SSTIC08 - Interventions

Les progrès réalisés ces dernières décennies dans les domaines de la microélectronique, de la micromécanique, et des technologies de communication sans fil, ont permis de produire à un coût raisonnable des composants de quelques millimètres cubes de volume. De ce fait, une nouvelle branche s’est créée pour offrir des solutions économiquement intéressantes pour la surveillance à distance et le traitement des données dans les environnements complexes et distribués : les réseaux de capteurs sans fil. Ces réseaux ont un intérêt particulier pour les applications militaires, environnementales, domotiques, médicales, et bien sûr les applications liées à la surveillance des infrastructures critiques. Or, de part de leurs caractéristiques (absence d'infrastructure, contrainte d'énergie, topologie dynamique, nombre important de capteurs, sécurité physique limitée, capacité réduite des nœuds,...) la sécurisation des réseaux de capteurs est à la source, aujourd'hui, de beaucoup de défis scientifiques et techniques. Cet exposé présentera les défis liés à la sécurisation des réseaux de capteurs. Nous présenterons, également, les activités de l'INRIA dans ce domaine (échange de clés, agrégation des données,...) ainsi que quelques uns de nos résultats récents.

Claude Castelluccia est directeur de recherches a l'INRIA. Il s'interesse a la securite des reseaux, et plus particulierement a la securite des reseaux sans fil et de l'Internet. Il participe au projet Europeen UbiSec&Sens, qui traite de la securite des reseaux de capteurs, et au projet ANR RFIDAP, sur la securite des systemes RFID. Il siège régulièrement dans des comités de programme internationaux, des commissions d'évaluation, ainsi que dans des jurys de thèse ou d'habilitation à diriger des recherches. Il dirige des thèses de doctorat, et enseigne regulierement dans plusieurs universités et écoles d'ingénieurs.

À la croisée de la recherche, de l'industrie et des besoins opérationnels, la direction centrale de la sécurité des systèmes d'information (DCSSI) dispose d'un observatoire privilégié pour tenter de détecter les orientations que devrait suivre la recherche et le développement en matière de sécurité des systèmes d'information. Cet exposé s'attachera donc à présenter les orientations que préconise la DCSSI en la matière en cherchant à montrer sur quelques exemples en quoi ces orientations sont justifiées. Seront ainsi abordés la problématique des fonctions de hachage appliquée au cas de l'IGC/A, la modélisation d'une fonction cruciale de sécurité qu'est l'authentification distante, et les enjeux respectifs des développements matériel et logiciel en matière de sécurité des systèmes d'information.

Polytechnicien, ingénieur en chef de l'armement, Florent Chabaud a obtenu en 1996 un doctorat d'informatique en cryptographie sous la direction de Jacques Stern avant de devenir ingénieur de recherche en sécurité des systèmes d'information au centre d'électronique de l'armement à Bruz. C'est là que sera découvert en 1998, conjointement avec Antoine Joux, la notion de collision différentielle sur la fonction de hachage SHA-0. En 2000, il rejoint la direction centrale de la sécurité des systèmes d'information pour prendre la tête de son laboratoire des technologies de l'information nouvellement créé. Depuis 2004, il assure, en tant que sous-directeur scientifique et technique, la coordination des trois laboratoires de la DCSSI : "cryptographie", "signaux compromettants" et "technologies de l'information".

ERESI est une interface pour l’analyse de code machine sur les systèmes d’exploitation UNIX. Nous présentons ses fonctionnalités d’analyse statique et dynamique directement utilisable depuis un langage spécifique au domaine du reverse engineering, du debugging et de l’audit de programmes sans les sources. Notre interface est organisée en sous-ensembles de commandes permettant d’exécuter des routines de programmes en langage ERESI, ce qui facilite l’automatisation des taches de d'audit de vulnérabilités, d'analyse d'exécutable, de vérification d’intégrité, ou de journalisation des événements internes des programmes. Les techniques de manipulation binaire sur disque ou en mémoire exportées par ERESI permettent l’analyse d’environnements protégés tel un Linux compilé avec des protections d’exécution de la mémoire (PaX) ou lors d’introduction d'aléa dans l’espace d’adressage (ASLR). Dans cet article, nous montrons comment nous avons étendu notre analyse au mode superviseur en permettant d’inspecter l’état du noyau Linux en temps réel, de le modifier et de le debugger, d’y injecter du code C compile, et de détourner les fonctions du noyau même si celle-ci ne sont pas exportées, et ce directement dans le langage ERESI. Nous avons décline ces nouvelles fonctionnalités en deux nouveaux outils : Ke2dbg (Kernel Embedded ERESI debugger) et Kernsh (The Kernel shell).

