Mardi 10 juin 2003
9h30	Accueil

9h45	Discours d'ouverture	F. Raynal

10h00	Les enjeux de la SSIC	GDI Desvignes

11h00	Inscription et café

12h00	Des clés et des trappes en cryptographie	E. Wegrzynowski

13h00	Déjeuner

14h30	Cryptanalyse du chiffrement par bloc - Résultats récents sur l'AES	É. Filiol
15h30	Pause

Spywares, trojans et backdoors sous Windows	Chairman : P. Chambet
16h00	Formats de fichiers, menaces et sécurisation	P. Lagadec
16h45	Prise de contrôle via Internet Explorer d'une machine compromise située en réseau inconnu	N. Gregoire
17h30	Les SpyWares dans Windows XP	N. Ruff

Mercredi 11 juin 2003
9h00	Accueil et café

Sécuriser son environnement	Chairman : E. Detoisien
9h30	Sécurité des Réseaux Domestiques	N. Prigent et al.
10h15	Poste de travail léger sécurisé	L. Cabirol
10h45	Les firewalls personnels	C. Blancher
11h30	Pause
12h00	Les enjeux de sécurité dans l'usage des Technologies de l'Information et des Communications	P. Wolf

13h00	Déjeuner

14h15	Détection des intrusions dans les systèmes d'information : la nécessaire prise en compte des caractéristiques du système surveillé	L. Mé

Réseau	Chairmen : N. Fischbach, L. Oudot
15h00	Utiliser UML comme honeypot	M. Hervieux et al
15h30	Pause
16h00	Détection des systèmes d'exploitation avec Cron-OS	O. Courtay et al.
16h30	BGP et DNS: attaques sur les protocoles critiques de l'Internet	N. Dubée
17h30	Profils propres pour la détection d'intrusion	Y. Bouzida et al.

17h50	Pause
18h00	Rump Sessions. Durée prévue : 2h Bruno Kerouanton : Techniques d'attaques des microcircuits par pénétration partielle Julien Bourgeois : défaillance des IDS Christian Toinard : protection des flux multicast Nicolas Grégoire: Scanners de vulnérabilité, localisation et faux-négatifs Guillaume Arcas : Guerre de l'information, restrospective depuis 1995 Si vous souhaitez présenter quelque chose : rump@sstic.org.	Chairmen : F. Veysset, R. Bidou

Jeudi 12 juin 2003
Reverse engineering	Chairman : P. Biondi
9h00	La rétroconception : application à l'analyse logicielle	S. Lefranc
9h45	Analyse d'une protection d'exécutables PE : Asprotect	N. Brulez
10h30	Pause
11h00	Manipulation ELF et reverse engineering sous UNIX	J. Vanegue et al.

12h00	La guerre de l'information	Y. Correc

13h00	Déjeuner

14h15	Droit et sécurité informatique	X. Lecerf
15h15	Pause

Réseau sans fil	Chairman : F. Raynal
15h45	La sécurité dans les réseaux sans fil ad hoc	V. Gayraud et al.
16h30	La détection d'intrusions dans les réseaux sans fil ad-hoc	B. Jouga, et al.
17h15	Clôture

Formats de fichiers, menaces et sécurisation
La plupart des réseaux connectés à Internet sont aujourd'hui relativement sécurisés: la sécurité de niveau réseau est assurée par des éléments de filtrage tels que routeurs filtrants, pare-feux ou DMZ évoluées, avec selon les cas antivirus et détection d'intrusion. Par contre les couches applicatives ne sont pas forcément bien maîtrisées. Cette présentation se penche sur le cas particulier des fichiers, qui peuvent pénétrer sur un intranet par de nombreux moyens différents (web, mail, disquette, CDROM, ...), la plupart du temps sans réel filtrage. Une fois qu'il est ouvert par un utilisateur, un fichier peut facilement agir sans aucun contrôle sur un intranet et mettre en jeu sa sécurité (installation de cheval de Troie, espionnage, actions malveillantes, ...). Afin de préciser les menaces, quelques démonstrations concrètes illustreront différents exemples de codes malveillants qui peuvent être introduits dans les formats de fichiers classiques: exécutables, scripts, HTML, documents Office, PDF, ... Cela débouche sur une classification des différents formats de fichiers, afin de distinguer ceux qui sont inoffensifs et ceux qui présentent une menace potentielle. Il est ainsi possible de déterminer une politique de filtrage adaptée au réseau à protéger. Ensuite, il s'agira d'étudier quels sont les moyens techniques disponibles aujourd'hui pour contrer au mieux ces menaces (antivirus, contrôle d'intégrité, pare-feux personnels, analyse de contenu, bac à sable, conversion de formats, ...), en montrant que les solutions actuelles sont loin d'être satisfaisantes et exhaustives. Cela amènera quelques réflexions sur les solutions à mettre en place ou à développer à l'avenir pour améliorer la sécurité d'un réseau vis-à-vis des fichiers.
Philippe LAGADEC
Ingénieur au Centre d'Électronique de l'Armement (CELAR), département Sécurité Système.

