Par Éric Totel, Loic Le Henaff et Romaric Ludinard

Après une belle soirée de Social Event en plein cœur  de Rennes, à la Halle Martenot sur la place des Lices, la journée de vendredi propose des sujets variés, entre techniques, juridique et éthique.

Romaric Ludinard de SUPELEC Rennes présente un framework de détection d’intrusion pour les applications Ruby On Rails.

Cet IDS applicatif ne s’attache pas à analyser les erreurs dans les flots d’exécution, mais plutôt à détecter les incohérences dans les données manipulées.

Il traite le problème par une approche comportementale, qui est plus souple que la détection par signature. En effet, les signatures nécessitent la mise à jour régulière, et ainsi une veille sur les attaques possibles. Dans le cas présent, le code est instrumenté afin de détecter les incohérences dans les données.

L’orateur donne l’exemple d’un paramètre “nom d’utilisateur” qui ne correspondrait pas au nom d’utilisateur effectif après authentification, problème typique d’injection SQL. La démonstration montre bien les alertes produites par le framework lorsque le nom d’utilisateur stocké en session est vérifié par rapport au paramètre envoyé par le visiteur.

Le framework semble intéressant dans la mesure où il ne demande aucune modification de code, l’analyse est réalisée à partir d’un module RoR qui peut être utilisé lors de la phase de tests fonctionnels pour ainsi pouvoir générer un code instrumenté à utiliser en production.

La présentation a toutefois manqué de détails sur l’impact en termes de performances sur le code généré.

Usages offensifs de XSLT

Par Nicolas Gregoire

La matinée s’est poursuivie sur une présentation des usages offensifs de XSLT par Nicolas Grégoire de la société Agarri.

Ce dernier rappelle que le XSL est un véritable langage de programmation permettant de mettre en forme des données décrites à l’aide de XML. À la différence du CSS qui ne permet que de donner des instructions de mise en forme, XSL peut charger des extensions et exécuter des fonctions. Ainsi, il a conduit une étude des différentes bibliothèques permettant de manipuler du XML/XSL afin d’étudier l’étendue de leurs possibilités.

Ses résultats sont édifiants et montrent aux pentesteurs les possibilités que ces applications réservent pour la compromission d’un système, qu’il soit applicatif serveur ou navigateur. En effet, les navigateurs embarquent tous des bibliothèques de transformations XML qui sont elles aussi potentiellement vulnérables.

L’étude a donc fait une cartographie des extensions dangereuses dans les moteurs XSLT et s’est attachée à identifier les moteurs vulnérables et conclut sur une note plutôt positive.

Ainsi, l’auteur rappelle qu’une configuration à l’état de l’art est rarement vulnérable et qu’il est possible d’utiliser XSLT de manière sécurisée sur toute plateforme.

Il appartient aux éditeurs de pratiquer la défense en profondeur afin de sécuriser toutes les couches applicatives, mais également aux clients d’auditer toutes les briques des applications critiques et d’influencer les éditeurs pour qu’ils fournissent des correctifs.

Faille de sécurité ou défaut de sécurité

Par Eric Barbry

Eric Barbry du cabinet Alain Bensoussant Avocats revient sur un sujet qui touche tous les responsables sécurité, les risques liés aux failles et défauts de sécurité. En effet, même si la législation n’est pas encore claire, elle évolue. Aujourd’hui la loi se dirige vers un texte moins dur que le projet présenté lors du SSTIC 2010, les notifications ne sont plus obligatoires dans tous les cas : la CNIL peut accepter un plan de mesures et dispenser de notification. Cette mesure parait injuste pour les victimes, souvent les clients, mais est explicable économiquement : une entreprise victime de fuites de données personnelles en subit déjà de lourdes conséquences, une obligation de notifier atteindrait encore plus l’image de celle-ci. En France la loi a choisi l’économie plutôt que l’étique.

Dans tous les cas, il est difficile d’évaluer les responsabilités entre faille inconnue ou défaut connu et exploité alors que des mesures auraient pu être mises en place.

Cette présentation montre l’intérêt d’un expert juridique qui puisse prendre en charge la gestion de ces aspects. Il convient d’analyser les risques portés par son système d’information et de savoir réagir en cas de problème. Mais également de prendre des mesures : posséder une assurance adaptée et effectuer des campagnes de sensibilisations permettent de limiter les conséquences pour l’entreprise.

La CNIL reste disponible pour toute demande et même si certaines choses ne sont pas normalisées, une demande d’avis en amont peut aider à définir sa politique.

Typologie des attaques contre nos libertés online

Jérémie Zimmermann

Jérémy Zimmerman entre ensuite en scène pour une présentation sans support, mais très vivante et pleine de convictions. Il milite avec la Quadrature du Net pour le droit à la liberté sur l’Internet, liberté d’innovation, d’invention et d’expression. Il s’insurge contre les lois et accords internationaux qui sont décidés par les gouvernements à l’aide de campagnes jouant sur les peurs, l’émotion et l’inconscient collectif. Il met en garde l’auditoire face à ces traités décidés en contournant les voies démocratiques et rappelle qu’il est du devoir de chacun d’avoir une vision critique sur ce que présentent les médias de masse.

Cette présentation très politique est atypique au SSTIC. Même si l’intervenant ne convainc pas l’ensemble de l’amphithéâtre, cette présentation permet d’aborder des aspects différents de la sécurité.

Système de stockage en ligne de photos avec confidentialité des données personnelles

Luis Montalvo

Technicolor Rennes démarre l’après-midi par une présentation sur le stockage de photos en ligne respectant la confidentialité des données. Les fonctionnalités présentées font néanmoins penser à un intérêt plus grand pour la protection des droits d’auteur que pour la simple confidentialité des données des utilisateurs.

Il semble que les techniques présentées pour garantir la recherche de contenu similaire sans donner accès au contenu lui-même soient déjà utilisées sur les plus grandes plateformes de partage de documents.

Cette présentation a le mérite de montrer de manière simple et didactique les techniques mises en oeuvre, mais ne semble pas apporter de grande nouveauté. Technicolor confirme donc sa position dans le domaine des services aux entreprises des arts en fournissant des techniques permettant aux hébergeurs d’optimiser leur volume de stockage tout en fournissant un service de recherche de contenu similaire et une certaine confidentialité aux utilisateurs des plateformes de partage.

Un framework de fuzzing pour cartes à puce: application aux protocoles EMV

Julien Lancia

Julien Lancia (SERMA Technologies) achève cette journée en présentant un framework de fuzzing pour cartes à puces. Le fuzzing est utilisé pour tester l’implémentation de certains protocoles sur carte à puce. Ceux-ci fonctionnent par états, mais sont constitués de commandes simples et courtes. Ainsi, le fuzzing semble tout à fait adapté dans ce contexte. La mise en oeuvre de ce framework est néanmoins complexe dans la mesure où une implémentation de référence doit être fournie.

Les tests peuvent ainsi prendre beaucoup de temps à être mis en oeuvre. Ensuite, le caractère aléatoire des tests peut provoquer la destruction de nombreuses cartes. Ce framework est donc tout à fait adapté à une activité de vérification d’implémentation, mais très peu dans le cadre de recherche de vulnérabilité sur un produit particulier en mode “boite noire”.

Sécurité ?

Hervé Schauer

Hervé Schauer conclut cette édition 2011 par un état de la sécurité des systèmes d’informations en termes d’image et de fonctionnement. Il revient sur la difficile, mais nécessaire indépendance de l’auditeur par rapport à l’audité, mais insiste sur une condition essentielle : l’implication de l’état par l’intermédiaire de lois, de moyens, mais surtout d’évangélisation.

Par Fernand Lone-Sang (et Loïc Duflot, Vincent Nicomette, Yves Deswarte)

Cette présentation met en forme les possibilités d’extraction de mémoire à partir d’un périphérique interne en Firewire, sur un environnement Linux 64bits, dont le noyau a été  recompilé afin de retirer les protections mémoire (sur /dev/mem).

Il faut bien noter que malgré la prouesse technique qui a permis d’extraire les données de la carte graphique en les dupliquant sur un autre écran, les possibilités d’exploitation dans un cadre réel ne sont pas facilement réalisables.

En effet, les noyaux actuels sont patchés et il est nécessaire d’accéder physiquement à l’intérieur de la machine si celle-ci ne dispose pas de port Firewire, tout en sachant que l’accès mémoire dépend du type de chipsets (Lakeport, Eaglelake, Tylersburg…).