Evolution du projet ELF shell depuis 2001, le projet ERESI a vu le jour en 2007 où il a été présenté a la conférence BH Amsterdam. Anthony Desnos a rejoint récemment le projet ERESI pour lequel il a développé des fonctionnalités d'analyse du noyau Linux. Anthony est étudiant en Master a l'université de Rennes spécialisé en sécurité informatique. Sébastien Roy est développeur spécialise dans la programmation système et l'intégration bas-niveau, après une expérience en sécurité des réseaux. Julien Vanegue est ingénieur de l'EPITA spécialisé dans les systèmes embarqués et étudiant chercheur a l'université Paris 7 dans le domaine de l'analyse statique de programmes.

Au cours de l'enquête pénale peuvent être saisies et analysées de nombreuses pièces à conviction de toutes natures: traces d'ADN, empreintes digitales, armes, etc, mais aussi disques durs, clés USB, téléphones portables... La présentation portera à la fois sur les grands principes de la criminalistique (étude scientifique des éléments de preuve), qui s'appliquent indifféremment à tous les scellés quelle que soit leur nature, mais aussi sur les particularités du traitement de la preuve numérique (saisie, conservation, exploitation, présentation des résultats). Une conduite à tenir-type sera également conseillée aux RSSI et administrateurs-réseau d'entreprise en cas de découverte d'infraction dans leur périmètre de compétences.

Ingénieur de l'Ecole Polytechnique (promotion 1995), le chef d'escadron Nicolas DUVINAGE est titulaire d'un diplôme universitaire de droit et sciences criminelles de l'université de Sceaux (obtenu dans le cadre de sa scolarité à l'Ecole des Officiers de la Gendarmerie Nationale) et du mastère spécialisé "Conception et architecture réseaux" de l'Ecole Nationale Supérieure des Télécommunications de Paris (ENST). Adjoint (de 2001 à 2005) puis chef (depuis 2005) du département informatique-électronique (INL) de l'Institut de Recherche Criminelle de la Gendarmerie Nationale (IRCGN), il est vice-président du groupe de travail européen Forensic Information Technologies Working Group (FIT-WG) de l'European Network of Forensic Science Institutes (ENFSI, www.enfsi.eu). Membre-fondateur de l'Association Francophone des Spécialistes en Investigations Numériques (AFSIN, www.afsin.org), il représente régulièrement la France dans les réunions spécialisées d'Europol et d'Interpol. Laboratoire de police technique et scientifique parmi les plus avancés en Europe et dans le monde, le département INL de l'IRCGN est chargé de l'analyse des éléments de preuve (pièces à conviction) saisies dans les enquêtes judiciaires: disques durs (y compris endommagés), téléphones portables, cartes à puce, etc.

