Symposium sur la sécurité des technologies de l'information et des communications

Historiquement, la sécurité informatique a été un désastre et continue de l'être. De nombreux praticiens ont tenté de l'expliquer en termes de gestion des risques, de difficulté de communication, ou de manque d'éducation. En réalité il s'agit d'un problème social bien plus simple, mais pas soluble sans une redéfinition du comportement humain. En tout état de cause, les modèles économiques de la sécurité et de la gestion des risques sont totalement inappropriés.

Dans le cadre des tests de pénétration réalisés dans le cadre de la sécurité, peu d'actions développent une approche des "failles humaines". Or, il existe de multiples cas ayant démontré la fragilité du "maillon humain" qui peut entraîner des pertes importantes pour les entreprises. À ce titre, l'intervention porte sur les problématiques de failles humaines - opérationnelles, ou autres - exploitées par les "prédateurs informationnels" afin d'accéder à des informations diverses en fonction de leurs besoins.

La notion de prédateur informationnel regroupe l'ensemble des individus ayant pour objectif de collecter de l'information en provenance de sources humaines pour exploiter celle-ci. A ce titre, au-delà du social engineer bien connu (qui pourtant est souvent peu formé), on retrouve également dans cette catégorie, les opérationnels du renseignement industriel, les acteurs de la criminalité organisée, les arnaqueurs, etc...

Malgré des objectifs totalement différents, tous ces prédateurs ont un point commun : ils doivent disposer d'un accès aux informations sensibles de l'entreprise-cible afin d'exploiter ces dernières à leurs profits.

Notre propos est de présenter les principales approches exploitées par ces prédateurs pour mieux appréhender le risque sous-jacent à ces opérations par essence discrètes. L'auteur rappelle que les techniques/méthodes présentées sont dans la majorité des zones du monde considérées comme illégales et ne sont présentées ici qu'à titre informationnel afin d'illustrer notre propos.

À ce titre, l'auteur rappelle qu'il condamne formellement le recours à ces méthodologies pour accéder à des informations en dehors du cadre spécifique des tests de pénétration informationnelle, réalisés en accord avec l'entreprise cliente et dans un cadre juridique et méthodologique précis.

L'intervention met l'accent sur :

- la compréhension des failles humaines et son exploitation;

- l'identification des failles telle que réalisée par les prédateurs

- les méthodologies déployées par ces prédateurs pour collecter de l'information sensible.

Compte tenu de la sous-estimation régulière du risque que représente ces prédateurs informationnels, le premier objectif de l'intervention est de comprendre le mode de fonctionnement de ces derniers afin de pouvoir reproduire lors des tests de sécurité informationnelle les méthodologies de collecte, afin de mieux cerner les failles de son entreprise.

Le second objectif est de permettre d'appréhender le risque que représentent ces menaces dans le dispositif de sécurité mis en place par la société, afin de pouvoir mettre en place des mesures efficaces d'identification et de minimisation de ces risques.

-

Les outils d'évaluation automatisée de la sécurité des systèmes d'information ont fortement évolué ces dernières années. Ils sont passés de l'outil d'audit non intrusif à l'exploitation de vulnérabilités clé-en-main et en profondeur. Du fait de la possibilité d'utilisation malveillante ou mal contrôlée, cette nouvelle génération d'outils représente une menace à prendre en compte. Dans cet article, nous nous intéressons aux moyens de limiter les impacts de cette menace. En effet, une utilisation non maîtrisée de ces outils lors d'une évaluation peut dégrader le niveau de sécurité du système d'information audité. Ou encore, cette capacité intrusive utilisée à des fins malveillantes offre des moyens d'attaques puissants avec peu d'exigeances en termes de compétence. C'est pourquoi cet article propose l'étude de trois de ces outils parmi les plus connus, CORE IMPACT, Immunity CANVAS et Metasploit Framework. Après avoir mis en évidence les risques liés à ces outils, nous définissons des moyens de détecter leur emploi aux niveaux réseau et système. Nous présentons enfin des techniques de contre-mesure, visant à bloquer ou à contenir des attaques effectuées par ces outils.

Dans cet article, nous présentons les conséquences sur la sécurité des systèmes d'exploitation et des moniteurs de machines virtuelles de l'introduction involontaire d'un bogue ou volontaire d'un piégeage dans un processeur x86. Nous ne cherchons pas à évaluer le réalisme de la menace liée au piégeage ou a la présence d'un bogue matériel mais supposons l'existence d'un tel problème et analysons son impact sur la sécurité des systèmes mettant en oeuvre le composant piégé. Nous montrons notamment comment il est possible pour un attaquant de piéger de manière simple et générique un processeur pour être ensuite capable à partir de privilèges minimes d'obtenir les privilèges maximaux sur un système en contournant les mécanismes de sécurité en théorie imposés par les moniteurs de machines virtuelles et les systèmes d'exploitation. Nous présentons également les difficultés pratiques de l'exploitation et proposons des preuves de concepts à l'aide de l'émulateur libre Qemu modifié. Les pièges dont il est ici question sont tous exploitables au niveau logique sans accès physique au matériel.

