tag:blogger.com,1999:blog-169269112024-03-07T10:44:02.514+01:00newsoft's fun blogUn blog où il y a de tout ... et parfois de la sécurité informatique.newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.comBlogger201125tag:blogger.com,1999:blog-16926911.post-66104728388129347122018-06-25T07:00:00.000+02:002018-06-25T07:00:10.031+02:00SSTIC 2018
<!--[if gte mso 9]><xml>
<o:OfficeDocumentSettings>
<o:AllowPNG/>
</o:OfficeDocumentSettings>
</xml><![endif]-->
<!--[if gte mso 9]><xml>
<w:WordDocument>
<w:View>Normal</w:View>
<w:Zoom>0</w:Zoom>
<w:TrackMoves/>
<w:TrackFormatting/>
<w:HyphenationZone>21</w:HyphenationZone>
<w:PunctuationKerning/>
<w:ValidateAgainstSchemas/>
<w:SaveIfXMLInvalid>false</w:SaveIfXMLInvalid>
<w:IgnoreMixedContent>false</w:IgnoreMixedContent>
<w:AlwaysShowPlaceholderText>false</w:AlwaysShowPlaceholderText>
<w:DoNotPromoteQF/>
<w:LidThemeOther>FR</w:LidThemeOther>
<w:LidThemeAsian>X-NONE</w:LidThemeAsian>
<w:LidThemeComplexScript>X-NONE</w:LidThemeComplexScript>
<w:Compatibility>
<w:BreakWrappedTables/>
<w:SnapToGridInCell/>
<w:WrapTextWithPunct/>
<w:UseAsianBreakRules/>
<w:DontGrowAutofit/>
<w:SplitPgBreakAndParaMark/>
<w:EnableOpenTypeKerning/>
<w:DontFlipMirrorIndents/>
<w:OverrideTableStyleHps/>
</w:Compatibility>
<m:mathPr>
<m:mathFont m:val="Cambria Math"/>
<m:brkBin m:val="before"/>
<m:brkBinSub m:val="--"/>
<m:smallFrac m:val="off"/>
<m:dispDef/>
<m:lMargin m:val="0"/>
<m:rMargin m:val="0"/>
<m:defJc m:val="centerGroup"/>
<m:wrapIndent m:val="1440"/>
<m:intLim m:val="subSup"/>
<m:naryLim m:val="undOvr"/>
</m:mathPr></w:WordDocument>
</xml><![endif]--><!--[if gte mso 9]><xml>
<w:LatentStyles DefLockedState="false" DefUnhideWhenUsed="false"
DefSemiHidden="false" DefQFormat="false" DefPriority="99"
LatentStyleCount="375">
<w:LsdException Locked="false" Priority="0" QFormat="true" Name="Normal"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 1"/>
<w:LsdException Locked="false" Priority="9" SemiHidden="true"
UnhideWhenUsed="true" QFormat="true" Name="heading 2"/>
<w:LsdException Locked="false" Priority="9" SemiHidden="true"
UnhideWhenUsed="true" QFormat="true" Name="heading 3"/>
<w:LsdException Locked="false" Priority="9" SemiHidden="true"
UnhideWhenUsed="true" QFormat="true" Name="heading 4"/>
<w:LsdException Locked="false" Priority="9" SemiHidden="true"
UnhideWhenUsed="true" QFormat="true" Name="heading 5"/>
<w:LsdException Locked="false" Priority="9" SemiHidden="true"
UnhideWhenUsed="true" QFormat="true" Name="heading 6"/>
<w:LsdException Locked="false" Priority="9" SemiHidden="true"
UnhideWhenUsed="true" QFormat="true" Name="heading 7"/>
<w:LsdException Locked="false" Priority="9" SemiHidden="true"
UnhideWhenUsed="true" QFormat="true" Name="heading 8"/>
<w:LsdException Locked="false" Priority="9" SemiHidden="true"
UnhideWhenUsed="true" QFormat="true" Name="heading 9"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="index 1"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="index 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="index 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="index 4"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="index 5"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="index 6"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="index 7"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="index 8"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="index 9"/>
<w:LsdException Locked="false" Priority="39" SemiHidden="true"
UnhideWhenUsed="true" Name="toc 1"/>
<w:LsdException Locked="false" Priority="39" SemiHidden="true"
UnhideWhenUsed="true" Name="toc 2"/>
<w:LsdException Locked="false" Priority="39" SemiHidden="true"
UnhideWhenUsed="true" Name="toc 3"/>
<w:LsdException Locked="false" Priority="39" SemiHidden="true"
UnhideWhenUsed="true" Name="toc 4"/>
<w:LsdException Locked="false" Priority="39" SemiHidden="true"
UnhideWhenUsed="true" Name="toc 5"/>
<w:LsdException Locked="false" Priority="39" SemiHidden="true"
UnhideWhenUsed="true" Name="toc 6"/>
<w:LsdException Locked="false" Priority="39" SemiHidden="true"
UnhideWhenUsed="true" Name="toc 7"/>
<w:LsdException Locked="false" Priority="39" SemiHidden="true"
UnhideWhenUsed="true" Name="toc 8"/>
<w:LsdException Locked="false" Priority="39" SemiHidden="true"
UnhideWhenUsed="true" Name="toc 9"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Normal Indent"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="footnote text"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="annotation text"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="header"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="footer"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="index heading"/>
<w:LsdException Locked="false" Priority="35" SemiHidden="true"
UnhideWhenUsed="true" QFormat="true" Name="caption"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="table of figures"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="envelope address"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="envelope return"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="footnote reference"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="annotation reference"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="line number"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="page number"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="endnote reference"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="endnote text"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="table of authorities"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="macro"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="toa heading"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Bullet"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Number"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List 4"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List 5"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Bullet 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Bullet 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Bullet 4"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Bullet 5"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Number 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Number 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Number 4"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Number 5"/>
<w:LsdException Locked="false" Priority="10" QFormat="true" Name="Title"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Closing"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Signature"/>
<w:LsdException Locked="false" Priority="1" SemiHidden="true"
UnhideWhenUsed="true" Name="Default Paragraph Font"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Body Text"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Body Text Indent"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Continue"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Continue 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Continue 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Continue 4"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="List Continue 5"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Message Header"/>
<w:LsdException Locked="false" Priority="11" QFormat="true" Name="Subtitle"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Salutation"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Date"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Body Text First Indent"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Body Text First Indent 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Note Heading"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Body Text 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Body Text 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Body Text Indent 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Body Text Indent 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Block Text"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Hyperlink"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="FollowedHyperlink"/>
<w:LsdException Locked="false" Priority="22" QFormat="true" Name="Strong"/>
<w:LsdException Locked="false" Priority="20" QFormat="true" Name="Emphasis"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Document Map"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Plain Text"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="E-mail Signature"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="HTML Top of Form"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="HTML Bottom of Form"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Normal (Web)"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="HTML Acronym"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="HTML Address"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="HTML Cite"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="HTML Code"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="HTML Definition"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="HTML Keyboard"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="HTML Preformatted"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="HTML Sample"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="HTML Typewriter"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="HTML Variable"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Normal Table"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="annotation subject"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="No List"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Outline List 1"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Outline List 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Outline List 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Simple 1"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Simple 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Simple 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Classic 1"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Classic 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Classic 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Classic 4"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Colorful 1"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Colorful 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Colorful 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Columns 1"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Columns 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Columns 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Columns 4"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Columns 5"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Grid 1"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Grid 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Grid 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Grid 4"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Grid 5"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Grid 6"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Grid 7"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Grid 8"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table List 1"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table List 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table List 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table List 4"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table List 5"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table List 6"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table List 7"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table List 8"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table 3D effects 1"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table 3D effects 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table 3D effects 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Contemporary"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Elegant"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Professional"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Subtle 1"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Subtle 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Web 1"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Web 2"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Web 3"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Balloon Text"/>
<w:LsdException Locked="false" Priority="39" Name="Table Grid"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Table Theme"/>
<w:LsdException Locked="false" SemiHidden="true" Name="Placeholder Text"/>
<w:LsdException Locked="false" Priority="1" QFormat="true" Name="No Spacing"/>
<w:LsdException Locked="false" Priority="60" Name="Light Shading"/>
<w:LsdException Locked="false" Priority="61" Name="Light List"/>
<w:LsdException Locked="false" Priority="62" Name="Light Grid"/>
<w:LsdException Locked="false" Priority="63" Name="Medium Shading 1"/>
<w:LsdException Locked="false" Priority="64" Name="Medium Shading 2"/>
<w:LsdException Locked="false" Priority="65" Name="Medium List 1"/>
<w:LsdException Locked="false" Priority="66" Name="Medium List 2"/>
<w:LsdException Locked="false" Priority="67" Name="Medium Grid 1"/>
<w:LsdException Locked="false" Priority="68" Name="Medium Grid 2"/>
<w:LsdException Locked="false" Priority="69" Name="Medium Grid 3"/>
<w:LsdException Locked="false" Priority="70" Name="Dark List"/>
<w:LsdException Locked="false" Priority="71" Name="Colorful Shading"/>
<w:LsdException Locked="false" Priority="72" Name="Colorful List"/>
<w:LsdException Locked="false" Priority="73" Name="Colorful Grid"/>
<w:LsdException Locked="false" Priority="60" Name="Light Shading Accent 1"/>
<w:LsdException Locked="false" Priority="61" Name="Light List Accent 1"/>
<w:LsdException Locked="false" Priority="62" Name="Light Grid Accent 1"/>
<w:LsdException Locked="false" Priority="63" Name="Medium Shading 1 Accent 1"/>
<w:LsdException Locked="false" Priority="64" Name="Medium Shading 2 Accent 1"/>
<w:LsdException Locked="false" Priority="65" Name="Medium List 1 Accent 1"/>
<w:LsdException Locked="false" SemiHidden="true" Name="Revision"/>
<w:LsdException Locked="false" Priority="34" QFormat="true"
Name="List Paragraph"/>
<w:LsdException Locked="false" Priority="29" QFormat="true" Name="Quote"/>
<w:LsdException Locked="false" Priority="30" QFormat="true"
Name="Intense Quote"/>
<w:LsdException Locked="false" Priority="66" Name="Medium List 2 Accent 1"/>
<w:LsdException Locked="false" Priority="67" Name="Medium Grid 1 Accent 1"/>
<w:LsdException Locked="false" Priority="68" Name="Medium Grid 2 Accent 1"/>
<w:LsdException Locked="false" Priority="69" Name="Medium Grid 3 Accent 1"/>
<w:LsdException Locked="false" Priority="70" Name="Dark List Accent 1"/>
<w:LsdException Locked="false" Priority="71" Name="Colorful Shading Accent 1"/>
<w:LsdException Locked="false" Priority="72" Name="Colorful List Accent 1"/>
<w:LsdException Locked="false" Priority="73" Name="Colorful Grid Accent 1"/>
<w:LsdException Locked="false" Priority="60" Name="Light Shading Accent 2"/>
<w:LsdException Locked="false" Priority="61" Name="Light List Accent 2"/>
<w:LsdException Locked="false" Priority="62" Name="Light Grid Accent 2"/>
<w:LsdException Locked="false" Priority="63" Name="Medium Shading 1 Accent 2"/>
<w:LsdException Locked="false" Priority="64" Name="Medium Shading 2 Accent 2"/>
<w:LsdException Locked="false" Priority="65" Name="Medium List 1 Accent 2"/>
<w:LsdException Locked="false" Priority="66" Name="Medium List 2 Accent 2"/>
<w:LsdException Locked="false" Priority="67" Name="Medium Grid 1 Accent 2"/>
<w:LsdException Locked="false" Priority="68" Name="Medium Grid 2 Accent 2"/>
<w:LsdException Locked="false" Priority="69" Name="Medium Grid 3 Accent 2"/>
<w:LsdException Locked="false" Priority="70" Name="Dark List Accent 2"/>
<w:LsdException Locked="false" Priority="71" Name="Colorful Shading Accent 2"/>
<w:LsdException Locked="false" Priority="72" Name="Colorful List Accent 2"/>
<w:LsdException Locked="false" Priority="73" Name="Colorful Grid Accent 2"/>
<w:LsdException Locked="false" Priority="60" Name="Light Shading Accent 3"/>
<w:LsdException Locked="false" Priority="61" Name="Light List Accent 3"/>
<w:LsdException Locked="false" Priority="62" Name="Light Grid Accent 3"/>
<w:LsdException Locked="false" Priority="63" Name="Medium Shading 1 Accent 3"/>
<w:LsdException Locked="false" Priority="64" Name="Medium Shading 2 Accent 3"/>
<w:LsdException Locked="false" Priority="65" Name="Medium List 1 Accent 3"/>
<w:LsdException Locked="false" Priority="66" Name="Medium List 2 Accent 3"/>
<w:LsdException Locked="false" Priority="67" Name="Medium Grid 1 Accent 3"/>
<w:LsdException Locked="false" Priority="68" Name="Medium Grid 2 Accent 3"/>
<w:LsdException Locked="false" Priority="69" Name="Medium Grid 3 Accent 3"/>
<w:LsdException Locked="false" Priority="70" Name="Dark List Accent 3"/>
<w:LsdException Locked="false" Priority="71" Name="Colorful Shading Accent 3"/>
<w:LsdException Locked="false" Priority="72" Name="Colorful List Accent 3"/>
<w:LsdException Locked="false" Priority="73" Name="Colorful Grid Accent 3"/>
<w:LsdException Locked="false" Priority="60" Name="Light Shading Accent 4"/>
<w:LsdException Locked="false" Priority="61" Name="Light List Accent 4"/>
<w:LsdException Locked="false" Priority="62" Name="Light Grid Accent 4"/>
<w:LsdException Locked="false" Priority="63" Name="Medium Shading 1 Accent 4"/>
<w:LsdException Locked="false" Priority="64" Name="Medium Shading 2 Accent 4"/>
<w:LsdException Locked="false" Priority="65" Name="Medium List 1 Accent 4"/>
<w:LsdException Locked="false" Priority="66" Name="Medium List 2 Accent 4"/>
<w:LsdException Locked="false" Priority="67" Name="Medium Grid 1 Accent 4"/>
<w:LsdException Locked="false" Priority="68" Name="Medium Grid 2 Accent 4"/>
<w:LsdException Locked="false" Priority="69" Name="Medium Grid 3 Accent 4"/>
<w:LsdException Locked="false" Priority="70" Name="Dark List Accent 4"/>
<w:LsdException Locked="false" Priority="71" Name="Colorful Shading Accent 4"/>
<w:LsdException Locked="false" Priority="72" Name="Colorful List Accent 4"/>
<w:LsdException Locked="false" Priority="73" Name="Colorful Grid Accent 4"/>
<w:LsdException Locked="false" Priority="60" Name="Light Shading Accent 5"/>
<w:LsdException Locked="false" Priority="61" Name="Light List Accent 5"/>
<w:LsdException Locked="false" Priority="62" Name="Light Grid Accent 5"/>
<w:LsdException Locked="false" Priority="63" Name="Medium Shading 1 Accent 5"/>
<w:LsdException Locked="false" Priority="64" Name="Medium Shading 2 Accent 5"/>
<w:LsdException Locked="false" Priority="65" Name="Medium List 1 Accent 5"/>
<w:LsdException Locked="false" Priority="66" Name="Medium List 2 Accent 5"/>
<w:LsdException Locked="false" Priority="67" Name="Medium Grid 1 Accent 5"/>
<w:LsdException Locked="false" Priority="68" Name="Medium Grid 2 Accent 5"/>
<w:LsdException Locked="false" Priority="69" Name="Medium Grid 3 Accent 5"/>
<w:LsdException Locked="false" Priority="70" Name="Dark List Accent 5"/>
<w:LsdException Locked="false" Priority="71" Name="Colorful Shading Accent 5"/>
<w:LsdException Locked="false" Priority="72" Name="Colorful List Accent 5"/>
<w:LsdException Locked="false" Priority="73" Name="Colorful Grid Accent 5"/>
<w:LsdException Locked="false" Priority="60" Name="Light Shading Accent 6"/>
<w:LsdException Locked="false" Priority="61" Name="Light List Accent 6"/>
<w:LsdException Locked="false" Priority="62" Name="Light Grid Accent 6"/>
<w:LsdException Locked="false" Priority="63" Name="Medium Shading 1 Accent 6"/>
<w:LsdException Locked="false" Priority="64" Name="Medium Shading 2 Accent 6"/>
<w:LsdException Locked="false" Priority="65" Name="Medium List 1 Accent 6"/>
<w:LsdException Locked="false" Priority="66" Name="Medium List 2 Accent 6"/>
<w:LsdException Locked="false" Priority="67" Name="Medium Grid 1 Accent 6"/>
<w:LsdException Locked="false" Priority="68" Name="Medium Grid 2 Accent 6"/>
<w:LsdException Locked="false" Priority="69" Name="Medium Grid 3 Accent 6"/>
<w:LsdException Locked="false" Priority="70" Name="Dark List Accent 6"/>
<w:LsdException Locked="false" Priority="71" Name="Colorful Shading Accent 6"/>
<w:LsdException Locked="false" Priority="72" Name="Colorful List Accent 6"/>
<w:LsdException Locked="false" Priority="73" Name="Colorful Grid Accent 6"/>
<w:LsdException Locked="false" Priority="19" QFormat="true"
Name="Subtle Emphasis"/>
<w:LsdException Locked="false" Priority="21" QFormat="true"
Name="Intense Emphasis"/>
<w:LsdException Locked="false" Priority="31" QFormat="true"
Name="Subtle Reference"/>
<w:LsdException Locked="false" Priority="32" QFormat="true"
Name="Intense Reference"/>
<w:LsdException Locked="false" Priority="33" QFormat="true" Name="Book Title"/>
<w:LsdException Locked="false" Priority="37" SemiHidden="true"
UnhideWhenUsed="true" Name="Bibliography"/>
<w:LsdException Locked="false" Priority="39" SemiHidden="true"
UnhideWhenUsed="true" QFormat="true" Name="TOC Heading"/>
<w:LsdException Locked="false" Priority="41" Name="Plain Table 1"/>
<w:LsdException Locked="false" Priority="42" Name="Plain Table 2"/>
<w:LsdException Locked="false" Priority="43" Name="Plain Table 3"/>
<w:LsdException Locked="false" Priority="44" Name="Plain Table 4"/>
<w:LsdException Locked="false" Priority="45" Name="Plain Table 5"/>
<w:LsdException Locked="false" Priority="40" Name="Grid Table Light"/>
<w:LsdException Locked="false" Priority="46" Name="Grid Table 1 Light"/>
<w:LsdException Locked="false" Priority="47" Name="Grid Table 2"/>
<w:LsdException Locked="false" Priority="48" Name="Grid Table 3"/>
<w:LsdException Locked="false" Priority="49" Name="Grid Table 4"/>
<w:LsdException Locked="false" Priority="50" Name="Grid Table 5 Dark"/>
<w:LsdException Locked="false" Priority="51" Name="Grid Table 6 Colorful"/>
<w:LsdException Locked="false" Priority="52" Name="Grid Table 7 Colorful"/>
<w:LsdException Locked="false" Priority="46"
Name="Grid Table 1 Light Accent 1"/>
<w:LsdException Locked="false" Priority="47" Name="Grid Table 2 Accent 1"/>
<w:LsdException Locked="false" Priority="48" Name="Grid Table 3 Accent 1"/>
<w:LsdException Locked="false" Priority="49" Name="Grid Table 4 Accent 1"/>
<w:LsdException Locked="false" Priority="50" Name="Grid Table 5 Dark Accent 1"/>
<w:LsdException Locked="false" Priority="51"
Name="Grid Table 6 Colorful Accent 1"/>
<w:LsdException Locked="false" Priority="52"
Name="Grid Table 7 Colorful Accent 1"/>
<w:LsdException Locked="false" Priority="46"
Name="Grid Table 1 Light Accent 2"/>
<w:LsdException Locked="false" Priority="47" Name="Grid Table 2 Accent 2"/>
<w:LsdException Locked="false" Priority="48" Name="Grid Table 3 Accent 2"/>
<w:LsdException Locked="false" Priority="49" Name="Grid Table 4 Accent 2"/>
<w:LsdException Locked="false" Priority="50" Name="Grid Table 5 Dark Accent 2"/>
<w:LsdException Locked="false" Priority="51"
Name="Grid Table 6 Colorful Accent 2"/>
<w:LsdException Locked="false" Priority="52"
Name="Grid Table 7 Colorful Accent 2"/>
<w:LsdException Locked="false" Priority="46"
Name="Grid Table 1 Light Accent 3"/>
<w:LsdException Locked="false" Priority="47" Name="Grid Table 2 Accent 3"/>
<w:LsdException Locked="false" Priority="48" Name="Grid Table 3 Accent 3"/>
<w:LsdException Locked="false" Priority="49" Name="Grid Table 4 Accent 3"/>
<w:LsdException Locked="false" Priority="50" Name="Grid Table 5 Dark Accent 3"/>
<w:LsdException Locked="false" Priority="51"
Name="Grid Table 6 Colorful Accent 3"/>
<w:LsdException Locked="false" Priority="52"
Name="Grid Table 7 Colorful Accent 3"/>
<w:LsdException Locked="false" Priority="46"
Name="Grid Table 1 Light Accent 4"/>
<w:LsdException Locked="false" Priority="47" Name="Grid Table 2 Accent 4"/>
<w:LsdException Locked="false" Priority="48" Name="Grid Table 3 Accent 4"/>
<w:LsdException Locked="false" Priority="49" Name="Grid Table 4 Accent 4"/>
<w:LsdException Locked="false" Priority="50" Name="Grid Table 5 Dark Accent 4"/>
<w:LsdException Locked="false" Priority="51"
Name="Grid Table 6 Colorful Accent 4"/>
<w:LsdException Locked="false" Priority="52"
Name="Grid Table 7 Colorful Accent 4"/>
<w:LsdException Locked="false" Priority="46"
Name="Grid Table 1 Light Accent 5"/>
<w:LsdException Locked="false" Priority="47" Name="Grid Table 2 Accent 5"/>
<w:LsdException Locked="false" Priority="48" Name="Grid Table 3 Accent 5"/>
<w:LsdException Locked="false" Priority="49" Name="Grid Table 4 Accent 5"/>
<w:LsdException Locked="false" Priority="50" Name="Grid Table 5 Dark Accent 5"/>
<w:LsdException Locked="false" Priority="51"
Name="Grid Table 6 Colorful Accent 5"/>
<w:LsdException Locked="false" Priority="52"
Name="Grid Table 7 Colorful Accent 5"/>
<w:LsdException Locked="false" Priority="46"
Name="Grid Table 1 Light Accent 6"/>
<w:LsdException Locked="false" Priority="47" Name="Grid Table 2 Accent 6"/>
<w:LsdException Locked="false" Priority="48" Name="Grid Table 3 Accent 6"/>
<w:LsdException Locked="false" Priority="49" Name="Grid Table 4 Accent 6"/>
<w:LsdException Locked="false" Priority="50" Name="Grid Table 5 Dark Accent 6"/>
<w:LsdException Locked="false" Priority="51"
Name="Grid Table 6 Colorful Accent 6"/>
<w:LsdException Locked="false" Priority="52"
Name="Grid Table 7 Colorful Accent 6"/>
<w:LsdException Locked="false" Priority="46" Name="List Table 1 Light"/>
<w:LsdException Locked="false" Priority="47" Name="List Table 2"/>
<w:LsdException Locked="false" Priority="48" Name="List Table 3"/>
<w:LsdException Locked="false" Priority="49" Name="List Table 4"/>
<w:LsdException Locked="false" Priority="50" Name="List Table 5 Dark"/>
<w:LsdException Locked="false" Priority="51" Name="List Table 6 Colorful"/>
<w:LsdException Locked="false" Priority="52" Name="List Table 7 Colorful"/>
<w:LsdException Locked="false" Priority="46"
Name="List Table 1 Light Accent 1"/>
<w:LsdException Locked="false" Priority="47" Name="List Table 2 Accent 1"/>
<w:LsdException Locked="false" Priority="48" Name="List Table 3 Accent 1"/>
<w:LsdException Locked="false" Priority="49" Name="List Table 4 Accent 1"/>
<w:LsdException Locked="false" Priority="50" Name="List Table 5 Dark Accent 1"/>
<w:LsdException Locked="false" Priority="51"
Name="List Table 6 Colorful Accent 1"/>
<w:LsdException Locked="false" Priority="52"
Name="List Table 7 Colorful Accent 1"/>
<w:LsdException Locked="false" Priority="46"
Name="List Table 1 Light Accent 2"/>
<w:LsdException Locked="false" Priority="47" Name="List Table 2 Accent 2"/>
<w:LsdException Locked="false" Priority="48" Name="List Table 3 Accent 2"/>
<w:LsdException Locked="false" Priority="49" Name="List Table 4 Accent 2"/>
<w:LsdException Locked="false" Priority="50" Name="List Table 5 Dark Accent 2"/>
<w:LsdException Locked="false" Priority="51"
Name="List Table 6 Colorful Accent 2"/>
<w:LsdException Locked="false" Priority="52"
Name="List Table 7 Colorful Accent 2"/>
<w:LsdException Locked="false" Priority="46"
Name="List Table 1 Light Accent 3"/>
<w:LsdException Locked="false" Priority="47" Name="List Table 2 Accent 3"/>
<w:LsdException Locked="false" Priority="48" Name="List Table 3 Accent 3"/>
<w:LsdException Locked="false" Priority="49" Name="List Table 4 Accent 3"/>
<w:LsdException Locked="false" Priority="50" Name="List Table 5 Dark Accent 3"/>
<w:LsdException Locked="false" Priority="51"
Name="List Table 6 Colorful Accent 3"/>
<w:LsdException Locked="false" Priority="52"
Name="List Table 7 Colorful Accent 3"/>
<w:LsdException Locked="false" Priority="46"
Name="List Table 1 Light Accent 4"/>
<w:LsdException Locked="false" Priority="47" Name="List Table 2 Accent 4"/>
<w:LsdException Locked="false" Priority="48" Name="List Table 3 Accent 4"/>
<w:LsdException Locked="false" Priority="49" Name="List Table 4 Accent 4"/>
<w:LsdException Locked="false" Priority="50" Name="List Table 5 Dark Accent 4"/>
<w:LsdException Locked="false" Priority="51"
Name="List Table 6 Colorful Accent 4"/>
<w:LsdException Locked="false" Priority="52"
Name="List Table 7 Colorful Accent 4"/>
<w:LsdException Locked="false" Priority="46"
Name="List Table 1 Light Accent 5"/>
<w:LsdException Locked="false" Priority="47" Name="List Table 2 Accent 5"/>
<w:LsdException Locked="false" Priority="48" Name="List Table 3 Accent 5"/>
<w:LsdException Locked="false" Priority="49" Name="List Table 4 Accent 5"/>
<w:LsdException Locked="false" Priority="50" Name="List Table 5 Dark Accent 5"/>
<w:LsdException Locked="false" Priority="51"
Name="List Table 6 Colorful Accent 5"/>
<w:LsdException Locked="false" Priority="52"
Name="List Table 7 Colorful Accent 5"/>
<w:LsdException Locked="false" Priority="46"
Name="List Table 1 Light Accent 6"/>
<w:LsdException Locked="false" Priority="47" Name="List Table 2 Accent 6"/>
<w:LsdException Locked="false" Priority="48" Name="List Table 3 Accent 6"/>
<w:LsdException Locked="false" Priority="49" Name="List Table 4 Accent 6"/>
<w:LsdException Locked="false" Priority="50" Name="List Table 5 Dark Accent 6"/>
<w:LsdException Locked="false" Priority="51"
Name="List Table 6 Colorful Accent 6"/>
<w:LsdException Locked="false" Priority="52"
Name="List Table 7 Colorful Accent 6"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Mention"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Smart Hyperlink"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Hashtag"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true"
Name="Unresolved Mention"/>
</w:LatentStyles>
</xml><![endif]-->
<style>
<!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;
mso-font-charset:0;
mso-generic-font-family:roman;
mso-font-pitch:variable;
mso-font-signature:3 0 0 0 1 0;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{mso-style-unhide:no;
mso-style-qformat:yes;
mso-style-parent:"";
margin:0cm;
margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:12.0pt;
font-family:"Times New Roman",serif;
mso-fareast-font-family:"Times New Roman";}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:#0563C1;
mso-themecolor:hyperlink;
text-decoration:underline;
text-underline:single;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-noshow:yes;
mso-style-priority:99;
color:#954F72;
mso-themecolor:followedhyperlink;
text-decoration:underline;
text-underline:single;}
.MsoChpDefault
{mso-style-type:export-only;
mso-default-props:yes;
font-family:"Calibri",sans-serif;
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-fareast-font-family:Calibri;
mso-fareast-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;
mso-fareast-language:EN-US;}
@page WordSection1
{size:595.0pt 842.0pt;
margin:36.0pt 36.0pt 36.0pt 36.0pt;
mso-header-margin:35.4pt;
mso-footer-margin:35.4pt;
mso-paper-source:0;}
div.WordSection1
{page:WordSection1;}
-->
</style>
<!--[if gte mso 10]>
<style>
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Tableau Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:12.0pt;
font-family:"Calibri",sans-serif;
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-fareast-language:EN-US;}
</style>
<![endif]-->
<!--StartFragment-->
<br />
<div class="MsoNormal" style="text-align: justify;">
Nous sommes en 2018. Fuites de données, attaques massives,
failles structurelles, le monde constate chaque jour un peu plus à quel point
la sécurité est un échec.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Un petit village gaulois en quête d’attention résiste encore
à l’évidence dans <a href="https://www.linkedin.com/pulse/diff-u-sstic2003-sstic2018-pourquoi-les-vieux-sont-encore-raynal/">cet
article</a> consacré à la conférence SSTIC 2018 (ainsi que l’édito du magazine
MISC qui s’en suit). Car en cette période de défiance envers les médias
institutionnels et les preuves scientifiques, le public affectionne la pensée
dissidente : elle a l’apparence de la sincérité.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Fin de l’histoire. Ou presque. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Je ne prends pas la plume pour lutter contre les #FakeNews. Je
ne prends pas la plume car <i style="mso-bidi-font-style: normal;">someone is
wrong on the Internet</i>. <span style="font-size: 12pt;">Je prends la plume pour me défendre contre les attaques </span><i style="font-size: 12pt;">ad hominem</i><span style="font-size: 12pt;"> dont je suis la cible.</span></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://imgs.xkcd.com/comics/duty_calls.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="330" data-original-width="300" height="320" src="https://imgs.xkcd.com/comics/duty_calls.png" width="290" /></a></div>
<blockquote class="tr_bq" style="text-align: justify;">
« <i style="mso-bidi-font-style: normal;">Ceux qui
soutiennent [que la sécurité est un échec] sont bien souvent des personnes qui
n’ont jamais essayé de construire quoi que ce soit, de développer un produit.</i> »</blockquote>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-size: 12pt;">Faut-il avoir tué quelqu’un pour être contre la guerre ?
Mme Michu n’est-elle pas légitime à se plaindre des lenteurs de son ordinateur
et du vol de ses mots de passe, sous prétexte qu’elle n’a jamais appris la
programmation ?</span></div>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Faut-il établir une échelle de valeurs ? Un éditeur de
produits de sécurité est-il plus légitime à s’exprimer sur la <i style="mso-bidi-font-style: normal;">cyber</i> qu’un <i style="mso-bidi-font-style: normal;">reverse-engineer</i> ?<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Ces arguments spécieux ne méritent pas qu’on s’attache plus longtemps à leur réfutation. Mais j’irai plus loin en affirmant que le
principal frein à l’amélioration du niveau de sécurité global est justement l’écosystème
de la sécurité (consultants, éditeurs de produits, et les conférences qu’ils
organisent).</div>
<blockquote class="tr_bq" style="text-align: justify;">
« <i style="mso-bidi-font-style: normal;">Qui vit de
combattre un ennemi a tout intérêt de le laisser en vie.</i> »</blockquote>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
La sécurité est un milieu hermétique, impénétrable au commun
des mortels, qui vit sur ses rites et ses codes – une conférence comme SSTIC en
étant la caricature. Le <i style="mso-bidi-font-style: normal;">reverse-engineering</i>
est la discipline reine, la sécurité JavaCard s’apparente à la fée Carabosse,
tandis que le juridique et l’analyse de risque ont été exclus de la famille. Sans
parler de la <i style="mso-bidi-font-style: normal;">privacy</i> ou des méthodes de
développement sécurisé, dont personne ne se soucie dans le sérail.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Les combats qui mèneront à la nobilité ont été figés par nos
aïeuls, et les experts en sécurité se doivent de consacrer leur énergie à des
sujets futiles tels que la longueur des mots de passe ou la sécurité des clés
USB (sujet récurrent du SSTIC s’il en est). Un travail bien dérisoire tandis
que la première cause d’intrusion reste le <i style="mso-bidi-font-style: normal;">phishing</i>
– sujet malheureusement beaucoup plus ardu et moins valorisant à traiter.
Heureusement, des professionnels de l’informatique (mais pas de la sécurité) s’y
attaquent via U2F et WebAuthn.</div>
<blockquote class="tr_bq" style="text-align: justify;">
« <i style="mso-bidi-font-style: normal;">Il n'est pas
de problème qu'une absence de solution ne finisse par résoudre</i><i style="mso-bidi-font-style: normal;"><span style="mso-fareast-font-family: "Times New Roman"; mso-fareast-theme-font: major-fareast;">.</span></i><span style="mso-fareast-font-family: "Times New Roman"; mso-fareast-theme-font: major-fareast;"> »</span></blockquote>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-size: 12pt;">Quant aux éditeurs de produits de sécurité, ils ne font qu’ajouter
de la complexité à l’écheveau logiciel. L’essence de la sécurité c’est la
simplification : moins de lignes de code, moins de dépendances tierce
partie, moins d’interfaces, moins de mots de passe. Rien de pire que d’interpréter
dans plusieurs logiciels différents un format de fichier ou une requête HTTP.</span></div>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Il y aurait beaucoup à dire sur la valeur des conseils
prodigués par les experts en sécurité – tels que d’utiliser plusieurs logiciels
antivirus différents au sein d’un même réseau – mais on me souffle que ce sujet
pourrait faire l’objet d’une conférence à SSTIC. C’est aussi là l’une des clés
du problème : les experts en sécurité sont bien trop fiers pour admettre
qu’ils ont tort (ou que le monde a changé). Ils sont incapables de tirer les
leçons de leurs échecs, comme le suggère pourtant l’article susmentionné. Félicitation à
<a href="https://gizmodo.com/the-guy-who-invented-those-annoying-password-rules-now-1797643987">Bill
Burr</a> pour avoir admis – à 73 ans – que la publication NIST 800-63 sur les
mots de passe était une erreur.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Pour toutes ces raisons, je suis intimement persuadé que la
sécurité est un échec. Et j’en ai eu la preuve récemment, car la sécurité n’est
pas un échec partout. Il existe des villages – certes pas gaulois – dans lesquels
tout logiciel non maitrisé est <a href="https://github.com/google/nsjail">isolé</a>.
Où le problème de la <a href="https://www.linux.com/news/linux-security-summit-videos">sécurité Linux</a>
est traité de manière systématique par des équipes constituées – pas des loups
solitaires plus connus pour leurs effusions sur Twitter que pour leur capacité
à soumettre du code dans le noyau. Où des efforts considérables sont déployés
dans les comités de standardisation pour résoudre de manière définitive le
problème du XSS en transformant HTML en un langage <a href="https://github.com/WICG/trusted-types/">fortement typé</a>. Et devinez
quoi : dans cette entreprise personne ne réclame le titre de RSSI.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Quelle est la différence avec bon nombre de présentations SSTIC ? Ce
sont des équipes, pas des héros. Ce qui permet aux projets de survivre au remplacement de tous les membres de l'équipe, tandis que la majorité des outils présentés à SSTIC entrent en déshérence le jour de leur publication. <span style="font-size: 12pt;">Le mythe du héros solitaire (si bien représenté
par le </span><i style="font-size: 12pt;">hacker</i><span style="font-size: 12pt;"> en </span><i style="font-size: 12pt;">hoodie</i><span style="font-size: 12pt;">, et perpétué par le challenge SSTIC) nous cause beaucoup de
tort aujourd’hui.</span></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Une autre différence ? Ce sont des ingénieurs en génie logiciel, pas des stars aux compétences limitées. Et
ils ne se définissent pas comme travaillant dans le <i style="mso-bidi-font-style: normal;">security circus</i> ...<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Alors, qu’est-ce qui a changé entre SSTIC 2003 et 2018 ?
