Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

SSTIC 2010SSTIC 2010 : Retour à froid

Pour la 8ème année, un pèlerinage un peu particulier s’est déroulé à Rennes le 9, 10 et 11 Juin.  Les pèlerins de CONIX, qu’ils soient chauves en costard cravate ou chevelu en short sont tous venus participer à cette grand-messe : le SSTIC 2010.


Cette année s’inscrit sous le signe de la nouveauté en commençant par l’inscription (toujours aussi rapide: 450 inscrits, en 25h), en passant par les nouveaux badges imprimables jusqu’à la Wave google pour faire un compte rendu collaboratif. Bref, cette année le SSTIC 2010 a été rempli de nouveautés et nous y étions !
Inutile de vous présenter le SSTIC, la conférence sécurité de référence en France qui se déroule sur 3 jours et regroupe autour des thématiques techniques et parfois organisationnelles les spécialistes en sécurité des systèmes d’information.
Depuis le premier jour, des comptes rendus en direct, en différé, collaboratifs, individuels ainsi que des tweets fleurissent sur le net, nous allons tenter à notre tour de vous faire un rapide retour, à froid, sur cette édition SSTIC 2010.
Pour la conférence d’ouverture Monsieur Bernard Barbier, directeur technique de la DGSE a commencé par présenter les différentes missions de la DGSE et sans rentrer dans les détails (secrets d’État oblige) quelques applications concrètes de leurs travaux au jour le jour. Pour terminer, il a vanté la compétence et l’efficacité des services français pour ensuite faire un appel à candidature pour un besoin, dit-il, de de plus de 100 ingénieurs par an.
S’en suit pour cette première journée du SSTIC 2010, des présentations techniques :
  • Une présentation sur le tatouage des données d’imagerie médicale avec les problématiques liées à l’intégrité des informations, à la protection des dossiers médicaux et à la traçabilité des accès au dossier par les médecins.
  • Phillipe Lagadec de l’OTAN/NC3A a présenté deux outils au stade de prototype développés par le département R&D de l’OTAN: l’un, nommé DRA, permettant de faire des analyses de risque en temps réel et l’autre, CIAP un outil de visualisation et d’aide à la décision basé sur différentes vues (nmap, google earth, tree map …).
  • CASTAFIOR est un outil de détection des tunnels illégitimes par analyse statistique, présenté par Thalès. Une partie théorique sur les différents moyens de détecter les tunnels cachés par apprentissage. Partant du principe que l’encapsulation ne change pas certaines caractéristique des paquets (taille moyenne, temps de réponse …) il est donc facile de détecter les tunnels avec, en prime, un taux de faux positifs faible, avoisinant les 5%. La solution a été présentée comme un complément des solutions déjà en place dans les entreprises pour lutter contre les fuites d’informations et les connexions  illicites au SI.
  • Virtdbg: un débogueur noyau utilisant la virtualisation matérielle par Christophe Devine et Damien Aumaitre de SOGETI. Ces travaux font suite au manque d’outils permettant le debogage en ring0 sous Windows 7 (étant donné les limitations de PatchGuard [réf 1]). La présentation très technique reprend une partie des travaux présentés au SSTIC 2008 par Damien sur les DMA .
  • Présentation sur l’analyse de programme par traçage et de l’outil TraceSurfer permettant d’analyser des binaires en s’appuyant sur les traces d’exécution mémoires. Il a été utilisé dans une étude d’analyse sur un nombre important de malwares avec des résultats intéressants comme par exemple, seuls 0,35% des malwares utilisent les mécanismes d’anti-virtualisation.
Et d’autres pas du tout techniques, comme celle d’Eric Barbry avocat au cabinet Alain Bensoussan qui a démarré sa présentation par la fameuse phrase : « nul n’est censé ignorer la loi », cette citation a rythmé l’ensemble de la présentation qui ciblait en particulier les DSI et RSSI, qui portent aujourd’hui de plus en plus le rôle d’homme-orchestre en engageant leur responsabilité sur tous les terrains. Et parmi, les dangers qui guettent les DSI/RSSI (et les internautes de façon générale) c’est l’évolution du référentiel juridique (loi sur les jeux d’argent, LCEN, HADOPI LSQ, LSI). L’avocat a terminé sa présentation par un conseil aux présents : « Intéressez vous au droit… avant que le droit ne s’intéresse à vous »