Prise de contrôle via Internet Explorer d'une machine compromise située en réseau inconnu

Cet article présente JAB, une backdoor utilisant Internet Explorer via les contrôles OLE pour communiquer avec un serveur externe, contournant ainsi firewalls personnels, proxy (avec ou sans authentification), passerelles antivirales, etc.
De plus, le binaire peut être exécuté dans un réseau totalement inconnu et, si quelques pré-requis sont respectés, établir à coup sûr un canal de communication entre la victime et l'attaquant.

Nicolas GREGOIRE

Ingénieur sécurité au sein d'Exaprobe, Nicolas Grégoire privilégie les prestations d'audits (organisationnels, techniques) et de tests intrusifs.
De par son passé de principal développeur Web pour une startup française, il travaille régulièrement dans le domaine de la sécurité d'applications Web complexes, à la fois pour de très grands comptes et pour des applications très sensibles.
Très actif au sein de la communauté "sécurité", il a contribué (principalement sous NDA) à l'augmentation du niveau de sécurité d'applications largement utilisées.

Prise de contrôle via Internet Explorer d'une machine compromise située en réseau inconnu
Cet article présente JAB, une backdoor utilisant Internet Explorer via les contrôles OLE pour communiquer avec un serveur externe, contournant ainsi firewalls personnels, proxy (avec ou sans authentification), passerelles antivirales, etc. De plus, le binaire peut être exécuté dans un réseau totalement inconnu et, si quelques pré-requis sont respectés, établir à coup sûr un canal de communication entre la victime et l'attaquant.
Nicolas GREGOIRE
Ingénieur sécurité au sein d'Exaprobe, Nicolas Grégoire privilégie les prestations d'audits (organisationnels, techniques) et de tests intrusifs. De par son passé de principal développeur Web pour une startup française, il travaille régulièrement dans le domaine de la sécurité d'applications Web complexes, à la fois pour de très grands comptes et pour des applications très sensibles. Très actif au sein de la communauté "sécurité", il a contribué (principalement sous NDA) à l'augmentation du niveau de sécurité d'applications largement utilisées.

Le SpyWare dans Windows XP

Windows XP, le dernier né de la gamme des systèmes d'exploitation Microsoft, intègre de plus en plus de fonctions Web natives. Bien que cette intégration facilite indéniablement « l'expérience utilisateur » (pour reprendre les termes de Microsoft), il est légitime de se poser la question des informations qui sont échangées en arrière-plan entre le système d'exploitation et les serveurs Microsoft, bien souvent sans confirmation ou possibilité de paramétrage ...

Nicolas RUFF

Consultant expert en sécurité Windows, Nicolas RUFF participe à des missions de sécurité amont (définition de politique de sécurité, guides de sécurisation) et aval (audit, test d'intrusion) sur des infrastructures complexes. Animateur du groupe "Sécurité Windows" de l'OSSIR, il intervient également dans des conférences et formations à la sécurité Windows.

Le SpyWare dans Windows XP
Windows XP, le dernier né de la gamme des systèmes d'exploitation Microsoft, intègre de plus en plus de fonctions Web natives. Bien que cette intégration facilite indéniablement « l'expérience utilisateur » (pour reprendre les termes de Microsoft), il est légitime de se poser la question des informations qui sont échangées en arrière-plan entre le système d'exploitation et les serveurs Microsoft, bien souvent sans confirmation ou possibilité de paramétrage ...
Nicolas RUFF
Consultant expert en sécurité Windows, Nicolas RUFF participe à des missions de sécurité amont (définition de politique de sécurité, guides de sécurisation) et aval (audit, test d'intrusion) sur des infrastructures complexes. Animateur du groupe "Sécurité Windows" de l'OSSIR, il intervient également dans des conférences et formations à la sécurité Windows.

Sécurité des Réseaux Domestiques

Au carrefour de l'informatique traditionnelle et du consumer electronics, les réseaux domestiques promettent de nouveaux usages et de nouveaux horizons pour le grand public. Ils ne tiendront pas ces promesses si leur sécurité n'est pas assurée. Nous montrons dans cette présentation en quoi des solutions de sécurité initialement élaborées pour un environnement professionnel offrent en fait peu de sécurité en environnement domestique ou contraignent trop le réseau et son utilisateur. Puis nous présentons quelques pistes récentes vers des mesures de sécurité spécifiques.

Nicolas PRIGENT, Olivier HEEN et Alain DURAND, Christophe BIDAN

Né en 1978, Nicolas Prigent obtient en 2001 un DEA d'informatique à l'université de Rennes 1. Passionné par l'informatique et les réseaux, il prépare actuellement une thèse de doctorat portant sur la sécurité des réseaux domestiques, en collaboration avec Thomson et Supelec.
Docteur en Informatique Fondamentale, Olivier Heen conduit depuis 7 ans des recherches en Sécurité des Réseaux, à France Télécom puis à Thomson. Ses recherches actuelles portent sur la sécurité des Réseaux Domestiques.
Né en 1972, Alain Durand est diplomé de l'École Nationale Supérieure de Techniques Avancées (ENSTA) en 1995. Cette même année, il obtient un DESS d'informatique à l'université Paris VII Denis Diderot. Entre 1997 et 1999, il travaille chez Oberthur Smart Cards dans le domaine de la cryptographie, puis il rejoint le laboratoire de sécurité de Thomson. Actuellement, ses principaux centres d'intérêt sont la protection de contenu et les protocoles cryptographiques.

