Invités Xavier  ALLAMIGEON  (EADS) Stéphane  COTTIN  (Conseil Constitutionnel) Christophe  CLAVIER  (Gemalto) Nicolas  DUBÉE  (Secway) Laurent  DUPUY  (FREESECURITY) Marc  GIRAULT  (France Télécom R&D) Charles  HYMANS  (EADS France) Jérôme  RABENOU  (Conseil Constitutionnel)

Intervenants Eric  ALATA  (Laas-Cnrs) Ion  ALBERDI  (LAAS-CNRS) marie  BAREL  (Links conseil) Philippe  BALBIANI  (Institut de recherche en informatique de Toulouse) Aurélien  BORDES  Laurent  BUTTI  Nicolas  COLLIGNON  (Hervé Schauer Consultants) Christian  DAMOUR  (Silicomp-AQL) Guillaume  DUC  (ENST Bretagne) Stéphane  DUVERGER  (EADS CCR) Renaud  FEIL  (Hervé Schauer Consultants) Yoann  GUILLOT  Mohammed  KAANICHE  Ronan  KERYELL  Eric  LACOMBE  (CNRS - LAAS / EADS - CCR) Philippe  LAGADEC  Simon  MARECHAL  (TSS) Vincent  NICOMETTE  Vincent  NICOMETTE  Louis  NYFFENEGGER  (Hervé Schauer Consultants) Philippe  OWEZARSKI  (LAAS-CNRS) Nicolas  RUFF  (EADS-IW) Frédéric  RAYNAL  Julien  TINNÈS  (France Telecom R&D)

Les institutions publiques de toute taille sont par nature émettrices et/ou destinataires de normes, de jurisprudences, de correspondances ou de notes confidentielles, etc. Si l'évolution des NTIC a permis des avancées dans la productivité, elle a aussi ouvert des brèches béantes dans la sécurité, souvent inadaptée, de ces entités. Elles n'ont pas toutes, en effet loin s'en faut, la taille critique pour s'offrir un service de sécurité des systèmes d'information digne de ce nom. Les états d'esprit évoluent favorablement vers la prise en compte de ces risques... même si les moyens ne suivent pas toujours. Mais de nouvelles menaces apparaissent avec l'arrivée de nouveaux besoins, en une sorte de fuite en avant insurmontable. Que penser en effet des initiatives de dématérialisation de la justice, de l'ELAO (élaboration de la loi assistée par ordinateur), du journal officiel électronique qui n'a pas remplacé la version papier, du vote électronique qui ne remplace pas les urnes et le vote papier ?...

Les attaques par analyse de canaux cachés (analyse de temps, de consommation de courant,...) sont apparues il y a une dizaine d'années environ. Elles peuvent menacer la sécurité des cartes à puces en permettant par exemple la révélation de clés cryptographiques bien plus efficacement que ne le permet la cryptanalyse classique. Nous introduirons ces attaques et en donnerons quelques exemples classiques. Nous mentionnerons des principes de contre-mesures permettant de les rendre difficiles ou inopérantes. Enfin nous étudierons la possibilité de les appliquer au cas où la fonction cryptographique attaquée est partiellement inconnue. Dans ce contexte, nous exhiberons des possibilités de retrouver malgré tout la clé utilisée, et/ou d'obtenir par retro-conception de l'information nouvelle sur la spécification de l'algorithme.

Ingénieur de formation dans le domaine des télécommunications, Christophe Clavier travaille depuis 10 ans dans le groupe sécurité de Gemalto (ex Gemplus). Il y a participé à l'effort de recherche dans le domaine des attaques à canaux cachés et par fautes. il a également été auteur ou co-auteurs de plusieurs brevets dans ce domaine et a publié 7 articles dans des conférences majeures. Il prépare actuellement un doctorat dans le domaine de la sécurité des cartes à puces.

Alors que se concrétisent les premiers déploiements massifs de voix sur IP (VoIP) en entreprise, les enjeux liés à la confidentialité des flux sont (temporairement !) relégués au second plan par rapport aux légitimes problématiques de disponibilité du service. Pourtant, les risques d’interception de la VoIP existent bel et bien, et des réponses supérieures à celles de la téléphonie « classique » peuvent y être apportées, en bénéficiant du savoir-faire sécuritaire acquis dans le monde des réseaux de données. La société Secway a décidé de répondre à ce besoin en concevant un boitier matériel de chiffrement poste-à-poste des conversations VoIP. Ce projet sera l’occasion d’un exposé sur les enjeux actuels de la VoIP, ainsi que sur la réalisation de projets de sécurité sous environnements ouverts. Véritable retour d’expérience quant au développement d’applications de sécurité embarquées sur tandem ARM + GNU/Linux, nous couvrirons dans notre présentation les contraintes qui ont été découvertes ainsi que les choix retenus pour arriver au produit fini.