Il est tout de même intéressant de constater que cette analyse met en avant les possibilités d’accès mémoire en terme hardware, sachant que les éléments techniques étudiés ne sont pas beaucoup documentés.

Des contre-mesures ont été énumérées :

• I/O MMU (In/Out Memory Management Unit) : permet l’isolation entre les régions de mémoire des contrôleurs :
  • Restreint l’accès des contrôleurs à leurs domaines respectifs, et est  implémenté au sein du northbridge dans les chipsets Intel ;
  • Certains chipsets AMD intègrent un I/O MMU dans le southbridge.
  • Access control services (ACS) : définissent des points de contrôle sur les bus d’E/S qui sont apparus récemment dans des chipsets Intel x58, désactivés par défaut. Leur activation peut interférer avec certains pilotes de périphériques.

Adresse de l’outil python qui permet l’extraction de la mémoire du GPU et sa duplication vers un autre écran : http://ark.intel.com/#codenamesall.

Sticky fingers & KBC Custom Shop

Par Alexandre Gazet, ESEC Sogeti

La conférence commence par une présentation sur les problématiques de sécurisation du BIOS, ou l’auteur démontre tout au long de son discours les mécanismes mis en place afin de générer le mot de passe de récupération du BIOS de sa machine :

• présence sur Internet de générateur de mots de passe maître à partir du numéro de série de la machine ;
• lien avec le contrôleur du clavier KBC<->SMM (interaction et communication) ;
• présence d’une interface au niveau du contrôleur clavier avec qui on peut communiquer ;
• complexité du fonctionnement pouvant provenir d’une volonté de ralentir l’analyse ?

Après cette démonstration, l’orateur conclu : « Un mot de passe BIOS pour protéger le BIOS et le disque est inutile. »

La suite de la présentation bifurque vers le fonctionnement du clavier et de la mise à jour de son micro logiciel.

L’auteur présente un outil codé en Ruby permettant de communiquer avec le contrôleur clavier et d’effectuer un débridage de celui-ci : après modification du micro logiciel, accès complet à la mémoire RAM et ROM.

Il est donc possible d’implémenter un keylogger matériel simplement en modifiant le micro logiciel du clavier, ce qui est indétectable mais tout de même très complexe à mettre en œuvre.

Virtualisation d’un poste physique depuis le boot

Par Stéphane Duverger, EADS Innovation Works

L’auteur présente le développement d’un environnement de virtualisation nommé Ramooflax (License GPL v2), permettant d’effectuer du débogage temps réel sur un système d’exploitation ou ses composants.

L’objectif de ce travail est d’avoir des méthodes d’observation du fonctionnement d’un OS et d’interagir directement avec les processus en cours (démonstration en direct avec IDA).

Afin de mener à bien ce développement, l’auteur met en avant la difficulté d’exploitation des fonctionnalités de virtualisation des processeurs Intel et AMD et le peu de documentation sur le sujet.

Le produit développé fonctionne exclusivement sous processeur AMD, après un démarrage avec une clé USB de boot et n’est donc pas compatible avec les fonctions de virtualisation AMD/Intel, de plus, il nécessite une machine très performante.

Enfin, l’analyse a permis de mettre en évidence que la gestion des interruptions matérielles et  mode réel étaient beaucoup moins restrictives sous les systèmes AMD.

L’USB2 a été choisi comme solution de communication à distance en raison de son fonctionnement standard, la partie réseau n’étant à ce jour pas prévue. Le tout est intégré dans un Framework python simple d’utilisation.

Attacking and Fixing PKCS#11 Security Tokens with Tookan

Par Graham Steel

Les diapositives sont en anglais, mais Graham fait l’effort de faire la présentation en français. Après les présentations précédentes et le résultat du challenge, cette présentation parait simple ou du moins plus compréhensible.

Cela commence par un rappel de comment fonctionne une clé USB PKCS#11, en précisant que sur environ 400 pages du standard, la sécurité occupe 1,5 page.

Ensuite il présente son outil Tookan qui permet de tester l’implémentation PKCS#11 des différents tokens. Il teste en envoyant différentes combinaisons de fonctions pour voir comment l’appareil réagit (reverse engineering). Il cherche notamment la politique des attributs et les templates des informations qui peuvent être envoyés. Graham précise que le logo a été fait par sa femme et qu’il a l’obligation de l’utiliser dans toutes ses présentations. Cela provoque une ovation de la salle.

La seconde démonstration (recherche d’une attaque) est plus longue que la première. Malgré la protection supplémentaire ajoutée, une nouvelle attaque est trouvée. Comme quoi ce qui paraissait simple à protéger ne l’est pas. Une nouvelle attaque de profondeur 4 est encore trouvée après modification de la configuration.

Le conférencier ne manque pas d’humour et évoque que certaines clés testées ont été trouvées dans la rue. Un transparent donne un certain nombre de clés avec les attaques trouvées dessus. Peu de clés ne sont pas attaquables.

Graham nous indique qu’un appareil permettant de lire des clés RSA coûte dans les 300$. Bonjour l’actualité.

La présentation se termine en précisant que les résultats ont été dévoilés en novembre 2010. Les fabricants avaient été contactés 5 mois avant, mais la plupart des réponses obtenues ont été décevantes.

Cette présentation est en tête à l’applaudimètre à la fin de cette matinée. C’est surtout la première qui a un impact sur la vie réelle et qui est “facilement” exploitable. Les impressions sur Twitter sont très bonnes.

Peut-on éteindre Internet

Par Stéphane Bortzmeyer, AFNIC

Par ce titre, Stéphane Bortzmeyer entend rendre indisponible totalement Internet dans le monde entier. Il rappelle qu’il n’y a pas eu d’interruption, même d’une milliseconde, du service de résolution de nom de l’AFNIC depuis ses débuts.

Beaucoup d’exemples d’annonce catastrophique sont ensuite donnés. Ils font d’ailleurs bien rire l’amphi et provoquent un pic d’activité sur Twitter.

L’orateur évoque le fait que c’est, soit disant, toujours un méchant qui prévoit un mauvais coup et pense donc à arrêter Internet. Il donne alors le contre exemple clin d’oeil de la femme de ménage qui conduit une pelleteuse arrachant des fibres optiques. Cet exemple met en évidence des problèmes de redondance, avec toutes les fibres optiques de plusieurs opérateurs passant dans une seule tranchée.

Alors existe-t-il des attaques permettant de couper Internet ?

• Les attaques physiques ne sont pas faisables à distance, sont coûteuses en mains d’oeuvre et réparables.
• Les failles sur les différents routeurs semblent plus intéressantes, mais posent un problème : comment propager des virus sans couper Internet alors que le but est de couper Internet ? Si la faille est dans un protocole, c’est mieux.
• Le déni de service (dDoS) est moins compliqué à mettre en place et surtout il n’existe pas vraiment de solution contre ce genre d’attaque. Problème : tout le monde en est conscient et donc les services les plus sensibles sont les mieux protégés.
• Autre possibilité : être président et demander la coupure auprès des opérateurs télécoms.

Si on passe du côté des gentils, est-il possible d’améliorer les choses ?

Il y a tout d’abord la mauvaise solution qui est de vouloir refaire Internet.

Puis viennent les bonnes solutions :

• Mettre en place une redondance physique réelle.
• Ecrire des logiciels sans bogues ou à minima avec moins de bogues, quitte à trouver un compromis entre fonctionnalités et sécurité.
• Améliorer la coordination des acteurs qui ne disposent pas, aujourd’hui, de canal de communication officiel (Twitter a ses limites).
• Mener des actions politiques pour empêcher les gouvernements de créer des SPOF (single point of failure).

La conférence se termine dans une ambiance plus sérieuse que son départ tonitruant. La conclusion est qu’il n’est pas vraiment possible de couper tout l’Internet, même si beaucoup d’axes d’amélioration existent.

Architectures DNS sécurisées

Par Guillaume Valadon et Yves-Alexis Perez, ANSSI

Rappel que DNS est plus compliqué qu’il n’y parait puisqu’il définit aussi le format des requêtes et réponses. Le présentateur profite de la définition de « pub » pour faire sa publicité comme quoi l’ANSSI recrute et provoque ainsi des applaudissements dans la salle.

Viennent ensuite les explications des différences entre les infrastructures de clés X.509 (utilisées avec TLS) et DNSSEC.

La conférence se poursuit avec NSEC3 qui doit améliorer DNSSEC en interdisant les requêtes pour énumérer la zone et en utilisant des hash pour remplacer les noms. La salle se trouve plongée dans le calme. Cela doit être du fait que les explications sont un peu plus compliquées et surtout effectuées à un rythme beaucoup plus soutenu. Cela se vérifie sur Twitter.

