Guerre de l'information
La guerre de l'information s'intéresse aux actions menées contre l'information, les processus qui l'utilisent, et les systèmes supports, d'un point de vue offensif ou défensif. Les systèmes informatiques en sont donc bien évidemment un point focal et des cibles privilégiées, du fait de leur fonction neurocorticale dans le monde moderne.
Yves CORREC - DGA/CELAR
Yves Correc est chargé de mission prospective SSI au Centre d'Électronique de l'Armement à Bruz. Sa formation (doctorat mathématiques appliquées) et son cursus (analyse numérique, recherche opérationnelle, géographie numérisée, simulation) lui donnent une vision de la SSI plutôt orientée "systèmes". Il enseigne la recherche opérationnelle et la sécurité des systèmes d'information (entre autres au CNAM où il a créé une UV SSI). Il organise depuis six ans les journées SSI du CELAR.

BGP et DNS: attaques sur les protocoles critiques de l'Internet

Le fonctionnement global d'Internet repose sur un nombre très réduit de protocoles clefs, en particulier DNS et BGP. Or, il est maintenant de notoriété publique que ces deux derniers sont affectés de problèmes sécuritaires importants, même si les cas connus d'exploitation à grande échelle restent un tabou.
Dans un contexte grandissant de guerre de l'information, quelles sont ces vulnérabilités ? Quel est leur impact dans le cadre d'opérations d'envergure ?

Nicolas DUBÉE - Secway

Bientôt disponible.

BGP et DNS: attaques sur les protocoles critiques de l'Internet
Le fonctionnement global d'Internet repose sur un nombre très réduit de protocoles clefs, en particulier DNS et BGP. Or, il est maintenant de notoriété publique que ces deux derniers sont affectés de problèmes sécuritaires importants, même si les cas connus d'exploitation à grande échelle restent un tabou. Dans un contexte grandissant de guerre de l'information, quelles sont ces vulnérabilités ? Quel est leur impact dans le cadre d'opérations d'envergure ?
Nicolas DUBÉE - Secway
Bientôt disponible.

Les enjeux de sécurité dans l'usage des Technologies de l'Information et des Communications

Présentation d'une valise pédagogique composée de 2 portables en réseau sur le modèle client-serveur.
Il s'agit à travers un ensemble de démonstrations de vulnérabilités de parcourir le champ du risque informatique dans sa définition suivante : la probabilité qu'une menace particulière, utilisant une attaque spécifique, puisse exploiter une vulnérabilité particulière d'un système résultant en une conséquence non désirée.
Chaque démonstration de vulnérabilité est constituée d'une manipulation, des explications techniques, d'une proposition de parades et de commentaires complémentaires.
Les types d'attaque considérés sont la diffusion d'informations, la désinformation, l'intrusion, le vol d'informations et la prise de contrôle. Les trois domaines parcourus sont la bureautique, la messagerie électronique et la navigation. La typologie des codes malicieux (portes dérobées, cheval de Troie, Bombe logique, zombie, ver et virus) est illustrée dans le cadre des technologies de l'Internet.

Philippe WOLF - DCSSI

Né en 1958, Philippe WOLF est Ingénieur en Chef de l'Armement (Promotion X78) et docteur en informatique (Paris VI - INRIA, 1985).
De 1985 à 1995, Il travaille au CELAR (Centre d'Électronique de l'ARmement) à Bruz (près de Rennes) dans le domaine de l'informatique de défense. Il y développe une activité en Sécurité des Systèmes d'Information.
De 1995 à 2000, Il est Directeur des études de l'École Polytechnique.
Depuis 2000, il dirige le Centre de formation à la sécurité des systèmes d'information (CFSSI) au sein de la DCSSI (Direction Centrale de la la Sécurité des Systèmes d'Information). La DCSSI est une direction du Secrétariat général de la défense nationale (SGDN).
Exemple de réalisation du CFSSI : module d'auto-formation à la signature numérique.

