Journée des Chaires Cyber Interarmées

Le jeudi 13 juin 2019, je me suis rendue à la journée des Chaires Cyber Interarmées.

L’évènement était ouvert à tous et regroupait des intervenants des trois chaires militaires et du Comcyber.

Introduction

L’évènement a été introduit par différentes interventions des représentants des chaires et du comcyber. Les points suivants on été abordés:

Introduction de Didier Tisseyre, général de brigade aérienne, adjoint du COMCYBER

  • Selon lui, la gestion des crises est essentielle, on ne gère pas que des incidents informatiques, l’activité est ciblée et il faut être capable de réagir.
    C’est essentiel par exemple pour la souveraineté de l’Etat. Il y a non seulement des enjeux financiers, mais aussi des enjeux de survie.
  • Aussi, il ajoute qu’il est important de réagir contre l’impunité pour que les cybercriminels soient punis. Pour ce faire, il faut penser et mettre en place phénomène d’attribution et donc travailler sur le plan juridique. Il est également nécessaire que les acteurs publics et privés coopèrent.

Introduction de Jérôme Bellanger, général de brigade aérienne

  • Pour Jérôme Bellanger, la cybersécurité est un engagement sur le long terme.
    Comment aider l’opérateur humain à réagir dans une situation extraordinairement complexe?
    La technologie de cyber défense autonome aura quand même besoin d’une intervention humaine.
    Il conclu en affirmant qu’il faut travailler sur la coopération cyber cognitive et que nous sommes face à un défi fondamental. Il faut donc des agents efficaces et pas dangereux.

Intervention de Yvon Kermarrec, titulaire de la chaire de cyberdéfense des systèmes navals

  • D’après Yvon Kermarrec, les évolutions numériques s’accompagnent de vulnérabilités.
    On voit de plus en plus d’attaques sur le monde maritime comme sur d’autres cibles. C’est la cinquième année de la chaire qui a comme missions principales la recherche et la formation.

Table ronde 1: Cybersécurité dans le contexte maritime: enjeux et opportunités

Intervenants de la première table ronde

Les intervenants ont été présentés.

Un navire est une usine flottante, il y a donc des problématiques de maintien en conditions opérationnelles. Un bateau a une durée de vie de 40-50 ans avec une réflexion a mi-vie. Dans le cas d’un navire militaire il faut prendre en compte la criticité des missions. On doit pouvoir identifier les problèmes et identifier des solutions à ces problèmes.

Intervention du Capitaine de Vaisseau Jérôme Augusseau

Le Capitaine de Vaisseau Jérôme Augusseau a abordé le Maintien en Condition Opérationnelle (MCO) ainsi que le Maintien en Condition de Sécurité (MCS) dans la Marine Nationale. Il a précisé que les pratiques du MCS sont clairement expliquées par l’ANSSI.

Il a abordé la cartographie physique logique applicative, selon lui on ne défend bien que ce que l’on connait bien. Ainsi la cartographie propose plein d’outils appliqués à l’IT mais cela devient plus compliqué pour un système de système.

Il a également abordé les vulnérabilités, on en compte une centaine par an.
Pour conclure son propos, il a abordé la mise à niveau logiciel en précisant qu’il souhaitait une approche autonome intelligente. Il faut des outils de sécurité « up to date ».

Voici quelques slides de sont intervention :

Intervention de Bastien Sultan, doctorant de la chaire de cyberdéfense des systèmes navals

Bastien Sultan a présenté son outil de veille de vulnérabilité. Il s’agit d’un outil qui va agréger des informations issues des organismes de veille.
Il marche déjà bien avec ANSSI de détecter les outils potentiellement vulnérables sur les systèmes.

Il a abordé les difficultés rencontrées lors de ses recherches et notamment celle d’établir une relation entre la méthodologie et la métrique.

Voici deux de ses slides:

Intervention de Patrick Hébrard

Patrick Hébrard a évoqué la détection d’anomalies et de cyber-attaques.

Il aborde cinq piliers:
– L’identification des systèmes et risques
– La protection défense en profondeur
– La détection: détecter situations anormales par forcément des cyber-attaques mais aussi des anomalies c’est un point sur lequel l’Intelligence Artificielle peut aider.
– Défendre
– La remediation: remettre le système en état et être résilient
Concernant l’AI dans la détection, il parle d’une AI capable de modéliser le comportement de l’utilisateur mais ceci est très complexe à établir pour des systèmes de systèmes.

Voici son slide:

Détection d’anomalies et cyber-attaques, Patrick Hébrard

Intervention de Philippe Leroy

Philippe Leroy a présenté les points forts de Thales.

Selon lui, l’attaquant a toujours un temps d’avance.
Il a évoqué les publications sur internet des vulnérabilités, qui selon lui rendent les entreprises plus vulnérables.

Il a ensuite parlé de détection maîtrisée. Il y a une obligation de veille et d’analyse permanente d’évolution de la menace.

Il a évoqué de l’apport de l’IA. Les évolutions de la puissance en informatique améliorent les performances de l’IA.
Selon lui, il faut favoriser la qualité de la détection. Concrètement, l’IA va grandement faciliter la détection des attaques.

Voici ses slides:

Table ronde 2: Scénario et réponses juridiques

Scénario et réponses juridiques
Scénario et réponses juridiques

La question suivante a été posée:
Quelle serait l’intelligibilité juridique de ce système ?

Intervention du Général Olivier Kempf

Le Général évoque une hybridation des acteurs.
Il cite le directeur de l’ANSSI qui dénonce la cybercriminalité. On remarque d’ailleurs que plusieurs instances ont tenté d’aborder ce droit du cyber espace.
Selon lui, les attaquants n’ont pas forcément toujours une avance sur les défenseurs.
Quelles sont les motivations et mobiles des attaquants:
– Obtenir un avantage
– Gagner de l’argent
– Faire du mal a quelqu’un
Il a ensuite rappelé que rien n’est sécurisé à 100%
Il a abordé l’ingénierie sociale et la crédulité des utilisateur et s’est interrogé sur un moyen d’éduquer à l’hygiène informatique.

Le modérateur a ensuite demandé comment définir le territoire juridique malgré l’hybridation des acteurs et des normes. Peut on contrôler juridiquement l’influence?

Intervention de Cecile Doutriaux

Elle explique ne pas partager les positions concernant l’hybridation.
Selon elle, la souplesse de navigation entre les différents droits existe depuis longtemps et la question des règlementation ne pose pas de question particulière.
Tout dépend de l’objectif. Elle rappelle que, par définition, le délinquant ne se préoccupe pas du droit et pose les questions suivantes:
Est-ce que les données médicales pourraient être attaquées ou non?
Est-ce qu’une cyberattaque est un acte de guerre?
A quoi va servir le recours à la loi?
Jusqu’où on peut attaquer pour pouvoir rester dans les frontières ?
Selon elle, sur le terrain judiciaire, la France est performante aux questions de la répression de la délinquance.
Elle cite notamment la loi Godfrain de répression de la fraude informatique: le législateur a évoluée, on a augmenté la peine de prison.
Au niveau du dépôt de plainte, elle évoque le problème des preuves et de l’identification de l’auteur.
Il existe des circonstances aggravantes si il y a atteinte au SI de l’état mais sinon les peines sont légères.
Elle souhaite également faire évoluer le droit des données: la loi sur la protection des données date de 1978
Elle rappelle qu’en 1977 l’Allemagne avait déjà cette loi en raison de l’holocauste et du fichage qui avait été fait à l’époque de la deuxième guerre mondiale.
Elle a également abordé le règlement européen, le Big data et l’Open Data (qu’il faudrait développer), le RGPD et les hébergeurs.
Selon elle, le terrain juridique est complet il doit poser des limites sans freiner l’innovation.