Changement d’interlocuteur. Le débit ne faiblit pas. C’est le tour de TSIG, un complément de DNSSEC qui va protéger le lien (authentification du serveur). Cela revient à l’identification des transactions par l’ajout d’un motif d’intégrité aux messages (calcul d’un HMAC). Nouvelle démo avec une requête DNS qui retourne encore l’information que l’ANSSI recrute. Cela réveille un peu la salle.

DNSCurve est ensuite évoqué pour protéger les messages DNS (intégrité, confidentialité). Il se positionne entre le client et le serveur cache DNS.

Enfin est évoquée la possibilité de faire de la résolution de nom à l’aide d’un annuaire LDAP (contexte : intranet, réseau fortement maîtrisé, plate-forme GNU).

Conclusion : DNSSEC est une solution efficace pour protéger les enregistrements, mais complexifie la gestion d’une zone (renouvellement des clés et signatures).

En pratique, seule la solution TSIG/libnss est utilisable sous Linux. Des proxy DNS locaux sont envisageables pour les autres OS.

Les questions mettent en avant le problème de compromission d’une clé et aussi du problème de cache en cas de changement de fournisseur d’accès et donc d’adresses IP. Il apparait qu’il n’existe pas de réponse claire à ces problématiques aujourd’hui.

Fin des conférences

Les conférences sont donc terminées pour aujourd’hui, mais pas la journée puisque le social event nous attend dans la soirée. Ce sera l’occasion de découvrir un autre visage du SSTIC pour les nouveaux participants…

Réalisé par Nicolas Hanteville et Yann Ciret

Thoughts on Client Systems Security

Par Joanna Rutkowska

Après une très brève inauguration de la nouvelle édition du symposium, la parole est donnée au premier invité ou plutôt une première invitée : Joanna Rutkowska.

La présentation se déroule en anglais et commence par l’explication de l’importance de la sécurité du système client, le comparant aux yeux et les empreintes digitales de l’utilisateur : les OS des clients peuvent voir ce que les clients voient et peuvent se faire passer pour les clients.

Plusieurs approches sont alors présentées pour sécuriser le poste client : la sécurité réactive, la sécurité par isolation et la sûreté des langages.

L’auteur explique son approche d’isolation entre les applications, entre l’application et le système d’exploitation et propose d’isoler les différents composants d’une application grâce à l’IOMMU et la virtualisation.

La présentation s’est conclue par une présentation de Qubes, le système d’exploitation Open Source  sur lequel travaille Joanna Rutkowska avec ses collègues et qui implémente la plupart des idées énoncées dans la présentation.

BitLocker

Par Aurélien Bordes

La deuxième présentation est celle d’Aurélien Bordes sur la solution de chiffrement de disque dur Bitlocker de Windows. Le rythme de la présentation est très soutenu. Il nous introduit très rapidement à la technologie et explique comment elle s’intègre au système. Il nous présente encore plus rapidement son fonctionnement : la clé FVEK (Full Volume Encryption Key) participant directement au chiffrement des disques est chiffrée par la clé VMK (volume master key) ; la clé VMK elle-même peut être protégée par plusieurs moyens : utilisation d’un secret ou une bi-clé, utilisation du module TPM (permettant la vérification de l’intégrité du système au démarrage) ou de sa combinaison avec un secret.

Il déroule ensuite la liste des différentes menaces possibles sur un ordinateur chiffré avec Bitlocker. Les scénarios d’attaques sont les suivants : attaque en un temps avec un ordinateur éteint, avec un ordinateur allumé et verrouillé, ordinateur allumé et non verrouillé, attaque en deux temps (faisant référence à un des sujets d’actualité, le présentateur nous donne l’exemple d’une femme de ménage d’un hôtel ayant accès à la machine d’un client à plusieurs reprises).

En conclusion, l’orateur nous synthétise les points positifs et les points négatifs de la solution. Bitlocker est une solution stable et bien intégrée au système, elle protège efficacement contre la perte d’une machine. Mais elle n’est pas disponible dans les versions  professionnelles de Windows 7 et la mise en œuvre du module TPM n’est pas efficace en mode d’utilisation seul sans secret fourni par l’utilisateur.

La présentation, bien qu’abordant un sujet connu, a permis de faire un bon état de l’art de la solution.

Silverlight ou comment surfer à travers .NET

Par Thomas Caplin

La matinée s’est poursuivie avec la présentation de Thomas Caplin sur l’exploitation d’une faille du framework .NET via le plugin Silverlight.

Le framework .NET est un ensemble de technologies Microsoft permettant une portabilité plus facile des applications sur Internet, le présentateur nous explique son fonctionnement et son architecture.

Dans la deuxième partie de la présentation, un focus est effectué sur la vulnérabilité en question qui a pu être exploitée sur Silverlight. Il s’agit de la vulnérabilité CVE-2010-1898. Le problème se situe au niveau de la machine virtuelle qui ne gère pas correctement la création des pointeurs sur les méthodes virtuelles, cela permet une exécution de code arbitraire à un attaquant.

Cette vulnérabilité a été corrigée en août 2010 et c’est justement ce correctif qui a permis à l’auteur de remonter à l’origine de la faille et les moyens de son exploitation. Il partage avec nous son analyse de la vulnérabilité. Le problème venant d’un décalage de pointeur, il est possible d’accéder en lecture et  en écriture dans la mémoire. Ainsi, il est possible d’enregistrer un shellcode à la place du stub d’un Thread qui se trouve dans une zone exécutable. Cela permet à l’attaquant l’exécution de son code arbitraire à la place du code initial.

Afin d’exploiter cette vulnérabilité, le présentateur a choisi d’utiliser Silverlight, le plugin Web en .NET, un équivalent de Flash player chez Microsoft. Son choix a été basé sur le fait que Silverlight est exécuté côté client sur sa machine virtuelle .NET et qu’il donne des possibilités d’attaques à travers des différents navigateurs de l’utilisateur que ce soit IE, Firefox ou Chrome. Le prérequis pour cette attaque étant d’avoir un site Internet contenant l’application Silverlight malicieuse.

Cette exploitation de vulnérabilité est très stable et permet une surface d’attaque assez grande. Elle démontre que le Flash Player n’est pas le seul plugin à risque. Mais cette vulnérabilité étant corrigée, il est difficile de l’exploiter aujourd’hui.

XSSF : démontrer le danger des XSS

Par Ludovic Courgnaud

La dernière présentation de la matinée est celle de Ludovic Courgnaud, dont le but est de démontrer à travers son Framework d’attaque XSSF qu’une attaque XSS ne se résume pas qu’à un vol de session.

La présentation commence par un rapide rappel de XSS et du fait que les risques d’attaques XSS ne sont malheureusement pas toujours clairement expliqués. Le but de cette communication est justement de démonter ces risques avec un nouveau Framework d’attaque XSSF.

Le présentateur fait une parenthèse sur la problématique de SOP (Same Origin Policy), la mesure de sécurité intégrée dans le navigateur qui limite le transfert de données entre deux domaines. L’auteur explique qu’il est possible de le contourner via l’utilisation entre autres d’un iFrame pour récupérer les données vers le navigateur et les envoyer depuis le navigateur. De plus, le support du HTML5 par les nouveaux navigateurs donne la possibilité de contourner cette protection.

Ludovic Courgnaud présente son outil XSSF qui est un projet Open Source pouvant être utilisé avec Metasploit  et qui permet le développement et l’exécution d’exploits contre des machines distantes. Il passe ensuite à sa démonstration.

La démonstration qui suit la présentation de l’outil est effectuée en exploitant la faille présente sur le site du SSTIC.

Le présentateur développe ensuite sur les moyens de protection contre les attaques XSS tels que l’utilisation des bloqueurs XSS, la configuration des règles de web application firewall, l’utilisation des les filtres XSS, JavaScript Sandboxing, etc. Mais il conclut finalement qu’il n’existe pas de  solution miracle côté client, mais qu’il est important de sensibiliser les développeurs, filtrer toutes les saisies des utilisateurs et mettre en place des protections intégrées dans les navigateurs.

Rainbow Tables probabilistes

Par Alain Schneider

La première présentation de l’après-midi était celle d’Alain Schneider sur les Rainbow Tables Probabilistes pour le cassage des mots de passe. Ayant consulté l’article en amont (contenant des formules avec des chaines Markov), nous attendions avec appréhension cette présentation. Pour notre grand soulagement, l’auteur en très bon pédagogue a su nous expliquer de manière claire et simple la méthode dont la performance est assez impressionnante.