Les enjeux de sécurité dans l'usage des Technologies de l'Information et des Communications
Présentation d'une valise pédagogique composée de 2 portables en réseau sur le modèle client-serveur. Il s'agit à travers un ensemble de démonstrations de vulnérabilités de parcourir le champ du risque informatique dans sa définition suivante : la probabilité qu'une menace particulière, utilisant une attaque spécifique, puisse exploiter une vulnérabilité particulière d'un système résultant en une conséquence non désirée. Chaque démonstration de vulnérabilité est constituée d'une manipulation, des explications techniques, d'une proposition de parades et de commentaires complémentaires. Les types d'attaque considérés sont la diffusion d'informations, la désinformation, l'intrusion, le vol d'informations et la prise de contrôle. Les trois domaines parcourus sont la bureautique, la messagerie électronique et la navigation. La typologie des codes malicieux (portes dérobées, cheval de Troie, Bombe logique, zombie, ver et virus) est illustrée dans le cadre des technologies de l'Internet.
Philippe WOLF - DCSSI
Né en 1958, Philippe WOLF est Ingénieur en Chef de l'Armement (Promotion X78) et docteur en informatique (Paris VI - INRIA, 1985). De 1985 à 1995, Il travaille au CELAR (Centre d'Électronique de l'ARmement) à Bruz (près de Rennes) dans le domaine de l'informatique de défense. Il y développe une activité en Sécurité des Systèmes d'Information. De 1995 à 2000, Il est Directeur des études de l'École Polytechnique. Depuis 2000, il dirige le Centre de formation à la sécurité des systèmes d'information (CFSSI) au sein de la DCSSI (Direction Centrale de la la Sécurité des Systèmes d'Information). La DCSSI est une direction du Secrétariat général de la défense nationale (SGDN). Exemple de réalisation du CFSSI : module d'auto-formation à la signature numérique.

Des clés et des trappes en cryptographie

On mesure souvent la sécurité d'un système cryptographique à l'aide de la taille des clés utilisées. Cette mesure est-elle un véritable indice de sécurité ? Qu'elles soient publiques ou secrètes, des clés peuvent présenter des faiblesses volontaires ou non. Das le premier cas, les faiblesses peuvent provenir d'un mauvais générateur d'alea. Dans le second cas on parle de trappe.

Éric WEGRZYNOWSKI - LIFL

Professeur agrégé de mathématiques Enseigne à l'USTL depuis 1991 les maths et l'info en deug et en 2nd cycle d'info.
1990-1994 : membre de l'équipe METHEOL (méthodes et outils logiques) du LIFL (recherche sur la sémantique des langages à base de règles logiques)
1999-aujourd'hui : cryptographie. ACI crypto depuis 2000. (recherche sur le fonctions booléennes et sur la production d'aléa par NLFSR)

Des clés et des trappes en cryptographie
On mesure souvent la sécurité d'un système cryptographique à l'aide de la taille des clés utilisées. Cette mesure est-elle un véritable indice de sécurité ? Qu'elles soient publiques ou secrètes, des clés peuvent présenter des faiblesses volontaires ou non. Das le premier cas, les faiblesses peuvent provenir d'un mauvais générateur d'alea. Dans le second cas on parle de trappe.
Éric WEGRZYNOWSKI - LIFL
Professeur agrégé de mathématiques Enseigne à l'USTL depuis 1991 les maths et l'info en deug et en 2nd cycle d'info. 1990-1994 : membre de l'équipe METHEOL (méthodes et outils logiques) du LIFL (recherche sur la sémantique des langages à base de règles logiques) 1999-aujourd'hui : cryptographie. ACI crypto depuis 2000. (recherche sur le fonctions booléennes et sur la production d'aléa par NLFSR)

Droit pénal et cybercriminalité

Les outils informatiques et les réseaux numériques sont devenus une composante majeure de la société tant dans le secteur privé que public. Malgré les avantages qu'ils apportent en termes de coûts et de rapidité, ils présentent des risques et des vulnérabilités inhérents à leur nature ouverte et internationale. Cette faiblesse n'a pas échappé aux délinquants. Parfois c'est le réseau qui est victime d'infractions (attaque, virus, intrusion, etc.), parfois il sert à les commettre ou à les préparer (réseaux terroristes, réseaux de pédophilie, délits de presse, etc.). La liste des infractions est longue et concerne aussi bien l'entreprise que les administrations et les individus. En réponse à cette criminalité informatique ou informatisée, dénommée communément « cybercriminalité », le droit français prévoit une réponse répressive. L'adoption d'un certain nombre de dispositions dans le code pénal couvre ainsi les cas où le réseau est la victime (cf. notamment art. 226-16 à 226-19 et 323-1 à 323-7 du code pénal) ou le moyen de l'infraction (cf. notamment la loi du 15 novembre 2001 sur la sécurité quotidienne et le projet de loi pour la confiance dans l'économie numérique). Une telle réponse est nécessaire mais pas suffisante. Le législateur a également adopté des dispositions qui tendent à responsabiliser les acteurs des réseaux en mettant à leur charge des obligations qui varient selon leur rôle respectif (obligation de protection, obligation de conservation des données de connexion, obligation de sécurité, etc.). Dans ce cadre, les contours d'un juste équilibre entre les différents intérêts qui se retrouvent sur la Toile sont peu à peu dessinés par le juge (cf. affaire Kitetoa.com). Par ailleurs, l'abolition des frontières induite par l'Internet s'accommode mal avec le principe de souveraineté des Etats qui s'impose en matière pénale. Seule une harmonisation des législations nationales et une coopération entre les autorités judiciaires compétentes permettront de pallier cette faille et de lutter efficacement contre la cybercriminalité. La Convention du Conseil de l'Europe du 23 novembre 2001 et la proposition de décision cadre de la Commission européenne du 19 avril 2002 s'inscrivent dans une telle démarche.