Beaucoup de choses, à commencer par un renouvellement complet des générations. Selon
un sondage à main levée, il m’a semblé que plus de 90% de l’audience venait à
SSTIC pour la première fois. Et aucun des jeunes avec qui j’ai eu le privilège
de partager un instant social n’a jamais entendu parler de Frédéric Raynal,
Cédric Blancher, ou même Hervé Schauer.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Les vieilles légendes ont vécu. Il faut l’admettre, ou se
condamner à souffrir en s'appropriant la gloire de ce qui a été.</div>
<blockquote class="tr_bq" style="text-align: justify;">
« <i style="mso-bidi-font-style: normal;">Puisque ces
mystères nous dépassent, feignons d'en être l'organisateur.</i> »</blockquote>
newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com0tag:blogger.com,1999:blog-16926911.post-35240306777586659222017-10-30T09:23:00.000+01:002017-10-30T09:23:21.147+01:00Ma contribution au mois de la cybersécurité<div style="text-align: justify;">
Dans le cadre du <a href="https://www.ssi.gouv.fr/agence/cybersecurite/mois-de-la-cybersecurite-2017/">mois de la sécurité</a>, l'ANSSI met en avant son MOOC : la <a href="https://secnumacademie.gouv.fr/">SecNumAcadémie</a>. Il m'a semblé opportun de vous résumer les 2h48 que j'ai passées sur le premier module afin de vous épargner cette peine.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiGe50-OnXC5RqcuLSCk7TurnqSMQavbQ2FcziC_eEc9qUKtploHKN8rR-PGRdV5F_nK3eh1SYssbWi2xNJf2Wh4yJ6F9Q8nDBRjpOJjh_PpX7u_hpAp6lcmqGLjVzU1-XUudCd/s1600/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-07-09+a%25CC%2580+18.54.52.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="446" data-original-width="952" height="149" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiGe50-OnXC5RqcuLSCk7TurnqSMQavbQ2FcziC_eEc9qUKtploHKN8rR-PGRdV5F_nK3eh1SYssbWi2xNJf2Wh4yJ6F9Q8nDBRjpOJjh_PpX7u_hpAp6lcmqGLjVzU1-XUudCd/s320/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-07-09+a%25CC%2580+18.54.52.png" width="320" /></a></div>
<br /></div>
<div style="text-align: justify;">
Dans l'ensemble la réalisation technique est correcte, quoi qu'un peu répétitive après presque 3 heures. Quelques animations, et une sensation de progression (plutôt qu'une répétition de la même image d'accueil) auraient été les bienvenues.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Toutefois je n'ai pas pu m'empêcher de prendre la plume face à la tare rédhibitoire qui afflige ce MOOC : <i>il ne se destine absolument pas au grand public ; il est un pur instrument de politique interne à l'administration</i>.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
En effet, comment croire que je puisse recommander à mes proches un outil qui attaque bille en tête par le <a href="https://fr.wikipedia.org/wiki/R%C3%A9f%C3%A9rentiel_g%C3%A9n%C3%A9ral_de_s%C3%A9curit%C3%A9">RGS</a>, pour prendre ensuite soin d'énumérer exhaustivement tous les organes administratifs touchant de près ou de loin à la "cyberdéfense" en France (comme le CALID ou la DGSSI, totalement inconnus du grand public) ? Où sont les conseils pratiques qui vont parler à l'internaute moyen ?</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
L'autre point qui m'a choqué est le biais éminemment politique des messages prodigués. Certes la sécurité informatique n'est pas une science, mais dans le cas d'espèce, l'idéologie occulte parfois des réalités quantifiables. Par exemple, que penser de l'assertion ci-dessous ?</div>
<div style="text-align: justify;">
<br /></div>
<table border="0" cellpadding="5" cellspacing="0" style="text-align: justify;"><tbody>
<tr> <td valign="top" width="358"><div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiVQ4-UdZeS075r-xV40GlBTLp_k_MMoyx4rcLJwsvfWJmHS3H298fG5TPuj9JFL6dHtUF1yUCXWjSwE8MTtnzIbiw8D2SMoC-uVou1RCokK7yGYgyCKQ8N3QoX_JvV7hMc4ehU/s1600/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-06-22+a%25CC%2580+20.54.19.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1174" data-original-width="1600" height="146" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiVQ4-UdZeS075r-xV40GlBTLp_k_MMoyx4rcLJwsvfWJmHS3H298fG5TPuj9JFL6dHtUF1yUCXWjSwE8MTtnzIbiw8D2SMoC-uVou1RCokK7yGYgyCKQ8N3QoX_JvV7hMc4ehU/s200/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-06-22+a%25CC%2580+20.54.19.png" width="200" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
</td> <td valign="top" width="338"><br />
"<i>De nombreux états souhaitent contrôler les frontières du numérique pour des raisons de souveraineté nationale</i>".<br />
<br />
Au lieu d'une référence à "<i>Shaping the Internet in China</i>", il aurait peut-être fallu mentionner que <a href="https://fr.wikipedia.org/wiki/LICRA_contre_Yahoo!">la France est pionnière en la matière</a> … bien avant les délires "souverains" de ces dernières années.</td> </tr>
</tbody></table>
<h4 style="text-align: justify;">
Le Cloud</h4>
<div style="text-align: justify;">
Si j'ai bien compris le message de ce MOOC, l'administration ne croit plus à l'émergence d'un Cloud "souverain" et s'attache donc à dire pis que pendre de toute forme d'externalisation. Espérons qu'ils aient raison, sinon le rétropédalage sera compliqué …</div>
<div style="text-align: justify;">
<br /></div>
<table border="0" cellpadding="5" cellspacing="0" style="text-align: justify;"><tbody>
<tr> <td valign="top" width="348">"<i>Les sites hébergés en France sont plus dignes de confiance car de nombreuses lois vous garantissent la protection de vos données</i>" : que voilà une formulation vague et ambiguë !<br />
<br />
Aucune loi n'empêche le piratage de vos données chez un prestataire … qu'il soit en France ou ailleurs.<br />
<br />
Ah, et le domaine "secnumacademie.gouv.fr" résout en "178.32.43.203" chez moi, qui est une adresse située chez OVH … en Belgique.</td> <td valign="top" width="348"><div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj0urcI7Z9OQDxtE0i_QZg_wSlU9iy_RsGxEpojIURaBvBGurAnGUOrWqVhawFwW-OuH5FP8q4K2hZH7qwCauQtQt9mW3s_nh53cgEO8yHBJhn3Vu69rSTlVChnszog8VGK6OY1/s1600/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-06-22+a%25CC%2580+21.00.40.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1424" data-original-width="1600" height="177" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj0urcI7Z9OQDxtE0i_QZg_wSlU9iy_RsGxEpojIURaBvBGurAnGUOrWqVhawFwW-OuH5FP8q4K2hZH7qwCauQtQt9mW3s_nh53cgEO8yHBJhn3Vu69rSTlVChnszog8VGK6OY1/s200/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-06-22+a%25CC%2580+21.00.40.png" width="200" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
</td> </tr>
<tr> <td valign="top" width="348"><div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjBSWPi549NmgAoQOv5qXyn9Sp2Usj4P9kodCJ6QawBMrJF2mPT4zqgBCM9CnoTE82SwdFvu7G28VFVbgJUNuBgBptsbLtyMiSolJrV_cGUmG2actCOdKpnD2981QVusMtwFuRM/s1600/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-06-22+a%25CC%2580+21.00.52.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1421" data-original-width="1600" height="177" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjBSWPi549NmgAoQOv5qXyn9Sp2Usj4P9kodCJ6QawBMrJF2mPT4zqgBCM9CnoTE82SwdFvu7G28VFVbgJUNuBgBptsbLtyMiSolJrV_cGUmG2actCOdKpnD2981QVusMtwFuRM/s200/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-06-22+a%25CC%2580+21.00.52.png" width="200" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
</td> <td valign="top" width="348">Idem pour cette autre formule : "<i>un service gratuit ne vous apporte aucune garantie de service</i>".<br />
<br />
Les clients (commerciaux) du Cloud 2E2 ont appris à leurs dépens que payer ne vous apporte <a href="https://www.droit-technologie.org/actualites/cloud-la-perte-totale-des-donnees-est-possible-la-preuve-par-2e2-et-megauplaod/">guère plus de garanties</a> …<br />
<br />
Faut-il que j'arrête d'utiliser mon adresse email chez LaPoste.net car elle est gratuite ?</td> </tr>
<tr> <td valign="top" width="348">Une dernière à propos du Cloud et puis j'arrête.<br />
Sachez simplement que même si vous n'utilisez pas le "Cloud", vos données peuvent être perdues ou divulguées …<br />
<br />
Je serais curieux d'avoir des statistiques à ce sujet, mais je peux vous assurer qu'on perdait déjà des données bien avant l'invention du Cloud.</td> <td valign="top" width="348"><div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgOzp2HHOmT0KO9mbS0vxWDETlKi86DCKnWcrvbipj1u5fgup7TZzghpl4iuPxa5LAnlOxuxfLBr8WCCCoGzNB_Uly61lvJ1Nl-DTAhgYJluZ0YI4jcZ9pMIHE6IiWVH9JzuHHX/s1600/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-06-22+a%25CC%2580+21.01.44.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1109" data-original-width="1600" height="138" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgOzp2HHOmT0KO9mbS0vxWDETlKi86DCKnWcrvbipj1u5fgup7TZzghpl4iuPxa5LAnlOxuxfLBr8WCCCoGzNB_Uly61lvJ1Nl-DTAhgYJluZ0YI4jcZ9pMIHE6IiWVH9JzuHHX/s200/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-06-22+a%25CC%2580+21.01.44.png" width="200" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
</td> </tr>
</tbody></table>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Précisons au passage que la page de login du site "secnumacademie.gouv.fr" utilise Google Recaptcha. Mais je suppose que "le Web" n'est pas "le Cloud".</div>
<h4 style="text-align: justify;">
Les erreurs</h4>
<div style="text-align: justify;">
On peut comprendre que la position de l'ANSSI se doive d'être cohérente avec celle de l'ENISA … d'ailleurs le MOOC va jusqu'à reprendre <a href="https://www.enisa.europa.eu/media/multimedia/material/illustrations-fr">certaines illustrations publiées par l'ENISA</a>. Mais du consensus naquit la vulnérabilité …</div>
<div style="text-align: justify;">
<br /></div>
<table border="0" cellpadding="5" cellspacing="0" style="text-align: justify;"><tbody>
<tr> <td valign="top" width="348"><div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQ3p2V3Hi_s0R14Rrv_2MHI2bHxD-jX7OBxDYFEbxvwcxXErk469g3KSUdN1cllprPL5cKFFfSmNmvSZu3CCnSUAdTsQ6PfxeBV5l8UVSknotWAf2ADhJ8Op7DCXrNaY2YWezA/s1600/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-07-02+a%25CC%2580+22.34.16.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1292" data-original-width="1600" height="161" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQ3p2V3Hi_s0R14Rrv_2MHI2bHxD-jX7OBxDYFEbxvwcxXErk469g3KSUdN1cllprPL5cKFFfSmNmvSZu3CCnSUAdTsQ6PfxeBV5l8UVSknotWAf2ADhJ8Op7DCXrNaY2YWezA/s200/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-07-02+a%25CC%2580+22.34.16.png" width="200" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
</td> <td valign="top" width="348">Le choix d'un mot de passe : un grand classique. Outre le fait que cette recommandation ne pourra pas s'appliquer à tous les sites (voir <a href="https://twitter.com/pwtoostrong">@pwtoostrong</a> et <a href="https://twitter.com/badpasswordrule">@badpasswordrule</a> à ce sujet), elle est malheureusement l'opinion d'un seul homme … qui <a href="https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118">regrette désormais d'avoir donné ce mauvais conseil</a>.<br />
<br />
Votre seul espoir : des mots de passe aléatoires, un <i>password manager</i>, et de l'authentification à deux facteurs partout où c'est possible.</td> </tr>
</tbody></table>
<h4 style="text-align: justify;">
Les trolls</h4>
<div style="text-align: justify;">
Pour conclure, quelques captures d'écran "amusantes" dans le contexte.</div>
<div style="text-align: justify;">
<br /></div>
<table border="0" cellpadding="5" cellspacing="0" style="text-align: justify;"><tbody>
<tr> <td valign="top" width="341"><div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiCahFXEb0BXvvTA0YAGdZcm1pLWkthQPZqSCBuHqYFwKGLIEBrO09Au21sXoIMQUteghNMVSB9xYuwm2aP6s57685mYYR62BLfyvza1cOgx5R4cJeHWCt4Qjf3PA55WeDgn1ub/s1600/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-06-22+a%25CC%2580+20.55.46.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1338" data-original-width="1600" height="166" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiCahFXEb0BXvvTA0YAGdZcm1pLWkthQPZqSCBuHqYFwKGLIEBrO09Au21sXoIMQUteghNMVSB9xYuwm2aP6s57685mYYR62BLfyvza1cOgx5R4cJeHWCt4Qjf3PA55WeDgn1ub/s200/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-06-22+a%25CC%2580+20.55.46.png" width="200" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
</td> <td valign="top" width="356"><br />
Pas sûr qu'il soit opportun d'utiliser <a href="http://map.norsecorp.com/#/">la carte de NorseCorp</a> pour illustrer les attaques sur Internet, alors que cette société est <a href="https://krebsonsecurity.com/2016/01/sources-security-firm-norse-corp-imploding/">en pleine tourmente</a> …</td> </tr>
<tr> <td valign="top" width="341"><br />
Apparemment on manque d'équipements "souverains", puisque le même téléphone est réutilisé 6 fois en illustration …</td> <td valign="top" width="356"><div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjeGZzGVW6XTeNi4RLc67MB5MOXHMXQRSFveKA7AS3GAjp80_ZxkhNv_l14gCESUQHFCqp01IYbkurvp7FBgQXrArsVyqfZLBuwiT4QYEbjEunhhPp7WFJSup5kSQxQP6FFMN9u/s1600/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-07-02+a%25CC%2580+22.09.42.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1333" data-original-width="1600" height="166" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjeGZzGVW6XTeNi4RLc67MB5MOXHMXQRSFveKA7AS3GAjp80_ZxkhNv_l14gCESUQHFCqp01IYbkurvp7FBgQXrArsVyqfZLBuwiT4QYEbjEunhhPp7WFJSup5kSQxQP6FFMN9u/s200/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-07-02+a%25CC%2580+22.09.42.png" width="200" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
</td> </tr>
<tr> <td valign="top" width="341"><div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgbPv85tASFqSG5W2iLlibaEQcRmMm-FxZbChzPI5KNxqcZA65AzWpmdyUcMqX2s28mANp0fecBEDCKgaKAEgeK9olFNCwSSq9vYiltjPVt9Jfvf41L7fBR8joS7w-JKKaaD9X0/s1600/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-07-02+a%25CC%2580+22.08.51.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="804" data-original-width="1350" height="118" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgbPv85tASFqSG5W2iLlibaEQcRmMm-FxZbChzPI5KNxqcZA65AzWpmdyUcMqX2s28mANp0fecBEDCKgaKAEgeK9olFNCwSSq9vYiltjPVt9Jfvf41L7fBR8joS7w-JKKaaD9X0/s200/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-07-02+a%25CC%2580+22.08.51.png" width="200" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
</td> <td valign="top" width="356"><br />
Cette image pourrait laisser penser qu'il y a plus de femmes et de professionnels dans la ROC que dans la RCC … En pratique c'est pourtant l'inverse : la <a href="https://fr.wikipedia.org/wiki/R%C3%A9serve_op%C3%A9rationnelle_de_cyberd%C3%A9fense">réserve opérationnelle</a> comprend essentiellement des étudiants, tandis que la <a href="https://fr.wikipedia.org/wiki/R%C3%A9serve_citoyenne_cyberd%C3%A9fense">réserve citoyenne</a> est un <i>think tank</i>.</td> </tr>
<tr> <td valign="top" width="341"><br />
Mais pourquoi avoir choisi tv.freebox.fr comme exemple de site rendu indisponible, alors qu'il est fermé par son propriétaire depuis 2011 ?<br />
<br />
S'agit-il simplement d'un clipart récupéré dans <a href="http://www.clubic.com/connexion-internet/fai-free-box-freebox/actualite-394464-free-fin-service-freebox-fr-web.html">cet article</a> ? J'espère que Clubic a donné son accord.</td> <td valign="top" width="356"><div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg_EhvcGmQ4DjhFvQMxv9sWRK2z4vcC7nbpONST1pelneUkO6QXO8WDe2tTWCYl_3h-S7c1NAvjF5o_ANwSk39memFVAZYoFDjyRuOQXJjVQongGylqbItIZkF-O_GQl1V8yWfU/s1600/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-07-09+a%25CC%2580+18.36.35.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1364" data-original-width="898" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg_EhvcGmQ4DjhFvQMxv9sWRK2z4vcC7nbpONST1pelneUkO6QXO8WDe2tTWCYl_3h-S7c1NAvjF5o_ANwSk39memFVAZYoFDjyRuOQXJjVQongGylqbItIZkF-O_GQl1V8yWfU/s200/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-07-09+a%25CC%2580+18.36.35.png" width="131" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
</td> </tr>
<tr> <td valign="top" width="341"><div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh3FFNw88E73yzVAKqIFEKhXlIXCmcbAZhBR2M0VERxVdx5G2TCHSV9BTwH7yKuZzJR44XGu48p0ny2j9ycLHzpX2HEw7yN0W18ZNk6d5VlxUcl7yTKj13bJl4Yzeqh1Yay0gDm/s1600/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-07-09+a%25CC%2580+18.46.36.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="962" data-original-width="756" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh3FFNw88E73yzVAKqIFEKhXlIXCmcbAZhBR2M0VERxVdx5G2TCHSV9BTwH7yKuZzJR44XGu48p0ny2j9ycLHzpX2HEw7yN0W18ZNk6d5VlxUcl7yTKj13bJl4Yzeqh1Yay0gDm/s200/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-07-09+a%25CC%2580+18.46.36.png" width="156" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
</td> <td valign="top" width="356"><br />
Je me demande bien quelle est cette entreprise dans laquelle on doit payer ses croissants ?</td> </tr>
<tr> <td valign="top" width="341"><br />
Ah, le bon vieux coup du cadenas vert. Il faut pourtant que je vous dise qu'il n'existe pas sur mobiles, et qu'il va bientôt disparaître sur PC …</td> <td valign="top" width="356"><div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh5K1HedHQ9b2HTkDmSTzy1ddSbiD__-YtiUtuS4vhnicfBj4Xw4qRbyyVvY8bTDZucYW-JIzbnY_JLf-YSVLGlO96XwDdWTuXAm_OLM5DGLp_3AhdgLlLHBIkX7z4ZG1DA6j_6/s1600/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-07-03+a%25CC%2580+06.53.19.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1000" data-original-width="1600" height="125" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh5K1HedHQ9b2HTkDmSTzy1ddSbiD__-YtiUtuS4vhnicfBj4Xw4qRbyyVvY8bTDZucYW-JIzbnY_JLf-YSVLGlO96XwDdWTuXAm_OLM5DGLp_3AhdgLlLHBIkX7z4ZG1DA6j_6/s200/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-07-03+a%25CC%2580+06.53.19.png" width="200" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
</td> </tr>
<tr> <td valign="top" width="341"><div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg7t20Xyxflg29mIWVYH_s2gZw4ofFhTiJM9YQWRTWiZtBWxqLrj10ewz-Hm605XXU-zuKKQZZ6yXhr1xiKPLOBqpfXw20x-a19bOqjOs2lSNCEUnlYjXbyBcNa9lmXgGhhRX9y/s1600/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-07-03+a%25CC%2580+06.44.21.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1105" data-original-width="1600" height="138" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg7t20Xyxflg29mIWVYH_s2gZw4ofFhTiJM9YQWRTWiZtBWxqLrj10ewz-Hm605XXU-zuKKQZZ6yXhr1xiKPLOBqpfXw20x-a19bOqjOs2lSNCEUnlYjXbyBcNa9lmXgGhhRX9y/s200/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-07-03+a%25CC%2580+06.44.21.png" width="200" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
</td> <td valign="top" width="356"><br />
Oh, la publicité déguisée pour GMail ;)</td> </tr>
<tr> <td valign="top" width="341"><br />
Internet Explorer en prend pour son grade …<br />
<br />
J'espère que le logo a été utilisé avec permission !</td> <td valign="top" width="356"><div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgpGWWBLWXRQmGMhFjTJ3UnZKEY7GV2ZLirhCoRHaCTk22Od9T1dLZg26u0yUOlCk0sggJ0o-Z45Doc-Uy_YISUyDDccY6lShtClt3I69Eg7GL9v5A2AW8QslOWavgFjUqiMNhk/s1600/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-07-02+a%25CC%2580+22.38.25.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1232" data-original-width="1600" height="153" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgpGWWBLWXRQmGMhFjTJ3UnZKEY7GV2ZLirhCoRHaCTk22Od9T1dLZg26u0yUOlCk0sggJ0o-Z45Doc-Uy_YISUyDDccY6lShtClt3I69Eg7GL9v5A2AW8QslOWavgFjUqiMNhk/s200/Capture+d%25E2%2580%2599e%25CC%2581cran+2017-07-02+a%25CC%2580+22.38.25.png" width="200" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
</td> </tr>
</tbody></table>
<h4 style="text-align: justify;">
Conclusion</h4>
<div style="text-align: justify;">
Pour ceux qui ont fait défiler cet article jusqu'à la fin sans le lire, il me semble opportun de réitérer ma conclusion : cette formation extrêmement longue (compter 3 à 4 heures pour aller au bout du premier module si vous n'êtes pas de la profession) sert essentiellement de publicité à ses auteurs.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Elle sera probablement imposée aux agents de l'administration ayant à traiter des problèmes de sécurité informatique (bon courage à eux !), mais en aucun cas elle ne "<a href="https://www.ssi.gouv.fr/entreprise/formations/secnumacademie/"><i>s’adapte aux besoins de différents publics, non experts, en proposant des contenus pédagogiques</i></a>". Etudiants, particuliers et patrons de PME risquent forts d'être découragés par la surreprésentation des considérations administratives et réglementaires dans ce MOOC !</div>
newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com3tag:blogger.com,1999:blog-16926911.post-1120499557097329402017-06-12T13:46:00.001+02:002017-06-12T14:24:38.697+02:00Un compte rendu alternatif du SSTIC 2017<div align="justify">
Le <a href="https://www.sstic.org/2017/">SSTIC 2017</a> vient de se terminer. Comme chaque année depuis 15 ans, cet événement confirme sa place centrale dans l’écosystème de la cybersécurité française – aussi bien par la qualité des échanges entre les participants que par la fluidité d’une organisation bien rôdée.<br />
<br /></div>
<div align="justify">
Vous trouverez le compte-rendu technique des différentes présentations chez n0secure [<a href="http://www.n0secure.org/2017/06/sstic-2017-j1.html">J1</a>][<a href="http://www.n0secure.org/2017/06/sstic-2017-j2.html">J2</a>][<a href="http://www.n0secure.org/2017/06/sstic-2017-j3.html">J3</a>] ou Xavier Mertens [<a href="https://blog.rootshell.be/2017/06/08/sstic-2017-wrap-day-1/">J1</a>][<a href="https://blog.rootshell.be/2017/06/09/sstic-2017-wrap-day-2/">J2</a>][<a href="https://blog.rootshell.be/2017/06/09/sstic-2017-wrap-day-3/">J3</a>]. En ce qui me concerne, j’ai souhaité vous faire partager un point de vue avec un peu plus de recul sur cet événement.</div>
<h1 align="justify">
L’ANSSTIC</h1>
<div align="justify">
Dès la première matinée, on comprend que le SSTIC est devenu un événement politique interne de l’ANSSI (et dans une moindre mesure de la DGA-MI) – avec 4 présentations qui s’enchaînent.<br />
<br /></div>
<div align="justify">
On m’objectera que les agents de l’ANSSI sont les seuls à soumettre des papiers, ce qui explique leur surreprésentation. De mémoire cette année il y a eu ~35 soumissions pour ~25 créneaux de présentation, ce qui ne permet effectivement pas au processus de sélection de jouer à plein. <br />
<br /></div>
<div align="justify">
J’ai bien une explication à ce faible nombre de soumissions tierces. En 2003 le SSTIC était une conférence technique d’excellence, unique dans le paysage français et rare dans le paysage international. En 2017, le monde a changé ; force est de constater que soumettre à SSTIC ne présente plus aucun intérêt pour le commun des mortels.</div>
<ul>
<li> <div align="justify">
Le (long) processus de soumission et d’édition des actes n’est pas compatible avec le rythme médiatique ; seuls de travaux de recherche très amont (comprendre : très théoriques) peuvent s’accommoder d’un tel cycle. D’où le décalage notable entre les présentations retenues et les attentes des participants. Franchement, à quoi peut bien servir un <em>parser</em> de fichiers PDF écrit en OCaml dans le travail quotidien d’un industriel ? (<a href="https://twitter.com/H_Miser/status/872472939584684032">Réponse</a>).</div>
</li>
<li> <div align="justify">
La couverture médiatique nationale est nulle (à l’exception de <a href="http://www.ouest-france.fr/bretagne/rennes-35000/couvent-jacobins-centre-congres/une-opportunite-pour-grandir-5041866">cet article dans Ouest France</a>). Je ne parle même pas de la couverture internationale puisque SSTIC doit être l’un des derniers événements majeurs à se tenir dans la langue vernaculaire de ses hôtes.</div>
</li>
</ul>
<div align="justify">
Le SSTIC permettait auparavant à de jeunes consultants isolés en SSII de mettre en avant leurs découvertes et de rencontrer leurs pairs. Intervenir à SSTIC leur permettait de se faire connaître, voire d’être recruté dans des institutions où ils pourraient épanouir leurs talents. Cette mission n’est plus ; aujourd’hui le SSTIC sert essentiellement de piédestal aux différents bureaux de l’ANSSI afin qu’ils puissent se comparer entre eux (et je ne parle pas seulement de Rust vs. OCaml).<br />
<br /></div>
<div align="justify">
Le point d’orgue de cette compétition stérile fût probablement la conférence de clôture à propos de la compromission de TV5 Monde. Louons l’effort de mise en scène qui nous donnait l’impression d’être dans un film d’espionnage (« merci de ne pas divulguer l’identité des intervenants, nos agents risquent leur vie »). Mais au final, cette présentation ne fût que le rappel de quelques conseils de base sur les mots de passe par défaut, les dangers d’un réseau « à plat », etc.<br />
<br /></div>
<div align="justify">
Aucune mention des techniques d’attribution utilisées pour <a href="http://www.lemonde.fr/pixels/article/2015/06/09/piratage-de-tv5-monde-l-enquete-s-oriente-vers-la-piste-russe_4650632_4408996.html">incriminer les Russes</a>, l’utilisation d’outils de <em>forensics</em> et de reconstruction Active Directory qui ne seront probablement jamais publiés ; bref, rien <em>d’actionable</em> pour les participants.<br />
<br /></div>
<div align="justify">
Par ailleurs les quelques CERTs privés avec lesquels j’ai eu l’occasion de discuter attendent toujours de disposer des IOCs liés à cette attaque – qui n’ont apparemment été distribués … qu’aux journalistes ! Quand on compare aux rapports étrangers publiés après la compromission de <a href="https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/rapporten/2012/08/13/black-tulip-update/black-tulip-update.pdf">Diginotar</a> ou plus récemment <a href="https://www.melani.admin.ch/dam/melani/fr/dokumente/2016/technical%20report%20ruag.pdf.download.pdf/Report_Ruag-Espionage-Case.pdf">RUAG</a>, on mesure le chemin qui reste à parcourir avant de disposer de véritables retours d’expérience en France …<br />
<br /></div>
<div align="justify">
Il va être difficile pour le secteur privé de monter en puissance tant qu’il reste infantilisé par les autorités. </div>
<h1 align="justify">
Le contenu</h1>
<div align="justify">
Le programme de l’événement peut lui aussi surprendre ; par exemple le fait de constater que plusieurs présentations de l’ANSSI étaient dédiées au <em>parsing</em> de fichiers PDF avec des outils et des langages différents …<br />
<br /></div>
<div align="justify">
Cet état de fait est symptomatique d’une tare plus générale : la recherche en sécurité – au moins en France – reste au point mort depuis des années. La cause en est que la sécurité ne se conçoit pas comme une science qui avance au rythme de l’innovation incrémentale, mais comme un <em>one-man show</em>. En clair, il est plus prestigieux de lancer « son » nouvel outil que d’améliorer à la marge l’existant.<br />
<br /></div>
<div align="justify">
Les exemples sont légions ; je pense par exemple à la présentation sur la <a href="https://www.sstic.org/2017/presentation/le_machine_learning_confront_aux_contraintes_oprationnelles_des_systmes_de_dtection/">détection de PDFs malveillants</a> par « <em>machine learning</em> ». Sauf erreur de ma part, <a href="https://github.com/anssi-fr/secuml">l’outil publié</a> extrait un vecteur de caractéristiques (ex. présence du mot-clé « OpenAction ») qui est ensuite passé à un outil de classification. Comme je l’ai mentionné en séance, j’ai du mal à voir la différence avec le <a href="https://github.com/armadito/armadito-mod-pdf">module PDF</a> de « l’antivirus français » (Armadito) – ou le module <a href="https://github.com/gdelugre/origami/blob/master/bin/pdfcop">pdfcop</a> de l’outil Origami PDF publié à … SSTIC 2009 ! Le plus grave dans l’affaire étant que les intervenants semblaient sincèrement surpris par ma question, et n’avaient pas connaissance de tous ces travaux antérieurs (leur <a href="https://www.sstic.org/media/SSTIC2017/SSTIC-actes/le_machine_learning_confront_aux_contraintes_oprat/SSTIC2017-Article-le_machine_learning_confront_aux_contraintes_oprationnelles_des_systmes_de_dtection-bonneton_husson.pdf">papier</a> ne contient que des références académiques de type IEEE ou ACM).<br />
<br /></div>
<div align="justify">
Le plus triste est probablement la liste des occasions manquées – c’est-à-dire des présentations que personne n’a soumis. Rien sur <em>l’Immutable Infrastructure</em> (alors que <a href="https://msdn.microsoft.com/en-us/powershell/dsc/overview">Desired State Configuration</a> pourrait trouver sa place dans la liste des outils de sécurité Windows), rien sur le Cloud, aucune conférence sérieuse sur le Machine Learning appliqué à la sécurité … bref, on tourne toujours sur les mêmes recettes.<br />
<br /></div>
<div align="justify">
A contrario, le nombre de présentations sur le <em>Reverse Engineering</em> semble disproportionné dans un monde où même Microsoft embrasse l’Open Source avec vigueur.</div>
<h1 align="justify">
Le désespoir</h1>
<div align="justify">
Enfin, le point qui me choque le plus est probablement le désespoir – ou le cynisme – qui frappe la profession. Payé pour donner son avis à longueur de temps sur des projets en perdition, ou rafistoler des infrastructures entièrement compromises, le consultant en sécurité vieillit mal.<br />
<br /></div>
<div align="justify">
On me reprochera certainement de donner un avis un peu trop cru – que ce soit au micro ou dans mes billets. Mais j’ai le bon goût de le faire publiquement, ce qui permet aux personnes concernées de se défendre. J’avoue que le niveau de persiflage que j’ai pu entendre dans les couloirs du SSTIC me laisse pantois. Les <em>hackers</em> avaient l’image d’une communauté soudée qui tirent les nouveaux vers le haut et ne basent leurs jugements que sur des faits techniques. La communauté moderne de la cybersécurité n’ira nulle part si elle se construit sur la rancœur et le cynisme. Ce mal est probablement le fondement des tous les échecs en sécurité ; mes récentes expériences avec le monde des développeurs m’ont appris combien l’image des experts en sécurité avait été écornée par cette attitude nihiliste.<br />
<br /></div>
<div align="justify">
En ce qui me concerne, soyez rassuré : je n’ai jamais critiqué personne sans m’assurer que mes griefs circonstanciés lui soient transmis. J’espère que vous en ferez autant les uns envers les autres. </div>
newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com17tag:blogger.com,1999:blog-16926911.post-78214924948398573962016-06-20T09:12:00.001+02:002016-06-20T22:19:32.724+02:00Le gâchis<b></b><br />
<div align="justify">
Enfin ! Après 4 ans de travail et 5M€ de financement public, le projet d’antivirus « souverain » vient d’être publié sur <a href="https://github.com/armadito">GitHub</a>.</div>
<div align="justify">
Initialement connu sous le nom de <a href="http://www.davfi.fr/">DAVFI</a> (Démonstrateurs d'AntiVirus Français et Internationaux), puis <a href="http://uhuru-am.com/fr/">Uhuru Anti Malware</a> (marque commerciale), le projet Open Source s’appelle désormais <a href="https://github.com/armadito">Armadito</a> – est-ce un clin d’œil à la protection logicielle bien connue - mais désormais obsolète - « Armadillo » ?</div>
<h1>
Histoire</h1>
<div align="justify">
L’histoire de ce projet est controversée. Comme toute initiative dont la nationalité est la seule raison d’être, elle fut vertement critiquée à ses débuts. Et comme toutes les initiatives comparables, la malédiction n’a pas tardé à s’abattre : après avoir initié le développement du projet, puis transféré l’industrialisation (ainsi qu’un « <a href="https://www.esiea.fr/fin-bilan-du-projet-davfi/">personnel administratif senior</a> » – en l’occurrence sa femme) au consortium porté par Nov’IT, M. Filiol a subitement fait volte-face et lâché ses chiens contre le projet Uhuru – allant même jusqu’à annoncer un « fork » Open Source sous le d’<a href="https://sites.google.com/site/ericfiliol/opendavfi-project">OpenDAVFI</a> (dont on attend toujours la publication promise).</div>
<div align="justify">
Ce drame franco-français n’est pas sans rappeler la mésaventure du « Cloud souverain », assez rapidement scindé en deux projets aussi infructueux l’un que l’autre. La dissension ne conduit généralement qu’au saupoudrage d’argent public.</div>
<div align="justify">
Le divorce des « antivirus souverains » semble avoir été particulièrement douloureux, à en juger par les billets publiés sur le blog (payant) SecuriteOff : « <a href="http://www.securiteoff.org/uhuru-antimalware/">Uhuru antimalware, a French deception</a> » et « <a href="http://www.securiteoff.com/produit/les-antivirus-uhuru-la-grande-mystification/">Les antivirus Uhuru, la grande mystification</a> ». A contrario, le seul article positif – « <a href="http://www.securiteoff.com/fin-bilan-du-projet-davfi/">Fin et bilan du projet DAVFI</a> » - <strike>a disparu d’Internet</strike> (puisque le site n’autorise <a href="http://www.securiteoff.com/robots.txt">aucune indexation</a> ni archivage de son contenu – à se demander qui sont ses lecteurs).</div>
<div align="justify">
<br /></div>
<div align="justify">
<i>EDIT: l'article est toujours disponible <a href="http://www.securiteoff.com/fin-et-bilan-du-projet-davfi/">à cette adresse</a>. L'éditeur n'a pas jugé utile de rediriger les favoris antérieurs à la refonte du site (circa septembre 2015).</i></div>
<h1>
Technique</h1>
<div align="justify">
Il serait loisible mais peu charitable de se gausser des errements techniques du projet. Après tout nul n’est à l’abri d’une erreur d’implémentation.</div>
<div align="justify">
Certes la librairie de « chiffrement » <a href="https://code.google.com/archive/p/libperseus/">Perseus</a> – censée protéger les SMS sur la version « Android » du projet – est régulièrement la risée des participants à la conférence SSTIC [<a href="https://twitter.com/sebdraven/status/474587561982058496">2014</a>][<a href="https://twitter.com/doegox/status/607902313500401664">2015</a>]. Le plus grave dans ces failles n’étant pas les détails d’implémentation, mais la méconnaissance répétée des mécanismes de génération d’aléa par son auteur ; pourtant l’un des fondamentaux de la cryptologie.</div>
<div align="justify">
Certes la version « Android » du projet, publiée en 2014, a été immédiatement « cassée » de <a href="http://esec-lab.sogeti.com/posts/2014/03/19/a-quick-security-review-of-the-uhuru-mobile-demo-rom.html">manière triviale</a> : il était possible d’exécuter des commandes shell depuis la mire de démarrage du téléphone. Le plus grave a probablement été la réaction du projet, consistant à éditer agressivement la page <a href="https://fr.wikipedia.org/wiki/Uhuru_(antivirus)">Wikipedia</a> dans une tentative désespérée de damage control.</div>
<div align="justify">
Certes la version « Windows », récemment libérée sur GitHub, souffre de failles énormes – pour la plupart présentées lors <a href="http://www.rump.beer/category/programme.html">BeeRump 2016</a> et dont j’espère la publication prochaine. Certains esprits taquins s’en sont même amusés <a href="http://0day.today/exploits/25451">publiquement</a>. A cette liste s’ajoute la détection de codes malveillants dans les fichiers PDF par la recherche de <a href="https://github.com/armadito/armadito-pdf/blob/f111cc8470ffc55afdb1bc94bd75bba8004375cb/lib/src/pdfObjectsAnalysis.c#L1126">motifs triviaux</a>, ou l’incapacité totale à <a href="https://github.com/armadito/armadito-av/blob/0bd9431b8914fcb57098f94169b84305b16bf9a7/modules/moduleH1/src/lib/src/h1-static.c#L94">analyser des exécutables « .NET »</a>.</div>
<div align="justify">
L’essentiel des heuristiques « avancées » issues de la recherche en virologie consiste à comparer la liste des sections et des imports du fichier exécutable avec une base de référence, comprenant des fichiers « sains » et des fichiers « malveillants ». Il serait possible de se livrer à une analyse critique sur la méthode de calcul utilisée – et surtout l’importance de la base de référence – mais il s’agit d’un domaine technique ennuyeux pour le lectorat, qui est invité à chercher « import hash » dans son moteur favori (ou dépenser <a href="https://link.springer.com/article/10.1007/s11416-015-0259-6">35€ chez Springer</a>).</div>
<div align="justify">
Le véritable problème de cette heuristique, c’est qu’elle détecte plusieurs composants critiques du système Windows lui-même comme malveillants. Ce qui pose la question du contrôle qualité chez l’éditeur – le faux positif étant un événement essentiellement <a href="https://en.wikipedia.org/wiki/Antivirus_software#Problems_caused_by_false_positives">catastrophique</a>.</div>
<h1>
Perspectives</h1>
<div align="justify">
Au-delà de l’idée assez classique des « import hash », le projet Armadito échoue à innover dans le domaine de la virologie opérationnelle.</div>
<div align="justify">
Le principal reproche qu’on peut faire aux logiciels actuels est certainement l’accroissement de la surface d’attaque due aux nombreux parsers – qui ne sont malheureusement ni sandboxés, ni écrits en OCaml. Ce point est régulièrement mis en exergue par les travaux de <a href="https://bugs.chromium.org/p/project-zero/issues/list?can=1&q=reporter%3Ataviso%40google.com+&colspec=ID+Type+Status+Priority+Milestone+Owner+Summary&cells=ids">Tavis Ormandy</a>.</div>
<div align="justify">
Un moteur d’analyse conçu pour résister à ses propres défauts – par exemple une sandbox pour ClamAV – eut été un apport non négligeable à l’état de l’art, directement utilisable par la communauté. Au lieu de cela, les premiers tests de fuzzing semblent montrer une extrême fragilité du parser PDF – entièrement implémenté en C.</div>
<div align="justify">
Parmi les autres idées dont on aurait pu se plaire à rêver, citons :</div>
<ul>
<li> <div align="justify">
La capacité à autoriser ou bloquer des processus selon des critères personnalisés, tels qu’une signature Authenticode (à la Bit9) ou une signature YARA - la fonctionnalité AppLocker offerte nativement par Windows étant bien trop limitée de ce point de vue.</div>
</li>
<li> <div align="justify">
La capacité à journaliser et remonter en temps réel l’activité des processus sur une machine.</div>
</li>
<li> <div align="justify">
Une API ouverte permettant d’interagir avec le moteur d’analyse, par exemple pour réaliser un hunt dans un parc étendu. L’intégration de cette API dans des outils standards tels que PowerShell serait un plus.</div>
</li>
<li> <div align="justify">
Un kit de développement permettant l’extension du moteur avec des greffons – bien entendu sandboxés (à la Nessus, avec son langage NASL). Ceci permettrait également de créer une communauté autour du produit ; voire de pérenniser l’activité en commercialisant les greffons les plus complexes.</div>
</li>
<li> <div align="justify">
Le support de vecteurs dangereux et peu analysés pour le moment, tels que les scripts PowerShell ou les macros Office.</div>
</li>
</ul>
<div align="justify">
Je n’aborde pas la question des signatures ; elle est à mon sens anecdotique. Les outils existants échouent systématiquement à détecter le dernier ransomware ou la dernière APT ; un modèle de sécurité basé sur des signatures (liste noire) est voué à l’échec face à des attaquants déterminés.</div>
<h1>
Conclusion</h1>
<div align="justify">
Confier le développement d’un logiciel – qui plus est de sécurité – à une armée mexicaine en partie composée de stagiaires et de thésards, n’ayant aucune expérience antérieure dans l’édition logicielle – ni la sécurité, ni aucune connaissance opérationnelle du monde de l’entreprise, sur la base de quelques travaux académiques à l’applicabilité douteuse : quelqu’un y croyait-il sérieusement ?</div>
<div align="justify">
La seule explication rationnelle à l'existence de ce projet n'est probablement pas à chercher du côté de l'avancement de la science.</div>
newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com13tag:blogger.com,1999:blog-16926911.post-19968722510687605172015-10-05T09:47:00.001+02:002015-10-06T09:50:32.646+02:00Etat de l’Art<div align="justify">
Cette année encore, il m'a été donné d'assister à l'évènement professionnel majeur de la sécurité informatique française, à savoir <a href="https://www.lesassisesdelasecurite.com/">les Assises de la Sécurité</a>.<br />
<br /></div>
<div align="justify">
Je n'ai pas l'intention d'en produire un compte-rendu circonstancié ; d'autres s'en chargeront mieux que moi. J'ai plutôt l'intention de revenir sur un sentiment diffus parmi les barbus du domaine: <em>plus les choses changent, plus elles restent les mêmes</em>.</div>
<h2 align="justify">
Retour sur une <em>keynote</em></h2>
<div align="justify">
La seule conférence digne d'intérêt est la désormais traditionnelle <em>keynote</em> de l'ANSSI. Sans nier la qualité des autres "ateliers" – tantôt distrayant, tantôt édifiant – ils relèvent plus de l'anecdote quand il ne s'agit pas purement et simplement d'un <em>vendor pitch</em>. A contrario, l'ANSSI est probablement la seule institution qui dispose d'un <strong>plan</strong>. C'est la seule à pouvoir faire référence à ses interventions passées – réalisant un point d'étape sur différents sujets tels que la labellisation ou la législation. Tous les autres acteurs sont ballotés au gré des modes.<br />
<br /></div>
<div align="justify">
<span style="font-size: x-small;">(Car la sécurité est une vraie victime de la mode. Cette année, exit le <em>patch management</em> ou l'APT. Cette année, c'est le (Cyber)SOC qui est <em>fashionable</em>)</span></div>
<div align="justify">
<br />
Et il faut dire que l'ANSSI ne manque pas de sujets cette année: la règlementation, les coopérations avec l'Allemagne mais aussi avec les USA, le développement "en régions", la sensibilisation du grand public (jetez un œil à la <a href="http://www.hack-academy.fr/">Hack Academy</a>, ça vaut son pesant de cacahuètes), le partage d'information avec les industriels, la labellisation des prestataires (PDIS, PRIS et Cloud entre autres) … impossible de tout commenter, mais les trois messages suivants me semblent intéressant.</div>
<div align="justify">
<br /></div>
<div align="justify">
1. L'ANSSI est réticente à partager des indicateurs de compromission (IOC) avec les industriels pour au moins deux raisons:</div>
<ul>
<li> <div align="justify">
d'abord les industriels disposent rarement de la maturité nécessaire pour pouvoir rechercher un IOC efficacement dans leur parc (ce qui n'est malheureusement pas faux) ;</div>
</li>
<li> <div align="justify">
ensuite ils ne savent pas conserver ces IOC secrets. On peut débattre sur le fait qu'un IOC doive rester secret – puisqu'ils servent plus à comprendre le passé qu'à prédire l'avenir – mais il est certain que le recours massif à la sous-traitance dans les services informatiques est difficilement compatible avec la préservation d'un secret. Sans parler du cas où l'industriel est dans le conflit d'intérêt patent, étant à la fois fournisseur de services de détection d'intrusion et intrusé lui-même (ne rigolez pas, ça s'est vu).</div>
</li>
</ul>
<div align="justify">
<br /></div>
<div align="justify">
2. La détection et la réponse aux incidents sont des domaines qui ne tolèrent pas l'amateurisme ; le recours à des prestataires aguerris est vivement recommandé. On ne peut que partager ce constat, néanmoins j'ai la vague impression que les prestataires actuels – qu'ils soient en cours de labellisation ou non – manquent singulièrement d'expérience dans le domaine et font une large part à l'improvisation la plus totale (voire à l'amateurisme).</div>
<div align="justify">
<br /></div>
<div align="justify">
3. Le Cloud élève le niveau de sécurité des petites entreprises dont le service informatique n'atteint pas la masse critique. Là encore, on ne peut que partager ce constat: vos emails sont bien souvent mieux protégés dans un service en ligne supportant l'authentification à 2 facteurs que sur un serveur de messagerie interne.</div>
<div align="justify">
<br /></div>
<div align="justify">
Au delà de la <em>keynote</em> de l'ANSSI, et avec mon regard désormais extérieur, j'ai été frappé par les trois plaies de la cybersécurité françaises tandis que je déambulais dans les travées du salon.</div>
<h2 align="justify">
1. L'empilement des boites</h2>
<div align="justify">
C'est une tarte à la crème sur laquelle tout le monde s'accorde: la technique ne résout pas tout (pas de <em>silver bullet</em>), il ne faut pas négliger l'humain, etc.<br />
<br /></div>
<div align="justify">
Pourtant on ne croise au fil des allées que des vendeurs de boites.</div>
<div align="justify">
<br />
Quiconque a déménagé sait que les boites s'empilent plus facilement quand elles sont du même gabarit. Et c'est bien le problème: chaque vendeur conçoit des produits parfaitement autistes, comptant sur les autres pour s'y intégrer. Chacun son format de log, chacun sa console d'administration, chacun son périmètre fonctionnel.<br />
<br /></div>
<div align="justify">
Le sens de l'histoire nous emmène pourtant vers les micro-services et les API. Pourquoi déployer un agent de <em>forensics</em> sur des machines déjà équipées d'un antivirus ? Ne serait-il pas plus efficace d'avoir un seul agent minimaliste, avec une API simple et documentée, permettant l'accès au système de fichiers ? L'avenir de la sécurité n'est-il pas dans la conception de briques de base Open Source ?</div>
<div align="justify">
Au lieu d'être l'esclave de ses produits, le RSSI deviendrait le maitre d'œuvre d'une intégration harmonieuse.<br />
<br /></div>
<div align="justify">
Et franchement, quand on regarde le périmètre couvert par certaines solutions du marché, on ne peut qu'être déçu. Comment justifier l'acquisition d'une solution complète (et fermée) pour un service aussi basique que le chiffrement de fichiers par exemple, qui est nativement disponible dans tous les systèmes d'exploitation du marché ?<br />
<br /></div>
<div align="justify">
Autant il me semblerait intéressant d'unifier la gestion des secrets cryptographiques à l'échelle de tous les systèmes d'entreprise (protection des fichiers, protection des emails, certificats, etc.), autant le chiffrement de fichiers en lui-même ne me semble être qu'un sous-ensemble trivial du problème – et ne justifie clairement pas l'absorption d'une quotité significative du budget sécurité.</div>
<h2 align="justify">
2. Le franco-français</h2>
<div align="justify">
Les Assises de la Sécurité sont un évènement plus social que technique. "Le RSSI c'est celui qui mange seul à la cantine" ; pour une fois il peut échanger avec des milliers de personnes qui partagent le même buffet.<br />
<br /></div>
<div align="justify">
Malheureusement la rencontre est biaisée. Le milieu de la sécurité informatique français est si restreint qu'il frise déjà la consanguinité, mais ici tous les autres invités sont aussi des consommateurs de produits de sécurité. Quant aux intervenants, il n'y en a pour ainsi dire aucun qui ne soit pas exposant, à l'exception de quelques <em>keynotes</em> … très "<em>high level</em>". Ici, les organisateurs ne rémunèrent pas les intervenants pour assurer un contenu de qualité, mais monnaient au contraire le droit de s'exprimer.<br />
<br /></div>
<div align="justify">
Les échanges se limitent alors à un retour d'expérience sur tel produit ou tel prestataire, mais "on invente pas l'électricité en perfectionnant la bougie": les chances de repartir avec des idées disruptives ou de bousculer un visionnaire lors du cocktail sont assez minces. Surtout que l'appétence au changement n'est ni répandue, ni valorisée dans une profession de RSSI de plus en plus normée et standardisée.<br />
<br /></div>
<div align="justify">
Pourtant de nouvelles idées – comme la <a href="http://blogs.wsj.com/cio/2015/05/12/the-morning-download-google-corporate-security-looks-beyond-firewall-and-vpn/">dépérimétrisation</a> – existent … ailleurs.</div>
<h2 align="justify">
3. L'incompréhension des enjeux</h2>
<div align="justify">
L'ultime frontière – qui catalyse toutes les peurs et tous les espoirs de la profession – se nomme <em>Cloud</em>. Le Cloud, c'est comme le sexe chez les ados: personne ne sait ce que c'est, mais tout le monde pense que les autres en font.<br />
<br /></div>
<div align="justify">
Pourtant derrière le Cloud, se dessine une réalité tangible: l'informatique devient trop compliquée – et les investissements trop couteux – pour les utilisateurs finaux.<br />
<br /></div>
<div align="justify">
C'est le sens de l'histoire. J'ai connu la télévision en noir et blanc (la redevance était moins chère que sur la couleur) avec le condensateur en façade permettant de syntoniser les chaines. La génération précédente construisait elle-même son téléviseur en suivant les schémas disponibles dans feu <a href="http://jmb15.free.fr/radio-plans.htm">Radio Plans</a>. Aujourd'hui il ne viendrait à l'idée de personne de concevoir sa propre carte mère allant du démodulateur DVB-T au décodage de flux H.264.<br />
<br /></div>
<div align="justify">
L'informatique suit le même chemin ; les <em>leaders</em> ont compris qu'on n'avancerait plus en essayant d'empiler des legos de forme et de couleur différente, mais en devenant maitre de son destin. Développeur est le métier le plus prisé de la Silicon Valley ; il n'y a plus de catalogues produits mais des briques de stockage, de traitement et de présentation qu'il faut assembler pour créer les services du futur. <em>Docker everywhere</em>.<br />
<br /></div>
<div align="justify">
S'il est un point sur lequel les vieux barbus se sont accordés pendant ces Assises de la Sécurité, c'est bien que les RSSI "d'infrastructure" sont dépassés. Ce qui viendra après reste à définir.</div>
newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com6tag:blogger.com,1999:blog-16926911.post-76486893305186471492015-02-03T16:44:00.001+01:002015-02-03T16:44:06.485+01:00Sécurité et espionnage informatique<p><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi7gGeapb6htkqgHl6EXzyhfNomulOUn2JcEDMKD6zOSJyCsKQg0cTcWXZy2PyxIUtVcesZ1pA5X2MCqSuLfuLJn-k7mk5aWvslqIho3c2dAcE1_kwAl1uiFej5m9seB38MiPUf/s1600-h/S%2525C3%2525A9curit%2525C3%2525A9%252520et%252520espionnage%252520informatique%25255B3%25255D.jpg"><img style="border-bottom: 0px; border-left: 0px; display: block; float: none; margin-left: auto; border-top: 0px; margin-right: auto; border-right: 0px" title="Sécurité et espionnage informatique" border="0" alt="Sécurité et espionnage informatique" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEivyH7r7rrNWZ57OeLanh1jYw8viWXS2dniVIBrGKMdGGvvdKAtfW34CsZPVo52B3KVbzhFT1SYa5ylVEw2WFyurSGAAJ5aEiao4LSerAA2ComlbRpDHMwNBDdhnnzPkH0eX_I4/?imgmax=800" width="264" height="318" /></a> </p> <p>J’ai donc lu “<a href="http://www.editions-eyrolles.com/Livre/9782212139655/securite-et-espionnage-informatique" target="_blank">Sécurité et espionnage informatique – connaissance de la menace APT</a>”.</p> <p>Je ne vais pas vous faire le profil de l’oeuvre. Si votre chef vous a demandé une synthèse des solutions miracles pour demain … débrouillez vous :)</p> <p>Par contre je vais vous épargner la recopie manuelle des hashes donnés en exemple page 106 – ils ne contiennent rien d’intéressant.</p> <p><font face="Courier New">$ john --show hash.txt <br />borislz:<strong><font color="#ff0000">TOTO42</font></strong>:F67AC4C658E4EBA7AAD3B435B51404EE:F116850228DF3C891BB260730A65E78F <br />cpe:<strong><font color="#ff0000">TOTOTOTO42</font></strong>:A466CD4F80A06085A973C7865148EF2E:837DB89C7B7C6444E1D189AFC266F1BE</font></p> <p><img style="border-bottom: 0px; border-left: 0px; display: block; float: none; margin-left: auto; border-top: 0px; margin-right: auto; border-right: 0px" title="IMG_20150203_154656" border="0" alt="IMG_20150203_154656" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiogAionipOPevQP6TGQy0Bp1QaMFUmihiQl3wxIm0zIG9er3fWc5S1QOHbV66hqgxFcYbYZL3iUJP-K1m5wPtw9s4zLzVZMpvW81tZhmgmcHGeWqc4FY_VvTIxn7kCwYDi7xug/?imgmax=800" width="644" height="427" /> </p> <p>Non, si vous avez vraiment du temps à perdre, il vaut mieux vous attaquer directement aux hashes donnés page 105: ils ont été “anonymisés” ; ils doivent donc être importants.</p> <p><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiofyWbYQwGpl6uwhTUuuU0osIWR6khH0NyezmFaWN9vzWfy8ABLK6pRYADxJ9U8SeAhh24JZZ7VMlsY0Cp-IEecFqWnPH04WqlGqftI2JrmXCw83oRUifzSEXl_81W_4vnQfLG/s1600-h/IMG_20150203_154711%25255B3%25255D.jpg"><img style="border-bottom: 0px; border-left: 0px; display: block; float: none; margin-left: auto; border-top: 0px; margin-right: auto; border-right: 0px" title="IMG_20150203_154711" border="0" alt="IMG_20150203_154711" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjwayFO1yxYwycWlkJug5u28MA4Y9vFviv_zbnWD9IgDV804Rh8uNLks_ArH3DnAUctjMNeNZnef7WtPtWORKYqmyRx6lArFwuZAuora814YqqIgYmRp6geyUn5BXmKGLil9heM/?imgmax=800" width="593" height="484" /></a></p> <p>Voici ce que ça donne:</p> <p><font face="Courier New">cpe:cpe-PC:3A6999A4D3EA7D4469...:35560bc48654e...</font></p> <p>Nous disposons donc du hash LM partiel et du hash NTLM partiel pour le même mot de passe. C’est entièrement suffisant pour retrouver le mot de passe d’origine, sauf collision hautement improbable.</p> <p>Tout expert sécurité sait que le <a href="http://en.wikipedia.org/wiki/LM_hash" target="_blank">hash LM</a> se compose de deux demi-hashes totalement indépendants. Ici la première moitié du hash LM est donnée en totalité, l’inversion du demi-hash s’effectue donc instantanément avec <a href="http://www.openwall.com/john/" target="_blank">John</a> ou n’importe quelle <a href="http://project-rainbowcrack.com/table.htm" target="_blank">Rainbow Table</a>.</p> <p><font face="Courier New">3A6999A4D3EA7D44 –> <strong><font color="#ff0000">PCKRD42</font></strong></font></p> <p>Malheureusement le mot de passe est mis en majuscules avant le calcul du hash LM ; il n’est donc pas possible de connaitre la casse réelle à ce stade.</p> <p>Prenant en compte ce fait, il est désormais possible de compléter le mot de passe jusqu’à tomber sur un hash NTLM commençant par <font face="Courier New">35560bc48654e</font> (la probabilité d’une collision est pour ainsi dire nulle).</p> <p>Un simple script Python suffit, car la réponse ne tarde pas à venir:</p> <p><font face="Courier New"><strong><font color="#ff0000">Pckrd42!</font></strong>:3A6999A4D3EA7D44695109AB020E401C:35560BC48654EF33BD7162C7721BDE8C:::</font></p> <p>Ce mot de passe est très intéressant, car il vérifie tous les critères appliqués habituellement en entreprise (mais beaucoup plus rarement chez les particuliers):</p> <ul> <li>Longueur 8</li> <li>Présence de majuscules/minuscules/chiffres/caractères spéciaux</li> <li>Deux derniers chiffres ressemblant fortement à un incrément (il s’agit d’une construction universellement appliquée par les utilisateurs lorsqu’un changement régulier de mot de passe est imposé – 42 jours par défaut sous Windows).</li> </ul> <p>S’agirait-il d’une capture d’écran réalisée sur le poste de travail de l’auteur ? Celui-ci ayant changé d’entreprise il y a quelques semaines ; on peut de toute façon espérer que son compte ait été verrouillé et ses accès révoqués :)</p> newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com6tag:blogger.com,1999:blog-16926911.post-56643723284152662242015-01-29T18:43:00.001+01:002015-02-01T13:48:28.514+01:00FIC Challenge Writeup, EPITA editionLes solutions du challenge EPITA – réalisé par des élèves pour le FIC 2015 – sont désormais <a href="http://bombal.org/">en ligne</a>, mais uniquement sous forme de vidéos. Je vais donc vous proposer une solution pour la catégorie "<a href="http://bombal.org/14-Virus/">Virus</a>", plus <i>old school</i> car sous la forme d’un billet de blog. <br /> <h3>La question posée</h3> <p>Tout commence par un <i>dump</i> mémoire de 1 Go, qu'on identifie assez facilement comme étant issu d'un système Windows 32 bits: <br /><span style="font-family: courier new">$ file MEMORY.DMP <br /></span><span style="font-family: courier new">MEMORY.DMP: MS Windows 32bit crash dump, PAE, full dump, 262014 pages</span></p> <p><span style="font-family: courier new"></span>Ce fichier est accompagné d'une signature au format ".nbd" (utilisé par ClamAV): <br /><span style="font-family: courier new">virus=60400001000000EB9490909090565383EC14C7042430604000E8B70700008B1D4860400083EC0485DB742D66908B03890424E8A607000083EC0489C6E8</span></p> <p><span style="font-family: courier new"></span>On imagine assez bien qu'il va falloir retrouver cette signature dans le <i>dump</i> mémoire. Deux outils s'offrent à nous: <a href="https://msdn.microsoft.com/en-us/library/windows/hardware/ff551063%28v=vs.85%29.aspx">WinDbg</a> ou <a href="https://github.com/volatilityfoundation/volatility">Volatility</a>. Je choisis Volatility, qui est quand même plus adapté au <i>forensics</i>.</p> <p>Identifions plus précisément le "profil" du système à l'aide de la commande <b>imageinfo</b>:</p> <p><font size="2"><span style="font-family: courier new; font-size: x-small">Determining profile based on KDBG search... <br /></span><span style="font-family: courier new; font-size: x-small">Suggested Profile(s) : Win7SP0x86, Win7SP1x86 </span><span style="font-family: courier new; font-size: x-small">AS Layer1 : IA32PagedMemoryPae (Kernel AS) </span><span style="font-family: courier new; font-size: x-small">AS Layer2 : WindowsCrashDumpSpace32 (Unnamed AS) </span><span style="font-family: courier new; font-size: x-small">AS Layer3 : FileAddressSpace (MEMORY.DMP) </span><span style="font-family: courier new; font-size: x-small">PAE type : PAE </span><span style="font-family: courier new; font-size: x-small">DTB : 0x3ecd8680L </span><span style="font-family: courier new; font-size: x-small">KDBG : 0x82938be8 </span><span style="font-family: courier new; font-size: x-small">Number of Processors : 1 </span><span style="font-family: courier new; font-size: x-small">Image Type (Service Pack) : 0 </span><span style="font-family: courier new; font-size: x-small">KPCR for CPU 0 : 0x82939c00 </span><span style="font-family: courier new; font-size: x-small">KUSER_SHARED_DATA : 0xffdf0000 </span><span style="font-family: courier new; font-size: x-small">Image date and time : 2014-11-17 13:25:46 UTC+0000 </span><span style="font-family: courier new; font-size: x-small">Image local date and time : 2014-11-17 14:25:46 +0100</span></font></p> <p><font size="2"><span style="font-family: courier new; font-size: x-small"></span></font>Une fois le bon profil identifié, il est possible de lister tous les processus en cours d'exécution avec la commande <b>pslist</b> ou <b>pstree</b>. La commande <b>psscan</b> permet de retrouver également les processus récemment exécutés dont le jeton persiste en mémoire, mais dans le cas présent seul consent.exe est concerné (qui présente la fameuse boite de dialogue "<a href="https://www.youtube.com/watch?v=8CwoluNRSSc">Cancel or Allow</a>").</p> <p><span style="font-family: courier new"><font size="1">Offset Name Pid PPid Thds Hnds Time <br /></font></span><span style="font-family: courier new"><font size="1">> 0x84138b78 System 4 0 90 532 2014-11-15 12:49:59 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x85359d40 smss.exe 260 4 2 29 2014-11-15 12:49:59 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x85ad2d40 csrss.exe 348 332 9 549 2014-11-15 12:50:00 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x85a7cc88 wininit.exe 400 332 3 74 2014-11-15 12:50:00 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x85cd6030 services.exe 500 400 9 213 2014-11-15 12:50:00 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x85e8aad0 msdtc.exe 436 500 12 143 2014-11-15 12:50:06 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x85d17658 svchost.exe 632 500 11 365 2014-11-15 12:50:01 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x8434fb30 dllhost.exe 2660 632 6 80 2014-11-17 13:25:36 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x85d4a138 svchost.exe 712 500 8 292 2014-11-15 12:50:01 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x85d6aa30 svchost.exe 800 500 19 507 2014-11-15 12:50:01 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x8433fc88 audiodg.exe 1280 800 7 150 2014-11-15 13:05:54 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x85da6030 svchost.exe 884 500 14 341 2014-11-15 12:50:01 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x85ebed40 dwm.exe 1160 884 6 199 2014-11-15 12:50:06 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x85db3530 svchost.exe 916 500 34 1067 2014-11-15 12:50:01 UTC+0000 <br /> </font></span><span style="font-family: courier new"><font size="1">> 0x85e1f530 svchost.exe 1036 500 14 387 2014-11-15 12:50:01 UTC+0000 <br /> </font></span><span style="font-family: courier new"><font size="1">> 0x85e7b030 svchost.exe 1148 500 19 509 2014-11-15 12:50:01 UTC+0000 <br /> </font></span><span style="font-family: courier new"><font size="1">> 0x85f00880 spoolsv.exe 1364 500 14 340 2014-11-15 12:50:02 UTC+0000 <br /> </font></span><span style="font-family: courier new"><font size="1">> 0x85f15760 taskhost.exe 1396 500 10 221 2014-11-15 12:50:02 UTC+0000 <br /> </font></span><span style="font-family: courier new"><font size="1">> 0x85f2f1f8 svchost.exe 1432 500 18 297 2014-11-15 12:50:02 UTC+0000 <br /> </font></span><span style="font-family: courier new"><font size="1">> 0x8542a030 vmtoolsd.exe 1596 500 11 391 2014-11-15 12:50:02 UTC+0000 <br /> </font></span><span style="font-family: courier new"><font size="1">> 0x85df2a58 TPAutoConnSvc. 1784 500 10 141 2014-11-15 12:50:02 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x85e35d40 TPAutoConnect. 200 1784 4 131 2014-11-15 12:50:03 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x85e0c968 sppsvc.exe 1820 500 4 149 2014-11-15 12:50:02 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x85f85d40 svchost.exe 1892 500 6 92 2014-11-15 12:50:03 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x843fb5d8 svchost.exe 2588 500 5 42 2014-11-17 13:24:45 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x842c8988 svchost.exe 3100 500 12 245 2014-11-15 12:52:58 UTC+0000 <br /> </font></span><span style="font-family: courier new"><font size="1">> 0x84ba5030 WmiApSrv.exe 3176 500 5 113 2014-11-15 12:50:35 UTC+0000 <br /> </font></span><span style="font-family: courier new"><font size="1">> 0x86130b40 SearchIndexer. 3280 500 14 691 2014-11-15 12:50:44 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x85d01b40 svchost.exe 3940 500 15 358 2014-11-15 12:52:04 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x85cdd030 lsass.exe 520 400 7 601 2014-11-15 12:50:00 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x85ce0030 lsm.exe 528 400 10 164 2014-11-15 12:50:00 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x85c9fd40 csrss.exe 408 392 9 521 2014-11-15 12:50:00 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x855cdd40 conhost.exe 292 408 1 32 2014-11-15 12:50:03 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x84c16030 conhost.exe 3156 408 2 51 2014-11-15 12:50:35 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x85cb8d40 winlogon.exe 456 392 3 113 2014-11-15 12:50:00 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x843e8318 Utilman.exe 2176 456 5 126 2014-11-17 13:25:39 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x84598d40 Magnify.exe 2980 2176 5 112 2014-11-17 13:25:43 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x8531c140 explorer.exe 812 1188 52 1244 2014-11-15 12:50:06 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x8473e030 taskmgr.exe 160 812 6 118 2014-11-17 13:23:45 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x84ce5030 iexplore.exe 352 812 14 370 2014-11-17 13:24:14 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x843c1378 iexplore.exe 1132 352 25 631 2014-11-17 13:24:16 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x8607e030 HN_Hex-Ed.exe 576 812 1 5 2014-11-17 13:23:42 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x85ddb030 wmplayer.exe 1372 812 22 519 2014-11-17 13:23:48 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x843af0c0 7zFM.exee 2080 812 1 74 2014-11-17 13:24:06 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x860b6d40 vmtoolsd.exe 2200 812 7 209 2014-11-15 12:50:08 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x84276d40 CFF Explorer.e 2280 812 2 66 2014-11-17 13:23:54 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x842ff3f8 calc.exe 2304 812 6 94 2014-11-17 13:24:59 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x846c0030 Solitaire.exe 2692 812 9 206 2014-11-17 13:24:23 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x842c6d40 regedit.exe 2812 812 1 65 2014-11-15 16:09:40 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x842ac030 firefox.exe 2844 812 44 689 2014-11-15 12:52:57 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x84520628 Signature Expl 2928 812 5 136 2014-11-17 13:25:25 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x8517f728 Task Explorer. 3136 812 6 151 2014-11-17 13:25:15 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x861bb030 cmd.exe 3148 812 1 21 2014-11-15 12:50:35 UTC+0000 <br /></font></span><span style="font-family: courier new"><font size="1">> 0x843fbac0 Hearts.exe 3420 812 10 212 2014-11-17 13:24:51 UTC+0000 <br /></font></span><font size="1"><span style="font-family: courier new">> 0x85193a20 notepad.exe 3764 812 2 73 2014-11-17 13:24:01 UTC+0000 <br /></span><span style="font-family: courier new">> 0x8449e2b8 osk.exe 3792 1880 15 175 2014-11-17 13:24:43 UTC+0000</span></font></p> <p><font size="1"><span style="font-family: courier new"></span></font>La commande <b>procdump</b> permet de reconstruire les fichiers EXE correspondant à ces processus. Un simple scan ClamAV nous donne ensuite le processus recherché (PID 576):</p> <p><span style="font-family: courier new">$ clamscan -d ../signature.nbd * <br /></span><span style="font-family: courier new">executable.576.exe: virus.UNOFFICIAL FOUND</span></p> <p><span style="font-family: courier new"></span>Compte-tenu de l'ordre de lancement des processus, on peut dire que l'utilisateur a pris grand soin de brouiller les pistes en ouvrant de nombreuses applications inutiles a posteriori. La commande <b>screenshot</b> permet même de reconstruire l'état de son écran au moment du <em>dump</em> mémoire. <br /><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgs6HzXGNmU_4_gSYAQqpLYV_R5N42CVXlz_uANJ0hv7zPTgutd2uYOYpxxjte0wsXo17CmJA-UQDf9XD_UKbHf2erDovCXs1OxpzaZXMT_67-1VWeO4qYvsOBfgwQmt5ezx_m_/s1600-h/image%25255B3%25255D.png"><img style="border-right-width: 0px; display: inline; border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px" title="image" border="0" alt="image" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhfa2-QDdfuu8kBl3JCGZFtFRz66rjFxceZfX_03Wb7VCTW8Owe6J8az5RHjbWGkucpoSAG1udA6sM_IMs097wramCetSPF0hywFfQ-yDEw_GJfSJlADxyNUskQFWHOZ6XxqsAi/?imgmax=800" width="612" height="348" /></a> <br />Maintenant intéressons-nous à la manière dont a été conçu ce challenge :)</p> <h3>Vers l'infini … et au-delà</h3> <p>Pour la blague, la commande <b>hashdump</b> permet de voir que tous les comptes Windows locaux disposent d'un mot de passe vide. C'est plutôt une bonne chose de ne pas avoir réutilisé un mot de passe sensible dans la VM du challenge.</p> <p><font size="1"><span style="font-family: courier new">Administrateur:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: </span><span style="font-family: courier new">Invité:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: </span><span style="font-family: courier new">Florian:1000:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::</span></font></p> <p><font size="1"><span style="font-family: courier new"></span></font>La commande <b>consoles</b> permet d'afficher l'historique de toutes les commandes issues d'une application console. On peut voir que l'utilisateur a testé son challenge directement dans la VM:</p> <p><span style="font-family: courier new"><font size="1">CommandHistory: 0x111458 <br /></font></span><span style="font-family: courier new"><font size="1">Application: cmd.exe <br />Flags: Allocated, Reset <br /></font></span><span style="font-family: courier new"><font size="1">CommandCount: 14 <br />LastAdded: 13 <br />LastDisplayed: 13 <br /></font></span><span style="font-family: courier new"><font size="1">FirstCommand: 0 <br />CommandCountMax: 50 <br /></font></span><span style="font-family: courier new"><font size="1">ProcessHandle: 0x58 <br /></font></span><span style="font-family: courier new"><font size="1">Cmd #0 at 0x116970: volatility-2.4.standalone.exe -f MEMORY.DMP --profile=Win7SP0x86 pslist <br /></font></span><span style="font-family: courier new"><font size="1">Cmd #1 at 0x1159d8: volatility-2.4.standalone.exe -f MEMORY.DMP --profile=Win7SP0x86 procdump -p 736 <br /></font></span><span style="font-family: courier new"><font size="1">Cmd #2 at 0x115a88: volatility-2.4.standalone.exe -f MEMORY.DMP --profile=Win7SP0x86 procdump -p 736 -D test <br /></font></span><span style="font-family: courier new"><font size="1">Cmd #4 at 0x116e70: clamscan.exe -d Downloads <br /></font></span><span style="font-family: courier new"><font size="1">Cmd #5 at 0x1163d0: clamscan.exe -d Downloads\simple_virus <br /></font></span><span style="font-family: courier new"><font size="1">Cmd #6 at 0x116cc0: clamscan.exe -d signature.nbd Downloads <br /></font></span><span style="font-family: courier new"><font size="1">Cmd #7 at 0x116d18: clamscan.exe -d signature.nbd Downloads\simple_virus <br /></font></span><span style="font-family: courier new"><font size="1">Cmd #9 at 0x116d90: SysinternalsSuite\strings.exe virusexo2.exe.safe <br /></font></span><span style="font-family: courier new"><font size="1">Cmd #10 at 0x1043c8: SysinternalsSuite\strings.exe virusexo2.exe.safe > res.txt <br /></font></span><font size="1"><span style="font-family: courier new">Cmd #12 at 0x1155d0: SysinternalsSuite\strings.exe Virus\Virus.exe <br /></span><span style="font-family: courier new">Cmd #13 at 0x115638: SysinternalsSuite\strings.exe Virus\Virus.exe > res.txt</span></font></p> <p><font size="1"><span style="font-family: courier new"></span></font>La commande <b>iehistory</b> ne donne pas beaucoup d'information non plus, car l'utilisateur démarre sa machine le 15 novembre 2014 vers 12:49, puis télécharge et installe FireFox trois minutes plus tard depuis l'emplacement suivant:</p> <p><a href="https://download-installer.cdn.mozilla.net/pub/firefox/releases/32.0/win32/fr/Firefox%20Setup%20Stub%2032.0.exe">https://download-installer.cdn.mozilla.net/pub/firefox/releases/32.0/win32/fr/Firefox%20Setup%20Stub%2032.0.exe</a></p> <p>Le reste des accès Web s'effectue avec FireFox, pour lequel Volatility ne dispose pas de plugin adapté (EDIT: il existe un <a href="http://volatility-labs.blogspot.com/2014/10/announcing-2014-volatility-plugin.html">plugin tiers</a> dédié à l’analyse du processus FireFox).</p> <p>La commande <b>timeliner</b> est assez verbeuse, mais donne un bon aperçu de la vie de la machine, car elle agrège dans une seule <i>timeline</i> toutes les sources d'information disponibles (processus, clé UserAssist, connexion réseau, etc.)</p> <p>L'information la plus pertinente est probablement la réponse à cette question: comment le binaire du challenge s'est-il retrouvé dans la VM ? La réponse est assez folle: l'utilisateur s'est connecté à sa boite email ********@epita.fr avec FireFox (notons au passage que l'EPITA est client du Cloud Microsoft pour sa messagerie), et a téléchargé le binaire sous forme de pièce jointe.</p> <p>Un simple grep permet de récupérer une bonne partie du carnet d'adresses et des emails chargés dans la page Web, comme par exemple: <br /><span style="font-family: courier new">Objet : [TCOM]Cours SWRAD avec STERCKMAN <br /></span><span style="font-family: courier new">Objet : Re: FIC2015 – challenges <br /></span><span style="font-family: courier new">Subject: FIC - binaire exo 2 <br /></span><span style="font-family: courier new">Sujet : Diffusion offres de stage Sogeti ESEC R&D <br /></span><span style="font-family: courier new">Sujet [Ml-srs2015] Fwd: FIC2015 – challenges <br /></span><span style="font-family: courier new">Sujet [STAGE] Orange Business Services - Offres en S <br /></span><span style="font-family: courier new">Sujet ALERTE sur vos ABSENCES au cours de IBM Z-Series <br /></span><span style="font-family: courier new">Sujet Combien gagnent les stagiaires en France ? AJstage m <br /></span><span style="font-family: courier new">Sujet Convocation entretiens minist <br /></span><span style="font-family: courier new">Sujet Cours de forensics <br /></span><span style="font-family: courier new">Sujet Evenement EPITA "Filles et Maths, equation lumineurse" <br /></span><span style="font-family: courier new">Sujet Inscription Challenge Airbus <br />...</span></p> <p><span style="font-family: courier new"></span>Le meilleur pour la fin: la requête de login complète est encore présente en mémoire, ce qui permet de récupérer le mot de passe de l'utilisateur ! Mais je vous rassure: j'ai présenté ces résultats dès la fin du challenge, et le mot de passe a été changé :)</p> newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com1tag:blogger.com,1999:blog-16926911.post-78170705393019815572015-01-23T14:00:00.001+01:002015-01-23T14:00:08.708+01:00FIC Challenge Writeup<p>Pour le troisième challenge du FIC 2015, Sogeti nous promettait un <a href="https://www.forum-fic.com/2015/the-programme/trade-show/the-challenge/">challenge</a> résolument orienté <i>hacking</i>. Voici un essai de solution.</p> <p><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgJXASBPbQH7tEgmclQKZCRsLjl-4I0Ci7v-ZbOD8WnV8lNuM3bWDlJUzSRMszAVer0wR9SjqloOoj4aBiFnramr131EP3e8yasHM9azygA_hcgP-FAgN1P-z2IU9FzT3qovJMa/s1600-h/clip_image001%25255B4%25255D.png"><img style="border-bottom: 0px; border-left: 0px; display: block; float: none; margin-left: auto; border-top: 0px; margin-right: auto; border-right: 0px" title="clip_image001" border="0" alt="clip_image001" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiOXw7KOC0c7x9wjcrZsQsMtgNODVjXwwIE7DgZNRb9olRYMklGIw0rLL4-RtwMfvhLycpQh_1OOulVm3DeuICpWtRs7-nQFmGXHcUctZP7uPkCY1rHU3MMk4cZsiO0X9f2hyphenhyphengL/?imgmax=800" width="753" height="118" /></a></p> <p>Le challenge se déroule de la manière suivante: chaque participant vient avec son propre matériel, et doit configurer une adresse IP statique associée à son emplacement physique dans l'Espace Challenge (le sous-réseau privé 192.168.0.0/24 est utilisé). A 11h00 le challenge démarre avec comme indication une simple adresse IP: http://192.168.0.35/</p> <p>Un serveur Web est disponible à cette adresse. Il sert une image statique avec la musique de <a href="https://www.youtube.com/watch?v=QH2-TGUlwu4">NyanCat</a> en arrière-plan.</p> <p><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgVYu4GsRiCyVPETZU5iptQonEY7wLMdymp0IaiS1sGUsA-MuIJyBoA1e8RKsHsdmdBrpJrdJA_g4k9EKM397Fi8ZPx5mmmypGXuLxbTJX_BGagYCw0iwGsDA3YGkJCjZ-v0YeS/s1600-h/clip_image003%25255B3%25255D.jpg"><img style="border-bottom: 0px; border-left: 0px; display: block; float: none; margin-left: auto; border-top: 0px; margin-right: auto; border-right: 0px" title="clip_image003" border="0" alt="clip_image003" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjsv9vYHa2QmzYIIGCY8M7cQ7H6wKRL8RieRxBxX4fKN0RqtUgUJYlioiP91DxpraPt-gj0rl278JG53OYCLD-Wne_IofFkI8-nl6ko0VEBs7JRvEAShvBZpW4YruckWdHYM2cB/?imgmax=800" width="235" height="235" /></a></p> <p>On imagine assez facilement que ceci n'est qu'un leurre et qu'il nous revient la charge de découvrir l'étape suivante. Deux hypothèses sont envisageables: soit le challenge se trouve sur le serveur Web (un scan "à la Nikto" devrait révéler une page cachée) ; soit le challenge se trouve sur un autre service.</p> <p>Pour l'instant difficile de conclure car les deux pistes fonctionnent. Un scan Nmap révèle une configuration bien connue des <i>pentesters</i>, dite "arbre de Noël": <table border="1" cellspacing="0" cellpadding="0"><tbody> <tr> <td valign="top" width="102"> <p>Port</p> </td> <td valign="top" width="198"> <p>Service</p> </td> </tr> <tr> <td valign="top" width="102"> <p>80/tcp </p> </td> <td valign="top" width="198"> <p>Apache 2.0.54 (Win32)</p> </td> </tr> <tr> <td valign="top" width="102"> <p>135/tcp </p> </td> <td valign="top" width="198"> <p>MS-RPC Endpoint Locator</p> </td> </tr> <tr> <td valign="top" width="102"> <p>139/tcp </p> </td> <td valign="top" width="198"> <p>MS-SMB</p> </td> </tr> <tr> <td valign="top" width="102"> <p>445/tcp </p> </td> <td valign="top" width="198"> <p>MS-CIFS</p> </td> </tr> <tr> <td valign="top" width="102"> <p>902/tcp </p> </td> <td valign="top" width="198"> <p>VMWare client</p> </td> </tr> <tr> <td valign="top" width="102"> <p>912/tcp </p> </td> <td valign="top" width="198"> <p>VMWare client</p> </td> </tr> <tr> <td valign="top" width="102"> <p>1025/tcp </p> </td> <td valign="top" width="198"> <p>MS-RPC (port dynamique)</p> </td> </tr> <tr> <td valign="top" width="102"> <p>1026/tcp </p> </td> <td valign="top" width="198"> <p>MS-RPC (port dynamique)</p> </td> </tr> <tr> <td valign="top" width="102"> <p>1027/tcp </p> </td> <td valign="top" width="198"> <p>MS-RPC (port dynamique)</p> </td> </tr> <tr> <td valign="top" width="102"> <p>1030/tcp </p> </td> <td valign="top" width="198"> <p>MS-RPC (port dynamique)</p> </td> </tr> <tr> <td valign="top" width="102"> <p>1031/tcp </p> </td> <td valign="top" width="198"> <p>MS-RPC (port dynamique)</p> </td> </tr> <tr> <td valign="top" width="102"> <p>1032/tcp </p> </td> <td valign="top" width="198"> <p>MS-RPC (port dynamique)</p> </td> </tr> <tr> <td valign="top" width="102"> <p>2048/tcp </p> </td> <td valign="top" width="198"> <p>?</p> </td> </tr> <tr> <td valign="top" width="102"> <p>2701/tcp </p> </td> <td valign="top" width="198"> <p>MS-SCCM</p> </td> </tr> <tr> <td valign="top" width="102"> <p>3306/tcp </p> </td> <td valign="top" width="198"> <p>MySQL</p> </td> </tr> <tr> <td valign="top" width="102"> <p>3389/tcp </p> </td> <td valign="top" width="198"> <p>MS-RDP</p> </td> </tr> <tr> <td valign="top" width="102"> <p>5357/tcp </p> </td> <td valign="top" width="198"> <p>?</p> </td> </tr> <tr> <td valign="top" width="102"> <p>6129/tcp </p> </td> <td valign="top" width="198"> <p>DameWare</p> </td> </tr> <tr> <td valign="top" width="102"> <p>8081/tcp </p> </td> <td valign="top" width="198"> <p>?</p> </td> </tr> </tbody></table> </p> <p>Le système lui-même est un Windows 7 x64 SP1 ; un grand classique compatible avec les outils de type Metasploit. On peut supposer que les organisateurs ne veulent pas nous faire perdre de temps à ajuster des <i>offsets</i> exotiques dans nos <i>payloads</i>.</p> <p>Il est temps de lancer un scan Nessus. Malheureusement nous sommes confrontés à la crise du riche:</p> <p>· La machine n'est pas à jour de MS14-066 (et donc probablement de MS14-068).</p> <p>· D'après la bannière du serveur Web, Apache (2.0.54) et PHP (5.2.3) sont vulnérables à des dizaines de failles connues et non corrigées, puisque ces versions ne sont plus maintenues.</p> <p>· La version de MySQL (4.1.22) est elle-même antédiluvienne.</p> <p><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjuqdlOGw9qiV1FrGWgXhRjcBCtSwYF-1cJWLzMfKMPI2Nw1u3ersjDjmkKq9b1m2x-XRwT8rnUMyjWfYsz0tSGq54sG6D4pLkayFBN9nwQl5frL-81MyajT6VDAG16nr6aY_3P/s1600-h/clip_image005%25255B4%25255D.jpg"><img style="border-bottom: 0px; border-left: 0px; display: block; float: none; margin-left: auto; border-top: 0px; margin-right: auto; border-right: 0px" title="clip_image005" border="0" alt="clip_image005" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgPyUCKmKxwhaBdDOkQKMV5tfmwxWhTAh_U1qseIRFCWQ7T7YTsAcXv9JqD8bxPJjJlA2YJpf53ReJxUIStiWvyGJSYve3NO3C0f_Fmzjx2SDfcNDzLYshxIjSXvPKlrfPzUWAp/?imgmax=800" width="721" height="98" /></a></p> <p>A ce stade, on peut noter une propriété intéressante (et rare) de ce challenge: chacun peut y trouver son compte. Les fans de <i>stack overflow</i> peuvent tenter d'exploiter les failles de PHP, tandis que les <i>pentesters</i> expérimentés vont exploiter l'injection de commandes dans PHP-CGI (CVE-2012-1823) par exemple.</p> <p>Le scan Nessus lancé en mode "<i>no limit</i>" (<i>unsafe checks</i>, <i>probe all services on all ports</i>, <i>Web scan</i>, etc.) va révéler également un fichier /phpinfo et un répertoire /phpmyadmin (version 2.11.0) sur le serveur Web. Ce dernier autorise le login root avec un mot de passe vide !</p> <p>(Pour en avoir discuté avec les autres équipes à la fin du challenge, il semblerait que ce n'était pas la configuration par défaut mais qu'une équipe plus rapide que nous ait supprimé le mot de passe).</p> <p>La combinaison de phpinfo + MySQL 4 + phpmyadmin sans mot de passe est une solution simple et élégante pour permettre aux étudiants de ne pas rester bloqués dans le challenge. En effet:</p> <p>· phpinfo permet de récupérer le chemin absolu d'installation du serveur Web: W:\var\www (et W:\home\phpinfo pour le répertoire /phpinfo).</p> <p>· Connaissant le chemin absolu, il est désormais possible d'utiliser la commande SQL "SELECT INTO DUMPFILE / OUTFILE" pour créer des fichiers lisibles au travers du serveur Web.</p> <p>· MySQL 4 autorise également la création de bibliothèques binaires qui pourront être chargées en tant qu'UDF (<i>User-Defined Functions</i>) dans MySQL – cette option est disponible avec SQLMap ou Metasploit.</p> <p>En ce qui nous concerne, nous avons opté pour une solution simple (donc fiable): créer un fichier "fuu.php" qui n'est qu'un Webshell minimaliste: <?php system($_GET[cmd]); ?></p> <p>En effet, la configuration PHP obtenue au travers de phpinfo révèle que la commande system() n'a pas été désactivée. Et ça marche !</p> <p><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhQ7TP9WlpqHY8jwNzymLvnM3KOdlbvXVKG_x1e2zSKpzvgGS1laXZCGVDeEsxZzjfi00F8gqqQZ7ZRKtYV1tpHeHLv5uNwijbN57VuCfjs5k0CTxKcos_BRoW9_r3TH2jDJiXu/s1600-h/clip_image007%25255B4%25255D.png"><img style="border-bottom: 0px; border-left: 0px; display: block; float: none; margin-left: auto; border-top: 0px; margin-right: auto; border-right: 0px" title="clip_image007" border="0" alt="clip_image007" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgEuqcoblOXuyCKuDK5jXHSmD-PDsRjXkJw_hyCYlHmrhpUgydx746Mw3FV5wqK-SaAMUtjd6afk0x1xatqXdRS4tiKciYp4a62c2qdCzSVahPDnNjDnoNvu42vOBfJsXxrEh6s/?imgmax=800" width="721" height="101" /></a></p> <p>Il reste à trouver la suite du challenge. Essayons le disque C:</p> <p><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhFe9GkdAfvQPOcp3Xzxajl9x9pJ2F6QtL6q0FygJMkiKFVM2Z3kDMHClZ5qlQPeq38feIa7F6ybz5hM_0BYXXOLx6-BvkTQJZ6JakjQTb2pY6a8_PBaRklUa3qPNLdSdpXqGrX/s1600-h/clip_image009%25255B4%25255D.png"><img style="border-bottom: 0px; border-left: 0px; display: block; float: none; margin-left: auto; border-top: 0px; margin-right: auto; border-right: 0px" title="clip_image009" border="0" alt="clip_image009" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh9CkGfU7-hChoZWhmd1tjNfxIV4cxdsX9tGLpMa8N7KQYR0WfCzgr8021cRaDGOkQHcTrOApIOjxRSV05O-gzUi4nGjNhEIVOKbDkiYMNLntNW-VFBCpgHLs-5Ki28gunb_62E/?imgmax=800" width="722" height="283" /></a></p> <p>Plusieurs emplacements s'annoncent intéressants: "Private", "Security" et "Sogeti".</p> <p>Mais avant tout, essayons de voir sous quelle identité tourne le serveur Web. Il serait loisible de récupérer un <i>shell</i> complet au travers de PsExec par exemple, mais ceci nécessite d'être administrateur local. Une élévation locale de privilèges sera peut-être nécessaire.</p> <p><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh5SEcb6nTiau0kb9NuVzNuVny0KWf83sMqr8DIbwUsSpjkG2egtA8cxqAyGQpok5ceXMRPjZ80lpmLQk9Vzq6iQdYCqcFGtFM533WysUkLryiaY8y45M7gJrUXHK1jgurAYcWL/s1600-h/clip_image011%25255B3%25255D.jpg"><img style="border-bottom: 0px; border-left: 0px; display: block; float: none; margin-left: auto; border-top: 0px; margin-right: auto; border-right: 0px" title="clip_image011" border="0" alt="clip_image011" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiZmsEQXPzh4sGTPRLoJHsyZggFyxX6fYqohdc4docyuBh0VLBqRc734eiVj7D8VztEy7ZxUpQcQIlCBD-5ECJd01irywxC_CJ_RlrfWS1-0Xzd6bcGzW6nW2j93hkZL_oaakuy/?imgmax=800" width="231" height="84" /></a></p> <p>On sent que la suite du challenge va être tout aussi intéressante, car la machine appartient à un domaine Active Directory. Il faudra peut-être rebondir dans le domaine, effectuer un mouvement latéral, passer par un VPN ou un OWA …</p> <p><a name="_GoBack"></a></p> <p>Avoir appelé le domaine "SOGLU" c'est quand même pousser le réalisme assez loin. C'est peut-être à ce moment qu'un participant a demandé aux organisateurs s'il était sur la bonne piste. Malheureusement, non: le challenge de <i>hacking</i> consistait à identifier de la stéganographie dans l'image publiée initialement sur le serveur Web. Du coup personne n'a eû le temps de finir le challenge malgré les indices distribués en abondance par l'organisation, et les gagnants ont été désignés en fonction de l'avancement des équipes. Je pense que la plupart des participants ont été déçus par la fin de cette histoire. Mais on essaiera de faire mieux la prochaine fois !</p> newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com3tag:blogger.com,1999:blog-16926911.post-7890811008990167702014-10-24T09:00:00.000+02:002014-10-24T09:00:05.534+02:00Pitié.J'ai suivi les <a href="http://www.defense-et-strategie.fr/index.php?option=com_content&view=article&id=566:2e-rencontres-parlementaires-de-la-cybersecurite-23-octobre-2014-ecole-militaire&catid=118:les-rencontres-annuelles-de-cybersecurite&Itemid=351">2ème Rencontres Parlementaires de la Cybersécurité</a> via Twitter (hashtag <a href="https://twitter.com/search?f=realtime&q=%23RPCyber&src=typd">#RPCyber</a>). Initialement j'avais l'intention de commenter ou de re-tweeter les messages les plus pertinents ; finalement le volume m'a contraint à un billet de blog – format plus adapté à l'argumentation.<br />
<br />
Bien que tout le monde se soit largement congratulé (au moins sur Twitter) pour la qualité de cet événement, j'étais de mon côté atterré par la vision "cyber" (comme on dit maintenant) de nos éminences grises. Florilège.<br />
<h2>
Le cyber, c'est la guerre</h2>
Premier constat: le cyber est aux mains des militaires. La première édition se déroulait au siège de la Gendarmerie, la deuxième édition à l'école militaire. Toute la fine fleur des industriels "de confiance" était là (Thales, Airbus ex-Cassidian, Sogeti, …) au côté des amiraux et des députés. Pas de représentants de la société civile, sauf les sponsors.<br />
<br />
Quant au contenu des tables rondes: cyber-criminalité, cyber-guerre, cyber-espionnage (dit APT).<br />
<br />
Bref, on n'était pas là pour faire de la philosophie comparée entre le Java et le OCaml, mais plutôt pour dézinguer du cyber-terroriste. Ca va filer droit et sécuriser sec. D'ailleurs …<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9CE_gyaAh3twMh02D-L7P26cC0varwU4SOWKYZ2HkVn1Zv_5cWUy8BRPsx8oi80xK_ZA3ElXs9a4Jk1O8E96X_7hxhbqALtkOi1unG9E7QpV1jEJG0fPrkLWnbAg04C5RiI5-/s1600/Capture+d%E2%80%99e%CC%81cran+2014-10-23+a%CC%80+22.43.08.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9CE_gyaAh3twMh02D-L7P26cC0varwU4SOWKYZ2HkVn1Zv_5cWUy8BRPsx8oi80xK_ZA3ElXs9a4Jk1O8E96X_7hxhbqALtkOi1unG9E7QpV1jEJG0fPrkLWnbAg04C5RiI5-/s1600/Capture+d%E2%80%99e%CC%81cran+2014-10-23+a%CC%80+22.43.08.png" height="155" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;"><a href="https://twitter.com/echo_radar/status/525294388675903488" style="text-align: start;">https://twitter.com/echo_radar/status/525294388675903488</a></td></tr>
</tbody></table>
<h2>
Autokiff</h2>
Le moins que l'ont puisse dire, c'est que tout le monde est extrêmement satisfait des progrès réalisés. L'ANSSI recrute, la DGA recrute, les lois sont votées, les décrets vont tomber … bref, on est bientôt "secure".<br />
<br />
D'ailleurs, personne n'a encore réussi à m'expliquer ce qu'est le "cyber", mais on a déjà voté plus de lois à ce propos que tous les autres pays dans le monde ! Vive la France !<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiAih2lOV92zXjteJdq0qRyUonT1jbTMtnTP74ee1im5amRoTv9AJutiNrI8xyU6DNjaq8kHwxa9Qm-4sAJn36VQAL5Xt_WAx8johjFSTRTEDKvew02flgn9QQlvgcoEfXzlTAc/s1600/Capture+d%E2%80%99e%CC%81cran+2014-10-23+a%CC%80+22.30.32.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiAih2lOV92zXjteJdq0qRyUonT1jbTMtnTP74ee1im5amRoTv9AJutiNrI8xyU6DNjaq8kHwxa9Qm-4sAJn36VQAL5Xt_WAx8johjFSTRTEDKvew02flgn9QQlvgcoEfXzlTAc/s1600/Capture+d%E2%80%99e%CC%81cran+2014-10-23+a%CC%80+22.30.32.png" height="156" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;"><a href="https://twitter.com/DefStrategie/status/525314242648743936" style="text-align: start;">https://twitter.com/DefStrategie/status/525314242648743936</a></td></tr>
</tbody></table>
Et puis il y a déjà 7 thèses en cours sur le sujet, bientôt le bout du tunnel …<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh4Ksabejt75QRzZTWUXKKGIpBwq3Bb_5v0iiOXbkorBkvVhMZN4ntBfdJKTBhIleotZ_QF44YCl72aUHxbsNrojfKWhVFutCe54ooS6htFu5o60VpiTrcClScPYp_C8RPAuo9J/s1600/Capture+d%E2%80%99e%CC%81cran+2014-10-23+a%CC%80+22.22.34.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh4Ksabejt75QRzZTWUXKKGIpBwq3Bb_5v0iiOXbkorBkvVhMZN4ntBfdJKTBhIleotZ_QF44YCl72aUHxbsNrojfKWhVFutCe54ooS6htFu5o60VpiTrcClScPYp_C8RPAuo9J/s1600/Capture+d%E2%80%99e%CC%81cran+2014-10-23+a%CC%80+22.22.34.png" height="141" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;"><a href="https://twitter.com/DefStrategie/status/525296121762304000" style="text-align: start;">https://twitter.com/DefStrategie/status/525296121762304000</a></td></tr>
</tbody></table>
Il y a même 60% des gens (dans la salle) qui pensent que le niveau de sécurité s'est amélioré en France ces dernières années ! Bon travail, chef.<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiJRQ0_n5-TH-q5XzrQWX8ljV-YU0N7Eg_KrIV1mv88LoxOJRqbqatoeEBJEyulul_dujUiENR-4sIFXitnxpLAqzJ5rD6yD4eO_40gSTGDynAzhXk1Pv5XXUFNeVUKEoXmHamk/s1600/Capture+d%E2%80%99e%CC%81cran+2014-10-23+a%CC%80+22.26.32.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiJRQ0_n5-TH-q5XzrQWX8ljV-YU0N7Eg_KrIV1mv88LoxOJRqbqatoeEBJEyulul_dujUiENR-4sIFXitnxpLAqzJ5rD6yD4eO_40gSTGDynAzhXk1Pv5XXUFNeVUKEoXmHamk/s1600/Capture+d%E2%80%99e%CC%81cran+2014-10-23+a%CC%80+22.26.32.png" height="148" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;"><a href="https://twitter.com/ISSA_France/status/525224359448031232" style="text-align: start;">https://twitter.com/ISSA_France/status/525224359448031232</a></td></tr>
</tbody></table>
<h2>
Et aussi …</h2>
Quelques annonces en vrac: l'Etat à décidé de rebondir après la fermeture de Surcouf. Mme Michu aura donc le droit à un CERT dédié pour nettoyer son PC, accélérer son navigateur et sauvegarder dans le Claude souverain.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhW4Nr2aSztGtC2wo-mxYN-GQOqBXJCmjLpbolp4-6CLYrV3ax20ayuKWLLUKq5oxEy-2pvQHB920n1D9Rl2_OXP1rm201Uhbw5vQRBGKdD0f5HeRRnkB-pr_F6jSCawlT_pq8S/s1600/Capture+d%E2%80%99e%CC%81cran+2014-10-23+a%CC%80+22.41.30.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhW4Nr2aSztGtC2wo-mxYN-GQOqBXJCmjLpbolp4-6CLYrV3ax20ayuKWLLUKq5oxEy-2pvQHB920n1D9Rl2_OXP1rm201Uhbw5vQRBGKdD0f5HeRRnkB-pr_F6jSCawlT_pq8S/s1600/Capture+d%E2%80%99e%CC%81cran+2014-10-23+a%CC%80+22.41.30.png" height="157" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;"><a href="https://twitter.com/ericfreyss/status/525264594944929792" style="text-align: start;">https://twitter.com/ericfreyss/status/525264594944929792</a></td></tr>
</tbody></table>
Et aussi, une réserve opérationnelle.<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiW-HaTmtylhZxto2JxCteHCZon7_mIvElY-d8T1Yo9zGI42WfSRl5MeC7xOgQy7Fc1rQEgdI1nMksbkBLI8aZ6XaOpxjjttprw_d2oIT57gKg6T8hQs76pYWTd84pJiy5kGnmZ/s1600/Capture+d%E2%80%99e%CC%81cran+2014-10-23+a%CC%80+22.38.20.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiW-HaTmtylhZxto2JxCteHCZon7_mIvElY-d8T1Yo9zGI42WfSRl5MeC7xOgQy7Fc1rQEgdI1nMksbkBLI8aZ6XaOpxjjttprw_d2oIT57gKg6T8hQs76pYWTd84pJiy5kGnmZ/s1600/Capture+d%E2%80%99e%CC%81cran+2014-10-23+a%CC%80+22.38.20.png" height="175" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;"><a href="https://twitter.com/comptoirsecu/status/525308543927595008" style="text-align: start;">https://twitter.com/comptoirsecu/status/525308543927595008</a></td></tr>
</tbody></table>
Mais à quoi vont servir ces réservistes ? A manger les bénéfices du principal sponsor de la journée – à savoir Microsoft – en allant réinstaller des Active Directory le week-end après une compromission ! (L'un des principaux gagne-pains de la branche "conseil" chez Microsoft)<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiUqKzV0shyphenhyphenut1aMl__JQ24H_LNUMbbc8X2ofOmCkjx5FrWsQNfQ_zr5sw0GsqC7TfQmNN-68t6o3dGPDO2vbTWoox_a-Q5REApzOpcPIkf55MqlX9nMUd69MajwNi7KlHpHs_Y/s1600/Capture+d%E2%80%99e%CC%81cran+2014-10-23+a%CC%80+22.40.21.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiUqKzV0shyphenhyphenut1aMl__JQ24H_LNUMbbc8X2ofOmCkjx5FrWsQNfQ_zr5sw0GsqC7TfQmNN-68t6o3dGPDO2vbTWoox_a-Q5REApzOpcPIkf55MqlX9nMUd69MajwNi7KlHpHs_Y/s1600/Capture+d%E2%80%99e%CC%81cran+2014-10-23+a%CC%80+22.40.21.png" height="175" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;"><a href="https://twitter.com/echo_radar/status/525307690147676160" style="text-align: start;">https://twitter.com/echo_radar/status/525307690147676160</a></td></tr>
</tbody></table>
<h2>
Le meilleur pour la fin</h2>
Alors celui là, je ne sais même pas quel commentaire y apporter. Alors que les instances de l'Etat n'arrivent pas à stimuler la production d'un système Android "souverain", ils veulent attaquer frontalement un marché hyper-fragmenté qui se renouvelle tous les 3 mois, dans lequel aucun industriel français n'est impliqué ?<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhvnOM9eJ5uk2XZ9nfRoX9RLCKbZMDZD_r8G_xtINM5SWZd-_dd3TLSUu-i7G8zW0dp6E5z3PUCgZ6CFLtsPsnyjTXF23vVxagVeuYux-tYPjteT67_ilJ8RueLCsUa9TgQb8zj/s1600/Capture+d%E2%80%99e%CC%81cran+2014-10-23+a%CC%80+22.51.23.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhvnOM9eJ5uk2XZ9nfRoX9RLCKbZMDZD_r8G_xtINM5SWZd-_dd3TLSUu-i7G8zW0dp6E5z3PUCgZ6CFLtsPsnyjTXF23vVxagVeuYux-tYPjteT67_ilJ8RueLCsUa9TgQb8zj/s1600/Capture+d%E2%80%99e%CC%81cran+2014-10-23+a%CC%80+22.51.23.png" height="179" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;"><a href="https://twitter.com/AlexArchambault/status/525263148363055104" style="text-align: start;">https://twitter.com/AlexArchambault/status/525263148363055104</a></td></tr>
</tbody></table>
<h2>
Mais en réalité …</h2>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhytPfKx16hTc-W30kdzPK921aHKODlEKpw3iPaROxbh6FbIWVzJmGGXHEHcEKUkfaeRQUiMPM24D3sU5N_Et0PdsK4rJ0HgM05O2tWp8u9gXTQF8noryK0WE3S6YBh7wBRR1rM/s1600/Capture+d%E2%80%99e%CC%81cran+2014-10-23+a%CC%80+22.47.59.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhytPfKx16hTc-W30kdzPK921aHKODlEKpw3iPaROxbh6FbIWVzJmGGXHEHcEKUkfaeRQUiMPM24D3sU5N_Et0PdsK4rJ0HgM05O2tWp8u9gXTQF8noryK0WE3S6YBh7wBRR1rM/s1600/Capture+d%E2%80%99e%CC%81cran+2014-10-23+a%CC%80+22.47.59.png" height="157" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;"><a href="https://twitter.com/echo_radar/status/525303357242888192" style="text-align: start;">https://twitter.com/echo_radar/status/525303357242888192</a></td></tr>
</tbody></table>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj4UuALerd9aQF4eW2Fu6iTF-qPQVSAjpIu7LlFIeZpNSfD5HYJDNDE6ay6z-qwd1A7CbCbaCW9QzwY8XFqdXWBM_k-2P3y8zgIP1D_fTpL-Nbp7Lsw2Fa5OYiZ3O2BKp6_M9kd/s1600/Capture+d%E2%80%99e%CC%81cran+2014-10-23+a%CC%80+22.48.37.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj4UuALerd9aQF4eW2Fu6iTF-qPQVSAjpIu7LlFIeZpNSfD5HYJDNDE6ay6z-qwd1A7CbCbaCW9QzwY8XFqdXWBM_k-2P3y8zgIP1D_fTpL-Nbp7Lsw2Fa5OYiZ3O2BKp6_M9kd/s1600/Capture+d%E2%80%99e%CC%81cran+2014-10-23+a%CC%80+22.48.37.png" height="156" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;"><a href="https://twitter.com/echo_radar/status/525301585334009857" style="text-align: start;">https://twitter.com/echo_radar/status/525301585334009857</a></td></tr>
</tbody></table>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh0L-SG95-hHBSzSCbJtC31DpkPkWtQWWzhPhwiISeE3ZG4KdrzSEoz1YvaVtcFnIeUDm7PoForwfEZ4GHAeb7mApBfsBfpk1WIjkm6NJF6kzbf2PrWnKjMz_1huExchhvXGWDO/s1600/Capture+d%E2%80%99e%CC%81cran+2014-10-23+a%CC%80+22.49.24.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh0L-SG95-hHBSzSCbJtC31DpkPkWtQWWzhPhwiISeE3ZG4KdrzSEoz1YvaVtcFnIeUDm7PoForwfEZ4GHAeb7mApBfsBfpk1WIjkm6NJF6kzbf2PrWnKjMz_1huExchhvXGWDO/s1600/Capture+d%E2%80%99e%CC%81cran+2014-10-23+a%CC%80+22.49.24.png" height="173" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;"><a href="https://twitter.com/lsamain/status/525300659827273728" style="text-align: start;">https://twitter.com/lsamain/status/525300659827273728</a></td></tr>
</tbody></table>
<h2>
Plus sérieusement</h2>
Trêve de plaisanterie, voici mon point de vue sur les thèmes abordés durant cette journée.<br />
<h4>
La cyberguerre: il sera temps de la faire quand elle arrivera.</h4>
Parce que pour le moment c'est un peu comme l'hiver dans Game of Thrones: on en parle beaucoup mais on ne la voit jamais. A côté de ça les problèmes concrets, moins gratifiants, plus durs, mais certainement beaucoup plus impactant, n'avancent pas. Voter une loi pour rendre illégal la possession d'une version Java pas à jour serait certainement bien plus profitable à l'écosystème que pénaliser la possession d'outils de sécurité, comme c'est le cas actuellement. (Vous rigolez peut-être, mais quand on voit les lois qui s'appliquent aux ascenseurs, la proposition n'est pas inimaginable).<br />
<h4>
La sensibilisation: ça ne marche pas.</h4>
Ok, ça peut marcher si vous faites un épisode de Derrick (c'est quoi les trucs à la mode maintenant ?) sur l'usurpation d'identité. Mais un clip de 30 secondes, ça marchera à peu près aussi bien que les clips sur le tabac ou la sécurité routière. Il n'y a que les taxes et les radars qui peuvent forcer les gens à changer. Oh, il faudrait donc probablement infliger une amende aux gens qui vont sur impots.gouv.fr avec une version Java pas à jour (mais pas sur le site de vote des français à l'étranger, qui impose une version de Java antédiluvienne).<br />
<h4>
La formation: ça ne marche pas.</h4>
Certes il y a un effet d'inertie: les jeunes qui rentrent en cyber-formation maintenant ne seront disponibles que dans quelques années. Et encore, que peut-on attendre de quelqu'un qui n'a aucune expérience de terrain ?<br />
<br />
Certes il y a un problème de compétences: comment trouver des professeurs pour former (correctement) les jeunes alors qu'il y a trop peu d'experts en sécurité actuellement ? (Qui l'eût cru d'ailleurs ?)<br />
<br />
Mais le fond du problème, c'est que "la cyber" n'intéresse personne. Au lieu de se retrouver contractuel dans l'administration ou consultant en SSII/ESN/whatever à réinstaller des postes compromis pendant ses week-ends, le jeune qui maitrise un minimum son sujet va plutôt monter un réseau social ou un site de rencontres (c'est pareil) et le revendre dans la Silicon Valley.<br />
<br />
Le peu de gens qui se sont quand même lancés dans la cyber-aventure se sont vite lassés … absence de reconnaissance morale et financière, structures étouffantes, impact nul (refaire le même pentest année après année pour le même client, avec les mêmes résultats ?), absence de perspectives à moyen terme … certains de nos meilleurs experts ont fini dans des trous à rat d'où ils attendent la retraite, les autres sont partis faire autre chose.<br />
<br />
Quelques-uns s'acharnent et continuent en freelance (lors de mon dernier pointage, il existait plus de 200 sociétés françaises qui réalisent de la prestation de services en sécurité informatique). Mais la labellisation des prestataires dans tous les domaines, imposée par l'ANSSI, va achever les quelques "anomalies" du secteur. Il ne restera bientôt plus que des mastodontes chez qui personne ne veut aller se vendre.<br />
<br />
Pas étonnant que la plupart des sponsors de la journée aient autant de mal à recruter …<br />
<h4>
Les PME innovantes en cyber-sécurité: ça n'a aucun intérêt.</h4>
Il ne sert strictement à rien de continuer à stimuler l'innovation en cyber-sécurité, voire d'imposer des PME dans les achats publics. Une PME qui vit exclusivement d'un produit de sécurité informatique va mourir. Certes on pourra la maintenir sous perfusion un certain temps en forçant les ministères ou les grandes entreprises à payer une soulte, mais que d'argent dépensé en pure perte !<br />
<br />
La clé du succès, c'est d'avoir un écosystème informatique performant (éditeurs de logiciels et de services en ligne). La sécurité ne représente que 3% à 5% d'un budget informatique, donc rien (surtout à l'échelle de la France). La stratégie des PME en sécurité informatique est de se diversifier, ou de se faire racheter par un éditeur qui dispose d'une gamme plus large dans laquelle il peut intégrer des outils de sécurité. On peut penser à Mandiant-FireEye, Intel-McAfee ou RSA-EMC.<br />
<br />
C'est aussi la tendance en France avec les rachats annoncés ou à venir: il n'y aura bientôt plus de "Pure Player" de la sécurité en dehors des micro-cabinets de consulting. Sauf qu'il n'existe chez nous aucun éditeur logiciel sérieux (à quelques exceptions près, comme Dassault Systèmes – qui a dû se coltiner le rachat d'Exalead du coup).<br />
<br />
Le fond du problème, c'est donc le statut du développeur logiciel: grouillot boutonneux en France, star dans la Silicon Valley. Une fois que le logiciel et les services en ligne fonctionneront sans subventions en France, l'intendance suivra.<br />
<br />
Et pour cela, il faut que l'informatique trouve la place qu'elle mérite dans les entreprises … et dans le cœur des gens.<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjENmC20Ya4jkGi9agYwYHg02XGIM6otMWoUQPVzYYbx_rn_Q9ekV2oaQdMpVbygQs3397ZgVsLED0DGl6HAELcANsprj2Ysv4IPQrHXkvnqRi23hK8PMMtsCMtyDg4i8T0dip4/s1600/Capture+d%E2%80%99e%CC%81cran+2014-10-24+a%CC%80+08.23.50.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjENmC20Ya4jkGi9agYwYHg02XGIM6otMWoUQPVzYYbx_rn_Q9ekV2oaQdMpVbygQs3397ZgVsLED0DGl6HAELcANsprj2Ysv4IPQrHXkvnqRi23hK8PMMtsCMtyDg4i8T0dip4/s1600/Capture+d%E2%80%99e%CC%81cran+2014-10-24+a%CC%80+08.23.50.png" height="147" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;"><a href="https://twitter.com/BoeufNoix/status/525212041284702208" style="text-align: start;">https://twitter.com/BoeufNoix/status/525212041284702208</a></td></tr>
</tbody></table>
<h4>
Les problèmes: ils sont devant nous, et personne n'y a encore touché.</h4>
J'ai du mal à partager l'optimisme général sur les progrès fabuleux réalisés dans le domaine de la sécurité informatique, sans vouloir minorer le volontarisme de l'Etat.<br />
<br />
Vu de l'extérieur de la cyber-bulle, rien n'a changé: les gens se font voler leur mot de passe et parfois même leur identité numérique, les fraudes sont de plus en plus nombreuses, les entreprises se font pirater et racketter en masse (la fraude au président connaît un succès qui ne se dément pas – tout comme les APT), le dépôt de plainte relève du chemin de croix, les enquêtes ne débouchent sur rien, personne n'est responsable de la situation.<br />
<br />
Ah si, ce qui a changé c'est le rythme des catastrophes: failles #HeartBleed, Rosetta Flash, #ShellShock et POODLE ; vol de données bancaires en masse dans toutes les enseignes de grande distribution américaines ; piratage des banques américaines (J. P. Morgan et consorts) ; etc.<br />
<br />
Bref, la situation est hors de contrôle, et la plupart des entreprises stratégiques continuent à dépendre de feuilles Excel 97. Malgré tous les cyber-séminaires et cyber-thèses consacrés au sujet.<br />
<h4>
Le cyber: ça n'existe pas.</h4>
Pour conclure, je crois qu'il faut arrêter avec le (ou la ? Peut-être The) cyber.<br />
<br />
Utiliser un iPhone pour téléphoner à son pote le dealer n'est pas une cyber-attaque.<br />
<br />
( Au passage, il me semble pas justifié d'invoquer des lois "anti-terroristes" pour casser les sécurités légitimement mises en place par les fabricants qui veulent protéger leurs utilisateurs du vol, de la perte ou du piratage de leur équipement.<br />
<br />
Certes cela serait parfois bien pratique de tout backdoorer. Certes l'apparition de nouveaux moyens de communication pourrait permettre aux Etats d'espionner massivement leurs administrés et de traquer le Crime partout où il se cache. Mais comment faisait-on à l'époque des combinés en bakélite, quand les malfrats téléphonaient depuis une cabine ? On se débrouillait autrement. Et le crime n'était pas plus élevé qu'aujourd'hui.<br />
<br />
La technologie ne doit pas servir de paravent à la baisse des crédits et/ou de la motivation de la police à réaliser des filatures et des enquêtes de terrain. Fin de la parenthèse. )<br />
<br />
La "cybernétique", c'est la science du gouvernement, devenue la science des systèmes complexes. Un mot <a href="http://books.google.it/books?id=2PY4AAAAMAAJ&pg=PA140&dq=cybern%C3%A9tique&hl=fr">déjà désuet à l'époque d'Ampère</a>.<br />
<br />
Le reste c'est de la délinquance, de l'espionnage ou de la guerre - pratiqué avec des outils modernes.<br />
<br />
<a href="http://willusingtheprefixcybermakemelooklikeanidiot.com/">Stop the Cyber</a>. Par pitié.newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com16tag:blogger.com,1999:blog-16926911.post-50412998870882780242014-05-12T08:00:00.000+02:002014-05-12T08:45:43.527+02:00Que vaut le CAC 40 ?<div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">Pour être honnête, j’hésite entre “cyber” et “souverain”. Je ne sais pas laquelle de ces deux tartes à la crème a été la plus entendue en 2013. Mais qu’en est-il sur le terrain ? Y a-t-il une réalité derrière ces termes ?</span></div>
<span style=" "><b id="docs-internal-guid-26a4bbae-ecbb-c805-b03e-c6ca7e89adeb" style="font-weight: normal;"><br /></b>
</span><br />
<div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">Pour le savoir, menons une expérience assez simple: si j’écris à n’importe quel collègue travaillant dans une entreprise du CAC 40, où va arriver mon email ?</span></div>
<span style=" "><b style="font-weight: normal;"><br /></b>
</span><br />
<div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">Cette expérience n’a rien de scientifique, mais au moins elle peut être menée sur la base de données publiques, et s’avère reproductible par tout un chacun.</span></div>
<span style=" "><b style="font-weight: normal;"><br /></b>
</span><br />
<div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" "><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">La liste des entreprises du CAC 40 se trouve sur </span><a href="http://fr.wikipedia.org/wiki/CAC_40" style="text-decoration: none;"><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: underline; vertical-align: baseline; white-space: pre-wrap;">Wikipedia</span></a><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">. Identifier le serveur de messagerie qui collecte tous les courriers entrants est très simple avec la commande </span><span style="font-family: 'Courier New'; font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">nslookup</span><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"> sous Windows ; </span><span style="font-family: 'Courier New'; font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">host</span><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"> ou </span><span style="font-family: 'Courier New'; font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">dig MX <domaine></span><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"> sous Unix et Mac OS X.</span></span></div>
<span style=" "><b style="font-weight: normal;"><br /></b>
</span><br />
<div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">La partie la plus difficile (et la moins scientifique) de l’expérience consiste à identifier l’ensemble des domaines de messagerie utilisés par un groupe, ses filiales et ses acquisitions. Par exemple une filiale qui n’est pas détenue à 100% doit-elle rentrer dans le périmètre ? Dans le cadre du groupe Bouygues par exemple, faut-il considérer @bouygues.com, @bouygues-construction.com et/ou @bouyguestelecom.fr ? Dans le doute, j’ai fait au plus simple: je me suis limité aux sites Web “notoirement” identifiables, puis j’ai supposé que ces domaines étaient capables de recevoir du mail. Vous trouverez dans le tableau ci-dessous tous les domaines retenus, mais n’hésitez pas à compléter cette liste dans les commentaires !</span></div>