La présentation commence avec un rappel de ce qui est un mot de passe faible : c’est un mot de passe court, dérivé d’un dictionnaire ou statistiquement probable. « Statistiquement probable » veut dire que la probabilité de transition d’une lettre de l’alphabet à une autre dans le mot de passe est assez élevée. L’approche permettant de découvrir les mots de passe statistiquement probables a été implémentée dans John The Ripper, elle s’appelle l’approche « de Markov ».

S’en suit la présentation du mécanisme de Rainbow Tables qui permet le stockage des associations mot de passe /hashs pré-calculés dans une table. Ainsi, il est plus facile de rechercher rapidement le hash dans la table afin de retrouver le mot de passe correspondant en clair.

Nous arrivons ensuite au sujet principal de la présentation : les Rainbow Tables basées sur des espaces de Markov avec ses problématiques de numérotation des mots de passe de Markov  et la génération des Rainbows Tables avec une GPU. Toutes ces problématiques résolues, les résultats obtenus sont assez parlants. Dans le contexte d’un temps restreint, les performances obtenues par une Rainbow Markovienne de 1Go dépassent  très nettement celles des Rainbows Tables classiques de 10Go.

En ce qui concerne les contre-mesures, le présentateur nous conseille d’utiliser des mots longs avec des caractères exotiques, de les générer de préférence aléatoirement et les faire auditer.

Memory Eye

Par Yoann Guillot

L’après-midi s’enchaîne avec la présentation de Yoann Guillot sur l’outil Memory Eye, permettant l’analyse de la zone de mémoire dynamique pour éviter la technique d’analyse de code trop compliquée.

L’orateur nous explique l’organisation de la mémoire en général et sa structure sous GNU/Linux et Windows XP. Nous avons ensuite droit à une démonstration du fonctionnement de l’outil  sur un jeu nommé « Dwarf Fortress », un jeu ayant lieu dans un monde médiéval fantastique avec des nains en personnages principaux. Ce jeu n’est pas Open Source et il intéresse une grande communauté de hackers qui essayent d’analyser sa structure. La démonstration ayant rencontré quelques problèmes, les spectateurs commencent à s’impatienter. Heureusement, l’orateur a un bon sens d’humour. Le principe de la démonstration est la suivante : le présentateur donne un nom à un nain dans le jeu, il recherche ensuite cette variable dans la mémoire, il tente d’identifier les listes chaînées et les tableaux correspondants à cette donnée,  il retrouve ainsi la structure du chunk et la chaîne contenant le nom du nain. En changeant les données d’un chunk, le nain change de place dans le jeu…

L’avantage de cette technique par rapport à l’analyse de code d’un programme, c’est qu’elle permet de gérer les données bien différenciées, sans essayer de retrouver l’architecture des programmes et de ce fait mieux gérer les mises à jour.

Attaque d’implémentations cryptographiques par canaux cachés

Par Philippe Nguyen

La présentation suivante est celle de Philippe Nguyen sur une nouvelle approche d’attaque de carte à puces. Durant la pause, le présentateur installe son oscilloscope suscitant ainsi la curiosité du public resté dans la salle.

Dès le début, il commence par une démonstration d’une attaque par « canaux cachés » lui permettant de récupérer les clés utilisées pour une opération de chiffrement via un enregistrement électromagnétique. En effet, il nous explique que la consommation du courant durant cette opération (transitions binaires) dépend de la valeur des données utilisées.

Une des approches pour répondre à ce problème est l’utilisation de la technologie appelée WDDL,  qui consomme une quantité fixe d’énergie pour chaque transition permettant ainsi avoir une consommation électrique constante indépendamment du signal, évitant ainsi la fuite de données. Economiquement parlant, il s’avère que cette approche ne peut pour le moment être rentable qu’au niveau des équipements très sensibles, par exemple dans le domaine militaire.

Sécurité du système Android

Par Nicolas RUFF

La dernière présentation était celle de Nicolas Ruff, dont l’arrivée était impatiemment attendue par les habitués du SSTIC. Tout d’abord, il nous explique la raison du changement du titre de sa présentation. Si initialement elle s’appelait « Sécurité du système Android », et puis devenue juste « Android »,  c’est parce qu’il a été abordé par plusieurs personnes étant inquiètes d’éventuel manque de contenu sur le sujet. Et en effet, après une brève introduction sur le système Android, les attaques fusent :

• Le fait que les applications sont signées ne juge pas de leur sécurité, vu que les certificats autosignés sont acceptés et qu’ils sont facilement révocables en cas de (non) besoin.
• Les permissions « sensibles » données aux applications doivent être approuvées par l’utilisateur, or elles sont souvent insécables et irrévocables.
• En ce qui concerne l’utilisation des identifiants uniques pour chaque application, ils ne sont pas garants d’un bon cloisonnement au niveau sécurité.

A part ces points, il existe un nombre important de failles système, logiques, au niveau du modèle de sécurité, de bugs applicatifs, de vulnérabilités liées aux virus/malwares, etc. Les slides contiennent beaucoup d’exemples et de liens à consulter.

Le présentateur a dû noter néanmoins, pour les raisons d’objectivité, que la protection des répertoires system, /mnt/asec est assez bonne, ainsi que le système gère bien les mises à jour OTA.

Nicolas Ruff termine sa présentation avec un extrait de DailyDave sur les smartphones et les bonnes pratiques de sécurité liées à l’utilisation des smartphones.

 La technologie pour maitriser les risques

 L’actualité en matière de sinistres majeurs subis par les grands groupes internationaux, ne se désemplit pas depuis plusieurs mois… Ainsi, la gestion des risques et en particulier le contrôle des risques a le vent en poupe, en essayant d’anticiper, de contrôler et de gérer les aléas. Les technologies proposent des solutionsde GRC (Gouvernance, Risk, Compliance). pour aider à cette maitrise des risques.

 A côté de la Tragédie humaine au Japon (tremblement de terre et tsunami), les entreprises ont été fortement paralysées pendant plusieurs semaines courant avril. Selon le ministre de l’industrie «20% de la production électronique mondiale vient du Japon, et même 70% pour au moins trente secteurs technologiques»; cela a été d’autant plus vrai dans le secteur automobile ; A titre d’exemple, la société Hitachi qui fabrique des débitmètres, un composant électronique essentiel aux moteurs diesel et qui équipent par exemple 68% des voitures vendues par PSA en Europe avait interrompu sa production. PSA a dû annoncer une réduction de la production avec une période de chômage technique en France. Globalement Selon une étude d’IHS la catastrophe naturelle au Japon entrainera une diminution de la production automobile de 585 000 voitures. Même l’IPAD2 a été impacté, avec des retards de livraison de plusieurs mois

 Concernant le vol d’information, il y a eu récemment l’affaire d’escroquerie en bande organisée chez Renault, ainsi que vols de données chez Sony qui ont défié la chronique…

Il faut savoir qu’une étude a valorisé le préjudice de vol de données en entreprise à 1000 milliards de dollars (selon une étude de McAfee). La France figurerait parmi les pays les plus touchés selon la cyber criminologue Laurence Ifrah.

 Dans un registre similaire, en 2008, l’assurance maladie a pu récupérer près de 132 millions d’euros de fraudeurs ; la méthode s’appuyait bien sûr l’analyse du dossier de remboursement faite par un agent d’une caisse régionale d’Assurance Maladie, les signalements et autres dénonciations anonymes, et enfin mais surtout, au travers de renseignements provenant de l’analyse des bases de données informatique.

 En quelques décennies, les opportunités de la mondialisation, associées aux évolutions technologiques et en particulier celles liées à l’information ont permis un redéploiement complet des activités des entreprises. Le paysage de l’entreprise a été bouleversé…

Le revers de la médaille est l’apparition ou l’amplification de facteurs aggravants, comme les interdépendances géographiques, le fonctionnement en flux tendus, les interdépendances opérationnelles et financières, portés par des technologies de plus en plus complexes.

Associé à cela, depuis moins de 20 ans, il y a un renforcement de la responsabilité des mandataires sociaux, en particulier dû au développement des valeurs éthiques suite à des incidents majeurs et à la diffusion rapide de l’information et sa médiatisation, amplifiés par les groupes de pressions.

Le contrôle des risques repose sur trois piliers

Pour tenter des répondre à ces enjeux, il y a eu un renforcement de la gestion des risques et en particulier du contrôle des risques ; ce dernier s’appuie sur trois piliers essentiels qui sont :

• l’anticipation,
• le contrôle,
• la gestion d’aléas.

