SSTIC05 - Interventions

Le projet Leurré.com est fondé sur un partenariat entre de nombreux intervenants disséminés dans le monde entier qui ont déployé un ensemble de pots de miel tous configurés de manière identique. Les données collectées sont rassemblées dans une base de données centralisée. Cet environnement unique, administré par l'institut Eurecom, offre à ses partenaires des données qu'ils peuvent analyser par le biais de techniques innovantes. Pour l'instant, plus de 20 plateformes sont en fonctionnement depuis plusieurs mois sur les 5 continents. Ce papier présente les derniers résultats obtenus. Entre autres choses, nous montrons l'influence grandissante du crime organisé dans les attaques vues sur Internet. Nous éclairons les stratégies de coopérations qui existent entre différents groupes d'attaquants. Nous expliquons pourquoi interdire l'accès à son réseau à un certain nombre d'adresses IP déjà vues peut être un gaspillage de ressources. Nous expliquons aussi la valeur que peuvent retirer les administrateurs et les officiers de sécurité des données collectées afin de leur permettre de mieux réagir aux menaces identifiées. Enfin, nous offrons aux participants à la conférence d'accéder gratuitement à l'ensemble de nos données en échange du déploiement d'un de nos honeypots au périmètre de leur environnement.

Marc Dacier reçoit le diplôme d'ingénieur civil en informatique de l'Université Catholique de Louvain (UCL), Belgique, en 1989 et un doctorat, label européen, de l'institut national polytechnique de Toulouse, France, en 1994. De 1989 à 1991, il travaille à l'UCL. De 1992 à 1994, il fait partie du groupe Tolérance aux fautes et Sûreté de Fonctionnement (TSF) du LAAS-CNRS à Toulouse où il travaille sur la problématique de l'évaluation quantitative de la sécurité informatique opérationnelle. En 1995, il travaille pour la société Firstel à Paris en tant que consultant en sécurité. En 1996, il rejoint le laboratoire de recherches IBM de Zurich, Suisse. En 1997, il devient responsable du groupe intitulé « Global Security Analysis Lab (GSAL) ». Ce groupe conduit plusieurs projets dans le domaine de la détection d'intrusions qui ont mené, notamment, à la création du premier produit de corrélation d'alertes, Tivoli Risk Manager. Depuis 1997, il a donné en tant que chercheur invité un séminaire en détection d'intrusions à l'université de Louvain (UCL), de Namur (FUNDP), de Liège (ULg) ainsi qu'à l'ENSEEIHT de Toulouse. En 2002, il reçoit le titre de professeur invité à l'UCL et professeur associé à l'ULg. En 1998, il a cofondé avec Kathleen Jackson du laboratoire national de Los Alamos, Etats-Unis, le symposium « Recent Advances on Intrusion Detection » (RAID). Il en préside le steering comittee. Il fut le codirecteur avec Brian Randell de l'université de Newcastle, du projet Européen MAFTIA. Il sert dans les comités de programme des principales conférences mondiales en sécurité et en sûreté de fonctionnement. Il est membre du steering committee de la conférence « European Symposium on Research in Computer Security » (Esorics). Il est membre du comité éditorial du journal IEEE Transactions on Dependable and Secure Computing. Il a rejoint le département de communications d'entreprises de l'institut Eurecom en Juillet 2002 en tant que professeur. Ses recherches et ses activités d'enseignement concernent la sécurité informatique, la détection d'intrusion, la gestion des systèmes, la sûreté de fonctionnement en présence de fautes malicieuses. Il est l'auteur de nombreuses publications internationales et de plusieurs brevets.

L'usage de scanners de vulnérabilités pour auditer un réseau est de plus en plus répandu. Pour faire leur travail correctement, ces scanners bénéficient souvent des privilèges d'administrateur du domaine et passent en revue le réseau. Un pirate ne pourrait-il pas ce servir de ces scanners pour obtenir plus de privileges sur le réseau ? Le scanner lui-même ne risque-t-il pas de causer un déni de service sur les machines les plus sensibles du réseau ? Dans ma conférence, je présenterai les problèmes causés par les scanners utilisés dans un réseau en production, ainsi que les attaques qu'un pirate pourrait mettre en oeuvre pour bénéficier des privilèges de ces derniers, puis j'expliquerai comment, du côté de Nessus, nous avons tenté de limiter le risque.