Le modérateur a ensuite demandé s’il y aurait une patrimonialisation des données ?

Intervention de Jean Paul Laborde

Jean Paul Laborde rappelle qu’au sein de l’ONU, le cheminement qui a été fait pour le terrorisme est le même que celui qui a été fait pour la cybersécurité. Au début, personne ne souhaitait travailler sur ces sujets. Des groupes de discussions russes et américains on été constitués pour aborder le sujets des djihadistes, c’est ainsi qu’est née la résolution 2178.
Lorsqu’une menace est forte si les intérêts sont communs on peut y arriver. Selon lui, il faut travailler cette question de façon internationale.
Il explique qu’il faut faire un premier effort au niveau politique et ensuite au niveau de la compréhension des textes.

Table ronde 3: La cyber-résilience comme capacité d’anticipation et de réaction en situations de cyber-crise

La cyber-résilience comme capacité d’anticipation et de réaction en situations de cyber-crise

Dans un premier temps les doctorants de la chaire Cyb’ Air ont présenté leurs recherches, voici leurs slides:

Cyber et confiance interpersonnelle

Fatigue cognitive et résilience des opérateurs en situation de cyber-crise

Intervention de Jean-Pierre Faye

Selon lui pour se défendre d’une attaque il faut s’interroger sur les informations qui nous arrivent.
Il faut élaborer une réflexion sur la maintenance préventive et sur les sous traitances.
Concernant la méthode, il faut étudier quelle information présenter et quel outil mettre ainsi qu’établir un champ de recherche sur les problèmes de la protection des données.
Notamment concernant les fausses données générées par des actions inadaptées.
C’est pour cela, selon lui que les personnes aux commandes doivent être vigilantes.
Pour résumer son propos il pose la question suivante: Comment traiter et mettre en place des agents pour assurer la vérification des informations des données?

Intervention de Bruno Ramirez

Pour Bruno Ramirez le thème présenté par les doctorant, la résilience dans les milieux aéronautique est fondamental
Il explique qu’un certain nombre de systèmes compose un avion.
Au niveau d’un avion la sécurité des vols est fondamentale.
Il évoque l’importance de sécuriser le déroulement de la mission.
D’ailleurs, comme un avion doit être résistant by design, l’avion a déjà une architecture relativement résistante.
Aussi, selon lui, la compromission des données est un point fondamental.
Aujourd’hui les technologies utilisée sont anciennes et contiennent ainsi peu de vecteur de menaces. Toutefois, il faut également se reposer sur des nouvelles technologies plus performantes et la thématique de la cybersecurité se présente.
Il pose ainsi la question suivante: Comment apporter des éléments de décision à un équipage qui n’est pas spécialement formé et qui doit réagir rapidement ?
Il évoque différents éléments de réponse: la robustesse intrinsèque des systèmes avoir des moyens de secours (back up), …
Selon lui dans l’idéal, il faudrait donner à l’utilisateur un moyen de décision qui lui permettent de savoir les impacts de ce qu’il a observé et quelles décisions prendre.

Il évoque ensuite le cas du pilote et son manque de formation en cybersécurité.
Il lui faut quelque chose de synthétique et non binaire qui lui permettra de prendre une décision. Il parle d’une relation de confiance entre une machine qui fera un état de la situation et un pilote qui adaptera son comportement à la mission et à l’information fournie par la machine.
Il résume son intervention en quatre axes à explorer selon lui:
– Aider à la prise de décision pour un utilisateur formé ou pas formé
– Être capable de modérer la gravité d’une attaque au vu du contexte informatique
– La notion de connaissance d’ensemble du système
– La notion de préparation simulation et information.

Cette journée d’étude complète mon auto-formation par un biais militaire. Il est important de se nourrir de l’ensemble des acteurs intervenant dans le cyber espace. Les militaires sont des acteurs importants dans le monde de la cybersécurité et ce séminaire m’a permis d’en connaître les stratégies, les rouages juridiques et le matériel utilisé.

Hackeuse pour la DGSE – Challenge Richelieu

Afin d’étoffer ses équipes la DGSE a organisé un challenge: le Challenge Richelieu.

Pour y accéder, il fallait se rendre sur le site https://challengecybersec.fr/ :

Page d’accueil du challenge Richelieu

Et c’est tout! A moi ensuite d’enquêter…

Premier réflexe donc, ouvrir la console web et regarder le code source de la page et là j’ai découvert l’existence d’un fichier PDF:

Code source de la page d’accueil du challenge Richelieu

J’accède au fichier en tapant dans le navigateur à la suite de l’adresse « /Richelieu.pdf » pour ainsi obtenir ce qui semblait être un fichier PDF de 364 pages avec un texte noir sur fond blanc à la première page:

Première page du PDF

Mais comme je ne suis pas dupe j’ai fait une sélection de tout le document:

Sélection sur le PDF

Et bien sur du texte était caché. J’ai donc sélectionné tout le texte et collé dans mon notepad préféré.

En voici un extrait:

/9j/2wBDADIiJSwlHzIsKSw4NTI7S31RS0VFS5ltc1p9tZ++u7Kfr6zI4f/zyNT/16yv+v/9//// ////wfD/////////////wgALCA20CD4BAREA/8QAGQABAQEBAQEAAAAAAAAAAAAAAAECAwQF/9oA CAEBAAAAAeFzUWUsiyzUFlgFgChLKud5lms2KluaLBNZs1neNSaRclSxqWLJ0xYVNQFyusxQlA1M 6iyhNRKQrUpCxKuNJqUEqyywmoIosUgmosZ1nSWxYlzbOYEWFlRZQssFlRUAqWGsgsspc6zZUsqW WWagXNlihKCywVZcrLZLYWLEspYssRalJqEmpTQzqCaSNXNualoEUzKQVQlSiklslFRKOUosLIai UlAChFhYohYCoVc6ksAsLLKSyzeNSakWwlsBSyClipKAlSpZpJSrJRFllKVneUpVzVkVFTUsLCFm kmoiyiWS1c0SyWrOVyssoRUsompYAVLBUqxLKlslhZUqUAJqWCWakqWWazpEtgsazrNlhYsti5qw WLBYWWxYljWRZWpWdJrnbc3UzaSqlSasiTSaJYkprNhYaixE1E05AlslRUsUlqFgssBZZZvBYsWL LNZVKjWbYJVkoubFE1JaRYllUSglJSahYm8ypVlCpYGsakVUq5E3Gue7lTNUsubFShYSoWWGoms6 ksKLnTiWSy2EUhZqShQRZrJYUiywssLLCpSW51C53m5KQqVKsWEsosVKXO8zeLLWaWNZ1JZYWVKs lJbnebnSWoE0lzpBQEhbGksAiy3G2dsyqZtzpmiuIssRSWLLYSgWWak1lYsssLLFJUWWGs2LNQJr OoItiW5WazU1BUCWoq5azSaRNSxrIsCxUbzYJrO83OmkY3Cpc6li5usXRLjZmhQICbxTNLqZ1mxL Y1eFgLJUoRbE0lgKgApc2VBUDWSzWVEqFSypbmhNSy5sqazSVrKoFiwtzZWsrKiakpZUVLKudZ1n 

J’ai reconnu un encodage de base64. J’ai ensuite décodé ce texte et testé un « strings » sur le fichier :

Strings sur le fichier décodé
Résultat de la commande

J’ai ainsi obtenu une liste de fichiers et un mot de passe.

