Charles Assaf

Une deuxième journée dans la continuité de la première avec des sujets très intéressants traitées de manière détaillée et prospective. Au programme : les résultats du challenge, des conférences, des « rump sessions » et, bien sur, le Social Event !

Les conférences de la matinée ont principalement porté sur des vulnérabilités systèmes sophistiquées et ont mis en avant les pistes permettant de les corriger et d’améliorer le niveau de sécurité.

En guise d’introduction, les résultats du challenge de cette année réalisé par l’ANSSI ont été présentés. Le défi consistait à analyser la copie intégrale de la mémoire physique d’un mobile utilisant le système d’exploitation Android. Pour les motivés, le contenu de la mémoire physique est disponible sur le lien suivant : http://www.sstic.org/media/SSTIC2010/concours_sstic_2010

Empreinte SHA-256: 78c9ab57cdb8ba1eb7fde9a1d165fe86a6789320b63fb079f6ad8cd8dbebe037  concours_sstic_2010

La première conférence portait sur la sécurité de la plateforme d’exécution JAVA et se basait sur un travail collaboratif d’Amossys, Silicom et INRIA. Guillaume Hiet et David Pichardie nous ont montré, grâce à leur étude, les limites du langage JAVA malgré l’ensemble des mécanismes de sécurité dont il bénéficie (vérification de sécurité lors de l’exécution d’une application JAVA, contrôles d’accès, vérification de la signature et de l’intégrité des classes…). Malheureusement, ce langage initialement pensé pour la sécurité présente certaines faiblesses dans son architecture et son implémentation. Ces faiblesses sont principalement dues à une mauvaise utilisation des mécanismes de sécurité disponibles . Enfin, les orateurs nous ont proposé des solutions et des bonnes pratiques à appliquer dans le but d’améliorer le niveau de sécurité de la plateforme (audit de la bibliothèque standard, codage pour renforcer la JVM…). Bon exposé général, synthétique et clair.

La seconde conférence a été animée par Eric Lacombe et Fernand Lone Sang de LAAS-CNRS : une présentation intéressante sur la robustesse des services fournis par une IOMMU vis-à-vis des attaques DMA. Pour commencer, les orateurs ont montré l’intérêt d’embarquer une IOMMU pour protéger le noyau d’un système d’exploitation : ce composant permet de contrôler les accès à la mémoire  par les différents périphériques d’entrée/sortie en faisant un Mapping virtuel sur les adresses mémoires. Ensuite un focus a été fait sur la technologie Intel VT-d et sur les différents types d’attaques qui permettent de contourner le mécanisme de sécurité assuré par l’IOMMU. Notamment des attaques ayant pour objectif de reconfigurer les tables de traductions internes et d’effectuer un Spoofing de source-id. En effet, FireWire et Ethernet ayant une même identité, le contrôleur FireWire peut modifier les trames Ethernet entrantes. Une démonstration captivante a été faite en branchant un iPod sur le port FireWire pour modifier les trames ARP de la carte Ethernet et rediriger le trafic. Ainsi, nous avons pu assister à une attaque en live qui a permis une écoute du réseau à l’aide d’un « ARP Poisonning ». Conclusion, cette conférence renforce la bonne pratique de sécurité que nous connaissons très bien : ne pas connecter des périphériques externes non maitrisés sur notre PC.

Après la pause nous avons assisté à une conférence sur la sécurité des cartes réseau présentée par Loïc Duflot et Yves-Alexis Perez de l’ANSSI. L’objectif de cette conférence était de proposer une preuve de concept d’une prise de contrôle à distance en exploitant les failles d’implémentation d’une carte réseau. Après une description de l’architecture complexe d’une carte Broadcom, les auteurs ont mis en évidence un Buffer Overflow touchant le protocole ASF utilisé pour le management et le monitoring à distance. La carte réseau a ainsi été transformée en Backdoor après une réécriture de son Firmware. Une étude approfondie du fonctionnement de la carte ainsi que le développement d’un Debugger ont été nécessaires pour exploiter cette faille. Pour se protéger, désactiver le protocole ASF, ou tout simplement, ne pas connecter une carte utilisant ASF directement sur un réseau non maitrisé type Internet.

Dernière conférence de la matinée présentée par Sébastien Tricaud : Honeypot Project 2010. Le but de la conférence était de présenter l’organisation et les travaux du projet. Honeypot Project a pour mission de renforcer la sécurité d’Internet en proposant des challenges pour mieux connaitre les menaces (Know Your Ennemy) et mieux se protéger (Know Your Tools).