Renaud Deraison est Chief Research Officer dans la société Tenable Network Security qu'il a co-fondé en 2002. Il est par ailleurs l'auteur du logiciel d'audit de vulnérabilité "Nessus", utilisé par plus de 75,000 organisations de par le monde.

Cette intervention a pour objectif de montrer et décrire la réalité d'une cyber-attaque contre le système d'information d'une entreprise. Pour cela les différentes étapes et les moyens mis en oeuvre pour atteindre ce but seront clairement explicités d'un point de vue technique (au travers de démonstrations) mais aussi organisationnel et stratégique. Loin de vouloir effrayer l'auditoire, cette présentation vise plus la sensibilisation et la prise de conscience des réels problèmes de sécurité liés au système d'information. Ici, l'attaque numérique est surtout un outil supplémentaire pour l'entité désireuse d'acquérir du renseignement sur un tiers.

La sophistication croissante des attaques informatiques renvoie de manière récurrente à la question de la protection et de la sécurité des systèmes d'information. Traditionnellement issue de la combinaison de mesures techniques, physiques et organisationnelles, la SSI semble exiger aujourd'hui des réponses nouvelles, non plus seulement fondées sur le principe de la sécurité préventive, mais la défense - légitime - du système. Le recours au principe de légitime défense en vue d'assurer la protection des biens informatiques donne lieu à des problématiques juridiques nouvelles au regard de la complexité des systèmes, des attaques, ainsi que des réponses pouvant entrer dans ce cadre. Strictement bornée par la loi au travers de l'article 122-5 du Code pénal, la légitime défense des biens, mais également des personnes, doit être analysée au travers des spécificités l'informatique. Cette analyse offrira l'occasion de déterminer quels en sont ses principes, ses limites, ainsi que ses éventuelles applications.

Plusieurs années d'audit et de tests d'intrusion menés au sein de différents organismes ont fait apparaître des vulnérabilités génériques, apparaissant régulièrement. Au delà d'un catalogue de ces vulnérabilités, il est important de se focaliser sur les plus récurrentes et d'analyser les origines de celles-ci.

Céline et Laurent Estieux sont tous deux des ingénieurs du bureau Audits/Inspections de la DCSSI, direction du SGDN. Ils mènent de nombreux audits techniques et tests d'intrusion au sein de ce bureau.

De toutes les attaques possibles sur les réseaux IP, celles qui permettent d'aboutir à une redirection de trafic sont les plus lourdes de conséquences. En effet, être capable de forcer le passage d'un flux réseau par un point qu'il contrôle signifie pour l'attaquant la possibilité de l'écouter, de l'intercepter et le modifier, de le détruire ou d'usurper l'une ou l'autre des deux parties de manière plus ou moins transparente et discrète. Dans cet article nous étudions des attaques variées aboutissant à une redirection de trafic en abusant des protocoles clé de différentes couches du modèle OSI. Les conséquences en terme de sécurité seront couplées aux moyens de s'en prémunir.

Nicolas FISCHBACH est Senior Manager chez COLT Telecom et dirige l'équipe sécurité au sein du département européen d'ingénierie IP. Il est également co-fondateur de Sécurité.Org, un site web francophone dédié à la sécurité informatique, d'eXperts, un groupe informel de spécialistes sécurité ainsi que du chapitre français du Honeynet Project. Nicolas participe à de nombreuses conférences (BlackHat Briefings, CanSecWest, Defcon, JSSI, Eurosec, NANOG, Cisco Systems, RIPE, SwiNOG, Libre Software Meeting, etc), publie des articles (MISC) et donne des cours dans différentes écoles et universités (HEC, Université de Genève, ITIN, etc). Pour plus d'informations: http://www.securite.org/nico/

Pierre BETOUIN est étudiant en 4e année à l'ESIEA (École supérieure d'informatique, d'électronique et d'automatique) de Paris, et travaille également au centre commun de recherche d'EADS dans l'équipe SSI (Sécurité des Systèmes d'Information). Il a été responsable du Challenge-SecuriTech (http://www.challenge-securitech.com), concours français de sécurité informatique de 2002 à 2004.

