SSTIC04 - Interventions

Les honeypots, un concept « pot-pourri », emprunt des différentes techniques anti- intrusion qui forment l'état de l'art actuel, et qui consiste, d'une manière générique, à mettre en place des systèmes volontairement vulnérables, c'est-à-dire conçus pour être scannés, attaqués et compromis, dans le but d'attirer et de piéger les pirates informatiques aux fins d'observer leur comportement et d'enregistrer leurs méthodes d'attaque. Un concept, haut en couleurs, à la pointe de la lutte contre la criminalité informatique mais qui se révèle rapidement lui-même en proie à de sérieuses incertitudes juridiques. Sur la base des principes et composantes techniques qui sous-tendent le concept honeypot, la présente conférence tendra à identifier et évaluer les principaux écueils juridiques concernés et donner les recommandations pratiques essentielles pour le déploiement, légalement maîtrisé, de systèmes « pots de miel ».

Marie Barel, Responsable depuis cinq ans du pôle « TIC et Sécurité de l'Information » au sein de la Direction juridique de Gemplus, elle agit en interface dédiée de la Sécurité Groupe, de la DSI, du département Sécurité des technologies (R&D, risk management) et du service Propriété industrielle. A travaillé au sein du cabinet Donio, expert judiciaire en informatique près la Cour de Cassation et comme assistante auprès des maîtrises d'oeuvre et d'ouvrage dans le cadre de projets informatiques du Tribunal de Grande Instance de Paris. Débute sa carrière à l'APP (Agence pour la Protection des Programmes), association pour la défense des droits d'auteur de logiciels et d'oeuvres numériques, et au sein de la société CELOG, centre d'expertise informatique. Titulaire d'un 3ème cycle en droit pénal et sciences pénales, elle est également diplômée du DESS Audit et Expertise en informatique et techniques numériques (Paris II).

L'objet de cette présentation est de montrer par l'exemple, les modalités pratiques et les implications juridiques d'une attaque informatique du point de vue de l'attaquant et de celui de la victime. Le scénario retenu est volontairement proche d'un cas réel : un éditeur de jeux vidéo se fait dérober en ligne le code source d'un jeu avant sa sortie sur le marché. Celui-ci sera compilé et mis en ligne sur internet. Le but est de montrer que dès les stades précoces de la réalisation de l'attaque, des contre-mesures d'ordre technique ou juridique pourront être mises en œuvre, soit pour empêcher la réalisation de l'attaque soit pour obtenir des preuves qui permettront la réparation assurantielle du dommage subi ou l'identification et la condamnation de l'auteur de l'attaque. Le scénario est le suivant : un éditeur informatique emploie un « pirate » pour nuire à son concurrent. La mission du pirate est de réussir à s'introduire dans le réseau du concurrent pour dérober les codes sources de son prochain jeu et d'en assurer la diffusion avant commercialisation sur internet. Pour faire plus vivant nous appellerons ce jeu « demi-vie » et l'opération « carbone 14 ». Le scénario se déroule en trois phases. La phase préparatoire permettra de récupérer toute l'information nécessaire à la réalisation de l'attaque, la phase d'attaque proprement dite ou le pirate réalisera son arbre d'attaques et disséminera son butin après l'avoir dérobé, puis enfin la dernière phase durant laquelle les enquêtes techniques et judiciaires vont être menées. Chacune des ces phases sera illustrée juridiquement et techniquement afin de permettre d'appréhender la problématique de l'attaque de façon globale.

Magistrat, David BENICHOU exerce les fonctions de secrétaire général adjoint au parquet général près la cour d'appel de Paris. Ses attributions en relation avec les technologies de l'information se déclinent sous trois angles: la cybercriminalité, la sécurité, les méthodes de travail. Il donne des conférences dans le cadre d'écoles civiles et militaires, ainsi qu'à l'Université.

