Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

 

Symposium sur la sécurité des technologies de l'information et des communications

L’édition 2019 du Symposium autour de la sécurité des technologies de l’information et des communications s’est tenu à Rennes au Couvent des Jacobins le 5,6 et 7 Juin. Cette année représente la 16ème édition consécutive du SSTIC. Parmi les 26 conférences, trois sujets nous ont interpellé et offrent des pistes de réflexion intéressantes sur des domaines pertinents à venir dans la cybersécurité.

Bug Bounty ou former les développeurs à la sécurité ?

La première intervention ayant retenu notre attention fut celle du keynote speaker, Alex Ionescu. Cet auteur de la série de livres « Windows Internals » et véritable référence dans le monde du Reverse Engineering des produits Microsoft a présenté au SSTIC un problème de philosophie dans le monde du développement. En effet, on constate de plus en plus le choix de privilégier les campagnes de Bug Bounty à posteriori du développement, au lieu de miser sur une sensibilisation à la sécurité et une formation adéquate dans ce sens pour les développeurs, ce qui est attendu du « security by design » ou sécurité dès la conception.

Les Bug Bounty rapportant beaucoup plus que le salaire moyen d’un développeur, Alex Ionescu fait remarquer que le nombre de Bug Hunters augmente considérablement depuis quelques années et que le nombre de développeurs sensibilisés à la sécurité informatique reste en déclin. Une solution envisagée serait peut-être de payer pour les correctifs et autres patchs à l’inverse de payer pour la découverte de vulnérabilités. Il dit notamment dans sa conclusion : « Il y a de plus en plus de Bug Hunters et de moins en moins de développeurs, tellement qu’un jour il n’y aura peut-être plus personne pour écrire les bugs ».

Un sujet fort intéressant qui soulève un vrai débat de fond et qui confirme ce que nous constatons au quotidien dans nos métiers d’auditeurs, ainsi que nos recommandations sur les bonnes pratiques de développement.

 

« Side-Channel attacks » sur les « Hardware Wallets »

La première matinée du SSTIC 2019 s’est caractérisée par plusieurs conférences portant sur le domaine des attaques et analyses par canaux auxiliaires.

Une a particulièrement retenu notre attention, « Side-Channel assessment of Open Source Hardware Wallets« , présentée par Charles Guillemet, Manuel San Pedro et Victor Servant. Cette conférence portait sur l’analyse d’un portefeuille hardware pour les monnaies cryptographiques. Lors de la conférence, les intervenants ont présenté deux profils d’attaques par canaux auxiliaires afin de récupérer un code PIN saisi par un utilisateur et une clé privée servant pour les signatures.

Pour rappel, les attaques par canaux auxiliaires se caractérisent par l’exploitation de vecteurs d’attaques non traditionnels, tels que la consommation d’électricité, le temps d’exécution, les émanations de chaleur et/ou électromagnétiques. Les attaques décrites durant cette présentation ont été menées en exploitant la trace de consommation d’électricité du portefeuille hardware.

Avec la démocratisation des cryptomonnaies et notamment l’arrivée de Libra, ce type de portefeuille pourrait se répandre et l’on pourrait constater de plus en plus d’attaques de ce type.

 

 

Arrivée des ordinateurs quantiques dans la cryptographie

Le troisième thème d’avenir présenté au SSTIC par Xavier Bonnetain portait sur les effets qu’aurait la démocratisation des ordinateurs quantiques dans la cryptographie.

Dans le domaine de la cryptographie symétrique, un ordinateur quantique permettrait de réduire considérablement le coup d’une recherche exhaustive sur les clés. Dans le domaine de la cryptographie asymétrique (notamment l’algorithme RSA ou l’échange de clé par Diffie-Hellman), un ordinateur quantique permettrait également de réduire considérablement le coût de la factorisation et de la résolution du problème du logarithme discret, au point où ces deux systèmes deviendraient obsolètes. Il a notamment parlé du processus de standardisation en cours lancé par le NIST. Cette standardisation concerne des algorithmes de chiffrement résistant à la puissance de calcul des ordinateurs quantiques.

Cette démocratisation pourrait faciliter le « cassage » des systèmes de chiffrement pourtant considérés comme robustes aujourd’hui et notamment utilisés dans le système bancaire. Il est donc primordial dès à présent de s’y préparer et de développer des algorithmes cryptographiques résistants à ce type d’ordinateur, et surveiller les avancées dans ce domaine.

 

Au travers de ces trois thèmes d’actualité dans la Cybersécurité, le SSTIC 2019 a tenu ses promesses et ouvre de nombreuses pistes de réflexions pour les années à venir.

By | 2019-07-02T10:43:04+00:00 02/07/2019|Conférences, Conix Security, Technique|