|
|
Résumé des interventions du SSTIC03
| Guerre de l'information |
|---|
La guerre de l'information s'intéresse aux actions menées contre l'information,
les processus qui l'utilisent, et les systèmes supports, d'un point de vue
offensif ou défensif.
Les systèmes informatiques en sont donc bien évidemment un point focal et des
cibles privilégiées, du fait de leur fonction neurocorticale dans le monde
moderne.
|
| Yves CORREC - DGA/CELAR |
|
Yves Correc est chargé de mission prospective SSI au Centre d'Électronique de
l'Armement à Bruz. Sa formation (doctorat mathématiques appliquées) et son
cursus (analyse numérique, recherche opérationnelle, géographie numérisée,
simulation) lui donnent une vision de la SSI plutôt orientée "systèmes". Il
enseigne la recherche opérationnelle et la sécurité des systèmes d'information
(entre autres au CNAM où il a créé une UV SSI). Il organise depuis six ans les
journées SSI du CELAR.
|
| BGP et DNS: attaques sur les protocoles critiques de l'Internet |
|---|
Le fonctionnement global d'Internet repose sur un nombre très réduit
de protocoles clefs, en particulier DNS et BGP. Or, il est maintenant
de notoriété publique que ces deux derniers sont affectés de problèmes
sécuritaires importants, même si les cas connus d'exploitation à
grande échelle restent un tabou.
Dans un contexte grandissant de guerre de l'information, quelles sont
ces vulnérabilités ? Quel est leur impact dans le cadre d'opérations
d'envergure ?
|
| Nicolas DUBÉE - Secway |
|
Bientôt disponible.
|
| Les enjeux de sécurité dans l'usage
des Technologies de l'Information et des Communications |
|---|
Présentation d'une valise pédagogique composée de 2 portables en réseau sur
le modèle client-serveur.
Il s'agit à travers un ensemble de démonstrations de vulnérabilités de
parcourir le champ du risque informatique dans sa définition suivante : la
probabilité qu'une menace particulière, utilisant une attaque spécifique,
puisse exploiter une vulnérabilité particulière d'un système résultant en
une conséquence non désirée.
Chaque démonstration de vulnérabilité est constituée d'une manipulation,
des explications techniques, d'une proposition de parades et de
commentaires complémentaires.
Les types d'attaque considérés sont la diffusion d'informations, la
désinformation, l'intrusion, le vol d'informations et la prise de contrôle.
Les trois domaines parcourus sont la bureautique, la messagerie
électronique et la navigation. La typologie des codes malicieux (portes
dérobées, cheval de Troie, Bombe logique, zombie, ver et virus) est
illustrée dans le cadre des technologies de l'Internet.
|
| Philippe WOLF - DCSSI |
Né en 1958, Philippe WOLF est Ingénieur en Chef de l'Armement (Promotion
X78) et docteur en informatique (Paris VI - INRIA, 1985).
De 1985 à 1995, Il travaille au CELAR (Centre d'Électronique de l'ARmement)
à Bruz (près de Rennes) dans le domaine de l'informatique de défense. Il y
développe une activité en Sécurité des Systèmes d'Information.
De 1995 à 2000, Il est Directeur des études de l'École Polytechnique.
Depuis 2000, il dirige le Centre de formation à la sécurité des systèmes
d'information (CFSSI)
au sein de
la DCSSI (Direction Centrale de la la Sécurité des Systèmes d'Information).
La DCSSI est une direction du Secrétariat
général de la défense nationale (SGDN).
Exemple de réalisation du CFSSI : module d'auto-formation à la signature numérique.
|
| Des clés et des trappes en cryptographie |
|---|
|
On mesure souvent la sécurité d'un système cryptographique à l'aide de la
taille
des clés utilisées. Cette mesure est-elle un véritable indice de sécurité ?
