SSTIC06 - Interventions

L'identification par radiofréquence (RFID) est une technologie qui permet d'identifier des objets sans contact physique ni visuel. Il suffit pour cela de placer un transpondeur sur ou dans les objets et de les interroger à distance avec un lecteur. Cette technologie n'est pas fondamentalement nouvelle, mais le déploiement soudain qu'elle connaît soulève de nombreuses questions en terme de sécurité. Après une brève présentation de la technologie RFID, nous nous intéresserons aux problèmes de sécurité qu'elle engendre. Nous considérerons dans un premier temps les applications de contrôle d'accès, en décrivant quelques exemples de systèmes d'authentification défaillants. Nous aborderons ensuite un autre problème, celui du respect de la vie privée. Ce dernier point est aujourd'hui au coeur de tous les débats qui entourent la RFID.

Gildas Avoine est postdoctorant au MIT (USA) dans le groupe de sécurité de l'information et cryptographie. Il est diplômé en mathématique et en informatique de l'Université de Caen et docteur en sciences (spécialité cryptographie) de l'Ecole Polytechnique Fédérale de Lausanne (Suisse). Ses recherches concernent principalement les problèmes de sécurité liés à l'identification par radiofréquence (RFID).

La sécurité est devenue une priorité grandissante dans nos sociétés modernes. Elle est devenue une préoccupation incontournable quel que soit le secteur d'activité et de fait elle représente une ressource stratégique qui classe les pays selon leur engagement dans ce domaine. Si l'information et les systèmes la traitant sont, pour le grand public, les plus gros demandeurs de sécurité, ce besoin est certainement plus important dans les secteurs régaliens où les SIC ne sont qu'un outil au service de l'Homme. Cette conférence traitera de cette problématique de la sécurité dans cette perspective élargie. L'évolution de la pensée dans ce domaine et des enjeux qui y sont attachés sera également abordée (la guerre au 21° siècle, la stratégie militaire de la France, de l'Europe, modification des équilibres économiques et ses conséquences sur la sécurité du monde.).

École militaire de Saint-Cyr, diplômé de l'École nationale des Ponts et chaussées, breveté de l'École supérieure de guerre, CHEM/IHEDN, commandant de la région terre nord-ouest et officier général de la zone de défense ouest

Lors de cette présentation, nous détaillerons la manière dont un attaquant peut compromettre un système en ne touchant qu'à sa mémoire. Tout le scénario d'intrusion sera repris, à partir de l'exploitation jusqu'à l'installation d'une backdoor. Nous parlerons des possibilités qu'un attaquant possède pour exécuter un binaire à distance notamment avec les techniques de syscall proxy et de 'remote userland execve'. Nous parlerons aussi d'injection de librairie à distance concernant la partie backdoor. La conférence se terminera par les éventuelles possibilités qui peuvent exister pour contrer ces attaques.

Samuel Dralet est ingénieur sécurité.

François Gaspard est étudiant en dernière année à l'Université Libre de Bruxelles. Passionné depuis de nombreuses années par la sécurité informatique, il termine actuellement un mémoire sur les attaques et défenses du kernel Linux.

Lors de cette présentation, nous détaillerons comment il est possible pour un attaquant possédant les privilèges adéquats de s'approprier le contrôle total d'un système en utilisant les fonctionnalités (utiles ou inutilisées) présentes dans le matériel. A l'aide de plusieurs exemples concrets, nous montrerons comment les mécanismes hardware des processeurs, des chipsets ou des périphériques peuvent mettre en péril les politiques de sécurité des systèmes d'exploitation. Il est important de noter que les méthodes d'escalade de privilèges mises en évidence n'utilisent en tant que tel aucun défaut d'implémentation des systèmes mais se contentent d'exploiter des incohérences dans les modèles de sécurité. Nous montrerons également comment les systèmes peuvent se prémunir contre ce type de menace et évoquerons l'effort de réflexion supplémentaire à effectuer sur les modèles de sécurité des systèmes pour prendre pleinement en compte le problème.

Loïc Duflot est ingénieur de recherche au sein de la sous-direction scientifique et technique de la Direction Centrale de la Sécurité des Systèmes d'Information (DCSSI). Il travaille au Laboratoire des Technologies de l'Information. Il est doctorant en informatique à l'université de Paris XI et sa thèse porte principalement sur les interactions entre le matériel et les systèmes d'exploitation.

Olivier Grumelard est ingénieur de recherche au sein de la sous-direction scientifique et technique de la Direction Centrale de la Sécurité des Systèmes d'Information (DCSSI). Il anime la Cellule d'Assistance Technique en Conception. Il est responsable du groupe de travail « Sécurité logique » de la Commission Interministérielle de la SSI, chargé d'enseignement au centre de formation de la SSI et officier de réserve à l'Etat-Major de l'Armée de l'Air (politique SSI). Il concentre principalement ses activités d'expertise et de recherche sur les problématiques de sécurité locale (systèmes d'exploitation) et réseau.

