La sécurité informatique s’invite au musée des Arts et Métiers
Posted by Christophe Berger in Security on August 24th, 2010
En juin le musée des Arts et Métiers accueillait un atelier Hacklab animé par le Hacker Space parisien /tmp/lab (lien http://www.tmplab.org/). L’informatique et particulièrement les aspects sécurité y étaient présentés de manière simple et claire, illustrée par des démonstrations. Ces ateliers se voulaient ouverts à tout public et simples d’accès, pari réussi semble t il, même si beaucoup de visiteurs semblaient être connaisseurs.
Les différents ateliers présentaient certaines thématiques abordées au sein du /tmp/lab : hacking, réseaux GSM et Wi-Fi, arts sous les aspects musicaux et visuels, environnement…
L’atelier “Hacking” et intrusion réseau proposait de découvrir deux aspects des tests de sécurité, le test distant (intrusion) et le second, plus particulier, consistant à découvrir les failles d’un logiciel local, à partir de techniques dites de fuzzing. Le fuzzing implique d’injecter des informations aléatoires au logiciel et d’observer son comportement. Un plantage était souvent synonyme d’une erreur de programmation qui peut être exploitable par un attaquant malveillant. Pour le test d’intrusion les visiteurs étaient guidés afin d’attaquer un serveur proposant des services standards. Le but étant de découvrir les failles présentes sur les sites ou les services et de les exploiter.
Un autre atelier proposait de découvrir le prototypage rapide, plus connu sous comme les « Imprimante 3D ». Une imprimante 3D réalisée au sein du /tmp/lab y était présentée en fonctionnement. Son principe est de faire fondre du plastique sur un plateau mobile. La pièce à imprimer est ainsi imprimée couche par couche, de bas en haut.
Un autre atelier a retenu la curiosité de nombreux visiteurs car il présentait certains aspects de la sécurité des utilisateurs de « GSM ». Il montrait deux méthodes permettant d’observer ce qui est échangé sur les réseaux GSM. La première basée sur l’utilisation d’un cable de debug (F-Bus) et d’un ancien téléphone (Nokia 3310 de type DCT3) permet d’observer ce qui est échangé entre le téléphone et l’antenne relai (BTS) sur laquelle est enregistré le téléphone. Cette méthode ne permet que de voir le trafic destiné au téléphone, et non aux autres utilisateurs. Mais elle permet une première approche de cette technologie à bas coût (cable : ~20 euros). La seconde méthode proposait de découvrir le concept des radios logicielles (Software Defined Radio). Cette solution nécessite l’achat d’un boitier USRP (www.ettus.com) ainsi que de cartes d’extension adaptées aux fréquences utilisées par le GSM qui représente un budget de près de 1500 euros. Par contre cette méthode d’écoute permet d’observer l’ensemble des échanges passés sur une fréquence, c’est-à-dire entre différents terminaux mobiles et une antenne relai (BTS). Ainsi, l’auteur a pu montrer via des captures réalisées auparavant que certains échanges notamment le rechargement de crédit ou l’envoi de SMS peut être écouté car il circule en clair.
L’ensemble de ces opérations peuvent être réalisées à l’aide de logiciels libres (quelques liens : wireshark, airprobe, gnuRadio, OsmocomBB). Ces attaques ne permettent néanmoins pas d’écouter les conversations téléphoniques en France, celles-ci étant chiffrées. Certains pays n’utilisent cependant pas le chiffrement à cause de restrictions imposées par les états. Dans ces pays, l’écoute des conversations via la SDR est possible et cet atelier sensibilisait à ces aspects. En France, l’écoute et le rejeu de SMS ou de commandes peuvent être des pistes de recherche pour trouver des failles dans les mécanismes mis en place.
Les derniers ateliers, « VJ et visualisation temps réel » et « Wi-Fi Mesh » présentaient des aspects plus artistiques autours de la génération de graphisme en temps réel et de création de réseaux Wi-Fi permettant de capter les sons et de les diffuser dans d’autres points du réseau sans fil.
Ce hacklab présentait donc au public quelques thèmes de recherche et d’expérimentation autours de l’informatique et des techniques associées. La sécurité y avait une place importante et cela a permis de faire découvrir ces aspects au public et de le sensibiliser sans le matraquer par des messages alarmistes comme le font les médias. Il est dommage que le hacklab ait été présenté à l’écart du musée et du réel passage des visiteurs, mais cela reste une initiative intéressante et à suivre dans le futur (via www.tmplab.org).
Plus d’informations sur http://www.tmplab.org/2010/05/28/ateliers-hacklab-au-cnam-paris-20-juin/
(2 votes)
Loading ...Retour de SSTIC Jour #3
Posted by Nicolas Joulain in Security on June 18th, 2010
En ce vendredi matin où l’amphi est à moitié désert (conséquence d’un social event trop bien réussi!), Frédéric Guihery, Frédéric Remi et Goulven Guiheux d’Amossys, nous présentent leurs études sur “l’informatique de confiance“ : tout d’abord un retour rapide sur les applications grand public du trusted computing avec les TPM et les services associés (chiffrement de disque …). Ensuite ce sont les perspectives d’évolutions qui sont évoquées, à savoir : intégrité et confiance pendant l’exécution.
