je vais faire preuve d'un peu de politesse en mettant d'abord les articles de BV (qui pique certaines de mes news et ne met toujours pas de tags mais je ne lui en veux pas trop, car ses articles sont cools) :

The missing link

J'aime bien faire chier les gens

Bienvenue dans le cauchemar Orwellien ...

Barbouzes power

Hardware alternatif

Nouvelles Technologies et développement durable

Un titre beaucoup trop long à propos d'une émision d'Arte que VOUS allez regarder ce soir !

Maintenant je me fais de l'auto pub avec ce post et celui-ci.(respectivement un peu d'écologie et un petit message sur le PB d'OVH).

Bon quelques lectures "extérieurs" :

LLVM based obfuscator

From gold, a new way to control blood clotting

Neuroscientists plant false memories in the brain

Injecting .Net Assemblies Into Unmanaged Processes

Je ferais à un nouveau un petit post lecture en début Aout :) Sinon comme toujours vous pouvez suivre d4n3ws, toujours pleins d'articles sympathiques :).

Et si vous préférez écrire :

Un CFP ici pour Valhalla et il y a toujours phrack-fr si vous voulez lire/écrire (oui traduire quoi :)).

Have fun ...

Phrack-fr est toujours là : petit message sur le blog de DegenereScience Paris.

C'était vraiment très intéressant !

Bonjour,

un petit post rapide histoire de ne pas laisser ce blog mourir (enfin il a jamais été réellement vivant non plus :P).

Lors de mon dernier blogpost ici à la fin j'avais mis un petit screenshot de twitter (comme quoi quelqu'un disait que la culture geek était subversive) au fait ce tweet venait d'une discussion sur le réseau social en question à propos du machisme dans le milieu geek. (faites des recherches sur MarLard et vous verrez).

Je suis donc intervenu rapidement pour dire que contrairement au milieu hacker le milieu geek n'est pas une contreculture et donc répond aux règles du système (le machisme en gros donc).

Bref et il a fallu qu'il y a quelques jours la NoSuchCon sorte ceci (oui je n'ai pas préféré blogposter ça tout de suite car sinon mon espace de commentaire se serait transformé en affrontement pro/anti patriarcat et j'ai autre chose à branler que de modérer des commentaires) :

Bon, bravo les gens (pour le coup je peux même dire les gars sans vraiment trop me tromper) ... beau fail. Mais en même temps quant on y regarde bien [troll] on peut tout de même constater que la NoSuchCon est quand même plus un meeting technique de l'industrie de la sécurité qu'un rassemblement de hackers[/troll]. Mais bon la prochaine fois évitez quand même ce genre de chose (je pense que ça pas du faire plaisir aux ingénieurEs, chercheuses qui étaient sur place). Bon ils ont dis que c'était de l'humour, le mieux aurait été alors de mettre la même chose pour les hommes qui attendent leurs compagnes qui est partie à la NSC alors (si c'est le cas alors je m'excuse pleinement).

Sinon quelques liens, news en vrac :

DegenereScience Paris - organisation d'un crypto party en Automne (finalement) : https://paris.dg-sc.org/blog/index.php?post/2013/05/25/CryptoParty-Paris-organisation-Part.-2

Pour en discuter vous pouvez toujours venir nous parler sur les mailing liste du groupe :

http://dg-sc.org/listes/listinfo/

Ou ici :

https://status.dg-sc.org

Paranoiac Thoughts :

Quelques posts de mon amis BV :

Céréales-killer ! Brassons de la-bière ! Pas de l’air ! : http://www.paranoiac-thoughts.com/index.php?post/2013/03/07/C%C3%A9r%C3%A9ales-killer-%21-Brassons-de-la-bi%C3%A8re%2C-pas-de-l%E2%80%99air-%21

Comme le disait le philosophe JC Convenant : Culturez-vous ! : http://www.paranoiac-thoughts.com/index.php?post/2013/05/14/Comme-le-disait-le-philosophe-Jean-Claude-Convenant%2C-culturez-vous-%21

Et mon petit dernier coup de gueule sur la cyber défense :

http://www.paranoiac-thoughts.com/index.php?post/2013/05/25/Ta-cyber-d%C3%A9fense-tu-te-la-gardes

Bonjour à toutes et à tous,

Attention je préviens je fais faire un article sans transition entre les sujets :) :

[et surtout on risque de m'accuser d'encore nourrir les trolls mais je m'en fous royalement] 

Commençons donc par le 2600 Lille :

Vous avez certainement vu sur les intertubes récemment ce genre de messages/discussions : http://newffr.com/viewtopic.php?forum=26&topic=15662 ... alors du rififi au sein du 2600 Lille. Je vais essayer ici de décrire, non pas mon point de vue, mais les informations brutes que j'ai pu avoir concernant ce "problème". Tout cela en évitant, au maximum possible du moins, le trolling.

Déjà vu que certains sont très remontés je précise : oui il y a encore un 2600 Lille, je me suis rendu à celui du mois de Mars et nous etions 5. Malheureusement ni Sigmounte, ni Littlecharlie n'était là je n'ai donc pas pu aborder ce sujet avec eux.

