Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

SSTIC 2017

Retour sur le SSTIC 2017

Du 7 au 9 juin 2017, CONIX s’est rendu à la 15ème édition du SSTIC dans les locaux de la faculté de Droit à Rennes. Cette conférence a augmenté cette année sa capacité d’accueil à 600 personnes au lieu de 450 les années précédentes. Dans cet article, nous allons parler de quelques conférences qui ont attiré notre attention. Le SSTIC 2017 en quelques chiffres :
– 39 soumissions proposées pour 24 acceptées (14 longues +/- 45mn, 5 courtes 15mn et 5 présentations d’outil)
– 4 conférences invitées
– Plus de 38 000€ dépensés dans le social event (oh!)

On retrouve les acteurs majoritaires de la cyber-sécurité française dont l’ANSSI qui pour la première fois a effectué une présentation officielle. Les thèmes sont variés même si on peut quand même remarquer deux lignes directrices : l’analyse de binaire et la détection de PDF malveillants (un match OCaml vs. Rust grandiose!). Cet article n’a pas pour but de décrire précisément chaque présentation. Vous pouvez toutes les retrouver en version PDF et vidéo sur le site du SSTIC (www.sstic.org).

1er jour – SSTIC 2017 :
Cette nouvelle édition a été ouverte par Octave KLABA (directeur général d’OVH) avec une présentation de l’anti-DDoS utilisé par l’hébergeur français nommé VAC.
Ce nom est tiré du mot anglais Vaccum, ou aspirateur en français. On peut comprendre déjà globalement le principe de ce système qui est d’aspirer et nettoyer une ou plusieurs attaques DDoS.
Chaque centre OVH a un VAC qui sert à nettoyer le trafic avant de le transmettre au réseau interne. Chaque VAC a une capacité de 160Gbps et peut fonctionner seul ou avec les autres VAC, si l’attaque est importante. Lorsque l’on assemble tous les VAC actuellement en place, OVH a une capacité de traitement de flux de 2,5Tbps. Des chiffres impressionnants qui vont certainement évoluer à la hausse dans le futur.

Nous avons ensuite « quitté » une sphère purement réseau pour revenir vers une présentation orientée sur le service WSUS: son fonctionnement selon l’architecture en place et les nouveaux scénarios d’attaques. Cette présentation nous a été faite par Romain COLTEL et Yves Le PROVOST.

Dillion PARIENTE de Dassault et Julien SIGNOLES du CEA nous ont présenté leurs travaux de recherche sur la méthode CURSOR qui a pour objectif de mettre en place une contre mesure lors du déclenchement d’une CWE (Common Weakness Enumeration) en combinant plusieurs modules sur le code source d’un programme. À l’aide de Frama-C, et de Value il est possible d’annoter mathématiquement la probabilité des valeurs d’une variable en ACSL à un moment précis lors de l’exécution du programme en faisant abstraction d’interprétation.

La méthode CURSOR consiste à combiner le résultat de Value (ou d’autres analyseurs) et ensuite d’y appliquer le plugin E-ACSL pour transformer les annotations en code machine. Il sera alors possible d’y ajouter du code spécifique lors d’une potentielle erreur d’exécution du programme. La combinaison de ces plugins permet en conséquent de déclencher une action lors d’une tentative d’exploitation (log, alerte, ou autre…), ce code implémenté correspond à notre contre mesure. Cette méthode permet de gagner considérablement du temps lors de la recherche de vulnérabilité dans un programme dont on possède le code source.

Pour la première fois cette année, nous avons eu droit à une session de rumps privées (non filmées). Qu’est-ce qu’une rump ? Sa traduction littérale est « croupion » en français. Mais cela ne touche pas cet endroit sensible. Une rump est une présentation très courte (3 à 5 min) sur un thème choisi par l’orateur, technique ou pas, humoristique ou non et avec un support de présentation. Si la présentation dure plus de 5mn, le public a le choix entre applaudir pour y mettre fin, ou ne rien faire pour qu’elle continue.

Le SSTIC 2017 a aussi inauguré une nouvelle arme pour virer les orateurs qui ne veulent pas quitter la scène après les applaudissements du public, le « sulfator » :

Nous retiendrons une rump « gonflée » de deux anonymes sous hélium qui nous ont présenté un framework de reverse-engineering nommé Miasm! Le premier jour de conférence se clôture sur un cocktail.

2ème jour – SSTIC 2017 :

Nous commençons jeudi matin avec une présentation particulièrement intéressante d’Anaïs GANTET (Airbus Group Innovation) sur la recherche de vulnérabilité système dans les hyperviseurs (VMWare & Ramooflax) via un système d’exploitation minimaliste CrashOS (open-source – Nicolas RUFF approuve!).