<span style=" "><b style="font-weight: normal;"><br /></b>
</span><br />
<div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" "><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">J’ai ensuite extrait l’enregistrement DNS MX pour chaque domaine. Dans certains cas, il est nécessaire de géolocaliser l’adresse IP correspondante: pour cela j’ai utilisé la base </span><a href="http://www.maxmind.com/" style="text-decoration: none;"><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: underline; vertical-align: baseline; white-space: pre-wrap;">MaxMind</span></a><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">. Dans d’autres cas, le suffixe DNS est suffisant pour conclure, selon le guide de lecture suivant (un éditeur de services sera considéré selon sa nationalité d’origine, </span><span style=" font-size: 15px; font-style: italic; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">pas</span><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"> l’emplacement géographique de ses serveurs):</span></span></div>
<ul style="margin-bottom: 0pt; margin-top: 0pt;">
<li dir="ltr" style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; list-style-type: disc; text-decoration: none; vertical-align: baseline;"><div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" "><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">pphosted.com = </span><a href="http://en.wikipedia.org/wiki/Proofpoint,_Inc." style="text-decoration: none;"><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: underline; vertical-align: baseline; white-space: pre-wrap;">ProofPoint</span></a><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"> (américain)</span></span></div>
</li>
<li dir="ltr" style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; list-style-type: disc; text-decoration: none; vertical-align: baseline;"><div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">outlook.com = Microsoft</span></div>
</li>
<li dir="ltr" style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; list-style-type: disc; text-decoration: none; vertical-align: baseline;"><div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">gmessaging.net = Orange (cocorico)</span></div>
</li>
<li dir="ltr" style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; list-style-type: disc; text-decoration: none; vertical-align: baseline;"><div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">frontbridge.com = Microsoft Exchange Online</span></div>
</li>
<li dir="ltr" style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; list-style-type: disc; text-decoration: none; vertical-align: baseline;"><div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" "><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">psmtp.com = </span><a href="http://en.wikipedia.org/wiki/Postini" style="text-decoration: none;"><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: underline; vertical-align: baseline; white-space: pre-wrap;">Postini</span></a><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"> (racheté par Google)</span></span></div>
</li>
<li dir="ltr" style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; list-style-type: disc; text-decoration: none; vertical-align: baseline;"><div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">messagelabs.com = Symantec</span></div>
</li>
</ul>
<span style=" "><b style="font-weight: normal;"><br /></b>
</span><br />
<div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" "><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">Je ne dispose malheureusement pas de compte chez </span><a href="http://whois.domaintools.com/" style="text-decoration: none;"><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: underline; vertical-align: baseline; white-space: pre-wrap;">DomainTools</span></a><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">, mais il serait probablement intéressant d’étudier </span><span style=" font-size: 15px; font-style: italic; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">l’historique </span><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">de ces enregistrements (gardons celà pour un deuxième temps).</span></span></div>
<span style=" "><b style="font-weight: normal;"><br /></b>
</span><br />
<div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">Bien entendu les résultats sont potentiellement incomplets, à cause des techniques DNS Round Robin ou Anycast par exemple. Mais au moins elle ne produit pas de faux positifs.</span></div>
<span style=" "><b style="font-weight: normal;"><br /></b>
</span><br />
<div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" "><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">La conclusion est la suivante: dans seulement </span><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">12 cas sur 40</span><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">, il est certain que le message arrivera sur un serveur hébergé en France. Dans les autres cas, le message est susceptible d’arriver à l’étranger. Il ne s’agit pas de détournement BGP ou d’intrusion sur des câbles sous-marin: l’entreprise du CAC 40 </span><span style=" font-size: 15px; font-style: italic; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">paie</span><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"> effectivement pour recevoir son mail à l’étranger.</span></span></div>
<span style=" "><b style="font-weight: normal;"><br /></b>
</span><br />
<div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">J’en arrive donc à la conclusion que la notion de souveraineté qui agite beaucoup les cyber-penseurs se heurte au principe de réalité suivant: les coûts et la qualité de service offerts par les opérateurs spécialisés (généralement étrangers) est imbattable. Même en injectant beaucoup d’argent public pour essayer de rattraper le retard.</span></div>
<span style=" "><b style="font-weight: normal;"><br /></b>
</span><br />
<div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">Pour conclure, je vous laisse méditer sur ces perles:</span></div>
<span style=" "><b style="font-weight: normal;"><br /></b>
</span><br />
<div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-family: 'Courier New'; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">$ dig MX bouygues-immobilier.fr</span></span></div>
<div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-family: 'Courier New'; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">;; ANSWER SECTION:</span></span></div>
<div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-family: 'Courier New'; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">bouygues-immobilier.fr. 3600 IN MX 30 charybde.wolfbusiness.com.</span></span></div>
<div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-family: 'Courier New'; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">bouygues-immobilier.fr. 3600 IN MX 10 mail.wolfbusiness.com.</span></span></div>
<span style=" "><b style="font-weight: normal;"><span style="font-size: x-small;"><br /></span></b>
</span><br />
<div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-family: 'Courier New'; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">$ dig MX bouygues.fr</span></span></div>
<div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-family: 'Courier New'; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">;; ANSWER SECTION:</span></span></div>
<div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-family: 'Courier New'; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">bouygues.fr. 600 IN MX 5 mailhub.bouygues.fr.</span></span></div>
<div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-family: 'Courier New'; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">bouygues.fr. 600 IN MX 30 mxcache.te-dns.net.</span></span></div>
<span style=" "><b style="font-weight: normal;"><br /></b>
</span><br />
<div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" "><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">La blague ici, c’est que </span><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">wolfbusiness.com</span><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"> et </span><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">te-dns.net</span><span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"> sont des domaines appartenant à Iliad Entreprises, donc à Free.</span></span></div>
<span style=" "><b style="font-weight: normal;"><br /></b>
</span><br />
<div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">Et pour finir:</span></div>
<span style=" "><b style="font-weight: normal;"><br /></b>
</span><br />
<div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-family: 'Courier New'; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">$ dig MX bouyguestelecom.fr</span></span></div>
<div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-family: 'Courier New'; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">;; ANSWER SECTION:</span></span></div>
<div dir="ltr" style="line-height: 1.15; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-family: 'Courier New'; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">bouyguestelecom.fr. 86400 IN MX 1 mail.messaging.microsoft.com.</span></span></div>
<span style=" "><b style="font-weight: normal;"><br /></b>
</span><br />
<h2 style="line-height: 1.15; margin-bottom: 0pt; margin-top: 10pt;">
<span style="font-family: 'Trebuchet MS'; font-size: 21px; font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">Annexe: données brutes</span></h2>
<span style=" "><b style="font-weight: normal;"><br /></b>
</span><br />
<div dir="ltr" style="margin-left: 0pt;">
<table style="border-collapse: collapse; border: none;"><colgroup><col width="151"></col><col width="244"></col><col width="361"></col><col width="131"></col></colgroup><tbody>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">Entrep</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">rise</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Site(s) Web "notoires"</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Enregistrement(s) MX</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Nationalité(s)</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">de l’adresse IP</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Accor</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">accor.fr (redirection)</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">accor.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">accorhotels.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail1.accor.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Airbus Group</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">airbus.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">airbus.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">airbus-group.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">eads.net</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">eads.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">cassidian.fr (redirection)</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">cassidian.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">airbushelicopters.fr (redirection)</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">airbushelicopters.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mbda-systems.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">relay.gharelay.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">gmessaging.net</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">vip-smtp.airbus.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">gmessaging.net</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail-dotnet1.eads.net</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail-dotnet2.eads.net</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail-dotnet3.eads.net</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail-dotnet4.eads.net</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail-dotcom1.eads.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail-dotcom2.eads.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail-dotcom3.eads.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail-dotcom4.eads.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail.airbushelicopters.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">cluster5.eu.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">messagelabs.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="21px;" src="https://lh6.googleusercontent.com/2QxmubGnp6VJ9TpBa8TFWcYAvEOg5Vova_1IiYUS5U4Yfoz1zS-rT1IOL8yJ626kSTKnPrW1fwvRAaV4SeRbQRKFTr3GGaRcOzyr-ehjQBQvbt9ptuYK8dLOEANGeq2O4w" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="37px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">DE</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh3.googleusercontent.com/Levf3MsqLP-1EIpAxJIiPATjfTDM6PPTL53ILw15BExs0ibdga-ZxMh1U63fEmvs-Th20_L4yJrKOIDAr3O5pmMBiZ0BVSbvILBcuugH8PIEcxwvfjSo5Z0jDhKHhQZUOw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="39px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">US</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Air Liquide</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">airliquide.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">airliquide.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">airliquide-com.mail.protection.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">outlook.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh3.googleusercontent.com/Levf3MsqLP-1EIpAxJIiPATjfTDM6PPTL53ILw15BExs0ibdga-ZxMh1U63fEmvs-Th20_L4yJrKOIDAr3O5pmMBiZ0BVSbvILBcuugH8PIEcxwvfjSo5Z0jDhKHhQZUOw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="39px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">US</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Alcatel-Lucent</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">alcatel-lucent.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">alcatel-lucent.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">smtp-mx2.alcatel.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">smtp-mx3.alcatel.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">smtp-mx5.alcatel.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">ihemail1.lucent.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">ihemail2.lucent.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">ihemail3.lucent.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">ihemail4.lucent.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">hoemail1.alcatel.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">hoemail2.alcatel.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh3.googleusercontent.com/Levf3MsqLP-1EIpAxJIiPATjfTDM6PPTL53ILw15BExs0ibdga-ZxMh1U63fEmvs-Th20_L4yJrKOIDAr3O5pmMBiZ0BVSbvILBcuugH8PIEcxwvfjSo5Z0jDhKHhQZUOw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="39px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">US</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Alstom</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">alstom.fr (redirection)</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">alstom.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">relay.alstom.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">gmessaging.net</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">vip-smtp.alstom.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">gmessaging.net</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">vip-smtp.alstom.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="24px;" src="https://lh6.googleusercontent.com/arlOTzoeakcy0crig0j_Sc_ScChKdNPWut6BEth5A72YaMs0hw0iH_Bw99GNLt41vPmEwMCVFPIfU2yfcgvrxMtAhopOq376c3h_3YGj8_sTkAXsNe3s2VoVTWyyOWNf6g" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="37px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">NL</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">ArcelorMittal</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">arcelormittal.fr (redirection)</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">arcelormittal.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mx1.arcelormittal.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mx2.arcelormittal.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mx3.arcelormittal.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mx1-us.arcelormittal.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mx2-us.arcelormittal.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh3.googleusercontent.com/Levf3MsqLP-1EIpAxJIiPATjfTDM6PPTL53ILw15BExs0ibdga-ZxMh1U63fEmvs-Th20_L4yJrKOIDAr3O5pmMBiZ0BVSbvILBcuugH8PIEcxwvfjSo5Z0jDhKHhQZUOw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="39px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">US</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh4.googleusercontent.com/GkI0MxxwjID7iXIXtyWxAdkS2Nr8IWy68ULVuH9w28-gw-ewu0PbZ0RsHhIqaOHz5adK6mwFZtjR5ePK3mOO_mMBsEHSgous-0Au7xGCKSEmgQwndcuLRWdEI3-lEIS18w" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="40px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">UK</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">AXA</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">axa.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">axa.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mrelay2.axa.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">BNP Paribas</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">bnpparibas.net</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">bnpparibas.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">bnpparibas.fr</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">parmail7.bnpparibas.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">parmail8.bnpparibas.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">parmail15.bnpparibas.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">parmail19.bnpparibas.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">parmail21.bnpparibas.fr</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Bouygues</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">bouygues.fr (redirection)</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">bouygues.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">bouygues-construction.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">bouygues-construction.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">bouygues-immobilier.fr (redirection)</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">bouygues-immobilier.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">bouyguestelecom.fr</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mxcache.te-dns.net</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mailhub.bouygues.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">bouygues-com.mail.protection.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">outlook.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mx.dial.oleane.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">secours.bouygues-construction.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mailhub.bouygues-construction.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">concentrateur.bouygues-construction.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail.wolfbusiness.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">charybde.wolfbusiness.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mx.bouygues-immobilier.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mx2.bouygues-immobilier.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">mail.messaging.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">microsoft.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh3.googleusercontent.com/Levf3MsqLP-1EIpAxJIiPATjfTDM6PPTL53ILw15BExs0ibdga-ZxMh1U63fEmvs-Th20_L4yJrKOIDAr3O5pmMBiZ0BVSbvILBcuugH8PIEcxwvfjSo5Z0jDhKHhQZUOw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="39px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">US</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Capgemini</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">capgemini.fr (redirection)</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">capgemini.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">MX1.capgemini.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">MX2.capgemini.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="21px;" src="https://lh6.googleusercontent.com/2QxmubGnp6VJ9TpBa8TFWcYAvEOg5Vova_1IiYUS5U4Yfoz1zS-rT1IOL8yJ626kSTKnPrW1fwvRAaV4SeRbQRKFTr3GGaRcOzyr-ehjQBQvbt9ptuYK8dLOEANGeq2O4w" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="37px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">DE</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Carrefour</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">carrefour.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">carrefour.eu</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">carrefour.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">mxa-00150901.gslb.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">pphosted.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">mxb-00150901.gslb.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">pphosted.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">mx1.carrefour.com </span><span style=" font-style: italic; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">(alias </span><span style=" font-style: italic; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">pphosted.com</span><span style=" font-style: italic; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">)</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">mx2.carrefour.com </span><span style=" font-style: italic; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">(alias </span><span style=" font-style: italic; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">pphosted.com</span><span style=" font-style: italic; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">)</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh3.googleusercontent.com/Levf3MsqLP-1EIpAxJIiPATjfTDM6PPTL53ILw15BExs0ibdga-ZxMh1U63fEmvs-Th20_L4yJrKOIDAr3O5pmMBiZ0BVSbvILBcuugH8PIEcxwvfjSo5Z0jDhKHhQZUOw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="39px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">US</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Crédit Agricole</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">credit-agricole.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">credit-agricole.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">phil.credit-agricole.fr</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Danone</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">danone.fr (site clients)</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">danone.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">mx.dnsassurance.com </span><span style=" font-style: italic; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">(alias </span><span style=" font-style: italic; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">melbourneit.com</span><span style=" font-style: italic; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">)</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">cluster5.eu.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">messagelabs.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">cluster5a.eu.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">messagelabs.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh6.googleusercontent.com/7OV0phOxm7dbGx65feqBQkFh1gR1oP5pkb088-3FSdk272DPVIQCuvsizqCMHNrEJd_ws1NkUAIP8ZXT67KUo6TymSvsxNG5JQm3IVwLHT9OwC9NRkQnNgQziZM_XfCdsw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="39px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">AU</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh3.googleusercontent.com/Levf3MsqLP-1EIpAxJIiPATjfTDM6PPTL53ILw15BExs0ibdga-ZxMh1U63fEmvs-Th20_L4yJrKOIDAr3O5pmMBiZ0BVSbvILBcuugH8PIEcxwvfjSo5Z0jDhKHhQZUOw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="39px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">US</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">EDF</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">edf.fr (redirection)</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">edf.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mtagate1.edf.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mtagate2.edf.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mtagate3.edf.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mtagate4.edf.fr</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Essilor</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">essilor.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">essilor.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">essilor.fr.s7a1.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">psmtp.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">essilor.fr.s7a2.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">psmtp.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">essilor.fr.s7b1.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">psmtp.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">essilor.fr.s7b2.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">psmtp.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">essilor.com.s7a1.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">psmtp.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">essilor.com.s7a2.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">psmtp.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">essilor.com.s7b1.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">psmtp.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">essilor.com.s7b2.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">psmtp.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh3.googleusercontent.com/Levf3MsqLP-1EIpAxJIiPATjfTDM6PPTL53ILw15BExs0ibdga-ZxMh1U63fEmvs-Th20_L4yJrKOIDAr3O5pmMBiZ0BVSbvILBcuugH8PIEcxwvfjSo5Z0jDhKHhQZUOw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="39px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">US</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">GDF Suez</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">gdfsuez.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">gdfsuez.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail.gdfsuez.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mx2.gdfsuez.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="28px;" src="https://lh5.googleusercontent.com/APeMnv8keKJhS_wusaxtxTEXnhfrYhO9VimQAipJBvUo0ND8mxYMlR_P9ABbbtdVmtdCCfMeiSBBOWm1AT_49tn9hoeBaAu_ryxoyCdDibCsB0l7bYu9cT-sfpwIGjGPkg" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="33px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">BE</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">(Electrabel)</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Gemalto</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">gemalto.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">gemalto.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">smtp1.gemalto.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">smtp2.gemalto.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">(Atos Origin)</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Kering</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">kering.fr (redirection)</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">pprgroup.net</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">kering.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail.kering.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail1.kering.net</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail2.kering.net</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail.pprgroup.net</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Lafarge SA</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">lafarge.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">lafarge.com (redirection)</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail.lafarge.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">lafarge.com.s200a1.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">psmtp.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">lafarge.com.s200a2.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">psmtp.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">lafarge.com.s200b1.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">psmtp.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">lafarge.com.s200b2.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">psmtp.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh3.googleusercontent.com/Levf3MsqLP-1EIpAxJIiPATjfTDM6PPTL53ILw15BExs0ibdga-ZxMh1U63fEmvs-Th20_L4yJrKOIDAr3O5pmMBiZ0BVSbvILBcuugH8PIEcxwvfjSo5Z0jDhKHhQZUOw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="39px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">US</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Legrand</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">legrand.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">legrand.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">relayim.fr.grpleg.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mx3.fr.grpleg.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mx4.fr.grpleg.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">relayit.bticino.it</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mx1.bticino.it</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mx2.bticino.it</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">legrand-fr.mail.protection.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">outlook.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">legrand-com.mail.protection.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">outlook.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh3.googleusercontent.com/Levf3MsqLP-1EIpAxJIiPATjfTDM6PPTL53ILw15BExs0ibdga-ZxMh1U63fEmvs-Th20_L4yJrKOIDAr3O5pmMBiZ0BVSbvILBcuugH8PIEcxwvfjSo5Z0jDhKHhQZUOw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="39px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">US</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh6.googleusercontent.com/heUK8FZfZVpZa4I9qu-iWjK0wWR5PfGdpCCUDMTfzOdrrqZphi4IRfcwrJiZ1eQjahe_V1Ba-tl8Ka9opjY6ikfbtDybLlRm5wmrWjiB-KVpfJxf9NS7Nml3ZO-wauJSmw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="36px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">IT</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">L’Oréal</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">loreal.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">loreal.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">loreal-paris.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">loreal-paris.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">ora-webmail.int-hosting.net</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mailhub.btfrance.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">smtp1.loreal.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">…</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">smtp7.loreal.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">smtp3.us.loreal.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">smtp4.us.loreal.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh3.googleusercontent.com/Levf3MsqLP-1EIpAxJIiPATjfTDM6PPTL53ILw15BExs0ibdga-ZxMh1U63fEmvs-Th20_L4yJrKOIDAr3O5pmMBiZ0BVSbvILBcuugH8PIEcxwvfjSo5Z0jDhKHhQZUOw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="39px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">US</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">LVMH</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">lvmh.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">lvmh.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">smtp-chev.acacia.lvmh.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">smtp-sin.acacia.lvmh.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh3.googleusercontent.com/GMjwmz3GYC3I76b_g1iUYdJYaNR-MFABxRwMapwJkZ_mxyv9Lq4q-3AQkNLf1_W2MW3IrhuzZ716Sfhz2OvX4F4u_E31Bgr31RP0IvgaZRsp-qgn0SQ-iQ8Hj-KruSvLMA" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">SG</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Michelin</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">michelin.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">michelin.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">gk-us1.michelin.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">gk-us2.michelin.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">gk-fr1.michelin.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">gk-fr2.michelin.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">gk-fr3.michelin.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh3.googleusercontent.com/Levf3MsqLP-1EIpAxJIiPATjfTDM6PPTL53ILw15BExs0ibdga-ZxMh1U63fEmvs-Th20_L4yJrKOIDAr3O5pmMBiZ0BVSbvILBcuugH8PIEcxwvfjSo5Z0jDhKHhQZUOw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="39px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">US</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Orange</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">orange.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">orange.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">smtp-in.orange.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">relais-ias241.francetelecom.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">relais-ias89.francetelecom.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Pernod-Ricard</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">pernod-ricard.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">pernod-ricard.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">mxa-0012cd01.gslb.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">pphosted.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">mxb-0012cd01.gslb.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">pphosted.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh3.googleusercontent.com/Levf3MsqLP-1EIpAxJIiPATjfTDM6PPTL53ILw15BExs0ibdga-ZxMh1U63fEmvs-Th20_L4yJrKOIDAr3O5pmMBiZ0BVSbvILBcuugH8PIEcxwvfjSo5Z0jDhKHhQZUOw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="39px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">US</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Publicis</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">publicisgroupe.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">hkgmail1.hk.publicisgroupe.net</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">parmail1.fr.publicisgroupe.net</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">chimail1.us.publicisgroupe.net</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh3.googleusercontent.com/Levf3MsqLP-1EIpAxJIiPATjfTDM6PPTL53ILw15BExs0ibdga-ZxMh1U63fEmvs-Th20_L4yJrKOIDAr3O5pmMBiZ0BVSbvILBcuugH8PIEcxwvfjSo5Z0jDhKHhQZUOw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="39px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">US</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="25px;" src="https://lh6.googleusercontent.com/kjEO6WFl4K868QFfStFvpVq92hRyKzHnJQdUWjz-zpN25oy2ChFIrQp4JI-YiLBkOUuP7ompfw1_J9IZLCK7qSiRdFy4XXiF2RNg-qeDww6cldiWaxZwHwMHqtYOF8HnwQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="37px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">CN</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Renault</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">renault.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">renault.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">smtp.renault.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">smtp2.renault.fr</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Safran</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">safran-group.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">safran-group.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail.safran-group.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">ns.aixia.net</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Saint Gobain</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">saint-gobain.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">saint-gobain.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">saint-gobain-glass.fr (redirection)</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">saint-gobain-glass.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail.saint-gobain.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail2.saint-gobain.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail3.saint-gobain.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail4.saint-gobain.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail5.saint-gobain.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail6.saint-gobain.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">smtp.pictime.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">bow.rain.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mx1.linkbymail.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mx2.linkbymail.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mx3.linkbymail.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mx4.linkbymail.fr</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Sanofi</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">sanofi.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">sanofi.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">frasldsuext11.aventis.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">XSPZ10P120B.sanofi.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">xspz10p851w.sanofi.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">xspz10p852b.sanofi.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">xspz10k428f.sanofi.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">xspz10k458s.sanofi.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">XSPZ10F562B.sanofi.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">XSPZ10F564T.sanofi.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">XSPZ10P119T.sanofi.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="21px;" src="https://lh6.googleusercontent.com/2QxmubGnp6VJ9TpBa8TFWcYAvEOg5Vova_1IiYUS5U4Yfoz1zS-rT1IOL8yJ626kSTKnPrW1fwvRAaV4SeRbQRKFTr3GGaRcOzyr-ehjQBQvbt9ptuYK8dLOEANGeq2O4w" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="37px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">DE</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh3.googleusercontent.com/Levf3MsqLP-1EIpAxJIiPATjfTDM6PPTL53ILw15BExs0ibdga-ZxMh1U63fEmvs-Th20_L4yJrKOIDAr3O5pmMBiZ0BVSbvILBcuugH8PIEcxwvfjSo5Z0jDhKHhQZUOw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="39px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">US</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Schneider Electric</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">schneider-electric.fr (redirection)</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">schneider-electric.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">smtp.pictime.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">bow.rain.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">cluster3.eu.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">messagelabs.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">cluster3a.eu.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">messagelabs.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh3.googleusercontent.com/Levf3MsqLP-1EIpAxJIiPATjfTDM6PPTL53ILw15BExs0ibdga-ZxMh1U63fEmvs-Th20_L4yJrKOIDAr3O5pmMBiZ0BVSbvILBcuugH8PIEcxwvfjSo5Z0jDhKHhQZUOw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="39px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">US</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Société Générale</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">societegenerale.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">societegenerale.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail.iap.socgen.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">nycmail.iap.socgen.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh3.googleusercontent.com/Levf3MsqLP-1EIpAxJIiPATjfTDM6PPTL53ILw15BExs0ibdga-ZxMh1U63fEmvs-Th20_L4yJrKOIDAr3O5pmMBiZ0BVSbvILBcuugH8PIEcxwvfjSo5Z0jDhKHhQZUOw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="39px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">US</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Solvay</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">solvay.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">solvay.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">fr.mail1.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">psmtp.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">solvay.com.s200b1.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">psmtp.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">solvay.com.s200b2.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">psmtp.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">solvay.com.s200a1.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">psmtp.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">solvay.com.s200a2.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">psmtp.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh3.googleusercontent.com/Levf3MsqLP-1EIpAxJIiPATjfTDM6PPTL53ILw15BExs0ibdga-ZxMh1U63fEmvs-Th20_L4yJrKOIDAr3O5pmMBiZ0BVSbvILBcuugH8PIEcxwvfjSo5Z0jDhKHhQZUOw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="39px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">US</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Technip</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">technip.fr (redirection)</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">technip.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">smtp3.technip.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">smtp12.technip.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">smtp23.technip.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh3.googleusercontent.com/Levf3MsqLP-1EIpAxJIiPATjfTDM6PPTL53ILw15BExs0ibdga-ZxMh1U63fEmvs-Th20_L4yJrKOIDAr3O5pmMBiZ0BVSbvILBcuugH8PIEcxwvfjSo5Z0jDhKHhQZUOw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="39px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">US</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Total</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">total.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">total.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">smtp1.totalfinaelf.net</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail01.par.totalfinaelf.net</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail02.par.totalfinaelf.net</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Unibail-Rodamco</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">unibail-rodamco.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">unibail-rodamco.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">relay1.netnames.net</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">relay2.netnames.net</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail.unibail.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail2.unibail.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail3.unibail.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail4.unibail.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail6.unibail.fr</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh4.googleusercontent.com/GkI0MxxwjID7iXIXtyWxAdkS2Nr8IWy68ULVuH9w28-gw-ewu0PbZ0RsHhIqaOHz5adK6mwFZtjR5ePK3mOO_mMBsEHSgous-0Au7xGCKSEmgQwndcuLRWdEI3-lEIS18w" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="40px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">UK</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Vallourec</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">vallourec.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">vallourec.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">mxa-00163401.gslb.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">pphosted.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">mxb-00163401.gslb.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">pphosted.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">mx07-00163401.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">pphosted.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">mx08-00163401.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">pphosted.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh3.googleusercontent.com/Levf3MsqLP-1EIpAxJIiPATjfTDM6PPTL53ILw15BExs0ibdga-ZxMh1U63fEmvs-Th20_L4yJrKOIDAr3O5pmMBiZ0BVSbvILBcuugH8PIEcxwvfjSo5Z0jDhKHhQZUOw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="39px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">US</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Veolia Environnement</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">veolia.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">veolia.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">defaultmx.iptwins.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">aspmx.l.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">google.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">alt1.aspmx.l.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">google.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">alt2.aspmx.l.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">google.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">aspmx2.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">googlemail.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">aspmx3.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">googlemail.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mailve1.generale-des-eaux.net</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh3.googleusercontent.com/Levf3MsqLP-1EIpAxJIiPATjfTDM6PPTL53ILw15BExs0ibdga-ZxMh1U63fEmvs-Th20_L4yJrKOIDAr3O5pmMBiZ0BVSbvILBcuugH8PIEcxwvfjSo5Z0jDhKHhQZUOw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="39px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">US</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Vinci</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">vinci.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">vinci.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">vinci-autoroutes.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">vinci-construction.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">vinci-immobilier.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">vincipark.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">vinci-energies.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mx1.vinci.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mx2.vinci.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">smtp1.vinci.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">smtp2.vinci.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">mail.global.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">frontbridge.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">vinciautoroutes-com01c.mail.protection.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">outlook.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mx1.vinci-construction.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mx2.vinci-construction.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mx1.vinci-immobilier.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mx2.vinci-immobilier.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">vincipark-com.mail.eo.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">outlook.com</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">vincienergies-com01c.mail.eo.</span><span style=" font-style: normal; font-variant: normal; font-weight: bold; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">outlook.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh3.googleusercontent.com/Levf3MsqLP-1EIpAxJIiPATjfTDM6PPTL53ILw15BExs0ibdga-ZxMh1U63fEmvs-Th20_L4yJrKOIDAr3O5pmMBiZ0BVSbvILBcuugH8PIEcxwvfjSo5Z0jDhKHhQZUOw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="39px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">US</span></span></div>
</td></tr>
<tr style="height: 0px;"><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">Vivendi Media</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">vivendi.fr</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">vivendi.com</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail-gw.vivendi.net</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail-bk.vivendi.net</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><span style="font-size: x-small;">mail.vivendi.net</span></span></div>
</td><td style="border-bottom: solid #000000 1px; border-left: solid #000000 1px; border-right: solid #000000 1px; border-top: solid #000000 1px; padding: 7px 7px 7px 7px; vertical-align: top;"><div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="23px;" src="https://lh5.googleusercontent.com/v-Hhi455_68hZiTFBzCVAxfRDYRNUfk6X-9B8H7GoSqeW6NN46oOB9pD2EdkkgGuGvkcvsViVag7P9gIuwmCK1ZdyNll67CM1ENYOmu66kt9TVHpEvtFDN2EnyBVxuNyYQ" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="35px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">FR</span></span></div>
<div dir="ltr" style="line-height: 1; margin-bottom: 0pt; margin-top: 0pt;">
<span style="font-size: x-small;"><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;"><img height="20px;" src="https://lh3.googleusercontent.com/Levf3MsqLP-1EIpAxJIiPATjfTDM6PPTL53ILw15BExs0ibdga-ZxMh1U63fEmvs-Th20_L4yJrKOIDAr3O5pmMBiZ0BVSbvILBcuugH8PIEcxwvfjSo5Z0jDhKHhQZUOw" style="-webkit-transform: rotate(0.00rad); border: none; transform: rotate(0.00rad);" width="39px;" /></span><span style=" font-style: normal; font-variant: normal; font-weight: normal; text-decoration: none; vertical-align: baseline; white-space: pre-wrap;">US</span></span></div>
</td></tr>
</tbody></table>
</div>
<br />newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com5tag:blogger.com,1999:blog-16926911.post-6070472490616070722013-09-17T08:00:00.000+02:002013-09-17T08:00:03.645+02:00Fiat Lux<div style="border-bottom: solid #4F81BD 1.0pt; border: none; mso-border-bottom-themecolor: accent1; mso-element: para-border-div; padding: 0cm 0cm 4.0pt 0cm;">
<div class="MsoTitle">
J’ai assisté à la réunion d’information PASSI du mardi 10
septembre dernier. Et je n’étais pas le seul. Vu l’épaisseur du listing au
point de contrôle, il devait bien y avoir 500 personnes invitées, pour une
centaine effectivement présentes dans la salle.</div>
</div>
<div class="MsoNormal">
<o:p></o:p></div>
<h2>
Personnages principaux</h2>
<h1>
<o:p></o:p></h1>
<div class="MsoNormal">
Pour cette réunion clé dans le paysage de la prestation de
services en SSI, il faut admettre que l’ANSSI avait réellement effectué un
travail amont de fourmi en recensant toutes les structures qui réalisent des
audits de sécurité en France. SSII de toutes tailles, <i style="mso-bidi-font-style: normal;">freelances</i>, et même associations – <a href="http://clubpsco.fr/">Club PSCO</a>, <a href="http://www.cesin.fr/">CESIN</a>,
<a href="http://www.ossir.org/">OSSIR</a>, <a href="http://www.clusif.asso.fr/">CLUSIF</a>,
<a href="http://www.club-27001.fr/">Club 27001</a> – à l’exception notable des
FPTI (<a href="http://www.fpti.pro/">canal historique</a> ou <a href="http://www.fpti.asso.fr/">pas</a>).<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Sur scène :<br />
<br />
<ul>
<li><span style="font-family: Symbol; text-indent: -18pt;"><span style="font-family: 'Times New Roman'; font-size: 7pt;"> </span></span><span style="text-indent: -18pt;">Contre-amiral Dominique Riban (directeur adjoint
de l’ANSSI)</span></li>
<li><span style="text-indent: -18pt;">Yann Tourdot (ANSSI)</span></li>
<li><span style="text-indent: -18pt;">Armelle Trotin (LSTI)</span></li>
<li><span style="text-indent: -18pt;">Hervé Schauer (HSC)</span></li>
<li><span style="text-indent: -18pt;">AMOSSYS</span></li>
</ul>
</div>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<o:p></o:p></div>
<div class="MsoListParagraphCxSpLast" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<o:p></o:p></div>
<div class="MsoNormal">
L’absence de Sogeti/ESEC, troisième larron de la procédure
expérimentale, a été remarquée. Y avait-il un message politique ?</div>
<div class="MsoNormal">
<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Hervé Schauer a été égal à lui-même, et nous a gratifié des
quelques saillies drolatiques telles que « je ne sais pas combien ça a
coûté car je n’ai jamais été très fort en comptabilité analytique » ou
« vous n’avez pas besoin de formation pour présenter le PASSI mais on est
prêt à vous en vendre quand même ».<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Enfin il faut rendre hommage au maitre de cérémonie - Yann
Tourdot - qui a encaissé pendant presque 3 heures le feu roulant des questions
de la part d’un public pas vraiment conquis (c’est un euphémisme) avec un calme
olympien. Je cherche encore à découvrir le secret de cette incroyable
résistance au troll : pratique de la méditation Asubha ou perfusion de
Lexomil ?<o:p></o:p></div>
<h2>
Acte 1 : le message est délivré</h2>
<h1>
<o:p></o:p></h1>
<div class="MsoNormal">
Les hostilités démarrent à 14h, modulo les quelques minutes
de retard de M. Schauer. Le contre-amiral Dominique Riban nous remémore par son
bref exposé que l’ANSSI est la digne héritière de la DCSSI. On ne va pas parler
audit de code Java ou recherche de XSS dans des applications PHP – non, nous
sommes ici entre représentants de la « chaine de cyberdéfense » (le
terme a été employé une bonne demi-douzaine de fois).</div>
<div class="MsoNormal">
<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Son allocution brève et précise délivre la clé du PASSI en
quelques minutes seulement : l’ANSSI pourra se faire remplacer dans ses
interventions par un PASSI de son choix, au TJM de <a href="http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000027385171">1000€/jour</a>
(indexé sur le point de la fonction publique), et ce pour une durée illimitée.