Co-fondateur de la société Secway, Nicolas Dubée apporte à ses clients, grands comptes institutionnels français, plus de dix ans d’expérience dans le domaine de la sécurité des systèmes d’information. Spécialiste des audits techniques (tests d’intrusion sur réseaux et applications), il a aussi participé au développement du premier logiciel de chiffrement des messageries instantanées diffusé par Secway à plus de 300000 utilisateurs dans le monde.

Aujourd'hui les disques durs sont de véritables boîtes noires intégrant des contres mesures incorporées au logiciel embarqué présent au coeur même de la carte de gestion de chaque support de stockage. De nombreux constructeurs ou éditeurs de logiciels utilisent ces moyens pour limiter ou contrôler l'usage du support de stockage et ainsi protéger la propriété industrielle des oeuvres numériques. Quels sont ces types de protection, quels sont aujourd'hui leurs niveaux de solidité face aux moyens d'analyse publiquement disponibles ? Une première réponse sera apportée lors de la présentation notamment par une exploration des modules présents au coeur des « zones constructeurs » appuyée par une revue des modes de fonctionnement et des méthodes de protection définies dans la norme ATA.

Parler un peu de soi, ce n'est pas toujours trivial, mon cursus, ma vie personnelle et ma vie professionnelle sont étroitement liés depuis maintenant plusieurs années à Freesecurity, où j'occupe la fonction de gérant et de consultant associés en sécurité informatique. Mon inspiration professionnelle est directement associée au monde de l' « autopsie » informatique et à la recherche dans le domaine des tests d'intrusion.

Nous présentons la problématique du vote électronique et les trois grandes familles de solutions, respectivement à base de signatures aveugles, de chiffrement homomorphique et de mix-nets. Puis nous donnons un aperçu de la solution E-Poll, expérimentée lors des élections politiques de 2002 et utilisée en 2005 pour des élections universitaires. Enfin nous faisons une brève synthèse des solutions à base de cryptographie actuellement déployées.

Marc Girault est expert émérite à la Division R&D de France Télécom. Spécialisé en cryptographie à clé publique, paiement électronique et cartes à puce, il est l'auteur d'une quarantaine de publications dans ces domaines et d'autant de brevets d'invention. Pionnier de la "cryptographie à bas coût", il est co-inventeur des télécartes sécurisées, du système d'accès aux immeubles sans contact VIGIK, et du protocole d'authentification et de signature numérique GPS. Ses sujets d'intérêt actuels sont la sécurité des étiquettes RFID et les protocoles avec anonymat (dont le vote électronique). Après avoir présidé un groupe d'experts AFNOR et dirigé des projets RNRT, il est aujourd'hui membre du comité stratégique du réseau d'excellence européen (NoE) ECRYPT. Il siège régulièrement dans des comités de programme internationaux, des commissions d'évaluation, ainsi que dans des jurys de thèse ou d'habilitation à diriger des recherches. Enfin, il dirige des thèses de doctorat, et enseigne dans de nombreuses universités et écoles d'ingénieurs.

De nombreuses failles de sécurité sont rendues possibles par la présence de bogues dans les logiciels. Le buffer overflow est l'exemple typique de bogue qui permet la prise de contrôle d'une machine. Concevoir des logiciels de la taille et complexité actuelles, et exempts d'erreurs, relève de l'utopie. Nous présentons l'analyse statique par interprétation abstraite : sans exécuter le logiciel, par inspection de code uniquement, elle permet d'assurer l'absence de bogues d'une certaine catégorie (tel que les buffer overflows). Nous détaillons la méthodologie de conception de tels analyseurs, les difficultés, et les compromis réalisés. Nous donnons des exemples d'analyseurs conçus sur ce principe et les résultats auxquels ils parviennent.

Charles Hymans, chercheur au centre de recherche d'EADS, travaille sur la vérification automatique de programmes pour l'embarqué. Il a effectué sa thèse sur la vérification formelle de descriptions matérielles.