 Le premier pilier, l’anticipation, est une science dite « molle » qui a pour objet de travailler sur les scénarios de risques « non triviaux » ; c’est à dire ceux qui sont en dehors de notre modèle opérationnel en s’appuyant sur des signaux faibles – en particulier des sujets qui sont abordés alors que rien ne le justifie. Il faut également et surtout se préparer à gérer les crises. En effet la question n’est pas de se dire si cela va arriver, mais quand et avec quelle intensité (par exemple, se préparer à des mouvements comme les révolutions dans les pays arabes ou certaines entreprises ont perdu leurs centres d’appels clients).

Cette préparation se doit d’être concrète, pour acquérir de bons reflexes, plus que de suivre à la lettre une procédure, car le diable se cache dans les détails…

 Le deuxième pilier fait partie d’une des missions essentielles des acteurs du contrôle interne. A savoir à travers la modélisation des processus et activités de l’entreprise, d’identifier les points de contrôle qui permettent à priori et/ou à posteriori de maitriser les écarts par rapport à une situation normale, dite de « références ».

Ce dispositif est régulièrement mis à jour sur la base de l’expérience. Toutefois, à ce jour, de part la réglementation, il y a un empilement des contrôles de conformité, en particulier dans le domaine financier, qui nécessite un investissement en ressource très important, mais qui ne doit pas pour autant laisser penser que l’entreprise maitrise totalement ses risques ; elle pourra toutefois argumenter en cas d’incident qu’elle avait prise les mesures en conformité avec la réglementation actuelle – responsable mais pas coupable…

 Toute maitrise du risque s’appuie sur une prise de risque « plus ou moins consciente, maitrisée et acceptée ».

 Des événements extérieurs peuvent bouleverser le modèle de l’organisme au-delà de ses hypothèses et remettre en questions ses référentiels… Toute maitrise du risque s’appuie à la base sur une prise de risque « plus ou moins consciente, maitrisée et acceptée ». Cette prise de risque, et gestion des aléas doivent être revus sur la base des incidents et expériences de l’organisme, de son secteur d’activité dans le Monde, car l’écosystème évolue et une zone d’aléa acceptable hier, sur la base des hypothèses prises (et en particulier la probabilité de survenance d’une situation) ne l’est plus forcement aujourd’hui (à titre d’exemple : crise systémique du système financier, révolution arabe, Web 2.0).

 L’entreprise doit alors disposer en autre d’une organisation de crise « adaptative » rompue à l’exercice pour en maitriser son déroulement.

 Pour accompagner les entreprises dans cette maitrise des risques, les technologies ont su apporter des réponses au travers des solutions de GRC ou SIGR (Système d’Information de gestion des Risques).

 Les 4 grandes fonctionnalités sont :

 1° Anticipation :

• Analyse des signaux faibles (base incidents et statistiques pour la mise en exergue de futures menaces),

 2° contrôle :

• Maitrise des risques, au travers des mécanismes d’auto-évaluation,
• Plan de traitement, au travers de tableau de bord de suivi des plans d’actions

 3° Gestion des aléas :

• Gestion de crise, au travers de l’organisation de jalons clefs par exemple pour assurer la continuité des activités.

 Sans la technologie, il serait impossible de traiter cette masse d’information décentralisée et manipulée par autant d’acteurs.

 Ces technologies permettent la diffusion d’attendus et la collecte des informations. Comme toutes technologies qui manipulent de l’information, l’essentiel n’est pas tant dans la modélisation (souvent très bien traitée), mais dans la pertinence des données collectées. Et c’est souvent là qu’un effort important doit être réalisé…

Article paru sur  Global Security : http://www.globalsecuritymag.fr/Yann-Fareau-Devoteam-La,20110621,24431.html

Ordinateurs portables, netbooks, tablettes numériques, smartphones… Les outils pour travailler à distance sont de plus en plus répandus dans les entreprises. De quoi augmenter la productivité de vos salariés. Mais avez-vous pensé à la protection de vos données?

Les derniers outils à la mode dans les entreprises? Les tablettes numériques, type iPad (Apple) et PlayBook (BlackBerry). Aujourd’hui, tous les chefs d’entreprise et les cadres sont équipés d’au moins un outil de mobilité: smartphone, ordinateur portable, netbook… Il faut dire qu’avec la démocratisation de l’Internet haut débit, mais aussi du wi-fi installé dans la plupart des hôtels, aéroports et gares, le travail nomade est devenu une norme dans de nombreuses sociétés. Une pratique qui permet d’accroître la productivité de l’entreprise, mais qui comporte également un risque majeur: la perte ou le vol de données-clés.

Or, peu de chefs d’entreprise ont conscience de ce danger, notamment dans les petites structures. « Pourtant, le risque de perte ou de vol d’informations est plus fort dans les PME que dans les grands groupes », martèle Benoît de Saint Sernin, professeur à l’Ecole européenne d’intelligence économique (Eeie). Contrairement aux idées reçues, toutes les sociétés possèdent des données à forte valeur ajoutée: les fichiers clients. « C’est ce qu’on appelle la valeur informationnelle d’une entreprise », précise l’expert. La plupart des sous-traitants en ont conscience, surtout ceux qui travaillent avec de grands groupes industriels.

Sensibiliser les salariés. Pour limiter les risques, la première étape consiste à faire de la prévention auprès de vos équipes. En effet, les failles de sécurité les plus fréquentes sont le fruit d’un comportement inapproprié de la part des salariés. Par exemple, il est déconseillé d’utiliser son ordinateur personnel pour accéder à l’intranet de son entreprise. « La plupart des PC personnels sont des nids à virus ou peuvent cacher des logiciels malveillants. En se connectant à distance, le salarié fait peser un risque sur le réseau de l’entreprise », prévient Olivier Patole, expert sécurité et mobilité chez Devoteam, société de conseil spécialisée dans les technologies de l’information. Seule solution: fournir à vos salariés nomades un ordinateur qui dispose du même niveau de sécurité que ceux de votre entreprise. Naturellement, ce poste de travail doit être exclusivement utilisé pour des tâches professionnelles. Et ne doit pas être partagé avec les autres membres du foyer. Toujours au niveau comportemental, il est essentiel de sortir le moins de données possible de votre entreprise. Les salariés doivent rapporter chez eux uniquement les documents dont ils ont réellement besoin. Ainsi, un commercial ne doit pas prendre tous ses dossiers lorsqu’il va déjeuner avec un client. Le but: «limiter la casse» en cas de perte ou de vol de son ordinateur portable. « Souvent, les collaborateurs n’ont pas conscience de la valeur des données qu’ils manipulent quotidiennement. Ils pensent que les informations-clés de l’entreprise sont détenues par les autres services»,décrypte Benoît de Saint Sernin (Eeie). Même si cela semble évident, tous vos terminaux mobiles doivent être dotés d’un mot de passe personnel, changé régulièrement. Les smartphones doivent être bloqués par un code numérique. Et se verrouiller automatiquement après 30 secondes d’inutilisation – des options qu’il est possible d’activer sur tous les nouveaux téléphones. « Aujourd’hui les téléphones d’entreprise sont de vrais micro-ordinateurs. Ils servent le plus souvent à recevoir et envoyer des e-mails, mais ils peuvent également héberger des documents ou des applications métiers, comme un logiciel de gestion de la relation client », souligne Olivier Patole (Devoteam). Autant de raisons pour rester vigilant.

Le casse-tête des smartphones. Si la prévention est la meilleure des protections contre le vol ou la perte de données, l’utilisation d’une défense informatique reste incontournable. Outre les antivirus, antispam et firewall qui protégeront votre réseau interne, il existe également des solutions spécifiques pour vos ordinateurs portables. Les fonctionnalités les plus courantes? Cryptage, suppression des données à distance, verrouillage de l’ordinateur – toujours à distance – voire géolocalisation pour les plus performants. S’il est difficile de donner un prix exact, Olivier Patole estime qu’il faut compter « environ 15 euros HT par poste, et par an, pour doter ses PC portables d’une protection informatique spécifique ». En réalité, le vrai problème est ailleurs. Et touche essentiellement les smartphones. A part RIM, le fabriquant canadien de BlackBerry, la plupart des mobiles actuels sont conçus pour le grand public. Leur niveau de sécurité est donc minimal. Ainsi, même si Apple a fait de gros efforts ses derniers mois, l’iPhone reste perméable aux virus. Notamment ceux qui sont «jailbreakés», c’est-à-dire modifiés pour installer des applications non approuvées par la firme américaine. Sans compter une autre ombre au tableau: « Il n’existe pas de solutions permettant de sécuriser une flotte hétéroclite de téléphones. Certains logiciels sont spécifiques aux iPhone, d’autres pour ceux fonctionnant sous Android… », prévient Olivier Patole (Devoteam). Les solutions à envisager? Fournir les smartphones à ses salariés, ce qui peut vite revenir cher à l’entreprise, ou limiter leur usage à la lecture seule des e-mails.