Cédric Blancher a passé quatre ans comme consultant en Sécurité des Système d'Information, s'occupant principalement d'audits, de tests d'intrusion et de formations. Il est aujourd'hui ingénieur-chercheur au département SSI (DCR/SSI) du Centre Commun de Recherche d'EADS France où il se focalise sur la sécurité des réseaux IP et les honeypots. Rédacteur pour MISC et Linux Magazine, membre du groupe Rstack et du French Honeynet Project, intervenant en mastère à la faculté de Limoges et à l'ESIEA, conférencier (Eurosec, SSTIC, JSSI, Cansecwest, Recon, etc.), il participe enfin autant que possible à la promotion et au développement du logiciel libre en SSI, particulièrement dans les pays en voie de développement, via des formations (INTIF) ou sa participation à des conférences (RMLL, CODI, etc.). Site: http://sid.rstack.org/

La majorité des vendeurs de logiciels fermés ne divulguent plus les détails spécifiques des failles corrigées lorsqu'ils publient un patch. Dans une perspective offensive, il est important d'être capable de comprendre rapidement les changements qui ont été effectués au sein de l'application pour profiter de la fenêtre de temps durant laquelle on peut prendre le contrôle des systemes qui n'ont pas encore été mis à jour. Cette technique de comparaison d'objets exécutables a d'autres applications: avec l'arrivée de virus écrits dans un langage de haut niveau et de codes malveillants (malware), les analystes anti-virus doivent désassembler plusieurs variantes du même programme, ce qui long et fastidieux. Nous discuterons d'une approche abstraite pour construire rapidement un isomorphisme entre les fonctions, les blocs basiques et les instructions des deux objets exécutables en se basant sur la structure logique du code (callgraph et flowgraph).

Thomas Dullien a donné de nombreuses présentations sur le sujet du reverse engineering sous le pseudonyme Halvar Flake depuis l'été 2000. Il fait des études de mathématiques et cryptographie à l'Université de Bochum. De plus, il travaille pour SABRE Security GmbH, une société qui se spécialise dans des outils d'analyse de code et de reverse engineering.

La guerre en Irak de 2003 a souligné l'importance prise par la manipulation de l'information dans les relations internationales. Mais c'est dans le monde économique que la guerre de l'information prend aujourd'hui une dimension majeure. Les attaques informationnelles peuvent prendre différentes formes : créer un doute sur la qualité des produits d'une entreprise, nuire à la réputation de ses dirigeants ou encore diffuser des rumeurs sur ses résultats financiers ou commerciaux. Ces actions déloyales sont nuisibles et difficiles à contrer par le recours à la police et à la justice. Les attaques informationnelles sont la plupart du temps indirectes et lancées à partir de la société civile. La maîtrise de ce risque informationnel est un nouveau type de défi stratégique pour l'entreprise qui doit tenir compte d'une évidence : l'avantage est pour l'instant à l'attaquant.

C. Harbulot est Directeur de l'École de Guerre Économique www.ege.eslsca.fr) et Directeur associé du cabinet C4IFR www.c4ifr.com).

Si on devait établir une échelle de valeur des outils liés à la sécurité des systèmes d'information, les exploits dits "0day" auraient sans nul doute une place de choix. Ce terme anglais (dont la traduction littérale est 0jour), désigne une catégorie particulière d'outils d'exploitation de vulnérabilités : ceux qui permettent de compromettre des systèmes à jour. Plusieurs raisons possibles à cela : l'éditeur est au courant de la faille mais n'a pas encore publié de correctif : l'éditeur n'est pas au courant de la faille, cette dernière n'étant partagée que par un nombre restreint de personnes. Toujours est-il que dans une telle situation, les systèmes et réseaux comprenant le composant vulnérable sont exposés. À cause de cela, les 0days sont très recherchés, aussi bien par les pirates que par les professionnels de la sécurité, qui y trouvent un moyen efficace de réaliser avec succès un test d'intrusion. Mais comment mettre la main sur ces exploits si particuliers ? C'est évidemment là que réside l'essence du problème. Certains envisagent les pots de miel comme une solution, en attendant de capturer les paquets d'un exploit pour une vulnérabilité non répertoriée ; mais le taux de réussite est relativement faible. D'autres tentent de les échanger, contre des ressources diverses, de l'argent (oui, ça s'appelle les payer), d'autres 0days (le serpent se mord la queue). De mon point de vue - qui rejoint je pense celui de bon nombre d'autres - la meilleure façon d'avoir un 0day reste encore de chercher des failles soi-même. Au travers de 6 failles trouvées dans 3 services différents de systèmes d'exploitation Windows (non publiées à l'époque de l'écriture de ce document), je dresserai le tableau de la naissance d'exploits 0day, et de leur vie jusqu'à la publication des correctifs de sécurité, signifiant leur mort. Je m'attarderai sur les détails techniques de la découverte des failles, de l'implémentation des outils d'exploitation, tout en décrivant les procédures organisationnelles adoptées pour communiquer avec Microsoft et publier les avis de sécurité.