Les technologies favorisant la sécurité des systèmes d'informations font évidemment partie du périmètre stratégique de l'économie française dont Bernard CARAYON souhaite la définition. Trois des 38 propositions de son rapport au Premier ministre concernent directement ce secteur.

Bernard CARAYON est député du Tarn et rapporteur spécial du budget du SGDN (Secrétariat Général de la Défense Nationale) et du Renseignement. Le Premier ministre l’a chargé d’une mission pour laquelle il a remis un rapport en juin 2003 intitulé « Intelligence économique, compétitivité et cohésion sociale » publié à La Documentation Française. Bernard CARAYON est diplômé de Sciences Po Paris et titulaire d’un DEA de Droit public et d’un DESS de Défense.

La voix sur IP était jusqu'a récemment plutôt la technologie d'une minorité de "férus du net" car elle permet de téléphoner à moindre coût via l'Internet, la voix restant une forme de communication bien plus conviviale que le courrier électronique ou les formes de messageries instantanées. Avec l'évolution de l'Internet, le déploiement de réseaux privés virtuels, l'introduction de la qualité de service dans les réseaux, l'arrivée des PBX IP, la disponibilité de postes téléphoniques intégrant des fonctionnalités de plus en plus avancées ainsi que l'opportunité de réduction des coûts, l'intérêt que suscite la voix sur IP pour l'entreprise et pour les utilisateurs est grandissant jusqu'à devenir un projet stratégique. Tout d'abord les différents protocoles ainsi que leurs évolutions récentes seront présentés, puis les éléments qui composent une solution VoIP ainsi que les différentes formes d'attaques et les moyens de s'en prémunir ou de réduire les risques, et enfin pour terminer, une comparaison de la sécurité de la voix sur IP par rapport au réseau téléphonique classique et au réseau GSM.

Nicolas FISCHBACH est Senior Manager chez COLT Telecom et dirige l'équipe sécurité au sein du département européen d'ingénierie IP. Il est également co-fondateur de Sécurité.Org, un site web francophone dédié à la sécurité informatique, d'eXperts, un groupe informel de spécialistes sécurité ainsi que du chapitre français du Honeynet Project. Nicolas participe à de nombreuses conférences (BlackHat Briefings, CanSecWest, Defcon, JSSI, Eurosec, NANOG, Cisco Systems, RIPE, SwiNOG, Libre Software Meeting, etc), publie des articles (MISC) et donne des cours dans différentes écoles et universités (HEC, Université de Genève, ITIN, etc). Pour plus d'informations: http://www.securite.org/nico/

La plupart des attaques informationnelles conduites sur Internet ou amplifiées sur le réseau sont faciles et peuvent être violentes. Attaques mixtes, elles conjuguent utilisation des systèmes d'information et opérations psychologiques destinées à servir une stratégie de contrôle ou de domination. L'angle qui nous intéresse ici est la menace contre la sécurité économique des entreprises. L'usage des moyens informatiques pour affaiblir ou entraver l'activité des entreprises comporte une double menace : comme s'il ne leur suffisait pas d'avoir à se prémunir des virus, du piratage, de l'espionnage, la plupart des entreprises françaises subissent des attaques informationnelles sans être capables de comprendre à temps qu'elles sont sous attaque et leurs modes opératoires. Indirectes ou frontales, les attaques informationnelles ont la capacité d'illusionner, leurrer, mobiliser, séduire, convaincre, sidérer, saturer, aveugler, paralyser, entraver, distordre, intoxiquer, déstabiliser, défaire. Sans verser dans le catastrophique ou l'énumération de menaces fictives, la communication décrira des exemples concrets et réels d'attaques informationnelles menées contre des entreprises françaises, qui utilisent principalement les moyens des systèmes d'information. Elle en fera l'étude détaillée phase par phase et présentera une méthodologie s'appuyant sur une grille de paramètres précis pour aider à détecter la menace, caractériser les attaquants, déterminer l'origine et comprendre la nature et l'ampleur de l'attaque afin d'améliorer la connaissance et la protection contre ces risques.