Il y a donc des fichiers inclus dans le PDF. Je vous passe mes recherches approfondies sur les structures des PDF (je vous renvoie vers les liens de fin d’article si vous souhaitez en savoir plus, je vous y invite vivement car c’est passionnant).

Il est également intéressant de noter que si l’on renomme le fichier en jpg on obtient une image:

Renommage du fichier en jpg

Répondant maintenant à la question que l’on est amené à se poser, en tout cas que je me suis posée longuement en ce qui me concerne. Comment dois-je faire pour récupérer les fichiers et les extraire? Il existe un outil très pratique pour ceci: binwalk

Résultat de binwalk

Binwalk affiche tous les fichiers que l’on nous avait promis, c’est bon signe! Je vais pouvoir les extraire grâce à l’option -e

Ici mon fichier s’appelle base64.jpg, binwalk va créer un dossier _base64.extracted et y mettre tout ce qu’il aura pu extraire:

Résultat de binwalk -e

Voici le contenu du dossier créé par binwalk:

Résultat du ls dans le dossier créé par binwalk

J’ai ensuite tenté de dézipper le fichier 6CCBC.zip (le mot de passe du zip est celui trouvé précédemment dans le base64:

Mot de passe
Dézippage du fichier et récupération des fichiers

J’ai donc récupéré les fichiers et leur contenus.

Contenu et taille des fichiers que l’on vient d’extraire

Il est important de noter à cette étape qu’en voyant les fichiers obtenus et leur noms, il m’a semblé que j’allais devoir cracker une clé RSA… Je dispose en effet d’une clé publique « public.key » et d’un étrange fichier « prime.txt ».

Je me suis donc attaquée à la compréhension du .bash_history. En connaissant un peu Linux on peut savoir que le .bash_history contient l’historique des commandes tapées. J’ai donc fait un cat sur le fichier pour savoir ce qui a été tapé pour créer les fichiers.

Cat sur le fichier .bash_history

Je remarque plusieurs utilisation de la commande sed qui fonctionne avec des expressions régulières. Une petite recherche m’a permis d’en savoir plus:

The sed General Syntax

Je comprends que prime.txt est une clé RSA mais qu’elle a été modifiée avec la commande sed.

Voici ce qui a été effectué grâce à sed:

// 7f a été remplacé par fb sur tout le document
 1342  sed -i ‘s/7f/fb/g’ prime.txt

// e1 a été remplacé par 66 sur tout le document 
 1343  sed -i ‘s/e1/66/g’ prime.txt

// f4 a été remplacé par 12 sur tout le document
 1344  sed -i ‘s/f4/12/g’ prime.txt

// 16 a été remplacé par 54 sur tout le document
 1345  sed -i ‘s/16/54/g’ prime.txt

// a4 a été remplacé par 57 sur tout le document
 1346  sed -i ‘s/a4/57/g’ prime.txt

// b5 a été remplacé par cd sur tout le document
 1347  sed -i ‘s/b5/cd/g’ prime.txt

Ici il faudrait donc taper les commandes à l’inverse pour retrouver le fichier d’origine.

Je vais maintenant essayer de comprendre en quoi consiste la commande : openssl rsa -noout -text -in priv.key | grep prime1 -A 18 > prime.txt

Grâce à une recherche j’apprend ceci:

Openssl

Cette commande permet donc juste d’afficher la clé privé.

J’ai eu quelques difficultés sur cette partie du fait de mon manque de connaissances en cryptographie.

J’ai donc fait des recherches afin de continuer car j’étais curieuse de savoir sur quoi cela allait déboucher. J’ai pu trouver le mot de passe pour décompresser suite.zip.

Ce zip contenait un fichier texte avec des informations nécessaires à la continuation du défi.

Il était possible de se connecter en ssh à un serveur dédié au challenge.

Suite du challenge

On passait ensuite sur la partie Wargame du challenge.

Connexion en ssh au wargame richelieu

J’ai un peu joué avec le défi 1 mais j’ai malheureusement manqué de temps pour finir les défis. En manipulant un peu le défi 1, j’ai compris qu’il s’agit d’un buffer overflow à exploiter.

En effet voici le résultat d’un ls -al :

Commande ls -al

Je n’ai évidemment pas les droits nécessaire pour faire un cat sur « drapeau.txt ». Je sais que je peux exécuter le programme grâce aux droits que j’ai a sur prog.bin : -r-sr-sr-x

Je l’ai donc lancé et j’ai pu m’amuser un moment avec les différentes options… Fun fact: avec l’option 3 j’ai vu devant mes yeux ébahis un petit train qui passait sagement:

Petit train express DGSE

Le principe ici était d’exploiter le buffer overflow pour faire des commandes réservées à root. En effet, j’avais noté la présence du « s » sur le programme prog.bin. Ce « s » permet à l’exécutable d’effectuer des commandes que le propriétaire du fichier aurait pu faire. C’est grâce à ceci que j’ai pu en apprendre plus sur la fameuse attaque: « return oriented programming ». En exploitant cette attaque j’aurais pu essayer de faire faire un cat drapeau.txt par le programme.

Note importante: Grâce à Geluchat sur Twitter j’ai appris que la démarche était bien plus simple que ce que j’imaginais pour le défi 1 du wargame:

Voilà donc mon expérience sur le challenge Richelieu. J’ai beaucoup aimé parce-que j’ai appris énormément sur les pdf et j’ai pu découvrir la return oriented programming attack. Je trouve important de noter que même si l’on ne peut pas ou l’on a pas forcément le temps d’aller au bout des défis on apprend énormément même en y conscrant peu de temps.

Je vous invite donc si vous avez l’occasion à faire le prochain défi proposé par la DGSE, qui sait, vous serez peut-être embauchés!

Pour aller plus loin

Compte rendu de la participation de WoSEC Paris au Spying Challenge de LeHack 2019

Scroll down for english version

Teaser du Spying Challenge de LeHack 2019

Dans le cadre des activités du WoSEC Paris, j’ai créé une équipe de CTF pour le Spying Challenge 2019 de la conférence LeHack à Paris.

Logo du Spying Challenge

Qu’est-ce que le Spying Challenge ?

Pour cette troisième édition lors de « leHACK » et dans un contexte d’intelligence économique omniprésent, vous aurez comme mission de collecter des informations sur un ensemble de cibles avec pour but de satisfaire vos clients floués.

Cette mission fera intervenir des recherches en sources ouvertes, du vishing, de la filature, du social engineering, des intrusions physiques, du lockpicking, etc.

Comment ça marche ?

Une première épreuve de qualification avant « leHACK » permettra de départager les meilleures équipes qui pourront continuer l’expérience. C’est dans un second temps, le 6 juillet, que vous serez dans l’action réelle !

(source: https://spyingchallenge.com/edition-2019/)

Les phases du Spying Challenge

Phase 1: OSINT, GEOINT, Social Engineering et rapport

Les agents Dupont et Martin ont fait appel à des agences dont WoSEC Paris afin d’enquêter sur une entreprise suspecte, voici l’ordre de mission (mail et PDF joint décrivant l’objectif de la mission) :

Présentation des agentes du WoSEC Paris

Christine Granville aka @Gabrielle_BGB

Agente Granville

Ash aka @asdmhx

Agente Ash

Lucy Elizabeth Smith @catr42

Agente Smith

Pour être sélectionnées, il nous fallait réussir cette phase qui consistait à écrire un rapport documenté sur nos démarches telles que de l’OSINT, du GEOINT et du social engineering par téléphone ou par mail/chat.