Xavier Allamigeon réalise une thèse au centre de recherche d'EADS en collaboration avec le CEA sur la vérification de manipulations de mémoire dans les logiciels.

Les pots de miel haute-interaction permettent d'observer les attaquants évoluer au sein d'une machine compromise. Ils sont intéressants pour mieux comprendre le fonctionnement de ces derniers. Cependant, l'observation se limite en général au pot de miel lui-même car les tentatives de compromission d'autres machines depuis le pot de miel sont limitées. Il nous semble très instructif de pouvoir suivre le parcours d'un attaquant sur différentes machines. Cet article propose, à cette fin, un mécanisme de redirection dynamique de connexions initiées depuis un pot de miel. Ce mécanisme, dont l'originalité réside dans son aspect dynamique, donne l'illusion à un attaquant qu'il dialogue effectivement depuis notre pot de miel avec une autre machine d'Internet alors qu'il est simplement redigiré vers un autre pot de miel. Ce mécanisme de redirection a été implémenté et testé sur un noyau Linux. Nous en présentons ici les concepts et l'implémentation.

Ion Alberdi est actuellement en 1ère année de thèse au LAAS, son travail est axé sur l'utilisation conjointe de la technologie des pots de miels et de la métrologie réseau pour analyser le trafic malicieux de l'Internet.

Philippe Owezarski est chargé de recherche au CNRS (Centre National de la Recherche Scientifique), et travaille au LAAS (le Laboratoire d’Analyse et d’Architecture des Systèmes), à Toulouse, France. Il a obtenu un doctorat en informatique en 1996 de l’université Paul Sabatier, Toulouse III. Ces principaux thèmes de recherche se situent dans le domaine des réseaux hauts-débits multimédias, et plus particulièrement sur la métrologie des réseaux IP et la gestion de la qualité de service et de la sécurité dans l’Internet à partir de mesures. En 2000, il a passé 9 mois dans les laboratoires Sprint ATL à Burlingame, Californie. Là, il a travaillé sur un projet de métrologie IPMON du réseau Sprint, et s’est principalement intéressé à l’analyse des flux TCP. De retour au LAAS, Philippe Owezarski a été un des principaux contributeurs du projet de métrologie METROPOLIS (labellisé par le RNRT) et a animé l’action spécifique sur « la métrologie des réseaux de l’Internet ». Aujourd’hui, il travaille sur les projets européens EuQoS et E-NEXT sur la mise en oeuvre de la QoS dans les réseaux IP de la prochaine generation, et dirige le projet français MetroSec qui a pour objectif d’améliorer la robustesse de l’Internet face aux attaques de DoS et DDoS. Il est également habilité à diriger les recherches.

La cryptographie est à n’en pas douter la solution incontournable lorsqu’on entend assurer la confidentialité des données de l’entreprise enregistrées sous forme de fichiers électroniques ayant vocation à transiter sur les réseaux. Si donc elle apporte une réponse technique adaptée à la problématique majeure de la confidentialité, la cryptographie n’en demeure pas moins strictement encadrée par les législateurs français et étrangers. Ainsi l’objet de notre conférence consistera dans un premier temps à donner une vision claire et synthétique de la réglementation française issue de la loi 2004-575 du 21 juin 2004 (ci-après la « LEN » ou « LCEN ») en cette matière. Dans un second temps, nous examinerons quelques problématiques et obligations soulevées par l’utilisation de la cryptographie en entreprise et notamment celle du risque de fuite d’informations confidentielles sous couvert de données personnelles du salarié qui sont protégées par la loi.

Diplômée en droit et en informatique, intervient aujourd’hui comme consultante dans le cadre de missions de la société Links Conseil. En poste précédemment au sein de la Direction juridique de Gemplus, a débuté sa carrière à l’APP (Agence pour la Protection des Programmes), puis au TGI de Paris et dans le cabinet d’expertise judiciaire J.Donio. Conférencière, contribue régulièrement à la revue MISC et intervient dans les filières de formation des ingénieurs.

Mes travaux sur la sécurité informatique concerne : le contrôle d'accès (j'ai participé à la définition du modèle Orbac de 2000 à 2003 dans le cadre d'un projet du RNRT sur la modélisation des politiques de sécurité en santé et en social), les langages d'expression de politiques de sécurité pour les services Web (je dirige depuis 2005 l'activité scientifique d'un projet de recherche sur la composition des politiques et des services dans le cadre de l'Ara SSIA de l'ANR) et le marquage spatio-temporel des documents électroniques.