Xavier LECERF

Bientôt disponible.

Droit pénal et cybercriminalité
Les outils informatiques et les réseaux numériques sont devenus une composante majeure de la société tant dans le secteur privé que public. Malgré les avantages qu'ils apportent en termes de coûts et de rapidité, ils présentent des risques et des vulnérabilités inhérents à leur nature ouverte et internationale. Cette faiblesse n'a pas échappé aux délinquants. Parfois c'est le réseau qui est victime d'infractions (attaque, virus, intrusion, etc.), parfois il sert à les commettre ou à les préparer (réseaux terroristes, réseaux de pédophilie, délits de presse, etc.). La liste des infractions est longue et concerne aussi bien l'entreprise que les administrations et les individus. En réponse à cette criminalité informatique ou informatisée, dénommée communément « cybercriminalité », le droit français prévoit une réponse répressive. L'adoption d'un certain nombre de dispositions dans le code pénal couvre ainsi les cas où le réseau est la victime (cf. notamment art. 226-16 à 226-19 et 323-1 à 323-7 du code pénal) ou le moyen de l'infraction (cf. notamment la loi du 15 novembre 2001 sur la sécurité quotidienne et le projet de loi pour la confiance dans l'économie numérique). Une telle réponse est nécessaire mais pas suffisante. Le législateur a également adopté des dispositions qui tendent à responsabiliser les acteurs des réseaux en mettant à leur charge des obligations qui varient selon leur rôle respectif (obligation de protection, obligation de conservation des données de connexion, obligation de sécurité, etc.). Dans ce cadre, les contours d'un juste équilibre entre les différents intérêts qui se retrouvent sur la Toile sont peu à peu dessinés par le juge (cf. affaire Kitetoa.com). Par ailleurs, l'abolition des frontières induite par l'Internet s'accommode mal avec le principe de souveraineté des Etats qui s'impose en matière pénale. Seule une harmonisation des législations nationales et une coopération entre les autorités judiciaires compétentes permettront de pallier cette faille et de lutter efficacement contre la cybercriminalité. La Convention du Conseil de l'Europe du 23 novembre 2001 et la proposition de décision cadre de la Commission européenne du 19 avril 2002 s'inscrivent dans une telle démarche.
Xavier LECERF
Bientôt disponible.

Détection d'intrusion

Pourtant, bien qu'assez largement étudiées depuis 20 ans, les approches classiques de la détection d'intrusions tardent à prouver leur efficacité opérationnelle. Les intrusions ne sont-elles pas toujours de plus en plus nombreuses ? Le nombre d'incidents de sécurité rapportés annuellement au CERT/CC n'incite pas à l'optimisme.
Dès lors, que manque-t-il aux IDS actuels ? Selon nous, une information tout à fait fondamentale : la vision de l'environnement dans lequel il sont placés. Nous présentons ici des travaux dont l'objectif est d'apporter une telle vision, tant au niveau du manager qu'à celui des sondes.
La corrélation d'alerte au niveau des managers nous semble indispensable à la résolution de certains des problèmes actuels de la détection d'intrusions, tels que le taux élevé de faux positifs ou la pauvreté du diagnostic porté par les alertes. Pour cela, le mécanisme de corrélation doit être capable de tenir compte des caractéristiques du système d'information surveillé (topologie, type de machines et de services, failles connues, politique de sécurité). C'est tout l'objet du travail que nous conduisons autour du modèle M2D2 et de son exploitation.
Au niveau des sondes également, le contexte est important. Parmi les éléments de contexte, ceux liés à la politique de sécurité nous semble essentiels. En effet, et de manière assez paradoxalement alors que la définition accepté par tous du terme « intrusion » est « toute violation de politique de sécurité », les sondes de détections actuelles ne tiennent aucunement compte de cette politique. Nous pensons que c'est une erreur. En outre, nous pensons que c'est au niveau du système d'exploitation et au moment où les violations de politique se produisent, qu'il faut détecter les dites violations, et éventuellement les empêcher (concept d'intrusion prevention). Ces deux observations ont motivé notre travail sur les flux de références.

Ludovic MÉ

Ludovic Mé est enseignant-chercheur à Supélec et responsable de l'équipe de recherche Sécurité des Systèmes d'Information et Réseaux (SSIR). Il est membre du comité de pilotage et du comité de programme du symposium RAID (Recent Advances in Intrusion Detection) ; il a été co-président de ce dernier en 2001. Il est l'auteur d'une vingtaine de communications i dans le domaine de la détection d'intrusions.