Réactions & Commentaires:
Les aspects théoriques de la discipline montrent quelques avancées. Cependant, il est légitime de s’interroger sur les possibilités d’intégrer un jour une chaine de confiance complète dans la ‘vraie’ vie. Après plusieurs années d’existences, les applications de la discipline restent souvent très limitées, difficile à standardiser et présentent des vulnérabilités lorsqu’elles existent ( Intel TxT).
Le second talk de la matinée est animé par Renaud Dubourguais d’HSC. Ce dernier se concentre sur JBOSS AS: son exploitation et sa sécurisation. Dans un premier temps, ce sont les mécanismes de sécurité de ce serveur d’application qui sont abordés. Ensuite, l’auteur discute des différents vecteurs d’attaques possibles et nous en fait la démonstration.
Réactions & Commentaires:
Dans la continuité de sa conférence à la JSSI, la présentation nous fait prendre conscience de la nécessité de se préoccuper des serveurs applicatifs. La complexité du soft et la portée des attaques ne font qu’appuyer ce postulat.
Après la pause, c’est au tour de Nicolas Ruff d’EADS Innovation Works, de nous présenter ces travaux sur “les Audit d’applications .NET complexes – le cas Microsoft OCS 2007“. La sémantique du code haut niveau laissant des traces dans ‘le bytecode’, la décompilation de telles applications est relativement aisée. C’est par ce procédé que l’auteur nous démontre comment mettre à mal les mécanismes de sécurité d’une application commerciale utilisée en exemple : il aura fallu moins de 30s et le lancement en parallèle d’un debugger afin de contourner les fonctions de sécurité du produit.
Réactions & Commentaires:
La richesse du code et des bibliothèques employées rend complexe le développement sécurisé via ce langage haut niveau. Comme c’est souvent le cas, les mécanismes de sécurité sont présents mais ne sont pas ou peu mis en œuvre. Peut être un effort à faire côté éditeur sur la documentation ?
A mon sens, la politique SI de l’entreprise devrait à minima proposer son guide de développement pour assister les développeurs.
Dernière conférence de la matinée intitulée “Sécurité des applications Web, la théorie des types à la rescousse” par Mathieu Baudet, MLState. L’auteur propose un langage fortement typé qui répondrait à l’ensemble du top 10 de l’OWASP !!! L’architecture d’une application web devient simplissime: un fichier source et un seul serveur ; tout y est, de la couche présentation jusqu’aux données.
Réactions & Commentaires:
Le discours était clairement à coté des attentes du public: un discours commercial argumenté par des principes d’attaques web hyper basiques (injections SQL / XSS / Buffer Overflow). Dommage sur deux points:
- il faudra pousser la lecture dans l’acte afin d’avoir une vue ne serait ce que partielle des concepts de ce nouveau langage;
- trop peu de détails pour que l’auditoire soit en mesure de challenger l’auteur.
De mon point de vue, je reste interrogatif sur le concept : quand bien même aurions-nous dans les mains un langage infaillible, les principes de défense en profondeur sont mis à mal et je ne suis pas certain qu’il soit bien raisonnable d’exposer les données sur un serveur en frontal ?
De retour de la pause déjeuner, c’est Cédric Halbronn de l’ESEC qui vient nous présenter “PoC(k)ET, les détails d’un rootkit pour Windows Mobile 6 (WM6)“.
L’orateur expose dans un premier temps le contexte WM6 (environnement embarqué, consommation CPU/RAM limitée). Ensuite il propose une réponse aux différents éléments d’un bon rootkit (injecteur / Protection / Backdoor / services). Par la démonstration, l’auteur nous explique que WM6 est très permissif : récupération des SMS/contacts/mails du terminal …. (Un rootkit sous WM6 reste toutefois détectable par forensic du terminal).
Réaction & Commentaires:
S’il le fallait, la faiblesse des modèles de sécurité des terminaux mobiles est une nouvelle fois démontrée et ce ne sont pas les antivirus du marché qui permettront de combler les lacunes. Preuve en est: à la question comment sécuriser un téléphone mobile fonctionnant sous WM6 ?, l’auteur répond qu’il faut éviter le risque … c’est à dire se passer purement et simplement des services de WM6!
En écho à son premier talk, Harald Welte vient nous présenter le Projet “OsmocomBB“. Cette seconde présentation se focalise sur la partie terminal téléphonique (la première était consacrée à l’infra opérateur). L’accent est porté sur le “Baseband processor” dédié au Protocol GSM et non aux applications calculées sur un second processeur.
