Posts Tagged Security

Nicolas Joulain

En ce vendredi matin où l’amphi est à moitié désert (conséquence d’un social event trop bien réussi!), Frédéric Guihery, Frédéric Remi et Goulven Guiheux d’Amossys, nous présentent leurs études sur “l’informatique de confiance“ : tout d’abord un retour rapide sur les applications grand public du trusted computing avec les TPM et les services associés (chiffrement de disque …). Ensuite ce sont les perspectives d’évolutions qui sont évoquées, à savoir : intégrité et confiance pendant l’exécution.
Réactions & Commentaires:
Les aspects théoriques de la discipline montrent quelques avancées. Cependant, il est légitime de s’interroger sur les possibilités d’intégrer un jour une chaine de confiance complète dans la ‘vraie’ vie. Après plusieurs années d’existences, les applications de la discipline restent souvent très limitées, difficile à standardiser et présentent des vulnérabilités lorsqu’elles existent ( Intel TxT).

Le second talk de la matinée est animé par Renaud Dubourguais d’HSC. Ce dernier se concentre sur JBOSS AS: son exploitation et sa sécurisation. Dans un premier temps, ce sont les mécanismes de sécurité de ce serveur d’application qui sont abordés. Ensuite, l’auteur discute des différents vecteurs d’attaques possibles et nous en fait la démonstration.
Réactions & Commentaires:
Dans la continuité de sa conférence à la JSSI, la présentation nous fait prendre conscience de la nécessité de se préoccuper des serveurs applicatifs. La complexité du soft et la portée des attaques ne font qu’appuyer ce postulat.

Après la pause, c’est au tour de Nicolas Ruff d’EADS Innovation Works, de nous présenter ces travaux sur “les Audit d’applications .NET complexes – le cas Microsoft OCS 2007“. La sémantique du code haut niveau laissant des traces dans ‘le bytecode’, la décompilation de telles applications est relativement aisée. C’est par ce procédé que l’auteur nous démontre comment mettre à mal les mécanismes de sécurité d’une application commerciale utilisée en exemple : il aura fallu moins de 30s et le lancement en parallèle d’un debugger afin de contourner les fonctions de sécurité du produit.
Réactions & Commentaires:
La richesse du code et des bibliothèques employées rend complexe le développement sécurisé via ce langage haut niveau. Comme c’est souvent le cas, les mécanismes de sécurité sont présents mais ne sont pas ou peu mis en œuvre. Peut être un effort à faire côté éditeur sur la documentation ?
A mon sens, la politique SI de l’entreprise devrait à minima proposer son guide de développement pour assister les développeurs.

Dernière conférence de la matinée intitulée “Sécurité des applications Web, la théorie des types à la rescousse” par Mathieu Baudet, MLState. L’auteur propose un langage fortement typé qui répondrait à l’ensemble du top 10 de l’OWASP !!! L’architecture d’une application web devient simplissime: un fichier source et un seul serveur ; tout y est, de la couche présentation jusqu’aux données.
Réactions & Commentaires:
Le discours était clairement à coté des attentes du public: un  discours commercial argumenté par des principes d’attaques web hyper basiques (injections SQL / XSS / Buffer Overflow). Dommage sur deux points:
- il faudra pousser la lecture dans l’acte afin d’avoir une vue ne serait ce que partielle des concepts de ce nouveau langage;
- trop peu de détails pour que l’auditoire soit en mesure de challenger l’auteur.
De mon point de vue, je reste interrogatif sur le concept : quand bien même aurions-nous dans les mains un langage infaillible, les principes de défense en profondeur sont mis à mal et je ne suis pas certain qu’il soit bien raisonnable d’exposer les données sur un serveur en frontal ?