Ingénieur en Télécommunications et Réseaux, Kostya Kortchinsky a travaillé pour le Ministère de la Défense durant une année pour ensuite rejoindre le CERT RENATER dont il est maintenant responsable. Passionné de technique, il s'intéresse au reverse engineering, à la cryptographie, à la recherche de vulnérabilités, au développement d'exploits. Il est membre du French Honeynet Project, écrit des articles dans MISC ainsi que dans la revue sécurité du CNRS.

Les attaques sur les téléphones mobiles sont-elles réelles ? Pour répondre à cette question, il est nécessaire en premier lieu de classifier les objectifs des attaquants et de les confronter aux « moyens » fournis par le téléphone mobile. Les applications de messaging (SMS, MMS, email) et de navigation internet (WAP, Imode) favorisent le dénie de service ; Les applicatifs téléchargeables (Jeux Java ; applications natives Symbian, WinCE) favorisent quand a eux les attaques de type virale qui permet la violation de l'intégrité des données utilisateur et l'intégrité du système. Compte tenu du faible nombre d'attaque de ce type comparé au nombre imposant de mobiles sur le marché, on peut considérer que la menace existe mais que la guerre n'a pas eu lieu. Une des raisons majeures (et en cela se distingue du monde des PCs) : la diversité des OS, des fabriquants et de leurs implémentations logicielle et hardware. En fait, les attaques actuelles sont localisées au niveau du dé-Simlockage des mobiles et de la falsification de l'IMEI en cas de vol. Les attaques utilisent la plupart du temps les moyens logiques offerts par les téléphones mobiles eux-mêmes. Tous les mobiles sont touchés et la motivation est purement d'ordre économique. Appuyés par la Commission européenne, les opérateurs se sont organisés pour lutter contre ce crime et ont exigé des fabricants des implémentations spécifiques. Ce qui est un avantage actuellement pourra bien devenir un inconvénient à l'avenir dès lors que les contenus proposés auront une valeur ajoutée réelle et attireront les hackers. En effet, il deviendra difficile pour un opérateur de garantir un niveau de sécurité identique pour des implémentations différentes. Si une sécurité forte devient nécessaire pour distribuer les contenus Vidéo Musique et TV, il faudra revoir la copie et passer par des regroupements d'opérateurs afin d'imposer leurs exigences sécuritaires aux fabricants de mobiles au delà des normes existantes.

Après avoir participé au développement de la carte à puce GSM chez Gemplus, Michel Morvan a pris en charge les activités de sécurité pour les téléphones mobiles Mitsubishi pendant les 5 dernières années. Il a parallèlement assuré la coordination des développements logiciels pour la réalisation des mobiles Mitsubishi à forte valeur ajoutée en multimédia et applications. Il travaille désormais pour le laboratoire de sécurité de Thomson Multimédia Corporate Research en qualité de chef de projet en sécurité.

Aujourd'hui les attaques sur Internet sont très nombreuses, et il est impossible des les éliminer toutes par les méthodes habituelles de la sécurité qui visent simplement à faire échouer ces attaques en renforçant les protections et en éliminant les vulnérabilités dès qu'elles sont connues. En complément, il faut aussi utiliser des méthodes de tolérance aux intrusions, de façon à les détecter et en corriger les effets avant qu'elles ne provoquent de dégâts. Mais les techniques classiques de la tolérance aux fautes ne peuvent s'appliquer telles quelles : les hyptohèses d'indépendance de fautes, facilement justifiables pour des événements accidentels, ne sont pas valables pour des attaques délibérées~; la redondance nécessaire à la tolérance aux fautes peut être nuisible à la confidentialité. Il convient donc de développer des techniques de tolérance adaptées aux spécificités des intrusions, comme la fragmentation-redondance-disséination (FRD) et la diversification des plate-formes. Au cours de la présentation, différents projets seront décrits, en particulier le projet européen MAFTIA et le projet DARPA DIT.

La maturation de la sécurité d'une entreprise est un processus très long basé sur une organisation, une expertise technique et une dynamique de communication en continu. Depuis 1999, Bouygues Telecom a créé un service sécurité composé de 15 personnes dont la mission est de protéger les patrimoines matériels et immatériels de l'entreprise. La stratégie développée a permis de donner une forte culture sécurité et assurer une continuité des services aux clients.