Réaction & Commentaires:
Conférence très technique participant au partage des connaissances sur la téléphonie mobile. Alors que le sujet est (volontairement?) maitrisé par les seuls opérateurs, ce type de conférence permet de démontrer que le sentiment de sécurité instauré par les opérateurs au sujet des communications mobiles n’est qu’un leurre.
Après 3 jours de riches conférences, Patrick Pailloux directeur de l’ANSSI, vient conclure ce SSTIC 2010 en nous présentant les enjeux et missions de son organisation. Etant donné que les supports publiés de cette intervention ne seront sans doute pas très riches; je vous propose ici mon retour sur le discours:
Les enjeux :
- Doter l’état de systèmes résilients et répondant à des fortes contraintes en termes de disponibilité, d’intégrité et de confidentialité.
- A contrario du terrorisme classique, les armes informatiques sont en circulation libre;
- Bien qu’une collaboration internationale tend à se mettre en place, le droit national est souvent démuni face à la dimension globale du cyberespace;
- La défense par la dissuasion telle que prônée il y a quelques temps par les US est une mesure inefficace;
- Le cyberespace n’est que très peu régulé. Exemple : le routage du trafic Internet se fait plus par “copinage” que par règles internationales;
- La problématique culturelle est un bel exemple de contradiction : “tout le monde veut protéger ses données personnelles” ce qui semble incompatible de la popularité d’une application telle Google map (=> Géolocalisation des personnes en temps réelle par une firme américaine !);
- L’état ne maitrise pas les acteurs du secteur, ceux ci sont privées et mondiaux;
- Il existe un réel défi géopolitique. En effet il subsiste un problème culturel ne permettant pas aux états de communiquer sur leurs vulnérabilités; cela tend à complexifier la coopération internationale.
=> L’objectif de l’ANSSI : organiser à l’échelle nationale la réponse aux enjeux exposés.
Des problématiques concrètes:
A l’énoncé de ces enjeux, il serait faux de penser que l’ANSSI évolue de façon autonome sur des sujets abstraits. Son rôle est d’adresser des problématiques très concrètes :
- Organiser la réponse en cas d’attaque informatique majeure sur les systèmes critiques de l’état;
- Accompagner les projets étatiques :
x Sécurité du dossier médical;
x Bracelet détenu;
x Vote électronique;
- Communiquer et former le citoyen ainsi que l’industriel.
Politique RH:
La tache est ardue, heureusement Patrick Pailloux dispose de fonds et lance un programme de recrutement (70 personnes / an). Les candidats devront réunir les qualités suivantes :
-> Volonté de servir la France;
-> Capacité et intérêts à défendre. Le but n’est pas de “casser” les SI, il faudra proposer des solutions de défense !
-> Développer des solutions techniques;
-> Interagir avec le monde extérieur (homologues internationaux & Industriels);
=> Apporter sa pierre à l’édifice en proposant des solutions concrètes.
(7 votes) Loading ...Retour de SSTIC Jour #2
Posted by Charles Assaf in Security on June 18th, 2010
Une deuxième journée dans la continuité de la première avec des sujets très intéressants traitées de manière détaillée et prospective. Au programme : les résultats du challenge, des conférences, des « rump sessions » et, bien sur, le Social Event !
Les conférences de la matinée ont principalement porté sur des vulnérabilités systèmes sophistiquées et ont mis en avant les pistes permettant de les corriger et d’améliorer le niveau de sécurité.
En guise d’introduction, les résultats du challenge de cette année réalisé par l’ANSSI ont été présentés. Le défi consistait à analyser la copie intégrale de la mémoire physique d’un mobile utilisant le système d’exploitation Android. Pour les motivés, le contenu de la mémoire physique est disponible sur le lien suivant : http://www.sstic.org/media/SSTIC2010/concours_sstic_2010
Empreinte SHA-256: 78c9ab57cdb8ba1eb7fde9a1d165fe86a6789320b63fb079f6ad8cd8dbebe037 concours_sstic_2010
La première conférence portait sur la sécurité de la plateforme d’exécution JAVA et se basait sur un travail collaboratif d’Amossys, Silicom et INRIA. Guillaume Hiet et David Pichardie nous ont montré, grâce à leur étude, les limites du langage JAVA malgré l’ensemble des mécanismes de sécurité dont il bénéficie (vérification de sécurité lors de l’exécution d’une application JAVA, contrôles d’accès, vérification de la signature et de l’intégrité des classes…). Malheureusement, ce langage initialement pensé pour la sécurité présente certaines faiblesses dans son architecture et son implémentation. Ces faiblesses sont principalement dues à une mauvaise utilisation des mécanismes de sécurité disponibles . Enfin, les orateurs nous ont proposé des solutions et des bonnes pratiques à appliquer dans le but d’améliorer le niveau de sécurité de la plateforme (audit de la bibliothèque standard, codage pour renforcer la JVM…). Bon exposé général, synthétique et clair.