Sécurité des Réseaux Domestiques
Au carrefour de l'informatique traditionnelle et du consumer electronics, les réseaux domestiques promettent de nouveaux usages et de nouveaux horizons pour le grand public. Ils ne tiendront pas ces promesses si leur sécurité n'est pas assurée. Nous montrons dans cette présentation en quoi des solutions de sécurité initialement élaborées pour un environnement professionnel offrent en fait peu de sécurité en environnement domestique ou contraignent trop le réseau et son utilisateur. Puis nous présentons quelques pistes récentes vers des mesures de sécurité spécifiques.
Nicolas PRIGENT, Olivier HEEN et Alain DURAND, Christophe BIDAN
Né en 1978, Nicolas Prigent obtient en 2001 un DEA d'informatique à l'université de Rennes 1. Passionné par l'informatique et les réseaux, il prépare actuellement une thèse de doctorat portant sur la sécurité des réseaux domestiques, en collaboration avec Thomson et Supelec. Docteur en Informatique Fondamentale, Olivier Heen conduit depuis 7 ans des recherches en Sécurité des Réseaux, à France Télécom puis à Thomson. Ses recherches actuelles portent sur la sécurité des Réseaux Domestiques. Né en 1972, Alain Durand est diplomé de l'École Nationale Supérieure de Techniques Avancées (ENSTA) en 1995. Cette même année, il obtient un DESS d'informatique à l'université Paris VII Denis Diderot. Entre 1997 et 1999, il travaille chez Oberthur Smart Cards dans le domaine de la cryptographie, puis il rejoint le laboratoire de sécurité de Thomson. Actuellement, ses principaux centres d'intérêt sont la protection de contenu et les protocoles cryptographiques.

Poste de travail léger sécurisé

Le CEA se propose de déployer dans ses centres de recherche des applications nationales très fortement sécurisées dans un mode client-serveur. Après un rappel de la problématique, l'exposé décrira les règles qu'il s'impose pour la protection des informations sensibles manipulées par ces applications et les menaces contre lesquels il se propose de se protéger.
Nous passerons ensuite à une description sommaire de la solution retenue basée sur un client léger Linux sans disque dur et avec lecteur de carte à puce utilisant un VPN pour communiquer avec le serveur. L'exposé s'attardera sur les mécanismes de boot, puis de chargement de système et d'applications en présentant différents choix possibles de sécurisation selon les étapes. Une présentation du maquettage en cours conclura l'exposé.

Laurent CABIROL

Après avoir obtenu un diplôme d'ingénieur en génie physique et en intrumentation à l'Université Pierre et Marie Curie, Laurent CABIROL s'est consacré aux architectures de commande de robot au Commissariat à l'Énergie Atomique. Il s'est ensuite tourné vers la sécurité informatique au sein du Service Central pour la Sécurité des Systèmes d'Information. Il a poursuivi sa carrière au ministère de la recherche, chargé de mission pour les technologies de l'information. Il est passé ensuite à la Commission Européenne, au sein de la direction générale "Société de l'Information" ou il a travaillé à nouveau sur les questions de sécurité informatique ainsi que sur le logiciel libre. Depuis 18 mois, il est revenu au CEA en tant qu'adjoint, chargé de la sécurité informatique, du directeur des Technologies de l'Information.

Poste de travail léger sécurisé
Le CEA se propose de déployer dans ses centres de recherche des applications nationales très fortement sécurisées dans un mode client-serveur. Après un rappel de la problématique, l'exposé décrira les règles qu'il s'impose pour la protection des informations sensibles manipulées par ces applications et les menaces contre lesquels il se propose de se protéger. Nous passerons ensuite à une description sommaire de la solution retenue basée sur un client léger Linux sans disque dur et avec lecteur de carte à puce utilisant un VPN pour communiquer avec le serveur. L'exposé s'attardera sur les mécanismes de boot, puis de chargement de système et d'applications en présentant différents choix possibles de sécurisation selon les étapes. Une présentation du maquettage en cours conclura l'exposé.
Laurent CABIROL
Après avoir obtenu un diplôme d'ingénieur en génie physique et en intrumentation à l'Université Pierre et Marie Curie, Laurent CABIROL s'est consacré aux architectures de commande de robot au Commissariat à l'Énergie Atomique. Il s'est ensuite tourné vers la sécurité informatique au sein du Service Central pour la Sécurité des Systèmes d'Information. Il a poursuivi sa carrière au ministère de la recherche, chargé de mission pour les technologies de l'information. Il est passé ensuite à la Commission Européenne, au sein de la direction générale "Société de l'Information" ou il a travaillé à nouveau sur les questions de sécurité informatique ainsi que sur le logiciel libre. Depuis 18 mois, il est revenu au CEA en tant qu'adjoint, chargé de la sécurité informatique, du directeur des Technologies de l'Information.

Les firewalls personnels

Le développement des accès haut-débit pour les particuliers a ouvert un nouveau marché en matière de sécurité. Les spécificités des accès « grand public » ont conduit à l'émergence d'un type de produit nouveau : le firewall personnel.
Si le concept est intéressant et si ce type outil apparaît aujourd'hui comme une composante essentielle de protection, il est essentiel d'en apprécier les atouts comme les limites. Cet article vise donc d'une part à présenter ce qu'est un firewall personnel par ses concepts fondamentaux, puis d'autre part à en analyser les faiblesses dans son contexte de fonctionnement. Nous pourrons ainsi en définir les limites pour parvenir à une utilisation éclairée et efficace.