Car malgré un effectif cible de 500 personnes à horizon 2015, l’ANSSI est
débordée par la situation calamiteuse dans les administrations et les grandes
entreprises françaises (sans toutefois oser employer le mot d’échec de la
sécurité).<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
J’aurais alors pu me lever et partir à la suite du
contre-amiral, mais j’aurais peut-être eu l’impression d’avoir fait le
déplacement pour rien (d’autant qu’il n’y avait ni café ni <i style="mso-bidi-font-style: normal;">goodies</i>). Je restais donc pour l’acte 2, durant lequel les détails
d’implémentation allaient être âprement débattus.<o:p></o:p></div>
<h2>
Acte 2 : la principale subtilité</h2>
<h1>
<o:p></o:p></h1>
<div class="MsoNormal">
Mon objectif n’est pas de retranscrire ici deux heures de questions
par ordre chronologique, mais plutôt par ordre de pertinence.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
L’un des points essentiels qui a été soulevé concerne le
niveau de technicité recherché chez les auditeurs (tout le monde connaît la
rigueur des entretiens d’embauche à l’ANSSI). L’objectif du PASSI est de labelliser
des prestataires de <i style="mso-bidi-font-style: normal;">confiance</i>, non
pas de trier sur le volet les meilleurs experts français. La différence est
subtile ; sans vouloir faire de mauvais esprit je pense qu’elle conduira
les <i style="mso-bidi-font-style: normal;">usual suspects</i> à être
automatiquement labellisés indépendamment de leur capacité à délivrer une
prestation de qualité.<o:p></o:p></div>
<h2>
Acte 3 : le diable est dans les détails</h2>
<h1>
<o:p></o:p></h1>
<div class="MsoNormal">
Le schéma de certification est un processus assez lourd, à
l’instar du transparent consacré au sujet. Pour obtenir le précieux sésame,
l’entreprise devra se faire auditer, <i style="mso-bidi-font-style: normal;">et</i>
disposer de consultants labellisés dans les domaines pour lesquels elle
candidate (audits organisationnels, audit de code, etc.). <o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
En ce qui concerne l’entreprise, elle devra se plier à un
audit de son réseau interne, et démontrer que le service « audits et
tests » n’a aucune adhérence avec le reste de l’entreprise, considéré
comme « hostile ». Curieuse approche qui consiste à laisser les
auditeurs gérer eux-mêmes leur infrastructure ; on sait pourtant qu’ils ne
sont pas les premiers à appliquer les conseils qu’ils donnent aux autres.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Le niveau d’exigence n’a pas été clairement défini, mais des
gros mots ont été utilisés, tels que « produits certifiés » ou
« IPSEC ». On peut s’attendre toutefois à un saut qualitatif par
rapport aux pratiques actuelles, car il a été évoqué le fait que les tests et
la rédaction du rapport devaient être réalisés sur deux machines distinctes,
l’auditeur n’étant pas administrateur de la deuxième. Par ailleurs tous les
échanges de documents avec les clients devront être chiffrés, ce qui promet des
heures d’amusement compte-tenu du niveau d’interopérabilité entre les
différentes solutions.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
En ce qui concerne les personnes, elles devront passer un
examen écrit (de type QCM) et un examen oral par catégorie. Visiblement le taux
de succès selon les catégories varie entre 50% (test d’intrusion) et 90% (audit
organisationnel) ; en phase expérimentale 15 consultants ont été labellisés sur
le test d’intrusion.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Pour l’anecdote, bien qu’elle se défende avec véhémence de
piller les ressources du privé, l’ANSSI a d’ores et déjà recruté la majorité de
ces consultants. Par contre l’histoire ne dit pas ce qu’il est advenu des
autres… qui peuvent toutefois retenter leur chance jusqu’à 2 fois par an.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Une fois l’étape initiale franchie, il reste pour
l’entreprise à payer un audit de contrôle tous les 18 mois et un audit de
re-certification tous les 3 ans, sauf si un événement vient à remettre en cause
la labellisation, comme par exemple le départ de tous les auditeurs dans une
activité donnée.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Tout ceci a bien évidemment un coût, à propos duquel il a
été difficile de tirer les vers du nez de LSTI, qui est <i style="mso-bidi-font-style: normal;">de facto</i> la seule société habilitée à dérouler la procédure de labellisation.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Une estimation grossière donne 6 jours pour l’audit de
l’entreprise et environ 600€ par consultant présenté à l’examen, ce qui reste
modeste. Mais de l’aveu même des participants au programme beta, le temps de préparation
est considérable, aussi bien pour l’entreprise que pour les candidats. Ce qui
fait dire à un participant : « c’est le même prix qu’un stand
aux Assises, mais avec un ROI moins évident ».<o:p></o:p></div>
<h2>
Acte 4 : il est frais mon label</h2>
<h1>
<o:p></o:p></h1>
<div class="MsoNormal">
L’implémentation retenue par l’ANSSI est la suivante :
une « attestation de compétences » est remise à l’auditeur labellisé.
Il peut s’en prévaloir lors de la réponse aux appels d’offres, mais la liste
des auditeurs certifiés reste « secrète ». Ce qui veut dire qu’elle
ne sera pas publiquement affichée ni sur le site de l’ANSSI ni sur le site des
entreprises labellisées, mais aucune sanction n’est prévue s’il se crée demain
un groupe LinkedIn des auditeurs PASSI. Une sorte de secret de polichinelle,
donc.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
L’ANSSI, soucieuse d’éviter la débauche de personnel (ou pas),
précise que l’attestation de compétences n’est valable que pour exercer dans
l’entreprise qui l’a financée. Si l’auditeur change d’entreprise, il devient
automatiquement « incompétent », mais peut être admis à repasser
l’examen.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Détail amusant : afin d’éviter les conflits d’intérêt
lors des audits de labellisation, LSTI a choisi de faire appel à des profs
(voire des étudiants). « Ce n’est pas de la sous-traitance, c’est du
mandatement » nous signale Armelle Trotin. Comme quoi il peut exister des
passerelles entre l’industrie et le monde universitaire !<o:p></o:p></div>
<h2>
Acte 5 : le futur</h2>
<h1>
<o:p></o:p></h1>
<div class="MsoNormal">
Bien entendu tout ceci n’a de sens que si le RGS 2.0 est
publié un jour, puisque le PASSI ne sera contraignant que pour les victimes de
ce document. L’ANSSI est confiante dans le fait que ce document verra le jour
« avant 2015 ». Avec un délai de 5 ans entre la publication du RGS
1.0 et le décret d’application, on est en droit de ne pas partager le même
optimisme.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Néanmoins l’ANSSI poursuit dans sa lancée afin d’adresser
toutes les activités de la « chaine de cyberdéfense ». Après la
prévention avec les audits et tests d’intrusion (si tant est que cela prévienne
quoi que ce soit), des labels vont être créés pour les prestataires en
détection d’intrusion (SOC), en investigation (<i style="mso-bidi-font-style: normal;">forensics</i>) et en reconstruction – ainsi que dans un tout autre
domaine, celui du <i style="mso-bidi-font-style: normal;">Cloud</i>.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Petite anecdote : il est d’ores et déjà prévu de tester
les candidats dans ces catégories sur leur capacité à rétro-concevoir des
échantillons de <i style="mso-bidi-font-style: normal;">malwares</i>. Une double
révolution culturelle est donc en marche …<o:p></o:p></div>
<h2>
Conclusion</h2>
<h1>
<o:p></o:p></h1>
<div class="MsoNormal">
Une poignée de sociétés ont d’ores et déjà fait la démarche
de candidater à la procédure PASSI « finale ». Toutefois pour
l’écrasante majorité des prestataires avec qui j’ai pu discuter en « off »,
il est urgent d’attendre. Les coûts engendrés sont considérables eût égard au
volant d’activité que représentent réellement les clients soumis au futur RGS
2.0. Même les appels d’offres publics les plus récents – dont certains sont des
contrats « cadre » sur 4 ans – ne font aucune mention du PASSI.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<!--[if gte mso 9]><xml>
<o:OfficeDocumentSettings>
<o:AllowPNG/>
</o:OfficeDocumentSettings>
</xml><![endif]-->
<!--[if gte mso 9]><xml>
<w:WordDocument>
<w:View>Normal</w:View>
<w:Zoom>0</w:Zoom>
<w:TrackMoves/>
<w:TrackFormatting/>
<w:HyphenationZone>21</w:HyphenationZone>
<w:PunctuationKerning/>
<w:ValidateAgainstSchemas/>
<w:SaveIfXMLInvalid>false</w:SaveIfXMLInvalid>
<w:IgnoreMixedContent>false</w:IgnoreMixedContent>
<w:AlwaysShowPlaceholderText>false</w:AlwaysShowPlaceholderText>
<w:DoNotPromoteQF/>
<w:LidThemeOther>EN-GB</w:LidThemeOther>
<w:LidThemeAsian>JA</w:LidThemeAsian>
<w:LidThemeComplexScript>X-NONE</w:LidThemeComplexScript>
<w:Compatibility>
<w:BreakWrappedTables/>
<w:SnapToGridInCell/>
<w:WrapTextWithPunct/>
<w:UseAsianBreakRules/>
<w:DontGrowAutofit/>
<w:SplitPgBreakAndParaMark/>
<w:EnableOpenTypeKerning/>
<w:DontFlipMirrorIndents/>
<w:OverrideTableStyleHps/>
<w:UseFELayout/>
</w:Compatibility>
<m:mathPr>
<m:mathFont m:val="Cambria Math"/>
<m:brkBin m:val="before"/>
<m:brkBinSub m:val="--"/>
<m:smallFrac m:val="off"/>
<m:dispDef/>
<m:lMargin m:val="0"/>
<m:rMargin m:val="0"/>
<m:defJc m:val="centerGroup"/>
<m:wrapIndent m:val="1440"/>
<m:intLim m:val="subSup"/>
<m:naryLim m:val="undOvr"/>
</m:mathPr></w:WordDocument>
</xml><![endif]--><!--[if gte mso 9]><xml>
<w:LatentStyles DefLockedState="false" DefUnhideWhenUsed="true"
DefSemiHidden="true" DefQFormat="false" DefPriority="99"
LatentStyleCount="276">
<w:LsdException Locked="false" Priority="0" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Normal"/>
<w:LsdException Locked="false" Priority="9" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="heading 1"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 2"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 3"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 4"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 5"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 6"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 7"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 8"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 9"/>
<w:LsdException Locked="false" Priority="39" Name="toc 1"/>
<w:LsdException Locked="false" Priority="39" Name="toc 2"/>
<w:LsdException Locked="false" Priority="39" Name="toc 3"/>
<w:LsdException Locked="false" Priority="39" Name="toc 4"/>
<w:LsdException Locked="false" Priority="39" Name="toc 5"/>
<w:LsdException Locked="false" Priority="39" Name="toc 6"/>
<w:LsdException Locked="false" Priority="39" Name="toc 7"/>
<w:LsdException Locked="false" Priority="39" Name="toc 8"/>
<w:LsdException Locked="false" Priority="39" Name="toc 9"/>
<w:LsdException Locked="false" Priority="35" QFormat="true" Name="caption"/>
<w:LsdException Locked="false" Priority="10" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Title"/>
<w:LsdException Locked="false" Priority="1" Name="Default Paragraph Font"/>
<w:LsdException Locked="false" Priority="11" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Subtitle"/>
<w:LsdException Locked="false" Priority="22" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Strong"/>
<w:LsdException Locked="false" Priority="20" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Emphasis"/>
<w:LsdException Locked="false" Priority="59" SemiHidden="false"
UnhideWhenUsed="false" Name="Table Grid"/>
<w:LsdException Locked="false" UnhideWhenUsed="false" Name="Placeholder Text"/>
<w:LsdException Locked="false" Priority="1" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="No Spacing"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading Accent 1"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List Accent 1"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid Accent 1"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1 Accent 1"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2 Accent 1"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1 Accent 1"/>
<w:LsdException Locked="false" UnhideWhenUsed="false" Name="Revision"/>
<w:LsdException Locked="false" Priority="34" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="List Paragraph"/>
<w:LsdException Locked="false" Priority="29" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Quote"/>
<w:LsdException Locked="false" Priority="30" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Intense Quote"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2 Accent 1"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1 Accent 1"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2 Accent 1"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3 Accent 1"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List Accent 1"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading Accent 1"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List Accent 1"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid Accent 1"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading Accent 2"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List Accent 2"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid Accent 2"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1 Accent 2"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2 Accent 2"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1 Accent 2"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2 Accent 2"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1 Accent 2"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2 Accent 2"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3 Accent 2"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List Accent 2"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading Accent 2"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List Accent 2"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid Accent 2"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading Accent 3"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List Accent 3"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid Accent 3"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1 Accent 3"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2 Accent 3"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1 Accent 3"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2 Accent 3"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1 Accent 3"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2 Accent 3"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3 Accent 3"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List Accent 3"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading Accent 3"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List Accent 3"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid Accent 3"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading Accent 4"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List Accent 4"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid Accent 4"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1 Accent 4"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2 Accent 4"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1 Accent 4"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2 Accent 4"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1 Accent 4"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2 Accent 4"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3 Accent 4"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List Accent 4"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading Accent 4"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List Accent 4"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid Accent 4"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading Accent 5"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List Accent 5"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid Accent 5"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1 Accent 5"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2 Accent 5"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1 Accent 5"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2 Accent 5"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1 Accent 5"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2 Accent 5"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3 Accent 5"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List Accent 5"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading Accent 5"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List Accent 5"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid Accent 5"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading Accent 6"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List Accent 6"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid Accent 6"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1 Accent 6"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2 Accent 6"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1 Accent 6"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2 Accent 6"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1 Accent 6"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2 Accent 6"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3 Accent 6"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List Accent 6"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading Accent 6"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List Accent 6"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid Accent 6"/>
<w:LsdException Locked="false" Priority="19" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Subtle Emphasis"/>
<w:LsdException Locked="false" Priority="21" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Intense Emphasis"/>
<w:LsdException Locked="false" Priority="31" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Subtle Reference"/>
<w:LsdException Locked="false" Priority="32" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Intense Reference"/>
<w:LsdException Locked="false" Priority="33" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Book Title"/>
<w:LsdException Locked="false" Priority="37" Name="Bibliography"/>
<w:LsdException Locked="false" Priority="39" QFormat="true" Name="TOC Heading"/>
</w:LatentStyles>
</xml><![endif]-->
<!--[if gte mso 10]>
<style>
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Tableau Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:12.0pt;
font-family:Cambria;
mso-ascii-font-family:Cambria;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Cambria;
mso-hansi-theme-font:minor-latin;
mso-ansi-language:EN-GB;}
</style>
<![endif]-->
<!--StartFragment-->
<!--EndFragment--><br />
<div class="MsoNormal">
A moyen terme, on risque donc de voir le marché se
fragmenter entre quelques « gros » opérateurs, qui pourront être
imposés par l’ANSSI chez certains « clients » (essentiellement les
OIV), et le reste des SSII qui continueront à traiter 95% des affaires
courantes. Tout ça pour ça.<o:p></o:p></div>
newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com6tag:blogger.com,1999:blog-16926911.post-26646087154708477572013-09-09T08:00:00.000+02:002013-09-09T08:00:03.751+02:00PASSI cool<div style="border-bottom: solid #4F81BD 1.0pt; border: none; mso-border-bottom-themecolor: accent1; mso-element: para-border-div; padding: 0cm 0cm 4.0pt 0cm;">
<div class="MsoTitle">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">Vous rêvez d’une carte de visite à rallonge – CISSP CEH MCSA
CCNA – mais vous n’avez pas les moyens de cotiser à la fois à l’ISC2, à l’EC
Council, chez Microsoft, et chez Cisco ? Rassurez-vous, grâce à l’ANSSI
vous aurez bientôt la classe américaine. Après les certificateurs ARJEL, les
laboratoires d’évaluation CSPN, les <a href="http://www.ssi.gouv.fr/fr/certification-qualification/qualification-d-un-prestataire-de-service-de-confiance/referentiels-techniques-de-qualification-des-psco.html">PSCE</a>,
les PSHE, le nouveau titre à la mode s’appelle PASSI (ce qui est – vous en
conviendrez – beaucoup plus facile pour les jeux de mots). D’autres suivront,
tels que les opérateurs certifiés de sonde ANSSI, les prestataires certifiés de
réponse à incident, etc. mais il conviendra d’en parler en son temps.</span></div>
</div>
</div>
<div class="MsoNormal">
<span style="font-family: Georgia, Times New Roman, serif;"><o:p></o:p></span></div>
<h2 style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">
Il n’y a PASSI longtemps (à l’échelle administrative)</span></h2>
<h1>
<span style="font-family: Georgia, Times New Roman, serif;"><o:p></o:p></span></h1>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">Souvenez-vous, il y a <a href="http://news0ft.blogspot.fr/2011/12/les-jeux-sont-faits.html">deux ans</a> :
trois sociétés – Sogeti/ESEC, HSC et AMOSSYS – étaient retenues pour
« beta-tester » la procédure expérimentale. Après moult
péripéties, la phase de test est déclarée concluante, et la procédure de
labellisation officiellement « bonne pour le service ».<o:p></o:p></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;"><br /></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">Je ne voudrais pas ennuyer le lecteur avec tous les réglages
techniques qu’il est nécessaire d’apporter pour mettre au point une telle
mécanique, mais je vous laisse vous délecter de cette anecdote : pour
valider la certification, un inspecteur de l’ANSSI doit assister à une
prestation en conditions « réelles » chez un client. On imagine les
difficultés du pauvre prestataire qui essaie de vendre à son client que s’il
est retenu, il faudra faire ménage à trois avec l’ANSSI. Une fois le client
enfin convaincu, il reste un détail à régler : l’administration ne se
déplace jamais en province car … elle n’a pas de processus pour établir des
notes de frais !<o:p></o:p></span></div>
</div>
<h2 style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">
Un exercice de PASSIence</span></h2>
<h1>
<span style="font-family: Georgia, Times New Roman, serif;"><o:p></o:p></span></h1>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">Bref, la certification entre en service. Petit détail (mais
qui a son importance) : après avoir gracieusement travaillé pendant plus
d’un an pour l’administration, tous les prestataires de service retournent désormais
à la case départ. Il n’existe <i style="mso-bidi-font-style: normal;">aucun</i>
prestataire officiellement labellisé actuellement.<o:p></o:p></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;"><br /></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">La re-certification, une simple promenade de santé pour les
vétérans du programme « beta » ? Pas vraiment, car chez la
majorité d’entre eux, le <i style="mso-bidi-font-style: normal;">turn-over</i> a frappé :
plus aucun consultant ayant participé à la phase expérimentale n’émarge encore
aux effectifs …<o:p></o:p></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;"><br /></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">On touche ici l’une des limites (prévisibles) de
l’exercice : comment délivrer un label à une entreprise dans sa globalité,
alors que ce sont des personnes qui sont auditées ? N’est-ce pas un manque
de clairvoyance sur le consultant en SSII, dont l'objectif principal est de s'en évader ? Et pour une fois, le
système PCI-DSS – avec sa <a href="https://www.pcisecuritystandards.org/approved_companies_providers/verify_qsa_employee.php">liste
de consultants</a> accrédités <i style="mso-bidi-font-style: normal;">intuitu
personae</i> – ne serait-il pas plus cohérent ?<o:p></o:p></span></div>
</div>
<h2 style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">
PASSI rentable</span></h2>
<h1>
<span style="font-family: Georgia, Times New Roman, serif;"><o:p></o:p></span></h1>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">Autre détail qui a son importance : depuis que le processus
de labellisation est « en production », celui-ci est entièrement
délégué au secteur privé. L’organisme certificateur est évidemment la société <a href="http://www.lsti-certification.fr/">LSTI</a> – qui dispose d’un monopole
de fait sur l’activité de certification en France dans de nombreux domaines.<o:p></o:p></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;"><br /></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">Et donc, la certification est payante. Voire pas donnée,
compte-tenu des coûts annuels liés au maintien de la certification. Vous n’avez
pas voulu cotiser à l’ISC2, vous participerez au redressement productif.<o:p></o:p></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;"><br /></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">Pour les petites sociétés, l’équation n’est pas
évidente : entre le coût de préparation, le coût de passage, et les coûts
récurrents liés à la certification, il faut vraiment aimer les appels d’offres
publics pour rentrer dans ses frais. Et savoir fidéliser ses consultants
certifiés, tout en leur faisant quand même faire un peu d’EBIOS en régions.
Bref, le mariage de la carpe et du lapin.<o:p></o:p></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;"><br /></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">Car bien sûr, le « label » PASSI n’a des valeur
contraignante que pour les administrations qui doivent se conformer aux RGS et
donc recourir exclusivement à des prestataires labellisés. Du moins quand le <a href="http://www.pcinpact.com/news/73697-de-nouvelles-regles-dhygiene-informatique-pour-administrations.htm">RGS
2.0</a> entrera en vigueur, ce qui laisse le temps de la réflexion, celui-ci
étant en relecture à Bruxelles.<o:p></o:p></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;"><br /></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">Pour tous les autres appels d’offres, on peut supposer que
le label PASSI sera un <i style="mso-bidi-font-style: normal;">nice to have</i>.
Enfin comme d’habitude, la réponse sera jugée selon les critères
suivants : prix 90%, <i style="mso-bidi-font-style: normal;">bullshit</i>
(dont les labels) 10%.<o:p></o:p></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;"><br /></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">Vous l’aurez compris, le point d’inflexion sera atteint dans
les prochains mois. Les prestataires vont-ils jouer le jeu, dans un contexte
économique difficile où les marges diminuent sans cesse ? Les
administrations vont-elles jouer le jeu, au risque de se faire dépouiller par
les mastodontes habituels ? Est-ce qu’un tel label est de nature à
conserver la compétence technique en France et stimuler les PME ultra-pointues,
comme il en existe quelques-unes en sécurité informatique ?<o:p></o:p></span></div>
</div>
<h2 style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">
PASSI vite</span></h2>
<h1>
<span style="font-family: Georgia, Times New Roman, serif;"><o:p></o:p></span></h1>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">Il s’agit d’une vraie question, car autre chose a
fondamentalement changé depuis deux ans : tout le monde a compris que la
sécurité était un échec. Pas une table ronde, pas une WebTV, pas un éditorial
qui ne surfe sur ce concept. Ou plutôt devrais-je dire : « la
sécurité informatique défensive » est un échec.<o:p></o:p></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;"><br /></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">Il y a dix ans, on pouvait faire briller des étoiles dans
les yeux d’un jeune sorti d’école en lui proposant un poste de <i style="mso-bidi-font-style: normal;">pentester</i>. Aujourd’hui il sourit
gentiment en disant « merci mais je préfère aller chez VUPEN ». Un
poste de RSSI, n’en parlons même pas.<o:p></o:p></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;"><br /></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">Même l’ANSSI, qui a jouée les vierges effarouchées tant de
fois à SSTIC, a finalement choisi « l’option offensive » : la
future <a href="http://www.unsa-defense.org/ud_blog_documents/lpm_thematique-retenu-BD-30-07.pdf">Loi
de Programmation Militaire</a> s’apprête à en faire le shérif de l’Internet.
Quoi de mieux pour attirer les derniers jeunes qui hésitaient encore à quitter
leur SSII, sinon que le frisson de la cyber-action ?<o:p></o:p></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;"><br /></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">En clair, si à 30 ans t’es PASSI, t’as raté ta vie. Ou pas
loin.<o:p></o:p></span></div>
</div>
<h2 style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">
Conclusion</span></h2>
<h1>
<span style="font-family: Georgia, Times New Roman, serif;"><o:p></o:p></span></h1>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">Pour une fois je vais mouiller la chemise et me lancer dans
l’exercice périlleux de la futurologie.<o:p></o:p></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;"><br /></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">Je pense qu’il y aura des sociétés labellisées PASSI d’ici
quelques mois (au mieux). Mais que la prestation de service labellisée restera
un marché de niche dans lequel se retrouveront piégées quelques administrations.