De retour de la pause déjeuner, c’est Cédric Halbronn de l’ESEC qui vient nous présenter “PoC(k)ET, les détails d’un rootkit pour Windows Mobile 6 (WM6)“.
L’orateur expose dans un premier temps le contexte WM6 (environnement embarqué, consommation CPU/RAM limitée). Ensuite il propose une réponse aux différents éléments d’un bon rootkit (injecteur / Protection / Backdoor / services). Par la démonstration, l’auteur nous explique que WM6 est très permissif : récupération des SMS/contacts/mails du terminal …. (Un rootkit sous WM6 reste toutefois détectable par forensic du terminal).
Réaction & Commentaires:
S’il le fallait, la faiblesse des modèles de sécurité des terminaux mobiles est une nouvelle fois démontrée et ce ne sont pas les antivirus du marché qui permettront de combler les lacunes. Preuve en est: à la question comment sécuriser un téléphone mobile fonctionnant sous WM6 ?, l’auteur répond qu’il faut éviter le risque … c’est à dire se passer purement et simplement des services de WM6!

En écho à son premier talk, Harald Welte vient nous présenter le Projet “OsmocomBB“.  Cette seconde présentation se focalise sur la partie terminal téléphonique (la première était consacrée à l’infra opérateur). L’accent est porté sur le “Baseband processor” dédié au Protocol GSM et non aux applications calculées sur un second processeur.
Réaction & Commentaires:
Conférence très technique participant au partage des connaissances sur la téléphonie mobile. Alors que le sujet est (volontairement?) maitrisé par les seuls opérateurs, ce type de conférence permet de démontrer que le sentiment de sécurité instauré par les opérateurs au sujet des communications mobiles n’est qu’un leurre.

Après 3 jours de riches conférences, Patrick Pailloux directeur de l’ANSSI, vient conclure ce SSTIC 2010 en nous présentant les enjeux et missions de son organisation. Etant donné que les supports publiés de cette intervention ne seront sans doute pas très riches; je vous propose ici mon retour sur le discours:
Les enjeux :
- Doter l’état de systèmes résilients et répondant à des fortes contraintes en termes de disponibilité, d’intégrité et de confidentialité.
- A contrario du terrorisme classique, les armes informatiques sont en circulation libre;
- Bien qu’une collaboration internationale tend à se mettre en place, le droit national est souvent démuni face à la dimension globale du cyberespace;
- La défense par la dissuasion telle que prônée il y a quelques temps par les US est une mesure inefficace;
- Le cyberespace n’est que très peu régulé. Exemple : le routage du trafic Internet se fait plus par “copinage” que par règles internationales;
- La problématique culturelle est un bel exemple de contradiction : “tout le monde veut protéger ses données personnelles” ce qui semble incompatible de la popularité d’une application telle Google map (=> Géolocalisation des personnes en temps réelle par une firme américaine !);
- L’état ne maitrise pas les acteurs du secteur, ceux ci sont privées et mondiaux;
- Il existe un réel défi géopolitique. En effet il subsiste un problème culturel ne permettant pas aux états de communiquer sur leurs vulnérabilités; cela tend à complexifier la coopération internationale.
=> L’objectif de l’ANSSI : organiser à l’échelle nationale la réponse aux enjeux exposés.

Des problématiques concrètes:
A l’énoncé de ces enjeux, il serait faux de penser que l’ANSSI évolue de façon autonome sur des sujets abstraits. Son rôle est d’adresser des problématiques très concrètes :
- Organiser la réponse en cas d’attaque informatique majeure sur les systèmes critiques de l’état;
- Accompagner les projets étatiques :
x Sécurité du dossier médical;
x Bracelet détenu;
x Vote électronique;
- Communiquer et former le citoyen ainsi que l’industriel.
Politique RH:
La tache est ardue, heureusement Patrick Pailloux dispose de fonds et lance un programme de recrutement (70 personnes / an). Les candidats devront réunir les qualités suivantes :
-> Volonté de servir la France;
-> Capacité et intérêts à défendre. Le but n’est pas de “casser” les SI, il faudra proposer des solutions de défense !
-> Développer des solutions techniques;
-> Interagir avec le monde extérieur (homologues internationaux & Industriels);
=> Apporter sa pierre à l’édifice en proposant des solutions concrètes.