Danielle Kaminsky est chargée de mission dans une société de sécurité informatique, chercheur en criminalité informatique et enseignante. Sa formation et son cursus professionnel dans différents Ministères, organes de presse et entreprises sont centrés depuis plus de 20 ans sur l'information et la sécurité. Sa spécialisation dans l'analyse des techniques des médias, des méthodes de guerre de l'information et la sécurité informatique lui donnent une vision de la sécurité orientée analyse opérationnelle de l'information, étude des comportements des attaquants, et sécurité économique. Elle intervient dans des conférences sur ces thèmes (INFOSEC, CLUSIF, Premier Séminaire Interarmées des Grandes Écoles Militaires, Cité des Sciences). Elle enseigne l'analyse des attaques informationnelles (Université de Paris IV SORBONNE puis ENST Paris) et l'étude des comportements des attaquants en criminalité informatique (CERPAC).

Les compromis temps-mémoire permettent de diminuer le temps d'une attaque cryptographique en augmentant la quantité de mémoire utilisée. Ces compromis ne s'appliquent pas à tous les problèmes, mais ils sont particulièrement efficaces pour craquer les mots de passe Windows. Nous verrons comment fonctionnent ces compromis, quelles sont leur performances et limitations et comment un mot de passe Windows de 14 caractères alphanumériques peut être craqué en quelques secondes.

Philippe Oechslin est chargé de cours et chercheur au Laboratoire de Sécurité et de Cryptographie (LASEC) de l'Ecole Polytechnique Fédérale de Lausanne. Après avoir obtenu sa thèse en téléinformatique il a travaillé pendant plusieurs années dans divers laboratoires de recherche et de développement dans les domaines des réseaux et de la sécurité. En dehors de ses activités au LASEC, Philippe Oechslin travaille aussi comme consultant indépendant en sécurité informatique. Il réalise des tests d'intrusion, des audits de sécurité et crée des politiques de sécurité pour des banques et des entreprises multinationales.

Ce papier présente une démarche méthodologique et des solutions techniques pour anonymiser des données sensibles, par exemple pour des études épidémiologiques, ou pour l'analyse de trajectoires de soins, pour des enquêtes démographiques ou sociologiques, etc. Différents scénarios dans les domaines de la santé et du social sont présentés pour en dégager une palette d'exigences. Une structure générique pour l'anonymisation est alors proposées, avec une mise en oeuvre sur un exemeple portant sur des données hospitalières.

Anas Abou El Kalam est maître de conférence à l'ENSI. Il effectue sa recherche au sein du Laboratoire d'Informatique Fondamentale d'Orléans (LIFO-CNRS). Il est responsable de l'option sécurité en troisième année de la filière STI "Sciences et Technologies de l'Information" et coordinateur du département informatique de l'ENSI. Il a obtenu en 2003 son doctorat en sécurité des systèmes d'information et de communications au Laboratoire d'Analyse et d'Architecture des Systèmes (LAAS - CNRS), au sein de l'équipe Tolérance aux fautes et Sûreté de Fonctionnement Informatique (TSF). Ses principaux centres d'intérêt sont la sécurité des systèmes informatiques répartis, les politiques et modèles de sécurité, l'anonymisation, la protection de la vie privée, les cartes à puces et la détection d'intrusion.