Cédric BLANCHER

Ingénieur de l'ENST Bretagne, Cédric Blancher est aujourd'hui consultant en sécurité informatique chez Cartel Sécurité, au sein du pôle Conseil/Audit/Formation. Spécialisé en sécurité des réseaux et systèmes Unix, il s'occupe de conseil, d'audits et tests d'intrusion, de formation et de veille technologique. Il publie dans MISC et Linux Magazine, et participe à la promotion et au développement du logiciel libre, particulièrement dans les pays en voie de développement via des formations (INTIF) ou sa participation à des conférences (RMLL, CODI3)

Les firewalls personnels
Le développement des accès haut-débit pour les particuliers a ouvert un nouveau marché en matière de sécurité. Les spécificités des accès « grand public » ont conduit à l'émergence d'un type de produit nouveau : le firewall personnel. Si le concept est intéressant et si ce type outil apparaît aujourd'hui comme une composante essentielle de protection, il est essentiel d'en apprécier les atouts comme les limites. Cet article vise donc d'une part à présenter ce qu'est un firewall personnel par ses concepts fondamentaux, puis d'autre part à en analyser les faiblesses dans son contexte de fonctionnement. Nous pourrons ainsi en définir les limites pour parvenir à une utilisation éclairée et efficace.
Cédric BLANCHER
Ingénieur de l'ENST Bretagne, Cédric Blancher est aujourd'hui consultant en sécurité informatique chez Cartel Sécurité, au sein du pôle Conseil/Audit/Formation. Spécialisé en sécurité des réseaux et systèmes Unix, il s'occupe de conseil, d'audits et tests d'intrusion, de formation et de veille technologique. Il publie dans MISC et Linux Magazine, et participe à la promotion et au développement du logiciel libre, particulièrement dans les pays en voie de développement via des formations (INTIF) ou sa participation à des conférences (RMLL, CODI3)

UML as a honeypot

UML (User Mode Linux) permet d'avoir à sa disposition une machine virtuelle tournant sur Linux. L'intérêt est de pouvoir tester sans risque de nouveaux programmes ou même un nouveau noyau, puisque tout ce qu'on effectuera sur l'UML, lancé en tant qu'utilisateur sans privilèges particuliers, ne pourra endommager la machine de départ.
Nous avons repris cet outil pour créer un Honeypot ou pot à miel.
Le but est d'attirer les pirates et de les faire venir sur notre machine virtuelle tout en leur faisant croire qu'ils se trouvent sur une machine réelle.
On espère ainsi découvrir de nouvelles techniques qui pourraient être mises en oeuvre sur des ordinateurs où l'issue serait plus critique.
Nous allons donc mettre l'accent sur les différents aspects qui pourraient trahir la virtualité de l'UML sur des aspects système et réseau d'une part, et voir comment tracer les attaques d'un assaillant d'autre part.

Michaël HERVIEUX, Thomas MEURISSE

Michaël Hervieux et Thomas Meurisse, élèves ingénieurs en troisième année de l'ENSEIRB en option « Réseaux et Systèmes Répartis », diplomés en Juillet 2003, ont suivi les cours de Laurent Oudot, où ils commencèrent à travailler sur UML dans le cadre d'un projet. Ils publieront en collaboration avec des personnes de l'EPF un article sur UML dans le numéro spécial honeypot du Misc de Juillet.

UML as a honeypot
UML (User Mode Linux) permet d'avoir à sa disposition une machine virtuelle tournant sur Linux. L'intérêt est de pouvoir tester sans risque de nouveaux programmes ou même un nouveau noyau, puisque tout ce qu'on effectuera sur l'UML, lancé en tant qu'utilisateur sans privilèges particuliers, ne pourra endommager la machine de départ. Nous avons repris cet outil pour créer un Honeypot ou pot à miel. Le but est d'attirer les pirates et de les faire venir sur notre machine virtuelle tout en leur faisant croire qu'ils se trouvent sur une machine réelle. On espère ainsi découvrir de nouvelles techniques qui pourraient être mises en oeuvre sur des ordinateurs où l'issue serait plus critique. Nous allons donc mettre l'accent sur les différents aspects qui pourraient trahir la virtualité de l'UML sur des aspects système et réseau d'une part, et voir comment tracer les attaques d'un assaillant d'autre part.
Michaël HERVIEUX, Thomas MEURISSE
Michaël Hervieux et Thomas Meurisse, élèves ingénieurs en troisième année de l'ENSEIRB en option « Réseaux et Systèmes Répartis », diplomés en Juillet 2003, ont suivi les cours de Laurent Oudot, où ils commencèrent à travailler sur UML dans le cadre d'un projet. Ils publieront en collaboration avec des personnes de l'EPF un article sur UML dans le numéro spécial honeypot du Misc de Juillet.

Détection des systèmes d'exploitation avec Cron-OS

Après un survol du domaine de la reconnaissance à distance des systèmes d'exploitation, nous rappelons le principe de la reconnaissance temporelle mis en œuvre dans l'outil RING (cf. www.intranode.com). Nous présentons ensuite une évolution, Cron-OS, et indiquons divers exemples de fonctionnement.