Ingénieur Industriel en Production (Mexique) et DESS en Sociologie des Organisations à Paris IX Dauphine Elle a été consultante en sécurité des systèmes d'information pendant 12 ans au sein d'XP Conseil, société spécialisée en sécurité informatique. Au cours de ces années, elle a assisté de nombreuses sociétés françaises et européennes dans les secteurs industriels, alimentaires, bancaires et assurances et s'est spécialisée dans les schémas directeurs de sécurité et les plans de continuité. Depuis 1999, elle a intégré Bouygues Telecom où elle occupe la fonction de responsable de la Sécurité des Biens.

L'objet de cette intervention est de présenter les stratégies et les techniques mises en oeuvre pour contourner les passerelles antivirus. Après une présentation des fondements théoriques, ces techniques seront illustrées à travers des exemples pratiques. Le logiciel ClamAV servira de plate-forme pour les démonstrations.

Après quelques années passées à "observer" le monde d'Internet et l'émergence des technologies dites "nouvelles" au sein d'un cabinet de veille, j'interviens, depuis 1997, pour des missions d'adminitration système (majoritairement Unix) et réseaux (TCP/IP) ou d'ingénierie Sécurité (avec un fort tropisme pour la détection d'intrusion) en tant que consultant indépendant depuis 2002 auprès d'entreprises grandes et/ou moyennes de tous secteurs (majoritairement - mais pas exclusivement - industrie et télécoms).

Lors du SSTIC’04, la conférence « Honeypots, un pot-pourri … juridique » s’était achevée sur une question laissée en suspens, faute de temps pour pouvoir la traiter correctement, et qui portait sur l’utilisation des traces informatiques enregistrées par le système pot de miel dans le cadre d’une poursuite judiciaire contre l’attaquant. Cette année, nous nous proposons donc de répondre de façon précise et détaillée à la question qui avait été ainsi formulée et qui nous conduira à exposer le régime de la preuve en matière de fraude informatique. Les notions qui seront abordées au cours de cette conférence seront donc les suivantes : système de liberté de la preuve en droit pénal et ses limites, question de la fiabilité des preuves numériques et difficultés de la preuve du caractère intentionnel et de l’imputabilité, problème de la loi applicable sur l’Internet…

Conseil spécialisé « IT & sécurité » au sein de la Direction juridique de Gemplus pendant 5 ans, Marie Barel y a agi en interface dédiée de la Sécurité Groupe, de la DSI, du département Sécurité des technologies (R&D, risk management) et du service Propriété industrielle. Collabore auparavant au sein du cabinet Donio, expert judiciaire en informatique près la Cour de Cassation et comme assistante auprès des maîtrises d’oeuvre et d’ouvrage dans le cadre de projets informatiques du Tribunal de Grande Instance de Paris. Débute sa carrière à l’APP (Agence pour la Protection des Programmes), association pour la défense des droits d’auteur de logiciels et d’œuvres numériques. Contributions aux revues MISC, Expertises des systèmes d’information et Legalis.net. Formateur externe à Supelec, l’ESEO … et le centre de formation AFTEC, Marie Barel, qui, suite à un mouvement géographique vers la Province, intervient désormais dans le cadre de missions en free-lance, reste ouverte à vos opportunités de postes de consultant spécialisé « TIC et sécurité ».

Les dénis de service ne sont pas nouveaux. Les principales techniques utilisées ont parfois plus de dix ans. Néanmoins l'accroissement sensible des attaques de ce type, généralement à des fins d'extorsion, prouve d'une part qu'elles restent d'actualité et d'autre part que les solutions proposées aujourd'hui ne permettent pas de se protéger efficacement. Nous verrons dans un premier temps les aspects techniques de telles attaques en détaillant leur fonctionnement et leur impact sur les composants du système d'information. Nous essaierons ensuite de trouver des solutions techniquement pertinentes, industriellement fiables et applicables dans le cadre d'un réseau d'entreprise.

Renaud Bidou travaille comme consultant Sécurité pour la société Radware en Europe. Spécialisé dans le domaine de la sécurité informatique depuis près de 10 ans, il a conseillé des opérateurs de télécommunications, mis en place de nombreuses solutions de sécurité pour les entreprises et créé le premier centre de supervision de sécurité français en 2000. Il enseigne également dans les universités de Franche-Compté, aux mines de Nancy, Paris VI et participle à de nombreuses publications et conférences internationalles dans le domaine de la sécurité informatique.