Et que les prestataires eux-mêmes finiront par jeter l’éponge si les règles
sont appliquées de manière trop stricte (comprendre : s’il faut vraiment
démontrer une compétence pointue et continue).<o:p></o:p></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;"><br /></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">Je pense que le seul qui profitera à coup sûr du système sera
le vendeur de pioches, comme dans toutes les ruées vers l’or.<o:p></o:p></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;"><br /></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">Je pense que l’ANSSI n’aura jamais le courage politique de
retirer le label à un quelconque acteur majeur du domaine, ce qui aura pour
conséquence de dégrader lentement mais irrémédiablement le fondement même de la
labellisation comme processus de création de confiance. C'est ce qui se passe actuellement – mais dans une moindre mesure, car il ne s'agit que de produits – avec la CSPN.<o:p></o:p></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;"><br /></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">Je pense que dans cinq ans, les seuls endroits où se
pratiquera encore de manière professionnelle la sécurité informatique en France
seront les acteurs de l’offensif (ANSSI, DGSE, DGA … ainsi que quelques privés
comme VUPEN). Aucun jeune ne fera l’effort nécessaire pour se mettre à niveau
sur les technologies actuelles avec pour seul horizon de piloter une analyse
EBIOS ou une matrice de couverture des risques. Le métier d’auditeur en
sécurité dans le privé – s’il existe encore – se réduira à l’utilisation
d’outils simples tels que pst2ppt (ou l’inverse).<o:p></o:p></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;"><br /></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;">Sur ce, souhaitons que l’ANSSI s’attaque à un chantier encore
plus <i style="mso-bidi-font-style: normal;">fun </i>: labelliser les
RSSI :) Et à demain pour la réunion de lancement du PASSI.<o:p></o:p></span></div>
</div>
<div class="MsoNormal">
<div style="text-align: justify;">
<span style="font-family: Georgia, Times New Roman, serif;"><br /></span></div>
</div>
<!--[if gte mso 9]><xml>
<o:OfficeDocumentSettings>
<o:AllowPNG/>
</o:OfficeDocumentSettings>
</xml><![endif]-->
<!--[if gte mso 9]><xml>
<w:WordDocument>
<w:View>Normal</w:View>
<w:Zoom>0</w:Zoom>
<w:TrackMoves/>
<w:TrackFormatting/>
<w:HyphenationZone>21</w:HyphenationZone>
<w:PunctuationKerning/>
<w:ValidateAgainstSchemas/>
<w:SaveIfXMLInvalid>false</w:SaveIfXMLInvalid>
<w:IgnoreMixedContent>false</w:IgnoreMixedContent>
<w:AlwaysShowPlaceholderText>false</w:AlwaysShowPlaceholderText>
<w:DoNotPromoteQF/>
<w:LidThemeOther>EN-GB</w:LidThemeOther>
<w:LidThemeAsian>JA</w:LidThemeAsian>
<w:LidThemeComplexScript>X-NONE</w:LidThemeComplexScript>
<w:Compatibility>
<w:BreakWrappedTables/>
<w:SnapToGridInCell/>
<w:WrapTextWithPunct/>
<w:UseAsianBreakRules/>
<w:DontGrowAutofit/>
<w:SplitPgBreakAndParaMark/>
<w:EnableOpenTypeKerning/>
<w:DontFlipMirrorIndents/>
<w:OverrideTableStyleHps/>
<w:UseFELayout/>
</w:Compatibility>
<m:mathPr>
<m:mathFont m:val="Cambria Math"/>
<m:brkBin m:val="before"/>
<m:brkBinSub m:val="--"/>
<m:smallFrac m:val="off"/>
<m:dispDef/>
<m:lMargin m:val="0"/>
<m:rMargin m:val="0"/>
<m:defJc m:val="centerGroup"/>
<m:wrapIndent m:val="1440"/>
<m:intLim m:val="subSup"/>
<m:naryLim m:val="undOvr"/>
</m:mathPr></w:WordDocument>
</xml><![endif]--><!--[if gte mso 9]><xml>
<w:LatentStyles DefLockedState="false" DefUnhideWhenUsed="true"
DefSemiHidden="true" DefQFormat="false" DefPriority="99"
LatentStyleCount="276">
<w:LsdException Locked="false" Priority="0" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Normal"/>
<w:LsdException Locked="false" Priority="9" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="heading 1"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 2"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 3"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 4"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 5"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 6"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 7"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 8"/>
<w:LsdException Locked="false" Priority="9" QFormat="true" Name="heading 9"/>
<w:LsdException Locked="false" Priority="39" Name="toc 1"/>
<w:LsdException Locked="false" Priority="39" Name="toc 2"/>
<w:LsdException Locked="false" Priority="39" Name="toc 3"/>
<w:LsdException Locked="false" Priority="39" Name="toc 4"/>
<w:LsdException Locked="false" Priority="39" Name="toc 5"/>
<w:LsdException Locked="false" Priority="39" Name="toc 6"/>
<w:LsdException Locked="false" Priority="39" Name="toc 7"/>
<w:LsdException Locked="false" Priority="39" Name="toc 8"/>
<w:LsdException Locked="false" Priority="39" Name="toc 9"/>
<w:LsdException Locked="false" Priority="35" QFormat="true" Name="caption"/>
<w:LsdException Locked="false" Priority="10" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Title"/>
<w:LsdException Locked="false" Priority="1" Name="Default Paragraph Font"/>
<w:LsdException Locked="false" Priority="11" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Subtitle"/>
<w:LsdException Locked="false" Priority="22" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Strong"/>
<w:LsdException Locked="false" Priority="20" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Emphasis"/>
<w:LsdException Locked="false" Priority="59" SemiHidden="false"
UnhideWhenUsed="false" Name="Table Grid"/>
<w:LsdException Locked="false" UnhideWhenUsed="false" Name="Placeholder Text"/>
<w:LsdException Locked="false" Priority="1" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="No Spacing"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading Accent 1"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List Accent 1"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid Accent 1"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1 Accent 1"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2 Accent 1"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1 Accent 1"/>
<w:LsdException Locked="false" UnhideWhenUsed="false" Name="Revision"/>
<w:LsdException Locked="false" Priority="34" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="List Paragraph"/>
<w:LsdException Locked="false" Priority="29" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Quote"/>
<w:LsdException Locked="false" Priority="30" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Intense Quote"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2 Accent 1"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1 Accent 1"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2 Accent 1"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3 Accent 1"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List Accent 1"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading Accent 1"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List Accent 1"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid Accent 1"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading Accent 2"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List Accent 2"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid Accent 2"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1 Accent 2"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2 Accent 2"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1 Accent 2"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2 Accent 2"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1 Accent 2"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2 Accent 2"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3 Accent 2"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List Accent 2"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading Accent 2"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List Accent 2"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid Accent 2"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading Accent 3"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List Accent 3"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid Accent 3"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1 Accent 3"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2 Accent 3"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1 Accent 3"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2 Accent 3"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1 Accent 3"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2 Accent 3"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3 Accent 3"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List Accent 3"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading Accent 3"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List Accent 3"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid Accent 3"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading Accent 4"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List Accent 4"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid Accent 4"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1 Accent 4"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2 Accent 4"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1 Accent 4"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2 Accent 4"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1 Accent 4"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2 Accent 4"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3 Accent 4"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List Accent 4"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading Accent 4"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List Accent 4"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid Accent 4"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading Accent 5"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List Accent 5"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid Accent 5"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1 Accent 5"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2 Accent 5"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1 Accent 5"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2 Accent 5"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1 Accent 5"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2 Accent 5"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3 Accent 5"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List Accent 5"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading Accent 5"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List Accent 5"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid Accent 5"/>
<w:LsdException Locked="false" Priority="60" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Shading Accent 6"/>
<w:LsdException Locked="false" Priority="61" SemiHidden="false"
UnhideWhenUsed="false" Name="Light List Accent 6"/>
<w:LsdException Locked="false" Priority="62" SemiHidden="false"
UnhideWhenUsed="false" Name="Light Grid Accent 6"/>
<w:LsdException Locked="false" Priority="63" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 1 Accent 6"/>
<w:LsdException Locked="false" Priority="64" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Shading 2 Accent 6"/>
<w:LsdException Locked="false" Priority="65" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 1 Accent 6"/>
<w:LsdException Locked="false" Priority="66" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium List 2 Accent 6"/>
<w:LsdException Locked="false" Priority="67" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 1 Accent 6"/>
<w:LsdException Locked="false" Priority="68" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 2 Accent 6"/>
<w:LsdException Locked="false" Priority="69" SemiHidden="false"
UnhideWhenUsed="false" Name="Medium Grid 3 Accent 6"/>
<w:LsdException Locked="false" Priority="70" SemiHidden="false"
UnhideWhenUsed="false" Name="Dark List Accent 6"/>
<w:LsdException Locked="false" Priority="71" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Shading Accent 6"/>
<w:LsdException Locked="false" Priority="72" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful List Accent 6"/>
<w:LsdException Locked="false" Priority="73" SemiHidden="false"
UnhideWhenUsed="false" Name="Colorful Grid Accent 6"/>
<w:LsdException Locked="false" Priority="19" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Subtle Emphasis"/>
<w:LsdException Locked="false" Priority="21" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Intense Emphasis"/>
<w:LsdException Locked="false" Priority="31" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Subtle Reference"/>
<w:LsdException Locked="false" Priority="32" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Intense Reference"/>
<w:LsdException Locked="false" Priority="33" SemiHidden="false"
UnhideWhenUsed="false" QFormat="true" Name="Book Title"/>
<w:LsdException Locked="false" Priority="37" Name="Bibliography"/>
<w:LsdException Locked="false" Priority="39" QFormat="true" Name="TOC Heading"/>
</w:LatentStyles>
</xml><![endif]-->
<!--[if gte mso 10]>
<style>
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Tableau Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:12.0pt;
font-family:Cambria;
mso-ascii-font-family:Cambria;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Cambria;
mso-hansi-theme-font:minor-latin;
mso-ansi-language:EN-GB;}
</style>
<![endif]-->
<!--StartFragment-->
<!--EndFragment--><br />
<div class="MsoNormal">
<div style="text-align: justify;">
<i style="mso-bidi-font-style: normal;"><span style="font-family: Georgia, Times New Roman, serif; font-size: x-small;">Déni de
responsabilité : je ne suis pas prestataire de service, je n’ai aucunement
contribué au PASSI (sauf par mes écrits), je ne dispose d’aucun canal d’information en
dehors des circuits publics, tous les propos retranscrits dans cet article ont
été collectés sous l’emprise de l’alcool, donc certainement faux. Ou pas.</span><o:p></o:p></i></div>
</div>
newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com9tag:blogger.com,1999:blog-16926911.post-55115437080702624412013-07-29T08:00:00.000+02:002013-07-29T08:00:00.182+02:00Vers une certification … utile<h3 align="justify">Contexte</h3> <p align="justify">Avec les nouvelles <a href="http://www.ssi.gouv.fr/fr/certification-qualification/cspn/">CSPN</a> très symboliques délivrées ces derniers mois, il apparaît clairement que la certification sécurité de produits logiciels est une activité politico-marketing, dont l'efficacité réelle a largement été battue en brèche lors de la conférence SSTIC 2013.</p> <p align="justify">Les questions fondamentales qui se posent alors sont les suivantes : est-il possible d'améliorer la sécurité des logiciels commerciaux ? D'aider à la sélection des meilleurs, lorsque ni Darwin, ni la main invisible du marché n'y arrivent ? Et si oui, par quel miracle ?</p> <p align="justify">La sûreté logicielle est un domaine curieux. La majorité des problèmes avaient été résolus il y a 30 ans. La quête de la perfection a produit les langages formels, la preuve de programme, ainsi que des certifications fiables - comme la <a href="http://fr.wikipedia.org/wiki/DO-178">DO-178</a> en aéronautique. L'ANSSI semble d'ailleurs <a href="https://www.sstic.org/2013/presentation/programmation_d_un_noyau_securise_en_ada/">redécouvrir aujourd'hui</a> que les systèmes critiques sont <a href="http://www.seas.gwu.edu/~mfeldman/ada-project-summary.html">programmés en ADA</a>. L'industrie informatique était alors à son apogée. On entrait dans les salles machines en blouse blanche, et les informaticiens étaient promis à de brillantes carrières dans leurs entreprises respectives. Bref, le paradis originel.</p> <p align="justify">Puis tout a basculé avec l'informatique personnelle. En quelques années, tout le monde est devenu informaticien. Les systèmes MS-DOS, puis Windows 3.1, sont devenus des références pour le grand public, habituant les utilisateurs à tolérer les bogues et les redémarrages intempestifs. La science informatique est devenue une commodité dont la valeur ajoutée a été remise en cause, jusqu'à être complètement niée, ouvrant la voie à l'externalisation puis à la "cloudification", voire au BYOD, qui sont les négations suprêmes de toute forme d'informatique interne.</p> <p align="justify">Ce billet ne va donc pas essayer de résoudre un problème qui n'existait pas avant d'avoir été inventé. Il va juste pointer les défauts du processus de certification actuel, en proposant (une fois n'est pas coutume) des solutions concrètes.</p> <h3 align="justify">Point de vue de l'éditeur</h3> <p align="justify">Pour l'éditeur, l'équation est simple : une CSPN coûte environ 30k€ et permet de mettre le logo "ANSSI" sur toutes ses plaquettes commerciales.</p> <p align="justify">Même si le produit n'a aucune qualité, deux ou trois itérations sur la cible de certification permettront d'obtenir le précieux label sur un périmètre tellement contraint que l'échec est impossible. Rappelons que Windows NT4 est certifié "<a href="http://technet.microsoft.com/en-us/library/cc767092.aspx">C2</a>" (soit EAL4) sur un système qui n'a pas de lecteur de disquette, de lecteur de CD-ROM, ni de carte réseau.</p> <p align="justify">Au pire le produit est une bouse innommable qui échoue même à remplir les fonctions de sécurité élémentaires pour lesquelles il a été conçu. Il n'obtiendra donc (probablement) pas la certification, mais personne n'en saura jamais rien.</p> <h3 align="justify">Point de vue de l'auditeur</h3> <p align="justify">Pour l'auditeur, l'équation est plus compliquée, car elle fait intervenir son "éthique" (une notion si difficile à définir) …</p> <p align="justify">La première réaction d'un auditeur qui découvre une faille peut être de la garder sous le coude. Car cela lui permettra de "réussir" tous ses <i>pentests</i> futurs dans le même environnement. Et après tout, <a href="http://blog.trailofbits.com/2009/03/22/no-more-free-bugs/">No More Free Bugs</a>.</p> <p align="justify">Supposons maintenant que l'auditeur décide de remonter les failles de sécurité. C'est une obligation pour les sociétés certifiées <a href="http://www.ssi.gouv.fr/fr/certification-qualification/qualification-d-un-prestataire-de-service-de-confiance/">PASSI</a> (certification qui va être un échec, mais ceci est une autre histoire <img style="border-bottom-style: none; border-left-style: none; border-top-style: none; border-right-style: none" class="wlEmoticon wlEmoticon-smile" alt="Sourire" src="http://lh6.ggpht.com/-XLeXxxKPl9o/UfWC_ss6dtI/AAAAAAAAAIg/Oex1gwGv_SI/wlEmoticon-smile%25255B2%25255D.png?imgmax=800" />).</p> <p align="justify">La communication avec le vendeur est la suivante : "Votre produit souffre d'un <i>Cross-Site Scripting</i> (XSS). Voici une preuve de concept en Python permettant de reproduire la faille."</p> <p align="justify">Et là, tout est possible …</p> <ul> <li> <div align="justify">Réponse A : "C'est quoi Python ?"</div> </li> </ul> <p align="justify">Décision : vendez la faille au plus offrant. Vous allez perdre du temps avec cet éditeur, au pire il va vous menacer.</p> <ul> <li> <div align="justify">Réponse B : "Ok c'est corrigé."</div> </li> </ul> <p align="justify">Décision : <i>ditchez</i> le produit ("poubellisez" n'ayant pas encore été validé par l'Académie Française). L'éditeur a probablement utilisé un <i>hack</i> sordide pour corriger <i>la</i> ligne de code qui pose problème, afin de passer le test. La faille sera réintroduite dans la prochaine version du produit.</p> <ul> <li> <div align="justify">Réponse C : "Ok merci. Qu'est-ce que vous recommandez comme librairie de filtrage ? Est-ce que <a href="https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API">OWASP ESAPI</a> est efficace contre cette attaque ?"</div> </li> </ul> <p align="justify">Décision : gardez le produit. Il y aura probablement d'autres failles, mais l'éditeur connaît son métier.</p> <ul> <li> <div align="justify">Réponse D : "désolé l'outil d'analyse statique que nous utilisons en intégration continue avait détecté le problème, mais le développeur a fermé le ticket sans corriger. Il sera durement châtié."</div> </li> </ul> <p align="justify">Décision : appelez moi. Vous êtes probablement en communication avec des entités extraterrestres chargées d'asservir les humains par la technologie.</p> <h3 align="justify">La clé du problème</h3> <p align="justify">Le fond du problème, c'est que les audits de sécurité ne servent à rien. D'ailleurs en ce qui me concerne, j'ai arrêté le <i>pentest</i>. Désormais les tâcherons de l'informatique (souvent appelés "chef de projet Java" <img style="border-bottom-style: none; border-left-style: none; border-top-style: none; border-right-style: none" class="wlEmoticon wlEmoticon-smile" alt="Sourire" src="http://lh6.ggpht.com/-XLeXxxKPl9o/UfWC_ss6dtI/AAAAAAAAAIg/Oex1gwGv_SI/wlEmoticon-smile%25255B2%25255D.png?imgmax=800" />), frappés de cyber-superstition savamment entretenue par les technomanciens et autres cyber-charlatans, déposent leurs enfants accouchés dans la douleur (certains projets informatiques prennent largement plus de 9 mois) devant l'antre de la Sybille. Je questionne la pureté de leur cœur, et prononce (parfois) la sentence fatidique: "il vivra".</p> <p align="justify">Mais quel est le secret de la clairvoyance ? Comment auditer un logiciel par des méthodes plus proches de la thérapie analytique que du <i>reverse engineering </i>?</p> <p align="justify">L'édition logicielle c'est la vie: tous les projets naissent égaux, mais certains sont plus égaux que d'autres. Car un <a href="http://fr.wikipedia.org/wiki/Liste_de_syst%C3%A8mes_de_gestion_de_contenu">CMS</a> peut être né en <a href="http://zotonic.com/">Erlang</a>, ou en <a href="https://www.phpbb.com/">PHP</a>. Et <i>born in PHP, born dead</i>.</p> <p align="justify">Pour juger de la qualité d'un produit, il est inutile de se focaliser sur les failles d'implémentation. Certes je ne nie pas l'élégance d'une exploitation de faille particulièrement ardue, mais les bonnes questions à se poser sont d'abord les suivantes :</p> <ul> <li> <div align="justify">Quelle est l'origine du projet ? S'agit-il du travail d'un stagiaire hâtivement rebaptisé "produit" ? Quel est l'historique de l'entreprise ?</div> </li> <li> <div align="justify">Quels sont les choix technologiques opérés ? Sont-ils subis (ex. PHP c'est gratuit, Java tout le monde connait) ou choisis ?</div> </li> <li> <div align="justify">Quels sont l'environnement et les méthodes de développement mises en œuvre ? Quelles sont les options de compilation utilisées ?</div> </li> <li> <div align="justify">Quelle est la liste du code tierce partie et/ou Open Source intégré au produit ? L'éditeur est-il seulement capable d'en fournir la liste ?</div> </li> <li> <div align="justify">Y a-t-il une équipe sécurité côté vendeur ? Y a-t-il eu des bulletins de sécurité publiés ? La liste des alertes de sécurité est-elle claire et facilement accessible ?</div> </li> </ul> <p align="justify">Mes plus grand succès en <i>pentest</i> ne sont pas d'avoir réussi à pénétrer un OpenVMS depuis un accès FTP anonyme, ou d'avoir analysé un <i>firmware</i> inconnu <i>over the night</i> dans une chambre d'hôtel. Mes plus grands succès sur le long terme sont d'avoir réussi à convaincre un éditeur d'effectuer une montée de version sur Visual Studio, ou d'appliquer le <i>template</i> <a href="http://blogs.msdn.com/b/ie/archive/2007/09/18/developing-safer-activex-controls-using-the-sitelock-template.aspx">SiteLock</a> sur un contrôle ActiveX. Car indépendamment des failles d'implémentation qui restent à découvrir, cela démontre une maturité de l'éditeur sur le sujet, et procure des bénéfices beaucoup plus larges que la correction d'une faille unitaire.</p> <p align="justify"><i>A contrario</i>, j'ai du mal à imaginer comment on peut certifier sans réserve un produit qui expose d'emblée une interface Web en PHP à des utilisateurs non authentifiés. Rien que la lecture du <i><a href="http://php.net/ChangeLog-5.php">changelog</a></i> PHP donne une idée du nombre de failles qui affecteront la version "certifiée" d'un tel produit. Sans parler des mécanismes "annexes" tels que la mise à jour, la vérification de licence, le <i>reporting</i> ou l'administration distante – presque toujours exclus du périmètre – et pourtant risques majeurs pesant sur la sécurité du système.</p> <p align="justify">Pour avoir une certification qui fonctionne, <i>il faut juger l'esprit d'un produit plus que son implémentation</i>.</p> <h3 align="justify">Des propositions concrètes</h3> <p align="justify">Maintenant que tous les biais du système ont été identifiés, voici des propositions concrètes qui permettraient de rendre la certification plus efficace à mon sens.</p> <h4 align="justify">Mettre la pression sur les éditeurs</h4> <p align="justify">Le choix d'entrer en CSPN doit être une décision lourde de conséquences. L'une des mesures "phare", toujours réclamée, mais jamais obtenue, serait de publier la liste des produits "recalés" (assortie des motifs). Sous cette hypothèse, aucun éditeur ne s'amuserait à soumettre un produit dans lequel il n'a qu'une confiance limitée.</p> <p align="justify">L'un des problèmes de fond est la valeur de la CSPN <i>dans le temps</i>. Certes un produit peut être conforme à un instant T selon l'avis d'un expert X, mais l'état de l'art évolue et tous les logiciels <i>ont (et auront) des bogues</i>. Comment faire en sorte que le travail réalisé sur une CSPN donnée puisse encore signifier quelque chose 6 mois après ? Un produit certifié CSPN il y a 10 ans, à base de DES et MD5, figurerait-il encore en bonne place sur le site de l'ANSSI ? (Notons que c'est le cas pour certains produits certifiés <a href="http://www.commoncriteriaportal.org/products/archived/">Critères Communs</a> qui ne sont pourtant plus du tout à l'état de l'art).</p> <p align="justify">La valeur d'une évaluation s'effrite avec le temps. Dans un autre domaine, CVSS définit un facteur "temporel" sur la criticité des failles. Voici quelques idées pour transposer le concept à la CSPN :</p> <ul> <li> <div align="justify">Borner dans le temps la validité d'une évaluation, par exemple à 3 ans. Au-delà, le produit devrait passer par une phase de re-certification, ou bien perdre son "tampon".</div> </li> <li> <div align="justify">Obliger les éditeurs à commercialiser la version certifiée pendant toute la durée de validité du certificat, avec support technique et maintien en condition de sécurité (MCS). Après tout, on oblige bien les boulangers à fabriquer un quota de baguettes au prix réglementé.</div> </li> </ul> <p align="justify">Car la plupart des produits figurant sur le site de l'ANSSI ne sont tout simplement plus disponibles dans la version certifiée ; il existe même parfois plusieurs versions majeures d'écart. Ce qui conduit à des incompréhensions entre l'auditeur (qui découvre que la version qu'il audite est une passoire) et l'administration (qui confirme que la version "tamponnée" était bien meilleure).</p> <p align="justify">Au final, comme il faut bien annoncer au client que la sécurité de son réseau est affaiblie par l'utilisation d'un produit CSPN, alors que n'importe quel produit standard de l'industrie aurait fait l'affaire, c'est un coup fatal qui est porté à tout le processus de création de confiance.</p> <ul> <li> <div align="justify">Suspendre ou révoquer la certification en cas de faille identifiée <i>a posteriori</i>, ou d'évolution majeure du produit (ex. montée de version obligatoire pour les clients).</div> </li> </ul> <p align="justify">(Accessoirement, on peut déplorer le fait que les versions auditées ne soient pas archivées par l'ANSSI dans une démarche d'investigation <i>a posteriori</i>, pouvant éventuellement conduire à la révocation d'un certificat.)</p> <ul> <li> <div align="justify">Publier le rapport d'audit technique complet. Ceci permettrait à chacun de se faire une idée ce qui a été réellement testé, ce qui a été laissé de côté, ainsi que les choix d'implémentation de l'éditeur.</div> </li> </ul> <p align="justify">Car personnellement, savoir si la couche cryptographique repose sur <a href="http://www.openssl.org/news/vulnerabilities.html">OpenSSL</a> ou sur <a href="http://www.gnutls.org/security.html">GnuTLS</a> me donne une bonne idée sur la sécurité <i>future</i> d'un produit. Plus qu'un "avis d'expert : le produit est conforme à la cible de sécurité" en tous cas …</p> <ul> <li> <div align="justify">Ne pas accepter les certifications en "boite noire".</div> </li> </ul> <p align="justify">Il faut arrêter de se retrancher derrière la propriété intellectuelle et autres arguments juridiques, donc fallacieux : tout ça c'est du pipo pour les attaquants. Tous les consultants en sécurité sérieux pratiquent le <i>reverse engineering</i>, y compris dans des pays où la législation applicable est pourtant contraignante. Quant aux attaquants, ils vont plus loin et n'hésitent pas à pirater les éditeurs s'ils ont besoin d'accéder au code source.</p> <p align="justify">Toute évaluation doit être effectuée par démontage total du matériel et du logiciel, facilité par l'éditeur si besoin. Bienvenue dans la "vraie vie".</p> <p align="justify">(Note : je ne sais pas comment se passe réellement le processus de certification, mais on a parfois l'impression que le test a été réalisé en pure boite noire. <i>exec.php</i> FTW !)</p> <h4 align="justify">Personne ne lit les cibles de sécurité</h4> <p align="justify">C'est un fait : personne ne lit les cibles de sécurité. Heureusement d'ailleurs, car on y trouve des énormités du style "notre produit protège le système, mais seulement s'il n'est pas compromis". <i>Seriously</i>.</p> <p align="justify">Il est totalement indispensable pour la crédibilité de la CSPN que les cibles de sécurité n'aient pas besoin d'être lues par les utilisateurs. Que le produit soit "raisonnablement sûr" dans le cas d'usage le plus courant (principe de moindre surprise), pas dans une configuration <a href="http://technet.microsoft.com/en-us/library/cc776742(v=ws.10).aspx">obscure</a> potentiellement non supportée par l'éditeur.</p> <p align="justify">Les cibles de sécurité ne devraient pas être rédigées par les éditeurs, mais par les utilisateurs. Pour aller plus loin, on pourrait même imaginer que les certifications ne puissent pas être réalisées à la demande d'un éditeur, mais nécessairement d'un client final (qui peut être l'ANSSI elle-même) …</p> <h4 align="justify">De l'importance de l'écosystème</h4> <p align="justify">Un produit logiciel n'existe pas <i>ex nihilo</i>. Il vient avec tout un écosystème : matériel, système d'exploitation, mises à jour, télémaintenance, etc. Or les failles les plus triviales (ou les plus efficaces) à exploiter sont parfois à chercher dans les catégories suivantes :</p> <ul> <li> <div align="justify">Mises à jour : le produit supporte-t-il les mises à jour automatiques ? Sont-elles actives par défaut et/ou obligatoires ? Sont-elles sécurisées (ex. signature) ? Le serveur de mise à jour est-il chez <a href="http://travaux.ovh.net/?do=details&id=8998">OVH</a> ? Le retour à une version antérieure (<i>downgrade</i>) notoirement boguée est-il possible ?</div> </li> <li> <div align="justify">Télémaintenance : le produit a-t-il des fonctions de télécollecte (ex. statistiques d'utilisation), voire de prise en main à distance ? Le produit doit-il être connecté à un serveur de licences sur Internet ?</div> </li> <li> <div align="justify">Secrets de l'éditeur : y a-t-il un seul mot de passe "<i>root"</i> pour accéder à tous les logiciels du même vendeur ? (Variante : un générateur de mots de passe reposant sur un <a href="https://code.google.com/p/android-thomson-key-solver/">algorithme trivial</a>). Y a-t-il des "<i>backdoors"</i> - à des fins de support technique bien sûr ? Les clés cryptographiques servant à signer les mises à jour sont-elles bien protégées ?</div> </li> <li> <div align="justify">Sécurité de l'éditeur : l'éditeur est-il en mesure d'assurer la sécurité de ses infrastructures de développement et de support ? Un éditeur de produit CSPN ne devient-il pas automatiquement OIV ? Faut-il révoquer la certification en cas de compromission de l'éditeur ?</div> </li> </ul> <h4 align="justify">Utiliser le <i>crowdsourcing</i></h4> <p align="justify">Concevoir et implémenter des logiciels robustes est une tâche ardue dans laquelle presque tous ont échoué. Identifier de manière exhaustive les problèmes de sécurité dans un logiciel complexe en moins d'un mois est une tâche impossible.</p> <p align="justify">C'est pourquoi il ne faut pas avoir la prétention d'y arriver seul, mais au contraire exploiter la horde grouillante et infatigable des auditeurs en sécurité, qui besognent à longueur de journée les mêmes produits chacun dans leur coin (mais pour des clients différents).</p> <p align="justify">Aujourd'hui la meilleure tactique pour un consultant en sécurité qui empile les failles consiste à les vendre à des tiers (essentiellement américains) ou à les garder sous le coude pour réussir son prochain audit – du même produit mais chez un autre client.</p> <p align="justify">Les auditeurs certifiés PASSI ont déjà l'obligation de remonter gracieusement les failles découvertes au CERTA – mais il est probable que le nombre de certifiés PASSI (qui est <a href="http://www.ssi.gouv.fr/fr/produits-et-prestataires/prestataires-de-services-de-confiance-qualifies/prestataires-d-audit-de-la-securite-des-systemes-d-information-passi-qualifies.html">nul aujourd'hui</a>, la phase expérimentale venant seulement de se conclure) ne va pas exploser pour des raisons que j'évoquerai à la rentrée dans un autre billet.</p> <p align="justify">Il reste donc à affiner la deuxième approche : mettre en place un <i>Bug Bounty</i> au niveau de l'ANSSI <img style="border-bottom-style: none; border-left-style: none; border-top-style: none; border-right-style: none" class="wlEmoticon wlEmoticon-smile" alt="Sourire" src="http://lh6.ggpht.com/-XLeXxxKPl9o/UfWC_ss6dtI/AAAAAAAAAIg/Oex1gwGv_SI/wlEmoticon-smile%25255B2%25255D.png?imgmax=800" /></p> <h4 align="justify">La solution ultime</h4> <p align="justify">Le lecteur qui a eu le courage et la patience d'arriver jusqu'ici découvrira enfin la solution <i>ultime</i> permettant de résoudre tous les maux évoqués ci-dessus : il s'agit tout simplement d'arrêter de délivrer des labels.</p> <p align="justify">Il m'a été donné d'auditer un grand nombre de produits commerciaux, expérience qui s'est enrichie de la lecture des rapports de mes pairs. Et j'ai désormais acquis la certitude qu'il est impossible de réaliser une dichotomie manichéenne entre les "bons" et les "mauvais" produits.</p> <p align="justify">Certes, il existe des produits que leurs tares congénitales vouent à la roche Tarpéienne. Il serait d'ailleurs d'utilité publique d'en informer le plus grand nombre.</p> <p align="justify">Mais en ce qui concerne les autres, un bon rapport d'évaluation ne va pas dire : "ok, on a rien trouvé". Un bon rapport va identifier les forces du produits (par exemple un stockage sécurisé des mots de passe), énumérer des problèmes à remonter à l'éditeur (comme des failles d'implémentation à corriger), préciser les limites de mise en œuvre à l'intérieur desquelles le produit reste relativement sûr (en général : ne pas activer les options de rétrocompatibilité).</p> <p align="justify">La seule valeur ajoutée que peut apporter l'ANSSI dans le processus, c'est de collecter tous les rapports d'audit rédigés en France, y ajouter ses travaux dans des domaines que je sais nombreux par les offres de stage qui apparaissent et qui disparaissent sur son site, et publier le tout sous licence ouverte. Ainsi le niveau de sécurité des produits serait en permanence réévalué par la communauté, qui profiterait des fichiers "IDB" et autres scripts Python de tous ceux qui ont travaillé sur le sujet auparavant.</p> <p align="justify">Un exemple "neutre" auquel s'applique parfaitement cette réflexion est celui du logiciel TrueCrypt. Car la version certifiée par l'ANSSI est <a href="http://esec-lab.sogeti.com/post/2008/12/05/44-cspn-truecrypt">documentée</a> comme étant vulnérable à l'extraction du mot de passe en mémoire, lorsque le logiciel est utilisé pour le chiffrement du volume de démarrage (ce qui limite la portée d'une assertion réductrice telle que : "TrueCrypt est CSPN"). Certaines failles ont été corrigées depuis, mais personne n'a pris soin de retravailler sur une version plus récente de TrueCrypt … qui n'apporte rien de moins que le support Windows 7 et Mac OS 10.6+, entre autres.</p> <h3 align="justify">Conclusion</h3> <p align="justify">La sécurité informatique est le cancer de l'industrie logicielle. Il n'y a pas d'argent pour la prévention. Seuls les malades s'intéressent au sujet, mais il est en général trop tard. Et pourtant, tout le monde y sera confronté un jour ou l'autre.</p> <p align="justify">Dans ces conditions, relever le niveau de l'édition logicielle peut sembler une gageure, même pour une administration aussi puissante que l'ANSSI.</p> <p align="justify">Si la CSPN partait d'une bonne intention, la décrépitude des produits les plus anciennement certifiés, ainsi que la soudaine certification de produits hautement symboliques, fait courir un risque à tout le processus de création de confiance. Car le moindre pestiféré emportera tous les autres, surtout s'il existe des alternatives plus connues, plus sûres et pourtant non certifiées.</p> <p align="justify">J'espère que la lecture de ce billet constructif aura été source d'inspiration pour les quelques personnes qui détiennent un réel pouvoir sur ce sujet, et source de divertissement pour les autres.</p> <p align="justify">Sur ce, bonnes vacances et rendez-vous à la rentrée pour de nouvelles aventures !</p> newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com10tag:blogger.com,1999:blog-16926911.post-71030193837455349982013-05-28T10:23:00.000+02:002013-05-28T10:23:10.844+02:00Les lasagnes de M. Pailloux<i>Note: ceci est la version originale de la tribune que j'ai écrite pour 01net, ce qui explique sa brièveté. Plusieurs personnes ont remarqué que l'article mis en ligne avait été édité et ne correspondait pas à mon style habituel. Félicitations aux fidèles lecteurs ! ;)</i><br />
<h2>
Les lasagnes de M. Pailloux</h2>
<blockquote class="tr_bq">
"<i>Patrick Pailloux
a regretté que le secteur de la sécurité informatique ne se soit pas créé ses
propres labels comme l'alimentaire avait su le faire.</i>"</blockquote>
<div class="MsoNormal">
Cette phrase ô combien prémonitoire, on a pu l'entendre lors
d'un <a href="http://www.cio-online.com/actualites/lire-la-securite-informatique-doit-etre-pilotee-par-le-dsi-4873-page-3.html">évènement sécurité</a> qui s'est joué à guichet fermé début février à Paris.
Prémonitoire, car à l'époque tout le monde vantait les mérites de la
traçabilité mise en place pour parer au scandale précédent: celui de la
"vache folle". On ne savait pas encore que 13% des produits
alimentaires testés en France contiendraient de la <a href="http://fr.wikipedia.org/wiki/Fraude_%C3%A0_la_viande_de_cheval_de_2013">viande frauduleuse</a> …<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Dans quel contexte cette phrase a-t-elle été prononcée ? Il
s'agissait de savoir si l'ANSSI devait labelliser toujours plus afin de réguler
le marché de la sécurité informatique en France (aussi bien celui des logiciels
de sécurité que celui des prestations intellectuelles).<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Les "labels" délivrés par l'Etat dans le domaine
de la sécurité informatique sont déjà multiples: Critères Communs (CC),
Certification Sécurité de Premier Niveau (CSPN), Prestataire d'Audit des
Systèmes de Sécurité de l'Information (PASSI), sans compter les labels
sectoriels comme ceux de l'ARJEL.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Et le moins que l'on puisse dire, c'est que l'expérience
n'est pas concluante. Malgré leurs 30 ans d'expérience, les critères communs
n'ont jamais réussi à produire de la confiance au-delà des cartes à puce et de
quelques implémentations cryptographiques. Certes Windows NT4 est certifié au
niveau EAL4+, mais les conditions de validité d'une telle certification sont
assez difficiles à obtenir en pratique (à savoir: pas de réseau ni de lecteur
de disquette) …<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
La CSPN, plus "agile" et plus opérationnelle,
devait rendre la certification accessible à tous. Las ! Après 5 années
d'existence, force est de constater qu'on trouve très peu de produits
"utiles" dans la <a href="http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-certifies-cspn/">liste à la Prévert</a> publiée par l'ANSSI.
Les produits les plus certifiés restent … les outils de signature et les
coffres forts logiciels, pour lesquels la demande est soutenue artificiellement
par le RGS et l'ARJEL.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Et là encore, le périmètre de certification a son
importance. Que penser d'une carte à puce logicielle dont l'hypothèse de mise
en œuvre est l'absence de tout code malveillant sur le poste de travail ? D'un
logiciel de sécurité qui présente une faille exploitable à distance sans
authentification dans un composant impossible à désactiver, mais "hors
périmètre" de certification ? Enfin, pourquoi les logiciels développés par
l'administration (tels que <a href="http://www.globalsecuritymag.fr/Pradeo-Security-Systems,20121213,34331.html">SecDroid</a> ou <a href="http://adullact.net/plugins/mediawiki/wiki/milimail/index.php/Documentation/fr">TrustedBird</a>) ne font
pas eux-mêmes l'objet d'une certification en bonne et due forme ?<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Il est vrai que selon le site de l'ANSSI, 53 produits
étaient entrés en évaluation au 1<sup>er</sup> septembre 2011. Depuis, seules
14 certifications ont été délivrées. On aimerait bien savoir où sont passés les
autres …<o:p></o:p></div>
<div class="MsoNormal">
On pourrait également aborder le sujet de la certification
PCI/DSS ou celle des centrales nucléaires … mais la vérité, c'est qu'aucun
label dans lequel l'audité est partie prenante – que ce soit dans l'alimentaire
ou dans l'informatique – ne peut délivrer de résultat objectif. Les seuls
labels qui ont de la valeur sont ceux qu'on ne peut acheter.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Un exemple récent ? L'ARJEL vient de <a href="http://www.arjel.fr/Decision-de-la-Commission-des,929.html">retirer son agrément</a> à
un site de jeux en ligne.
Car les labels décernés par l'ARJEL ne sont pas là pour "réguler" le
marché, mais bien pour s'assurer que l'argent des jeux rentre dans les caisses
de l'Etat. Et là, ça rigole moins.</div>
newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com3tag:blogger.com,1999:blog-16926911.post-54111565962860200782012-10-22T08:00:00.000+02:002012-10-22T08:00:07.633+02:00L’échec du e-commerce français<div align="justify">
J'ai envie d'un Google Galaxy Nexus. C'est quand même pratique pour tester <a href="http://www.clubic.com/smartphone/android/actualite-500828-android-4-1-galaxy-nexus-nexus-s-26-juillet.html">Android 4.1</a> ou <a href="http://www.webosnation.com/first-working-build-open-webos-galaxy-nexus-released">webOS 1.0</a>. Pas de problème, puisque la page officielle de <a href="http://www.google.fr/nexus/#/">Google France</a> me donne la liste des revendeurs: des opérateurs, mais également des sites connus comme <a href="http://www.rueducommerce.fr/">RueDuCommerce</a>. J'opte pour ce dernier. Je paie en ligne sur leur site (mais que font-ils de mon numéro de carte bleue ? La même chose que la <a href="http://www.cnil.fr/la-cnil/actualite/article/article/avertissement-pour-la-societe-fnac-direct-en-raison-de-manquements-dans-la-conservation-des-donne/">FNAC</a> ?). Il n'y a que deux options de livraisons: deux jours après pour 8 euros, ou le lendemain pour 9 euros. Soit.</div>
<div align="justify">
Le lendemain, pas de livraison. Je consulte mon compte client, et là, c'est le drame:</div>
<blockquote>
<em>Afin de valider votre commande et vous permettre de recevoir votre colis au plus vite, nous avons besoin de pièces justificatives.</em><br />
<em>* QUELLES PIECES JUSTIFICATIVES FAUT-IL ENVOYER ?</em><br />
<em>Nous vous demandons de nous adresser, pour valider votre commande :</em><br />
<em>- une copie de votre pièce d'identité (carte nationale d'identité, passeport ou permis de conduire)</em><br />
<em>- une copie recto verso de la carte bancaire ayant servi au règlement de votre commande en prenant soin de ne laisser apparaitre que les 4 premiers et 2 derniers chiffres du numéro sur l'avant et en masquant sur l'arrière de la carte : </em><br />
<em>- le cryptogramme (ce qui garantit la sécurité totale de votre envoi et empêche toute utilisation de la carte)</em><br />
<em>- le numéro complet de la carte bancaire qui peut apparaitre en creux.</em><br />
<em>* POURQUOI CES PIECES JUSTIFICATIVES ?</em><br />
<em>Pour vous protéger ! Afin de vous garantir une parfaite sécurité de paiement et vous défendre contre toute tentative d'utilisation frauduleuse de votre moyen de paiement, nous devons nous assurer que la personne débitée est bien celle qui a commandé sur notre site.</em><br />
<em>* COMMENT ADRESSER CES PIECES JUSTIFICATIVES ?</em><br />
<em>Vous pouvez nous adresser les documents en indiquant impérativement votre numéro de commande :</em><br />
<em>> Par e-mail : verifications2.rdc@sc.rueducommerce.com (photographie ou scan lisible)</em><br />
<em>> Par courrier : Mais attention au délai : les produits en stock vous sont réservés pendant 4 jours seulement !</em><br />
<em>RueDuCommerce - Service vérification </em><br />
<em>44-50 avenue du Capitaine Glarner</em><br />
<em>93585 Saint Ouen Cedex</em><br />
<em>> Par fax (non recommandé - et si utilisé, veillez à paramétrer un mode de scan ultra-fin) : 01 72 93 14 01</em></blockquote>
<div align="justify">
SRSLY. Envoyer mon numéro de carte bleue et mon CVV par email (en clair) ou par fax ? En 2012 ? C'est ça le e-commerce ? Est-ce que ces gens ont entendu parler de <a href="https://www.pcisecuritystandards.org/documents/pci_dss_fr-fr_v2.pdf">PCI/DSS</a>, de <a href="http://fr.wikipedia.org/wiki/3-D_Secure">3D Secure</a>, d'assurance contre la fraude bancaire ?</div>
<div align="justify">
<br /></div>
<div align="justify">
Notez le: "<i>pour vous protéger</i>". Cela protège éventuellement le vendeur (et encore cela reste à démontrer – car je ne vois pas en quoi cela protège contre quelqu'un qui aurait volé physiquement mon portefeuille), mais en ce qui me concerne, j'ai plutôt l'impression que ça contribue à diminuer le niveau de protection de ma carte bancaire …</div>
<div align="justify">
<br /></div>
<div align="justify">
Effectivement, je suis un peu couillon: j'aurais pu me renseigner, car RueDuCommerce pratique cette politique depuis bien longtemps <a href="http://forum.lesarnaques.com/litige-livraison-remboursement-sav/rue-commerce-commande-attente-verif-t104370.html">semble-t-il</a>. Du coup j'ai rapidement fait le tour des critiques concernant les autres revendeurs français proposés par Google (comme <a href="http://www.wikio.fr/vendor/expansys.html">Expansys</a>): elles sont toutes mauvaises.</div>
<div align="justify">
Bref, je vais sur <a href="http://www.amazon.fr/">Amazon Marketplace</a>, je trouve un revendeur allemand totalement inconnu qui dispose de 92% d'évaluations positives, j'achète en un clic, j'ai une protection contre la fraude, et je suis livré … un jour plus tôt que prévu !</div>
<div align="justify">
<br /></div>
<div align="justify">
<a href="http://newsoft.dyndns.org/blog/amazon.jpg"><img src="http://newsoft.dyndns.org/blog/amazon.jpg" /></a></div>
<div align="justify">
<br /></div>
<div align="justify">
Je ne sais pas où on est du redressement productif et de la création de valeur dans le numérique, mais si le e-commerce français a pour seul modèle <a href="http://www.zdnet.fr/actualites/pere-noelfr-les-anciens-dirigeants-ecopent-de-30-et-6-mois-de-prison-ferme-39130971.htm">Père-Noël.fr</a>, pas étonnant que Amazon, Apple iTunes et autre Google Play récupèrent la plus grosse part du gâteau …</div>
<div align="justify">
<br /></div>
<div align="justify">
PS. Le Galaxy Nexus est un excellent téléphone par ailleurs, et l'un des rares à supporter le NFC. Cerise sur le gâteau, la ROM Google intègre nativement Google Music, alors que l'application n'est pas disponible sur le Market français :)</div>
newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com16tag:blogger.com,1999:blog-16926911.post-36977483654084833582012-10-04T01:02:00.001+02:002012-10-04T13:15:21.483+02:00L'obligation morale de dire: WAT?<div align="justify">