Les systèmes de communication basés sur des réseaux d'entités auto organisées ne disposant pas d'une infrastructure préexistante sont amenés à jouer un rôle grandissant dans la société et l'économie moderne. Ces systèmes représentent un scénario susceptible d'offrir des moyens pour la création de services et réseaux ad hoc. Cependant, afin que ces services soient exploitables, ils doivent se baser sur un réseau sécurisé. La grande sensibilité des réseaux mobiles ad hoc par rapport aux réseaux dédiés comme l'Internet, est due à l'absence de noeud jouant un rôle prédéfini dans les opérations de gestion du réseau. Initialement, des applications basées sur des réseaux ad hoc ont été envisagées principalement pour les situations de crise (par exemple, dans les champs de batailles ou dans des opérations de sauvetage). Dans ces applications, tous les noeuds du réseau sont sous le contrôle de la même autorité et ont un but commun. Cependant, les technologies sans fil se sont sensiblement améliorées ces dernières années et des dispositifs peu coûteux basés sur la norme 802.11 ont envahi le marché. En conséquence, le déploiement des réseaux ad hoc ouverts pour des applications civiles est devenu réaliste. Dans ces réseaux, les noeuds n'appartiennent généralement pas à la même structure ou organisation ni à une même autorité ; de plus, les utilisateurs ne partagent pas un but commun. Dans ce cas extrême, l'absence d'un rapport de confiance a priori entre les membres du réseau fait de la sécurité un composant essentiel pour permettre un déploiement et une utilisation réalistes. Dans cette présentation nous abordons les questions de sécurité soulevées par les réseaux ad hoc ouverts. Nous étudions d'abord l'impact de plusieurs menaces qui ont été souvent négligées par la communauté scientifique qui s'est concentrée sur le développement de protocoles d'acheminement ad hoc dans lesquels tous les participants sont considérés comme fiables. Une analyse basée sur la simulation conduite dans nos laboratoires a indiqué que la coopération entre les noeud d'un réseau ad hoc est essentielle. Notre étude a souligné deux axes de recherches intéressantes: la nouveauté représentée par le phénomène de l'égoïsme des noeuds qui nécessite des mécanismes d'incitation à la coopération et la tache délicate qui vise à fournir et établir des relations de confiance et de sécurité entre les noeuds sans besoin d'une infrastructure externe. Dans cette présentation nous proposons un état de l'art sur les mécanismes qui stimule la coopération entre les noeuds d'un réseau ad hoc ouvert. On vas se concentrer en particulier sur les mécanismes a base de réputation et nous présentons, entre outre, notre mécanisme de coopération nommé CORE. La présentation va se terminer avec une discussion sur les différentes approches actuellement disponible dans la littérature.

Après avoir obtenu un diplome de Master en "Communication Systems" de l'Institut Eurecom en 1999, puis un diplome de Master en "Electrical Engineering" de "Politecnico di Torino" en 2001, Pietro Michiardi a intégré, dans le cadre d'une thèse, l'équipe Sécurité des Réseaux de l'Institut Eurecom. Son travail de thèse a porté sur la sécurité des réseaux ad hoc ; il s'est plus particulièrement intéressé à l'utilisation de la théorie des jeux et des modèles économiques dans le contexte des réseaux ad hoc, ainsi qu'à la gestion de la notion de confiance et de réputation à base de mécanismes cryptographiques. En décembre 2004, il a obtenu le titre de docteur en informatique de l'Ecole Nationale Supérieure des Télécommunications (ENST, Paris). Depuis janvier 2005, il occupe un poste d'enseignant-chercheur dans le département Sécurité et Réseaux de l'Institut Eurecom.

Windows Vista, la prochaine version majeure de Windows, implémentera des fonctions logicielles faisant appel au TPM (Trusted Platform Module) qui a été spécifié par le TCG (Trusted Computing Group). Cette conférence présentera l'architecture et quelques éléments d'implémentation de ces fonctionnalités en s'attachant à la description d'un processus permettant d'enraciner la confiance du logiciel dans le matériel sous-jacent. Par ailleurs, les perspectives de l'évolution de ces technologies dans le cadre d'un enrichissement des fonctionnalités matérielles et logicielles permettant le support des technologies de virtualisation, seront également abordées.

Bernard Ourghanlian a rejoint Microsoft France en 1999 au poste de Directeur Technique. Depuis le mois de novembre 2002, où il a été nommé Directeur de la Technologie et de la Sécurité (Chief Technology & Security Officer) Bernard Ourghanlian a la responsabilité de la conduite globale de la stratégie de Microsoft en France, en matière de technologie et de sécurité. Il a également en charge la gestion des risques technologiques de Microsoft France - notamment sur ses grands projets - et la responsabilité de concevoir, piloter et animer l'ensemble des initiatives de Microsoft France en matière de sécurité, notamment autour de l'initiative pour l'informatique de confiance (trustworthy computing). En liaison étroite avec la Direction Générale et les différentes divisions concernées, il représente Microsoft France sur le plan technique auprès des principaux responsables gouvernementaux et des grandes agences gouvernementales, des directions informatiques, des comités de standardisation ou de normalisation ainsi qu'auprès du monde de l'éducation et de la recherche. Il est également en liaison étroite avec Microsoft Corporation, avec Microsoft Research et les différents groupes produits et participe activement à l'évolution des produits et des solutions de Microsoft. Bernard Ourghanlian anime également des cours et des séminaires au sein de grandes écoles et d'universités françaises. Avant de rejoindre Microsoft, Bernard Ourghanlian était le Directeur Technique de Digital France où il a participé activement à la conception et au développement de l'architecture et des microprocesseurs Alpha. Bernard Ourghanlian est titulaire d'un doctorat en mathématiques et est l'auteur de plusieurs ouvrages spécialisés relatifs aux statistiques et à l'informatique, notamment d'un ouvrage de référence sur les microprocesseurs Alpha.