Qu'elles soient publiques ou secrètes, des clés peuvent présenter des
faiblesses
volontaires ou non. Das le premier cas, les faiblesses peuvent provenir d'un
mauvais générateur d'alea. Dans le second cas on parle de trappe.
|
| Éric WEGRZYNOWSKI - LIFL |
Professeur agrégé de mathématiques
Enseigne à l'USTL depuis 1991 les maths et l'info en deug et en 2nd cycle
d'info.
1990-1994 : membre de l'équipe METHEOL (méthodes et outils logiques) du LIFL
(recherche sur la sémantique des langages à base de règles logiques)
1999-aujourd'hui : cryptographie. ACI crypto depuis 2000.
(recherche sur le fonctions booléennes et sur la production d'aléa par
NLFSR)
|
| Droit pénal et cybercriminalité |
|---|
|
Les outils informatiques et les réseaux numériques sont devenus une
composante majeure de la société tant dans le secteur privé que public.
Malgré les avantages qu'ils apportent en termes de coûts et de rapidité,
ils présentent des risques et des vulnérabilités inhérents à leur nature
ouverte et internationale. Cette faiblesse n'a pas échappé aux délinquants.
Parfois c'est le réseau qui est victime d'infractions (attaque, virus,
intrusion, etc.), parfois il sert à les commettre ou à les préparer (réseaux
terroristes, réseaux de pédophilie, délits de presse, etc.). La liste des
infractions est longue et concerne aussi bien l'entreprise que les
administrations et les individus. En réponse à cette criminalité
informatique ou informatisée, dénommée communément « cybercriminalité », le
droit français prévoit une réponse répressive. L'adoption d'un certain
nombre de dispositions dans le code pénal couvre ainsi les cas où le réseau
est la victime (cf. notamment art. 226-16 à 226-19 et 323-1 à 323-7 du code
pénal) ou le moyen de l'infraction (cf. notamment la loi du 15 novembre
2001 sur la sécurité quotidienne et le projet de loi pour la confiance dans
l'économie numérique). Une telle réponse est nécessaire mais pas
suffisante. Le législateur a également adopté des dispositions qui tendent
à responsabiliser les acteurs des réseaux en mettant à leur charge des
obligations qui varient selon leur rôle respectif (obligation de
protection, obligation de conservation des données de connexion, obligation
de sécurité, etc.). Dans ce cadre, les contours d'un juste équilibre entre les
différents intérêts qui se retrouvent sur la Toile sont peu à peu dessinés
par le juge (cf. affaire Kitetoa.com). Par ailleurs, l'abolition des
frontières induite par l'Internet s'accommode mal avec le principe de
souveraineté des Etats qui s'impose en matière pénale. Seule une
harmonisation des législations nationales et une coopération entre les
autorités judiciaires compétentes permettront de pallier cette faille et de
lutter efficacement contre la cybercriminalité. La Convention du Conseil de
l'Europe du 23 novembre 2001 et la proposition de décision cadre de la
Commission européenne du 19 avril 2002 s'inscrivent dans une telle
démarche.
|
| Xavier LECERF |
|
Bientôt disponible.
|
| Détection d'intrusion |
|---|
Pourtant, bien qu'assez largement étudiées depuis 20 ans, les
approches classiques de la détection d'intrusions tardent à prouver
leur efficacité opérationnelle. Les intrusions ne sont-elles pas
toujours de plus en plus nombreuses ? Le nombre d'incidents de sécurité
rapportés annuellement au CERT/CC n'incite pas à l'optimisme.
Dès lors, que manque-t-il aux IDS actuels ? Selon nous, une information
tout à fait fondamentale : la vision de l'environnement dans lequel
il sont placés. Nous présentons ici des travaux dont l'objectif
est d'apporter une telle vision, tant au niveau du manager qu'à celui
des sondes.
La corrélation d'alerte au niveau des managers nous semble indispensable
à la résolution de certains des problèmes actuels de la détection
d'intrusions, tels que le taux élevé de faux positifs ou la pauvreté
du diagnostic porté par les alertes. Pour cela, le mécanisme de
corrélation doit être capable de tenir compte des caractéristiques
du système d'information surveillé (topologie, type de machines et
de services, failles connues, politique de sécurité). C'est tout
l'objet du travail que nous conduisons autour du modèle M2D2 et de son
exploitation.