La seconde conférence a été animée par Eric Lacombe et Fernand Lone Sang de LAAS-CNRS : une présentation intéressante sur la robustesse des services fournis par une IOMMU vis-à-vis des attaques DMA. Pour commencer, les orateurs ont montré l’intérêt d’embarquer une IOMMU pour protéger le noyau d’un système d’exploitation : ce composant permet de contrôler les accès à la mémoire par les différents périphériques d’entrée/sortie en faisant un Mapping virtuel sur les adresses mémoires. Ensuite un focus a été fait sur la technologie Intel VT-d et sur les différents types d’attaques qui permettent de contourner le mécanisme de sécurité assuré par l’IOMMU. Notamment des attaques ayant pour objectif de reconfigurer les tables de traductions internes et d’effectuer un Spoofing de source-id. En effet, FireWire et Ethernet ayant une même identité, le contrôleur FireWire peut modifier les trames Ethernet entrantes. Une démonstration captivante a été faite en branchant un iPod sur le port FireWire pour modifier les trames ARP de la carte Ethernet et rediriger le trafic. Ainsi, nous avons pu assister à une attaque en live qui a permis une écoute du réseau à l’aide d’un « ARP Poisonning ». Conclusion, cette conférence renforce la bonne pratique de sécurité que nous connaissons très bien : ne pas connecter des périphériques externes non maitrisés sur notre PC.
Après la pause nous avons assisté à une conférence sur la sécurité des cartes réseau présentée par Loïc Duflot et Yves-Alexis Perez de l’ANSSI. L’objectif de cette conférence était de proposer une preuve de concept d’une prise de contrôle à distance en exploitant les failles d’implémentation d’une carte réseau. Après une description de l’architecture complexe d’une carte Broadcom, les auteurs ont mis en évidence un Buffer Overflow touchant le protocole ASF utilisé pour le management et le monitoring à distance. La carte réseau a ainsi été transformée en Backdoor après une réécriture de son Firmware. Une étude approfondie du fonctionnement de la carte ainsi que le développement d’un Debugger ont été nécessaires pour exploiter cette faille. Pour se protéger, désactiver le protocole ASF, ou tout simplement, ne pas connecter une carte utilisant ASF directement sur un réseau non maitrisé type Internet.
Dernière conférence de la matinée présentée par Sébastien Tricaud : Honeypot Project 2010. Le but de la conférence était de présenter l’organisation et les travaux du projet. Honeypot Project a pour mission de renforcer la sécurité d’Internet en proposant des challenges pour mieux connaitre les menaces (Know Your Ennemy) et mieux se protéger (Know Your Tools).
Cf. http://www.honeynet.org/challenges
Les conférences de l’après midi étaient moins techniques que les précédentes. C’était au tour de Frédéric Connes, consultant chez HSC, de nous présenter ses travaux de thèse en droit sur la sécurité des systèmes de vote. Après un rappel des problèmes sécurité de l’automatisation des systèmes de vote actuels, l’auteur nous a proposé une solution qui permet à l’électeur de vérifier l’intégrité de son vote tout en assurant le secret. Cette solution est basée sur l’émission d’un reçu associant une marque (anonyme et aléatoire) au vote permettant la vérification sur un site Internet de la prise en compte du suffrage. La préservation du secret est assurée par l’affichage, sur le reçu, de tous les autres choix possibles, associées à des marques correspondant à des votes antérieurs. De cette façon, si le reçu est récupéré par un tiers, nulle information ne lui permet de deviner le choix du votant. De plus, l’électeur a la possibilité de vérifier les autres choix figurant sur son reçu. En conclusion après les commentaires du public, nous pouvons déduire que cette solution est un peu lourde à implémenter sachant que la mise en œuvre de la vérification du vote nécessite la participation de tous les votants.
La seconde conférence de l’après midi était animée par François-Xavier Bru et Guillaume Fahrner, étudiants en Mastère Spécialisé à Télécom Bretagne. Les orateurs nous ont présenté le résultat d’une expérience intéressante visant à tester le niveau de sécurité et de contrôle des applications Facebook. A l’aide d’une application « Who Crashed You » développée par les auteurs, ceux-ci ont pu récolter des informations personnelles sur les utilisateurs l’ayant installé. La création de profils fictifs, le ciblage des centres d’intérêts/des tranches d’âge, ont permis de faciliter le système de diffusion de l’application. En conclusion, l’étude permet de montrer l’absence de contrôle sur la création d’applications intégrées et la facilité de propagation de malwares sur les plateformes sociales. Une évaluation de ces risques doit être faite au sein des entreprises ainsi qu’une sensibilisation des utilisateurs.
Pour info, si Facebook était un pays, il serait classé troisième mondial en nombre d’habitants (avec 350 millions d’utilisateurs).