Pour les systèmes d'information, un des points majeurs en matière de gestion des risques et de leur transfert tient dans la qualification des objets informationnels et de l'identification des flux échangés entre les différents acteurs (qualification juridique et technique, et qualification des évènements redoutés) d'une part, et d'autre part dans la quantification des enjeux, qu'il s'agisse des pertes supportées, des frais de continuité engagés ou des dettes de responsabilités en découlant. Qualification et quantification supposent alors de quitter la sphère technique et de se placer dans une double perspective : l'économie des immatériels, d'une part, et l'écologie des immatériels, d'autre part. L'économie des immatériels est fondée sur l'émergence de la notion de patrimoine informationnel. Le patrimoine informationnel devra être appréhendé d'une part en ce qu'il peut être en tant qu'actif patrimonial l'objet du risque, la cible du préjudice, et d'autre part en ce qu'il peut être le fait générateur du risque, la source du préjudice, élément de passif patrimonial. Une réflexion devra être menée sur les composantes du patrimoine informationnel, essentiellement sur les données (logiciel, base de données, informations) et les traitements (flux et échanges). Cette réflexion devra intégrer des aspects juridiques stricto sensu (qualifications et régimes juridiques), mais également des aspects économiques (analyse de la valeur) si l'on veut appréhender les deux éléments clés du risque que sont la définition des faits générateurs et la quantification des pertes induites. L'écologie des immatériels sera, elle, fondée sur l'émergence des nouveaux rapports entre l'homme et l'environnement informationnel mondial, dans une perspective où se mêleront la morale et le droit. L'expression d'écologie renvoie à une approche internationale et à la mise en oeuvre de politique d'incitation et de répression des comportements.

Docteur en Droit, diplômé de l'I.E.J, a successivement été conseil juridique et fiscal, puis Directeur Général d'un cabinet de courtage d'assurances où il a développé les méthodologies d'analyse de risques et l'assurance des risques immatériels des systèmes d'information, participant à l'élaboration de la méthode MARION et à la création du CLUSIF. A partir de 1995, il intervient au CIGREF pour l'analyse du risque An 2000 et participe aux travaux du « Comité National Passage à l'an 2000 ». En juillet 2000, il rejoint la filiale Conseil de MARSH, leader mondial du Risk Management, en qualité de consultant senior risques et assurances des systèmes d'information. En octobre 2002, il est nommé responsable du pôle Audit & Conseil de MARSH CONSEIL. Depuis juin 2005, il est Directeur de Marsh Risk Consulting France.

Nous présentons la détection distante de systèmes d'exploitation comme un problème d'inférence: à partir d'une série d'observations (les réponses de la machine cible à un ensemble de tests), nous voulons inférer le type de système d'exploitation qui génèrerait ces observations avec une plus grande probabilité. Les techniques classiques utilisées pour réaliser cette analyse présentent plusieurs limitations. Pour outrepasser ces limites, nous proposons l'utilisation de Réseaux de Neurones et d'outils statistiques. Nous présenterons deux modules fonctionnels: un module qui utilise les points finaux DCE-RPC pour distinguer les versions de Windows, et un module qui utilise les signatures de Nmap pour distinguer les versions de systèmes Windows, Linux, Solaris et BSD. Nous expliquerons les détails de la topologie et du fonctionnement des réseaux de neurones utilisés, et du réglage fin de leurs paramètres. Finalement nous montrerons des résultats expérimentaux positifs.

Carlos Sarraute a étudié les Mathématiques à l'Université de Buenos Aires. Il travaille depuis 2000 pour Corelabs, le laboratoire de recherche de Core Security Technologies. Ses thèmes d'intérêt sont les vulnérabilités de sécurité, la planification et modélisation d'attaques, la visualisation d'événements de sécurité et la cryptanalyse. Il a donné des conférences et des cours concernant la Sécurité de l'Information et la Cryptographie dans plusieurs universités en Argentine. Quelques publications: “Foundations and Applications for Secure Triggers”, avec Ariel Futoransky, Emiliano Kargieman et Ariel Waissbein. Sera publié dans ACM Transactions on Information and System Security (TISSEC). “Building Computer Network Attacks” (Corelabs Technical Report, 2003), avec Ariel Futoransky, Luciano Notarfrancesco et Gerardo Richarte. “MySQL Authentication Design Flaw” (Corelabs Technical Report, 2001), avec Iván Arce, Gerardo Richarte et alter.

Javier Burroni travaille pour Core Security Technologies dans l'équipe de développement de CORE IMPACT depuis 5 ans, où il a developpé des exploits, des modules de réunion d'information et d'autres parts du noyau d'IMPACT. Il est aussi le principal auteur de la librairie de construction de paquets ImpactPacket et il est un membre actif de la communauté Python. Il travaille en statistiques appliquées aux marchés financiers comme part de ses études de Sciences Actuaires à l'Université de Buenos Aires.