La présentation détaillera le fonctionnement d'un réseau VoIP en entreprise en soulignant l'aspect sécurité et confidentialité des communications. Pour illustrer nos propos, une démonstration sera réalisée.

Travaille au Centre Commun de Recherche d'EADS

L'analyse forensique (ou analyse post-mortem) aide les administrateurs système et les enquêteurs en leur fournissant des outils et des techniques qui leur permettent de comprendre une attaque informatique, de restaurer un système sain et de trouver le(s) attaquant(s). Cette activité est aujourd'hui en grande partie empirique et repose sur l'expérience des enquêteurs. Nous proposons dans cet article d'utiliser les réseaux bayésiens pour automatiser (sous certaines conditions) les investigations informatiques. Notre modèle, XMeta, est basé sur la connaissance de l'architecture et de la configuration des systèmes d'information, sur les indices accumulés tout au long de l'enquête et sur les résultats des enquêtes précédentes. Ces informations sont enregistrées dans une base de données mise à jour à chaque nouvelle enquête, et qui permet de proposer des hypothèses pour l'enquête en cours. L'intérêt de notre méthode est ensuite illustré par l'étude d'une affaire bien connue: l'attaque du réseau de Tsutomu Shimomura par Kevin Mitnick.

Voici mon parcours : - ESEO (Ecole Supérieure d'Electronique de l'Ouest) à Angers - DEA Réseau au LIP6 (Laboratoire Informatique de Paris 6) Actuellement je suis en troisième année de thèse entre le CELAR (DGA) et Supélec sur l'analyse forensique.

La consommation de toutes les ressources mémoire d'une application peut entraîner un dysfonctionnement, voire un "crash" de celle-ci. Je montrerai que l'impact de cette attaque est parfois largement sous-estimé : au-delà du déni de service, elle peut permettre dans certaines conditions l'exécution de code arbitraire dans l'espace mémoire du processus. D'une manière plus globale, j'étudierai l'impact d'une forte utilisation de la mémoire et des limitations liées à la taille de stockage des variables sur la sécurité des applications. Les différences entre les architectures 32 bits et 64 bits seront abordées, ainsi qu'entre les systèmes d'exploitation (MS Windows, Linux, Linux avec grsecurity, Solaris, HP-UX). Je détaillerai les différents types de bugs liés à ce thème, les techniques d'exploitation associées, et la façon de les prévenir.

Gaël Delalleau, polytechnicien, est actuellement Manager au sein du Pôle Sécurité du cabinet B*******. Expert en audit de sécurité applicatif et tests d'intrusion, il a dirigé plusieurs projets dans ces domaines (missions, formations, veille technologique avancée). Il publie régulièrement des articles dans des revues spécialisées et intervient au sein de conférences internationales.

Les clusters de calcul haute performance (HPC) sont de plus en plus répandus dans les organisations gouvernementales, les grandes entreprises et les laboratoires scientifiques. Ils permettent des avancées majeures pour la société et l'économie, puisqu'ils aident à mieux comprendre, concevoir, prévoir, et simuler des phénomènes ou des structures. Ces regroupements importants de ressources sont donc des cibles intéressantes. Alors que certains clusters sont reliés entre eux via Internet pour former des grilles, les problèmes de sécurité rencontrés, associés à la spécificité de l'environnement, résolument tourné vers l'efficacité, nous enjoignent à considérer les solutions de détection d'intrusions. Nous mettons en évidence le fait que l'aspect "performance'' et la topologie du système imposent de nouvelles techniques peu intrusives. Ceci ne peut se faire qu'au regard de l'architecture étudiée. Celle-ci fait déjà l'objet d'études d'efficacité à travers divers outils d'instrumentation. Ainsi, forte de ces précédents travaux, la détection d'intrusion en environnement haute performance peut être efficace et conduire à un système plus sûr, grâce à la détection d'anomalies et de fraudes.