Doctorat en informatique, en 1991. Chargé de recherche CNRS, depuis 1991. Habilitation à diriger des recherches en science, en 1999. Chercheur à l'institut de recherche en informatique de Toulouse, depuis 2000.

L’authentification est une fonction clé en SSI. Sous Windows, de nombreux composants du système sont chargés de réaliser des authentifications locales ou distantes. Cependant, afin de faciliter la vie de l’utilisateur, certains authentifiants sont mis en cache. Cette présentation explique l’implémentation de ces caches et présente des outils permettant d’y accéder.

Ingénieur spécialisé dans la sécurité des systèmes d’informations, Aurélien Bordes, s’est spécialisé dans l’étude de la sécurité des réseaux et des systèmes d’exploitation. Il enseigne également dans des écoles d’informatique.

Les réseaux locaux radioélectriques sans-fil 802.11 sont sous les feux des projecteurs depuis de nombreuses années de part les multiples failles protocolaires. Cette année a été l'avènement des failles dans les drivers 802.11 côté client. Nous présentons dans cet article la méthodologie adoptée en recherche de vulnérabilités dans les drivers 802.11 : le fuzzing. Nous exposons alors la conception et le développement d'un fuzzer 802.11 qui nous a permis de découvrir plusieurs failles critiques dans des drivers 802.11. Ces failles permettent l'exécution de code arbitraire en mode noyau à distance via la voie radioélectrique.

Laurent est expert senior en sécurité des réseaux à France Télécom Division R&D. Ses thèmes de recherche sont axées sur la sécurité des réseaux sans-fil (802.11, 802.16...) ainsi que les problématiques de lutte contre les codes malveillants (virus/vers/bots...). Il intervient régulièrement dans des conférences internationales en sécurité telles que le FIRST, BlackHat, ToorCon, ShmooCon...

Julien TINNES travaille en tant que chercheur en sécurité au sein de France Telecom R&D.

La découverte d'un réseau IPv6 nécessite une approche différente de celle d'un réseau IPv4. La taille de l'espace d'adressage rend quasi-impossible une approche linéaire du scan de machine. Cette présentation a pour but d'introduire les différents mécanismes utilisables pour découvrir la cartographie d'un réseau IPv6 et de présenter l'outil « sherlock ».

Ingénieur diplômé de l'ECE, Nicolas Collignon s'est orienté vers la sécurité après avoir participé au développement de solutions de sécurité comme SecureStack ou SSLTunnel. Avec une expertise dans la sécurité du protocole IPv6 et le fonctionnement des systèmes d'exploitations, il rejoint l'équipe de consultants HSC en 2006. Il est certifié Lead Auditor ISO 27001 par LSTI depuis août 2006 et réalise tout types de prestations en relation avec la sécurité des systèmes d'informations : audits techniques et fonctionnels, tests d'intrusion et formations.

Après une introduction à la problématique générale de la confiance en matière de sécurité des systèmes d’information (confiance que l’on peut placer dans les produits ou systèmes TI) et de la façon dont on peut garantir cette confiance et la transférer entre entités, entreprises ou individus, nous évoquons quelques-unes des démarches de sécurité applicables dans ce contexte. Puis, nous faisons un focus sur les démarches de certification existantes en matière de sécurité des systèmes d’information, avec leurs différents domaines de couverture. A partir de l’exemple des Critères Communs (norme ISO15408), nous introduisons les CESTI, la certification des produits et systèmes de sécurité, ainsi que les accords internationaux de reconnaissance mutuelle des certificats de sécurité. Enfin, nous mettons en exergue les limitations de la certification : les pièges à éviter, nos conseils et les solutions pour y remédier. Vient ensuite une conclusion sur les démarches de certification: leurs atouts et leur valeur ajoutée, ainsi que sur l’avenir de ces démarches.