Depuis plus de 20 ans, la sécurité informatique préoccupe. Voici plus de 10 ans que des budgets importants y sont consacrés. Des centaines de chercheurs y travaillent corps et âmes, stimulés par le potentiel économique de leurs recherches. Rare est la semaine qui passe sans qu'une solution plus intelligente et moins chère, un système d'exploitation plus sûr et plus performant, une loi plus sévère et plus juste... ne soit annoncés. Pourtant, malgrè tous ces efforts, personne n'ose affirmer que le combat est en passe d'être gagné. Une malédiction plane-t-elle sur le domaine de la sécurité informatique? Cette présentation tentera, en disséquant quelques incidents et phénomènes marquants du passé, d'apporter un début de réponse, peut-être déplaisant, à cette question fondamentale qui ne peut plus être escamotée. .

Après avoir reçu son Doctorat en Médecine de l'Université de Liège (Belgique, 1991), Pierre Vandevenne s'est abandonné à sa passion pour l'informatique et plus particulièrement l'analyse des premiers virus informatiques. Depuis 1993, il dirige la société DataRescue qui développe et publie le logiciel IDA Pro, un désassembleur débogueur avancé qui est devenu aujourd'hui un outil essentiel dans l'analyse de code hostile et la recherche de vulnérabilités. Contraint à une certaine réserve par la nature, souvent gouvernementale, de sa clientèle, Pierre Vandevenne suit avec intérêt la longue marche de la sécurité informatique.

Lorsque l'informatique est passée d'un domaine réservé à une minorité d'amateurs et de chercheurs à une réalité quotidienne pour une majorité, il a nécessairement fallu prendre en compte la dimension « publique » de l'informatisation croissante. Il est indéniable que la massification a mis au jour des vulnérabilités amplifiées par le passage à l'échelle. Cette vulnérabilité conjointement à laquelle s'est développée l'informatisation s'est accompagnée du développement de réponses de sécurité informatique. La sécurité informatique évoque inévitablement une réponse technologique face aux risques qu'encourt un système d'information. Mais une rapide réflexion fait apparaître qu'elle ne peut être réduite à cette dimension. La prévention et la gestion de la vulnérabilité passe, aussi, par une régulation juridique. Celle-ci peut-être « bottom up » : (chartes et autre codes de bonne conduite) ou « top down » (textes législatifs ou réglementaires). Dans les deux cas, la régulation doit faire face à la prise en compte des caractéristiques intrinsèques au nouveau domaine qu'elle vise à réglementer, prise en compte qui ne va pas sans paradoxe quand les cultures et interprétations sont différentes. Le premier sujet sur lequel nous avons travaillé concerne les caractéristiques exigées de l'écrit dit électronique pour lui reconnaître une valeur juridique et une force probatoire dans le cadre déchanges à court terme et sur le long terme. Que signifie la notion d'intégrité pour un juriste et un informaticien ? Quelles sont les conséquences de ces différences d'interprétation ? Le deuxième sujet traité concerne la recherche en sécurité informatique. La culture dans ce domaine est celle d'une confrontation permanente attaquant-attaqué, comme l'illustre par exemple l'évaluation de la sécurité d'un système de chiffrement. Il n'est meilleure sécurité que celle fournie par celui qui connaît et maîtrise les attaques existantes, avec ce que cela implique donc de travail d'attaquant. Les lois visant à interdire la détention et la mise à disposition de virus ou le contournement de mesures de protection techniques témoignent d'une certaine méconnaissance des mécanismes de recherche dans ce domaine. Elles rendent bien incertaines les activités d'une communauté dont les contours, souvent flous, sont bien plus larges que la seule communauté académique. L'efficacité des mesures telles qu'attendues par la loi pourrait ainsi être appelée à en souffrir.

Marion Videau est diplômée depuis 2001 de l'Ecole Nationale Supérieure d'Ingénieurs de Constructions Aéronautiques et titulaire d'un DEA de réseaux et télécommunications (Toulouse). Elle a effectué sa thèse intitulée << Critères de sécurité des algorithmes de chiffrement à clé secrète >> à l'INRIA-Rocquencourt au sein du projet CODES sous la direction d'Anne Canteaut et de Pascale Charpin. Elle a reçu le titre de docteur en informatique de l'université Paris 6 en novembre 2005. Elle participe depuis 2004 au projet Asphales de l'ACI Sécurité Informatique. Ses axes de recherche sont la cryptographie, les fonctions booléennes et les interactions entre sécurité juridique et sécurité informatique. Elle est actuellement attachée temporaire d'enseignement et de recherche à l'Institut Gaspard Monge de l'université de Marne-la-Vallée.

Isabelle de Lamberterie est directrice de recherche au CNRS-CECOJI (Centre d'études sur la coopération juridique internationale). Elle anime une équipe de recherche et des réseaux nationaux et internationaux sur différentes questions juridiques liées à linformatisation et à la société de linformation : contrat, propriété intellectuelle, protection de la vie privée, preuve, dépôt légal, archive et conservation. Elle dirige depuis 2004, un programme interdisciplinaire sur les interactions entre sécurité juridique et sécurité informatique (Asphales). Elle a été Présidente de l'Association pour le développement de l'informatique juridique (ADIJ 1995-2000) et membre du Conseil de surveillance du Forum des droits sur linternet (2001-2005). Elle est actuellement membre du comité d'éthique du CNRS et du Conseil supérieur de la recherche et de la technologie.