En fin d’après midi, début des « rump sessions », 4 minutes par rump. Il s’agit de mini exposés présentés par des personnes du public sur un sujet de leur choix (analyse de mémoire flash de téléphone portable, outil datamining Netglub, projet de site web Security Garden lié à la sécurité, ExeFilter pour les PDF malicieux…).
Lors de cette fameuse séance de Rumps, nous avons pu assister à une présentation intéressante de Mouad Abouhali de l’équipe Security Compliance de Devoteam, intitulée « Weblogic for fun && profit ». L’objectif de la présentation était de mettre en avant la possibilité d’attaquer anonymement la JNDI de l’outil. En fait, le serveur Weblogic offre une interface RMI qui permet d’accéder aux objets publiés au niveau de la JNDI. A l’aide d’une rapide démonstration, Mouad a mis en évidence la possibilité d’accéder à une base de donnée Oracle liée à l’outil Weblogic via le protocole T3 et cela sans la moindre authentification.
Pour finir, la Rump Kesse SSTIC : Chiffres de l’édition 2010 du SSTIC, avec 450 places écoulées en 25 heures, près de 2/3 du budget passe dans les pauses et repas, 467 pages dans les actes, et un taux d’acceptation de 60% pour les soumissions de papier. PS : 27 est le nombre de femmes inscrites cette année.
Globalement, les conférences de ce deuxième jour étaient de très bonne qualité. Mon coup de cœur : la sécurité des cartes réseaux. Belle démonstration d’une prise en main à distance qui permet de mettre en évidence les faiblesses des cartes réseau, qui font partie aujourd’hui des composants les plus exposés aux menaces SI.
(5 votes) Loading ...Retour de SSTIC Jour #1
Posted by Adel Hamdi in Security on June 18th, 2010
Le commencement :
Du changement en vue pour cette édition 2010 du SSTIC. En effet, la fluidité de l’enregistrement n’a pas échappé aux habitués. Celle-ci était due en grande partie aux badges à imprimer soi–même, ce qui a permis de commencer les conférences à l’heure.
Conférence n°1 Systèmes d’information : les enjeux et les défis pour le renseignement d’origine technique
Présentée par Bernard Barbier – Directeur Technique (DGSE)
C’est dans le noir absolu (sans compter les reflets des écrans sur les visages des participants), et rideaux tirés, que M. Barbier présente à l’assemblée la DGSE, son historique et ses activités. La présentation enchaine sur les missions de la Direction Technique :
- voir (satellites de surveillance)
- sentir (par des capteurs physiques: température, tremblements, radio-activité)
- écouter (interception des communications, hors territoire français, etc.)
Ainsi que sur les missions spécifiques au monde de l’informatique :
- Retro-conception (faisons-nous réellement confiance aux éditeurs d’anti-virus ?)
- Traitement des métadonnées (concept de contenu/contenant)
M. Barbier décrit ensuite la lutte informatique du point de vue de la DGSE. Il est évident qu’au fil des années, la lutte informatique est devenue un enjeu majeur de souveraineté. Il déplore un retard de 10 ans par rapport à certains gouvernements, et les faibles taux de détection d’incidents.
En somme, une présentation sobre et efficace dont le but principal est d’informer les acteurs du secteur, mais aussi d’en recruter ;).
Conférence n°2 Tatouage de données d’imagerie médicale – Applications et Méthodes
Présentée par Gouenou Coatrieux – Telecom Bretagne
Le sujet du tatouage numérique (watermarking) est abordé sous un angle nouveau. Mais à quoi peut bien servir le tatouage numérique dans l’univers du docteur House ? Simplement à garantir l’intégrité de l’information (scan, radio, IRM, etc.) afin de s’assurer que le diagnostic se base sur une image saine ? Et bien non ! Il ne sert pas qu’à ça ! Il permet en outre aux assurances de se prémunir contre les fraudes.
A noter que le tatouage dans ce domaine n’est pas utilisé uniquement pour s’assurer de la sécurité (dans le sens de fiabilité) de l’image. Il permet l’insertion de métadonnées afin de garantir le bon stockage de l’information au sein d’une base de données, mais aussi le stockage de certaines informations du patient (pathologie, snapshot du dossier patient, etc.).
Cependant, à l’issue de cet exposé, M. Coatrieux met en garde contre les risques d’altération de l’image après un tatouage ; effet de bord non négligeable qui pourra engager le pronostic vital du patient…
Conférence n°3 : Visualisation et Analyse de Risque Dynamique pour la Cyber-Défense
Présentée par : Philippe Lagadec – NATO C3 Agency
Le problème est posé d’emblée : avons-nous les outils adéquats permettant d’avoir une vue d’ensemble de l’état de l’infrastructure en temps réel ? (En termes de compromission des machines, de machines vulnérables)
Pour ce faire, Phillipe Lagadec présente deux projets issus des laboratoires de recherche et développements de l’agence NC3A de l’OTANT :
- CIAP (Consolidated Information Assurance Picture)
- DRA (Dynamic Risk Assessment)
L’OTAN oriente ses recherches sur la cyberdéfense. Dans ce cadre, un PDCA spécifique au domaine militaire est présenté :
- Observe : Logs , IDS, supervision
- Orient : Corrélation des informations, visualisation
- Decide : Aide à la décision, simulation
- Act : contre mesure, reconfiguration du réseau
Pourquoi l’OTAN développe-t-elle ses propres outils ? Tout simplement parce que les outils actuels, tels que les SIEM, n’effectuent que la phase « Observe » et très peu de « Orient ». J’invite donc tous les acteurs du domaine de la supervision et de la corrélation de logs à voir les supports de la présentation ici.