Cf. http://www.honeynet.org/challenges

Les conférences de l’après midi étaient moins techniques que les précédentes. C’était au tour de Frédéric Connes, consultant chez HSC, de nous présenter ses travaux de thèse en droit sur la sécurité des systèmes de vote. Après un rappel des problèmes sécurité de l’automatisation des systèmes de vote actuels, l’auteur nous a proposé une solution qui permet à l’électeur de vérifier l’intégrité de son vote tout en assurant le secret. Cette solution est basée sur l’émission d’un reçu associant une marque (anonyme et aléatoire) au vote permettant la vérification sur un site Internet de la prise en compte du suffrage. La préservation du secret est assurée par l’affichage, sur le reçu, de tous les autres choix possibles, associées à des marques correspondant à des votes antérieurs. De cette façon, si le reçu est récupéré par un tiers, nulle information ne lui permet de deviner le choix du votant. De plus, l’électeur a la possibilité de vérifier les autres choix figurant sur son reçu. En conclusion après les commentaires du public, nous pouvons déduire que cette solution est un peu lourde à implémenter sachant que la mise en œuvre de la vérification du vote nécessite la participation de tous les votants.

La seconde conférence de l’après midi était animée par François-Xavier Bru et Guillaume Fahrner, étudiants en Mastère Spécialisé à Télécom Bretagne. Les orateurs nous ont présenté le résultat d’une expérience intéressante visant à tester le niveau de sécurité et de contrôle des applications Facebook. A l’aide d’une application « Who Crashed You » développée par les auteurs, ceux-ci ont pu récolter des informations personnelles sur les utilisateurs l’ayant installé. La création de profils fictifs, le ciblage des centres d’intérêts/des tranches d’âge, ont permis de faciliter le système de diffusion de l’application. En conclusion, l’étude permet de montrer l’absence de contrôle sur la création d’applications intégrées et la facilité de propagation de malwares sur les plateformes sociales. Une évaluation de ces risques doit être faite au sein des entreprises ainsi qu’une sensibilisation des utilisateurs.

Pour info, si Facebook était un pays, il serait classé troisième mondial en nombre d’habitants (avec 350 millions d’utilisateurs).

En fin d’après midi, début des « rump sessions », 4 minutes par rump. Il s’agit de mini exposés présentés par des personnes du public sur un sujet de leur choix (analyse de mémoire flash de téléphone portable, outil datamining Netglub, projet de site web Security Garden lié à la sécurité, ExeFilter pour les PDF malicieux…).

Lors de cette fameuse séance de Rumps, nous avons pu assister à une présentation intéressante de Mouad Abouhali de l’équipe Security Compliance de Devoteam, intitulée « Weblogic for fun && profit ». L’objectif de la présentation était de mettre en avant la possibilité d’attaquer anonymement la JNDI de l’outil. En fait, le serveur Weblogic offre une interface RMI qui permet d’accéder aux objets publiés au niveau de la JNDI. A l’aide d’une rapide démonstration, Mouad a mis en évidence la possibilité d’accéder à une base de donnée Oracle liée à l’outil Weblogic via le protocole T3 et cela sans la moindre authentification.

Pour finir, la Rump Kesse SSTIC : Chiffres de l’édition 2010 du SSTIC, avec 450 places écoulées en 25 heures, près de 2/3 du budget passe dans les pauses et repas, 467 pages dans les actes, et un taux d’acceptation de 60% pour les soumissions de papier. PS : 27 est le nombre de femmes inscrites cette année.

Globalement, les conférences de ce deuxième jour étaient de très bonne qualité. Mon coup de cœur : la sécurité des cartes réseaux. Belle démonstration d’une prise en main à distance qui permet de mettre en évidence les faiblesses des cartes réseau, qui font partie aujourd’hui des composants les plus exposés aux menaces SI. 

Adel Hamdi

Le commencement :

Du changement en vue pour cette édition 2010 du SSTIC. En effet, la fluidité de l’enregistrement n’a pas échappé aux habitués. Celle-ci était due en grande partie aux badges à imprimer soi–même, ce qui a permis de commencer les conférences à l’heure.