Au niveau des sondes également, le contexte est important. Parmi les
éléments de contexte, ceux liés à la politique de sécurité
nous semble essentiels. En effet, et de manière assez paradoxalement
alors que la définition accepté par tous du terme « intrusion »
est « toute violation de politique de sécurité », les sondes
de détections actuelles ne tiennent aucunement compte de cette
politique. Nous pensons que c'est une erreur. En outre, nous pensons
que c'est au niveau du système d'exploitation et au moment
où les violations de politique se produisent, qu'il faut détecter
les dites violations, et éventuellement les empêcher (concept
d'intrusion prevention). Ces deux observations ont motivé notre
travail sur les flux de références.
|
| Ludovic MÉ |
|
Ludovic Mé est enseignant-chercheur à Supélec et responsable de l'équipe de
recherche Sécurité des Systèmes d'Information et Réseaux (SSIR). Il est
membre du comité de pilotage et du comité de programme du symposium RAID
(Recent Advances in Intrusion Detection) ; il a été co-président de
ce dernier en 2001. Il est l'auteur d'une vingtaine de communications i
dans le domaine de la détection d'intrusions.
|
| Les enjeux de la SSIC |
|---|
|
Bientôt disponible.
|
| GDI DESVIGNES - ESAT, ex-directeur de la DCSSI |
|
Bientôt disponible.
|
| Formats de fichiers, menaces et sécurisation |
|---|
La plupart des réseaux connectés à Internet sont aujourd'hui relativement
sécurisés: la sécurité de niveau réseau est assurée par des éléments de
filtrage tels que routeurs filtrants, pare-feux ou DMZ évoluées, avec selon les
cas antivirus et détection d'intrusion.
Par contre les couches applicatives ne sont pas forcément bien maîtrisées.
Cette présentation se penche sur le cas particulier des fichiers, qui peuvent
pénétrer sur un intranet par de nombreux moyens différents (web, mail,
disquette, CDROM, ...), la plupart du temps sans réel filtrage. Une fois qu'il
est ouvert par un utilisateur, un fichier peut facilement agir sans aucun
contrôle sur un intranet et mettre en jeu sa sécurité (installation de cheval
de Troie, espionnage, actions malveillantes, ...).
Afin de préciser les menaces, quelques démonstrations concrètes illustreront
différents exemples de codes malveillants qui peuvent être introduits dans les
formats de fichiers classiques: exécutables, scripts, HTML, documents Office,
PDF, ...
Cela débouche sur une classification des différents formats de fichiers, afin
de distinguer ceux qui sont inoffensifs et ceux qui présentent une menace
potentielle. Il est ainsi possible de déterminer une politique de filtrage
adaptée au réseau à protéger.
Ensuite, il s'agira d'étudier quels sont les moyens techniques disponibles
aujourd'hui pour contrer au mieux ces menaces (antivirus, contrôle d'intégrité,
pare-feux personnels, analyse de contenu, bac à sable, conversion de formats,
...), en montrant que les solutions actuelles sont loin d'être satisfaisantes et
exhaustives.
Cela amènera quelques réflexions sur les solutions à mettre en place ou à
développer à l'avenir pour améliorer la sécurité d'un réseau vis-à-vis des
fichiers.
|
| Philippe LAGADEC |
|
Ingénieur au Centre d'Électronique de l'Armement (CELAR), département
Sécurité Système.
|
| Prise de contrôle via Internet Explorer d'une machine compromise située en réseau inconnu |
|---|
Cet article présente JAB, une backdoor utilisant Internet Explorer via
les contrôles OLE pour communiquer avec un serveur externe, contournant
ainsi firewalls personnels, proxy (avec ou sans authentification),
passerelles antivirales, etc.
De plus, le binaire peut être exécuté dans un réseau totalement inconnu
et, si quelques pré-requis sont respectés, établir à coup sûr un canal
de communication entre la victime et l'attaquant.
|
| Nicolas GREGOIRE |
Ingénieur sécurité au sein d'Exaprobe, Nicolas Grégoire privilégie les
prestations d'audits (organisationnels, techniques) et de tests
intrusifs.