Dans le cadre des tests de pénétration réalisés dans le cadre de la sécurité, peu d'actions développent une approche des "failles humaines". Or, il existe de multiples cas ayant démontré la fragilité du "maillon humain" qui peut entraîner des pertes importantes pour les entreprises. À ce titre, l'intervention porte sur les problématiques de failles humaines - opérationnelles, ou autres - exploitées par les "prédateurs informationnels" afin d'accéder à des informations diverses en fonction de leurs besoins. La notion de prédateur informationnel regroupe l'ensemble des individus ayant pour objectif de collecter de l'information en provenance de sources humaines pour exploiter celle-ci. A ce titre, au-delà du social engineer bien connu (qui pourtant est souvent peu formé), on retrouve également dans cette catégorie, les opérationnels du renseignement industriel, les acteurs de la criminalité organisée, les arnaqueurs, etc... Malgré des objectifs totalement différents, tous ces prédateurs ont un point commun : ils doivent disposer d'un accès aux informations sensibles de l'entreprise-cible afin d'exploiter ces dernières à leurs profits. Notre propos est de présenter les principales approches exploitées par ces prédateurs pour mieux appréhender le risque sous-jacent à ces opérations par essence discrètes. L'auteur rappelle que les techniques/méthodes présentées sont dans la majorité des zones du monde considérées comme illégales et ne sont présentées ici qu'à titre informationnel afin d'illustrer notre propos. À ce titre, l'auteur rappelle qu'il condamne formellement le recours à ces méthodologies pour accéder à des informations en dehors du cadre spécifique des tests de pénétration informationnelle, réalisés en accord avec l'entreprise cliente et dans un cadre juridique et méthodologique précis. L'intervention met l'accent sur : - la compréhension des failles humaines et son exploitation; - l'identification des failles telle que réalisée par les prédateurs - les méthodologies déployées par ces prédateurs pour collecter de l'information sensible. Compte tenu de la sous-estimation régulière du risque que représente ces prédateurs informationnels, le premier objectif de l'intervention est de comprendre le mode de fonctionnement de ces derniers afin de pouvoir reproduire lors des tests de sécurité informationnelle les méthodologies de collecte, afin de mieux cerner les failles de son entreprise. Le second objectif est de permettre d'appréhender le risque que représentent ces menaces dans le dispositif de sécurité mis en place par la société, afin de pouvoir mettre en place des mesures efficaces d'identification et de minimisation de ces risques.

Directeur associé de STRATECO, cabinet spécialisé dans le conseil en Intelligence stratégique et dans la sécurité informationnelle. Précédemment en charge de la direction opérationnelle des dossiers stratégiques au sein de l’ADIT. Il est vice-président du réseau An&D, professeur au Master IEKM du CERAM Business School, et professeur associé à l’École de guerre économique (EGE). Président du premier réseau européen de Business Angels spécialisé en Intelligence Stratégique : Intel’Angels.

Historiquement, la sécurité informatique a été un désastre et continue de l’être. De nombreux praticiens ont tenté de l’expliquer en termes de gestion des risques, de difficulté de communication, ou de manque d’éducation. En réalité il s’agit d’un problème social bien plus simple, mais pas soluble sans une redéfinition du comportement humain. En tout état de cause, les modèles économiques de la sécurité et de la gestion des risques sont totalement inappropriés.

Marcus J. Ranum - Chief Security Officer chez Tenable Security, Inc. - est un expert mondial de la sécurité des systèmes et de leurs implémentations. Dès la fin des années 1980 il a été à l'origine de nombreuses innovations dans le domaine de la sécurité : le DEC SEAL, le firewall Toolkit TIS, le firewall Gauntlet et l’IDS Network Flight Recorder. Il a été impliqué dans tous les métiers de la sécurité, développeur, entrepreneur, CEO de NFR... Marcus J. Ranum a notamment été consultant pour de nombreuses entreprises du FORTUNE 500 et pour divers gouvernements. Il est régulièrement invité dans nombre de conférences high-tech. En 2001, il a obtenu le TISC CLUE Award pour ses services rendus à la communauté de la sécurité, ainsi que le "ISSA lifetime achievement award". En 2005 la conférence Techno Security l’a désigné professionnel sécurité de l’année.