ANALYSE FORENSIC À partir d’un scellé, il s’agit de retrouver l’ensemble des preuves répondant à un délit ou crime. Après clonage du disque, et vérification que le clone est totalement identique à l’original (utilisation de différents algorithmes de hachages), les investigations peuvent commencer. Les fichiers ne peuvent être qu’en lecture seule. Un journal de toutes les investigations effectuées est généré. Dans ce journal, l’ensemble des preuves (objet évidence) est retranscrit. Différentes analyses sont effectuées. - Sur les répertoires par la cartographie complète de l’ensemble des données contenues dans le disque y compris les données effacées. Les espaces inter-partitons sont récupérés ainsi que les queues de clusters (partie du cluster non utilisée). - sur les fichiers avec un interpréteur de données puissant. - sur les images avec une prévisualisation directe. -sur la base de registre. Les images peuvent ensuite être comparées et une analyse probabiliste présente un éventuel rapprochement des couleurs avec la couleur de la peau. os : • Windows 95/98/Me • Windows NT 4.0 • Windows 2000 • Windows XP analyse effectuée à partir de l'outil x-ways forensic

professeur associé université de Reims expert judiciaire près la cour d'appel de Reims enseignant au Cnam

Les informations les plus sensibles d’une entreprise sont généralement stockées dans des serveurs de bases de données comme Oracle. Or de tels serveurs sont souvent peu sécurisés, car dans la pratique les administrateurs Oracle (les fameux « DBA ») ne sont que rarement formés et sensibilisés à la sécurité, en particulier aux problèmes spécifiques d’Oracle. De plus, l’installation par défaut d’un serveur Oracle comporte de nombreuses vulnérabilités importantes dont un attaquant averti peut facilement tirer profit, parfois même indirectement à travers un pare-feu ou un serveur web intermédiaire. Cet article et la présentation associée ont pour but de montrer concrètement les principales intrusions permettant d’accéder aux données du serveur, ou même de prendre le contrôle du système d’exploitation hôte, en se basant sur les vulnérabilités d’Oracle. Bien sûr, quelques recommandations seront fournies pour se protéger contre ces intrusions.

Ingénieur au CELAR, Centre d'Electroniqe de l'Armement, au département Sécurité Systèmes. Travaille sur la spécification, l'analyse de vulnérabilités et l'audit sécurité des systèmes développés pour le Ministère de la Défense.

Cette présentation a pour but d'attirer l'attention sur les faiblesses des outils de contrôle d'intégrité classiquement déployés aujourd'hui vis à vis des différents vecteurs de camouflage des chevaux de troie actuels. Une petite démonstration d'une infection non détectée sera également réalisée.

Cyril Leclerc, diplômé de l'Institut Universitaire de Technologie d'Orsay ,est "expert" en détection de vulnérabilités et en tests d'intrusions depuis 5 ans. Après une expérience d'une année où il a effectué divers développements spécifiques dans le cadre de simulateurs de vols militaires puis dans le domaine de l'administration des systèmes et réseau, il s'est spécialisé dans la sécurité des systèmes d'information et a réalisé de nombreux audits et tests de vulnérabilités pour le compte d'entreprises et organismes français et étrangers. Après 4 ans en tant que Consultant Sécurité chez XP Conseil, il fait aujourd'hui parti du cabinet de conseil ARSeO.

Le but de cet article est de démontrer la faisabilité et d'évaluer la complexité de la création d'un ver exploitant une vulnérabilité liée à une application web (''Web-Worm''). Le ver de référence, Santy.A est brievement analysé, puis un nouveau ver plus efficace est créé étape par étape.

Consultant à Thales Security Systems, spécialisé dans les tests d'intrusion.

Les systèmes d'information sont des systèmes complexes. De part cette complexité, les systèmes d'information sont de plus en plus exposés aux différentes attaques et malversations des entités en interaction. Paradoxalement, l'informatique propose que très peu d'outils permettant d'aider à appréhender la complexité des systèmes d'information et en particulier leur sécurité. Ceci peu s'expliquer, entre autre, parce qu'il est extrêmement difficile de formaliser ce type de système. En ce qui concerne la sécurité des systèmes d'information, un environnement virtuel de prototypage interactif, de formation, et de simulation des systèmes d'information serait une aide précieuse dans ce domaine. Afin de tenter d'outiller de la sorte le domaine de la sécurité des systèmes d'information, il convient d'exposer l'historique de nos travaux afin de dégager la problématique de notre approche. Nous présentons notre plate-forme hybride de simulation des système d'information avant de proposer des perspectives qui nous semblent intéressantes.