Les risques associés à un problème de sécurité du système d'information et leurs conséquences juridiques en matière de responsabilité sont perçus par la plupart des professionnels de l'informatique et en particulier les DSI, les RSSI ainsi que les administrateurs Réseaux et Systèmes, comme une jungle peu lisible, porteuse de craintes diffuses et partant mal contrôlées. L’objectif de cette présentation est de donner à ceux inquiets au regard des responsabilités qu’ils encourent, quelques clés de décodage du système juridique susceptible de s’appliquer dans leurs activités quotidiennes de protection, de surveillance, de contrôle et de mise en conformité du réseau d’entreprise. Ainsi, après un résumé des principes de mise en jeu de la responsabilité civile et pénale des personnes physiques et morales (section 1), nous examinerons, à travers différents cas pratiques, les principaux contextes opérationnels dans lesquels les acteurs de la sécurité de l’entreprise et, en particulier, les DSI ou les RSSI, continuent de s’interroger sur l’étendue de leur responsabilité (section 2).

Diplômée en droit et en informatique, intervient aujourd’hui comme consultante dans le cadre de missions de la société Links Conseil. En poste précédemment au sein de la Direction juridique de Gemplus, a débuté sa carrière à l’APP (Agence pour la Protection des Programmes), puis au TGI de Paris et dans le cabinet d’expertise judiciaire J.Donio. Conférencière, contribue régulièrement à la revue MISC et intervient dans les filières de formation des ingénieurs.

L'objectif est de montrer simplement qu'une attaque ancienne et "signée" par l'ensemble des systèmes de détection, peut être facilement modifiée afin de passer totalement inaperçue. La démonstration se base sur Snort et l'exploit original de la vulnérabilité MS03-026. Nous traitons les différentes méthodes d'évasion "classiques" et décrivons leurs applications au protocole DCE-RPC, ainsi que les spécificités de ce dernier. La finalité est la création d'un outil permettant de tester les différents moyens d'évasion basés sur RPC et l'exploit en question

Depuis près de 10 ans Renaud Bidou a effectué des missions de conseil pour les opérateur, des audits d'intrusion et des audits post-mortem, et a défini de nombreuses architectures de sécurité. En 2000, il a été le fondateur du premier SOC (Security Operation Center) opérationel en France et 4è CERT Français. Il a ensuite rejoint Radware en tant qu'expert sécurité pour l'Europe. Dans le même temps, Renaud Bidou enseigne dans différentes universités, publie régulièrement dans le magazine MISC et est membre du French Honeynet Project.

Parmi les appels systèmes les moins documentés et les plus obscurs (dixit la page de manuel), ptrace() est en bonne position. On aurait néanmoins tort de l'ignorer car c'est l'une des fonctions les plus intéressantes sur les systèmes UNIX, son utilisation première est le debugging de programme, mais derrière ce mot très vague se cache des fonctionnalités parfaites pour tout bidouilleur : l'accès en lecture et en écriture de toute la mémoire virtuelle d'un processus (ainsi que ses registres). De plus, il n'y a pas besoin d'être un utilisateur privilégié pour l'utiliser, il est seulement requit d'avoir le mêmeUID et ne pas être déjà tracé. Tout au long de cette présentation, nous allons découvrir l'appel système, comment l'utiliser en abordant les problèmes d'implémentation comme le placement des instructions dans l'espace d'adressage du processus, l'interruption des appels systèmes, etc. Enfin, nous dresserons un éventail d'applications de ptrac() afin de voir ce qu'il peut apporter d'un point de vue sécurité (mise en place de protection, analyse de code malicieux, etc.). L'utilisation de ptrace() permettra également de mettre en relief les limites de la sécurité de certains outils comme les firewalls applicatifs ou les processus chrootés (évasion possible).

Partagé entre l'ENST Bretagne et le centre de recherche en sécurité des systèmes d'information d'EADS. Je travaille sur quelques sujets de recherche comme la sécurité des réseaux VoIP et tout ce qui touche à la sécurité des systèmes UNIX. Ainsi, je fût également pentesteur à mes heures perdues et auditeur de code source dans une autre vie.

Les réseaux locaux radioélectriques sans-fil 802.11 sont sous les feux des projecteurs depuis de nombreuses années. Les attaques 802.11 actuellement réalisables peuvent avoir des impacts sécurité critiques sur tout système d’information. Nous présentons alors dans cet article les méthodes les plus pertinentes pour réaliser une détection et une qualification de la majorité des attaques. Nous exposons aussi les problématiques inhérentes aux déploiement de logiciels de détection d’intrusion 802.11 grâce à un retour d’expérience du déploiement de ces technologies à France Télécom R&D. Enfin, nous dressons un ensemble de recommandations à prendre en compte avant tout déploiement de technologies de détection d’intrusion 802.11.

Laurent Butti est expert senior en sécurité des réseaux. Ses activités sont concentrées sur plusieurs domaines : les technologies radioélectriques (IEEE 802.11, IEEE 802.16...), les honeypots et les vers. Il est intervenu plusieurs fois dans des conférences internationales en sécurité (LSM, ToorCon, EuroSec, FIRST, ShmooCon...).