Le Data Center pourrait être présenté comme « l’écrin » protégeant les matériels et infrastructures nécessaires au traitement, à la transmission et au stockage des données d’une ou plusieurs sociétés. Plus précisément, il se caractérise par un environnement multi-technique complexe : électricité, climatisation, incendie, contrôle d'accès, plancher technique, GTB, asservissements et gestion rigoureuse du site. La fiabilité et la conception cohérente de cet environnement technique garantissent la continuité de service du Data Center. Cette exigence s’accompagne aujourd’hui de nouveaux enjeux économiques et environnementaux qui rendent l’exploitation des centres informatiques encore plus sensible et stratégique. Comment concilier continuité de service et optimisation des coûts énergétiques ? Sécurité et urbanisation évolutive ? La compréhension des besoins et de leur évolution, la connaissance approfondie des matériels et de leur environnement, l’analyse des risques et impacts, sont des étapes déterminantes dans tout projet de Data Center. Qu’il s’agisse de le construire, de le rénover ou de le déplacer.

Ingénieur Art et Métiers (ENSAM), diplômé du CPA (HEC/CPA Executive MBA), Christophe WEISS est entré chez APL France en 1986. Il en est, aujourd’hui, le Directeur Général. Spécialisé dans la continuité de service et la fiabilité des infrastructures techniques, Christophe WEISS est consulté par de grands groupes dans les domaines suivants : audit, assistance à maîtrise d’ouvrage, maîtrise d’œuvre, réalisation clé en main et conseil en gestion d’infrastructures.

Dans cet article, nous allons parler des utilisations possibles de l'accès à la mémoire physique. Nous vous convions à un voyage au sein des structures composant le noyau de Windows. Nous verrons ensuite quelles sont les informations que nous pouvons extraire à partir d'un dump de la mémoire physique. Nous finirons par quelques démonstrations d'utilisations offensives et défensives de ces informations.

Diplômé du master sécurité de l'information de l'université de Limoges en 2007, Damien AUMAITRE est ingénieur au sein du laboratoire de R&D de SOGETI/ESEC.

L'année 2007 a été marquée par l'apparition d'une nouvelle famille de botnets : Storm Worm. Ce qui semblait n'être qu'une PoC en janvier s'est transformé, à partir du mois d'août, en une véritable "plate-forme communautaire malicieuse" pérenne et stable, à partir de laquelle ont été lancées les grandes campagnes de Spam et la plupart des attaques fin 2007. Cette présentation a pour objectif de présenter le résultat de 6 mois d'observation et d'analyse de ce phénomène, et d'en tirer quelques enseignements.

Après quelques années (1994/1996) passées à "observer" le monde d'Internet et l'émergence des technologies dites "nouvelles" au sein d'un cabinet de veille, j'interviens, depuis 1997, pour des missions Sécurité (avec un fort tropisme pour la détection d'intrusion) en tant que consultant indépendant (depuis 2002) auprès d'entreprises grandes et/ou moyennes de tous secteurs (majoritairement industrie et télécoms).

Depuis l'omniprésence des pare-feux utilisant de la translation d'adresses et de ports (NAT/PAT), l'inspection d'états, ou encore la normalisation de trames, les approches actuelles à la prise d'empreinte des systèmes d'exploitation montrent leurs faiblesses. C'est à partir de ce constat que l'outil SinFP fut développé, tentant ainsi de contourner les limitations des outils actuels. SinFP implémente de toutes nouvelles méthodes, comme l'utilisation de signatures acquises activement lors de prises d'empreinte passives. De plus, SinFP est le premier outil à faire de la prise d'empreinte sur IPv6 (en mode actif et passif). Grâce à son algorithme de recherche de correspondance, il devient presque inutile d'ajouter de nouvelles signatures dans la base. En effet, son algorithme heuristique le rend très robuste face à des signatures qui ont été modifiées par des dispositifs de filtrage et/ou routage en coupure, ou bien par une personnalisation de la pile TCP/IP.

Patrice Auffret (aka GomoR) est un ingénieur sécurité spécialisé dans les protocoles réseau. Il est à l'origine de nombreux modules Perl en rapport avec ce domaine (Net::Packet, Net::Frame, Net::SinFP). Il a écrit quelques articles dans le magazine MISC sur la prise d'empreinte des systèmes d'exploitation, et est également intervenu sur les vulnérabilités du protocole OSPF lors de la conférence IT Underground 2007.