Visuellement riche, l’outil CIAP avec son module de visualisation googleEarth® laisse rêveur. Hélas, il ne sera utilisé qu’en interne. Quant au DRA, aucune démonstration, effet démo et intransigeance des organisateurs concernant le temps de présentation oblige.
Conférence n°4 CASTAFIOR : Détection automatique de tunnels illégitimes par analyse statistique
Présentée par : Fabien Allard et Mathieu Morel – Thales
Messieurs Allard et Morel nous présentent ici les résultats du stage de Mathieu Morel concernant la détection de canaux cachés utilisant un flux chiffré.
Se basant sur différentes analyses statistiques afin de déterminer le type de protocole « encapsulé » dans le flux chiffré (https), la méthode attire l’attention par sa rapidité de traitement des flux et sa faible empreinte sur le réseau. Cependant, comme toute méthode statistique, M. Morel n’hésite pas à afficher les taux d’erreur de la technique.
Jargon mathématique et graphes étayaient la présentation, mais seule une lecture attentive de l’acte permettra de juger de la pertinence de cette méthode utilisée en production.
C’est non sans humour que je finirai sur la citation de Sir Winston Churchill : « Je ne crois aux statistiques que lorsque je les ai moi-même falsifiées. »
Conférence n°5 : Réflexions pour un plan d’action contre les botnets
Présentée par : Eric Freyssinet – Lieutenant-colonel en Gendarmerie
Le Lieutenant-colonel Freyssinet fait partie des invités du SSTIC2010. Il profite donc de l’occasion pour nous présenter les activités de la gendarmerie nationale française dans le milieu de la cyber criminalité. Il détaille plus précisément les liens avec Interpol et leurs actions contre les botnets.
Présentant un historique des cas ayant alimenté l’actualité de ces dernières années, M. Freyssinet dresse un bilan factuel de la situation :
- Mise en place de pole de réflexion inter–agences permettant des actions de détection et de réaction
- Action de sensibilisation de la population (entreprise, utilisateur, etc.) afin de diminuer le taux d’infection et donc de propagation
- Evolution de la législation dans le but d’aider les agences à agir en dehors de leurs juridictions et effectuer des actions d’infiltration des réseaux de botnet
D’une manière générale, cette présentation nous informe des actions effectuées et futures dans le cadre de la lutte contre les botnets (implicitement contre le SPAM).
Conférence n°6 : virtdbg: un débogueur noyau utilisant la virtualisation matérielle
Présentée par : Christophe Devine et Damien AUMAITRE - Sogeti
Virtuosité et réel travail de recherche ! Cette conférence démontre encore une fois les capacités des orateurs à contourner les protections mises en place sur les derniers systèmes d’exploitation de Microsoft®.
Utilisant un accès DMA à partir d’un bus PCI, cette technique permet le contournement des protections offertes par PatchGuard et l’obligation de signature des drivers avant leurs chargements.
Il est difficile de ne pas être technique en résumant cette présentation. J’invite donc les curieux à voir les actes disponibles sur le site du SSTIC. Mais afin de rendre la chose plus accessible cette technique pourrait se décrire comme telle : les accès (les Hooks IDT) s’effectuent à l’insu du Patchguard (sorte de gendarme des accès) quand ce dernier ne regarde pas J .
Il va sans dire que ce type de débuggeur permettra le traçage de codes malicieux, qui sont de plus en plus habiles à détecter les environnements émulés ou virtualisés.
Conférence n°7 : Analyse de programme par traçage
Présentée par : Daniel Reynaud, Jean-Yves Marion, Wadie Guizani – Université de Nancy LORIA
Utilisant l’analyse dynamique afin de mettre en évidence les lacunes d’une analyse binaire (statique), cette méthode permet le traçage des appels indirects et autre accès difficilement détectable par le biais de l’analyse binaire. À plus forte raison lorsqu’il s’agit d’analyser des programmes malveillants ayant un code auto-modifiant.
TraceSurfer (l’outil d’analyse développé) permet d’analyser le comportement des programmes en mémoire en générant des graphes d’appels, ainsi que des traces exploitables par IDA. Cet outil ajoute indéniablement une brique solide à l’analyse binaire, et éclairera surement un peu plus les longues nuits passées à comprendre les obscurs détours d’un programme malicieux.