De formation généraliste à Polytechnique et une spécialisation en Réseaux et Télécommunications à Télécom Paris, Christian DAMOUR a désormais 15 ans d'expérience en Sécurité des Systèmes d'Information. Après un début de carrière chez Thales Communications (3 ans) sur des études de définition sécuritaire pour de grands systèmes de communication militaires, des évaluations de la Sécurité des Systèmes d'Information de produits de sécurité civils et militaires au sein du CESTI AQL (critères ITSEC et Critères Communs ou norme ISO15408), puis responsable technique du CESTI AQL de 1998 à 2004, Christian DAMOUR assume la responsabilité de toute l'équipe d'experts et de consultants spécialisés en Sécurité des Systèmes d'Information depuis cette date. Outre le CESTI, cette équipe assure des audits et du conseil en sécurité, des études amont, des analyses de risque, des expertises en cryptographie et en DRM, pour ne citer que quelques-unes de ses principales compétences.

Durant ces dernières années, plusieurs architectures informatiques sécurisées ont été proposées. Elles chiffrent et vérifient le contenu de la mémoire afin de fournir un environnement d'exécution résistant aux attaques. Quelques architectures, comme notamment Hide, ont aussi été proposées pour résoudre le problème de la fuite d'informations via le bus d'adresse du processeur. Cependant, malgré l'importance de ces mécanismes, aucune solution pratique combinant le chiffrement, la vérification de l'intégrité mémoire ainsi qu'une protection contre la fuite d'informations n'a encore été proposée, à un coût raisonnable en terme de performances. Dans cet article, nous proposons CryptoPage, une architecture qui implémente ces trois mécanismes avec un impact faible sur les performances (de l'ordre de 3 %).

Diplôme d'ingénieur de l'ENST Bretagne (2004) et DEA d'Informatique de l'Université de Rennes 1 (2004). Actuellement en dernière année de thèse dirigée par M. Jacques Stern sur les architectures matérielles et logicielles sécurisées.

L'exploitation de failles se tourne de plus en plus vers les noyaux de systèmes d'exploitation, d'une part car les applications sont de mieux en mieux protégées, d'autre part car l'impact d'une telle exploitation donne un contrôle quasi sans limite de la cible à l'exploitant. L'exploitation de failles en espace noyau est sensiblement différente de celle en espace utilisateur. Des problèmes de contexte d'exécution, en passant par les pré-requis d'utilisation des appels systèmes, sans oublier la relocalisation dynamique des modules, le développement d'un shellcode noyau est sujet à des contraintes auxquelles nous n'avions pas l'habitude de faire face en espace utilisateur. Nous présenterons ainsi ces contraintes et comment y remédier tout en s'appuyant sur deux cas concrets d'exploitation de drivers Wifi sous Linux.

Stéphane DUVERGER travaille à EADS/CCR au sein du département DCR/STI/C en tant qu'ingénieur de recherche.

Le but est d' introduire Metasm, un nouveau framework sous license libre de modification de binaires, d'assemblage et de desassemblage multiplateformes.

Ingénieur informatique spécialisé dans la sécurité des systemes d'exploitation

Cet article traite de la conception de rootkits. Nous montrons en quoi ces codes malicieux sont innovants par rapport aux malwares habituels comme les virus et chevaux de Troie, ce qui nous permet d'exposer une architecture fonctionnelle des rootkits. Nous proposons également des critères permettant de qualifier et d'évaluer les différents rootkits. Nous avons volontairement abordé le problème dans sa globalité, c'est-à-dire en ne nous restreignant pas seulement au logiciel rootkit, mais aussi à la communication entre l'attaquant et son outil ou les interactions avec le système. Naturellement, nous constatons que les problématiques rencontrées lors de la conception de rootkits sont proches de celles de la stéganographie, mais nous précisons également les limites de cette comparaison. Enfin, nous présentons notre propre rootkit, fonctionnant en mode noyau sous Linux, et plusieurs nouvelles techniques conçues afin d'en accroître la furtivité.

J'ai effectué mes études supérieures à l'INSA de Toulouse, après avoir effectué une MPSI et MP en CPGE au Lycée Bellevue de Toulouse. J'ai ensuite travaillé pendant 1 an au Centre Commun de Recherche d'EADS dans l'équipe traitant de la sécurité des systèmes d'information (équipe dans laquelle j'avais effectué mon stage de fin d'études). Je suis actuellement en première année de doctorat au laboratoire du LAAS - CNRS à Toulouse, cofinancé par le CNRS et EADS-CCR (bourse BDI).