Les prestations d’audit et de tests d’intrusion sont utiles aux entreprises qui souhaitent mettre à l’épreuve la sécurité de leur environnement et évaluer leur résistance à un certain niveau d’attaque. Toutefois, si un test d’intrusion « réussi » (c’est-à-dire permettant de démontrer des failles dans la sécurité d’un SI) est un argument de poids pour la sensibilisation des acteurs et en particulier des décideurs, il n’est pas moins sans risques. L’objectif de la présente conférence sera ainsi d’examiner les « effets de bord » possibles, tant du point de vue technique que juridique, et d’envisager les mesures à mettre en œuvre (notamment au plan contractuel) ou au contraire, ce qu’il convient d’éviter.

Diplômée en droit et en informatique, Marie intervient aujourd’hui comme consultant SSI au sein de l’unité IT&Labs chez Silicomp-AQL Orange, dans le cadre de prestations de conseil et d’audit orientées sécurité organisationnelle ou liées à son expertise dans le domaine de la conformité réglementaire. En poste précédemment en entreprise (direction juridique de Gemplus, APP) et dans le milieu judiciaire (TGI de Paris, cabinet d’expertise judiciaire J.Donio), elle contribue régulièrement à la revue Techniques de l’Ingénieur / SSI et intervient comme conférencière dans les filières ingénieur des grandes écoles et en Université …

Les outils d'évaluation automatisée de la sécurité des systèmes d'information ont fortement évolué ces dernières années. Ils sont passés de l'outil d'audit non intrusif à l'exploitation de vulnérabilités clé-en-main et en profondeur. Du fait de la possibilité d'utilisation malveillante ou mal contrôlée, cette nouvelle génération d'outils représente une menace à prendre en compte. Dans cet article, nous nous intéressons aux moyens de limiter les impacts de cette menace. En effet, une utilisation non maîtrisée de ces outils lors d'une évaluation peut dégrader le niveau de sécurité du système d'information audité. Ou encore, cette capacité intrusive utilisée à des fins malveillantes offre des moyens d'attaques puissants avec peu d'exigeances en termes de compétence. C'est pourquoi cet article propose l'étude de trois de ces outils parmi les plus connus, CORE IMPACT, Immunity CANVAS et Metasploit Framework. Après avoir mis en évidence les risques liés à ces outils, nous définissons des moyens de détecter leur emploi aux niveaux réseau et système. Nous présentons enfin des techniques de contre-mesure, visant à bloquer ou à contenir des attaques effectuées par ces outils.

Après avoir obtenu le titre de docteur en informatique de l'université d'Orléans en 2006, Mathieu Blanc est actuellement ingénieur chercheur en sécurité des systèmes d'information au CEA. Ses thèmes de recherche sont principalement axés sur la sécurité des architectures de calcul hautes performances, avec la participation à plusieurs comités de programme de conférences sur ce sujet. Par ailleurs, il est régulièrement sollicité pour des évaluations de sécurité au sein du CEA. Rédacteur occasionnel dans MISC, il est intervenu dans plusieurs conférences IEEE autour de la sécurité des systèmes distribués. Il enseigne à l'ENSEIRB et à l'université de Versailles - Saint Quentin, et a participé à l'organisation de diverses conférences autour du logiciel libre comme les RMLL. Site : http://moutane.rstack.org/

Devant l'incapacité consommée des modèles de sécurité réseau classiques à fournir un niveau de protection approprié, en particulier face au nomadisme, l'idée d'aller vers une suppression assumée des barrières fait depuis quelques années son chemin au sein de la communauté de la sécurité informatique. Le présent article vise à présenter ce qui se cache derrière le terme barbare de "dépérimétrisation" et d'en discuter les apports et les défauts pour la protection du patrimoine informationnel. La question de la faisabilité technique sera en particulier soulevée, qu'il s'agisse de l'état actuel de l'art ou en anticipation d'avancées qu'on espèerait majeures. Tout ceci pour tenter de répondre à la question de savoir si la "dépérimétrisation" est une solution viable et pérenne, ou rien de plus qu'une simple lubie passagère comme le monde de la sécurité informatique en connait régulièrement...