CHRISTOPHE JOURDET, REGIONAL MANAGER FRANCE ET IBERIA POUR ABSOLUTE SOFTWARE

« Il arrive que les salariés volent eux-mêmes leur matériel informatique professionnel et en déclarent la perte pour, en réalité, le garder chez eux. »

Retour de BlackHat Jour (#0)
Mercredi 16 mars 
Atterrissage en fin d’après midi à Barcelone pour cette Blackhat EU 2011, c’est une fine pluie qui m’accueille à l’aéroport ; heureusement pas de douche froide: l’organisation est bien rodée et c’est sans difficulté que je récupère mon passe pour ces deux jours de confs.
Le programme est constitué de « briefings » et de « training », pour ma part je me concentre sur les briefings …

Retour de BlackHat Jour #1
Jeudi 17 mars – 08h30 à l’hôtel Rey Ruan Carlos
J’attaque cette BlackHat avec Nitesh Dhanjani: New Age Attacks Against Apple’s iOS (and Countermeasures). Le talk se focalise sur les actions inter applications, les sujets à la mode tels que Jailbreak et l’iBoot ne sont pas abordés. L’auteur rappelle brièvement le fonctionnement des « handlers » et autres « URLScheme » permettant d’appeler une application depuis une autre. L’exemple par excellence est l’initialisation d’un appel téléphonique classique depuis une application (e.g. les pages jaunes). Tout va bien dans ce cas, l’iOS demande confirmation à l’utilisateur avant d’initialiser l’appel. Pour le reste ça se complique ; l’auteur démontre qu’il est possible d’initialiser un appel Skype depuis une application tierce sans validation de la part de l’utilisateur. Et ceci n’est que la partie immergée de l’iceberg, chaque application étant à même de créer ses propres « URLScheme ». Par défaut, l’iOS ne contrôle pas ce type d’appel inter-applicatif. L’exemple de Skype montre comment il est facile de réaliser des actions non sollicitées par l’utilisateur. L’auteur ajoute qu’à ce jour, il existe des centaines « d’URLScheme » de ce type, la plupart du temps non documentés.
Réactions & Commentaires:
Apple ne contrôle pas la sécurité des applications présentes dans l’Appstore, c’est donc bien aux entreprises mettant des Iphones à disposition de leurs utilisateurs d’adresser ce type de risque.
Des mécanismes de listes blanches d’applications existent, encore faut-il disposer de critères de choix pour discerner les applications proposant un niveau de sécurité acceptable. L’auteur propose un début de réponse : une checklist pour évaluer le code source des applications. Un frein tout de même : sachant que les applications sont livrées chiffrées dans l’AppStore, est-il réaliste de penser que les entreprises vont auditer chaque application avant de les mettre à disposition des utilisateurs ?

Jeudi 17 mars/ Jour #1 – 10h
Le second slot est consacré à Tom Keetch: Escaping From Microsoft Windows Sandboxes.
L’auteur se focalise sur la mise en œuvre de Sandboxes dans les applicatifs IE, Adobe Reader et Google Chrome. Dans un premier temps il rappelle l’objectif de ce type de mécanismes : fournir un environnement restreint pour protéger la machine utilisateur d’un contenu malicieux consommé par un applicatif.
Très vite, il démontre que l’ajout de sécurité via les Sandboxes est limité : dû à la faible maturité des Sandboxes, celles-ci sont vulnérables. Le « surcoût » d’une attaque imputé aux sandboxes est négligeable par rapport à l’attaque initiale.
Dans un second temps, l’auteur établit le constat que les mécanismes Sandboxes sont dépendant de l’OS sous jacent mais aussi et surtout, de l’implémentation qui en est faite par l’application tierce partie.
Ainsi il démontre que les Sandboxes d’IE et d’Adobe Reader apportent des avancées sur la protection de l’intégrité mais ne protège pas la confidentialité des données utilisateurs (fichiers et registres). Quant à Chrome, c’est sans doute la meilleure implémentation malgré le fait que les plugins chargés (Flash, Shockwave… ) sont exécutés en dehors de l’environnement restreint.
Réactions & Commentaires:
Dans chacun des cas étudiés, la présentation montre que la mise en œuvre des Sandboxes ne permet pas encore d’atteindre un niveau de sécurité satisfaisant. De mon point de vue, les mécanismes de Sandboxes proposés par Microsoft restent une avancée intéressante : Ceux-ci contribuent à maintenir la sécurité de l’OS. De plus, la possibilité de réduire l’étendue des droits fournis aux applicatifs tierces parties reste une voie intéressante.

Jeudi 17 mars/ Jour #1 – 11h30
La troisième présentation de la matinée est proposée par Andrés Riancho: Web Application Payloads.
Il s’agit ici de présenter le projet open source w3af, un framework d’audit et d’attaques des applications Web PHP. Depuis la découverte de la vulnérabilité jusqu’à l’exécution d’un Payload, l’outil automatise les différentes phases d’un audit d’application web classique.
Réactions & Commentaires:
Sans révolutionner la boite à outil du Pentester, l’approche semble intéressante. Reste à mettre en pratique l’outil pour vérifier de son efficacité et de son intérêt … La collaboration de Rapid7 sur ce projet a sans doute permis de relancer les développements. Si le concept est approuvé, l’implémentation sur les autres langages (ASP, .NET … ) pourrait être intéressante. A tester !

Jeudi 17 mars/ Jour #1 – 13h45
Après la pause, nous retrouvons Raul Siles pour « SAP: Session (Fixation) Attacks and Protections (in Web Applications) ».
A contrario de ce que laisse entendre le titre, ce talk ne se contente pas d’explorer les sessions sur systèmes SAP, il concerne toutes les applications Web. Pour rappel, les sessions web permettent de gérer les droits d’un utilisateur authentifié lors de sa navigation au sein d’une application web. Dans un premier temps ce sont les différents vecteurs d’attaques qui sont passés en revue (URL/cookies/traffic manipulation, XSS, SQL Injection …). Ensuite, au travers de 3 scénarios ( Joomla,Weblogic et SAP), l’auteur propose quelques illustrations de la mauvaise gestion des sessions Web. Dans la dernière partie de l’exposé, l’auteur liste quelques best-practices permettant de s’affranchir des problématiques courantes liées aux sessions. Enfin pour conclure ce riche exposé, Raul Siles souligne le fait que les applications avec authentification forte sont bien entendu concernées; preuve en est que ce type de vulnérabilités touche également les systèmes sensibles….
Réactions & Commentaires:
Rien de très nouveau, il s’agit du top 3 à l’OWASP en 2010. Toutefois cette présentation a le mérite d’établir un état de l’art des vulnérabilités liées aux sessions WEB.
En complément des best practices qui se doivent d’être communiquées aux développeurs, on ne peut qu’encourager l’auteur dans sa volonté de développer un outil de tests semi-automatiques.