Skype est un logiciel de VOIP fondé sur des technologies peer to peer. Il est simple d’utilisation, s’installe sur n’importe quelle machine. De plus, la réputation de sa qualité sonore n’est plus à faire, ainsi que ses méthodes permettant de se connecter d’à peu près n’importe quel réseau. Ses caractéristiques particulières ont créé un engouement important ainsi qu’une grande communauté d’utilisateur. D’un autre côté, le nombre important de connexions ouvertes vers l’extérieur, son protocole propriétaire ainsi que ses aptitudes à déjouer les firewalls ont très vite été remarqués. De nombreux autres faits avérés ou non sont venus gonfler les rumeurs : un programme et une consommation processeur relativement important, aucun début de piste permettant de comprendre les mécanismes réseau mis en œuvre, et pour couronner le tout, sa gratuité. Ces points et son rapide succès ont déclenché une certaine aura de mystère autour de lui.

Fabrice DESCLAUX travaille à EADS/CCR au laboratiore SSI comme ingénieur chercheur. Il est l'auteur de rr0d, "the Rasta Ring0 debugger", le premier débogueur ring 0 indépendant du système d'exploitation.

L'efficacité des protections couramment mises en oeuvre pour sécuriser les postes clients (antivirus, pare-feu, proxy Web) est souvent surestimée. Ces protections souffrent de limitations intrinsèques qui laissent la porte ouverte à certains types d'attaques. Nous montrons ainsi à travers des exemples concrets qu'un attaquant pourrait identifier de façon précise la version d'une application cliente afin de lancer une attaque ciblée, en contournant le filtrage antivirus. Nous démontrons également qu'une application Web accessible uniquement depuis le réseau interne et nécessitant une authentification peut être attaquée depuis Internet à partir d'une simple page Web visionnée dans le navigateur d'un poste client. Nous prévoyons enfin que des outils permettant d'automatiser l'identification et l'attaque des postes clients vont se développer. Nous présentons un "framework" de démonstration montrant la possibilité d'attaques automatisées auto-adaptables ciblant les postes de travail, ainsi que les parades permettant de protéger le système d'information face aux attaques présentées.

Gaël Delalleau est Auditeur Senior au sein du département Technology and Security Risk Services du cabinet Ernst & Young. Expert en audit de sécurité applicatif et tests d'intrusion, il a dirigé de nombreuses missions et formations dans ces domaines. Gaël a déjà présenté par le passé les résultats de recherches techniques innovantes sur la Sécurité des Systèmes d'Informations lors de conférences internationales comme CanSecWest, I-4, SSTIC. Gaël Delalleau est ingénieur diplômé de l'Ecole Polytechnique.

Renaud Feil est auditeur sécurité au sein du département Technology and Security Risk Services du cabinet Ernst & Young. Ses recherches récentes ont porté sur la sécurité des postes clients. Il est diplômé du mastère SSIR de l'ENST.

Apres de brefs rappels sur IPv6 et sur le fonctionnement de MIPv64, une seconde partie fournira une analyse critique des éléments de sécurité associés au protocole, en présentant d'abord les menaces subies par les différents acteur avant d'évoquer les solutions apportées. Une grande partie de la sécurisation des communications étant basée sur l’utilisation d’IPsec, nous verrons comment/si la fonction est bien remplie. Après cette partie théorique dédiée à la sécurité de MIPv6, la présentation revêtira un côté plus pratique en détaillant de manière critique les mécanismes de sécurité présents dans les implémentations actuelles, les outils d’analyse et d’attaque développés, les tests effectués, les résultats obtenus pour finir par une démonstration de quelques unes de ces attaques mettant en oeuvre ces outils. D’un point de vue concret, cette présentation couvre à la fois les aspects théoriques et pratiques du nomadisme sous IPv6 et entre dans l’axe concernant “Les limites du périmètre”. L’explosion actuelle des protocoles comme Mobile IPv6 (et IPv6) tient notamment à la multiplication impressionnante des terminaux mobiles et aux besoins croissants de nomadisme. Elle découle d’une volonté de voir disparaitre les contraintes physiques (d?eplacement, position). Poussé par les opérateurs de téléphonie mobile (notamment au Japon pour le moment), il est donc inévitable que nos téléphones, PDA (voire voitures) finissent par embarquer de tels protocoles. Notre but pour cette présentation est, en prenant comme support Mobile IPv6, d’?evoquer les contraintes liées à la mobilité et au nomadisme, les problèmes de sécurité associés et de poser un oeil critique sur les implémentations courantes. Au final, il s’agit de faire prendre conscience aux auditeurs des évolutions à venir concernant ce qu’ils perçooivent aujourd’hui comme étant leur “connexion à Internet”.

Jeune chercheur en sécurité au sein de l'équipe SSI du Centre Commun de Recherche EADS, Arnaud Ebalard a déjà participé à SSTIC 04. Ses thèmes de recherche couvrent notamment: - IPv6, - La mobilité (MANET, VPN, ...), - les réseaux sans fil, - la PKI.