Après quatre ans comme consultant en sécurité des systèmes d'information, Cédric Blancher a rejoint le laboratoire de recherche en sécurité informatique tout juste créé chez EADS Innovation Works. D'abord qu'ingénieur-chercheur, avec des travaux focalisés sur la sécurité des réseaux de données et les honeypots, il dirige à présent ce laboratoire. Rédacteur pour MISC et Linux Magazine, membre du groupe Rstack et du défunt French Honeynet Project, intervenant en mastère à la faculté de Limoges et à l'ESIEA, conférencier et blogueur à ses heures, il participe également à la promotion et au développement du logiciel libre en SSI, particulièrement dans les pays en voie de développement, via un programme de l'Organisation Internationale de la Francophonie. Site : http://sid.rstack.org/ Blog : http://sid.rstack.org/blog/

Cet article présente une analyse approfondie d’un logiciel espion dédié au vol de mots de passe des utilisateurs de banques en ligne : le malware Anserin. Cette analyse dissèque le fonctionnement de ce malware selon plusieurs angles : sa présence sur le système, son mécanisme de vol des mots de passe, son protocole de communication réseau, ainsi que les techniques utilisées pour déjouer les protections mises en place par les banques, telles que les claviers virtuels. Cet article présente également les évolutions observées au cours de l’année 2007 ainsi que les méthodes et outils employés pour analyser et suivre l’évolution de ce malware.

Frédéric Charpentier est associé au sein du cabinet Xmco Partners, en charge de la direction technique des tests d'intrusion et des audits de sécurité. Frédéric est expert en tests d’intrusion des applications en ligne et des plateformes e-business. De formation Ingénieur Systèmes et Réseaux, Frédéric a intégré le cabinet en 2002 après plusieurs expériences d'audits dans le milieu de la finance. Frédéric est à l'origine de l'échelle d'évaluation de la sécurité des applications web CCWAPSS, échelle basée sur des critères communs. *** Yannick Hamon (co-auteur) Yannick est consultant confirmé au sein du cabinet Xmco Partners, en charge des projets liés à la sécurité de la VoIP. Après une formation d'ingénieur en alternance chez Alcatel et à la suite d'un mastère spécialisé en sécurité informatique à l'ESIEA, Yannick a rejoint l'équipe de tests d'intrusion XMCO en 2005. Yannick est également en charge du développement des outils de surveillances des malwares.

Dans cet article, nous présentons les conséquences sur la sécurité des systèmes d'exploitation et des moniteurs de machines virtuelles de l'introduction involontaire d'un bogue ou volontaire d'un piégeage dans un processeur x86. Nous ne cherchons pas à évaluer le réalisme de la menace liée au piégeage ou a la présence d'un bogue matériel mais supposons l'existence d'un tel problème et analysons son impact sur la sécurité des systèmes mettant en oeuvre le composant piégé. Nous montrons notamment comment il est possible pour un attaquant de piéger de manière simple et générique un processeur pour être ensuite capable à partir de privilèges minimes d'obtenir les privilèges maximaux sur un système en contournant les mécanismes de sécurité en théorie imposés par les moniteurs de machines virtuelles et les systèmes d'exploitation. Nous présentons également les difficultés pratiques de l'exploitation et proposons des preuves de concepts à l'aide de l'émulateur libre Qemu modifié. Les pièges dont il est ici question sont tous exploitables au niveau logique sans accès physique au matériel.

Loïc est ingénieur de recherche au sein de la sous-direction scientifique et technique de la Direction Centrale de la Sécurité des Systèmes d'Information (DCSSI) où il exerce les fonctions de responsable du Laboratoire des Technologies de l'Information. Son activité de recherche est principalement centrée sur l'analyse de la sécurité des interactions entre systèmes d'exploitation et matériel. Il a notamment présenté certains de ses travaux lors des conférences SSTIC 2006, CanSecWest 2006 et PacSec 2007.