Extraits du rapport

Voici le rapport que nous avons soumis aux agents Dupont et Martin:

Voici également l’enregistrement de l’appel de l’agent Ash à Lictor (le lien dans le rapport n’est plus valide):

Mail de sélection pour la phase 2

Nous avons été reçues pour passer aux phases suivantes que je vais ici vous décrire.

Phase 2: Le Spying Challenge Physique à LeHack Paris

Avant de commencer cette phase, nous avons reçu un e-mail avec de plus amples informations sur le déroulement de la mission:

Mail de description de la phase 2

Pour décrire la phase je vais présenter chaque mission qui nous ont été confiées tout au long de la journée.

1. Interagir avec le maximum d’interlocuteurs employés par Lictor afin de récupérer de nouvelles informations sur vos cibles.

Equipées de micros, les agentes ont rapidement repéré le stand de Lictor.

  • Ash portait un t-shirt Spartan et a du aborder Liliana (Ingénieure d’affaire chez Lictor) ;
  • Granville s’est fondue dans la salle pour arriver incognito au stand de Lictor et intéragir avec les différents employés ;
  • Smith joue le rôle de la stagiaire en recherche d’un poste stylé et aborda Lictor pour en savoir plus sur leur actions.

2. Identifier et prendre en photo l’employé Jack Barrel

Opération toujours en cours…

3. 11:35 am Rencontre avec le PDG de Lictor

A cette étape de nouvelles missions (en temps limité) nous ont été confiées:

  • Faire du Social Engineering sur le PDG de Lictor afin d’obtenir plus d’informations sur lui (effectué par l’agente Ash) tout en faisant diversion.
  • Récupérer discrètement le sac du PDG afin d’échanger un CD et de prendre un maximum de photo du contenu du sac (effectuée par agente Smith et agente Granville)

4. Neutralisation et fouille

Lors de cet entretien, on nous a confié les missions suivantes:

  • Les employés de Lictor ayant découvert que l’agent Dupont était sous couverture, ils décidèrent de l’éliminer. Pour les stopper, l’agente Smith eu pour mission d’empoisonner le verre de l’employé chargé de la neutralisation de l’agent Dupont.
  • Une salle suspecte certainement équipée de micro devait être fouillée à l’aide d’un détecteur. La salle étant sous surveillance, il fallait que l’agente Ash fasse diversion afin que l’agente Granville puisse entrer pour fouiller la salle et détecter les micros. Des employés surprirent l’agent Granville pendant sa fouille elle a du utiliser ses talents de persuasion pour ne pas éveiller les soupçons.

5. Filature

Lors de cette phase il était question de suivre les employés de Lictor qui avaient kidnappé Gustave Leproleau. Il s’agissait donc de retrouver l’endroit ou était enfermé Gustave. Les agentes ont procédé à différentes filatures et ont identifié la cachette ou était enfermé Gustave Leproleau.

6. Libérer Gustave

Pour la dernière nous devions libérer Gustave. Toutefois, nos plans ne se passèrent pas comme prévu. En effet une horde de sbires cagoulés et tout de noir vêtu nous ont poursuivi et enfermé séparément.

L’agente Ash et l’agente Granville, furent enfermées dans une salle. Menottée, l’agente Granville utilisa sa pince à cheveux pour se libérer. Les mains liées, l’agente Ash réussit à casser le filament de plastique afin d’ouvrir le coffre fort ou étaient dissimulées des informations TOP SECRÈTES.

Pendant ce temps, l’agente Smith subit un interrogatoire musclé qui ne l’impressionna pas du tout.

Les élites de la France selon l’équipe du Spying Challenge

WoSEC Paris: gagnantes du Spying Challenge 2019, LeHack Paris

Nous avons honoré notre mission en libérant Gustave Leproleau des griffes de cette entreprise peu scrupuleuse.

Agente Smith, Gustave Leproleau, Agente Granville, Agente Ash (sous le beau logo WoSEC)

Classement du top 3:

WoSECParis première place!
SpyKidsIH3 deuxième place
Project BlueBird troisième place

Les Rankings successifs de la journée

Ranking OSINT et phase de SE
Ranking phase 2 (SE, document theft, poisoning and surveillance)
Dernier ranking (lockpicking, lie detector, escape)

Tweet du Spying Challenge sur notre victoire

Write-up officiel de l’équipe WoSEC Paris

Remerciements

Merci à @asdmhx et à @catr42 pour leur enthousiasme et leur détermination!

WoSEC Paris remercie l’équipe du Spying Challenge pour l’organisation de ce palpitant challenge et les mise en situation réaliste lors de LeHack.

L’équipe du Spying Challenge

Merci également à tous les participants du Spying Challenge de nous avoir donné du fil à retordre.

Enfin, un grand merci à LeHack d’hoster un tel évènement.


Report on WoSEC Paris’ participation in the Spying Challenge of LeHack 2019

Teaser of Spying Challenge of LeHack 2019

As part of the activities of WoSEC Paris, I created a CTF team for the Spying Challenge 2019 of LeHack conference in Paris.

Logo du Spying Challenge

What is the Spying Challenge?

For this third edition during the “leHACK” and in a context of omnipresent economic intelligence, you will have the mission to collect information on a set of targets with the aim of satisfying your customers.

This mission will involve open source research, vishing, tracking, social engineering, physical intrusions, lockpicking, etc.

How does it work?

A first qualifying event before “leHACK” will allow to decide between the best teams who will be able to continue the experience. It is in a second time, on July 6, that you will be in the real action!

(source: https://spyingchallenge.com/en/2019-edition/)

The phases of the Spying Challenge

Phase 1: OSINT, GEOINT, Social Engineering and report

Agents Dupont and Martin called different agencies including WoSEC Paris to investigate a suspicious company, here is the mission order (email and PDF attached describing the objective of the mission):

Presentation of the agents of WoSEC Paris:

Christine Granville aka @Gabrielle_BGB

Agent Granville

Christine Granville, a social engineering enthusiast, is very persuasive. When she was a baby, she hacked the exit code from her mother’s womb. As a child, lockpicking was her favourite extracurricular activity. Today at the WoSEC Paris agency, nothing can resist her, her two favourite sidekicks (Ash and Lucy Elizabeth) and she are in charge of the most dangerous missions.

Ash aka @asdmhx

Agent Ash

Iron fist in a velvet glove, Ash has always known how to distinguish herself by her taste for fighting and high-risk excursions. Her passions in life: knee breaking and videos of axolotl babies. She recently joined the WoSEC Paris team to use her social engineering skills – and also to learn how to pull the worms out of a source without having it end up in an IKEA kit.

Lucy Elizabeth Smith

Agent Smith

Passionate since her early childhood about puzzles, investigations, coded messages and everything that makes knots in the brain, Lucy decided one day to put her talents at the service of the WoSEC Paris agency.

To be selected, we had to succeed in this phase, which consisted in writing a documented report on our approaches such as OSINT, GEOINT and social engineering by phone or email/chat.

Extract of the report

The report is available only in french

Mail for our qualification for phase 2

We had been qualified to move on to the next phases that I will describe here.

Phase 2: The Physical Spying Challenge at LeHack Paris

Before starting this phase, we received an e-mail with more informations about the mission:

Dear agents,

Reading your report convinced us of your ability to
collect relevant information. Your feedback has allowed us to
make great progress in our investigation of Lictor.
As indicated above, we have therefore decided to keep you on
this mission which will continue on July 6, 2019.

