Adel Hamdi

Le commencement :

Du changement en vue pour cette édition 2010 du SSTIC. En effet, la fluidité de l’enregistrement n’a pas échappé aux habitués. Celle-ci était due en grande partie aux badges à imprimer soi–même, ce qui a permis de commencer les conférences à l’heure.

Conférence n°1  Systèmes d’information : les enjeux et les défis pour le renseignement d’origine technique

Présentée par Bernard Barbier – Directeur Technique (DGSE)

C’est dans le noir absolu (sans compter les reflets des écrans sur les visages des participants), et rideaux tirés, que M. Barbier présente à l’assemblée la DGSE, son historique et ses activités. La présentation enchaine sur les missions de la Direction Technique :

• voir (satellites de surveillance)
• sentir (par des capteurs physiques: température, tremblements, radio-activité)
• écouter (interception des communications, hors territoire français, etc.)

Ainsi que sur les missions spécifiques au monde de l’informatique :

• Retro-conception (faisons-nous réellement confiance aux éditeurs d’anti-virus ?)
• Traitement des métadonnées (concept de contenu/contenant)

M. Barbier décrit ensuite la lutte informatique du point de vue de la DGSE. Il est évident qu’au fil des années, la lutte informatique est devenue un enjeu majeur de souveraineté. Il déplore un retard de 10 ans par rapport à certains gouvernements, et les faibles taux de détection d’incidents.

En somme, une présentation sobre et efficace dont le but principal est d’informer les acteurs du secteur, mais aussi d’en recruter ;).

Conférence n°2  Tatouage de données d’imagerie médicale – Applications et Méthodes

Présentée par Gouenou Coatrieux – Telecom Bretagne

Le sujet du tatouage numérique (watermarking) est abordé sous un angle nouveau. Mais à quoi peut bien servir le tatouage numérique dans l’univers du docteur House ? Simplement à garantir l’intégrité de l’information (scan, radio, IRM, etc.) afin de s’assurer que le diagnostic se base sur une image saine ? Et bien non ! Il ne sert pas qu’à ça ! Il permet en outre aux assurances de se prémunir contre les fraudes.

A noter que le tatouage dans ce domaine n’est pas utilisé uniquement pour s’assurer de la sécurité (dans le sens de fiabilité) de l’image. Il permet l’insertion de métadonnées afin de garantir le bon stockage de l’information au sein d’une base de données, mais aussi le stockage de certaines informations du patient (pathologie, snapshot du dossier patient, etc.).

Cependant, à l’issue de cet exposé, M. Coatrieux met en garde contre les risques d’altération de l’image après un tatouage ; effet de bord non négligeable qui pourra engager le pronostic vital du patient…

Conférence n°3 : Visualisation et Analyse de Risque Dynamique pour la Cyber-Défense

Présentée par : Philippe Lagadec – NATO C3 Agency

Le problème est posé d’emblée : avons-nous les outils adéquats permettant d’avoir une vue d’ensemble de l’état de l’infrastructure en temps réel ? (En termes de compromission des machines, de machines vulnérables)

Pour ce faire, Phillipe Lagadec présente deux projets issus des laboratoires de recherche et développements de l’agence NC3A de l’OTANT :

• CIAP (Consolidated Information Assurance Picture)
• DRA (Dynamic Risk Assessment)

L’OTAN oriente ses recherches sur la cyberdéfense. Dans ce cadre, un PDCA spécifique au domaine militaire est présenté :

• Observe : Logs , IDS, supervision
• Orient : Corrélation des informations, visualisation
• Decide : Aide à la décision, simulation
• Act : contre mesure, reconfiguration du réseau

Pourquoi l’OTAN développe-t-elle ses propres outils ? Tout simplement parce que les outils actuels, tels que les SIEM, n’effectuent que la phase « Observe » et très peu de « Orient ». J’invite donc tous les acteurs du domaine de la supervision et de la corrélation de logs à voir les supports de la présentation ici.

Visuellement riche, l’outil CIAP avec son module de visualisation googleEarth® laisse rêveur. Hélas, il ne sera utilisé qu’en interne. Quant au DRA, aucune démonstration, effet démo et intransigeance des organisateurs concernant le temps de présentation oblige.

Conférence n°4 CASTAFIOR : Détection automatique de tunnels illégitimes par analyse statistique

Présentée par : Fabien Allard et Mathieu Morel – Thales

Messieurs Allard et Morel nous présentent ici les résultats du stage de Mathieu Morel concernant la détection de canaux cachés utilisant un flux chiffré.