OpenDocument et Open XML sont deux nouveaux formats de fichiers pour les documents bureautiques. OpenDocument est le format normalisé par l’ISO en mai 2006, promu par OpenOffice.org et Sun StarOffice, alors qu’Open XML est le nouveau format pour les documents de la suite Microsoft Office 2007, accepté comme standard par l’ECMA fin 2006. Ces 2 formats s’appuient sur des principes de base similaires: des fichiers XML dans une archive ZIP, avec un schéma ouvert, ce qui contraste avec les anciens formats bureautiques propriétaires (Word, Excel, Powerpoint, ...). Cependant, contrairement aux idées reçues et malgré leur caractère "ouvert", ces formats peuvent poser de nombreux problèmes de sécurité, proches de ceux déjà connus pour les documents MS Office actuels: il est notamment possible d’y camoufler des contenus malveillants (chevaux de Troie, virus, …) grâce à certaines fonctionnalités "actives" comme les macros, les scripts ou les objets OLE. A cela s’ajoutent les possibilités de camouflage supplémentaires dues à XML et ZIP. Cette présentation montrera ces problèmes de sécurité avec des détails techniques, et décrira comment concevoir un filtre pour assainir les documents grâce à leur format ouvert.

Ingénieur dans l'équipe Infosec de la NC3A (NATO C3 Agency, La Haye, Pays-Bas).

Cette présentation traite de l'état de l'art du cassage de mots de passe. Elle concerne aussi bien les outils, les faiblesses des fonctions de hachage, les techniques d'optimisation en fonction des architectures utilisées (cpu généraliste, spécialisé, FPGA) ou du type de fonction de hachage. En conclusion, des recommandation sur le stockage des mots de passe seront apportées.

Cette intervention pour le SSTIC fait le point sur le danger que représentent les attaques par CSRF et les évolutions récentes apportées par les nouveaux standards du Web. Tout d'abord, nous montrerons que les attaques par CSRF sont simples à effectuer pour un attaquant, qu’elles peuvent avoir des conséquences importantes pour la sécurité des applications Web. Ensuite l’évolution de la menace au vue des nouvelles fonctionnalités des navigateurs récents mais aussi les difficultés pratiques liées à la réalisation d’attaques de type CSRF « en conditions réelles » seront détaillés. Des outils permettant d'automatiser ce type d'attaque seront présentés. Enfin, différentes solutions pour contrer ces attaques au niveau applicatif et au niveau utilisateur seront présentées.

Ingénieur diplomé de l'INSA de Rouen, Louis Nyffenegger suit une spécialisation en sécurité informatique dans le master Sécurité des Systèmes d'Informations de l'Université de Rouen. Après un stage sur la sécurité des systèmes Windows et en particulier sur le fonctionnement du noyau Windows, il rejoint l'équipe du cabinet Hervé Schauer Consultants en 2006.

Après une première expérience de 2 ans en tant qu'auditeur sécurité, Renaud Feil a rejoint HSC en 2007. Il a acquis une expérience significative dans la réalisation d'audits de sécurité de code source, notamment sur des technologies Web et sur plusieurs frameworks utilisés dans des projets atteignant plusieurs dizaines de milliers de jours / homme de développement. Il a déjà présenté par le passé le résultat de ses recherches lors de la conférence SSTIC et dans le magazine MISC. Il est diplômé du mastère SSIR de l'ENST.

Cette présentation aborde le problème de l'intrusion "tout en mémoire" en environnement Windows, sous ses 3 aspects : - Intrusion - Autopsie - Contre-mesures (anti-autopsie) Une large partie de la présentation est consacrée aux techniques de collecte et d'autopsie de la mémoire physique d'un système Windows, ce sujet connaissant une forte dynamique ces dernières années. De nouveaux outils d'analyse seront publiés en exclusivité lors de cette présentation.

Connu depuis plusieurs années dans le milieu de la sécurité, Nicolas RUFF est chercheur en sécurité informatique au sein de la société EADS. Ses thèmes de recherche sont : - La sécurité des infrastructures Microsoft - La sécurité Windows Mobile - La réponse aux incidents et l'analyse de machines compromises (forensics) - La lutte contre les codes malveillants (vers, spywares, rootkits) - La sécurité des réseaux sans-fil (WiFi, BlueTooth) Il est l’auteur de nombreuses publications sur la sécurité Windows dans des revues spécialisées telles que MISC, dispense régulièrement des formations sur le sujet et participe à des conférences telles que EuroSec, les Journées Microsoft de la Sécurité, la JSSI et le SSTIC.