De par son passé de principal développeur Web pour une startup
française, il travaille régulièrement dans le domaine de la sécurité
d'applications Web complexes, à la fois pour de très grands comptes et
pour des applications très sensibles.
Très actif au sein de la communauté "sécurité", il a contribué
(principalement sous NDA) à l'augmentation du niveau de sécurité
d'applications largement utilisées.
|
| Le SpyWare dans Windows XP |
|---|
|
Windows XP, le dernier né de la gamme des systèmes d'exploitation Microsoft,
intègre de plus en plus de fonctions Web natives. Bien que cette intégration
facilite indéniablement « l'expérience utilisateur » (pour reprendre les termes
de Microsoft), il est légitime de se poser la question des informations qui
sont échangées en arrière-plan entre le système d'exploitation et les serveurs
Microsoft, bien souvent sans confirmation ou possibilité de paramétrage ...
|
| Nicolas RUFF |
|
Consultant expert en sécurité Windows, Nicolas RUFF participe à des
missions de sécurité amont (définition de politique de sécurité, guides
de sécurisation) et aval (audit, test d'intrusion) sur des
infrastructures complexes. Animateur du groupe "Sécurité Windows" de
l'OSSIR, il intervient également dans des conférences et formations à la
sécurité Windows.
|
| Sécurité des Réseaux Domestiques |
|---|
|
Au carrefour de l'informatique traditionnelle et du consumer
electronics, les réseaux domestiques promettent de nouveaux
usages et de nouveaux horizons pour le grand public. Ils ne
tiendront pas ces promesses si leur sécurité n'est pas assurée.
Nous montrons dans cette présentation en quoi des solutions de
sécurité initialement élaborées pour un environnement professionnel
offrent en fait peu de sécurité en environnement domestique
ou contraignent trop le réseau et son utilisateur. Puis nous
présentons quelques pistes récentes vers des mesures de sécurité
spécifiques.
|
| Nicolas PRIGENT, Olivier HEEN, Alain DURAND, Christophe BIDAN |
Né en 1978, Nicolas Prigent obtient en 2001 un DEA d'informatique
à l'université de Rennes 1. Passionné par l'informatique et les
réseaux, il prépare actuellement une thèse de doctorat portant sur
la sécurité des réseaux domestiques, en collaboration avec Thomson
et Supelec.
Docteur en Informatique Fondamentale, Olivier Heen conduit depuis
7 ans des recherches en Sécurité des Réseaux, à France Télécom
puis à Thomson. Ses recherches actuelles portent sur la sécurité
des Réseaux Domestiques.
Né en 1972, Alain Durand est diplomé de l'École Nationale Supérieure
de Techniques Avancées (ENSTA) en 1995. Cette même année, il obtient
un DESS d'informatique à l'université Paris VII Denis Diderot.
Entre 1997 et 1999, il travaille chez Oberthur Smart Cards dans le
domaine de la cryptographie, puis il rejoint le laboratoire
de sécurité de Thomson. Actuellement, ses principaux centres
d'intérêt sont la protection de contenu et les protocoles
cryptographiques.
|
| Poste de travail léger sécurisé |
|---|
Le CEA se propose de déployer dans ses centres de recherche des applications
nationales très fortement sécurisées dans un mode client-serveur. Après un
rappel de la problématique, l'exposé décrira les règles qu'il s'impose pour
la protection des informations sensibles manipulées par ces applications et les
menaces contre lesquels il se propose de se protéger.
Nous passerons ensuite à une description sommaire de la solution retenue basée
sur un client léger Linux sans disque dur et avec lecteur de carte à puce
utilisant un VPN pour communiquer avec le serveur. L'exposé s'attardera sur
les mécanismes de boot, puis de chargement de système et d'applications en
présentant différents choix possibles de sécurisation selon les étapes.