La diffusion multimédia bouleverse actuellement l'Internet et les réseaux d'entreprise. Les plateformes de diffusion de contenus multimédia se vulgarisent de plus en plus (P2P, VoD, vidéosurveillance, imagerie médicale, etc.). Les techniques de communication et les moyens d’accès se diversifient en conséquence. Néanmoins, ce développent rapide se voit entravé par l’absence de politiques de sécurité assez fiables, l'un des obstacles majeurs est certainement la gestion des droits (DRM) et les risques de piratage, problème qui s’amplifie encore dans les cas de flux multimédia adaptables sur des réseaux hétérogènes. Cet article a donc pour but d'expliquer les vulnérabilités généralement exploitées par les pirates pour s'introduire dans les systèmes de diffusion de flux multimédia et pour s’approprier les contenus échangés. Il ne vise pas à expliquer comment compromettre un système mais à comprendre la façon dont il peut l'être afin de mieux pouvoir s'en prémunir. En effet, la meilleure façon de protéger un système est de procéder de la même manière que les pirates afin de cartographier les vulnérabilités du système. Ainsi cet article ne donne aucune précision sur la manière dont les failles sont exploitées, mais présente les vulnérabilités et les attaque qui les ciblent, pour faire en sorte de les déceler et de les corriger.

DOCTORANT A TELECOM PARIS

La diode réseau et ExeFilter sont deux projets complémentaires du CELAR pour construire des interconnexions hautement sécurisées entre réseaux de niveaux de sensibilité différents. Ils visent à permettre par exemple l’interconnexion de réseaux sensibles avec Internet, en garantissant une prise de risque minimale vis-à-vis des chevaux de Troie et autres menaces. La diode réseau est conçue pour garantir un transfert de données dans un seul sens, en se basant sur une liaison optique unidirectionnelle. Une application simple est par exemple le téléchargement automatique de mises à jour antivirus vers un réseau sensible, tout en empêchant la moindre fuite de données vers Internet. ExeFilter est un filtre générique de fichiers ou de courriels, qui permet de s’assurer que seuls certains formats de fichiers maîtrisés sont acceptés, et que ceux-ci ne contiennent aucun contenu actif. (en se basant sur les principes énoncés lors de SSTIC03 et SSTIC04)

Ingénieur au CELAR, département Sécurité Système

Les consoles de jeux vidéo sont devenues des outils indispensables à qui s’intéresse au problème de la sécurité matériel. Si ce domaine a longtemps été le privilège des militaires, les impératifs économiques ont incité les fabriquants de console à améliorer sans cesse la sécurité pour protéger les droits d’auteur. A l’opposé des fabriquants, on trouve l’industrie du modchip. Un modchip est un équipement capable de contourner les mesures de sécurité matérielle. Le rejeu est l’une des attaques les plus souvent exploitée par les modchip. Nous verrons les solutions possibles contre ce type d’attaque.

Je suis pas mort. Je ne ferai pas ma bio de mon vivant! Je vous préviens ma bio sera piégé.

Les tunnels peuvent être définis comme des encapsulations de protocoles de bas niveau dans des protocoles de plus haut niveau (ou de niveau équivalent) permettant une connexion entre deux noeuds du réseau pour transporter des données arbitraires. L'utilisation de tels tunnels permet de s'affranchir des limites de la sécurité en s'appuyant sur des protocoles couramment autorisés afin d'en véhiculer des potentiellement prohibés. De tels tunnels peuvent avoir une utilisation légitime mais ils peuvent également être utilisés pour contourner (consciemment ou non) la politique de sécurité de l'entreprise. Lors de cette conférence, les consultants HSC présenteront les différents types de tunnels exploitables accompagnés d'une étude des logiciels communément utilisés. Différentes méthodes de détections de tunnels et de métriques utilisables seront présentés, ainsi qu'une suite d'outils développée par HSC pour la détection de tunnels par écoute réseau et analyse comportementale.

Guillaume Lehembre est ingénieur diplômé de l'EFREI et a complété sa formation par un mastère spécialisé en sécurité des systèmes informatiques et des réseaux à l'ENST Paris. Il a rejoint HSC en 2004 et a participé à de nombreuses missions d'audit et de tests d'intrusion dans des environnements variés (opérateurs télécom, secteur bancaire, etc.). Il a acquis une expérience certaine dans la sécurité des réseaux sans fils (Wi-Fi, WiMAX, etc.) et réalisé des interventions publiques sur ces sujets ainsi qu'une publication dans le magazine Hakin9.

Ingénieur Ensimag 1988, après une dizaine d'années passées à Grenoble dans la SSII Alma, d'abord comme développeur puis chef de projet Groupware (Lotus Notes) et Intranet/Internet, Alain Thivillon a intégré HSC en 1998 pour en devenir un des piliers techniques. En 2000, il décide de mettre son expérience acquise en sécurité au service du terrain dans le groupe Firstream (chef de projet hébergement), puis revient chez HSC en 2002 à un poste de consultant senior puis en 2005 de responsable technique, ou il gère de nombreux projets, en particulier ceux liés aux réseaux étendus, à la voix sur IP, aux applicatifs Web et aux bases de données. Il participe également à de nombreuses études ou conseils en architecture (migration de firewalls, gestion des accès distants, messagerie). Considérant qu'il ne faut jamais perdre le contact avec le monde de la programmation, il développe également des outils d'audits ou des logiciels complets tels que le VPN SSLTunnel .