Cet article présente une analyse approfondie d'un logiciel espion dédié au vol de mots de passe des utilisateurs de banques en ligne : le malware Anserin. Cette analyse dissèque le fonctionnement de ce malware selon plusieurs angles : sa présence sur le système, son mécanisme de vol des mots de passe, son protocole de communication réseau, ainsi que les techniques utilisées pour déjouer les protections mises en place par les banques, telles que les claviers virtuels. Cet article présente également les évolutions observées au cours de l'année 2007 ainsi que les méthodes et outils employés pour analyser et suivre l'évolution de ce malware.

L'objet de cet article est de présenter un outil de déboguage générique développé au CELAR. GenDbg est un framework permettant de déboguer tout type d'application sur différentes architectures. Il fusionne à travers une interface commune les fonctionnalités de plusieurs outils.

Le Data Center pourrait être présenté comme « l'écrin » protégeant les matériels et infrastructures nécessaires au traitement, à la transmission et au stockage des données d'une ou plusieurs sociétés.

Plus précisément, il se caractérise par un environnement multi-technique complexe : électricité, climatisation, incendie, contrôle d'accès, plancher technique, GTB, asservissements et gestion rigoureuse du site. La fiabilité et la conception cohérente de cet environnement technique garantissent la continuité de service du Data Center.

Cette exigence s'accompagne aujourd'hui de nouveaux enjeux économiques et environnementaux qui rendent l'exploitation des centres informatiques encore plus sensible et stratégique. Comment concilier continuité de service et optimisation des coûts énergétiques ? Sécurité et urbanisation évolutive ? La compréhension des besoins et de leur évolution, la connaissance approfondie des matériels et de leur environnement, l'analyse des risques et impacts, sont des étapes déterminantes dans tout projet de Data Center. Qu'il s'agisse de le construire, de le rénover ou de le déplacer.

Ce papier présente quelques familles de protections que l'on peut retrouver sur des binaires, malicieux ou non, dont le but est de freiner le reverse-engineering.

Nous verrons également les limitations de celles-ci, et comment il est possible de les supprimer de manière largement automatique.

Enfin nous illustrerons ces concepts par la résolution du challenge "T2", qui implémente une machine virtuelle obfusquée, au moyen de l'instrumentation du désassembleur de Metasm. Celui qui fond dans la bouche et pas dans la main.

ERESI est une interface pour l'analyse de code machine sur les systèmes d'exploitation UNIX. Nous présentons ses fonctionnalités d'analyse statique et dynamique directement utilisable depuis un langage spécifique au domaine du reverse engineering, du debugging et de l'audit de programmes sans les sources. Notre interface est organisée en sous-ensembles de commandes permettant d'exécuter des routines de programmes en langage ERESI, ce qui facilite l'automatisation des taches de d'audit de vulnérabilités, d'analyse d'exécutable, de vérification d'intégrité, ou de journalisation des événements internes des programmes. Les techniques de manipulation binaire sur disque ou en mémoire exportées par ERESI permettent l'analyse d'environnements protégés tel un Linux compilé avec des protections d'exécution de la mémoire (PaX) ou lors d'introduction d'aléa dans l'espace d'adressage (ASLR).

Dans cet article, nous montrons comment nous avons étendu notre analyse au mode superviseur en permettant d'inspecter l'état du noyau Linux en temps réel, de le modifier et de le debugger, d'y injecter du code C compile, et de détourner les fonctions du noyau même si celle-ci ne sont pas exportées, et ce directement dans le langage ERESI. Nous avons décline ces nouvelles fonctionnalités en deux nouveaux outils : Ke2dbg (Kernel Embedded ERESI debugger) et Kernsh (The Kernel shell).

Cet article porte sur les attaques opérationnelles à l'encontre de la cryptographie. Le problème est abordé sous plusieurs angles, l'objectif étant de ne pas recourir aux classiques cryptanalyses. Pour cela, nous nous appuyons sur des erreurs dans l'implémentation ou dans l'utilisation, ou encore sur des fuites d'informations.

Tout d'abord, nous examinons les attaques à l'encontre des clés. Nous les recherchons dans les fichiers binaires, dans la mémoire, ou dans des fichiers mémoire (comme le fichier d'hibernation). Nous montrons également plusieurs cas de mauvaise initialisation de générateurs aléatoires, réduisant fortement l'entropie de la clé mais aussi les problèmes de portes dérobées.