Une présentation du maquettage en cours conclura l'exposé.
|
| Laurent CABIROL |
|
Après avoir obtenu un diplôme d'ingénieur en génie physique et en
intrumentation à l'Université Pierre et Marie Curie, Laurent CABIROL s'est
consacré aux architectures de commande de robot au Commissariat à l'Énergie
Atomique. Il s'est ensuite tourné vers la sécurité informatique au sein du
Service Central pour la Sécurité des Systèmes d'Information. Il a poursuivi
sa carrière au ministère de la recherche, chargé de mission pour les
technologies de l'information. Il est passé ensuite à la Commission
Européenne, au sein de la direction générale "Société de l'Information" ou
il a travaillé à nouveau sur les questions de sécurité informatique ainsi que
sur le logiciel libre. Depuis 18 mois, il est revenu au CEA en tant
qu'adjoint, chargé de la sécurité informatique, du directeur des
Technologies de l'Information.
|
| Les firewalls personnels |
|---|
Le développement des accès haut-débit pour les particuliers a ouvert un nouveau
marché en matière de sécurité. Les spécificités des accès « grand
public » ont conduit à l'émergence d'un type de produit
nouveau : le firewall personnel.
Si le concept est intéressant et si ce type outil apparaît aujourd'hui comme une
composante essentielle de protection, il est essentiel d'en apprécier les atouts
comme les limites. Cet article vise donc d'une part à présenter ce qu'est un
firewall personnel par ses concepts fondamentaux, puis d'autre part à en analyser
les faiblesses dans son contexte de fonctionnement. Nous pourrons ainsi en définir
les limites pour parvenir à une utilisation éclairée et efficace.
|
| Cédric BLANCHER |
|
Ingénieur de l'ENST Bretagne, Cédric Blancher est aujourd'hui consultant en
sécurité informatique chez Cartel Sécurité,
au sein du pôle Conseil/Audit/Formation. Spécialisé en sécurité des réseaux
et systèmes Unix, il s'occupe de conseil, d'audits et tests d'intrusion, de
formation et de veille technologique.
Il publie dans MISC et Linux Magazine, et participe à la promotion et au
développement du logiciel libre, particulièrement dans les pays en voie de développement
via des formations (INTIF) ou sa participation à des conférences (RMLL, CODI3)
|
| UML as a honeypot |
|---|
UML (User Mode Linux) permet d'avoir à sa disposition une
machine virtuelle tournant sur Linux. L'intérêt est de pouvoir tester
sans risque de nouveaux programmes ou même un nouveau noyau, puisque
tout ce qu'on effectuera sur l'UML, lancé en tant qu'utilisateur sans
privilèges particuliers, ne pourra endommager la machine de départ.
Nous avons repris cet outil pour créer un Honeypot ou pot à miel.
Le but est d'attirer les pirates et de les faire
venir sur notre machine virtuelle tout en leur faisant croire qu'ils se
trouvent sur une machine réelle.
On espère ainsi découvrir de nouvelles techniques qui pourraient être
mises en oeuvre sur des ordinateurs où l'issue serait plus critique.
Nous allons donc mettre l'accent sur les différents aspects qui
pourraient trahir la virtualité de l'UML sur des aspects système et réseau
d'une part, et voir comment tracer les attaques d'un
assaillant d'autre part.
|
| Michaël HERVIEUX, Thomas MEURISSE |
|
Michaël Hervieux et Thomas Meurisse, élèves ingénieurs en troisième année de
l'ENSEIRB en option « Réseaux et Systèmes Répartis »,
diplomés en Juillet 2003, ont suivi les cours
de Laurent Oudot, où ils commencèrent à travailler sur UML dans le cadre
d'un projet.