Guillaume JEANNE nous a présenté Binacle, un outil en RUST développé par l’ANSSI qui a pour vocation d’indexer des données binaires dans une base de données projetée en mémoire. Cette base de données peut alors être questionnée afin de rechercher des similarités entre différents programmes (séquence quelconque d’octets). Très utile par exemple dans le cas d’une réponse à incident, il permet de parcourir par exemple un dossier (C:\Windows), alimenter la base de données en découpant chaque fichiers en N-gramme (integer) et l’identifiant de ce dernier.

Le temps de la recherche en base est très rapide, par exemple si on recherche la fonction « GetProcAddress », Binacle renvoie 10006 résultats en 1.56secondes (avec une configuration spécifique). Il est alors possible d’appliquer une règle Yara sur les résultats trouvés afin de s’assurer qu’il y ait le moins de faux positif possible. L’outil a la possibilité de générer une règle Yara par rapport à la recherche effectuée. L’outil a la particularité d’être multiplateforme et OpenSource, il est accessible sur Github.

La DGA a présenté un outil collaboratif pour faire de la rétro-ingénierie nommé YaCo. Cet outil est un plugin IDA en Python/C++ OpenSource disponible sur Github, le C++ est de plus en plus présent dans le projet pour des raisons de performances. Dans la même idée qui a été implémentée dans Polychombr ou encore First, ce plugin IDA permet de partager chaque action effectuée pendant une analyse de programme (renommage de fonctions/variables, ajout de structures…) sur un serveur Git au format XML, après synchronisation manuelle de l’utilisateur ! L’outil a été testé par au moins 5 utilisateurs simultanément dans les bureaux de la DGA. Si il y a problème de merge dans le cas où par exemple deux utilisateurs changent le même nom du variable, le dernier à synchroniser aura la possibilité de faire le choix sur quel commit garder.

Après la pause déjeuner, nous avons eu droit à une présentation beaucoup moins technique mais très intéressante de Martin UNTERSINGER, journaliste chez Le Monde, sur le piratage du DNC (Democratic National Committee) de Hillary CLINTON pendant les élections américaines.
Plus exactement cette présentation avait pour but de souligner le brouillard qui entoure la cyber-sécurité par rapport aux informations (techniques ou non) communiquées à la presse, les difficultés de voir le vrai du faux afin d’informer au mieux la population.
Comme chaque année le SSTIC propose un challenge, une sorte de mini-jeu à plusieurs niveaux, qui a été réalisé pour cette édition par David BERARD, Nicolas IOOS et Fabien PÉRIGAUD (ce dernier qui a relativement fait « rager » les candidats au challenge).

Au menu : Une analyse de trace d’analyseur logic (programmation NAND), rétro-ingénierie de filtre eBPF (extended Berkley Packet Filter), rétro-ingénierie OpenRISC (or1k) et RISC-V, crack-me Windows avec des VM imbriquées et auto exploitation, et enfin la résolution d’un QR Code – Labyrithe (source de beaucoup de rage). Eric DANGEREUX fut le premier à avoir terminé ce challenge, en 4 jours, 3 heures et 32 minutes, contre 9 jours et 20 heures pour le second et 10 jours et 4 heures pour le troisième.

Le jeudi se termine sur le mythique Social Event Place des Lices. En dehors de la boisson et des (très bons) petits fours, nous avons pu fêter la 15ème édition du SSTIC autour d’un gâteau d’anniversaire avant de réaliser un barathon rue Saint-Michel. Aucun débordement à déplorer mais des réveils difficiles le vendredi matin.

3ème jour- SSTIC 2017 :
Le SSTIC 2017 se termine sur un RETEX concernant l’incident de TV5Monde. Pour rappel, cet incident (ou plus exactement cyberattaque) a entraîné l’arrêt de la diffusion des programmes de TV5Monde (toutes ses chaînes thématiques), la publication de messages de soutien à l’EI sur les réseaux sociaux et la perte d’accès aux mails internes. Il est important de noter qu’il est rare qu’une victime se manifeste pour faire un retour sur un incident de sécurité. L’ANSSI s’est chargée de nous apporter une vision plus détaillée de l’attaque – dans laquelle on retrouve toutes les étapes d’une APT sauf le sabotage – L’analyse qui en a été faite, et la stratégie de remédiation pour remettre le SI dans un état sain.

Nous n’avons pu obtenir d’informations détaillées concernant les auteurs de l’attaque ou les traces, notamment les IoC alors qu’un fichier « connectback.dll » a été trouvé par les auditeurs (donc au moins un hash). Un indice a cependant été inséré quant à la machine de l’attaquant, nommée « Kali-PC ». Toute la présentation est disponible en vidéo ici.

La prochaine édition du SSTIC se passera dans le Couvent des Jacobins à Rennes. Un nouveau site plus grand, plus luxueux aussi et qui permettra d’accueillir plus de 800 personnes!

By | 2017-07-05T11:02:29+00:00 28/06/2017|Conférences|