Conférence n°1  Systèmes d’information : les enjeux et les défis pour le renseignement d’origine technique

Présentée par Bernard Barbier – Directeur Technique (DGSE)

C’est dans le noir absolu (sans compter les reflets des écrans sur les visages des participants), et rideaux tirés, que M. Barbier présente à l’assemblée la DGSE, son historique et ses activités. La présentation enchaine sur les missions de la Direction Technique :

• voir (satellites de surveillance)
• sentir (par des capteurs physiques: température, tremblements, radio-activité)
• écouter (interception des communications, hors territoire français, etc.)

Ainsi que sur les missions spécifiques au monde de l’informatique :

• Retro-conception (faisons-nous réellement confiance aux éditeurs d’anti-virus ?)
• Traitement des métadonnées (concept de contenu/contenant)

M. Barbier décrit ensuite la lutte informatique du point de vue de la DGSE. Il est évident qu’au fil des années, la lutte informatique est devenue un enjeu majeur de souveraineté. Il déplore un retard de 10 ans par rapport à certains gouvernements, et les faibles taux de détection d’incidents.

En somme, une présentation sobre et efficace dont le but principal est d’informer les acteurs du secteur, mais aussi d’en recruter ;).

Conférence n°2  Tatouage de données d’imagerie médicale – Applications et Méthodes

Présentée par Gouenou Coatrieux – Telecom Bretagne

Le sujet du tatouage numérique (watermarking) est abordé sous un angle nouveau. Mais à quoi peut bien servir le tatouage numérique dans l’univers du docteur House ? Simplement à garantir l’intégrité de l’information (scan, radio, IRM, etc.) afin de s’assurer que le diagnostic se base sur une image saine ? Et bien non ! Il ne sert pas qu’à ça ! Il permet en outre aux assurances de se prémunir contre les fraudes.

A noter que le tatouage dans ce domaine n’est pas utilisé uniquement pour s’assurer de la sécurité (dans le sens de fiabilité) de l’image. Il permet l’insertion de métadonnées afin de garantir le bon stockage de l’information au sein d’une base de données, mais aussi le stockage de certaines informations du patient (pathologie, snapshot du dossier patient, etc.).

Cependant, à l’issue de cet exposé, M. Coatrieux met en garde contre les risques d’altération de l’image après un tatouage ; effet de bord non négligeable qui pourra engager le pronostic vital du patient…

Conférence n°3 : Visualisation et Analyse de Risque Dynamique pour la Cyber-Défense

Présentée par : Philippe Lagadec – NATO C3 Agency

Le problème est posé d’emblée : avons-nous les outils adéquats permettant d’avoir une vue d’ensemble de l’état de l’infrastructure en temps réel ? (En termes de compromission des machines, de machines vulnérables)

Pour ce faire, Phillipe Lagadec présente deux projets issus des laboratoires de recherche et développements de l’agence NC3A de l’OTANT :

• CIAP (Consolidated Information Assurance Picture)
• DRA (Dynamic Risk Assessment)

L’OTAN oriente ses recherches sur la cyberdéfense. Dans ce cadre, un PDCA spécifique au domaine militaire est présenté :

• Observe : Logs , IDS, supervision
• Orient : Corrélation des informations, visualisation
• Decide : Aide à la décision, simulation
• Act : contre mesure, reconfiguration du réseau

Pourquoi l’OTAN développe-t-elle ses propres outils ? Tout simplement parce que les outils actuels, tels que les SIEM, n’effectuent que la phase « Observe » et très peu de « Orient ». J’invite donc tous les acteurs du domaine de la supervision et de la corrélation de logs à voir les supports de la présentation ici.

Visuellement riche, l’outil CIAP avec son module de visualisation googleEarth® laisse rêveur. Hélas, il ne sera utilisé qu’en interne. Quant au DRA, aucune démonstration, effet démo et intransigeance des organisateurs concernant le temps de présentation oblige.

Conférence n°4 CASTAFIOR : Détection automatique de tunnels illégitimes par analyse statistique

Présentée par : Fabien Allard et Mathieu Morel – Thales

Messieurs Allard et Morel nous présentent ici les résultats du stage de Mathieu Morel concernant la détection de canaux cachés utilisant un flux chiffré.

Se basant sur différentes analyses statistiques afin de déterminer le type de protocole « encapsulé » dans le flux chiffré (https), la méthode attire l’attention par sa rapidité de traitement des flux et sa faible empreinte sur le réseau. Cependant, comme toute méthode statistique, M. Morel n’hésite pas à afficher les taux d’erreur de la technique.