Ils publieront en collaboration avec des personnes de l'EPF un article
sur UML dans le numéro spécial honeypot du Misc de Juillet.
|
| Détection des systèmes d'exploitation avec Cron-OS |
|---|
|
Après un survol du domaine de la reconnaissance à distance
des systèmes d'exploitation, nous rappelons le principe de
la reconnaissance temporelle mis en œuvre dans l'outil
RING (cf. www.intranode.com). Nous présentons ensuite une évolution, Cron-OS, et
indiquons divers exemples de fonctionnement.
|
| Olivier COURTAY, Olivier HEEN, Franck VEYSSET |
Aprés avoir débuté sa carriére dans une start-up spécialisée dans la
sécurité, Olivier Courtay travaille à l'ENST Bretagne sur un projet
autour de DNSsec et IPsec mais participe aussi à des projets OpenSource
autour de la securité.
Docteur en Informatique Fondamentale, Olivier Heen conduit depuis
7 ans des recherches en Sécurité des Réseaux, à France Télécom
puis à Thomson. Ses recherches actuelles portent sur la sécurité
des Réseaux Domestiques.
Franck Veysset travaille à France Télécom R&D, dans l'unité Sécurité des
Services et des Réseaux. Passionné par la sécurité, Franck participe
activement à diverses activités dans ce domaine (organisation JSSI, CP
du SSTIC03, CP FIRST 03...), et est également impliqué dans des projets
Open Source liés à la sécurité IP, tel que l'OSFP.
|
| La rétroconception: application a l'analyse logicielle |
|---|
La rétroconception peut se définir comme l'action d'extraire une
connaissance ou un savoir d'une réalisation.
Cette activité est pratique depuis très longtemps dans un
grand nombre de domaine industriel (automobile, électronique...)
afin, notamment, de permettre l'accession a un savoir, a une
technologie, a moindre frais.
Notre exposé va tenter, après avoir aborder l'aspect juridique
de la rétroconception, de montrer que les buts de la rétroconception
sont nombreux et qu'ils dépendent très fortement de l'état d'esprit
des personnes qui la pratique. Nous verrons ensuite qu'il est
difficile de définir une méthodologie de la rétroconception car
le spectre de ce qui est recherche est trop large. Dans le cas
le plus simple (typiquement le cracking), nous savons ce que nous
cherchons, et dans le cas le plus complique (la recherche de
vulnérabilités), nous n'avons aucune idée de ce que nous cherchons...
Ceci nous conduiras a présenter quelques schémas de protections et
les façons de les contourner afin d'illustrer notre présentation
par une exemple d'analyse logicielle.
|
| Serge LEFRANC |
Ingénieur de l'Armement, j'exerce le métier d'ingénieur d'étude en
systèmes d'information opérationnels au Centre d'Electronique de
l'Armement (CELAR).
Je donne également des cours, dans different domaines de la sécurité, au
profit du CNAM, de Supélec Rennes, de l'ENST Bretagne, de l'ENSAI, de
l'École Navale de Brest, de l'ENSTA.
|
| Analyse d'une protection d'exécutables PE : Asprotect |
|---|
Les packers d'exécutables PE sont très utilisés pour protéger les applications
contre le Reverse Engineering. Ils rendent le désassemblage et le débogage du
programme protégé beaucoup plus complexe.
Dans mon tutoriel, je présenterai la protection Asprotect, son principe
de fonctionnement, ses méthodes anti debugging, ses différentes protections,
et la reconstruction pas à pas d'une application déprotégé.
La protection Asprotect est un des leaders dans le domaine des protecteurs PE,
et pourtant, nous verrons que malgré une bonne sécurité, nous ne pouvons faire
confiance à ce type de protection, pour protéger des applications sensibles,
puisqu'elles peuvent être retirées après quelques heures d'analyses.
|
| Nicolas BRULEZ |
|
Consultant en reverse engineering pour Cartel Sécurité, je m'occupe
d'analyses diverses telles que l'analyse de virus, vers, protections
logicielles, recherche de buffer overflows. Je développe aussi un moteur
anti-virus heuristique open source.
|
| Manipulation ELF et reverse engineering sous UNIX |
|---|
|
À travers le reverse engineering, nous abordons de nombreuses problématiques
de la sécurité informatique, notamment dans les domaines de manipulation
binaire, analyse de code, et approche statique des protections automatiques
contre les failles de sécurité de type buffer overflow. ELFsh
(http://devhell.org/projects/elfsh/) est utilisé comme support pour l'exposé.