Le lendemain matin, les présentations ont commencé par les résultats du challenge de cette année organisé par l’ANSSI et qui consistait en l’analyse de la mémoire d’un téléphone portable sous le système d’exploitation Android. Puis les présentations s’enchainent à un rythme soutenu, pour parler de :
  • Sécurité de la plateforme d’exécution Java : présentation générale de l’architecture Java, suivie des différents problèmes de sécurité de la plateforme (failles de la JVM, bibliothèques standards …) et des proposition d’améliorations de la sécurité des applications JAVA.
  • Analyse de l’efficacité du service fourni par une IOMMU : la présentation reprend l’explication des attaques de type DMA pour présenter la solution que l’IOMMU [réf 2] est censé apporter, ainsi que les possibilités de contournement offerte par certaines technologies de processeurs.
  • Quelques éléments en matière de sécurité des cartes réseau par l’ANSSI. La présentation traite des failles dans le firmware des cartes réseau en particulier celles liées aux fonctionnalités de gestion distante fournies par les cartes Broadcom. Les conférenciers ont noté la réactivité du fabriquant, mais déplorent les délais des constructeurs à distribuer les correctifs.
  • Honeynet Project en 2010, une conférence invitée présentant une vision globale du projet Honeynet, les différents outils et papiers mis à disposition de la communauté. Sébastien Tricaud, CTO du projet a aussi fait la promotion des challenges proposés, des projets retenus au Summer Google of code (par exemple un outil d’anonymisation des traces).
  • La sécurité des systèmes de vote.
  • Applications Facebook : quels risques pour l’entreprise ? Avec ses 350 millions d’utilisateurs, Facebook est un environnement favorisant les échanges entre les utilisateurs au travers de photos, de commentaires mais aussi d’applications. C’est aux applications que ce sont intéressées les orateurs, dénonçant un manque de contrôle du code de ces applications que ni Facebook, ni les utilisateurs ne maitrisent. Ils ont présenté une méthode d’attaque selon laquelle, une dizaine de comptes fictifs distribuent une application « malveillante ». Les chiffres avancés dans le cadre de cette expérimentation sont assez intéressants : avec 23 profils créés et 5043 demandes envoyées le taux de retour est de 38,6%, avec des préférences pour les profils attractifs (photos féminines …) et cohérents (parcours scolaire, loisirs …).
Après, les traditionnels « rump-sessions » et social-event, la dernière journée fut rapide, mais très intéressante. Parmi, les sujets traités :
  • JBoss Application Server : exploitation et sécurisation, par R.Dubourguais – HSC. Il s’agit d’une présentation de JBoss AS, des mécanismes de sécurité intrinsèques à la solution, qui peuvent être implémentés et qui souvent ne le sont pas notamment concernant le contrôle d’accès au système et qui peuvent par rebond donner accès aux systèmes d’informations de l’organisation qui l’utilise.
  • Audit d’applications .NET. Le cas Microsoft OCS 2007 , par N. Ruff – EADS Innovation Works. Présentation initialement axée sur l’audit de l’application MS OCS 2007 [réf 3], mais qui par manque de temps s’est intéressé à l’audit des applications .Net de façon générale. Mise en évidence de la complexité et de la très grande difficulté à réaliser des audits sur les applications complexes. Selon Nicolas Ruff, les travaux sur ce type d’audit sont fort intéressants.
Pour la conférence de clôture de ce SSTIC 2010, Monsieur Pailloux directeur de l’ANSSI était présent pour nous présenter les différents défis de la cyberdéfense :
  • prolifération des armes du côté des citoyens
  • harmonisation du droit international
  • culturel : développement d’offres où la sécurité n’est pas la priorité
  • evolution des mentalités entre pays pour aller vers plus d’échange
Il a aussi présenté le rôle de l’ANSSI, dans la sphère SSI française qui est, entre autre, de constituer un centre de cyberdéfense, fournir des systèmes efficaces, répondre aux questions autour de la SSI, vérifier la sécurité des systèmes de l’État et faire de la communication sur le sujet auprès des grandes instances de l’État. Et … Et … pour finir l’ANSSI recrute 😉
Références :

[réf 1] Patchguard http://en.wikipedia.org/wiki/Patchguard

[réf 2] IOMMU: Input/Output Memory Management Unit  http://en.wikipedia.org/wiki/IOMMU

[réf 3] MS OCS 2007 : Office Communications Server http://en.wikipedia.org/wiki/Microsoft_Office_Communications_Server

By | 2017-07-27T10:33:33+00:00 05/07/2010|Conix Security, Veille|