Je ne suis pas aux <a href="http://www.lesassisesdelasecurite.com/">Assises de la Sécurité</a>. Je travaille (dur, et tard). Mais il faut bien dire que le <a href="http://www.ssi.gouv.fr/fr/anssi/publications/discours-de-patrick-pailloux-directeur-general-de-l-agence-nationale-de-la.html">discours d'ouverture de Patrick Pailloux</a> (directeur de l'ANSSI) sur le thème "le courage de dire non" était quand même très attendu … et déjà très largement commenté <a href="http://www.numerama.com/magazine/23920-cybersecurite-l-anssi-estime-que-les-societes-n-ont-plus-d-excuses.html">ici</a> ou <a href="http://www.pcinpact.com/news/74291-l-anssi-publie-son-precis-d-hygiene-informatique.htm">là</a>.</div>
<div align="justify">
Commençons par les détails (je vous réserve le meilleur pour la fin).</div>
<h3>
Les sanctions</h3>
<div align="justify">
Voilà un point sur lequel je suis entièrement d'accord: une règle n'est suivie d'effet que s'il existe des sanctions … <i>appliquées</i> (donc édifiantes). N'importe quel parent aura appris "à la dure" cette leçon de terrain.</div>
<div align="justify">
Le problème ? Après avoir écrit des politiques de sécurité (mais aussi des chartes d'accès Internet et autres documents opposables) en tant que consultant pendant des années, je n'en ai jamais vu <i>aucune</i> appliquée (et encore moins sanctionnée). Le document ne sert que de parapluie juridique. D'ailleurs personne (en dehors de la sécurité) ne l'a jamais lu.</div>
<div align="justify">
Quelle surprise lorsque je suis amené à travailler avec des partenaires allemands ou anglo-saxons du domaine de la défense, et qu'ils me demandent <i>effectivement</i> de poser une bandelette sur l'objectif de mon téléphone portable (les photographies étant interdites sur à peu près n'importe quel site sensible dans le monde) …</div>
<div align="justify">
L'autre problème du bâton, c'est qu'il ne fonctionne bien qu'avec la carotte. Or la sécurité "défensive" est actuellement perçue comme essentiellement vexatoire: le RSSI "saute" s'il y a un problème, l'utilisateur doit changer son mot de passe tous les X jours (ce qui est totalement inutile dans les faits), etc. Elle ne procure aucune récompense. A contrario les attaquants n'ont que la pure satisfaction du succès, et ne sont pour ainsi dire jamais punis (puisque jamais attrapés). Dans ces conditions, on comprend qu'ils mettent plus d'ardeur à nous attaquer que nous à nous défendre …</div>
<h3>
La maturité</h3>
<div align="justify">
Je vous livre cette citation telle quelle: "<i>Pendant longtemps j'ai dit qu'il ne doit pas y avoir de sanction dans le domaine de la sécurité car le niveau de maturité est tel que cela ne sert à rien. Je pense qu'on est en train d'élever ce niveau et cela commence à se savoir qu'il faut faire de la sécurité informatique !</i>".</div>
<div align="justify">
Voilà enfin une bonne nouvelle ! Les <a href="http://thenextweb.com/apps/2012/09/27/adobe-finds-hacked-build-server-used-code-signing-plans-revoke-certificate-october-4/">autorités de certification</a> ne font plus n'importe quoi, les <a href="http://www.ssi.gouv.fr/fr/certification-qualification/qualification-d-un-prestataire-de-service-de-confiance/">prestataires labellisés</a> ont été notifiés, l'algorithme <a href="http://www.nist.gov/itl/csd/sha-100212.cfm">SHA-3</a> a été sélectionné, bref: que des motifs de satisfaction pour le RSSI qui va enfin pouvoir se consacrer à des tâches plus nobles que de convaincre ses utilisateurs de ne pas tout mettre dans Dropbox, et sa direction générale de ne pas faire suivre leurs emails professionnels sur une adresse @icloud.com !</div>
<h3>
Les analogies</h3>
<div align="justify">
Un piège classique pourtant: celui de <a href="http://sid.rstack.org/blog/index.php/194-de-l-utilite-des-analogies">l'analogie</a>. Mais qui a relu ce discours ?</div>
<div align="justify">
"<i>Quand vous sortez de chez vous, vous fermez les portes à clé</i>": certes, mais vous changez les serrures tous les 30 jours ? Vous achetez des serrures complexes, en prenant soin de mélanger serrure à goupille, serrure à pompe, et serrure à gorge ? Vous prenez soin de ne pas racheter la même serrure que les 24 modèles précédents quand vous en changez ? Et surtout, à quoi cela sert-il, puisqu'un expert met quelques minutes pour crocheter n'importe quelle serrure ?</div>
<div align="justify">
La serrurerie est à l'image des mots de passe: un échec. Les gens ferment essentiellement leur porte parce que l'assurance leur impose une serrure certifiée A2P avec au moins 3 points d'ancrage. Mais dès qu'on s'éloigne des grandes villes, les maisons restent ouvertes d'une manière ou d'une autre - le chien de garde étant souvent beaucoup plus efficace qu'une serrure sur un périmètre indéfendable. C'est le bon sens paysan.</div>
<div align="justify">
"<i>Vos papiers sont triés</i>": bien sûr, mais comment faire lorsque la lettre laisse une trace dans l'enveloppe (le répertoire temporaire) et la poubelle qui l'a contenue ? Et comment faire lorsque le papier doit être photocopié quotidiennement de manière incrémentale, et transporté sur 2 ou 3 autres sites de stockage physique ?</div>
<div align="justify">
J'arrête là. Il ne faut pas utiliser d'analogie entre le monde "physique" et le monde "numérique". C'est comme imaginer que les anges s'ennuient et voudraient avoir Facebook.</div>
<h3>
Le guide d'hygiène informatique</h3>
<div align="justify">
Il est <a href="http://www.ssi.gouv.fr/IMG/pdf/Hygiene_informatique_20121002-1859.pdf">ici</a> (ou <a href="http://www.ssi.gouv.fr/IMG/pdf/Checklist_Hygiene_info_simplifiee.pdf">là</a> en version simplifiée sur laquelle je base mon analyse). Mon Dieu! Et je ne parle pas de la mise en page digne de Word 97 (le document a pourtant été produit avec Excel 2010), mais bien du fond.</div>
<div align="justify">
Dès le 1.1, ça part assez mal: "établir la liste des briques matérielles et logicielles utilisées". Tout simplement impossible: aucun éditeur ne fournit cette information. C'est en passant des semaines à auditer un logiciel qu'on réalise la quantité de <i>frameworks</i> Java imbriqués, ou l'utilisation cachée de toutes les librairies Open Source "classiques": ZLib, OpenSSL, LibPNG, LibFreeType … sans parler des <i>appliances</i> qui sont conçues pour être des boites noires.</div>
<div align="justify">
"Brique" signifie peut-être de réaliser un inventaire de haut niveau sans rentrer dans ces détails techniques scabreux. Et c'est ainsi qu'on se retrouve avec un <a href="http://www.cisco.com/en/US/products/sw/voicesw/ps556/products_tech_note09186a00801ae3dc.shtml">Cisco Call Manager 4 vulnérable au ver Blaster</a>, des produits qui sont tous <a href="http://prezi.com/828lnwuzwkhq/usages-offensifs-de-xslt-sstic-2011/">vulnérables à la même faille XML</a>, ou du <a href="https://isc.sans.edu/diary.html?storyid=6724">FCKEditor</a> dans à peu près n'importe quelle application Web … mais du point de vue du vendeur, son produit n'a pas de faille de sécurité (connue).</div>
<div align="justify">
Je passe rapidement sur le reste du document qui est à l'avenant ("12 caractères minimum pour les mots de passe", "changer les mots de passe tous les 90 jours", "privilégier une authentification par carte à puce", etc.) pour me concentrer sur l'essentiel: on retrouve dans ce document les principes stratosphériques que tous les consultants refilaient à leurs clients dans les années 90 tout en se gardant bien de proposer une implémentation. Je vous laisse en juger:</div>
<div align="justify">
<i>4.3. "Surveiller les accès de manière centralisée et permanente."</i></div>
<div align="justify">
<i>4.4. "Pour chaque accès Internet, utiliser des passerelles d'interconnexion sécurisée."</i></div>
<div align="justify">
<i>15.1. "Désactiver les services applicatifs inutiles."</i></div>
<div align="justify">
<i>15.2. "Restreindre les privilèges utilisateurs."</i></div>
<div align="justify">
<i>24.6. "Diversifier les technologies utilisées dans la passerelle dans la limite de la maintenabilité du parc."</i></div>
<div align="justify">
<i>26. "Eviter l'usage de technologies sans fil (Wifi)."</i></div>
<div align="justify">
<i>30. "Ne pas donner aux utilisateurs de privilèges d'administration. Ne faire aucune exception."</i></div>
<div align="justify">
<i>34.1. "Ne pas laisser des imprimantes ou photocopieurs multifonctions connectés au réseau dans un couloir."</i></div>
<div align="justify">
Si vous voulez un bon conseil de consultant repenti, ne touchez à rien et changez de version de Windows. C'est beaucoup plus efficace que d'essayer de "désactiver les services applicatifs inutiles" ou de "restreindre les privilèges utilisateurs" sur votre Windows XP.</div>
<div align="justify">
Quant à "surveiller les accès", c'est à peu près ce que tout le monde fait depuis 10 ans. Mais c'est un peu comme la vidéo<s>surveillance</s>protection: tant qu'on ne sait pas ce qu'on cherche, on a un peu du mal à trouver. Enfin on sait déjà que <a href="http://www.lequipe.fr/">lequipe.fr</a> est un <a href="http://threatpost.com/en_us/blogs/large-scale-water-holing-attack-campaigns-hitting-key-targets-092512"><i>watering hole</i></a> de premier choix pour compromettre la majorité des entreprises françaises entre 9h00 et 11h00: j'attends maintenant le RSSI qui va dire "non".</div>
<div align="justify">
Je passe pudiquement sur le "utiliser des passerelles sécurisées". Je ne me rappelle pas avoir vu un vendeur de passerelle non "sécurisé par la technologie AES 256 bits approuvée par le NIST" ces dernières années, donc on est tranquille.</div>
<h3>
Le fond du problème</h3>
<div align="justify">
Bref, ce discours est du pain béni pour un <s>troll</s>blog.</div>
<div align="justify">
Mais pour identifier le vrai problème de fond, il ne faut pas chercher plus loin que le titre: <i>on ne demande pas au RSSI de dire oui ou non</i>.</div>
<div align="justify">
Il peut donner son avis éventuellement, voire dissiper beaucoup d'énergie pour retarder un projet, mais la sécurité n'a pour ainsi dire jamais le dernier mot. Sinon la carte vitale 1, le vote par Internet, ou les impôts sans certificat n'existeraient pas.</div>
<div align="justify">
Le RSSI (dans le privé) a un rôle de conseil, d'évaluation des risques, de préconisation. Il est parfois CIL ou responsable du PCA/PRA. Mais je n'en ai vu aucun pouvoir interdire à quiconque d'utiliser un iPad. Surtout dans une entreprise moderne, où la mobilité est un atout pour compresser le temps (et donc les coûts), et où la majorité des intervenants sont des sous-traitants dont la cuisine interne échappe complètement au RSSI "maison" - en dehors du traditionnel contrat, qui indique parfois que l'intervenant doit être "sécurisé" (sans fixer aucune exigence ni aucune sanction d'ailleurs).</div>
<div align="justify">
Comme "il n'est pas de problème qu'une absence de solution ne puisse résoudre", la messe est dite: le RSSI ne dira pas non. Ca n'est pas une question d'oser. C'est qu'on ne lui pose pas la question.</div>
<h3>
Conclusion (TL;DR)</h3>
<div align="justify">
La conclusion du discours est toujours la même: <a href="http://www.ssi.gouv.fr/fr/anssi/emploi/">l'ANSSI recrute</a> ("des candidats de valeur qui n'ont pas trop besoin de sommeil" - si si c'est marqué dans le <a href="http://www.ssi.gouv.fr/fr/anssi/publications/discours-de-patrick-pailloux-directeur-general-de-l-agence-nationale-de-la.html">discours officiel</a>). D'ailleurs c'est le bon moment pour ceux qui veulent se planquer pendant la crise: j'ai entendu dire que les critères d'acceptation avaient baissé.</div>
<div align="justify">
En ce qui concerne le <a href="http://anssi.santo.fr/">challenge</a> (dont le discours parle également), je crois que tout le monde a arrêté. Bien sûr, quand on prend 1 an pour rédiger un rapport en LaTeX, on peut bien trouver 6 mois pour faire des <i>challenges</i> (défis en français). Mais après il faut trouver des copains qui veulent bien jouer.</div>
<div align="justify">
Sur ce, j'aurais aimé conclure proprement, mais il est tard donc je laisse le mot de la fin <a href="https://twitter.com/pentesteur/status/253473044721459202">à Twitter</a> (<a href="http://securityreactions.tumblr.com/post/32800613623/but-i-need-dropbox-at-work">source</a>).</div>
<div align="justify">
<br /></div>
<div align="justify">
<span style="font-size: x-small;">Mise à jour du 4 octobre 13:15: correction de typos (merci aux relecteurs)</span></div>
newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com19tag:blogger.com,1999:blog-16926911.post-77859228990133857872012-07-23T08:00:00.000+02:002012-07-23T08:00:05.809+02:00Puisqu’il faut bien en parler ...<p align="justify">Malgré les vacances, le microcosme de la sécurité informatique ne bruisse que de la récente publication du « <a href="http://www.senat.fr/notice-rapport/2011/r11-681-notice.html">Rapport Bockel</a> » sobrement intitulé « La cyberdéfense : un enjeu mondial, une priorité nationale » (le titre « La sécurité informatique : un échec global » ayant probablement été jugé moins sexy ou non libre de droits).</p> <p align="justify">Je ne vais pas parler de ce rapport, pour la bonne raison qu’il fait 158 pages et que je ne l’ai pas lu. Fort heureusement, une <a href="http://www.senat.fr/rap/r11-681/r11-681-syn.pdf">synthèse officielle de 4 pages</a> est disponible en ligne, ainsi que de nombreuses analyses tierces - dont celles de <a href="http://www.sysdream.com/rapport-bockel">Sysdream</a>, <a href="http://www.securityvibes.fr/cyber-pouvoirs/bockel-cyberdefense/">SecurityVibes</a>, <a href="http://www.hackersrepublic.org/cultureduhacking/vers-une%20super-anssi">HackersRepublic</a>, <a href="http://reflets.info/rapport-bockel-un-point-sur-la-cyberdefense-francaise/">Reflets.info</a>, <a href="http://www.lemagit.fr/article/securite-cyberdefense/11499/1/rapport-bockel-cyberdefense-doit-etre-une-priorite-nationale-industrielle/">Le Mag IT</a>, <a href="http://www.01net.com/editorial/570483/cyberdefense-on-n-est-pas-des-manchots-mais-la-route-est-longue/">01Net</a>, et tous les médias traditionnels … « Analyse » étant un bien grand mot, la plupart se contentant de traduire la synthèse officielle dans une forme plus journalistique.</p> <p align="justify">Rassurez-vous, j’écris trop peu souvent pour perdre mon temps à vous servir la soupe officielle. Car pour moi, ce rapport est une nième déclaration d’intention qui fera certainement bouger les lignes politiques, mais n’aura aucun effet sur le niveau d’insécurité actuel – même si toutes ses recommandations étaient mises en œuvre promptement.</p> <h3>De la représentativité du panel choisi</h3> <p align="justify">Sur la forme, on peut constater en Annexe que l’essentiel des personnes auditionnées sont des fonctionnaires français ou des militaires américains (et assimilés, comme les militaires anglais, et les penseurs de l’OTAN). On peut déjà s’attendre à une vision très américaine du monde, du type : « La cyberguerre est une chose trop sérieuse pour être confiée à des poilus (du menton ou du caillou) ». Certes ça va parler failles de sécurité, botnets, Anonymous, et autres fléaux de l’Internet moderne – mais après tout qui de <a href="http://www.zdnet.fr/actualites/anonymous-affirme-avoir-pirate-l-otan-et-derobe-des-fichiers-confidentiels-39762618.htm">mieux placé qu’un militaire</a> pour cela ?</p> <p align="justify">Quelques entreprises françaises ont néanmoins été auditionnées : AREVA, Cassidian, CEIS, SOGETI (par la voix de son PDG), SysDream et Thalès. Un panel pour le moins … éclectique. Sans compter les prestataires mentionnés dans le corps du document :</p> <p align="justify">« <i>On trouve également en France un tissu de PME-PMI innovantes, à l’image de Netasq et d’Arkoon en matière de logiciels et produits de sécurité ou de Sysdream, d’Atheos et de DevoTeam en matière de services.</i> »</p> <p align="justify">Comme me le glissait à l’oreille un concurrent qui préfère rester anonyme (ce sont toujours les mieux informés), on peut se demander en quoi ces entreprises sont plus innovantes que les dizaines d’autres prestataires existants sur le marché français. A part dans le choix de la Côte d’Azur pour organiser des séminaires clients, peut-être ?</p> <p align="justify">Donc, après avoir interviewé l’ANSSI, le Ministère de la Défense, et des prestataires au service des précédents, la conclusion du rapport est que pour augmenter le niveau de sécurité … il faut augmenter les ressources de l’ANSSI et celles de la « Lutte Informatique Offensive ». Brillant ! Dommage que personne n’ait pensé à interviewer n’importe quel PDG d’une entreprise du CAC40 ou d’un OIV (dont il est tant question dans ce rapport), qui achètent des iPad à la cantonade et «<i> cloudifient </i>» leur informatique à coup de Google Apps. Autant dire qu’ils n’auraient pas tout à fait la même vision de l’avenir de l’informatique, et encore moins de sa sécurité.</p> <p align="justify">Car aujourd’hui en entreprise, le DSI comme le RSSI sont priés d’arrêter de jouer les Cassandres, mais plutôt <a href="http://www.cio-online.com/actualites/lire-le-dsi-devient-naturellement-responsable-de-l-innovation-4345.html">d’introduire plus « d’innovation »</a> (comprendre : de gadgets technologiques et de services « grand public ») au sein d’une entreprise qui ne fonctionne plus qu’avec des sous-traitants interconnectés depuis les quatre coins du monde. Cela aura son importance dans la suite de cet article.</p> <h3>Des 10 priorités</h3> <p align="justify">Entrons dans le vif du sujet : les <a href="http://www.senat.fr/rap/r11-681/r11-681_mono.html#toc0">10 priorités</a> que tout le monde retiendra. Je vous fais la version courte :</p> <h2>1. Augmenter le budget de l’armée et de la LIO.</h2> <p align="justify">Je ne vais pas <s>troller</s> m’étendre longtemps sur le sujet de la « cyberguerre » : pour moi ce concept n’a tout simplement aucun sens. Certes une organisation déterminée à « mettre la grouille » dans les réseaux civils français n’aurait probablement aucun mal à désorganiser quelque peu l’activité du pays – par exemple en éteignant la téléphonie mobile :) Mais une telle action n’aurait aucun sens en dehors d’une « vraie » guerre d’invasion ou de destruction – et là, pouvoir accéder à Facebook sera probablement le dernier de nos soucis. Par ailleurs une action purement informatique serait probablement moins efficace qu’un embargo sur des produits clés, ou des attentats ciblés, pour paralyser le pays (mais là, j’avoue mon incompétence dans le domaine de la destruction de pays – même si je suis fan de Risk).</p> <p align="justify">Par ailleurs les militaires vivent en vase clos et n’ont aucune incidence sur le niveau de sécurité informatique du pays dans son ensemble, qui repose essentiellement sur les technologies civiles utilisées par les entreprises (matériels, logiciels, réseaux de communication, etc.). Certes ils pourront monter sur les remparts avec leurs fusils le jour où l’ennemi débarquera, mais ils pourront difficilement empêcher les plans de toutes leurs casernes d’être volés dans les réseaux informatiques des entreprises de BTP (note : j’ai choisi un exemple – normalement – fictif afin de ne froisser personne).</p> <p align="justify">Etre capable d’aller attaquer « les autres » (LIO) procure probablement une satisfaction intellectuelle, mais ne les dissuadera pas de nous attaquer eux aussi.</p> <h2>2. Augmenter (encore) les capacités de l’ANSSI, de la DGA, et autres « services ».</h2> <p align="justify">Bon travail de lobbying de leur part. Mais il ne faut pas oublier « qu’en face », ils sont environ vingt fois plus nombreux. Et qu’avec le mode de fonctionnement actuel – dit « mode pompier » – on ne peut pas la gagner, cette « cyberguerre » (qui n’est actuellement qu’une vaste opération d’espionnage et de pillage technologique par les puissances adverses).</p> <p align="justify">S’il l’on se reporte au corps du document pour en savoir plus, on y trouve cette perle :</p> <p align="justify">« (…) <i>il paraît nécessaire d'introduire, dans le code de la défense, des modifications législatives visant à donner les moyens à l'ANSSI, aux armées et aux services spécialisés d'exercer leurs missions. Cela concerne notamment les domaines suivants :</i></p> <p align="justify"><i>- l'autorisation de la rétroconception, c'est-à-dire la possibilité de « démonter », pour des motifs de sécurité, un logiciel ou un système ayant servi à une attaque informatique ;</i></p> <p align="justify"><i>- la possibilité de procéder à l'analyse de comportement des codes malveillants, de façon à suivre leur évolution, détecter leurs cibles d'attaque et anticiper leur mutation ;</i> (…) »</p> <p align="justify">Le CERTA va enfin pouvoir analyser des virus et des chevaux de Troie sans les transmettre à des éditeurs étrangers ! ;)</p> <p align="justify">Blague à part, ce paragraphe est tout à fait symptomatique de l’échec de la pensée militaire appliquée à la SSI. Tout commence par une idée simple telle que : « <i>interdisons la possession de chars Leclerc au grand public ; formons des pilotes de chars en interne ; nous aurons un avantage tactique certain en cas de guerre civile</i> ».</p> <p align="justify">Ce qui se traduit ensuite par : «<i> interdisons la connaissance de l’assembleur x86 ; formons quelques conscrits à OllyDbg ; nous aurons un avantage certain sur Anonymous </i>».</p> <p align="justify">Sauf que dans le cas n°1, l’effet dissuasif de la loi est assez faible, mais il reste <i>effectivement</i> assez difficile de se procurer, d’entretenir et de manier un char Leclerc. Alors que dans le cas n°2, la connaissance est libre et abondante – une loi de restriction des connaissances ne peut fonctionner que si les « ennemis » décident de la respecter …</p> <p align="justify">Accessoirement, on peut se demander quel instructeur va former au <i>reverse engineering</i>. Car il y a bien un problème de poule et d’œuf : à force d’avoir voté des lois essentiellement destinées à protéger l’industrie du divertissement (cinéma, musique et jeux vidéo en tête), la « scène » française qui était pourtant si performante s’étiole, et les compétences en <i>reverse engineering</i> s’amenuisent … heureusement qu’il reste l’irréductible village de l’ANSSI pour les héberger :)</p> <p align="justify">Sans parler du mythe : « le <i>reverse engineering</i> est une compétence comme une autre<i> </i>». Encore une déformation militaire : ça n’est pas parce que tout le monde peut tenir un fusil après quelques heures d’entrainement (avec toutefois une habileté variable selon les gens) que tout le monde peut lutter contre les codes « ennemis », même après quelques années d’instruction … L’informatique est une compétence, la sécurité un talent.</p> <p align="justify">La seule bonne nouvelle dans cette priorité, c’est la volonté de développer une véritable politique de gestion des ressources humaines au sein de l’ANSSI. Les contractuels de trois ans qui constituent le gros des « troupes » aujourd’hui apprécieront. Reste à voir ce qu’en pensent les syndicats et les fonctionnaires en place. D’ailleurs si quelqu’un a des nouvelles de la « Fondation » dont <a href="http://www.infodsi.com/articles/119558/etat-renforce-politique-cybersecurite.html">parlait Patrick Pailloux l’année dernière</a>, qu’il se manifeste dans les commentaires …</p> <h2>3. Donner l’ANSSI un pouvoir de régulation et de sanction.</h2> <p align="justify">Voyons, l’ANSSI n’a toujours pas réussi à mettre au point un programme de <a href="http://www.ssi.gouv.fr/fr/certification-qualification/qualification-d-un-prestataire-de-service-de-confiance/referentiels-techniques-de-qualification-des-psco.html">labellisation des prestataires de sécurité</a> (car sauf erreur de ma part, l’initiative actuelle est au point mort). Est-ce le pouvoir réglementaire qui lui manquait ? Ou est-ce que l’initiative est tombée dans le fossé qui existe entre les délires sécuritaires du RGS et la réalité du terrain ?</p> <p align="justify">La CNIL, qui dispose elle d’un pouvoir de sanction depuis bien longtemps, ne semble pas avoir réussi à inquiéter les RSSI – et encore moins les entités extranationales (tels que Google, Facebook, LinkedIn et consorts) – du moins pas au point de les inciter à mettre en place une véritable politique de protection des données personnelles conforme à la loi.</p> <p align="justify">Quant au défaut de sécurité informatique, il est déjà couvert par de nombreux textes – on attend toujours les premières jurisprudences sérieuses.</p> <h2>4. Faire de la sécurité informatique dans les ministères (grâce à la sensibilisation et aux IDS).</h2> <p align="justify">C’est une bonne idée. Bon courage. Notons quand même qu’on n’a pas vu de faille exploitable à distance sur Windows 98 depuis longtemps, preuve que le niveau de sécurité s’améliore.</p> <h2>5. Rendre obligatoire la déclaration des « incidents de sécurité » à l’ANSSI (et « encourager les mesures de protection par des mesures incitatives »).</h2> <p align="justify">Problème déjà traité par ailleurs dans le cadre des discussions européennes sur le sujet : il est impossible de définir ce qu’est un « incident de sécurité », et la mesure n’aura probablement aucun effet tangible sur les politiques de sécurité des entreprises.</p> <p align="justify">Ca n’est pas en obligeant les entreprises à déclarer les incidents de sécurité qu’elles vont se réveiller un matin et réaliser que leurs politiques et leurs architectures de sécurité doivent être entièrement reconsidérées. Ou pour le dire autrement : ça n’est pas en jetant quelqu’un à la mer qu’on lui apprend à nager.</p> <p align="justify">Quant à l’incitation aux mesures de protection, de quoi s’agit-il exactement ? D’une réduction d’impôts pour ceux qui appliquent les correctifs de sécurité ? Mais aucune entreprise du CAC40 ne paie d’impôts en France …</p> <h2>6. Faire de la sécurité informatique chez les OIV (grâce aux IDS).</h2> <p align="justify">Très bien. Quel OIV s’y colle en premier ? Est-ce qu’Orange est prêt à voir débarquer un « bataillon » de l’Agence qui va lui expliquer comment faire du BGP et du LTE correctement ? Ou placer des sondes aux quatre coins de son réseau pour inspecter tout le trafic des clients ? (Aux dernières nouvelles, non).</p> <p align="justify">Et accessoirement : qui va payer la détection <i>et</i> le traitement des « incidents » ?</p> <h2>7. Financer les entreprises de sécurité françaises.</h2> <p align="justify">De loin ma mesure préférée. A peu près tous les financements publics alloués à des entreprises dites « innovantes » se sont avérés être du détournement de fonds. Dans tous les cas, aucune entreprise « soutenue » n’a vécu plus de 5 ans (vous pouvez livrer des contre-exemples dans les commentaires s’il vous en vient à l’esprit). Voir à ce sujet l’avis du <a href="http://www.zdnet.fr/actualites/cloud-andromede-un-projet-sans-avenir-qui-deshabille-les-acteurs-en-place-39773998.htm">PDG de Gandi sur le projet « Andromède »</a>, parmi les exemples récents.</p> <p align="justify">Un produit de sécurité ne peut vivre que s’il est internationalement reconnu comme techniquement bon, pas parce qu’il a des marchés « réservés » au niveau de l’Etat et des entreprises sous tutelle. D’autant qu’il est parfois difficile pour ces acteurs d’acheter les produits issus de PME qu’ils ont soutenues, pour des raisons obscures de marchés publics ou de politiques d’achat …</p> <p align="justify">Notez que je suis tout à fait pour « renforcer la coopération entre l'Etat et le secteur privé », cité dans la même phrase. Il paraît même que l’ANSSI <a href="https://github.com/ANSSI-FR">publie des outils Open Source</a> désormais.</p> <h2>8. Former des ingénieurs, faire de la recherche <i>et</i> du conseil, sensibiliser le public.</h2> <p align="justify">Rien à ajouter à ce pot-pourri. Il reste à trouver des jeunes qui veuillent devenir ingénieurs en SSI. Pas sûr qu’avec la considération qu’on ait pour eux en entreprise (sans parler de carrière), les candidats se bousculent. Car selon des chiffres présentés récemment par l’ARJEL, la quasi-totalité des auditeurs/consultants/experts en SSI sur le marché ont entre 0 et 3 ans d’expérience. Et aucun n’a plus de 10 ans.</p> <h2>9. Négocier avec les USA, la Russie et la Chine pour qu’ils arrêtent de nous attaquer.</h2> <p align="justify">Ca mérite d’être tenté. Toujours essayer la diplomatie en premier :)</p> <h2>10. Interdire l’achat de routeurs chinois (Huawei et ZTE).</h2> <p align="justify">Le meilleur pour la fin. Bien que le rapport cite nommément la Chine, il reste suffisamment évasif dans sa formulation pour laisser planer le doute sur Cisco (américain) et Checkpoint (israélien). Et voilà encore un beau « marché réservé » qui se profile pour Alcatel-Lucent, malgré ses <a href="http://www.pcinpact.com/news/72366-panne-nationa-pdg-dorange-confirme-panne-logicielhlr.htm">déboires récents</a>.</p> <p align="justify">Mais dans un pays encore à la pointe en matière de chiffrement, la sécurité du cœur de réseau est-elle vraiment un problème ? ;)</p> <p align="justify">Et faut-il interdire l’achat de marques chinoises, ou de marques intégrant des éléments fabriqués en Chine (et donc potentiellement compromis) ? Dans le deuxième cas, <a href="http://www.rue89.com/chinatown/un-an-sans-made-in-china-mission-impossible">on frise la science-fiction</a>.</p> <p align="justify">Le vrai problème avec Huawei, ça n’est pas une hypothétique <i>backdoor</i> matérielle, mais plutôt les contrats d’infogérance qu’ils proposent. Et faire administrer ses routeurs par un prestataire situé au bout du monde pour réduire les coûts, ça peut arriver avec n’importe quel constructeur.</p> <h3>Conclusion (constructive)</h3> <p align="justify">Le rapport Bockel : du pur jacobinisme à la française, que d’autres ont résumé par ce titre : « L’ANSSI va sauver le monde » (alors qu’elle n’existe que depuis le 7 juillet 2009).</p> <p align="justify">Mais puisque les vacances m’ont détendues, et qu’avec l’âge on devient constructif, voici <i>mes</i> recommandations pour que ça change. Gratuites et prises sur mon temps libre, les auditions ayant été réalisées autour d’une bière (bien française comme il se doit).</p> <ol> <li> <div align="justify"><b>Supprimer le statut de fonctionnaire.</b> Cela aurait le double effet positif de valoriser les carrières au sein de l’ANSSI, et d’augmenter les passerelles entre le privé et le public par le biais de parcours croisés (comme cela se voit aux USA). Ainsi les gens qui auditeraient ou qui formuleraient des recommandations auraient eux-mêmes une expérience de la production.</div> </li> <li> <div align="justify"><b>Supprimer toute loi réprimant une connaissance.</b> Ainsi les compétences en <i>reverse engineering</i> pourraient librement s’épanouir dès le plus jeune âge – seule l’utilisation malhonnête de ces compétences serait pénalisée.</div> </li> <li> <div align="justify"><b>Remettre l’Etat au service de la Nation (et donc des entreprises).</b> Au lieu de construire une machine administrative qui n’est là que pour distribuer l’argent public ou les mauvais points, on pourrait envisager que la connaissance et les outils des « services » (ANSSI en tête) servent à « sécuriser » les affaires des entreprises françaises à l’étranger, comme c’est le cas aux USA. Ca n’est pas comme si l’ANSSI aurait pu vous dire depuis 10 ans qu’il fallait <a href="http://blog.gentilkiwi.com/mimikatz/sekurlsa/wdigest">supprimer « WDIGEST.DLL » des <i>Logon Providers</i> par défaut</a>.</div> </li> <li> <div align="justify"><b>Verser à la Documentation Française les rapports d’inspection de l’ANSSI et les rapports d’incident du CERTA</b> (en version éventuellement anonymisée). Il n’existe pas de raison valable pour que l’obligation de notification soit asymétrique, d’autant que l’analyse des techniques et outils employés par les attaquants pourrait permettre d’immuniser l’écosystème informatique (principe de la vaccination).</div> </li> <li> <div align="justify"><b>Faire appliquer les lois existantes (ou les abroger)</b>, au lieu de créer des constructions juridiques toujours plus complexes. Si la première loi n’a effrayé personne car elle n’a jamais été appliquée, les dix suivantes n’auront aucun effet. Par exemple, Anonymous se gausse de la récente loi qui <a href="http://www.donneespersonnelles.fr/du-plomb-dans-la-loi-godfrain">pénalise encore plus fortement l’atteinte aux systèmes de l’Etat</a>.</div> </li> <li> <div align="justify"><b>Arrêter de financer directement l’industrie de la sécurité</b> (ou alors contrôler beaucoup plus efficacement, et dans la durée, l’utilisation des fonds). Toute politique industrielle qui se résume à verser un gros chèque après le montage d’un dossier kafkaïen ne peut se terminer que dans la corruption et le détournement. Un produit de sécurité ne peut marcher que s’il est reconnu internationalement comme techniquement bon.</div> </li> <li> <div align="justify"><b>Développer un véritable statut légal de l’expert en sécurité</b>, sur le modèle des médecins ou de toute autre profession réglementée. Ce qui conduirait <i>de facto</i> à la création de cursus longs (plus adaptés à la masse de connaissances qu’il est nécessaire d’acquérir pour devenir réellement « expert ») et à un plus grand poids dans les entreprises (à l’image d’un commissaire aux comptes). La sécurité informatique est aux technologies grand public ce qu’est la chirurgie cardiaque aux cours de premiers soins délivrés par la Croix Rouge.</div> </li> <li> <div align="justify"><b>Obliger les entreprises françaises à innover.</b> Bon là j’avoue, je n’ai pas de solution miracle. Les entreprises gagnent plus aujourd’hui en <a href="http://reflets.info/comment-jai-decouvert-que-psa-fabriquait-des-automobiles/">spéculant avec leur trésorerie</a> qu’en fabriquant des produits. Les têtes pensantes durent rarement plus de cinq ans, et ne sont jamais mises en face de leurs échecs. Dans ces conditions, difficile d’imaginer qu’ils puissent insuffler le goût de l’innovation et la passion créatrice …</div> </li> <li> <div align="justify"><b><s>Développer un antivirus français en plus des IDS existants</s>.</b> Ah non, ça c’est <a href="http://davfi.fr/">seulement pour 2014</a> :)</div> </li> </ol> <p align="justify"><i>Remerciements : tous ceux qui ont participé à la rédaction de ce billet en me faisant part de leurs avis circonstanciés. Ils se reconnaitront ;)<a name="_GoBack"></a></i></p> newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com27tag:blogger.com,1999:blog-16926911.post-86726121867222598902012-03-06T22:45:00.000+01:002012-03-06T22:45:00.725+01:00Que vous réserve SSTIC cette année ?<div align="justify">
<br />
Comme prévu, le programme de la conférence <a href="https://www.sstic.org/2012/programme/">SSTIC 2012</a> a été publié aujourd’hui (hors conférences invitées). Cet événement n’est pas guetté avec autant de fébrilité que l’ouverture des inscriptions, mais permet néanmoins de prendre le pouls de la recherche française en sécurité informatique.<br />
<br />
Et comme disent souvent les vieux (dont je crains de faire partie) : « c’était mieux avant » …<br />
<br />
Car s’il a pu exister une vieille rivalité entre les quelques laboratoires de recherche privés en SSI (tels que Sogeti/ESEC, Orange R&D, LEXSI et EADS Innovation Works), c’est désormais bien fini.<br />
<br />
Si vous avez aimé <a href="https://www.sstic.org/2011/presentation/architecture_dns_scurise/">DNS-SEC</a> par l’ANSSI en 2011, alors vous adorerez ce cru 2012, à base de :</div>
<ul>
<li><a href="https://www.sstic.org/2012/presentation/influence_des_bonnes_pratiques_sur_les_incidents_bgp/">BGP-SEC</a> par l’ANSSI.</li>
<li><a href="https://www.sstic.org/2012/presentation/ssl_tls_soa_recos/">TLS-SEC</a> par l’ANSSI.</li>
<li>Microsoft <a href="https://www.sstic.org/2012/presentation/securite_rdp/">RDP-SEC</a> par l’ANSSI.</li>
<li>Active <a href="https://www.sstic.org/2012/presentation/audit_des_permissions_en_environnement_active_directory/">Directory-SEC</a> par l’ANSSI.</li>
<li><a href="https://www.sstic.org/2012/presentation/contrle_dacces_mandataire_pour_windows_7/">Windows-SEC</a> par l’ANSSI ? Ah non, par le gagnant du challenge <a href="http://www.ssi.gouv.fr/fr/anssi/publications/publications-scientifiques/autres-publications/defi-sec-si-un-systeme-d-exploitation-cloisonne-et-securise-pour-l-internaute.html">SEC&SI</a> de l’ANSSI (par ailleurs célèbre depuis <a href="https://www.sstic.org/2009/presentation/Projet_SECSI/">SSTIC 2009</a>).</li>
<li><a href="https://www.sstic.org/2012/presentation/netzob_un_outil_pour_la_retro-conception_de_protocoles_de_communication/">Protocol-SEC</a> par … les auteurs de <a href="http://www.ssi.gouv.fr/fr/anssi/publications/publications-scientifiques/autres-publications/securite-et-langage-java.html">Java-SEC</a> pour l’ANSSI.</li>
<li><a href="https://www.sstic.org/2012/presentation/utilisation_malicieuses_des_suivis_de_connexions/">Network-SEC</a>, devinez par qui ? C’était un piège :) Ca n’est pas <a href="http://www.linkedin.com/in/ericleblond">Eric</a> qui est parti à l’ANSSI, mais <a href="http://www.linkedin.com/pub/pierre-chifflier/5/baa/3a6">Pierre</a> (son ex-associé chez EdenWall).</li>
</ul>
<div align="justify">
Ajoutez 3 personnes de l’ANSSI au <a href="https://www.sstic.org/2012/comites/">Comité d’Organisation</a>, 4 au <a href="https://www.sstic.org/2012/comites/">Comité de Programme</a>. Mâtinez le tout de quelques universitaires qui « tournent » dans le circuit depuis longtemps, et vous obtenez un programme parfaitement équilibré … ou pas.<br />
<br />
On pourrait se féliciter d’une telle efficacité de l’Agence à sécuriser l’Internet français … et à le faire savoir.<br />
<br />
On pourrait aussi déplorer qu’après avoir <a href="http://www.ssi.gouv.fr/fr/anssi/emploi/">asséché les compétences</a> disponibles sur le marché, concurrencé de manière déloyale les prestataires de services (au moins dans les domaines de l’audit, de la <a href="http://www.ssi.gouv.fr/fr/anssi/formation/">formation continue</a> et de la réponse aux incidents), et <a href="http://www.ssi.gouv.fr/fr/reglementation-ssi/referentiel-general-de-securite/referentiel-d-exigences-applicables-aux-prestataires-d-audit-de-la-ssi.html">réglementé</a> le secteur de la prestation de services au risque de voir les petits cabinets disparaître, l’Agence jette désormais son dévolu sur les conférences de sécurité.<br />
<br />
Est-ce un bien ou un mal ? Pour avoir assisté à toutes les éditions de SSTIC depuis la première, je crains que l’esprit « hacker » (désolé pour ce mot vulgaire) des origines, déjà bien amoché par l’obligation d’envoyer un article LaTeX de 20+ pages, ne succombe à la pesanteur conjuguée de l’administration et de la recherche universitaire. On s’éloigne d’un <a href="http://events.ccc.de/">CCC</a> à la française, où l’on puisse parler librement de protocole GSM, de sécurité des cartes bancaires, ou du site « impots.gouv.fr ». Fini la révérence du groupe Rstack sur scène en guise de conférence de clôture (pour ceux qui s’en souviennent). On se dirige plutôt vers un monde où <a href="https://www.sstic.org/2010/presentation/Conference_invitee_Binztock/">OCaml nous sauvera des XSS</a> (ou pas) grâce à des <a href="http://mlstate.com/#company">anciens de l’Agence</a>. Voire à une migration de Rennes vers le Mont Valérien - après tout les <a href="http://rmll.info/">RMLL</a> ont bien quitté Bordeaux pour aller à Strasbourg (et maintenant Genève).</div>
<h2 align="justify">
Au fait !</h2>
Si vous m’avez lu jusque là, vous commencez à vous douter qu’une telle diatribe n’est pas le fruit du hasard. Levons le suspens : ma soumission à SSTIC a effectivement été rejetée :)<br />
<br />
Vous me direz : « c’est le jeu », et je vous l’accorde. D’ailleurs j’avais déjà été refusé deux fois à SSTIC : l’année où les *Box étaient accessibles en Telnet côté Internet, et l’année où nous avions inventé le <i>forensics</i> du fichier d’hibernation avec <a href="http://www.moonsols.com/">Matthieu Suiche</a> (ça n’est pas moi qui le dit, mais <a href="http://www.amazon.com/dp/1597494224/">Harlan Carvey</a>).<br />
<br />
Mais cette fois-ci c’est différent. Comment ne pas penser que « quelquechose » s’est cassé quand on lit une revue telle que celle-là (authentique) :<br />
<i>« Et quid de la légalité d'une conférence qui ne fait que le reverse engineering d'un produit commercial ? »</i><br />
<br />
Sachant que la <a href="https://www.sstic.org/2012/presentation/rtroconception_et_dbogage_dun_baseband_qualcomm/">première conférence</a> de l’édition 2012 concerne le <i>reverse engineering</i> d’un <i>firmware</i> Qualcomm, cela prête à sourire. Sans compter que les éditions précédentes ont abordé le <i>reverse engineering</i> de Microsoft <a href="https://www.sstic.org/2011/presentation/bitlocker/">Bitlocker</a> (par … l’ANSSI !), de <a href="https://www.sstic.org/2010/presentation/Peut_on_faire_confiance_aux_cartes_reseau/">cartes réseau Broadcom</a> (par … devinez qui :), etc.<br />
<br />
Les revues sont bien évidemment anonymes, mais je suis prêt à parier une bière que ce commentaire émane de l’ANSSI, et plus précisément du <a href="http://www.certa.ssi.gouv.fr/">CERTA</a>. Vous savez, ceux qu’on ne voit jamais chez les clients victimes d’APT : ils font faire le sale boulot d’ouverture de binaires par le bureau inspection, <a href="http://www.microsoft.com/fr-ch/services/default.aspx">Microsoft Services</a>, ou des prestataires de service. Car « <i>l’administration se doit d’être irréprochable</i> » (authentique également). Bien sûr, je peux me tromper :)<br />
<br />
Le reste des relectures sont à l’avenant, je vous en fais grâce ici.<br />
<br />
Pour conclure sur SSTIC : inutile de remplir le sondage. Non seulement les résultats restent secrets (même les auteurs n’ont pas accès aux informations sur leur propre prestation), mais de plus ça n’éclaire en rien le Comité de Programme dans ses choix ultérieurs.<br />
<h2>
Existe-t-il un horizon ?</h2>
Bien entendu, cette situation ne convient pas à tout le monde. Et comme la nature a horreur du vide, d’autres conférences françaises d’excellente tenue ont vu le jour : <a href="http://www.hackinparis.com/">Hack In Paris</a> et <a href="http://hackitoergosum.org/">Hackito Ergo Sum</a> par exemple.<br />
<br />
Si vous voulez discuter amicalement autour d’une bière avec des talents (et non pas des <a href="https://www.sstic.org/2011/presentation/ThoughtsonClientSystems/">stars</a>) de la sécurité tels que Fyodor Yarochkin, Marc Van Hauser, Dmitry Sklyarov, Cesar Cerrudo ou Travis Goodspeed, n’hésitez pas : les inscriptions sont ouvertes ! Et en plus, il y en aura pour tout le monde.<br />
<em><br /></em><br />
<em>PS. Message personnel pour Arno (de l’ANSSI, mais qui ne l’est pas aujourd’hui ?) : désolé pour tes 5 euros, mais il n’y aura pas de démo technique cette année. Si tu as lu ce billet et que tu as bien rigolé, puis-je les garder en dédommagement ? Merci.</em>newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com20tag:blogger.com,1999:blog-16926911.post-65886935564546414752011-12-29T14:00:00.000+01:002011-12-29T14:00:04.357+01:00Les jeux sont faits<p align="justify">Depuis le 16 décembre 2011 est en ligne la version 1.0 du <a href="http://www.ssi.gouv.fr/IMG/pdf/referentiel-exigences_labellisation_prestataires-audit-teleservices_v1-0.pdf" target="_blank"><em>Référentiel d’exigences pour la labellisation des prestataires d’audit SSI</em></a> - qui font partie des PSCO (Prestataires de Services de COnfiance, une notion introduite par le RGS). D’ailleurs <a href="http://www.ssi.gouv.fr/fr/certification-qualification/qualification-d-un-prestataire-de-service-de-confiance/referentiels-techniques-de-qualification-des-psco.html" target="_blank">l’article de l’ANSSI</a> précise que le document actuel sera intégré à la prochaine version du RGS.</p> <p align="justify">Ce document - <a href="http://news0ft.blogspot.com/2011/05/le-diable-est-dans-les-details.html" target="_blank">qui avait déjà fait parler de lui</a> - n’est pas applicable en l’état : on peut lire page 7 que: « <em>La procédure d’évaluation de la conformité des prestataires d’audit aux règles du Référentiel qui leur sont applicables fera l’objet de documents complémentaires</em> ».</p> <p align="justify">Néanmoins le document existant mérite d’être étudié, car il est appelé à devenir une référence dans les futurs appels d’offres de l’administration – du moins si un nombre suffisant d’acteurs jouent le jeu, puisqu’on peut lire sur le site de l’ANSSI que : « <em>Les autorités administratives peuvent utiliser ce référentiel, en totalité ou en partie, dans les cahiers<sup>[<a href="#note">1</a>]</sup> des charges de leurs appels d’offres de prestations d’audit. Une fois le nombre de qualification de prestataire d’audit suffisant, elles pourront également requérir que l’audit soit réalisé par un prestataire qualifié</em> ».</p> <p align="justify">Que le lecteur se rassure : je ne vais pas me lancer dans une analyse différentielle ligne à ligne des versions 0.9 et 1.0 du même document, mais plutôt jeter quelques bouteilles dans l’océan qui me sépare de l’administration.</p> <p align="justify">Premier point qui me fait chaud au cœur : la page 10. Oui, vous ne rêvez pas, le terme « <em>ingénierie inverse</em> » fait partie des compétences nécessaires au <em>pentester</em>. C’est une révolution de palais – ou une facétie de l’éditeur, car ce terme n’apparaît plus en page 21 (tous les audits applicatifs nécessitent d’avoir accès au code source) ni en Annexe B (dans la liste des compétences techniques).</p> <p>Deuxième point notable : il n’est plus nécessaire de savoir tout faire. Un prestataire peut être certifié sur tout ou partie des périmètres suivants : <br />•    Audit d’architecture <br />•    Audit de configuration <br />•    Audit de code source <br />•    Test d’intrusion <br />•    Audit organisationnel </p> <p align="justify">Il est précisé toutefois page 7 qu’un prestataire ne peut pas être certifié uniquement sur le test d’intrusion ou l’audit organisationnel : «<em> une telle activité étant jugée insuffisante si elle est menée seule </em>». Voilà qui risque d’éliminer un certain nombre de micro-entreprises … <em>a contrario</em>, j’en connais d’autres qui doivent jubiler devant une définition aussi proche de leur activité – il ne manque qu’une exigence sur les compétences juridiques et/ou CNIL pour éliminer le peu de concurrents encore en lice.</p> <p align="justify">Le document se prononce également sur le délicat sujet du social engineering : on peut lire page 14 que les tests doivent être conduits « <em>dans le respect des personnels</em> ». Ce sujet épineux avait déjà beaucoup agité la <a href="http://www.journaldunet.com/solutions/99oct/991008charte.shtml" target="_blank">Fédération des Professionnels du Test d’Intrusion</a> – lorsqu’elle existait.</p> <p align="justify">Enfin le document donne en page 12 la réponse à la sempiternelle question : « qu’est-ce qu’un ancien hacker » ? Dormez tranquilles : « <em>Le prestataire d’audit peut également demander au candidat une copie du bulletin n° 3 de son casier judiciaire</em> ». Le principe de bon sens « pas vu – pas pris » continue donc de s’appliquer. Désolé pour les « <em><a href="http://www.lerti.fr/web/offre_emploi.php" target="_blank">hackers repentis</a></em> » … Il faut dire que les prestataires de services auraient été victimes de concurrence déloyale s’ils ne pouvaient pas recruter d’anciens hackers comme l’ANSSI ;)</p> <p align="justify">Pour finir, une nouvelle compétence a fait son apparition en page 10 : « <em>L’auditeur doit disposer de qualités rédactionnelles et de synthèse et savoir s’exprimer à l’oral de façon claire et compréhensible, en langue française</em> ». Moi qui était déjà favorable à la dictée lors des entretiens d’embauche, voilà désormais qu’il va falloir introduire le <a href="http://en.wikipedia.org/wiki/Powerpoint-Karaoke" target="_blank">PowerPoint Karaoké</a> … ce qui risque d’être autrement plus sélectif que le <a href="http://communaute.sstic.org/ChallengeSSTIC2011" target="_blank">challenge SSTIC</a> !</p> <p align="justify">Pour conclure, il est encore difficile de dire où tout cela va nous mener. Quels vont être les critères techniques d’évaluation des prestataires, particulièrement dans des sciences molles comme l’audit organisationnel ? Qui va faire passer les certifications ? Des sociétés privées mandatées par l’ANSSI ? Y aura-t-il un QCM ? Sera-t-il possible de tricher ? Et surtout : est-ce que les prestataires vont se ruer vers la certification ?</p> <p align="justify">L’expérience de la <a href="http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-certifies-cspn/" target="_blank">CSPN</a> semble montrer que le ratio complexité/intérêt s’est avéré trop élevé pour les prestataires d’audit comme pour les éditeurs de logiciels.</p> <p align="justify">Même si ce référentiel va s’imposer de lui-même pour la prestation de service aux administrations, il n’est pas dit qu’il connaisse le même succès dans le domaine des prestations privées … surtout si un standard ou une norme - américaine ou internationale - apparaît d’ici là !</p> <p align="justify">PS. Bonne année à tous ! Et oui, j’ai pris la résolution de bloguer plus en 2012 :)</p> <p id="note" align="justify"><font size="1">[1] Je me suis permis de corriger une typo ici, car les correcteurs orthographiques Microsoft sont notoirement meilleurs que leurs équivalents Open Source ;)</font></p> newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com3tag:blogger.com,1999:blog-16926911.post-44047570272783528482011-06-09T11:00:00.000+02:002011-06-09T11:13:48.947+02:00Yahoo! (ou Android ?) #failUn micro-post pour faire suite à mon intervention au <a href="http://www.sstic.org/2011/programme/">SSTIC</a> (et dissiper les malentendus lus sur Twitter).<br />