|
| Julien VANEGUE, Sébastien ROY |
|
L'equipe ELFsh se compose de passionnés de reverse engineering impliqués
dans la recherche en sécurité informatique. Julien Vanegue est étudiant à
l'EPITA où il participe à l'enseignement. Sébastien Roy, quant à lui, travaille
au sein de la société NBS-System, pour laquelle il effectue du développement
et de l'audit.
|
| La sécurité dans les réseaux sans fil ad hoc |
|---|
|
Nous présentons les résultats d'une étude sur la sécurité des Réseaux
Sans
Fil Ad-Hoc, avec notamment une analyse de risque haut-niveau prenant en
compte les spécificités de ces réseaux et leurs contextes d'utilisation.
Sur un plan plus technique, nous détaillons les particularités du routage
dans de tels réseaux et les problèmes de sécurité y afférant. Diverses
équipes
de recherche élaborent actuellement des solutions spécifiques aux réseaux
sans fil Ad-Hoc. Nous présentons les plus prometteuses avant de conclure sur
quelques recommandations et des suggestions d'axes de développement
futurs.
|
| Valérie GAYRAUD, Francis DUPONT, Sylvain GOMBAULT, Loufti NUAYMI et Bruno THARON |
Francis Dupont est ingénieur et Docteur de l'École Polytechnique.
Enseignant-chercheur à l'ENST Bretagne à Rennes au département RSM dans
le domaine des réseaux informatiques (IPv6, IPsec, mobile IP, etc).
Sylvain Gombault est Ingénieur INSA Rennes et MEARI Supélec.
Enseignant-chercheur à l'ENST Bretagne à Rennes dans le département RSM.
Spécialiste de la sécurité des réseaux.
Loutfi Nuaymi est Docteur en Télécommunications de l'ENST.
Enseignant-chercheur à l'ENST Bretagne au département RSM (site de
Rennes)
dans le domaine des réseaux mobiles et réseaux sans fil (GPRS, UMTS, WLAN
802.11).
Bruno Tharon, ingénieur en Informatique réseaux et systèmes, a travaillé
sept
ans chez Nortel Networks dans les domaines des réseaux cellulaires (PMR,
GSM,
GPRS et UMTS). Étudiant en Mastère SSI (co-fondé par Supelec &
l'ENST Bretagne) à Rennes, il travaille actuellement sur la
sécurité des réseaux sans
fil et plus particulièrement sur les problèmes liés à la mobilité IPv6.
Valérie Gayraud, ingénieur de l'École Nationale Supérieure de
l'Électronique et de ses Applications (ENSEA), a travaillé dans les
télécommunications numériques et les réseaux larges bandes à Alcatel puis
à Thomson. Son domaine de recherche dans le cadre du Mastère SSI (Supelec
et ENST Bretagne) porte sur la sécurité des réseaux sans fil en contexte
domestique.
|
| Détection d'intrusion dans les réseaux mobiles sans fil ad hoc |
|---|
Les réseaux mobiles sans fil et sans infrastructure, dits "réseaux ad hoc" ou
MANET, posent des problèmes spécifiques de sécurité : systèmes complètement
distribués, tout noeud peut jouer le rôle de routeur, etc. Les vulnérabilités
des réseaux filaires sont accentuées. Les services de sécurité doivent être
distribués, coopératifs et compatibles avec la bande passante disponible.
Nous proposons ici un modèle de sécurité pour les MANET et un système de
détection d'intrusion (IDS) distribué et coopératif, utilisant une technologie
à agents mobiles.
Les résultats obtenus pour la détection des attaques par rebonds telnet sont
présentés et feront l'objet d'une démonstration.
|
| Bernard JOUGA, Jean-Marc PERCHER |
|
Bientôt disponible.
|
| Cryptanalyse du chiffrement par bloc - Résultats récents sur l'AES |
|---|
La réutilisation d'une clef secrète dans le cadre du chiffrement
(symétrique) par flot a des effets non-négligeables sur la sécurité générale d'un
tel
système. Cela impose, pour les chiffreurs et les gestionnaires du chiffre
des contraintes comptables fortes sur les éléments secrets, qui peuvent
occasionner des compromissions cryptologiques de trafic.