Olivier COURTAY, Olivier HEEN, Franck VEYSSET

Aprés avoir débuté sa carriére dans une start-up spécialisée dans la sécurité, Olivier Courtay travaille à l'ENST Bretagne sur un projet autour de DNSsec et IPsec mais participe aussi à des projets OpenSource autour de la securité.
Docteur en Informatique Fondamentale, Olivier Heen conduit depuis 7 ans des recherches en Sécurité des Réseaux, à France Télécom puis à Thomson. Ses recherches actuelles portent sur la sécurité des Réseaux Domestiques.
Franck Veysset travaille à France Télécom R&D, dans l'unité Sécurité des Services et des Réseaux. Passionné par la sécurité, Franck participe activement à diverses activités dans ce domaine (organisation JSSI, CP du SSTIC03, CP FIRST 03...), et est également impliqué dans des projets Open Source liés à la sécurité IP, tel que l'OSFP.

Détection des systèmes d'exploitation avec Cron-OS
Après un survol du domaine de la reconnaissance à distance des systèmes d'exploitation, nous rappelons le principe de la reconnaissance temporelle mis en œuvre dans l'outil RING (cf. www.intranode.com). Nous présentons ensuite une évolution, Cron-OS, et indiquons divers exemples de fonctionnement.
Olivier COURTAY, Olivier HEEN, Franck VEYSSET
Aprés avoir débuté sa carriére dans une start-up spécialisée dans la sécurité, Olivier Courtay travaille à l'ENST Bretagne sur un projet autour de DNSsec et IPsec mais participe aussi à des projets OpenSource autour de la securité. Docteur en Informatique Fondamentale, Olivier Heen conduit depuis 7 ans des recherches en Sécurité des Réseaux, à France Télécom puis à Thomson. Ses recherches actuelles portent sur la sécurité des Réseaux Domestiques. Franck Veysset travaille à France Télécom R&D, dans l'unité Sécurité des Services et des Réseaux. Passionné par la sécurité, Franck participe activement à diverses activités dans ce domaine (organisation JSSI, CP du SSTIC03, CP FIRST 03...), et est également impliqué dans des projets Open Source liés à la sécurité IP, tel que l'OSFP.

La rétroconception: application a l'analyse logicielle

La rétroconception peut se définir comme l'action d'extraire une connaissance ou un savoir d'une réalisation.
Cette activité est pratique depuis très longtemps dans un grand nombre de domaine industriel (automobile, électronique...) afin, notamment, de permettre l'accession a un savoir, a une technologie, a moindre frais.
Notre exposé va tenter, après avoir aborder l'aspect juridique de la rétroconception, de montrer que les buts de la rétroconception sont nombreux et qu'ils dépendent très fortement de l'état d'esprit des personnes qui la pratique. Nous verrons ensuite qu'il est difficile de définir une méthodologie de la rétroconception car le spectre de ce qui est recherche est trop large. Dans le cas le plus simple (typiquement le cracking), nous savons ce que nous cherchons, et dans le cas le plus complique (la recherche de vulnérabilités), nous n'avons aucune idée de ce que nous cherchons... Ceci nous conduiras a présenter quelques schémas de protections et les façons de les contourner afin d'illustrer notre présentation par une exemple d'analyse logicielle.

Serge LEFRANC

Ingénieur de l'Armement, j'exerce le métier d'ingénieur d'étude en systèmes d'information opérationnels au Centre d'Electronique de l'Armement (CELAR).
Je donne également des cours, dans different domaines de la sécurité, au profit du CNAM, de Supélec Rennes, de l'ENST Bretagne, de l'ENSAI, de l'École Navale de Brest, de l'ENSTA.

La rétroconception: application a l'analyse logicielle
La rétroconception peut se définir comme l'action d'extraire une connaissance ou un savoir d'une réalisation. Cette activité est pratique depuis très longtemps dans un grand nombre de domaine industriel (automobile, électronique...) afin, notamment, de permettre l'accession a un savoir, a une technologie, a moindre frais. Notre exposé va tenter, après avoir aborder l'aspect juridique de la rétroconception, de montrer que les buts de la rétroconception sont nombreux et qu'ils dépendent très fortement de l'état d'esprit des personnes qui la pratique. Nous verrons ensuite qu'il est difficile de définir une méthodologie de la rétroconception car le spectre de ce qui est recherche est trop large. Dans le cas le plus simple (typiquement le cracking), nous savons ce que nous cherchons, et dans le cas le plus complique (la recherche de vulnérabilités), nous n'avons aucune idée de ce que nous cherchons... Ceci nous conduiras a présenter quelques schémas de protections et les façons de les contourner afin d'illustrer notre présentation par une exemple d'analyse logicielle.
Serge LEFRANC
Ingénieur de l'Armement, j'exerce le métier d'ingénieur d'étude en systèmes d'information opérationnels au Centre d'Electronique de l'Armement (CELAR). Je donne également des cours, dans different domaines de la sécurité, au profit du CNAM, de Supélec Rennes, de l'ENST Bretagne, de l'ENSAI, de l'École Navale de Brest, de l'ENSTA.