Le concept de mobilité a aujourd'hui envahi les plaquettes commerciales. Les solutions permettant à l'utilisateur d'accéder à toutes ses ressources habituelles n'en finissent plus de fleurir. Qu'il s'agisse de terminaux mobiles (portables, GSM, PocketPC), de solution de connexions "mobiles" à Internet (ligne personnelle, cybercafés, GPRS, BlueTooth, HotSpot WiFi, etc.) ou de solution d'accès au réseau d'entreprise (VPN classique, VPN SSL, etc.), la connectivité de l'internaute ne semble plus connaître de limite. Fait marquant : pour la première fois en 2003, il s'est vendu plus d'ordinateurs portables que d'ordinateurs fixes, en entreprise comme chez les particuliers. Si cette approche est séduisante à de nombreux titres, l'absence totale de maîtrise de la sécurité de ces environnements fait peser un risque fort sur la sécurité du poste de travail itinérant, et par voie de conséquence, sur la sécurité des systèmes d'information auxquels il est habituellement connecté. Cet article vise donc à illustrer d'une part les menaces qui pèsent sur le poste de travail lorsqu'il est utilisé dans un contexte mobile et d'autre part comment l'intégration de la mobilité à un système d'information peut rendre inefficace l'essentiel de ses dispositifs de sécurité classiques. Dans la continuité de ma présentation sur les pare-feu personnels, cet article veut démontrer l'inefficacité des systèmes de protection périphériques, le bouleversement de l'approche de la sécurité induit par ces pratiques nouvelles et des pistes pour repenser la sécurité du système d'information face à ces menaces de l'intérieur.

Cédric Blancher (cedric.blancher@arche.fr) est consultant en sécurité informatique pour Arche, groupe Omnetica. Spécialisé en sécurité des réseaux et systèmes Unix, il s'occupe de conseil, d'audits et tests d'intrusion, de formation et de veille technologique. Rédacteur pour MISC et Linux Magazine, il participe autant que possible à la promotion et au développement du logiciel libre, particulièrementdans les pays en voie de développement via des formations (INTIF) ou sa participation à des conférences (RMLL, CODI3, etc.). Site: http://www.netexit.com/~sid/

Pour mieux évaluer la pertinence de Kerberos dans un contexte donné, il convient d'en comprendre à la fois les avantages mais aussi les limites, y compris en terme de sécurité. Cet article propose de rappeler le fonctionnement du protocole Kerberos, puis de redéfinir certains problèmes de sécurité qui peuvent se poser lors du déploiement de Kerberos. Les points abordés sont regroupés en deux catégories: - Les problèmes inhérents au protocole lui-même ; - Les problèmes liés aux difficultés pratiques de déploiement.

Ingénieur-chercheur au Commissariat à l'Energie Atomique (Cellule Technique de Sécurité Informatique)

Nous présentons un protocole d'authentification et de signature inventé par L. Guillou et J.J. Quisquater et appelé GQ2. Nous démontrons mathématiquement que GQ2 est une preuve zero-knowledge de connaissance de la factorisation. Nous évaluons alors théoriquement ses performances en établissant que pour un même module RSA-1024, l'authentification GQ2 est 40 fois plus rapide que celle le RSA et la signature GQ2 10 fois plus rapide que le RSA. Nous apportons alors la preuve expérimentale qu'il est possible de mettre en œuvre une authentification dynamique sur des cartes type EMV-SDA sans dégrader les performances, là où le RSA exige l'intégration d'un crypto processeur. Nous montrons donc ainsi que la technologie GQ2 peut être le complément essentiel de la technologie RSA pour les contextes où les exigences de coûts / performances deviennent très contraignantes.

Mes travaux ont pour buts de présenter différentes méthodes d'infections virales en environnement Win32. Après une présentation détaillée de differents types d'infections, je présenterais les techniques heuristiques de détection de virus win32, ainsi que les méthodes anti heuristiques utilisées par les auteurs de virus. Pour terminer, je présenterai mon propre moteur anti virus heuristique, et les resultats obtenus par celui ci.

Responsable Sécurité chez SiliconRealms, il développe les techniques Anti Reverse Engineering de la protection Armadillo (US). Il participe aux analyses des nouvelles menaces virales et partage ses recherches avec différents éditeurs Anti Virus. Il écrit aussi régulièrement des articles sur le Reverse Engineering pour le magazine MISC et enseigne le Reverse Engineering et la programmation Assembleur dans différentes Ecoles.