Et je vais essayer de ne pas aborder les problèmes qu'il y a eu entre le "::1" et "Osilab".

Voici donc quelques données brutes :

Donc ce message date d'avant le 31 décembre, ok DB dit que le meeting n'existe plus alors qu'il y a certainement encore 5/6 personnes, mais ne serait-ce pas pour faire réagir (car ça je peux en témoigner, vu de l'extérieur le wiki n'était plus à jour, il n'y avait plus d'annonce nul part ... c'était donc mort). Donc voilà il préviens que le domaine arrive à expiration et que si personne ne le reprend il le concidère comme mort. (après il y a certainement un peu de provoc ok, mais les gens sérieux, vous le fréquentez depuis combien de temps ? Ca vous surprend encore ?).

Visiblement à ce moment là personne ne l'avait repris donc ... pourquoi dire qu'il faisait de l'empêchement alors qu'il n'avait juste pas renouvellé le domaine ? Je ne comprends pas.

Autres points que je ne comprends pas :

Désolé d'être lourd, mais on n'est vraiment pas dans l'esprit du 2600 la les gens !

Et puis c'est quoi ce site qui ne respecte rien du w3c ... un peu de sérieux voyons ! [Troll+0,5]

Bref, je viens en paix et je suis dispo pour en parler (enfin de temps en temps), car en plus de nuire à DB cela nuit aussi à DegenereScience (groupe auxquel certains d'entre vous jadis ont participé).

En plus pourquoi tant de haine, franchement c'est pas comme ci des données sensibles (genre qui à fait quoi, ou et comment) avaient été lachées, alors arretez vous on dirait une primaire à l'UMP ! [Troll+1]

Du coup en parlant de DegenereScience (putain si j'ai réussi à faire une transition ! Ouais !) :

Si des gens sont motivés et n'ont pas de problème avec DegenereScience (merde par contre le trollage j'ai raté mon coup de ce coté là), DGSC Paris pense organiser ceci :

https://paris.dg-sc.org/blog/index.php?post/2013/03/17/Key-Signing-Party-...-non-%21-Crypto-Party

Et ce coup-ci sans transition (enfin à par cette pseudo transition étrange) :

Je vous conseil un peu de lecture offerte par Boris Vassiliev, un camarabe bidouilleur alcoolique, qui post sur ce blog quelques sujets assez drôles comme :

https://www.paranoiac-thoughts.com/index.php?post/2013/03/05/Appel-%C3%A0-la-g%C3%A9n%C3%A9rosit%C3%A9-de-tous-les-Ap%C3%A9rophobiques-%21-Mobilisez-vous-%21

https://www.paranoiac-thoughts.com/index.php?post/2013/03/07/C%C3%A9r%C3%A9ales-killer-%21-Brassons-de-la-bi%C3%A8re%2C-pas-de-l%E2%80%99air-%21

Voilà, il faut aussi que je post la bas mais malheureusement je n'ai pas vraiment le temps en ce moment, et ensuite à force d'utiliser des systèmes de microblogging on oublie comment faire un vrai post. Et ceci en est l'exemple. Mais promi BV je vais poster bientôt (genre déjà je vais mettre un lien vers ce post ci :))[troll+1].

Bon vous aurez remarqué que j'ai menti en disant à propos de l'histoire du 2600 Lille que je n'allais pas donner mon avis :) [Troll+1].

Voilà, Bon WE !

Ah encore un petit troll avant de partir :

Bon j'ai censuré une partie du tweet car cela traité d'un sujet sérieux donc pas de troll la dessus, mais franchement la contre-culture geek, c'est quand même bien marrant comme "expression" :D

[EOF]

Bonjour,

Bon je suppose que je ne l'apprends à personne lisant ce blog mais Hackin9 c'est fait avoir en publiant un génial papier ayant pour titre : Nmap: The Internet Considered Harmful - DARPA Inference Cheking Kludge Scanning (oui ça fait DICKS :)) ... si vous ne le connaissez pas déjà : bah c'est pas bien vous ne suivez pas full disclosure, et certains blogs en ont parlé aussi comme celui de "Sid" Blancher. 

Bonjour,

Voilà suite à quelques événements imprévus (genre une cheville niquée) j'ai un peu plus de temps pour geeker :P. Du coup comme j'en avais parlé dans mon précédent post à propos d'Haiku, je me suis un peu plus interessé à cet OS. Donc je ne vais pas encore vous "sortir la de suite" une superbe application pour Haïku, mais juste présenter quelques liens qui peuvent être utiles aussi bien aux utilisateurs qu'aux développeurs.

Déjà si vous voulez "rencontrer" la communauté Haiku : freenode : #haiku et #haiku-fr ...

Bon déjà les sources d'haiku : vous les trouverez ici : http://svn.berlios.de/svnroot/repos/haiku/ (entre autre).