Between 10am and 12pm, you should:

  • Interact with as many people as possible employed by Lictor in order to
    retrieve new information about your targets;

  • Identify and take a picture of employee Jack Barrel (he is strong
    suspicious and only shows up at the stand from time to time);

  • Go to the place indicated in attachments at 11:35 a.m.
    (no delays will be tolerated), where you will have to meet the CEO
    of Lictor, and where you will be informed of your orders for the rest of
    the operation.

If possible, bring back a lockpicking kit, enough to take pictures,
write a report in digital format, and your boldness.
We expect a brief report on your new findings to
1:30pm.

PS: Do not follow or interact with targets until it is
wears a cap with the Lictor logo on it (according to our information, the
CEO of Lictor and Jack Barrel will not wear hats: you
will still be able to talk to them).
Similarly, you will only be able to interact with Gustave Leproleau if
when he wears his beret.

PPS: The service apologizes for the late hour, there was a pot.

Sincerely,

Agents Dupont and Martin


To describe the phase I will present each mission that was given to us throughout the day.

1. Interact with as many people as possible employed by Lictor to retrieve new informations about your targets.


Equipped with microphones, the agents quickly spotted Lictor’s booth.

  • Ash wore a Spartan t-shirt and had to approach Liliana (Business Engineer at Lictor);
  • Granville melted into the room to arrive incognito at the Lictor booth and interact with the different employees ;
  • Smith played the role of an intern in search of a cool position and came to see at Lictor’s stand to know more about their actions.

2. Identify and take a picture of the employee Jack Barrel

Operation still in progress…

3. 11:35 am Meeting with the CEO of Lictor


At this stage we have been entrusted with new missions (in limited time):

  • Social Engineering on the CEO of Lictor to get more information about him (done by Agent Ash) while diverting.
  • Secretly pick up the CEO’s bag to exchange a CD and take as many pictures as possible of the contents of the bag (done by Agent Smith and Agent Granville)

4. Neutralization and search

Agents,

Congratulations, your mission continues.
Meet us at 3:15 pm in front of the Lictor stand to receive your instructions.
Sincerely,

Agents Dupont and Martin

During this interview, we were given the following tasks:

  • When Lictor’s employees discovered that Agent Dupont was undercover, they decided to eliminate him.
    To stop them, Agent Smith was given the task of poisoning the glass of the employee responsible for Agent Dupont’s neutralisation.
  • A suspicious room certainly equipped with microphones had to be searched with a detector. With the room under surveillance, Officer Ash had to create a diversion so that Officer Granville could enter the room to search the room and detect the microphones. Some employees surprised Agent Granville during her search and she had to use her persuasive skills to avoid arousing suspicion.

Agents,

Phase 3 of your mission is not complete. We will meet at 4:30 pm at Lictor stand for a final spinning event. You will receive your orders on site.

At the end of this test, a selection will be made and only the
the best agents will participate in the final phase.

Sincerely,

Agents Dupont and Martin

During this phase, we had to follow Lictor’s employees who had kidnapped Gustave Leproleau. So it was a matter of finding the place where Gustave was locked up. The officers conducted various surveillance operations and identified the hiding place where Gustave Leproleau was locked up.

6. Releasing Gustave

For the last one we had to free Gustave. However, our plans did not go as planned. Indeed a horde of hooded and black-dressed minions chased us and locked us up separately.
Agent Ash and Agent Granville were locked in a room. Handcuffed, Agent Granville used her hair clip to free herself. With her hands tied, Agent Ash managed to break the plastic filament in order to open the safe in which were concealed TOP SECRET information.

Meanwhile, Agent Smith was subjected to a tough interrogation that did not impress her at all.

France’s elites according to the Spying Challenge team

WoSEC Paris: winners of the Spying Challenge 2019, LeHack Paris

We honoured our mission by freeing Gustave Leproleau from the clutches of this unscrupulous company.

Agent Smith, Gustave Leproleau, Agent Granville and Agent Ash (under the beautiful WoSEC logo)

Top 3 ranking

WoSECParis first place!

SpyKidsIH3 second place

Project BlueBird third place

Rankings of the day

OSINT and SE phase ranking

SE, document theft, poisoning and surveillance ranking

Last ranking (lockpicking, lie detector, escape)

Spying challenge tweet about our victory


Thanks

Thanks to @asdmhx et à @catr42 for their enthusiasm and commitment!

WoSEC Paris thanks the Spying Challenge team for organizing this exciting challenge and the realistic role-playing during LeHack.

L’équipe du Spying Challenge

Thanks also to all the participants of the Spying Challenge for giving us a hard time.

Finally, a big thank you to LeHack for hosting such an event.

FIC 2019

Entrée du Grand Palais de Lille

Les 22 et 23 janvier 2019 au Grand Palais de Lille se déroulait le Forum International de Cybersécurité. Toutes les conférences avaient l’air passionnante, mais n’ayant pas le don d’ubiquité j’ai du faire des choix. Je vais les présenter brièvement ici.

Cybersécurité des grands évènements: retours d’expérience

Cybersécurité des grands évènements: retours d’expérience
Modérateur: Pierre-Alexis Saint-Michel
Intervenante: Reiko Kondo
Intervenant: Loïc Guezo
Intervenant: Colonel Michel Sans

Le but de cette conférence était de tenter de donner un panorama des futurs menaces cyber grâce à divers questions posées aux intervenants.
Il a donc d’abord été question de définir un terme clé du titre de la conférence: « les grands évènements. »

Grands évènements: De quoi parle-t-on?

Lorsque l’on parle de Grands évènements cela concerne des évènements d’ampleur nationale ou internationale tels que des élections présidentielles, le G20, la COP21, des jeux olympiques, etc.

Loïc Guezo, a proposé un paysage de la menace.

Threat Landscape

Il a été également évoqué des incidents lors d’anciens jeux olympiques

What had happened to the past Olympic Games?
Cases in the Past Olympic and Paralympic Games

Reiko Kondo a présenté les observation du NICT (National Institute of Information and Communications Technology) relatives aux attaques sur les objets IoT.

Attacks on IOT Devices observed by Nicter

Pierre-Alexis Saint-Michel a évoqué rapport de l’Université de Berkeley concernant les jeux olympiques et en a présenté un résumé.

Report on the Cybersecurity of Olympic Sports, CENTER FOR LONG-TERM CYBERSECURITY

Reiko Kondo a parlé services essentiels pour Tokyo en 2020. Ils en ont identifié 21.

Essential Service Providers Tokyo 2020

Elle a présenté les mesures de cybersécurité pour Tokyo 2020

Cybersecurity Measures for Tokyo 2020

Il a également été question de définir des bonnes pratiques. Le guide du CERT a été évoqué. Il est également essentiel de sensibiliser les OIV. Aussi, les technologies évoluent il faut donc s’y préparer.

De nouvelles techniques de risk management sont introduites

Scenario Based Security Risk Management – Trend Micro

Il est donc important d’anticiper la menace et d’apprendre de ce qui s’est précédemment produit.

Keynote: Exploiting dangerous behavior, Clément Lavoillotte

Ce keynote nous a donné un tour d’horizon et quelques ressources en matière de « privilege esalation ». Voici quelques slides pertinents:

Techniques and tools – Provadys
Takeways – Provadys

L’intervention de Florence Parly Ministre des Armées

Florence Parly (ministre des armées) a exposé la stratégie de la France en matière de cybersécurité. Elle a évoqué les investissements de la France pour le renforcement de la cybersécurité et le fait que le pays revendique d’utiliser l’arme cyber au même titre que toutes les armes conventionnelles. L’arme cyber est un outil pour défendre, répliquer et attaquer.