Ensuite, nous nous mettons dans la position d'un attaquant quand il est confronté à de la cryptographie. Il doit commencer par détecter que de tels algorithmes sont employés, puis les identifier. Nous présentons des solutions à ces problèmes, aussi bien lors de l'analyse de binaire que sur des flux de communication.

La partie suivante illustre ces résultats au travers de l'analyse d'un protocole de communication réseau fermé. L'identification du format des paquets se fait en analysant le comportement du programme, en ayant préalablement identifié tous les éléments de cryptographie.

Parfois, un attaquant n'a accès qu'aux flux chiffrés, sans disposer des outils capables de générer ce flux, ou des moyens pour casser le chiffrement. Dans ces situations, nous constatons qu'il reste souvent des fuites d'information qui se révèlent largement intéressantes. Nous montrons comment les méthodes classiques de supervision de réseau, de forensics, ou encore de data mining permettent de récupérer des informations pertinentes. Nous construisons par exemple des sociogrammes susceptibles de révéler les éléments clés d'organisation, le type d'organisation, etc.

Enfin, la dernière section porte sur l'attaque des flux chiffrés. On distingue deux types d'attaques, selon qu'on a connaissance ou non du chiffrement employé. Quand on ignore la nature de la protection, les tests statistiques usuels d'évaluation des algorithmes s'avèrent parfois suffisants. Toutefois, dans la pratique, il faut mener des attaques spécifiques à l'algorithme. À l'aide d'hypothèses simples, nous réduisons la complexité des attaques théoriques, pour les mettre à la portées des moyens actuels.

Les progrès réalisés ces dernières décennies dans les domaines de la microélectronique, de la micromécanique, et des technologies de communication sans fil, ont permis de produire à un coût raisonnable des composants de quelques millimètres cubes de volume. De ce fait, une nouvelle branche s'est créée pour offrir des solutions économiquement intéressantes pour la surveillance à distance et le traitement des données dans les environnements complexes et distribués : les réseaux de capteurs sans fil. Ces réseaux ont un intérêt particulier pour les applications militaires, environnementales, domotiques, médicales, et bien sûr les applications liées à la surveillance des infrastructures critiques. Or, de part de leurs caractéristiques (absence d'infrastructure, contrainte d'énergie, topologie dynamique, nombre important de capteurs, sécurité physique limitée, capacité réduite des noeuds,...) la sécurisation des réseaux de capteurs est à la source, aujourd'hui, de beaucoup de défis scientifiques et techniques. Cet exposé présentera les défis liés à la sécurisation des réseaux de capteurs. Nous présenterons, également, les activités de l'INRIA dans ce domaine (échange de clés, agrégation des données,...) ainsi que quelques uns de nos résultats récents.

Devant l'incapacité consommée des modèles de sécurité réseau classiques à fournir un niveau de protection approprié, en particulier face au nomadisme, l'idée d'aller vers une suppression assumée des barrières fait depuis quelques années son chemin au sein de la communauté de la sécurité informatique.

Le présent article vise à présenter ce qui se cache derrière le terme barbare de "dépérimétrisation" et d'en discuter les apports et les défauts pour la protection du patrimoine informationnel. La question de la faisabilité technique sera en particulier soulevée, qu'il s'agisse de l'état actuel de l'art ou en anticipation d'avancées qu'on espèerait majeures.

Tout ceci pour tenter de répondre à la question de savoir si la "dépérimétrisation" est une solution viable et pérenne, ou rien de plus qu'une simple lubie passagère comme le monde de la sécurité informatique en connait régulièrement...

Les prestations d'audit et de tests d'intrusion sont utiles aux entreprises qui souhaitent mettre à l'épreuve la sécurité de leur environnement et évaluer leur résistance à un certain niveau d'attaque. Toutefois, si un test d'intrusion « réussi » (c'est-à-dire permettant de démontrer des failles dans la sécurité d'un SI) est un argument de poids pour la sensibilisation des acteurs et en particulier des décideurs, il n'est pas moins sans risques. L'objectif de la présente conférence sera ainsi d'examiner les « effets de bord » possibles, tant du point de vue technique que juridique, et d'envisager les mesures à mettre en oeuvre (notamment au plan contractuel) ou au contraire, ce qu'il convient d'éviter.

...