<br />
L'application "officielle" <a href="http://fr.androlib.com/android.application.com-yahoo-mobile-client-android-mail-jixqC.aspx">Yahoo! Mail pour Android</a> communique périodiquement en HTTP avec "controller.php" ... et fait fuir le cookie de session au passage.<br />
<br />
A ne jamais utiliser sur un WiFi non protégé, donc.<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="http://newsoft.dyndns.org/blog/Yahoo.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://newsoft.dyndns.org/blog/Yahoo.png" /></a></div>newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com2tag:blogger.com,1999:blog-16926911.post-7344237542978363652011-06-03T08:00:00.000+02:002011-06-03T08:00:08.773+02:00Challenge #fail<p>Je ne parle pas du <a href="http://communaute.sstic.org/ChallengeSSTIC2011">Challenge SSTIC</a> évidemment, qui était encore une fois de très bonne facture (félicitations aux gagnants … et aux organisateurs).</p> <p>Je parle plutôt du <a href="http://www.rssil.org/iawacs-2011">Challenge iAWACS/RSSIL</a>. Enfin le <a href="http://cvo-lab.blogspot.com/2011/05/iawacsrssil-2011-libperseus-challenge.html">challenge officiel</a>, pas celui qui consiste à <a href="http://www.rssil.org/conferences">pirater des sites Internet en live</a> et pouvoir rentrer chez soi tranquillement.</p> <p>Le principe de ce challenge est simple: deux fichiers chiffrés avec un algorithme “maison” sont publiés. La première personne capable de produire les fichiers source gagne 3000€.</p> <p>Bien entendu, afin de respecter le <a href="http://fr.wikipedia.org/wiki/Principe_de_Kerckhoffs">principe de Kerckhoffs</a>, l’algorithme utilisé a également été <a href="http://code.google.com/p/libperseus/">publié</a>. Le challenge consiste donc à cryptanalyser cet algorithme. Ou plutôt devrait consister.</p> <p>En effet, une <a href="http://code.google.com/p/libperseus/source/browse/trunk/perseus.c">lecture attentive des sources</a> permet d’identifier la séquence de code suivante:</p> <p><font face="Courier New">PUNCT_CONC_CODE * generateCode() <br />{ <br />(...) <br />  now = time(NULL); <br />  while(now == (time_t)(-1)) now = time(NULL); <br />  srand(now);</font></p> <p><font face="Courier New">(...)</font></p> <p> </p> <p>Et dans le <a href="http://code.google.com/p/libperseus/source/browse/trunk/perseus_test.c">programme de test</a>:</p> <p><font face="Courier New">aKey->INIT1 = (unsigned long int)((float)(0xFFFFFFFFL) * alea()); <br />aKey->INIT2 = (unsigned long int)((float)(0xFFFFFFFFL) * alea()); <br />aKey->INIT3 = (unsigned long int)((float)(0xFFFFFFFFL) * alea()); <br />aKey->INIT4 = (unsigned long int)((float)(0xFFFFFFFFL) * alea());</font></p> <p> </p> <p>Sachant que la <a href="http://code.google.com/p/libperseus/source/browse/trunk/perseus.h">définition de la macro</a> <font face="Courier New">alea()</font> est plutôt simple:</p> <p><font face="Courier New">/* alea(): a random float in [0, 1]      */ <br />#define alea() (rand()/(RAND_MAX + 1.0))</font></p> <p> </p> <p>Le <a href="http://newsoft-tech.blogspot.com/2009/09/unique-is-not-random-is-not-secure.html">lecteur averti</a> aura remarqué que la simple connaissance du <font face="Courier New"><a href="http://www.linux-kheops.com/doc/man/manfr/man-html-0.9/man2/time.2.html">time()</a></font> – en secondes - à l’instant de la génération du fichier permet de casser entièrement le challenge. Même en visant large - disons 1 an – la complexité calculatoire reste donc inférieure à 2<sup>25</sup>.</p> <p>Je ne cours pas après l’argent, mais 3000€ en 10 minutes reste une affaire rentable :) Toutefois les deux fichiers fournis présentent un entête qui ne semble pas provenir de la librairie fournie par l’auteur.</p> <p><font face="Courier New">$ xxd -l 64 challenge_lipperseus1 <br />0000000: 4631 3232 3938 4630 3030 0067 51b3 df01  <font color="#ff0000"><strong>F12298F000</strong></font>.gQ... <br />0000010: b663 4b33 4565 0637 0c1f 7912 4e39 64e5  .cK3Ee.7..y.N9d. <br />0000020: 7f71 3678 5438 2276 3c34 4726 13b8 6b37  .q6xT8"v<4G&..k7 <br />0000030: 3a4a d9c5 3f9c 6d43 ccc6 37f8 59ec 33df  :J..?.mC..7.Y.3. <br />$ xxd -l 64 challenge_lipperseus2 <br />0000000: 4638 3230 3946 3030 3030 ad94 31b0 1ec1  <strong><font color="#ff0000">F8209F0000</font></strong>..1... <br />0000010: 82c1 4de0 9c97 2797 52f1 458a 5b40 2fe7  ..M...'.R.E.[@/. <br />0000020: 09b8 fe85 2ea7 2f7a 186b 277f 65a4 5275  ....../z.k'.e.Ru <br />0000030: 6cfb 845d c6a7 32b3 9141 db25 3526 456b  l..]..2..A.%5&Ek</font><font face="Courier New"></font></p> <p><font face="Courier New"></font></p> <p>D’ailleurs, la librairie disponible en ligne ne compile même pas <a href="http://code.google.com/p/libperseus/source/browse/trunk/perseus.c#1309">à cause d’une typo</a>. Il est donc difficile de croire que les fichiers aient été “<a href="http://cvo-lab.blogspot.com/2011/05/additional-information-about-libperseus.html">produit directement à partir de ce code source</a>” ;)</p> <p>Je m’enquière donc du programme original (principe de Kerckhoffs, toujours). Et visiblement <a href="http://cvo-lab.blogspot.com/2011/05/additional-information-about-libperseus.html#comments">je ne suis pas le seul à avoir remarqué</a> le problème.</p> <p>L’affaire aurait pu en rester là, mais <a href="http://cvo-lab.blogspot.com/2011/05/propos-du-challenge-perseus.html">l’auteur a cru bon de répondre</a>. Et là, à défaut d’un gros chèque, je tenais un solide blogpost ;)</p> <p>Je vous laisse lire la réponse en question, car chaque ligne est délectable. Vraiment. Tenter de la résumer en quelques lignes serait risquer d’en perdre le substantifique fiel. Sans parler du <a href="http://cvo-lab.blogspot.com/2011/05/iawacsrssil-2011-libperseus-challenge.html">blogpost d’origine</a> qui a lui aussi été édité (oh la vilaine pratique).</p> <p>Dans tous les cas, en ce qui me concerne, je vais continuer à penser “que les attaquants feront toujours des erreurs exploitables”, puisque l’usage de <font face="Courier New">rand()</font> pose toujours autant de problèmes en 2011 qu’en <a href="http://wiki.debian.org/SSLkeys">2008</a> … ou qu’en <a href="http://fr.wikipedia.org/wiki/%C3%89ric_Filiol#cite_note-1">2003</a>.</p> newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com10tag:blogger.com,1999:blog-16926911.post-87225080749911012602011-05-16T08:00:00.001+02:002011-05-16T11:04:24.628+02:00Le diable est dans les détails<div align="justify">Ainsi donc <b>l'activité d'audit sécurité va être réglementée en France</b>. <a href="http://www.ssi.gouv.fr/site_article328.html">Le projet est encore en phase expérimentale</a>, mais le processus étant enclenché, il est inéluctable (modulo le temps de convergence des autorités concernées). Il faut dire que l'<a href="http://www.arjel.fr/">ARJEL</a> avait déjà ouvert cette voie<a href="http:/#_ftn1_1423" name="_ftnref1_1423">[1]</a> en fournissant une <a href="http://www.arjel.fr/-Organismes-certificateurs-.html">liste d'organismes certificateurs</a>.</div><div align="justify">C'est une idée qui circule depuis quelques temps, sans que j'en aie bien compris les avantages. Car si tout un chacun peut effectivement constater que le marché est inondé par des charlatans ou des sociétés unipersonnelles<a href="http:/#_ftn2_1423" name="_ftnref2_1423">[2]</a>, l'apport effectif d'une réglementation reste à prouver. En théorie "<b>la main invisible</b> du marché" est censée faire son travail. Et elle le fait plutôt bien: la plus grosse partie de l'activité fonctionne par bouche à oreille. Quant aux "<a href="http://www.hsc-news.com/archives/2009/000054.html">tests d'intrusion qui n'intrusent pas</a>", ils correspondent aussi à une demande de certains clients: les mauvais ont donc leur place dans l'écosystème, c'est pour cela qu'ils y survivent.</div><div align="justify">Maintenant regardons de plus près l'avant-projet produit par l'ANSSI (<b>version 0.9</b>).</div><h3>Chapitres 3 et 4: de la mesure des compétences techniques</h3><div align="justify">Ce qui frappe en premier lieu, c'est le <b>très haut niveau d'exigence</b> requis par ce document. J'ai immédiatement pensé à la <a href="http://www.ssi.gouv.fr/site_rubrique130.html">VAE ESSI</a>, qui nécessite des compétences aussi diverses que la cryptographie, l'intelligence économique, la gestion d'une équipe et d'un budget, et un anglais parfait. Au passage, si quelqu'un a des chiffres sur le nombre de VAE ESSI délivrées, merci de les poster en commentaire …</div><div align="justify">Dans l'avant-projet, on peut lire que "<i>le prestataire d'audit doit s'assurer que les compétences [techniques | organisationnelles], théoriques et pratiques, de l'ensemble des auditeurs qu'il emploie couvre les domaines suivants […]</i>". S'en suit une longue liste à la Prévert, allant des systèmes & réseaux, du développement d'outils intrusifs<a href="http:/#_ftn3_1423" name="_ftnref3_1423">[3]</a>, à la maitrise de la norme ISO 27001, de la méthode EBIOS et du RGS, entre autres. Cette liste est détaillée dans les grandes largeurs en annexe A.</div><div align="justify">Puisque nous sommes dans le chapitre 3, cette exigence s'applique a priori à la société prestataire et pas à chaque auditeur individuellement. Mais la plupart des prestataires de taille moyenne (disons, moins de 20 personnes) - et il en existe beaucoup dans le secteur - sont quasiment assurés d'avoir un "<b>trou dans la raquette</b>" … Quant aux autres, il restera très difficile de valider que toutes les compétences soient <b>disponibles</b>, <b>persistantes</b> (dans un contexte de <i>turn-over</i> important), et <b>utilisées</b> si la mission le requière.</div><div align="justify">Dans le chapitre 4 - qui concerne les auditeurs eux-mêmes - il est <b>recommandé</b> que les auditeurs, disposent d'un bac+5 reconnu d'état, justifient en sus de 2 ans d'expérience en informatique "pure", 1 an d'expérience en sécurité, et 1 an d'expérience en audit. Autant dire qu'on n'est pas loin du mouton à 5 pattes, surtout avec les <a href="http://sid.rstack.org/blog/index.php/419-de-la-penurie-de-pentesteurs">difficultés de recrutement actuelles</a> (et futures, à en juger par la production du système éducatif dans le domaine).</div><div align="justify">De mon expérience, la mesure objective des compétences techniques est un exercice très difficile … et inutile.</div><div align="justify"><b>Difficile</b>, car à moins d'enfermer le candidat dans une pièce pendant des heures (sans accès Internet) pour le faire plancher sur des travaux pratiques, il n'est possible d'estimer "au jugé" qu'une infime partie des compétences annoncées sur le CV (dont la liste dépasse souvent les 50 entrées).</div><div align="justify">Comme l'ANSSI, nous disposons d'un questionnaire technique "<b>infaisable</b>"<a href="http:/#_ftn4_1423" name="_ftnref4_1423">[4]</a> qui sert uniquement à disqualifier de manière objective un candidat "qu'on ne sent pas". Mais un simple QCM ne peut pas valider des compétences techniques très poussées (tout au plus peut-il servir à délivrer une certification ;).</div><div align="justify"><b>Inutile</b>, car c'est plus la capacité à apprendre rapidement qui est importante. Le document cite des technologies de bases de données: Oracle, MS-SQL, MySQL et PostgreSQL. Mais j'ai également été confronté à SolidDB (produits Cisco), Access, SQLite (Android), Sybase SQL Anywhere, et probablement d'autres oubliés depuis.</div><div align="justify">Or aucune société ne peut maintenir à jour des auditeurs sur toutes ces technologies: ce qui compte c'est la rapidité avec laquelle l'auditeur appréhende une nouvelle technologie. Tout candidat qui n'a pas déjà <b>réellement utilisé</b> au moins 3 systèmes d'exploitation, 3 architectures matérielles, et 3 langages de programmation est pour moi un <i>rookie</i> (quelle que soit son expertise dans un domaine très pointu tel que "l'assembleur Intel x86 en environnement Microsoft Windows").</div><div align="justify">L'exemple des challenges de sécurité (tels que <a href="http://communaute.sstic.org/">celui du SSTIC</a>) est frappant: le top 10 est à peu près toujours le même. Or je ne peux pas croire que les gagnants récurrents ont étudié a priori des technologies aussi variées que le mode V8086 du processeur Intel ou le système d'exploitation Android. Ils ont <b>appris sur le tas</b>, en temps contraint. C'est à mon avis la seule qualité nécessaire à la pratique du test d'intrusion, compte-tenu de la diversité des missions et de l'environnement technologique mouvant dans lequel nous évoluons.</div><h3>Chapitre 5: incise sur l'obsolescence des technologies</h3><div align="justify">Le chapitre 5, comme l'Annexe A, contiennent des détails techniques tout à fait inattendus.</div><div align="justify">Il est question de chercher des failles de type <i>Cross-Site Scripting</i> (le terme n'a pas été francisé ;), injection SQL, et <i>Cross-Site Request Forgery</i>. Pourtant la liste des erreurs potentielles est <a href="http://cwe.mitre.org/top25/index.html">bien plus longue</a>.</div><div align="justify">Il me semble ambitieux de citer des technologies, voire des produits commerciaux, dans un document de référence sur les technologies que doit maitriser un auditeur ou un prestataire d'audit. Il m'a déjà été donné de voir du code FORTRAN en audit, tout autant que des applications Android. Comme explicité précédemment, c'est la maitrise de quelques <b>concepts fondamentaux</b> et la <b>capacité à apprendre</b> qui me semblent essentiels à mesurer.</div><h3>Le paradoxe français, premier acte</h3><div align="justify">J'aimerais ici parler du voile pudique jeté sur l'audit d'applications en source fermée.</div><div align="justify">Compte-tenu des technologies mentionnées en annexe, on sent que le document s'applique à un nombre limité de prestations d'audit: les réseaux internes, les réseaux d'interconnexion, les applications Web, la téléphonie (sur IP … ou pas), et les environnements virtualisés.</div><div align="justify">Exit donc par exemple les audits de systèmes embarqués (comme les imprimantes, les caméras WiFi les caisses de cantine ou les badgeuses). Le cas de "l'audit d'applications lourdes de type client/serveur" est réglé en une ligne dans l'annexe ... Quant au problème du <i>Cloud Computing</i>, il ne semble pas encore avoir atteint l'administration:</div><div align="justify">"<i>Les tests d'intrusion ne devraient pas être réalisés sur des plate-formes d'hébergement mutualisées.</i>"</div><div align="justify">D'après ce document, aucune compétence en <i>reverse engineering</i> n'est donc requise pour être un excellent auditeur sécurité. Ce qui est <b>bien entendu faux</b> dans la pratique, ne serait-ce que pour le développement des codes d'exploitation dont il va être question juste après.</div><h3>Le paradoxe français, deuxième acte</h3><div align="justify">Bien entendu, l'administration se doit d'être <b>exemplaire</b> et ne peut mentionner la pratique du <i>reverse engineering</i> dans un document officiel. D'ailleurs il est bien précisé que: "<i>f) Le prestataire d'audit est tenu de respecter la législation et la réglementation en vigueur […]</i>".</div><div align="justify">Mais là où ça devient cocasse, c'est lorsqu'il est dit plus loin que: "<i>Le prestataire d'audit doit fournir, à la fin de l'audit, les développements spécifiques réalisés lors de l'audit pour valider les scénarios d'exploitation des vulnérabilités. Ces développements peuvent être fournis sous la forme de scripts ou de programmes compilés, accompagnés de leur code source, ainsi que d'une brève documentation de mise en œuvre et d'utilisation</i>".</div><div align="justify">Non seulement il me semble difficile de mettre au point des codes d'exploitation sans pratiquer un minimum de <i>reverse engineering</i> (passons là-dessus), mais surtout cela me semble tout à fait <b>coller avec ce texte</b> (pour avoir fait l'expérience de la rigueur avec laquelle il était interprété par les instances de la SSI française):</div><div align="justify">"<i>Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.</i>"</div><div align="justify">En clair, livrer à ses clients des <i>exploits</i> "clé en main", c'est (probablement) <b>mal</b>.</div><h3>Des chiffres et des lettres (et des couleurs, aussi)</h3><div align="justify">Un dernier point qui me tient à cœur, c'est la caution officielle apportée aux <b>matrices de risque</b>, <b>d'impact</b>, etc. qui doivent enrichir et colorer<a href="http:/#_ftn5_1423" name="_ftnref5_1423">[5]</a> le rapport.</div><div align="justify">Pour mémoire, ces matrices ont pour but:</div><ul><li> <div align="justify">De lutter contre les consultants qui n'hésitent pas à faire mousser la production d'un outil automatique et brodent sur la dangerosité des "<a href="http://www.nessus.org/plugins/index.php?view=single&id=10114"><i>ICMP Timestamp</i></a>".</div></li>
<li> <div align="justify">D'en faire le moins possible après l'audit (c'est-à-dire d'économiser des sous), en supprimant toute action qui n'a pas été parée de rouge<a href="http:/#_ftn6_1423" name="_ftnref6_1423">[6]</a> dans le rapport.</div></li>
</ul><div align="justify">En ce qui me concerne, j'essaie de résoudre le problème à la source: la seule classification que j'utilise dans les rapports est <a href="http://en.wikipedia.org/wiki/Pwn"><i>PWN</i></a> ou <i>PAS PWN</i>. Ce qui évite de ratiociner pendant des heures sur la criticité d'une faille sur une échelle de 0 à 4, 10 ou 20.</div><h3>En guise de conclusion</h3><div align="justify">Il y a de bonnes idées dans ce document.</div><div align="justify">Par exemple, il y est rappelé que le test d'intrusion ne prend tout son sens qu'en <b>complément d'un audit préalable</b> du système (au sens large), d'abord dans le chapitre 2:</div><div align="justify">"<i>Un test d'intrusion seul n'a pas vocation à être exhaustif. En revanche, il s'agit d'une activité qui peut être effectuée en complément des activités décrites dans les chapitres 2.1, 2.2, 2.3, 2.4 afin d'en améliorer l'efficacité (…)</i>".</div><div align="justify">… mais surtout en annexe B:</div><div align="justify">"<i>En revanche, l'activité de test d'intrusion ne devrait jamais être réalisée seule et sans aucune autre activité d'audit.</i>"</div><div align="justify">Cette même annexe B rappelle que l'audit "<a href="http://www.la-rache.com/">à l'arrache</a>" d'un sous-système juste avant sa mise en production est <b>inefficace</b>, voire <b>contre-productive</b>:</div><div align="justify">"<i>Les audits devraient être le plus exhaustif possible (…)</i>".</div><div align="justify">Personne ne me demande mon avis, mais puisque je suis sur mon blog, je vais le donner quand même :)</div><div align="justify">Il me semble qu'une certification aussi ambitieuse, à destination essentiellement des grosses entreprises, va:</div><ul><li> <div align="justify">Disqualifier tout un tas de <b>petits prestataires</b> pourtant très compétents dans leur(s) domaine(s).</div></li>
<li> <div align="justify">Etre inapplicable en pratique, particulièrement dans la phase <b>d'évaluation des compétences</b> (aussi bien collectives qu'individuelles).</div></li>
</ul><div align="justify">Enfin ce document continue à nier la <b>réalité de l'activité d'audit sécurité</b>, ce dont <a href="http://sid.rstack.org/blog/index.php/477-de-l-optimalite-de-la-legislation">Cédric s'est par ailleurs ému sur son blog</a>, et ne règle pas le problème du <i>bootstrapping</i> (comment former des auditeurs qualifiés alors qu'il faudrait une vie pour acquérir les compétences recommandées à titre individuel).</div><div align="justify">Voici donc une proposition alternative:</div><ul><li> <div align="justify">Faire du métier d'auditeur en sécurité une <b>profession réglementée</b> (sur le modèle des notaires, des pharmaciens, des médecins, etc.).</div></li>
<li> <div align="justify">Certifier les personnes sur leurs compétences (un gynécologue n'est pas un urologue), en organisant de réelles <b>sessions d'examens</b>. </div></li>
<li> <div align="justify">Exiger (éventuellement) un <b>renouvellement périodique</b> de la certification.</div></li>
<li> <div align="justify">Créer une <b>instance représentative de la profession</b>, qui collecterait tous les rapports d'audit, ce qui permettrait d'avoir un catalogue de produits audités un peu plus étoffé que celui de la <a href="http://www.ssi.gouv.fr/site_article80.html">CSPN</a>. Cette instance pourrait éventuellement servir d'interface avec les éditeurs logiciels, ou de tiers de confiance pour l'achat/revente de codes d'exploitation (missions qui ne sont pas actuellement dans les compétences du <a href="http://www.certa.ssi.gouv.fr/">CERTA</a>, sauf erreur de ma part).</div></li>
</ul><div align="justify">Les commentaires sont ouverts.</div><hr align="left" size="1" width="33%" /><a href="file:///C:/temp/#_ftnref1_1423" name="_ftn1_1423"><span style="font-size: xx-small;">[1]</span></a><span style="font-size: xx-small;"> Comme celle du filtrage d'Internet diront les mauvaises langues.</span><br />
<a href="file:///C:/temp/#_ftnref2_1423" name="_ftn2_1423"><span style="font-size: xx-small;">[2]</span></a><span style="font-size: xx-small;"> HSC n'en est plus une depuis quelques temps.</span><br />
<a href="file:///C:/temp/#_ftnref3_1423" name="_ftn3_1423"><span style="font-size: xx-small;">[3]</span></a><span style="font-size: xx-small;"> Avec un "motif légitime" je suppose.</span><br />
<a href="file:///C:/temp/#_ftnref4_1423" name="_ftn4_1423"><span style="font-size: xx-small;">[4]</span></a><span style="font-size: xx-small;"> Curieusement, aucun candidat n'a été capable de reconnaitre une implémentation MD5 en assembleur MIPS à ce jour.</span><br />
<a href="file:///C:/temp/#_ftnref5_1423" name="_ftn5_1423"><span style="font-size: xx-small;">[5]</span></a><span style="font-size: xx-small;"> Sauf avec Latex, puisqu'on ne peut pas mettre de couleurs dans les tableaux.</span><br />
<a href="file:///C:/temp/#_ftnref6_1423" name="_ftn6_1423"><span style="font-size: xx-small;">[6]</span></a><span style="font-size: xx-small;"> Certains préfèrent le noir pour les failles critiques, les goûts et les couleurs …</span>newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com14tag:blogger.com,1999:blog-16926911.post-89443050283845539792011-01-31T08:00:00.012+01:002011-01-31T08:00:12.047+01:00Une semaine avec l'iPad<div style="text-align: justify;">Il se trouve que j'ai récupéré par hasard un iPad, dans des circonstances qui ne peuvent s'expliciter qu'autour d'une bonne bière. N'ayant aucune attente particulière par rapport à cet objet - qui commence à fasciner et inquiéter les entreprises - je vais donc pouvoir en faire un compte-rendu dépassionné et objectif.</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Pour commencer, l'engin est assez élégant, quoique pesant. On reconnait la qualité du design Apple, y compris en ce qui concerne l'emballage.</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">La prise en main est bonne - il y a peu de chances de le laisser choir par inadvertance.</div><h3>Ce qui ne marche pas</h3><div style="text-align: justify;">A l'usage, voici plusieurs lacunes qui apparaissent assez rapidement:</div><div style="text-align: justify;"></div><ol><li>Tout d'abord, ça n'est pas l'objet ubiquiteux qu'on nous promet. J'ai un toujours un téléphone dans la poche, mais emporter son iPad demande une certaine planification (y a-t-il un vestiaire à destination, etc.). Et le sortir dans le métro pour lire son journal favori relève encore de la science-fiction.</li>
<li>C'est très cher à l'usage. Autant l'iPhone nous avait habitués à des applications gratuites (en version bridée, ou financée par la publicité), autant les applications iPad se destinent immédiatement à un public de gens "qui ont les moyens".</li>
<li>Même les applications gratuites font un usage intensif du "<i>in app purchase</i>". Laisser ses enfants jouer avec l'iPad peut rapidement se transformer en drame. Le jeu "village des schtroumpfs" en est la caricature: tous les éléments du jeu sont payants. Si les enfants aiment la salsepareille, papa va devoir sortir l'oseille …</li>
<li>L'absence de multifenêtrage fait cruellement défaut quand on vient de la bureautique traditionnelle. Impossible de copier/coller rapidement un morceau de texte d'une application dans une autre: il faut suspendre la première application, ouvrir la deuxième, puis revenir à la première …</li>
<li>La communication avec le monde extérieur se limite au navigateur Web (impossible de brancher une clé USB par exemple). Du coup la suite d'applications Google devient rapidement indispensable pour entrer et sortir de l'engin (prendre des notes, sauvegarder des signets, etc.)</li>
<li>Impossible d'avoir confiance dans les applications disponibles sur l'App Store. Il existe bien des clients RDP et SSH gratuits par exemple, mais il faut réaliser un sérieux <i>background check</i> sur l'éditeur avant de saisir son mot de passe <i>root</i> dans une telle application.</li>
<li>Mon efficacité au clavier virtuel reste inférieure à celle d'un clavier réel, en particulier à cause de la séparation entre lettres, chiffres et signes de ponctuation dans trois claviers distincts. Autant dire que taper des lignes de commandes <i>shell</i> avec un clavier virtuel relève de l'épreuve de nerfs. Les gens qui utilisent des mots de passe robustes prennent rapidement l'habitude de les mémoriser dans les applications ...</li>
<li>Il est impossible d'imprimer (par exemple un plan Mappy).</li>
</ol><br />
<div style="text-align: justify;">Maintenant il est clair que cet objet remplit parfaitement son rôle dans plusieurs domaines.</div><h3>Ce qui marche</h3><div style="text-align: justify;">Sa supériorité sur un PC (et sa qualité principale à mon avis) c'est que … ça marche ! Grâce à la maitrise complète du matériel et du système d'exploitation par Apple, et au cloisonnement des applications tierces, plus besoin de se préoccuper d'une incompatibilité entre un antivirus et une protection logicielle par exemple …</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Sans parler des problèmes de drivers insurmontables sur PC (surtout depuis la cohabitation entre drivers Windows XP, drivers Windows Seven 32 bits, et drivers Windows Seven 64 bits - lorsqu'ils existent). Sur mon Dell E4300, même en installant la "suite de sécurité Trust Wave Embassy" livrée par Dell, je ne sais pas comment utiliser le lecteur d'empreinte digitale ou le lecteur RFID intégré. Quant au "hub de sécurité Broadcom", il contient des commandes cachées<a href="file:///Z:/_DONE/Blog/#_ftn1_2961" name="_ftnref1_2961">[1]</a>, et ne peut être reflashé officiellement que sous MS-DOS. De même pour la carte 3G intégrée<a href="file:///Z:/_DONE/Blog/#_ftn2_2961" name="_ftnref2_2961">[2]</a>, qui est horriblement instable par ailleurs.</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Alors que sous iPad … tous les périphériques (WiFi, accéléromètre, etc.) fonctionnement <i>out of the box</i> !</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">La gestion de l'énergie est également un point fort de l'appareil. Plusieurs jours d'autonomie en veille, plusieurs heures en fonctionnement, et surtout un allumage instantané.</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">A contrario, sous Windows et encore plus sous Linux, la gestion de l'énergie a toujours été un problème insurmontable:</div><br />
<ul><li style="text-align: justify;">Autonomie ne dépassant pas les 4h quel que soit le matériel.</li>
<li style="text-align: justify;">Charge erratique (Windows et Linux ne s'accordent pas sur la capacité et la performance de ma batterie).</li>
<li style="text-align: justify;">Impossibilité de prévoir l'autonomie réelle lorsque la batterie se dégrade (ce qui arrive de plus en plus rapidement).</li>
<li style="text-align: justify;">Modes de fonctions incompréhensibles (veille, veille hybride, hibernation) et ne fonctionnant pas toujours (selon le matériel ou le support du noyau).</li>
<li style="text-align: justify;">Mise en veille ne fonctionnant pas à cause d'un <i>driver</i> bogué.</li>
<li style="text-align: justify;">Allumage intempestif de la machine (par exemple pour installer des correctifs de sécurité<a href="file:///Z:/_DONE/Blog/#_ftn3_2961" name="_ftnref3_2961">[3]</a>).</li>
<li style="text-align: justify;">Et surtout … plusieurs secondes pour sortir de veille dans tous les cas.</li>
</ul><br />
<div style="text-align: justify;">Dès qu'il me faut consulter rapidement un article ou un plan, je sors désormais l'iPad - je sais que j'en ai pour moins de 5 secondes et que je peux m'interrompre à tout moment sans risquer de tout perdre.</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Quant aux logiciels, on trouve par exemple des jeux de qualité tout à fait correcte pour moins de 10 euros. Disponibles immédiatement et sans problèmes de protections logicielles incompatibles.</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Enfin l'écran tactile est un <i>must</i> pour les jeunes enfants qui ne peuvent pas se servir d'un clavier et d'une souris. D'ailleurs les éditeurs ne s'y sont pas trompés et proposent de nombreuses applications pour les plus jeunes (livres interactifs, jeux, etc.). En 10 minutes, un enfant de 18 mois maitrise complètement l'interface graphique (y compris l'allumage et le déverrouillage) - il est autonome sur n'importe quel jeu (testé et approuvé).</div><h3>Conclusion</h3><div style="text-align: justify;">En bref, l'iPad n'est pas cet engin révolutionnaire et indispensable qui vous est décrit par les <i>fanboys</i> ayant fait la queue pour dépenser leurs 500€ (au bas mot et hors frais d'utilisation).</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Mais quand on manipule l'engin au quotidien, on réalise à quel point l'informatique "traditionnelle" s'est endormie dans un <i>statu quo</i> frustrant pour les utilisateurs, qui ont pris l'habitude de travailler avec des systèmes contre-intuitifs, lents et difficiles à maintenir, alors que rien ne le justifie vu l'argent injecté chaque année dans l'industrie logicielle.</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">C'est pourquoi je ne jetterais pas Chrome OS avec l'eau du bain comme le fait Gartner. En repensant les fondements de l'informatique (mais à quoi peut bien servir un BIOS en 2011 ?) et en s'appuyant sur les interfaces graphiques conviviales du Web 2.0, Google a une chance lui aussi de secouer le cocotier avec un produit un peu différent dans l'esprit (ne serait-ce que par son facteur de forme).</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Quant aux entreprises, il leur faudra bien renoncer un jour à leurs applications VB6 et IE6, sous peine de se retrouver avec une informatique tellement dépassée que la "<i>cloudification</i>" massive (et tant redoutée) sera le fait des utilisateurs mécontents. Mais ceci est une autre histoire …</div><br />
<span style="font-size: xx-small;">Billet rédigé avec </span><a href="http://explore.live.com/windows-live-writer"><span style="font-size: xx-small;">Windows Live Writer 2011</span></a><br />
<hr align="left" size="1" width="33%" /><a href="file:///Z:/_DONE/Blog/#_ftnref1_2961" name="_ftn1_2961">[1]</a> <a href="http://natisbad.org/E4300/">http://natisbad.org/E4300/</a><br />
<a href="file:///Z:/_DONE/Blog/#_ftnref2_2961" name="_ftn2_2961">[2]</a> <a href="http://natisbad.org/E4300/Dell_Wireless_5530_AT_cmd_ref.html">http://natisbad.org/E4300/Dell_Wireless_5530_AT_cmd_ref.html</a><br />
<a href="file:///Z:/_DONE/Blog/#_ftnref3_2961" name="_ftn3_2961">[3]</a> <a href="http://www.nynaeve.net/?p=160">http://www.nynaeve.net/?p=160</a>newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com16tag:blogger.com,1999:blog-16926911.post-5776892517252824242010-12-13T08:00:00.004+01:002010-12-13T08:00:03.340+01:00CyberWar AfterMathJ'ai reçu un abondant courrier des lecteurs (ou plutôt un téléphone arabe des lecteurs devrais-je dire) autour de mon dernier billet, se résumant en gros à un déluge de critiques fondées sur ma prétendue illégitimité dans le domaine (pour simplifier).<br />
<br />
Il est vrai que je n'ai pas eu l'occasion de présenter dans des <a href="http://www.academic-conferences.org/eciw/eciw2011/eciw11-biographies.htm">conférences spécialisées</a>, ou de participer à des "cyber-exercices" (même si je vais me permettre de bloguer là-dessus prochainement).<br />
<br />
Mais puisque la première cyberguerre mondiale n'a pas encore eu lieu, il me semblait pourtant que mon opinion sur le sujet était tout aussi recevable que celle de n'importe qui - tout le monde en est réduit à des spéculations dans le domaine.<br />
<br />
J'oserais même penser qu'en tant que professionnel de l'informatique, mon opinion est plus qualifiée. Car si tout le monde peut intuiter la dangerosité d'une grenade ou d'une baïonnette sans jamais en avoir utilisé une, il en est autrement dans le domaine informatique où <a href="http://sid.rstack.org/blog/index.php/194-de-l-utilite-des-analogies">aucune analogie avec le monde physique ne fonctionne</a>. Les théoriciens de la cyberguerre n'ont pour la plupart aucune idée de ce qui se produit lorsqu'ils allument leur téléphone ou lorsqu'ils envoient un email. Ce qui les conduit à des conclusions absurdes, comme <s>HADOPI</s> l'installation <a href="http://www.securityfocus.com/brief/737">d'un bot contrôlé par le gouvernement américain</a> sur le PC de tout bon citoyen, ou le <a href="http://www.lemonde.fr/technologies/article/2009/04/07/un-projet-de-loi-autoriserait-obama-a-couper-des-pans-entiers-d-internet_1177880_651865.html">bouton rouge qui permet d'arrêter Internet</a>.<br />
<br />
Il en est ainsi des domaines techniques comme l'informatique ou la réparation de télé: personne ne peut avoir d'intuitions sans expérience. Le problème c'est qu'en informatique comme dans beaucoup de domaines de la vie courante (l'économie, la politique, etc.), absolument tout le monde a une solide opinion.<br />
<br />
La différence entre un professionnel de l'informatique et un technicien, voire un simple utilisateur, est la même qu'entre un prof de maths qui enseigne en prépa et un prof de collège. Le premier doit faire face constamment à des situations qui le poussent aux limites de ses capacités, tandis que le second rabâche à des ignorants des concepts à apprendre par cœur (ton mot de passe doit être complexe, tu ne dois pas le noter sur un post-it, tu dois utiliser un antivirus, etc.).<br />
<br />
Bien sûr, dans l'éducation nationale comme dans l'informatique, il existe de vrais passionnés à tous les niveaux, qui s'attaquent à des problèmes non résolus – le plus souvent sur leur temps libre.<br />
<br />
Malheureusement, au bout du compte, l'opinion majoritaire reflétée par les médias et couramment admise (même au plus haut niveau) est bien loin des réalités techniques les plus élémentaires. Si vous avez 30 minutes à perdre, et que vous voulez vous payer une bonne tranche de rigolade, je vous conseille de regarder un récent reportage intitulé "<a href="http://www.telleestmatele.com/article-special-investigation-les-nouveaux-pirates-de-l-informatique-alerte-a-la-cyberguerre-57620747.html">les nouveaux pirates de l'informatique</a>", suivi par "alerte à la cyberguerre". C'est disponible partout sur Internet, mais je ne peux pas vous donner de lien ici – seul Google a le privilège d'être au-dessus des lois.<br />
<h3>Revenons à nos moutons</h3>Ce débat sur la cyberguerre est né de mes <a href="http://news0ft.blogspot.com/2010/10/lechec-de-la-cyberguerre.html">réflexions sur StuxNet</a>. Tout le monde s'extasie sur la "complexité" d'un tel code. Au gré des <a href="http://www.cnis-mag.com/securite-du-cloud-attaques-scada-jeudi-28-octobre.html">conférences</a> ou de mes <a href="http://www.france24.com/fr/20101004-stuxnet-virus-informatiques-internet-maliciel-iran-chine-logiciel-symantec">lectures sur Internet</a>, j'ai pu entendre que StuxNet représentait 9 mois*hommes de travail, ou 10 millions de dollars. Ces chiffres sont bien entendu totalement fantaisistes, puisque le pays d'origine du virus – et donc le salaire moyen des développeurs – reste inconnu :)<br />
<br />
On peut noter toutefois que la complexité d'un tel code est largement surestimée par les personnes qui ne sont pas des professionnels de l'informatique – tout comme un collégien va trouver la démonstration du grand théorème de Fermat incroyablement complexe, ce qui n'est pas forcément l'avis d'un professeur de prépa.<br />
<br />
Prenons le cas du laboratoire privé <a href="http://esec-lab.sogeti.com/">Sogeti/ESEC</a>. Malgré les fonds et les effectifs limités dont ils disposent, ils viennent pourtant de réimplémenter une <a href="http://esec-lab.sogeti.com/dotclear/index.php?post/2010/11/21/Presentation-at-Hack.lu-:-Reversing-the-Broacom-NetExtreme-s-firmware">attaque sur des cartes réseau</a>, dont <a href="http://www.sstic.org/2010/presentation/Peut_on_faire_confiance_aux_cartes_reseau/">l'implémentation précédente</a> était le fait d'un laboratoire de l'ANSSI. Est-ce à dire que "cinq gus dans un garage" peuvent rivaliser avec les services de l'état ? Je pense que oui (au facteur d'échelle près, les ressources de l'état étant illimitées), car la sécurité informatique est avant tout une affaire de matière grise – une ressource impossible à produire et difficile à capter.<br />
<br />
Les techniciens informatiques (et <i>a fortiori</i> le grand public) sous-estiment les capacités des "vrais" <i>hackers</i> de plusieurs ordres de magnitude. Un seul homme (ou femme :) vraiment compétent remplace aisément 10 à 100 informaticiens peu motivés comme on en rencontre presque partout. Les exemples de Google (ou de Free) sont là pour nous le rappeler.<br />
<h3>Pourquoi on ne voit rien … et ce qui se passe vraiment</h3>Ce biais de perception provient essentiellement de la structuration du monde de la sécurité (aussi appelé le <i><a href="http://article.gmane.org/gmane.linux.kernel/706950">Security Circus</a></i>).<br />
<br />
Il faut bien comprendre que toutes les publications (dans les magazines ou les conférences) sont intrinsèquement sans valeur: ce ne sont ni des résultats produits pour des clients, ni des attaques dangereuses ou illégales, ni des technologies revendables ou brevetables.<br />
<br />
Tout ce qui est réellement dangereux, parfois à la limite de la légalité, passe complètement en dessous du radar et "n'existe pas" pour la presse et le grand public en général. Et pourtant cette "masse manquante" représente l'essentiel des travaux produits par les professionnels de la sécurité dont l'activité présente suffisamment d'intérêt pour être financée (c'est-à-dire ceux qui en vivent d'une manière ou d'une autre).<br />
<br />
Vu de l'extérieur, ceci donne l'impression que ce petit monde ronronne gentiment, de sauteries en conférences, sans vraiment empêcher le <i>business</i> de tourner rond. Ce qui est loin d'être représentatif de l'état de la menace aujourd'hui … <br />
<br />
En vérité, tous les systèmes connectés à Internet sont sous le feu permanent d'intrus (qu'on va appeler "<i>les chinois</i>" pour simplifier – et c'est probablement d'ailleurs le cas). Suis-je mythomane ? Probablement pas, car j'ai eu l'occasion de les rencontrer "pour de vrai" à plusieurs reprises …<br />
<br />
La véritable cyberguerre a déjà commencé, mais elle ne ressemble pas à ce qu'on nous présente d'habitude (pays désorganisé, infrastructures critiques en panne, etc.). Pour cela, quelques centimètres de neige suffisent :)<br />
<br />
La véritable cyberguerre, c'est le pillage systématique de toutes les ressources technologiques occidentales par des individus entrainés, opiniâtres, et opérant en dehors de toute juridiction. Toutes les entités, des instances étatiques à la plus petite PME, sont victimes de ce ratissage systématique opéré par des attaquants qui ne connaissent pas le repos ni la compassion.<br />
<br />
Là où les cybergénéraux attendent des DDoS massifs, par analogie avec les bombardements bien connus dans le monde physique, le réel danger provient de la cinquième colonne qui a probablement infiltré tous les systèmes connectés à Internet à l'heure où j'écris ces lignes (<a href="http://fr.wikipedia.org/wiki/Op%C3%A9ration_Aurora">l'opération Aurora</a> n'étant que la partie émergée de l'iceberg).<br />
<h3>Une autre cyberguerre est possible</h3>Ce qui se passe actuellement avec le site WikiLeaks me semble également relever de la cyberguerre, du moins de l'attaque non conventionnelle.<br />
<br />
En me gardant bien de me prononcer sur le fond, cet épisode met en évidence la dépendance très forte du "cybermonde" vis-à-vis d'entités commerciales américaines bien réelles (à savoir EasyDNS, Paypal, MasterCard, Visa, … dans le cas présent).<br />
<br />
Sans rentrer dans des scénarios trop compliqués, on imagine assez aisément que si demain un secrétaire d'état américain demande à l'ICANN, Microsoft, VeriSign, Cisco, et tous les opérateurs <a href="http://en.wikipedia.org/wiki/Tier_1_network#List_of_tier_1_networks">Tier-1</a> américains de bloquer les infrastructures d'un pays occidental, le résultat risque d'être assez catastrophique … et ce sans utiliser un seul virus !<br />
<br />
Tout comme la redirection de l'Internet mondial au travers d'un opérateur chinois pendant une vingtaine de minutes (<a href="http://bgpmon.net/blog/?p=282">avril 2010</a>) expose une autre fragilité rarement abordée dans les cyberdoctrines: BGP.<br />
<h3>Conclure sur StuxNet</h3>Le sabotage informatique est une activité à peu près aussi ancienne que l'informatique. En 1982 déjà, <a href="http://en.wikipedia.org/wiki/Siberian_pipeline_sabotage">l'explosion d'un pipeline russe</a> a très probablement été provoquée par le sabotage d'un système SCADA par la CIA. On doit pouvoir trouver des exemples similaires du côté de la fusée Ariane, même s'ils ne sont pas sur Wikipedia.<br />
<br />
Aujourd'hui le PC sous Windows XP est effectivement devenu le consommable de base qui permet de contrôler <a href="http://www.flickr.com/photos/11273706@N07/">à peu près tout et n'importe quoi</a>. Un sabotage réussi aura toutes les chances d'impliquer de l'informatique à un moment ou un autre. Mais cela n'a rien de "magique" ou d'exceptionnel: c'est un métier !<br />
<br />
Il est déjà assez simple (dans la plupart des cas) d'analyser des systèmes "fermés", comme le démontrent toutes les conférences de sécurité ces 15 dernières années, au cours desquelles les sujets les plus divers ont été abordés: logiciels propriétaires bien sûr, mais aussi faiblesses de conception des architecture PC, modems/routeurs, téléphones, consoles de jeu, radiocommunications comme le GSM ou le RDS/TMC, puces RFID, TPM, satellites, etc.<br />
<br />
Si un <a href="http://fr.wikipedia.org/wiki/George_Hotz">étudiant</a> arrive à pirater l'iPhone et la PlayStation 3 (avec un hyperviseur matériel conçu par IBM), on peut supposer que n'importe qui est capable de pirater un système SCADA avec <a href="http://shop.ebay.com/?_nkw=siemens+plc&_sacat=See-All-Categories">très peu de moyens</a>.<br />
<br />
Mais si j'étais demain à la tête de l'opération "StuxNet 2", je ne m'embarrasserais pas des détails. Avec ses <a href="http://fr.wikipedia.org/wiki/Siemens_%28entreprise%29">427,000 collaborateurs</a>, on peut supposer qu'il n'est pas trop difficile de pénétrer le réseau interne de Siemens. Il suffit ensuite d'aller y chercher la documentation et les codes sources nécessaires. Comme 100% des tests d'intrusion internes sont couronnés de succès, il n'est pas trop difficile d'être optimiste.<br />
<br />
La présentation donnée par <a href="https://www.blackhat.com/html/bh-us-10/bh-us-10-archives.html#Smith">Val Smith lors de BlackHat 2010</a> sur le dynamisme de la "scène" chinoise permet de se rendre compte à quel point de telles opérations sont monnaie courante ... même si personne n'en parle.<br />
<h3>Conclusion</h3>Avant de coller le préfixe "cyber" à toutes les sauces, il est recommandé de <a href="http://willusingtheprefixcybermakemelooklikeanidiot.com/">passer le test suivant</a>.<br />
<br />
Car si une chose telle que la "cyberguerre" existe, elle ne ressemble ni à un DDoS, ni à StuxNet.newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com18tag:blogger.com,1999:blog-16926911.post-71718295314759351962010-10-04T08:00:00.022+02:002010-10-05T21:33:04.756+02:00L'échec de la CyberGuerreIl n'est pas besoin d'introduire le "fameux" ver <a href="http://en.wikipedia.org/wiki/Stuxnet">Stuxnet</a>, tant les médias (y compris généralistes) se sont gargarisés de cette attaque.<br />
<br />
Maintenant que les souches sont <a href="http://forums.malwarebytes.org/index.php?showtopic=63515">disponibles sur Internet</a>, ainsi que des <a href="http://www.eset.com/resources/white-papers/Stuxnet_Under_the_Microscope.pdf">analyses techniques</a> très détaillées, il m'est possible d'avancer quelques réflexions étayées sur le sujet.<br />
<br />
Ce ver représente l'échec flagrant de la CyberGuerre, autre sujet d'actualité s'il en est.<br />
<br />
Tout d'abord, commençons par une assertion totalement invérifiable: ce ver ciblerait une installation nucléaire iranienne. Brillante idée. Soit il s'agit d'endommager une vanne ou une pompe - ce qui se répare en quelques jours. Soit il s'agit de provoquer l'explosion de la centrale: un nouveau Tchernobyl en quelque sorte …<br />
<br />
Notons que <a href="http://www.f-secure.com/weblog/archives/00002040.html">d'après F-Secure</a>, la plateforme <a href="http://en.wikipedia.org/wiki/Deepwater_Horizon">DeepWater Horizon</a> utilisait les mêmes équipements Siemens PLC … Il ne faut pas en tirer de conclusions hâtives, mais sachant que ce ver va tourner pendant quelques années (les clés USB étant le vecteur d'infection numéro un aujourd'hui), on peut facilement imaginer que les dommages à venir risquent d'être importants … et imprévisibles.<br />
<br />
Un code malveillant comme Stuxnet s'apparente à une arme bactériologique: même s'il semble verrouillé sur une cible donnée, sa propagation est globalement incontrôlable, et les dommages collatéraux peuvent être largement supérieurs à l'intérêt tactique de l'attaque. Il faut avoir des testicules en titane pour lâcher une telle bombe dans la nature, et espérer que ses propres systèmes – ni ceux de ses alliés – ne seront affectés ni par le ver lui-même, ni par les failles révélées (comme le <a href="http://www.wired.com/threatlevel/2010/07/siemens-scada/">mot de passe Siemens en dur</a>, qui ne peut toujours pas être changé).<br />
<br />
Regardons maintenant les dommages collatéraux de Stuxnet:<br />
<br />
<ul><li>Faille "LNK" (<a href="http://www.microsoft.com/technet/security/bulletin/ms10-046.mspx">MS10-046</a>).</li>
</ul><br />
Cette faille ayant été corrigée en août 2010, les systèmes <a href="http://support.microsoft.com/gp/lifeselect">Windows XP antérieurs au SP3</a> (ainsi que les Windows XP Embedded compilés avant cette date) resteront éternellement vulnérables à cette faille d'exécution de code depuis une clé USB.<br />
<br />
<ul><li>Faille "Spooler" (<a href="http://www.microsoft.com/technet/security/bulletin/ms10-061.mspx">MS10-061</a>).</li>
</ul><br />
Celle-là ne compte pas, car elle avait déjà été <a href="http://newsoft-tech.blogspot.com/2010/09/ms10-061-this-is-not-0day-you-are.html">publiée dans le magazine Hakin9</a> il y a un an et demi. Il faut croire que personne au MSRC ne lit la presse "pirate" :)<br />
<br />
<ul><li>Faille(s) d'élévation de privilèges.</li>
</ul><br />
Ces failles sont documentées dans les analyses techniques (et même <a href="http://www.immunityinc.com/ceu-index.shtml">disponibles sur étagère</a>), mais non corrigées par Microsoft à l'heure où j'écris ces lignes. Il n'y a plus qu'à attendre les malwares qui vont les exploiter.<br />
<br />
Bilan: les risques pour la sécurité informatique mondiale se sont durablement accrus, et la cible a été manquée. Sauf si le seul objectif de ce ver était d'augmenter les budgets alloués aux SCADA et à la CyberGuerre, bien sûr :) Bienvenue dans le mois du <a href="http://isc.sans.edu/diary.html?storyid=9640">Cyber Awareness</a> !newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.com11