Elle a également évoqué l’augmentation des partenariats à l’échelle européenne. Il s’agit de créer une culture commune et des remparts plus fort pour agir ensemble.

Enfin, elle a abordé les PME et leur partenariats avec comcyber comme par exemple yeswehack pour la création du premier bug bounty du ministère des armées.

Cybermenace: Avis de tempête, Wavestone, Institut Montaigne

Le FIC a aussi été l’occasion d’assister au talk de Wavestone concernant leur rapport en partenariat avec l’institut Montaigne: « Cybermenace, avis de tempête ». Ce rapport est disponible ici. Dans ce rapport un scénario catastrophe a été imaginé puis confronté à la revue cyber défense. Les conclusions de ce rapport ont permis d’établir des recommendations sous la forme de 13 propositions disponibles ici.

You are the weakest link

Une table ronde réunissant les intervenants suivants a évoqué l’humain au centre de al cybersécurité:

Intervenants You are the weakest link

Différents éléments ont été évoqués:
Selon Phedra Clouner:

    • Il faut considérer que l’humaine peut être le maillon fort: pare feu humain. La technologie ne va pas sans l’humain et les deux sont complémentaires.
      Il est important de noter que l’on peut entrer dans une optique de sensibilisation et d’information du citoyen qui peut agir comme protecteur de son éco-système.
    • En 2017 on observe un changement de paradigme pour impliquer le citoyen dans sa propre utilisation, le gouvernement Belge a incité le citoyen à envoyer les mails qu’ils considéraient comme suspect, en un an plus de 600 000 mails ont été envoyés. Cela permet de bloquer 5 sites de phishing par jour, de découvrir de nouveaux malwares et de travailler avec des entreprises anti-virus.
    • Faire participer le citoyen, le responsabilise quant à sa propre protection.
    • Concernant les OIV (terme en Belgique: infrastructures critiques) des informations ont été mise à leur disposition pour mieux se défendre face aux menaces. Il y a un référentiel de sécurité à la disposition qui est à la disposition de tous les services

Pour Sébastien Gest:

      • l’IA est nécessaire car les données personnelles sont « dans la nature ».
      • Le BOYD est problématique notamment en termes de phishing

Pour Stéphane Nappo:

      • Il faut transformer le vecteur de menace humain en facteur de sécurité grâce à l’éducation.
      • Eduquer l’utilisateur dans sa sphère personnelle a un impact positif dans la sphère professionnelle

Pour Pascal Steichen:

      • Etant donné les rapides évolutions en termes d’attaques la technologie doit être évolutive.
      • Il faut appliquer une sorte de prévention routière mais pour la cybersécurité.
      • Pour les grandes structures il faut des personnes dédiées pour ceci.
      • Depuis 6-7 ans le Luxembourg a lancé l’initiative « Be Secure » qui proposedes sessions de sensibilisations dans les écoles.
      • Il faut sensisbiliser, former et tester des managers qui seront confrontés à des cyber attaques même s’ils n’ont pas forcément un profil technique.
      • Tous les métiers doivent travailler ensemble ce n’est pas l’affaire que du responsable de la sécurité.

Intervention de Mariya Gabrielle, European Commisioner

La prise de conscience est de plus en plus saisissante au niveau européen.
Mariaya Gabrielle a évoqué différents éléments concernant la cybersécurité européenne:

      • Les canaux numériques sont de plus en plus utilisés pour s’immiscer au cœur de la démocratie
      • Nous dépendons des systèmes et sommes confrontés à de nouveaux types d’attaques
      • La directive NIS a pour objectif de permettre une meilleure communication entre les états membres pour l’amélioration de la cybersécurité en Europe.
      • Aujourd’hui il est question d’augmenter le budget et les ressources humaines de l’ENISA de 50%.
      • Un système de certification europénne en cybersécurité va être mis en place.
      • Les industries européennes doivent avoir moins de charges financières et administratives
      • L’europe doit investir plus dans la cybersécurité
      • Il faut attirer plus de jeunes et plus de femmes dans le domaine de la cybersécurité. Les chiffres sont alarmants

Que peut on faire au FIC en dehors des conférences?

Le FIC propose effectivement beaucoup de conférences. Toutefois, il y a aussi plein d’autres choses à faire: des CTF, des stands d’administrations et d’entreprises, des démonstrations, et même des courts métrages diffusés lorsque l’on attend le début d’une conférence.
Ces films sont issus du festival du film sécurité.

Voici les liens de ceux que j’ai pu trouver :

On peut également discuter avec les personnes présentes au stand. C’est assez riche en enseignements, j’ai par exemple découvert le site safeonweb qui permet de sensibiliser les citoyens belges au phishing et autres attaques: Safe on web

Pour aller plus loin:

About the forum / A propos du forum

Note: Le forum n’ayant pas attiré beaucoup de monde, je réfléchis à une autre façon de proposer un échange de connaissances et une entraide ouvert à tou.te.s.

Note: As the forum did not attract many people, I am thinking about another way to offer an exchange of knowledge and a mutual support open to all.

Faire défiler le texte pour lire la version française

A Forum to self-study cybersecurity collectively

A few days ago I published my article in peerlyst about how to create an open education degree for free in cybersecurity. In a comment, someone tackled a very important issue : how stay focused when you study alone online?
Because:

    • you can easily be distracted,
    • We tend to scatter ourselves,
  • It is not always easy to learn alone.

To answer to these questions, i first suggested this very good Mooc by Dr Barbara Oakley (McMaster University, University of California San Diego): Learning how to learn on Coursera.

This Mooc is really helpful to understand the process of learning. You get tips and tricks to learn more efficiently.

I also answered that what helps a lot is to make lists of objectives. For instance you can make a list of things to achieve for the day, the week or the month.
The most important thing is to define what you want to learn and where you want to go. Then write it down as objectives you’ll like to fulfill in the end at a certain time pace.


And to break the loneliness while self-studying, I decided to create a forum to gather people who want to learn collectively. It is a place open to everyone who want to learn and share knowledge no matter your age, gender, level, country and so on.

In brief it is a forum that can be use to learn a specific subject or lookup for an answer when you tackle an issue.

picture of the forum


Here is a picture of the forum as it currently is. It is not it’s final look, it will evolve with users and their needs.

As you can see there is an english and a french part for now.

If you speak another language you can ask me to add a category. This would open the forum even more to everyone no matter where they live and which language they speak.

private part for women

This part is only for women or people who identify as women to feel more comfortable learning together. This part is private and you need to ask me the access for it.


Feel free to make this forum a place where learning is free and open to everyone. Learning with peers and meeting for a specific topic or Mooc would be easier to achieve.

Finally, people from the industry and experts are welcome to share their experiences and build a community for open education in cybersecurity.

So let’s build a safe internet by learning together cybersecurity.


Un forum d’auto-apprentissage collectif pour la cybersécurité


Il y a quelques jours, j’ai publié un article sur peerlyst pour décrire le processus de création d’une formation complète en cybersécurité. Dans un commentaire, une personne a évoqué un point important: comment rester concentré lorsque l’on apprend seul?
En effet:

  • On est facilement distrait
  • On peut avoir tendance à se disperser
  • Et ce n’est pas toujours évident d’apprendre seul

Pour répondre à ces questions, j’ai d’abord suggéré l’excellent Mooc du Dr Barbara Oakley « Apprendre à apprendre » sur Coursera (disponible sous titré en français).