L'objet de cet article est de présenter un outil de déboguage générique développé au CELAR. GenDbg est un framework permettant de déboguer tout type d'application sur différentes architectures. Il fusionne à travers une interface commune les fonctionnalités de plusieurs outils.

Jean-Marie Fraygefond est expert en techniques de lutte informatique au Centre d'électronique de l'armement (CELAR).

Ce papier présente quelques familles de protections que l’on peut re- trouver sur des binaires, malicieux ou non, dont le but est de freiner le reverse-engineering. Nous verrons également les limitations de celles-ci, et comment il est possible de les supprimer de manière largement automatique. Enfin nous illustrerons ces concepts par la résolution du challenge “T2”, qui implémente une machine virtuelle obfusquée, au moyen de l’ins- trumentation du désassembleur de Metasm. Celui qui fond dans la bouche et pas dans la main.

Le plus beau reste a venir...

Après un rappel des principes de fonctionnement des cartes à puce sans contact et de leur principaux cas d'utilisation, nous présentions des attaques spécifique à cette technologie. La principale est l'activation de la carte à l'insu du porteur. Nous résumons l'état de l'art des solutions ainsi que leurs limites. Enfin, nous présentons trois techniques nouvelles et plus avantageuses permettant de se prémunir des attaques.

Pierre Girard holds a PhD in computer security from École Nationale Supérieure de l’Aéronautique et de l’Espace (Sup’Aéro’) and an engineering degree in computer science from Institut National des Sciences Appliquées (I.N.S.A.) de Toulouse. Pierre has 13 years of experience in computer security including 9 years of experience in smart card security. Prior joining Gemplus (recently merged with Axalto and renamed Gemalto), Pierre Girard has been a researcher in computer security at the Office National d’Études et de Recherches en Aéronautique (ONERA) in Toulouse. Since 1997 in Gemplus, Pierre Girard has been working as a security architect and currently manages a team of 10 security experts, exclusively dedicated to embedded Java security. The missions of this team are: security architecture, design, and evaluation of embedded virtual machines and applets (Java Card, J2ME, Finread, …) as well as the delivery of security building blocks such as byte code verifiers. The team also conducts research projects alone or in collaboration with external labs. Pierre Girard has been the chairman of the Java Card Forum security task force, which design the security architecture of Java Card, from 2000 to 2005. Pierre is the author or co-author of 20+ security papers and 20+ security related patents.

L’analyse de codes malveillants est aujourd’hui devenue une activité très importante dans le cadre de la gestion des incidents de sécurité informatique. Les organisations qui prennent sérieusement en compte la sécurité de leurs réseaux sont souvent confrontées a des fichiers suspicieux capturés grâce à leurs antivirus, IDS et systèmes de supervision sécurité, ou encore lors d’analyses forensics. Il est alors nécessaire d’analyser rapidement ces fichiers pour déterminer s’il s’agit d’un code malveillant connu, d’une attaque ciblée ou bien d’une fausse alerte. Connaître le comportement d’un code malveillant est capital pour déterminer si d’autres machines sur le réseau peuvent être compromises ou non. L’analyse statique de code exécutable par désassemblage a beaucoup de succès parmi les experts en sécurité, cependant la complexité de ce processus demande un long apprentissage et beaucoup d’énergie. De plus il n’est pas rare de rencontrer des codes malveillants protégés contre le désassemblage, ce qui peut ralentir considérablement l’analyse. L’analyse dynamique de code malveillant consiste à faire exécuter un échantillon de code sur une plate-forme conçue pour observer toutes ses actions. Dans la plupart des cas, c’est une méthode très efficace et rapide pour déterminer la nature et le comportement du code malveillant, au moins dans une première approche. Cet article et la présentation associée décrivent comment il est possible d’installer facilement et à moindres frais un modeste laboratoire d’analyse dynamique de code malveillant, même sans aucune compétence en désassemblage.

Cyber-Defence / Information Assurance scientist at NATO/NC3A.