Conférence n°8 : Intéressez-vous au droit avant que le droit ne s’intéresse à vous
Présentée par : Eric Barbry - Avocat au Barreau
Dernière conférence de la journée, Mr Barby ne mâche pas ses mots et n’économise pas son énergie afin de nous démontrer l’implication de tout le monde vis-à-vis des nouvelles (et anciennes !) lois qui régissent le droit numérique.
Axant dans un premier temps sa présentation sur les devoirs, de plus en plus nombreux et lourds à porter, d’un RSSI. Maitre Barby dresse un tableau complet des lois susceptibles d’apparaitre dans la vie d’un SI (et donc dans la vie d’un RSSI).
Ses talents d’orateur et son assurance digne d’un one-man-show captivent la salle. Mais sous un ton bon enfant, Maitre Barbry décrit la réalité telle qu’elle l’est : Nul n’est censé ignorer la loi. Et cette année fut riche en nouveautés et modifications, mettant ainsi le RSSI (et même nous acteurs de la sécurité) dans une position où l’ignorance de l’applicabilité de loi dans un tel ou tel domaine serait associée à une négligence professionnelle.
(8 votes) Loading ...Posted by Fabien Lefevre in Infrastructures, Security on May 21st, 2010
Retour d’expérience suite à la formation Direct Access
Direct Access est une nouvelle fonctionnalité de Windows 2008R2 et Windows 7 Enterprise qui est basée nativement sur le couple IPv6 / IPsec, ayant pour but faciliter l’accès à distance à l’entreprise en supprimant les contraintes du VPN :
- temps d’établissement de la connexion,
- nécessité de rétablissement de la connexion par l’utilisateur en cas de déconnexion
- connexions VPN pas toujours possibles en fonction du filtrage mis en place sur le réseau
- performance réduite de l’accès à Internet si tout le trafic (intranet et Internet) transite par le VPN
Pour l’utilisateur
Direct Access est le moyen le plus simple de pouvoir utiliser les ressources réseaux de l’entreprise de n’importe où et de manière totalement transparente et sécurisé. Il suffit d’avoir une connexion Internet, il n’a aucune action à effectuer, la connexion se fait automatique en toute sécurité au réseau de l’entreprise.
Pour l’administration
Il est possible de manager facilement le parc d’ordinateurs d’une entreprise puisque les mises à jour des GPO ou les mises à jour software par exemple se feront indépendamment de la connexion ou non d’un utilisateur. L’ordinateur client est donc constamment à jour avec les normes de sécurité de l’entreprise. L’interconnexion entre les postes se fait donc de façon bilatéral. Il est nécessaire de posséder une machine en IPv6 si l’on veut prendre la main des postes clients, de plus on peut implémenter le NAP pour la mise en conformité des machines voulant accéder au réseau d’entreprise.
Pour l’implémentation
La mise en place est une tâche assez lourde
Les prés requis sont :
- Au minimum 2 adresses publiques consécutive IPv4
- Soit un contrôleur de domaine DC/DNS qui supporte IPv6 (Windows Server 2008 ou Windows Server 2008 R2), ou un DC/DNS Windows Server 2003 en IPv4 il faut alors entre le serveur DirectAccess et l’intranet un NAT64/DNS64 ou NAT-PT/DNS-ALG. (Pour la conversion des adresses IPv6 / IPv4)
- La solution proposée par Microsoft est d’utiliser UAG qui fait à la fois serveur DA et NAT64/DNS64, de plus il supporte le NLB.
- Et bien sûre des postes clients uniquement sous Windows 7 Enterprise intégrés au domaine.
Bientôt un KC pour présenter plus en détail cette technologie.
(6 votes) Loading ...Hackito Ergo Sum
Posted by Arnaud Buchoux in Security, Telecom, Networks&Media on May 12th, 2010
Telecommunications Infrastructure Security – Getting in the SS7 kingdom: hard technology and disturbingly easy hacks to get entry points in the walled garden
Conférencier : Philippe Langlois, P1 Security Inc.
Date : jeudi 8 avril 2010
Cette conférence a pour sujet le réseau SS7, qui est utilisé dans les télécoms. Le conférencier a abordé le côté sécurité de cette infrastructure, et plus particulièrement les drapeaux (flags) positionnés sur les signaux transmis au sein de ce réseau. Il a bien insisté sur le fait que les opérateurs télécoms privilégient la disponibilité de leur infrastructure, et non la sécurité.
SS7 est apparu grâce aux « hackers », via BlueBox. Celle-ci permettait de se faire passer pour un switch (MSC = Mobile Switching Center), et donc de re-router les appels sans les payer, mais également d’être invisible car les appels ne pouvaient pas être tracés facilement.