Analyse d'une protection d'exécutables PE : Asprotect

Les packers d'exécutables PE sont très utilisés pour protéger les applications contre le Reverse Engineering. Ils rendent le désassemblage et le débogage du programme protégé beaucoup plus complexe.
Dans mon tutoriel, je présenterai la protection Asprotect, son principe de fonctionnement, ses méthodes anti debugging, ses différentes protections, et la reconstruction pas à pas d'une application déprotégé. La protection Asprotect est un des leaders dans le domaine des protecteurs PE, et pourtant, nous verrons que malgré une bonne sécurité, nous ne pouvons faire confiance à ce type de protection, pour protéger des applications sensibles, puisqu'elles peuvent être retirées après quelques heures d'analyses.

Nicolas BRULEZ

Consultant en reverse engineering pour Cartel Sécurité, je m'occupe d'analyses diverses telles que l'analyse de virus, vers, protections logicielles, recherche de buffer overflows. Je développe aussi un moteur anti-virus heuristique open source.

Analyse d'une protection d'exécutables PE : Asprotect
Les packers d'exécutables PE sont très utilisés pour protéger les applications contre le Reverse Engineering. Ils rendent le désassemblage et le débogage du programme protégé beaucoup plus complexe. Dans mon tutoriel, je présenterai la protection Asprotect, son principe de fonctionnement, ses méthodes anti debugging, ses différentes protections, et la reconstruction pas à pas d'une application déprotégé. La protection Asprotect est un des leaders dans le domaine des protecteurs PE, et pourtant, nous verrons que malgré une bonne sécurité, nous ne pouvons faire confiance à ce type de protection, pour protéger des applications sensibles, puisqu'elles peuvent être retirées après quelques heures d'analyses.
Nicolas BRULEZ
Consultant en reverse engineering pour Cartel Sécurité, je m'occupe d'analyses diverses telles que l'analyse de virus, vers, protections logicielles, recherche de buffer overflows. Je développe aussi un moteur anti-virus heuristique open source.

Manipulation ELF et reverse engineering sous UNIX

À travers le reverse engineering, nous abordons de nombreuses problématiques de la sécurité informatique, notamment dans les domaines de manipulation binaire, analyse de code, et approche statique des protections automatiques contre les failles de sécurité de type buffer overflow. ELFsh (http://devhell.org/projects/elfsh/) est utilisé comme support pour l'exposé.

Julien VANEGUE, Sébastien ROY

L'equipe ELFsh se compose de passionnés de reverse engineering impliqués dans la recherche en sécurité informatique. Julien Vanegue est étudiant à l'EPITA où il participe à l'enseignement. Sébastien Roy, quant à lui, travaille au sein de la société NBS-System, pour laquelle il effectue du développement et de l'audit.

Manipulation ELF et reverse engineering sous UNIX
À travers le reverse engineering, nous abordons de nombreuses problématiques de la sécurité informatique, notamment dans les domaines de manipulation binaire, analyse de code, et approche statique des protections automatiques contre les failles de sécurité de type buffer overflow. ELFsh (http://devhell.org/projects/elfsh/) est utilisé comme support pour l'exposé.
Julien VANEGUE, Sébastien ROY
L'equipe ELFsh se compose de passionnés de reverse engineering impliqués dans la recherche en sécurité informatique. Julien Vanegue est étudiant à l'EPITA où il participe à l'enseignement. Sébastien Roy, quant à lui, travaille au sein de la société NBS-System, pour laquelle il effectue du développement et de l'audit.

La sécurité dans les réseaux sans fil ad hoc

Nous présentons les résultats d'une étude sur la sécurité des Réseaux Sans Fil Ad-Hoc, avec notamment une analyse de risque haut-niveau prenant en compte les spécificités de ces réseaux et leurs contextes d'utilisation. Sur un plan plus technique, nous détaillons les particularités du routage dans de tels réseaux et les problèmes de sécurité y afférant. Diverses équipes de recherche élaborent actuellement des solutions spécifiques aux réseaux sans fil Ad-Hoc. Nous présentons les plus prometteuses avant de conclure sur quelques recommandations et des suggestions d'axes de développement futurs.

Valérie GAYRAUD, Francis DUPONT, Sylvain GOMBAULT, Loufti NUAYMI et Bruno THARON

Francis Dupont est ingénieur et Docteur de l'École Polytechnique. Enseignant-chercheur à l'ENST Bretagne à Rennes au département RSM dans le domaine des réseaux informatiques (IPv6, IPsec, mobile IP, etc).
Sylvain Gombault est Ingénieur INSA Rennes et MEARI Supélec. Enseignant-chercheur à l'ENST Bretagne à Rennes dans le département RSM. Spécialiste de la sécurité des réseaux.
Loutfi Nuaymi est Docteur en Télécommunications de l'ENST. Enseignant-chercheur à l'ENST Bretagne au département RSM (site de Rennes) dans le domaine des réseaux mobiles et réseaux sans fil (GPRS, UMTS, WLAN 802.11).
Bruno Tharon, ingénieur en Informatique réseaux et systèmes, a travaillé sept ans chez Nortel Networks dans les domaines des réseaux cellulaires (PMR, GSM, GPRS et UMTS). Étudiant en Mastère SSI (co-fondé par Supelec & l'ENST Bretagne) à Rennes, il travaille actuellement sur la sécurité des réseaux sans fil et plus particulièrement sur les problèmes liés à la mobilité IPv6.
Valérie Gayraud, ingénieur de l'École Nationale Supérieure de l'Électronique et de ses Applications (ENSEA), a travaillé dans les télécommunications numériques et les réseaux larges bandes à Alcatel puis à Thomson. Son domaine de recherche dans le cadre du Mastère SSI (Supelec et ENST Bretagne) porte sur la sécurité des réseaux sans fil en contexte domestique.