L'évolution de la cryptographie moderne a tenté de répondre à cette
problématique générale de gestion de clefs de deux manières différentes :
- par utilisation de système à clef publique. Les problèmes de
réutilisation de clefs ne se posent plus (sauf quelques cas à la marge pour
des systèmes
faibles). Les contraintes de gestion des clefs se sont transformées
en des contraintes de génération de clefs puisque ces systèmes réclament
des
propriétés assez fortes pour les éléments secrets.
- utilisation de système par blocs (notamment en mode ECB). La clef
secrète est réutilisée pour chaque bloc du message (actuellement 128 bits).
Dans cette présentation, après avoir rappelé les faiblesses provenant de la
réutilisation de la clef secrète pour le chiffrement par flot, il sera
montré que
cette réutilisation peut s'avérer dangereuse dans le cadre du chiffrement
par bloc et dégrader la sécurité
générale d'un tel système, ce en utilisant des codes correcteurs à
répétition. Des résultats récents sur l'AES, provenant de 200 cryptanalyses
réelles, seront présentés. Ils permettent de retrouver trois bits
d'information sur la clef en n'utilisant que 231 blocs de chiffré, à la
condition que ce chiffré ait été produit à partir de texte codé en ascii.
L'exposé sera didactique (pratiquement pas de mathématiques).
|
| Éric FILIOL |
|
Titulaire d'un doctorat de mathématiques appliquées et informatique, du
Brevet d'Études Supérieures de la Sécurité des Systèmes d'Information du
DCSSI et chef du laboratoire de virologie et de cryptologie à l'École
Supérieure et d'Applications des Transmissions de l'Armée de Terre. Ses
domaines de recherche concernent la cryptologie symétrique (en particulier
la cryptanalyse et la reconstruction des systèmes de chiffrement) et les
applications en virologie informatique. Il est également chercheur associé
au projet Codes de l'Institut National de Recherche en Informatique et
Automatisme (INRIA).
|
| Profils propres pour la détection d'intrusion |
|---|
|
Dans cet article, nous présentons une nouvelle méthode de détection
d'intrusion appartenant à la famille comportementale qui est basée sur
l'analyse en composantes principales (ACP). Cette approche fonctionne en
projetant les profils des utilisateurs sur un espace de traits qui peut décrire
de signifiantes variations entre les profils. Ces traits sont connus sous le
nom de « profils propres » car ils sont les vecteurs
propres de l'ensemble des
profils. L'opération de projection caractérise un profil utilisateur par une
somme pondérée de l'ensemble des profils. Pour détecter si un profil est
anormal, il suffit de comparer ces poids à ceux des profils utilisateurs
connus. Les principaux avantages de cette méthode sont : (i) elle permet, au
premier lieu, d'apprendre les profils utilisateurs ensuite déterminer si un
nouveau profil correspond ou non à ceux des utilisateurs connus, (ii) son
implémentation est très simple sur tous les systèmes ayant des mécanismes
d'audit de sécurité !
et (iii) elle est robuste et permet de produire des taux de détection élevés.
L'application de cette méthode sur un ensemble de profils simulés
d'utilisateurs sous Unix a été réalisé pour valider la méthode. Par la suite
nous avons utilisé un ensemble de profils des utilisateurs dans un réseau réel
en analysant leur activité de navigation Web et nous présentons les résultats
expérimentaux jugés encourageants.
|
| Yacine BOUZIDA, Sylvain GOMBAULT |
Sylvain Gombault est Ingénieur INSA Rennes et MEARI Supélec.
Enseignant-chercheur à l'ENST Bretagne à Rennes dans le département RSM.
Spécialiste de la sécurité des réseaux.
|
|
![[Logo SSTIC]](logo/logo_sstic_transp.png){kind=logo}