Dans le cadre du projet EREBOR (DGA/CELAR), l'équipe BridNet (hyBrid Network) du Centre Européen de Réalité Virtuelle effectue des recherches dans le domaine de la simulation de la sécurité des systèmes d'information. Depuis plus de 6 ans nous évaluons l'intérêt de la réalité virtuelle et de la simulation pour les SI et plus particulièrement pour leur sécurité. Nos conclusions actuelles nous laissent penser que la simulation hybride au sens d'un couplage réel-virtuel est une voie prometteuse dans le domaine de la formation à l'architecture des systèmes d'information.

De nos jours la photographie numérique tend à remplacer le développement argentique de part sa simplicité d’utilisation et du faible coût qu’elle engendre. Hélas, la facilité de copie qu’elle procure se transforme vite en désavantage pour le consommateur quand il s’agit de préserver la confidentialité de ses photos (c’est-à-dire sa vie privée). En effet, il est possible de faire des copies à l’insu et au détriment des utilisateurs. Afin de les tranquilliser, les laboratoires de développement photos mettent en oeuvre des solutions telles que des CDs cryptés pour assurer la confidentialité des données lors des transmission entre l’utilisateur et le lieu de développement. Comme nous le montrerons, les méthodes de transfert actuellement utilisées ne sont pas suffisamment sures. Nous illustrerons notre propos en montrant comment il est possible de lire les photos contenues sur les CDs cryptés. Cet article s’attachera à pointer les lacunes constatées et proposera quelques solutions. En résumé, aujourd’hui le développement numérique est beaucoup moins sûr que le développement argentique en terme de confidentialité.

Docteur en Informatique de l'Université Bordeaux 1, Damien Sauveron a travaillé pendant trois ans pour le CESTI (Centre d'Evaluation de la Sécurité des Technologies de l'Information) de SERMA Technologies sur la sécurité de la technologie Java Card. Durant sa thèse effectuée au LaBRI (Laboratoire Bordelais de Recherche en Informatique) dans l'équipe << Systèmes et Objets Distribués >> il a développé un émulateur Java Card, il a introduit le concept de pré-persistance en Java Card, mis en évidence une nouvelle catégorie d'attaques sur les cartes à puce multi-applicatives ouvertes et il a proposé une solution pour sécuriser le calcul sur la grille à base de Java Cards. Il a aujourd'hui rejoint l'équipe << Sécurité de l'Information >> du LMSI (Laboratoire Méthodes et Structures Informatique) de Limoges. Il exerce actuellement la fonction d'ATER à l'Université de Limoges. Pierre Dusart a également travaillé plusieurs années pour le CESTI de SERMA Technologies comme cryptanalyste et il est aujourd'hui Maître de Conférences à l'Université de Limoges. Il est membre de l'équipe << Arithmétique, Cryptographie, Codage >> du LACO.

Résumé : La maintenance de l'assurance sécurité couvre les problématiques liées à la prorogation des résultats d'une expertise sécurité menée sur un Système d'Information -- par ex : audit technique de sécurité conduit de manière objective et répétable, évaluation de la sécurité des TI selon les Critères Communs -- sur une période de temps donnée, en prenant en compte les changements susceptibles d'affecter la valeur du résultat établi par l'expertise sécurité du SI. Les changements peuvent être de nature _interne_ : changement de configuration (paramètres ou version logicielle) de composants du système, ou _externe_ : apparition de vulnérabilités, nouvelles techniques d'attaque, occurrence d'intrusions (qu'elles aient été contrées ou non par les mesures de sécurité ayant fait l'objet de l'expertise). Cet article présente un certain nombre de notions issues de notre compréhension de ce sujet, dans le but de permettre aux RSSI de mieux appréhender et planifier, dans une démarche de Système de Gestion de la Sécurité Informatique (ISMS), les activités et les mesures de maintenance de l'assurance sécurité. Les démarches de maintenance de l'assurance sécurité spécifiques au Schéma Français d'Évaluation et de Certification sont présentées à titre d'exemple.

1995 : Doctorat d'Informatique Fondamentale de l'Université Paul Sabatier

UberLogger est un dispositif permettant de capter furtivement une quantité d'information conséquente sur différents systèmes (comme Linux, FreeBSD ou bien UML). Lorsqu'il est utilisé sur UML il permet de créer un réseau de pots à miels au sein d'une seule machine. L'étude des informations recueillies permet d'obtenir les outils et les techniques utilisées par les pirates pour compromettre une machine. Ce dispositif est présenté sous la forme d'un module noyau.

Invités

Intervenants