A chaque vague d’attaque massive ou de propagation de vers qui infectent les postes de travail, tout le monde accuse les utilisateurs ou les entreprises de ne pas appliquent les correctifs. Cette présentation a pour but de présenter le contexte dans lequel des correctifs peuvent être appliqués et surtout de mettre en évidence ce qui doit se passer « avant » mais aussi « après » pour que cela soit fait de façon efficace. Outre les aspects techniques, la chaîne organisationnelle nécessaire sera mise en évidence. Cette présentation sera déclinée sous 2 angles : - Celui des populations avec 3 cas : l’utilisateur Internaute « lambda », celui des entreprises à taille « humaine », celui des grandes entreprises. - Celui des équipements avec 3 cas : poste de travail utilisateur, serveur applicatif, serveur ou équipement d’infrastructure (DNS, routeur, commutateur)

Co-fondateur en 1992 d'APOGEE Communications, Olivier Caleff en est le poste de Directeur Technique. Auparavant il travaillait chez Dassault Electronique (aspects réseaux et administration). Il enseigne depuis 1986 (CNAM, ISEP, ENST, ITIN, EPITA). En 1993, Olivier Caleff lance l’activité Sécurité pour APOGEE Communications. Il a depuis réalisé de nombreuses études, audits, tests de vulnérabilités et a déployé des projets de firewalls, d'authentification, de contrôle de contenu, de détection d'intrusions... Depuis 1995, Olivier Caleff mène des actions de veille sécurité, qui se sont concrétisées depuis 1999 par la création d’une cellule de Veille Technologique Sécurité. Il exerce maintenant son rôle d’expert sécurité dans le cadre de mission de conseil et d’audit dans de grandes entreprises, administrations ou organisations internationales principalement en France et en Suisse. Il fait des présentations depuis 1988 à de nombreuses conférences sur les réseaux et sur la sécurité (GENESUS, NEXUS, Interop, Eurosec, InfoSecurity …) ainsi que des séminaires (EFE …) Il publie une rubrique hebdomadaire consacrée à la veille sécurité dans la revue spécialisée NetCost&Security

Le modèle Or-BAC (Organization Based Access Control) permet de spécifier des politiques de sécurité en utilisant les notions d'organisation, de rôle, d'acitivité, de vue et de contexte. Dans cet article, nous montrons comment spécifier une politique de sécurité de façon modulaire en associant des hiérarchies d'héritage à ces différents concepts. Nous illustrons cette approche dans un environnement réseau. Dans un tel environnement, nous montrons comment appliquer le modèle Or-BAC pour spécifier des politiques de sécurité réseau. L'objectif final est de dériver automatiquement les règles pour configurer différents composants de sécurité, en particulier des firewalls.

Nmap-Stateful est une extention à l'outil bien-connu Nmap. Il permet à l'utilisateur de définir des tests a effectuer par l'outil et permet une nouvelle gamme de test. En effet , Nmap-Stateful peut positionner la connexion TCP dans un certain état avant de lancer le test. Cela augmente considérablement les possibilités de l'outil et même d'imaginer de nouvelle utilisation. Non seulement l'OS Fingerprinting devient plus précis, mais on peut imaginer effectuer des tests de comportement de Firewall Stateful

Après avoir débuté sa carrière dans une start-up spécialisée dans la sécurité, Olivier Courtay travaille à l'ENST Bretagne sur un projet autour de DNSsec et IPsec mais participe aussi à des projets OpenSource autour de la sécurité.