L'objet de cet article est de mesurer les coûts liés à l'utilisation des extensions de sécurité du DNS. Cet article présente les résultats d'une étude sur les performances des diverses extensions de sécurité du protocole DNS (DNSSEC et TSIG), ainsi que d'autres protocoles de sécurité comme IPsec. Les tests ont été faits sur une plateforme, de manière à permettre une comparaison entre ces diverses extensions. Le coût de ces diverses extensions de sécurité ayant été mis en évidence, il est alors possible d'implémenter une base DNS sécurisée en choisissant les mécanismes de sécurité de manière adéquate en fonction des performances que le système doit atteindre, l'application spécifique à laquelle doit répondre l'architecture DNS, son environnement réseau... Inversement, on pourra également décider, connaissant le coût généré par les extensions de sécurité, de ne pas les implémenter dans un premier temps, et modifier l'architecture progressivement de manière à pouvoir implémenter, par la suite, les extensions choisies.

Ingénieur Sécurité à Francetelecom R&D

Les services RPC Windows, suivant la voie des anciens services RPC Unix, sont devenus , ces dernières années, tristement célèbres suite à la découverte de failles de sécurité critiques. Ces failles, pour les plus connues d'entre elles, permettaient une prise de contrôle totale d'un système et furent exploitées par des vers tel que Blaster et Sasser. La mise au point d'outils et de techniques d'analyse utilisés pour comprendre les vulnerabilités liées aux services RPC Windows ont permis, dans un premier temps, de mieux comprendre le fonctionnement interne de ces services. Cependant la compréhension accrue du fonctionnement interne de MSRPC (nom donné au protocole RPC Windows) a également permis de découvrir de nouvelles failles dues à l'implémentation mais également des failles moins connues liées à la conception. Lors de cette présentation, nous aborderons la conception, l'implémentation et les techniques d'analyse des services RPC Windows. Nous nous attarderons sur les problèmatiques de sécurité qui en découlent au travers de l'analyse de certaines failles mais également au travers de méthodes permettant de rendre ces services plus sécurisés.

Nicolas Pouvesle is a security researcher at Tenable Network Security, with over 8 years of experience in reverse engineering. While at Tenable, Nicolas has implemented a new SMB API which is now used by every Windows-related Nessus check. He also wrote several of the internal tools used by the Tenable research team to improve vulnerability analysis.

Avec l'explosion de l'accès Internet haut débit en France et des offres "Triple Play" (Internet/TV/Téléphonie), de plus en plus de FAI imposent l'utilisation d'un équipement de connexion "ad-hoc" pour profiter de leurs services. Si cet équipement offre une sécurité suffisante pour les "end-users", il n'en va pas de même pour l'utilisateur avancé ou la micro-entreprise qui est légitimement en droit de savoir ce qui se cache dans la boite ... surtout lorsque celle-ci n'offre pas tous les services attendus tels que l'authentification WPA ou l'accès "full IP" à Internet. La sécurité de l'infrastructure, quoique difficile à évaluer en approche "Black Box", sera également brièvement abordée.

Connu depuis plusieurs années dans le milieu de la sécurité, Nicolas RUFF est chercheur en sécurité informatique au sein de la société EADS. Ses thèmes de recherche sont : - La sécurité des infrastructures Microsoft - La sécurité Windows Mobile - La réponse aux incidents et l'analyse de machines compromises (forensics) - La lutte contre les codes malveillants (vers, spywares, rootkits) - La sécurité des réseaux sans-fil (WiFi, BlueTooth) Il est l’auteur de nombreuses publications sur la sécurité Windows dans des revues spécialisées telles que MISC, dispense régulièrement des formations sur le sujet et participe à des conférences telles que EuroSec, les Journées Microsoft de la Sécurité, la JSSI et le SSTIC.

Cet article aspire à montrer que l'un des enjeux majeurs de la sécurité des systèmes d'information pour traiter les nouvelles menaces est de changer notre conception de ce qu'est un système d'information. Avec pour conséquences de nouvelles pratiques du management de la SSI basées sur un retour aux fondamentaux que sont la sûreté et la sécurité. Nous proposons un paradigme pour la SSI : organiser les actions SSI autour de l'idée de crise majeure en SSI.

Consultant SSI pour Adenium, cabinet spécialisé en gestion des risques opérationnels. Après une première expérience en ingénierie logicielle en Scandinavie, Sylvan a réalisé sur Paris et en région des missions d’audit et d’implémentation de la sécurité/sûreté des SI pour des grands comptes et des PME. Sensible aux questions de défense, il est officier de réserve chargé de mission au SGDN, ancien auditeur de séminaires de l’IHEDN.

IPSec regroupe une suite de protocoles destinés à sécuriser des echanges sur un réseau non protégé. D'un niveau de sécurité très élevé en théorie, il existe cependant de nombreux problèmes pratiques posés par l'utilisation d'IPSec, parfois dus à la complexité des RFCs ou à des faiblesses des protocoles, parfois à des bugs d'implémentations, et parfois simplement à la méconnaissance des administrateurs. Nous verrons dans cet article un bref résumé du fonctionnement d'IPSec, ainsi qu'une étude plus détaillée de plusieurs points de faiblesses potentiels des tunnels IPSec, qu'ils relèvent des protocoles, des implémentations ou des configurations, et nous étudierons au fur et à mesure les possibilités de solutions à ces faiblesses.

Invités

Intervenants