Si vous fouillez un peu dans les sources (notamment au niveau du kernel, vous verrez j'ai trouvé quelques noms de fichiers et de fonctions assez sympathiques :) ... bah oui à part quand on fait de la recherche de vulns on a pas souvent l'occasion de sourir en regardant des sources :) )

Pour les développeurs un site à peu près complet présentant l'API Haiku : http://api.haiku-os.org/index.html

Haiku étant basé sur BeOS je vous conseilles aussi de jeter un oeil à ceci : http://www.haiku-os.org/legacy-docs/bebook/index.html

Je tiens à vous dire que si vous téléchargez la VM Haiku vous aurez tout les outils pour vous y mettre rapidement et en plus c'est vraiment ultra léger donc ça n'emmerde presque pas vos autres taches !

Concernant l'utilisation de l'OS en lui même, voici deux liens qui sont (très) utiles :

http://ports.haiku-files.org/

http://haikuware.com/

Donc pour l'instant j'en suis aux expérimentations, à faire encore joujou, avec cet OS. Mais j'espère pouvoir sortir un truc utile un de ces quatres (oui ce qui est bien avec Haiku c'est qu'il y a plein de trucs à faire :D Version Alpha je vous le rappel :)).

Voilà, bon je vais essayer quand même de ne pas trop geeker ce WE (et de ne pas achever ma cheville non plus :)).

Bone WE à toutes et à tous.

Bonsoir,

Voilà juste pour faire partager le tract de rentrée de DegenereScience Lille, mais que vous soyez le Lille ou d'ailleurs n'hésitez pas :)

Le tract se trouve ici : https://lille.dg-sc.org/tracts/2012/tract-2012.pdf

Bonne soirée à toutes et à tous.

Bonjour,

Voilà, je rassure ceux qui ne connaissent pas l'OS Haiku non je ne vais pas vous parler de poésie Japonaise mais bien de l'OS libre Haiku basé sur BeOS.

Alors pourquoi Part 2 dans le titre : car il y a un peu plus de 3 ans (oui déjà) j'avais un peu parlé d'Haiku aussi ... c'est normalement disponible dans les archives du weblog (qui ne sont plus en ligne suite à une erreur de ma part mais dès que j'en retrouve une copie je les upload ;)).

donc bref, suite à une discussion que j'ai eu hier avec un nostalgeek, je me suis dis : tiens si j'allais voir ce que deviens Haiku depuis le temps.

Déjà il est en version Alpha 3 ... Mais je n'ai pas spécialement envie de parler des quelques petits problèmes d'avancements de cet OS (heureusement qu'il y a les google summer of code quoi ;)). J'ai envie de parler en pourquoi je crois toujours à cet OS ... déjà ceci :

"Haiku currently only works on x86 systems. Minimum memory required is 128 MB. If compiling Haiku within itself, 1 GB of memory is recommended. Haiku has been tested to work on CPUs as slow as a Pentium II 400 MHz, and requires as little as 700 MB of drive space."

Bon certes le fait que seul x86 soit accepté c'est pas forcément classe (bien que on va y revenir). Mais le reste ... je peux dire que c'est bien cool de pouvoir virtualiser un OS sur un laptop pas trop puissant qui surchauffe car posé sur une couette ... le tout sans que cela ne cause des ralentissements :).

De même selon moi l'intéret de cet OS : pour faire de la "bureautique" ... y a même flash sur Haiku maintenant c'est pour dire. Votre petite soeur veut un poste pour : lire ses mails et surfer sur des trucs à la con : Haiku sur une machine à 2€ et voilà histoire réglé.

Bon après certaines personnes pourront certaiment m'enlever un doute mais d'après les quelques tests que j'ai effectué :

• Pas de firewall
• Pas d'ASLR
• Pas de DEP
• Des commandes "minimales" (voir les screenshots)
• Par contre : les services et users par défaut sont aux minimum (screenshots aussi)
• Pas en man dans la CLI ??? :(

Bref, certes j'ai retrouvé un peu plus d'"options utilisateur" sur Haiku qu'il y a un peu plus de trois ans, mais il manque quelques points quand même pour en faire un OS distribuable à la masse si j'ose dire.

Mais pour un petit truc "de secours" à installer rapidement sur un vieux poste ... ça passe :).

Voici quelques screenshots : De même je tiens à préciser que je me suis servi d'Haiku que 2/3 heures grand max ... donc ce n'est qu'un point de vue rapide, mais je compte encore jouer avec un peu ... qui sait peut-être bientôt un Haiku Part 3 (ou alors ça sera dans un peu plus de 3 ans :D).

Comme c'est une alpha 3 on se doute que ce n'est pas parfait ... mais vraiment tout est fait dans cette version pour attirer les développeurs (oui concernant ce point y a pas mal d'outils, manque juste man quoi, à moins qu'il y ai un équivalent que je n'ai pas trouvé) ....

Bref, testez le quand même, c'est pas le must, surtout pour les paranos (ou les gens ayant un réel besoin de sécurité tout en devant en faire une utilisation "complexe") ... mais ça à au moins le mérite d'exister. Du coup on se demande à quand la béta :).

Bonne fin de We à toutes et à tous.