L'environnement système lors de l'exécution d'un programme n'est jamais exactement le même. Certaines variations sont anodines (place libre sur le disque dur, type et charge du processeur, nombre de connexions réseau ouvertes...). D'autres peuvent être révélatrices d'une activité hostile d'espionnage ou de camouflage sur le système (comportement du noyau et des bibliothèques dynamiques, "traçage" du processus, lancement dans une machine virtuelle...). Je propose d'utiliser l'analyse temporelle pour prendre l'empreinte de certaines parties critiques de l'environnement d'exécution d'un processus. Des critères de comparaison sont définis pour différencier les variations acceptables de celles qui déclencheront une alerte de sécurité. Nous verrons en particulier comment cette technique permet de détecter différents types de "rootkits" depuis un processus utilisateur non privilégié.

Gaël Delalleau, polytechnicien, a fondé la société ZenCom Secure Solutions il y a deux ans, à l'issue de sa formation supérieure d'ingénieur. Spécialisé dans l'audit de sécurité applicatif et les tests d'intrusion, il dirige plusieurs projets dans ces domaines (missions, formations, veille technologique avancée). Il publie régulièrement des articles dans des revues spécialisées et donne occasionnellement des conférences, sur des sujets techniques (ex: SSTIC) ou plus accessibles (ex: International Information Integrity Institute).

L'un des inconvénients majeurs de logiciels à vocation cryptographique en environnement Windows est sans doute l'absence quasi totale de visibilité de l'utilisateur vis à vis de ce qui lui est vendu. Comment s'assurer que ce que l'on achète fait correctement ce qu'il est sensé faire, et ni plus, ni moins ? Il existe une alternative à une confiance aveugle en ce que nous racontent les éditeurs, et qui permettra à toute personne un tant soit peu motivée et techniquement compétente, de se faire une idée par soi-même : le reverse-engineering. Compliqué en temps normal, l'analyse et la rétroconception gagnent une nouvelle dimension lorsque l'on se trouve confronté à des algorithmes imposants et complexes, mais les résultats sont souvent à la hauteur des efforts investis. De façon illustrée et didactique, l'article mettra l'accent sur des résultats que l'on peut obtenir dans le contexte particulier de la cryptographie en environnement Win32, sans toutefois s'attarder sur les techniques de reverse engineering. Libre alors au lecteur de changer de point de vue sur la question :)

Diplomé en Télécommunications et Réseaux, Kostya Kortchinsky a passé un an au service de la DPSD, puis a rejoint le CERT RENATER dont il est maintenant responsable. Il s'intéresse au Reverse Engineering, à la Cryptographie, principalement sous environnement Windows.

La messagerie est un des services les plus utilisés sur Internet et sur les réseaux d'entreprise. L'ouverture de ce service vers Internet nécessite un filtrage efficace pour se prémunir des nombreux risques inhérents au protocole SMTP/MIME : virus, vers, contenus actifs, vulnérabilités des clients de messagerie et des serveurs, chevaux de Troie, usurpation d'identité, relayage, spam, mailbombing, … Cette présentation montre les objectifs d'un filtrage de messagerie, ainsi que les différentes techniques généralement utilisées, dont l'analyse de contenu. Elle détaille ensuite les problèmes et les limites de ces techniques de filtrage, en apportant quelques exemples concrets comme le filtrage de scripts dans HTML ou de macros dans les documents Office, le "zip de la mort", le filtrage par nom ou par contenu. Le cas particulier des webmails est aussi abordé. En conclusion les techniques de filtrage actuelles sont imparfaites mais nécessaires, et quelques pistes d'amélioration sont proposées. Cette présentation est complémentaire de celle que j’avais faite l’an dernier à propos des formats de fichiers et du code malveillant.

Ingénieur au CELAR, Centre Electronique de l'Armement (DGA, Ministère de la Défense). Département Sécurité Système.

Notre article expose les raisons pour lesquelles il peut être intéressant de cacher du code dans le noyau d'un système d'exploitation, que l'on soit animé de bonnes ou de mauvaises intentions. Nous présenterons quelques techniques pour le faire, ainsi que quelques contre-mesures possibles, applicables sur des systèmes Unix (Linux et BSD), bien que ces méthodes puissent sans doute être adaptées à d'autres OS. Nous terminons par la présentation de deux exemples : Sebek (outil de capture de données sur un honeypot) et la backdoor noyau Adore.