Les architecture supportant des environnements collaboratifs apportent de nombreux problèmes de sécurité. Un de ces environnements est les bureaux distants qui fournissent un environnement graphique distant à travers le réseau à des clients légers. Comme un grand nombre de client légers ont accés aux même machines, les risques de conflits et d'interférance doivent être soigneusement étudiés. Même si il existe de nombreuses solutions permettant d'améliorer la sécurité d'une machines, aucune ne proposent une vraie solution permettant de sécuriser une architecture de bureaux graphiques distants complète. Dans ce papier, nous étendons un travail précédemment réalisé précédemment où nous avions décrit une architecture avec une authentification lourde supportant le Single Sign On mais également des outils de détections d'intrusions et d'anomalies et particulièrement une vérification du comportement des utilisateurs via un système de corrélation. De plus, des aspects de Load Balancing via l'introduction d'un algorithme de répartition se basant sur l'utilisation des ressources de chaque machine avait été introduit. Les extensions portent sur une meilleur virtualisation et donc une meilleur gestion des problèmes de conflits et d'interférances entre les utilisateurs, une meilleur répartition de la charge des bureaux graphiques et la combinaison de nouveaux concepts de sécurité. Cela nous permet d'améliorer la disponibilité, la qualité de services, la reprise sur panne et la sécurité globale de l'architecture que nous proposons.

Après avoir fini un double diplôme Master Recherche et Ingénieur en Sécurité Informatique, il est actuellement doctorant au LIFO dans l'équipe Sécurité et Distribution des Systèmes et travaille sur la corrélation d'événements de détection d'intrusion et plus particulièrement la corrélation d'événements HIDS. En paralléle, il travaille sur une architecture de bureaux graphiques distants sécurisés utilisant uniquement des solutions OpenSource.

Cet article porte sur les attaques opérationnelles à l'encontre de la cryptographie. Le problème est abordé sous plusieurs angles, l'objectif étant de ne pas recourir aux classiques cryptanalyses. Pour cela, nous nous appuyons sur des erreurs dans l'implémentation ou dans l'utilisation, ou encore sur des fuites d'informations. Tout d'abord, nous examinons les attaques à l'encontre des clés. Nous les recherchons dans les fichiers binaires, dans la mémoire, ou dans des fichiers mémoire (comme le fichier d'hibernation). Nous montrons également plusieurs cas de mauvaise initialisation de générateurs aléatoires, réduisant fortement l'entropie de la clé mais aussi les problèmes de portes dérobées. Ensuite, nous nous mettons dans la position d'un attaquant quand il est confronté à de la cryptographie. Il doit commencer par détecter que de tels algorithmes sont employés, puis les identifier. Nous présentons des solutions à ces problèmes, aussi bien lors de l'analyse de binaire que sur des flux de communication. La partie suivante illustre ces résultats au travers de l'analyse d'un protocole de communication réseau fermé. L'identification du format des paquets se fait en analysant le comportement du programme, en ayant préalablement identifié tous les éléments de cryptographie. Parfois, un attaquant n'a accès qu'aux flux chiffrés, sans disposer des outils capables de générer ce flux, ou des moyens pour casser le chiffrement. Dans ces situations, nous constatons qu'il reste souvent des fuites d'information qui se révèlent largement intéressantes. Nous montrons comment les méthodes classiques de supervision de réseau, de forensics, ou encore de data mining permettent de récupérer des informations pertinentes. Nous construisons par exemple des sociogrammes susceptibles de révéler les éléments clés d'organisation, le type d'organisation, etc. Enfin, la dernière section porte sur l'attaque des flux chiffrés. On distingue deux types d'attaques, selon qu'on a connaissance ou non du chiffrement employé. Quand on ignore la nature de la protection, les tests statistiques usuels d'évaluation des algorithmes s'avèrent parfois suffisants. Toutefois, dans la pratique, il faut mener des attaques spécifiques à l'algorithme. À l'aide d'hypothèses simples, nous réduisons la complexité des attaques théoriques, pour les mettre à la portées des moyens actuels.

Invités

Intervenants