Les environnements de bureau modernes : une faille dans la sécurité
La conférence DeepSec propose des formations et des tests pour des applications sécurisées
Le bureau (photo par Martin Dürrschnabel) |
Vienne (pts006/21.06.2021/09:00) Qu'est-ce qu'une application bureautique moderne a en commun avec un oléoduc en panne ? L'environnement de bureau qui a conduit à la catastrophe. Les interfaces utilisateur graphiques pour l'exploitation des ordinateurs remontent à des recherches menées dans les années 1960 et 1970. À l'époque, on réfléchissait à la manière dont les ordinateurs pourraient aider au mieux les gens. À partir des années 1990, le bureau est devenu un champ de bataille pour la domination du marché. Cela n'a pas changé, mais on retrouve désormais également des aspects liés à la sécurité. Après tout, l'environnement de bureau est souvent la première étape que les pirates informatiques franchissent pour accéder aux trésors numériques d'une entreprise. La conférence annuelle DeepSec propose aux professionnels de la sécurité et aux développeurs un cours intensif de deux jours consacré à la sécurité des environnements de bureau.
Pas d'attaque sans interaction
De nombreuses attaques réussies contre des entreprises ou des infrastructures reposent sur la coopération avec les victimes. La victime est poussée à exécuter le logiciel malveillant, et ce n'est qu'alors que ce dernier compromet le système. Des e-mails falsifiés contenant des documents ou des sites Web manipulés sont utilisés pour persuader la victime. L'attaque proprement dite exploite ensuite des vulnérabilités connues, ce qui permet de prendre le contrôle de l'ordinateur local. Dans l'âge d'or du travail à domicile, on trouve toujours des proies faciles. Le bureau n'est que la surface sur laquelle les applications exploitées sont exécutées. Pour se préparer à repousser ces attaques, il est nécessaire de connaître les composantes qui gèrent le travail à proprement parler et affichent des contenus. En fin de compte, il n'y a aucune différence dans l'approche utilisée pour les attaques contre les systèmes de serveurs ou les réseaux. Seuls les outils sont différents.
Les technologies de serveur dans l'environnement de bureau
De nos jours, les applications doivent être disponibles sur différentes plateformes. Pour ce faire, on utilise souvent des bibliothèques logicielles qui facilitent les adaptations aux environnements de bureau de différents fabricants. Les exemples les plus frappants sont les modules JavaScript, HTML et de mise en page qui étaient initialement destinés aux serveurs Web. L'environnement " Electron " utilise la technologie Web pour réaliser des applications portables pour diverses interfaces utilisateur graphiques. L'application devient alors une page Web dont le contenu est généré localement. Cela évite d'avoir à intégrer les particularités de la plate-forme respective dans le code du programme. Du point de vue de la sécurité, de nombreuses attaques pouvant cibler des applications Web peuvent alors également être tournées vers des programmes du bureau local. Des applications courantes telles que Microsoft® Teams, Skype, Bitwarden, Slack ou Discord utilisent Electron, ce qui les rend vulnérables à ces attaques.
Bien sûr, il existe d'autres composants dans les surfaces modernes qui peuvent être exploités de la même manière. Les chercheurs en sécurité travaillent sur ce sujet depuis des années.
Formation de deux jours sur la sécurité
En novembre, la conférence DeepSec proposera à nouveau des formations sur l'attaque et la défense informatique. L'un des ateliers est consacré exclusivement aux fonctionnalités du bureau moderne. Il ne s'agit pas d'exploiter des vulnérabilités inconnues. L'atelier présente des exemples pratiques pour apprendre quels sont les modèles de sécurité utilisés par les environnements de bureau, ce à quoi il faut faire attention et comment sécuriser l'interface contre les attaques. Des exemples pratiques permettent également de ressentir directement les effets d'une sécurité insuffisante. Le contenu est adapté aux débutants ayant des connaissances de base ainsi qu'aux utilisateurs avancés. Le public cible comprend toutes les personnes impliquées dans le sujet du point de vue de la sécurité, ainsi que des développeurs d'applications de bureau - en particulier les utilisateurs d'ordinateurs de bureau dans des infrastructures critiques.
Les connaissances transmises sont indispensables pour les tests de sécurité, le développement ou encore la protection du bureau par une configuration particulièrement sécurisée. L'objectif est de fournir aux entreprises un outil leur permettant de mieux protéger leurs employés. Après tout, tout comme les systèmes de serveurs, les environnements de bureau sont directement impliqués dans le traitement de données potentiellement dangereuses. La protection doit pouvoir être visible à l'écran, du début à la fin.
Mises à jour à vie
Les documents et les systèmes de test du cours sont mis à la disposition des participants au format numérique. L'accès n'expire pas après la formation, mais peut être utilisé indéfiniment. Cela comprend le cours actuel et tous suppléments ultérieurs. Les formateurs Abraham Aranguren et Anirudh Anand mettent également à disposition leurs nombreuses années d'expérience en matière de tests de pénétration dans le domaine des environnements de bureau.
Cette formation de deux jours est conçue pour un enseignement en classe et virtuel. Elle aura donc lieu quelques soient les circonstances.
Programme et réservation
La conférence DeepSec 2021 aura lieu les 18 et 19 novembre. Les formations DeepSec auront lieu les deux jours précédents, les 16 et 17 novembre. Toutes les formations (sauf exceptions) et les conférences sont conçues comme des événements en présentiel, mais peuvent être tenues partiellement ou totalement de manière virtuelle en fonction des futures mesures liées au COVID-19.
La conférence DeepINTEL Security Intelligence aura lieu le 17 novembre. Il s'agit d'un événement fermé ; veuillez nous contacter directement pour obtenir des renseignements sur le programme. Nous assurons un chiffrage renforcé de bout en bout des communications : https://deepsec.net/contact.html
Vous pouvez commander vos tickets pour la conférence DeepSec et pour les formations DeepSec à tout moment en ligne sur https://deepsec.net/register.html . Des codes de réduction des sponsors sont à votre disposition. Si vous êtes intéressé·e, veuillez nous contacter à l'adresse : deepsec@deepsec.net. Afin que nous puissions planifier correctement l'événement, nous vous prions de commander les billets dans les temps.
(Ende)Aussender: | DeepSec GmbH |
Ansprechpartner: | René Pfeiffer |
Tel.: | +43 676 5626390 |
E-Mail: | deepsec@deepsec.net |
Website: | deepsec.net/ |