Se basant sur différentes analyses statistiques afin de déterminer le type de protocole « encapsulé » dans le flux chiffré (https), la méthode attire l’attention par sa rapidité de traitement des flux et sa faible empreinte sur le réseau. Cependant, comme toute méthode statistique, M. Morel n’hésite pas à afficher les taux d’erreur de la technique.

Jargon mathématique et graphes étayaient la présentation, mais seule une lecture attentive de l’acte permettra de juger de la pertinence de cette méthode utilisée en production.

C’est non sans humour que je finirai sur la citation de Sir Winston Churchill : « Je ne crois aux statistiques  que lorsque  je les ai moi-même  falsifiées. »

Conférence n°5 : Réflexions pour un plan d’action contre les botnets

Présentée par : Eric Freyssinet – Lieutenant-colonel en Gendarmerie

Le Lieutenant-colonel Freyssinet fait partie des invités du SSTIC2010. Il profite donc de l’occasion pour nous présenter les activités de la gendarmerie nationale française dans le milieu de la cyber criminalité. Il détaille plus précisément les liens avec Interpol et leurs actions contre les botnets.

Présentant un historique des cas ayant alimenté l’actualité de ces dernières années, M. Freyssinet dresse un bilan factuel de la situation :

• Mise en place de pole de réflexion inter–agences permettant des actions de détection et de réaction
• Action de sensibilisation de la population (entreprise, utilisateur, etc.) afin de diminuer le taux d’infection et donc de propagation
• Evolution de la législation dans le but d’aider les agences à agir en dehors de leurs juridictions et effectuer des actions d’infiltration des réseaux de botnet

D’une manière générale, cette présentation nous informe des actions effectuées et futures dans le cadre de la lutte contre les botnets (implicitement contre le SPAM).

Conférence n°6 : virtdbg: un débogueur noyau utilisant la virtualisation matérielle

Présentée par : Christophe Devine et Damien AUMAITRE -  Sogeti

Virtuosité et réel travail de recherche ! Cette conférence démontre encore une fois les capacités des orateurs à contourner les protections mises en place sur les derniers systèmes d’exploitation de Microsoft®.

Utilisant un accès DMA à partir d’un bus PCI, cette technique permet le contournement des protections offertes par PatchGuard et l’obligation de signature des drivers avant leurs chargements.

Il est difficile de ne pas être technique en résumant cette présentation. J’invite donc les curieux à voir les actes disponibles sur le site du SSTIC. Mais afin de rendre la chose plus accessible cette technique pourrait se décrire comme telle : les accès (les Hooks IDT) s’effectuent à l’insu du Patchguard (sorte de gendarme des accès) quand ce dernier ne regarde pas J .

Il va sans dire que ce type de débuggeur permettra le traçage de codes malicieux, qui sont de plus en plus habiles à détecter les environnements émulés ou virtualisés.

Conférence n°7 : Analyse de programme par traçage

Présentée par : Daniel Reynaud,  Jean-Yves Marion, Wadie Guizani – Université de Nancy LORIA

Utilisant  l’analyse dynamique afin de mettre en évidence les lacunes d’une analyse binaire (statique), cette méthode permet le traçage des appels indirects et autre accès difficilement détectable par le biais de l’analyse binaire. À plus forte raison lorsqu’il s’agit d’analyser des programmes malveillants ayant un code auto-modifiant.

TraceSurfer (l’outil d’analyse développé) permet d’analyser le comportement des programmes en mémoire en générant des graphes d’appels, ainsi que des traces exploitables par IDA. Cet outil ajoute indéniablement une brique solide à l’analyse binaire, et éclairera surement un peu plus les longues nuits passées à comprendre les obscurs détours d’un programme malicieux.

Conférence n°8 : Intéressez-vous au droit avant que le droit ne s’intéresse à vous

Présentée par : Eric Barbry -  Avocat au Barreau

Dernière conférence de la journée, Mr Barby ne mâche pas ses mots et n’économise pas son énergie afin de nous démontrer l’implication de tout le monde vis-à-vis des nouvelles (et anciennes !) lois qui régissent le droit numérique.

Axant dans un premier temps sa présentation sur les devoirs, de plus en plus nombreux et lourds à porter, d’un RSSI. Maitre Barby dresse un tableau complet des lois susceptibles d’apparaitre dans la vie d’un SI (et donc dans la vie d’un RSSI).

Ses talents d’orateur et son assurance digne d’un one-man-show captivent la salle. Mais sous un ton bon enfant, Maitre Barbry décrit la réalité telle qu’elle l’est : Nul n’est censé ignorer la loi. Et cette année fut riche en nouveautés et modifications, mettant ainsi le RSSI (et même nous acteurs de la sécurité) dans une position où l’ignorance de l’applicabilité de loi dans un tel ou tel domaine serait associée à une négligence professionnelle.