Ce Mooc est vraiment très intéressant pour comprendre le processus d’apprentissage. Vous repartirez avec des outils et des astuces pour apprendre de façon plus efficace.

J’ai ajouté qu’il était utile de faire des listes d’objectifs. Par exemple, vous pouvez lister vos objectifs pour la journée, la semaine ou même le mois.

Le plus important, c’est de bien identifier ce que vous voulez apprendre et vers quoi vous souhaitez vous diriger. Ecrivez ensuite cela sous forme d’objectif à accomplir dans un délai prédéfini.

Aussi pour casser la solitude que peut parfois apporter l’auto-apprentissage, j’ai décidé de créer un forum pour réunir les personnes qui souhaiteraient apprendre collectivement. Il s’agit d’un espace ouvert à tous ceux qui veulent apprendre et partager leur connaissances quels que soit leur niveau, leur âge, leur genre, leur pays, etc.

En bref, c’est un forum qui peut être utilisé pour apprendre un sujet spécifique ou répondre à une question lorsque l’on rencontre un problème.
visuel du forum
Voici une photo du forum tel qu’il est. Ce n’est pas son aspect final, il évoluera en fonction des utilisateurs et de leurs besoins et envies.

Comme vous pouvez le voir il y a pour le moment une partie en français et une partie en anglais.

Si vous parlez une autre langue vous pouvez me contacter pour ajouter une catégorie pour cette langue. Ceci permettra d’ouvrir le forum plus largement.
forum privé réservé aux femmes
Cette partie est pour les femmes ou les personnes s’identifiant au genre féminin afin de se sentir plus à l’aise et d’apprendre ensemble. C’est une partie privée pour laquelle il faut me demander un accès.

N’hésitez pas à faire de ce forum un endroit ou l’apprentissage est gratuit et ouvert à tous. Apprendre avec ses pairs ou se rencontrer pour échanger sur certains sujets sera facilité.

Pour finir, les professionnels et experts sont les bienvenus pour partager leur expérience et construire une communauté d’apprentissage ouverte pour la cybersécurité.

Allez, construisons un internet sécurisé en apprenant ensemble la cybersécurité!

Ressources / Resources

Scroller un peu pour la version française

To go further in my challenge, I have built a panel of open resources.
The collection of these resources was done progressively, I looked up French and foreign university programs, job descriptions in cybersecurity but also unconventional profiles that I had the opportunity to meet.
Indeed, my last six months have been punctuated by Moocs, CTF, a summer school, cybersecurity conferences and job interviews.
The adventure continues with an internship in which I will have the opportunity to test this knowledge.

I wanted to share the results of my research here in order to give other people the opportunity to be able to train themselves.
This page is divided into several parts:

– « Moocs » on specific topics,

– « Webinars » and « videos » for a more visual format,

– The « books, reference articles, tutorial sites, associations, conferences and useful blogs » section provides resources to turn to, in different subjects, to complete the learning of Moocs.
It also contains a list of very specific conferences that I found on Wikipedia and for women a list of women’s communities in cybersecurity,

– Finally, the CTF and games part allows you to put it into practice and offers moments of relaxation.

Not all links are completely free, but I have tried to find resources that are at least partly free and open for everyone to use.

Feel free to comment if you have other references or events (workshops, bootcamp, summer school,…) around the world.

Please help me to complete my list of women in cybersecurity communities if you know any.


Pour avancer dans mon défi, j’ai construit un panel de ressources ouvertes.
La collecte de ces ressources s’est faite au fil de l’eau, je me suis imprégnée des programmes universitaires français et étrangers, des fiches de poste dans la cybersécurité mais aussi des profils non-conventionnels que j’ai eu l’occasion de croiser.
En effet, mes six derniers mois ont été rythmés de Moocs, de CTF, d’une summer school, de conférences en cybersécurité et d’entretiens d’embauche.
L’aventure continue par un stage où j’aurai l’opportunité de tester ces connaissances.

J’ai souhaité ici partager le résultat de mes recherches afin d’offrir la possibilité à d’autres personnes de pouvoir s’auto-former.
Cette page se distingue en plusieurs parties :

– Des « Moocs » sur des sujets spécifiques,

– Des « webinar » et « vidéos » pour un format plus visuel,
La partie « ouvrages, articles de référence, sites tutoriels, associations, conférences et blogs utiles » permet d’avoir des ressources vers lesquelles se tourner dans différents sujets pour compléter l’apprentissage des Moocs notamment.
Elle contient également une liste de conférences très précises que j’ai trouvée sur Wikipédia et pour les femmes une liste d’associations de femmes dans la cybersécurité.

– Enfin, la partie CTF et jeux permet la mise en pratique et offre des moments de détentes.

Tous les liens ne sont pas forcéments complètement gratuits, mais je me suis appliquée à rechercher des ressources au moins partiellement gratuites et ouvertes pour que tout le monde puisse s’en emparer.

N’hésitez à compléter en commentaire si vous avez d’autres références ou des events (workshops, bootcamp, summer school, …) à travers le monde.

Aidez moi, s’il vous plait, à compléter ma liste d’associations de femmes dans la cyber si vous en connaissez.

Mooc

Introduction à la Cybersécurité / Introduction to Cybersecurity

Cybersécurité avancée / Advanced Cybersecurity

Cybersécurité et humanités numériques / Cybersecurity and digital humanities

Cryptographie / Cryptography

Données / Data

Blockchain

Réseaux et sécurité des réseaux / Networks and networks’ security

Programmation / Programming

Autres / Others

Webinar

Podcast

Videos

Ouvrages, articles de référence, sites, tutoriels, associations, conférences et blogs utiles / Books, papers, articles, useful websites, tutorials, communities, conferences and blogs

Lois et normes / Law and Policy

Economie / Economy

Cryptographie, mathématiques / Cryptography, maths

Systèmes d’exploitations / Operating System

Blockchain

Géopolitique / Geopolitical

Surveillance, protection des données, fuite de données / Surveillance, Personal Data protection, data leaks

Techniques et outils de cybersécurité, Conférences, Ressources pour apprendre / Cybersecurity techniques and tools, Conventions, learning resources

Initiation à la cybersécurité ou outils pédagogiques d’initiation/ Initiation to cybersecurity or initiation tools

Social Engineering

Internet

Labos et machines virtuelles / Labs and virtual machines

Humanités Numériques / Digital Humanities

Développement d’application, reverse engineering, revue de code / Software development, reverse engineering, code review

Evènements / Events

Jeux, CTF, Wargames, sites à hacker ou app à hacker, guides pour CTF (organisation, participation), Challenges (en crypto ou autre) / Games, CTF, Wargames, vulnerables apps and websites, guides for CTF (organization / participation), Challenges (crypto or else)

Bug bounty platforms

Pourquoi la veille informationnelle est essentielle dans la cybersécurité ?

Article available only in french

Il m’a semblé important d’ajouter un agrégateur de flux RSS dans ce blog du fait de l’importance de la veille informationnelle dans le domaine de la cybersécurité.
Bien sur cela ne vaut pas un travail fait par un veilleur informationnel ou une bonne revue de presse. Cependant, on obtient tout de même en un coup d’oeil les dernières informations de ses médias de prédilection.
Toutefois, j’en profite ici pour vous présenter non seulement en quoi consiste le métier de veilleur-se stratégique mais également comment mettre en place un agrégateur de flux RSS.