Retour de BlackHat Jour #2
vendredi 17 mars – 09h
Je démarre cette seconde journée avec Matt Neely & Spencer McIntyre: EAPEAK – Wireless 802.1X EAP Identification and Foot Printing Tool. Petite introduction sur les mécanismes de sécurité Wireless WAP et WAP2. Les différentes méthodes d’authentification (PSK ou Entreprise) sont passées en revue. La présentation établie ensuite le constat suivant : Dans le cadre d’un pentest de réseau Wireless mettant en œuvre une authentification 802.1X, la définition du type d’EAP (PEAP, EAP-TTLS, EAP-TLS, EAP-Fast, ou LEAP) est incontournable. Problème, faute d’outil, celle-ci se doit d’être effectuée manuellement. Une suite de captures WireShark illustre la démarche quelque peu fastidieuse. En réponse, le projet open source « EAPeak » est présenté: il s’agit d’une librairie Python pour Scapy. L’outil permet notamment de définir le type d’EAP utilisé ainsi que certains identifiants transmis en clair (A priori courant dans ce genre de pentest si l’on en croit l’auteur).
Réactions & Commentaires:
Rien de très nouveau, peut-être une aide précieuse pour les pentests Wireless… A tester !

vendredi 17 mars/ Jour #2 – 13h45
Après le déjeuner, Yuri Gushin & Alex Behar tentent de nous éclairer sur les technique anti-DOS : Building Floodgates: Cutting-Edge Denial of Service Mitigation. Dans un premier temps les différentes techniques de Déni de Service sont passées en revue : les attaques très basiques se limitent à la couche 3 OSI, des attaques plus avancées exploitent la couche 4 (e.g. TCP SYN Flood). Enfin les attaques plus sophistiquées, type « HTTP page flood » s’attaquent à l’applicatif lui-même sur la couche 7.
En réponse, les systèmes anti-DOS sont de 2 types, les systèmes « statiques » et les systèmes « adaptatifs ». Dans le premier cas, il s’agit de seuils préconfigurés (Syn/seconde ou HTTP request/seconde); dans le second cas, le système adapte ses seuils continuellement selon le taux de requêtes légitimes (définit par analyse).
La dernière partie de l’exposé propose deux types de contremesures pour limiter la portée des attaques :
- Une mitigation passive: suppression du trafic supérieur à un seuil prédéfini. Le site reste accessible à un nombre limité de connexions actives (légitimes ou non). L’efficacité du dispositif est donc tout à fait partielle.
- Une mitigation active : l’idée est de définir la nature du client ayant initié la connexion. S’agit-il d’un browser « intelligent » ou d’un simple client malicieux contrôlé par un BotNet ? Cette vérification est réalisée via un challenge initié coté serveur : si le client est à même d’interpréter du code Javascript ou Flash, il est considérer comme intelligent et ses requêtes sont qualifiées de légitimes.
Pour conclure, l’outil open source Roboo est présenté. Ce dernier implémente le système de challenge pour une mitigation active du DOS.
Réactions & Commentaires:
Très bon talk pour le non-spécialiste des problématiques DOS que je suis. La présentation est rythmée, claire et efficace. L’approche de la détection du client intelligent est intéressante mais limitée de mon point de vue : si cette tendance se développe, il y a fort à parier que les BotNets responsables des DOS ne tarderont pas à embarquer des interpréteurs flash ou Javascript minimaliste sur les machines contrôlées…

vendredi 17 mars/ Jour #2 – 16h45
Pour conclure cette Blackhat Europe 2011, dernière présentation avec Damir Rajnovic: Monoculture – the other side. L’objectif est de remettre en cause le principe de sécurité qui consiste à diversifier les fournisseurs de produits logiciels ou d’équipements. Usuellement, ce dispositif est considérer comme un apport de sécurité dans le sens où la sensibilité du parc à une vulnérabilité serait moins forte.
En se basant sur des études statistiques, l’auteur met en évidence le fait que certaines vulnérabilités sont communes à des produits ayant des origines différentes. Les résultats de l’analyse statistique sont expliqués au travers des arguments suivants :
- Il n’est pas rare pour une même technologie de recenser des développeurs de deux fournisseurs différents issus de la même formation ou ayant des parcours communs. Etant « formatés » de la même manière, les erreurs d’implémentation pourraient être identiques.
- Certaines vulnérabilités prennent racines dans les RFCs (e.g. Failles SNMP V1/2) ;
- Les produits développés par des fournisseurs non liés, voire concurrents, sont susceptibles d’embarquer des éléments communs (librairie crypto ou ASN.1, serveur web);
Dans un deuxième temps, l’auteur admet que les résultats statistiques présentés ne sont pas significatifs. Toutefois, il estime que ceux-ci sont minorés par les cycles de développements des produits logiciels. En effet, des versions consécutives d’un même produit embarquent des versions logicielles différentes.
=> Constat : la diversification est donc réalisée naturellement par le cycle de vie des produits logiciels. L’intérêt de la sécurité par la diversification serait donc faible, d’autant plus que cette stratégie implique des problématiques liées à la maintenance d’un parc hétérogène !
Réactions & Commentaires :
La pertinence des arguments reste à débattre… L’auteur est salarié d’une firme incontournable sur le marché des équipements réseau: pur hasard ou s’agit il d’un discours commercial offusqué derrière une analyse pseudo-mathématique?

vendredi 17 mars/ Jour #2 – 20h « El Prat de Llobregat Aeropuerto »
Quelques bons sujets pour cette blackhat EU 2011 mais je reste un peu sur ma faim, j’attendais un peu plus de l’évènement. Après cette première expérience et habitué du SSTIC et autres JSSI, j’estime que les confs franco-françaises non rien à envier à la déclinaison européenne de la Blackhat : reste à tenter l’expérience Las Végas pour être complet sur le sujet … !

Ce retour d’expérience a mis en évidence des lacunes rencontrées lors de plusieurs audits et il a été l’occasion de proposer des pistes pour que les responsables sécurité des entreprises soient prêts à appréhender la sécurité de ces offres.

La présentation effectuée par Guillaume Laudière et Jean-Marc Boursat est au lien ci-dessous :
http://www.devoteamblog.com/wp-content/uploads/2011/03/La_condensation_de_la_sécurité_ou_comment_traiter_la_sécurité_dans_les_nuages_V1.02.pdf

La surveillance peut ainsi s’appliquer aux postes de travail (supervision des copier-coller, copie d’écran,  impression, etc.) Une protection applicative et réseau peut veiller de son côté sur les systèmes de messagerie d’entreprise, messageries Web, messageries instantanées, et scanner les flux au niveau des protocoles  HTTP et FTP. Les supports amovibles et USB peuvent également être contrôlés. Toutes les issues possibles sont ainsi surveillées par les solutions de DLP, jusqu’aux données issues de solutions comme  Office ou Sharepoint. 

Afin de se protéger de la perte d’informations capitales, la solution doit les identifier. “S’il est assez facile de protéger, par exemple, les numéros de carte bleue, c’est un peu plus complexe de protéger des secrets techniques, juridiques ou industriels”, note Christophe Gueguen, manager du pôle Sécurité chez Devoteam.

Description, dictionnaire, expression régulière, marquage (etc.), le panel des techniques utilisées doit permettre au final de prévenir la perte d’informations cruciales, quelles qu’elles soient.

Normes et verticalisation de la solution

Certains secteurs sont aussi soumis à des normes en matière de sécurité des données. Les solutions proposent en général despolitiques prédéfinies en fonction du secteur d’activité (finance, santé, etc.) et du pays ou de la région, mais aussi des réglementations (GLBA,HIPAA, PCI DSS, Sarbanes Oxley, loi Française 2004-801 sur les données personnelles, Directive Européennes 9546EC…). Les règles proposées peuvent ensuite être plus ou moins facilement enrichies. Aucun fournisseur interrogé ne dit  prendre en charge la verticalisationcomplète de sa solution.

Attention tout de même à ne pas trop en demander. “Le volume des données explosent. Si les règles s’accumulent et s’affinent, le DLP peut devenir gourmand en ressources, et avoir un impact négatif sur lesperformances globales du système”, prévient Christophe Gueguen, Manager Pôle sécurité chez Devoteam.


Les critères de choix retenus dans le cadre de ce panorama ? Le niveau de  tarif autant que la richesse fonctionnelle des logiciels. Les quatre solutions mises en avant ont été retenues par le Gartner et  Forresterdans leurs dernières études sur le marché du DLP.

	Les critères de choix
	1- Nom Fournisseur/Solutions
	2- Clients
	3- Prix
	4- Derniers ajouts fonctionnels
	5 – Développements prévus
	Source : JDNSolutions

Article publié sur le journal du net

SPF, SenderID, DKIM, CallerID : les éditeurs n’hésitent pas à compter sur une ou plusieurs de ces listes et méthodes pour augmenter l’efficacité de leur solution. 

Taux de détection et volumétrie différenciants ?

Une solution antispam doit aussi protéger les entreprises des attaques informatiques.© Fotolia

Globalement, et notamment grâce à ces méthodes, les solutions présentées vont pouvoir afficher ”des taux de détection de spam assez proches, souvent supérieurs à 90%, mais ce sont les derniers pourcents qui sont les plus difficiles… En outre, si le prix de la solution peut aussi être corrélé avec le taux de détection, il ne faut pas aussi oublier de prendre en compte l’habileté de la solution à éviter les faux positifs, c’est-à-dire de ne pas classer comme spam les courriels légitimes”, explique David Bigot, Solution Leader dans la BU Sécurité de Devoteam.