(7 votes) Loading ...Expertech Sophos (Mai 2010)
Posted by Alexandre Raymond in Infrastructures, Security on May 7th, 2010
Sophos France a présenté le jeudi 6 mai dans leurs locaux, la journée Expertech Sophos. Cette manifestation qui se déroule deux fois par an, avait pour objectif de présenter à un large public composé de Clients, Partenaires (dont Devoteam fait partie) et spécialistes indépendants les points suivants :
- Introduction sur les nouvelles menaces
En effet, le début de l’année 2010 confirme comme en 2009, que les attaques sont beaucoup plus ciblées, organisées et discrètes et utilisent de plus en plus les réseaux sociaux pour récupérer illicitement de l’information (ex : Partnerka).
Vous trouverez à l’adresse http://www.sophos.fr/security/topic/security-report-2010.html l’ensemble de cette étude.
(5 votes) Loading ...Retour sur la conférence Clusif sur la sécurité du Cloud Computing et de la virtualisation -14/04/2010
Posted by Jean-Marc Boursat in All categories, Infrastructures, Security on April 21st, 2010
Le but de cette conférence était de réfléchir sur les conséquences en terme de sécurité ou juridique du Cloud Computing. La salle bien remplie démontre que ce sujet est d’actualité et que la sécurité du cloud reste un chantier en cours.
Mr Saulière (Microsoft) a fait un panorama de la sécurité du Cloud Computing bien étayé par les différents travaux. Il a évoqué les facteurs d’adoption du Cloud en France en indiquant que le Cloud privé est la solution envisagée par une majorité (67%) des entreprises. Celles-ci souhaitent garder le contrôle de leur SI. La même étude montre que le frein principal reste la confidentialité et l’intégrité des données. Il a présenté les risques du Cloud analysés par le CSA (http://www.cloudsecurityalliance.org/) et l’ENISA.
(10 votes) Loading ...H@ckRAM, J’ai la mémoire qui flanche…
Posted by Arnaud Malard in All categories, Security on April 14th, 2010
Ce document a pour but (lucratif tout d’abord bien sûr) de recenser l’ensemble des attaques exploitables par le biais des données rémanentes en mémoire vive sur une machine embarquant un système d’exploitation Windows.
Celles-ci sont nombreuses et il m’a semblé intéressant de les réunir dans un unique document écrit à la manière d’un tutoriel et permettant donc de les réaliser pas-à-pas.
D’autre part, ce papier a été écrit sans prétention puisque vous n’y trouverez rien de nouveau ou d’innovant mais uniquement des informations centralisées déjà publiées.
(13 votes) Loading ...Conférence sécurité : Sécusphère N°13
Posted by Guillaume Laudiere in All categories, Event, Security on April 7th, 2010
La treizième Sécusphère s’est déroulé le 31 mars et a vu l’intervention de 4 collaborateurs de Devoteam.
Les 3 sujets abordés ont émerveillé et instruit, tour à tour, les 45 participants de la conférence.
En premier lieu, Olivier Caleff nous a complété sa présentation lors de la SécuSphère #11 sur le phishing par une explication des technologies de type Fast Flux qui utilisent la répartition des serveurs DNS et des postes compromis pour rendre plus difficile la fermeture de sites compromis.
Dans un second temps, Joffrey Czarny et Colas Gronier nous ont fait une démonstration d’une exploitation malveillante du démarrage réseau PXE qui permettait entre autres de récupérer la base locale des mots de passe Windows.
Et enfin, Jean-Marc Boursat nous a présenté la sécurité liée au Cloud Computing : la sécurité de l’informatique dans les nuages.
Cette 13ème sécusphère est un succès. Nous commençons dès à présent à sélectionner les sujets pour la prochaine conférence qui devrait avoir lieu en juin. Celle-ci devrait se dérouler en externe à Devoteam au sein de l’EPITA.
(12 votes) Loading ...-
-
You are currently browsing the archives for the Security category.
-
Tags
2.0 BPM business intelligence Cloud computing Collaboration ECM Google Governance Government 2.0 Green IT Hadopi HP IaaS Information 2.0 Information Management Internet ITIL IT Service Management PaaS Piracy prediction Project Management Saas Security SSTIC All categories (11)
Business application (6)
Event (13)
Green IT (6)
Information Management (13)
Infrastructures (26)
Internet (10)
IT Methods & Process (5)
IT Service Management (9)
Security (47)
Telecom, Networks&Media (52)
Web applications (8)
WP Cumulus Flash tag cloud requires Flash Player 9 or better.
Archives
Recent Comments
- Jean-Pascal Perrein on Devoteam présente l’observatoire 2009 des services de gestion de l’information.
- Jean-Pascal Perrein on 2009 Devoteam’s Information Management survey
- Olivier Farlotti on Découvrez sans plus attendre les conclusions de la première enquête Devoteam sur le Green IT dans les organisations.
- Etienne de La Rochère on Le “cas Kindle” d’Amazon signe-t-il l’acte de naissance du contenu numérique ?
- Anas Taud on SOA, L’alignement sur le métier par la continuité sémantique