La sécurité dans les réseaux sans fil ad hoc
Nous présentons les résultats d'une étude sur la sécurité des Réseaux Sans Fil Ad-Hoc, avec notamment une analyse de risque haut-niveau prenant en compte les spécificités de ces réseaux et leurs contextes d'utilisation. Sur un plan plus technique, nous détaillons les particularités du routage dans de tels réseaux et les problèmes de sécurité y afférant. Diverses équipes de recherche élaborent actuellement des solutions spécifiques aux réseaux sans fil Ad-Hoc. Nous présentons les plus prometteuses avant de conclure sur quelques recommandations et des suggestions d'axes de développement futurs.
Valérie GAYRAUD, Francis DUPONT, Sylvain GOMBAULT, Loufti NUAYMI et Bruno THARON
Francis Dupont est ingénieur et Docteur de l'École Polytechnique. Enseignant-chercheur à l'ENST Bretagne à Rennes au département RSM dans le domaine des réseaux informatiques (IPv6, IPsec, mobile IP, etc). Sylvain Gombault est Ingénieur INSA Rennes et MEARI Supélec. Enseignant-chercheur à l'ENST Bretagne à Rennes dans le département RSM. Spécialiste de la sécurité des réseaux. Loutfi Nuaymi est Docteur en Télécommunications de l'ENST. Enseignant-chercheur à l'ENST Bretagne au département RSM (site de Rennes) dans le domaine des réseaux mobiles et réseaux sans fil (GPRS, UMTS, WLAN 802.11). Bruno Tharon, ingénieur en Informatique réseaux et systèmes, a travaillé sept ans chez Nortel Networks dans les domaines des réseaux cellulaires (PMR, GSM, GPRS et UMTS). Étudiant en Mastère SSI (co-fondé par Supelec & l'ENST Bretagne) à Rennes, il travaille actuellement sur la sécurité des réseaux sans fil et plus particulièrement sur les problèmes liés à la mobilité IPv6. Valérie Gayraud, ingénieur de l'École Nationale Supérieure de l'Électronique et de ses Applications (ENSEA), a travaillé dans les télécommunications numériques et les réseaux larges bandes à Alcatel puis à Thomson. Son domaine de recherche dans le cadre du Mastère SSI (Supelec et ENST Bretagne) porte sur la sécurité des réseaux sans fil en contexte domestique.

Détection d'intrusion dans les réseaux mobiles sans fil ad hoc

Les réseaux mobiles sans fil et sans infrastructure, dits "réseaux ad hoc" ou MANET, posent des problèmes spécifiques de sécurité : systèmes complètement distribués, tout noeud peut jouer le rôle de routeur, etc. Les vulnérabilités des réseaux filaires sont accentuées. Les services de sécurité doivent être distribués, coopératifs et compatibles avec la bande passante disponible. Nous proposons ici un modèle de sécurité pour les MANET et un système de détection d'intrusion (IDS) distribué et coopératif, utilisant une technologie à agents mobiles.
Les résultats obtenus pour la détection des attaques par rebonds telnet sont présentés et feront l'objet d'une démonstration.

Bernard JOUGA, Jean-Marc PERCHER

Bientôt disponible.

Détection d'intrusion dans les réseaux mobiles sans fil ad hoc
Les réseaux mobiles sans fil et sans infrastructure, dits "réseaux ad hoc" ou MANET, posent des problèmes spécifiques de sécurité : systèmes complètement distribués, tout noeud peut jouer le rôle de routeur, etc. Les vulnérabilités des réseaux filaires sont accentuées. Les services de sécurité doivent être distribués, coopératifs et compatibles avec la bande passante disponible. Nous proposons ici un modèle de sécurité pour les MANET et un système de détection d'intrusion (IDS) distribué et coopératif, utilisant une technologie à agents mobiles. Les résultats obtenus pour la détection des attaques par rebonds telnet sont présentés et feront l'objet d'une démonstration.
Bernard JOUGA, Jean-Marc PERCHER
Bientôt disponible.

Cryptanalyse du chiffrement par bloc - Résultats récents sur l'AES

La réutilisation d'une clef secrète dans le cadre du chiffrement (symétrique) par flot a des effets non-négligeables sur la sécurité générale d'un tel système. Cela impose, pour les chiffreurs et les gestionnaires du chiffre des contraintes comptables fortes sur les éléments secrets, qui peuvent occasionner des compromissions cryptologiques de trafic. L'évolution de la cryptographie moderne a tenté de répondre à cette problématique générale de gestion de clefs de deux manières différentes :

par utilisation de système à clef publique. Les problèmes de réutilisation de clefs ne se posent plus (sauf quelques cas à la marge pour des systèmes faibles). Les contraintes de gestion des clefs se sont transformées en des contraintes de génération de clefs puisque ces systèmes réclament des propriétés assez fortes pour les éléments secrets.
utilisation de système par blocs (notamment en mode ECB). La clef secrète est réutilisée pour chaque bloc du message (actuellement 128 bits).
Dans cette présentation, après avoir rappelé les faiblesses provenant de la réutilisation de la clef secrète pour le chiffrement par flot, il sera montré que cette réutilisation peut s'avérer dangereuse dans le cadre du chiffrement par bloc et dégrader la sécurité générale d'un tel système, ce en utilisant des codes correcteurs à répétition. Des résultats récents sur l'AES, provenant de 200 cryptanalyses réelles, seront présentés. Ils permettent de retrouver trois bits d'information sur la clef en n'utilisant que 2³¹ blocs de chiffré, à la condition que ce chiffré ait été produit à partir de texte codé en ascii.
L'exposé sera didactique (pratiquement pas de mathématiques).