Jargon mathématique et graphes étayaient la présentation, mais seule une lecture attentive de l’acte permettra de juger de la pertinence de cette méthode utilisée en production.

C’est non sans humour que je finirai sur la citation de Sir Winston Churchill : « Je ne crois aux statistiques  que lorsque  je les ai moi-même  falsifiées. »

Conférence n°5 : Réflexions pour un plan d’action contre les botnets

Présentée par : Eric Freyssinet – Lieutenant-colonel en Gendarmerie

Le Lieutenant-colonel Freyssinet fait partie des invités du SSTIC2010. Il profite donc de l’occasion pour nous présenter les activités de la gendarmerie nationale française dans le milieu de la cyber criminalité. Il détaille plus précisément les liens avec Interpol et leurs actions contre les botnets.

Présentant un historique des cas ayant alimenté l’actualité de ces dernières années, M. Freyssinet dresse un bilan factuel de la situation :

• Mise en place de pole de réflexion inter–agences permettant des actions de détection et de réaction
• Action de sensibilisation de la population (entreprise, utilisateur, etc.) afin de diminuer le taux d’infection et donc de propagation
• Evolution de la législation dans le but d’aider les agences à agir en dehors de leurs juridictions et effectuer des actions d’infiltration des réseaux de botnet

D’une manière générale, cette présentation nous informe des actions effectuées et futures dans le cadre de la lutte contre les botnets (implicitement contre le SPAM).

Conférence n°6 : virtdbg: un débogueur noyau utilisant la virtualisation matérielle

Présentée par : Christophe Devine et Damien AUMAITRE -  Sogeti

Virtuosité et réel travail de recherche ! Cette conférence démontre encore une fois les capacités des orateurs à contourner les protections mises en place sur les derniers systèmes d’exploitation de Microsoft®.

Utilisant un accès DMA à partir d’un bus PCI, cette technique permet le contournement des protections offertes par PatchGuard et l’obligation de signature des drivers avant leurs chargements.

Il est difficile de ne pas être technique en résumant cette présentation. J’invite donc les curieux à voir les actes disponibles sur le site du SSTIC. Mais afin de rendre la chose plus accessible cette technique pourrait se décrire comme telle : les accès (les Hooks IDT) s’effectuent à l’insu du Patchguard (sorte de gendarme des accès) quand ce dernier ne regarde pas J .

Il va sans dire que ce type de débuggeur permettra le traçage de codes malicieux, qui sont de plus en plus habiles à détecter les environnements émulés ou virtualisés.

Conférence n°7 : Analyse de programme par traçage

Présentée par : Daniel Reynaud,  Jean-Yves Marion, Wadie Guizani – Université de Nancy LORIA

Utilisant  l’analyse dynamique afin de mettre en évidence les lacunes d’une analyse binaire (statique), cette méthode permet le traçage des appels indirects et autre accès difficilement détectable par le biais de l’analyse binaire. À plus forte raison lorsqu’il s’agit d’analyser des programmes malveillants ayant un code auto-modifiant.

TraceSurfer (l’outil d’analyse développé) permet d’analyser le comportement des programmes en mémoire en générant des graphes d’appels, ainsi que des traces exploitables par IDA. Cet outil ajoute indéniablement une brique solide à l’analyse binaire, et éclairera surement un peu plus les longues nuits passées à comprendre les obscurs détours d’un programme malicieux.

Conférence n°8 : Intéressez-vous au droit avant que le droit ne s’intéresse à vous

Présentée par : Eric Barbry -  Avocat au Barreau

Dernière conférence de la journée, Mr Barby ne mâche pas ses mots et n’économise pas son énergie afin de nous démontrer l’implication de tout le monde vis-à-vis des nouvelles (et anciennes !) lois qui régissent le droit numérique.

Axant dans un premier temps sa présentation sur les devoirs, de plus en plus nombreux et lourds à porter, d’un RSSI. Maitre Barby dresse un tableau complet des lois susceptibles d’apparaitre dans la vie d’un SI (et donc dans la vie d’un RSSI).

Ses talents d’orateur et son assurance digne d’un one-man-show captivent la salle. Mais sous un ton bon enfant, Maitre Barbry décrit la réalité telle qu’elle l’est : Nul n’est censé ignorer la loi. Et cette année fut riche en nouveautés et modifications, mettant ainsi le RSSI (et même nous acteurs de la sécurité) dans une position où l’ignorance de l’applicabilité de loi dans un tel ou tel domaine serait associée à une négligence professionnelle.