Les architecture supportant des environnements collaboratifs apportent de nombreux problèmes de sécurité. Un de ces environnements est les bureaux distants qui fournissent un environnement graphique distant à travers le réseau à des clients légers. Comme un grand nombre de client légers ont accés aux même machines, les risques de conflits et d'interférance doivent être soigneusement étudiés. Même si il existe de nombreuses solutions permettant d'améliorer la sécurité d'une machines, aucune ne proposent une vraie solution permettant de sécuriser une architecture de bureaux graphiques distants complète. Dans ce papier, nous étendons un travail précédemment réalisé précédemment où nous avions décrit une architecture avec une authentification lourde supportant le Single Sign On mais également des outils de détections d'intrusions et d'anomalies et particulièrement une vérification du comportement des utilisateurs via un système de corrélation. De plus, des aspects de Load Balancing via l'introduction d'un algorithme de répartition se basant sur l'utilisation des ressources de chaque machine avait été introduit. Les extensions portent sur une meilleur virtualisation et donc une meilleur gestion des problèmes de conflits et d'interférances entre les utilisateurs, une meilleur répartition de la charge des bureaux graphiques et la combinaison de nouveaux concepts de sécurité. Cela nous permet d'améliorer la disponibilité, la qualité de services, la reprise sur panne et la sécurité globale de l'architecture que nous proposons.

L'année 2007 a été marquée par l'apparition d'une nouvelle famille de botnets : Storm Worm. Ce qui semblait n'être qu'une PoC en janvier s'est transformé, à partir du mois d'août, en une véritable "plate-forme communautaire malicieuse" pérenne et stable, à partir de laquelle ont été lancées les grandes campagnes de Spam et la plupart des attaques fin 2007. Cette présentation a pour objectif de présenter le résultat de 6 mois d'observation et d'analyse de ce phénomène, et d'en tirer quelques enseignements.

Depuis l'omniprésence des pare-feux utilisant de la translation d'adresses et de ports (NAT/PAT), l'inspection d'états, ou encore la normalisation de trames, les approches actuelles à la prise d'empreinte des systèmes d'exploitation montrent leurs faiblesses. C'est à partir de ce constat que l'outil SinFP fut développé, tentant ainsi de contourner les limitations des outils actuels. SinFP implémente de toutes nouvelles méthodes, comme l'utilisation de signatures acquises activement lors de prises d'empreinte passives. De plus, SinFP est le premier outil à faire de la prise d'empreinte sur IPv6 (en mode actif et passif). Grâce à son algorithme de recherche de correspondance, il devient presque inutile d'ajouter de nouvelles signatures dans la base. En effet, son algorithme heuristique le rend très robuste face à des signatures qui ont été modifiées par des dispositifs de filtrage et/ou routage en coupure, ou bien par une personnalisation de la pile TCP/IP.

Au cours de l'enquête pénale peuvent être saisies et analysées de nombreuses pièces à conviction de toutes natures: traces d'ADN, empreintes digitales, armes, etc, mais aussi disques durs, clés USB, téléphones portables... La présentation portera à la fois sur les grands principes de la criminalistique (étude scientifique des éléments de preuve), qui s'appliquent indifféremment à tous les scellés quelle que soit leur nature, mais aussi sur les particularités du traitement de la preuve numérique (saisie, conservation, exploitation, présentation des résultats). Une conduite à tenir-type sera également conseillée aux RSSI et administrateurs-réseau d'entreprise en cas de découverte d'infraction dans leur périmètre de compétences.

Dans cet article, nous allons parler des utilisations possibles de l'accès à la mémoire physique. Nous vous convions à un voyage au sein des structures composant le noyau de Windows. Nous verrons ensuite quelles sont les informations que nous pouvons extraire à partir d'un dump de la mémoire physique. Nous finirons par quelques démonstrations d'utilisations offensives et défensives de ces informations.

L'analyse de codes malveillants est aujourd'hui devenue une activité très importante dans le cadre de la gestion des incidents de sécurité informatique. Les organisations qui prennent sérieusement en compte la sécurité de leurs réseaux sont souvent confrontées a des fichiers suspicieux capturés grâce à leurs antivirus, IDS et systèmes de supervision sécurité, ou encore lors d'analyses forensics. Il est alors nécessaire d'analyser rapidement ces fichiers pour déterminer s'il s'agit d'un code malveillant connu, d'une attaque ciblée ou bien d'une fausse alerte. Connaître le comportement d'un code malveillant est capital pour déterminer si d'autres machines sur le réseau peuvent être compromises ou non.

L'analyse statique de code exécutable par désassemblage a beaucoup de succès parmi les experts en sécurité, cependant la complexité de ce processus demande un long apprentissage et beaucoup d'énergie. De plus il n'est pas rare de rencontrer des codes malveillants protégés contre le désassemblage, ce qui peut ralentir considérablement l'analyse.

L'analyse dynamique de code malveillant consiste à faire exécuter un échantillon de code sur une plate-forme conçue pour observer toutes ses actions. Dans la plupart des cas, c'est une méthode très efficace et rapide pour déterminer la nature et le comportement du code malveillant, au moins dans une première approche.

Cet article et la présentation associée décrivent comment il est possible d'installer facilement et à moindres frais un modeste laboratoire d'analyse dynamique de code malveillant, même sans aucune compétence en désassemblage.