Éric FILIOL

Titulaire d'un doctorat de mathématiques appliquées et informatique, du Brevet d'Études Supérieures de la Sécurité des Systèmes d'Information du DCSSI et chef du laboratoire de virologie et de cryptologie à l'École Supérieure et d'Applications des Transmissions de l'Armée de Terre. Ses domaines de recherche concernent la cryptologie symétrique (en particulier la cryptanalyse et la reconstruction des systèmes de chiffrement) et les applications en virologie informatique. Il est également chercheur associé au projet Codes de l'Institut National de Recherche en Informatique et Automatisme (INRIA).

Cryptanalyse du chiffrement par bloc - Résultats récents sur l'AES
La réutilisation d'une clef secrète dans le cadre du chiffrement (symétrique) par flot a des effets non-négligeables sur la sécurité générale d'un tel système. Cela impose, pour les chiffreurs et les gestionnaires du chiffre des contraintes comptables fortes sur les éléments secrets, qui peuvent occasionner des compromissions cryptologiques de trafic. L'évolution de la cryptographie moderne a tenté de répondre à cette problématique générale de gestion de clefs de deux manières différentes : par utilisation de système à clef publique. Les problèmes de réutilisation de clefs ne se posent plus (sauf quelques cas à la marge pour des systèmes faibles). Les contraintes de gestion des clefs se sont transformées en des contraintes de génération de clefs puisque ces systèmes réclament des propriétés assez fortes pour les éléments secrets. utilisation de système par blocs (notamment en mode ECB). La clef secrète est réutilisée pour chaque bloc du message (actuellement 128 bits). Dans cette présentation, après avoir rappelé les faiblesses provenant de la réutilisation de la clef secrète pour le chiffrement par flot, il sera montré que cette réutilisation peut s'avérer dangereuse dans le cadre du chiffrement par bloc et dégrader la sécurité générale d'un tel système, ce en utilisant des codes correcteurs à répétition. Des résultats récents sur l'AES, provenant de 200 cryptanalyses réelles, seront présentés. Ils permettent de retrouver trois bits d'information sur la clef en n'utilisant que 2³¹ blocs de chiffré, à la condition que ce chiffré ait été produit à partir de texte codé en ascii. L'exposé sera didactique (pratiquement pas de mathématiques).
Éric FILIOL
Titulaire d'un doctorat de mathématiques appliquées et informatique, du Brevet d'Études Supérieures de la Sécurité des Systèmes d'Information du DCSSI et chef du laboratoire de virologie et de cryptologie à l'École Supérieure et d'Applications des Transmissions de l'Armée de Terre. Ses domaines de recherche concernent la cryptologie symétrique (en particulier la cryptanalyse et la reconstruction des systèmes de chiffrement) et les applications en virologie informatique. Il est également chercheur associé au projet Codes de l'Institut National de Recherche en Informatique et Automatisme (INRIA).

Profils propres pour la détection d'intrusion

Dans cet article, nous présentons une nouvelle méthode de détection d'intrusion appartenant à la famille comportementale qui est basée sur l'analyse en composantes principales (ACP). Cette approche fonctionne en projetant les profils des utilisateurs sur un espace de traits qui peut décrire de signifiantes variations entre les profils. Ces traits sont connus sous le nom de « profils propres » car ils sont les vecteurs propres de l'ensemble des profils. L'opération de projection caractérise un profil utilisateur par une somme pondérée de l'ensemble des profils. Pour détecter si un profil est anormal, il suffit de comparer ces poids à ceux des profils utilisateurs connus. Les principaux avantages de cette méthode sont : (i) elle permet, au premier lieu, d'apprendre les profils utilisateurs ensuite déterminer si un nouveau profil correspond ou non à ceux des utilisateurs connus, (ii) son implémentation est très simple sur tous les systèmes ayant des mécanismes d'audit de sécurité ! et (iii) elle est robuste et permet de produire des taux de détection élevés. L'application de cette méthode sur un ensemble de profils simulés d'utilisateurs sous Unix a été réalisé pour valider la méthode. Par la suite nous avons utilisé un ensemble de profils des utilisateurs dans un réseau réel en analysant leur activité de navigation Web et nous présentons les résultats expérimentaux jugés encourageants.

Yacine BOUZIDA, Sylvain GOMBAULT

Sylvain Gombault est Ingénieur INSA Rennes et MEARI Supélec. Enseignant-chercheur à l'ENST Bretagne à Rennes dans le département RSM. Spécialiste de la sécurité des réseaux.

Programme SSTIC03