La volumétrie gérée ne pourra pas non plus être un critère très différenciant. La plupart des fournisseurs proposent des solutions dont la capacité de traitement pourra s’adapter aux besoins d’entreprises de toutes tailles.

Plus que de l’antispam, des solutions de sécurisation de la messagerie

De par la nature des spams, souvent associés à des tentatives de hameçonnage ou de diffusion de virus, il incombe souvent aux solutions antispam de sécuriser plus globalement la messagerie et le terminal. Les solutions peuvent donc inclure un antivirus ou un système de détection d’intrusion, issus soit d’un partenaire soit du même éditeur. Un bon nombre d’acteurs sur le marché des solutions antispam sont aussi connus pour être des éditeurs d’antivirus.

“Les solutions antispam peuvent aussi fonctionner dans le Cloud.”

Pour mieux se protéger des menaces associées aux spams, les solutions de protection des boîtes mail, à l’instar des antivirus, peuvent aussi fonctionner dans le Cloud. “Les utilisateurs peuvent ainsi faire remonter rapidement les menaces rencontrées en enrichissant une base de signatures commune. Les autres utilisateurs pourront ainsi en profiter, et ainsi mieux être protégérés contre la dernière campagne de phishing recencée par exemple. Le Cloud peur apporter une meilleure réactivité à la solution” explique David Bigot.

De nombreuses solutions antispam sont commercialisées sous la forme de solutions SaaS, ou même d’appliances virtualisées (souvent via VMWare)

Se protéger contre les flux sortants

Si les solutions antispam sont d’abord connues pour traiter les messages entrants, elles commencent aussi à se différencier par leur capacité àfiltrer les messages sortants. Elles peuvent ainsi adopter des règles pour empêcher que des informations sensibles soit envoyées par courriel. “Mais pour proposer une telle solution, il n’est pas rare que l’éditeur ait aussi un pied dans le marché des solutions de prévention de fuite de données (Data Loss Prevention : voir notre précédent panorama)”, constate David Bigot.

Malgré un périmètre fonctionnel qui s’étend et des filtres qui doivent être aussi fins que personnalisés,”la solution doit garder sa simplicité d’usage et de mise en place. Une console de monitoring et la possibilité de produire des rapports simples et pertinents font partie des souhaits des clients rencontrés” témoigne  David Bigot, qui a participé à la mise en place de plusieurs solutions anti-spam chez de grands comptes.

Article publié sur le journal du net

La cause de cette erreur est relativement simple, une personne a émis cette information sur le site public de la société, au lieu de réaliser l’opération sur un site dédié dit de « test ». En effet, dans les entreprises, les applications sont répliquées dans plusieurs environnements (pour le développement, les tests, la validation, etc.).

La SNCF n’a eu à déplorer aucune conséquence lourde, mais cet exemple n’est pas un cas isolé et les impacts financiers et d’image des erreurs semblables à celle-ci peuvent être bien plus importants.

Mais alors quels peuvent être les moyens pour se protéger de ces défaillances de la machine humaine qui sont souvent liées à des facteurs tels que le stress, la fatigue, la routine ? A ce jour, plusieurs approches tentent de répondre à ce risque :

• Différentiation des accès ;
• Différentiation visuelle ;
• Confirmation des actions ;
• Approche organisationnelle.

L’évitement du risque par la séparation des équipes de production / hors production et le cloisonnement complet des environnements, ne seront pas étudiés compte tenu des impacts financiers et organisationnels majeurs qu’ils engendrent.

Différentiation des accès

La procédure d’accès à un environnement de production doit être différente des autres accès, d’autant que les impacts liés aux opérations effectuées ne sont pas les mêmes. L’objectif est d’éviter que les administrateurs confondent les environnements de par leur similitude. C’est pourquoi l’administrateur doit être contraint d’effectuer une action différente ou supplémentaire dans l’environnement de production, pour bien prendre conscience de l’endroit auquel il accède et des impacts de l’action qu’il effectue.

L’approche la plus simple serait d’exiger un mot de passe pour l’environnement de production distinct des autres environnements.

Dans ce contexte, l’ajout d’un mode d’accès spécifique à l’environnement de production renforcera l’approche précédente, par exemple, l’administrateur devra d’abord traverser une passerelle pour accéder à l’environnement de production. L’avantage complémentaire de ce relais est de pouvoir générer et garder les traces des tâches effectuées lors de la connexion. Il existe de nombreux outils permettant un tel accès centralisé. Bien qu’utile, cette approche, nécessitant un passage par des couches de contrôles supplémentaires, est rarement facilement acceptée par les opérationnels ayant de fortes contraintes en terme de réactivité.

Différentiation visuelle

Une fois connecté, encore faut-il ne pas oublier l’environnement accédé. Une identité visuelle spécifique à chaque environnement doit permettre à l’administrateur de se resituer.

La méthode la plus utilisée est la différentiation des environnements par couleur. Par exemple, on peut définir le rouge comme la couleur de l’environnement de production (à travers une trame, un texte, un logo, etc.), le jaune pour la pré-production et le vert pour les tests. Seulement, il n’existe pas de solution « universelle » permettant la différenciation visuelle des environnements. La différentiation devra être gérée au cas par cas : système par système, application par application.

Les noms des serveurs peuvent être définis de manière à différencier les environnements à partir de la nomenclature (par exemple, ProdRedHatCitrix03 ou ProdWindowsCompta01). Souvent, dans les petites structures, les noms des serveurs ne sont pas très explicites. Et, il n’y est pas rare de trouver des serveurs portant les noms des planètes, des personnages des films de science-fiction, etc.

Confirmation des actions

Une autre solution envisageable est de mettre en place des messages demandant la confirmation des actions dans l’environnement de production. Ces messages ou « pop-ups » seront activés lors de la demande d’exécution des actions critiques (« Etes-vous vraiment sûr(e) de vouloir supprimer la base de données des clients en production ?! »). L’exemple le plus parlant est l’UAC (User Account Control) mis en place par Windows. Cette solution, bien qu’efficace n’existe pas pour toutes les technologies. De plus, les administrateurs sont souvent réticents à ce type de changement, du fait qu’il pourrait impacter leur temps de réponse sur incident.

Approche organisationnelle

Enfin, il reste l’approche organisationnelle, la méthode la plus efficace et dans l’air du temps de part l’adoption de plus en plus répandue par les entreprises des bonnes pratiques de l’ITIL.

Le « change management », avec des procédures bien définies de mise en production est un axe essentiel pour sécuriser l’environnement de production. Il faut bien faire attention à ne pas oublier de spécifier le mode de gestion des exceptions, étant donné que le plus souvent, les problèmes surviennent lors des traitements de cas « non défini » ou « d’urgence ».

La sensibilisation régulière du personnel sur les enjeux de leur travail est un moyen incontournable pour réduire les risques. Les clauses décrivant les responsabilités de chacun dans les contrats s’avèrent utiles. Elle permet non seulement, dès l’arrivée d’un nouveau collaborateur, de le former et de l’informer de ses responsabilités et des risques associés, mais également, de définir un cadre juridique et organisationnel de son travail.

Il faut noter que la confiance accordée aux administrateurs ne doit pas exclure le contrôle de leurs activités. La traçabilité des actions et les vérifications périodiques sont primordiales (même quand elles ne sont pas imposées par un cadre légal). Cela permet d’analyser les problèmes a posteriori ainsi que d’éviter leur apparition récurrente dans l’avenir. Par ailleurs, communiquer autour de la mise en œuvre de la traçabilité a généralement un effet « sensibilisant » sur les administrateurs, qui sont ainsi plus prudents sur les environnements contrôlés.

Tout ceci étant dit, l’erreur reste humaine. De fait, les solutions décrites dans cet article ne pourront que réduire les risques de confusion des environnements sans pour autant tous les prévenir.

De manière générale, une sélection rigoureuse de candidats à un poste d’administrateur est à prévoir. Quand bien même, les objectifs de réduction de coûts présents actuellement dans l’ensemble des secteurs d’activité, accompagnés d’un turnover important des effectifs, ne facilitent pas le choix. Il est également à noter qu’au vu des contraintes métier (par exemple, horaires décalés), il existe des difficultés de recrutement des personnes qualifiées à ce poste. Cependant, il est essentiel de se poser la question sur l’adéquation des responsabilités que l’on confie avec le prix que l’on est prêt à payer et des impacts que l’on est prêt à accepter.

Gulzhan Zhussipaliyeva, consultante dans la BU sécurité de Devoteam

Tribune libre publiée sur le Blog Expert du Monde Informatique.