Etudiants à l'ENSEIRB en troisième année d'informatique, nous avons participé dans le cadre des cours de sécurité réseau au port de Sebek pour les BSD. Nous sommes membres du French Honeynet Project http://frenchhoneynet.org/ et d'un groupe de quelques développeurs/bidouilleurs : La Droids Corp. Je suis actuellement en stage à EADS Telecom, avec Arnaud EBALARD. Pierre LALET est quant à lui stagiaire au CEA.

Faisant suite à l'article que j'ai présenté à SSTIC l'année dernière, ce nouveau papier propose une solution distribuée pour marquer, de manière sécurisée, la frontière des réseaux domestiques, c'est à dire les dispositifs qui y appartienent. Elle repose sur une utilisation originale de paires de clés publiques / privées. Outre le fait qu'elle réponde aux besoins spécifiques des réseaux domestiques déjà expliqués l'année dernière, cette proposition présente plusieurs avantages, du point de vue de la facilité d'utilisation.

Nicolas Prigent est doctorant en informatique à l'Université de Rennes 1. Sa thèse, en co-tutelle entre le Security Lab de Thomson et l'équipe SSIR (Sécurité des Systèmes d'Information et des Réseaux) de Supelec, porte sur la sécurité des réseaux domestiques.

Les logiciels Microsoft (tels que MS-DOS et Windows 3.1) ont longtemps trainé une réputation d'instabilité chronique plutôt pittoresque (qui ne connait pas le fameux "écran bleu" ?). Aujourd'hui les dernières générations logicielles (Windows 2000 et XP) doivent faire face à une menace beaucoup plus grande : celle de l'ouverture aux réseaux, Internet en particulier. Les défaillances logicielles ne sont plus alors de simples nuisances pour l'utilisateur, mais des failles majeures dans lequelles s'engouffrent virus, spammeurs et pirates informatiques. Après avoir longtemps ignoré ce problème, Microsoft se devait de réagir face à plusieurs attaques de grande envergure (historiquement Melissa et Code Red). Plusieurs annonces fortement médiatisées autour de la sécurité ont alors été faites en plus haut lieu (formation de tous les développeurs, audit de code), sans empêcher pour autant de nouvelles attaques à large diffusion (Slammer, Blaster, Klez, MyDoom, la liste est longue). Qu'en est-il exactement et qui faut-il croire ? Cette présentation a pour vocation de retracer un historique de la sécurité chez Microsoft, les grandes campagnes, ce qu'elles ont apportées à la sécurité Windows et les failles qu'elles ont laissées. Cet historique abordera également le présent de Windows, avec les innovations techniques majeures (pourtant mal documentées) de Windows 2003 et de Windows XP SP2. Ayant passé en revue les imperfections de tous les mécanismes susmentionnés, cette présentation se concluera par quelques éléments de prospective sur les solutions de protection matérielles déjà annoncées et leur efficacité attendues, ainsi que les nouveaux risques auxquels ces solutions devront faire face dans un avenir très proche.

Nicolas RUFF est expert sécurité Windows au sein de la société EdelWeb (Groupe ON-X). Ses domaines d'activité de prédilection sont : - L’assistance sécurité à la migration de Windows NT4 vers Windows 2000, XP et 2003 - Le test d'intrusion et l'analyse "post-mortem" en environnement Windows - La définition de politique de sécurité et la réponse aux incidents en environnement bureautique - L'analyse de code binaire ("reverse-engineering") sur des codes malveillants (vers, virus, rootkits, etc.) Il est l’auteur de nombreuses publications sur la sécurité Windows dans des revues spécialisées, dispense régulièrement des formations sur le sujet et participe à des conférences telles que InfoSec, EuroSec et la JSSI.

Invités

Intervenants