Qu’est-ce que la veille informationnelle?

La veille informationnelle est une « activité continue en grande partie itérative visant à une surveillance active de l’environnement technologique, commercial, etc., pour en anticiper les évolutions »

source: Wikipedia

Il s’agit donc de surveiller l’actualité . En cybersécurité, c’est d’autant plus important car se tenir au courant permet d’apporter à ses clients, par exemple, des réponses adaptées aux problèmes de sécurité actuels. Ou simplement de se tenir aux courants des dernières menaces pour mieux s’en protéger.

Il existe d’ailleurs dans les entreprises et les organisations des postes spécialisés pour la veille informationnelle.
Voici la fiche métier de l’Onisep pour vous faire une idée plus précise de ce qu’est un-e veilleu-r-se stratégique.
Pour savoir comment cela se transpose dans la cybersécurité je vous invite à consulter la fiche de poste de l’ANSSI qui donne une idée très précise des tâches incombant au « veilleu-r-se de permanence opérationnelle ».
Dans cette fiche, vous remarquerez la tâche suivante: « suivre l’actualité relative à la sécurité des systèmes d’information en France et dans le monde (attaques informatiques, logiciels malveillants, failles de sécurité, produits de sécurité, etc.) et les médias en sources ouvertes afin de détecter au plus vite toute menace cyber pouvant impacter les intérêts nationaux. »

En cybersécurité, s’informer de l’actualité permet donc d’aider à la détection des menaces.

Finalement le rôle d’un-e veilleur-se opérationnelle est de résumer plusieurs articles qu’il estime pertinent sous forme de revue de presse ou de rapport en fonction des codes imposés par son organisation ou entreprise.
Ce rapport sera consigné et mis à disposition de tous les services de l’organisation ou de l’entreprise.

Voici à quoi ressemble une note pour un rapport ou une revue de presse:
Vulnérabilité dans le noyau Linux de SUSE par le CERT

L’analyse doit être précise et courte pour être percutante comme dans cet exemple:

En résumé un poste de veille opérationnelle dans la cybersécurité est très intéressant car il a plusieurs aspects:

  • C’est très varié: documentation, collecte d’informations relatives à la cybersécurité, détection de menaces, …
  • Si l’on souhaite s’orienter vers un métier plus technique ce poste est un bon point de départ
  • On est au coeur stratégique d’une organisation ou d’une entreprise

Pourquoi un agrégateur de flux RSS?

Un agrégateur est un moyen efficace d’obtenir les dernières informations de vos média d’actualités préférés.
Vous pourrez, en effet, choisir les sources, mais aussi les actualiser à la fréquence que vous jugerez la plus pertinente (jours, heures ou même minutes)
C’est également extrêmement simple à mettre en place sur WordPress

Comment le mettre en place sur WordPress?

    • Télécharger un plugin d’agrégateur de flux rss

J’ai choisi WP RSS Aggregator car il était extrêmement bien noté et vantait le côté intuitif et simple de pour l’installation et la mise en place.

    • L’installer et l’activer
    • Ajouter les flux souhaités et les paramétrer

Voici comment j’ai paramétré mes flux:

La case « Unique titles only » permet d’éviter les doublons elle s’avère assez utile car cela peut arriver.

    • Créer une page pour afficher les flux

J’ai du chercher un peu pour comprendre ce qu’il fallait inscrire dans la page pour afficher le flux il vous suffit simplement d’insérer le code suivant:
[ wp-rss-aggregator ] (en enlevant les espaces avant ‘]’ et après ‘[‘.)

    • Ajouter cette page au menu

Enfin il ne vous reste plus qu’à ajouter cette page à votre menu:

Et voilà!

Comment choisir les références?

Personnellement, j’attache beaucoup d’importance aux sources officielles, c’est pourquoi j’y ai mis le CERT français mais aussi le CERT européen et bien sur l’ANSSI.
Ensuite, j’ai tenté de trouver des médias de référence dans le milieu à l’échelle internationale grâce à mon fil d’actualités sur les réseaux sociaux, en cherchant par exemple les médias le plus souvent cités ou bien en faisant une recherche internet.
Enfin, j’ai aussi proposé mes médias préférés.
Je vous conseille donc de choisir vos références en fonction des besoins de votre activité pour être informé des actualités de votre domaine en temps réel.

Les métiers de la cybersécurité

Note: This article is in french because it is related to the career possibilities in cybersecurity in France.

Il m’a toujours semblé difficile de se faire une idée concrète d’un métier.
Comment faire pour avoir une liste de tous les métiers relatifs à un domaine ? Et surtout comment se faire une idée précise des métiers en question ? Autrement dit, à quoi ressemble le quotidien d’un poste spécifique ?

Quand on souhaite faire ses premiers pas dans la cybersécurité par exemple cela peut sembler compliqué de faire le tri entre les différents sous-domaines et métiers possibles.
Dans cet article, j’ai donc tenté de regrouper des ressources intéressantes pour faire le tri et mieux comprendre les différents postes.

Le “profils-métiers” de l’ANSSI:

Bref, mais efficace, on a un aperçu des différents profils et même une idée du niveau.
C’est une excellente ressource pour choisir un profil.

L’article “La cybersécurité” de l’Onisep:

La fiche de l’Onisep sur la cybersécurité. On y trouve quelques métiers et aussi des formations.

“Quel référentiel pour les métiers de la cybersécurité?” par le CEIS:

Ce document édité par la Compagnie Européenne d’intelligence stratégique tente de proposer un référentiel.
En un seul coup d’œil grâce à leurs indicateurs, on peut savoir la “densité” en terme de “métier”, “IT” ou “sécurité” pour chaque “emploi type”.

“Les métiers des Systèmes d’Information dans les grandes entreprises” du CIGREF:

Ce document ne concerne pas uniquement la cybersécurité puisqu’il aborde tous les métiers des systèmes d’information, mais le métier du RSSI y est présenté de façon très précise. On y trouve les “activités et tâches”, les compétences, et même les livrables.

Le “career pathway” de cyberseek (uniquement en anglais):

Un outil très visuel qui donne un bon résumé de chaque rôle et permet de voir aussi les évolutions possibles ou les postes de début de carrière. En passant la souris sur un métier, on a le salaire moyen et en cliquant sur un poste, on a plus de détails comme les compétences nécessaires ou même les certifications possibles.

Jobs in cybersecurity de cyberdegrees (uniquement en anglais):

On y trouve une liste des métiers et en cliquant sur un métier une fiche vraiment bien détaillée : un résumé rapide du métier, les responsabilités, les évolutions de carrières, les emplois similaires, les diplômes requis, les compétences, etc.

Cyber Security Jobs de Cybrary (uniquement en anglais):

C’est une référence un peu limitée au niveau des descriptions de métier, car il s’agit surtout d’un site de ressources pour se former mais on y trouve une liste de métiers et la partie “a day in a life of…” en cliquant sur un métier qui donne un bon aperçu de la réalité du métier.

Carte des domaines de la cybersécurité de Henry Jiang (uniquement en anglais)

Cette carte permet de voir en un seul coup d’oeil tous les domaines de la cybersécurité.

Pour aller plus loin:

Si vous êtes un.e globe trott.er.euse, je vous conseille ce lien :
Cyber Security around the world de Cybrary
Vous aurez un aperçu du marché de l’emploi en cybersécurité en fonction du pays. Pour le moment, la liste n’est pas complète, mais plutôt bien remplie.