Détection d'intrusion
Pourtant, bien qu'assez largement étudiées depuis 20 ans, les approches classiques de la détection d'intrusions tardent à prouver leur efficacité opérationnelle. Les intrusions ne sont-elles pas toujours de plus en plus nombreuses ? Le nombre d'incidents de sécurité rapportés annuellement au CERT/CC n'incite pas à l'optimisme. Dès lors, que manque-t-il aux IDS actuels ? Selon nous, une information tout à fait fondamentale : la vision de l'environnement dans lequel il sont placés. Nous présentons ici des travaux dont l'objectif est d'apporter une telle vision, tant au niveau du manager qu'à celui des sondes. La corrélation d'alerte au niveau des managers nous semble indispensable à la résolution de certains des problèmes actuels de la détection d'intrusions, tels que le taux élevé de faux positifs ou la pauvreté du diagnostic porté par les alertes. Pour cela, le mécanisme de corrélation doit être capable de tenir compte des caractéristiques du système d'information surveillé (topologie, type de machines et de services, failles connues, politique de sécurité). C'est tout l'objet du travail que nous conduisons autour du modèle M2D2 et de son exploitation. Au niveau des sondes également, le contexte est important. Parmi les éléments de contexte, ceux liés à la politique de sécurité nous semble essentiels. En effet, et de manière assez paradoxalement alors que la définition accepté par tous du terme « intrusion » est « toute violation de politique de sécurité », les sondes de détections actuelles ne tiennent aucunement compte de cette politique. Nous pensons que c'est une erreur. En outre, nous pensons que c'est au niveau du système d'exploitation et au moment où les violations de politique se produisent, qu'il faut détecter les dites violations, et éventuellement les empêcher (concept d'intrusion prevention). Ces deux observations ont motivé notre travail sur les flux de références.
Ludovic MÉ
Ludovic Mé est enseignant-chercheur à Supélec et responsable de l'équipe de recherche Sécurité des Systèmes d'Information et Réseaux (SSIR). Il est membre du comité de pilotage et du comité de programme du symposium RAID (Recent Advances in Intrusion Detection) ; il a été co-président de ce dernier en 2001. Il est l'auteur d'une vingtaine de communications i dans le domaine de la détection d'intrusions.

Les enjeux de la SSIC

Bientôt disponible.

GDI DESVIGNES - ESAT, ex-directeur de la DCSSI

Bientôt disponible.

Les enjeux de la SSIC
Bientôt disponible.
GDI DESVIGNES - ESAT, ex-directeur de la DCSSI
Bientôt disponible.

Formats de fichiers, menaces et sécurisation

La plupart des réseaux connectés à Internet sont aujourd'hui relativement sécurisés: la sécurité de niveau réseau est assurée par des éléments de filtrage tels que routeurs filtrants, pare-feux ou DMZ évoluées, avec selon les cas antivirus et détection d'intrusion.
Par contre les couches applicatives ne sont pas forcément bien maîtrisées. Cette présentation se penche sur le cas particulier des fichiers, qui peuvent pénétrer sur un intranet par de nombreux moyens différents (web, mail, disquette, CDROM, ...), la plupart du temps sans réel filtrage. Une fois qu'il est ouvert par un utilisateur, un fichier peut facilement agir sans aucun contrôle sur un intranet et mettre en jeu sa sécurité (installation de cheval de Troie, espionnage, actions malveillantes, ...).
Afin de préciser les menaces, quelques démonstrations concrètes illustreront différents exemples de codes malveillants qui peuvent être introduits dans les formats de fichiers classiques: exécutables, scripts, HTML, documents Office, PDF, ...
Cela débouche sur une classification des différents formats de fichiers, afin de distinguer ceux qui sont inoffensifs et ceux qui présentent une menace potentielle. Il est ainsi possible de déterminer une politique de filtrage adaptée au réseau à protéger.
Ensuite, il s'agira d'étudier quels sont les moyens techniques disponibles aujourd'hui pour contrer au mieux ces menaces (antivirus, contrôle d'intégrité, pare-feux personnels, analyse de contenu, bac à sable, conversion de formats, ...), en montrant que les solutions actuelles sont loin d'être satisfaisantes et exhaustives.
Cela amènera quelques réflexions sur les solutions à mettre en place ou à développer à l'avenir pour améliorer la sécurité d'un réseau vis-à-vis des fichiers.

Philippe LAGADEC

Ingénieur au Centre d'Électronique de l'Armement (CELAR), département Sécurité Système.

Formats de fichiers, menaces et sécurisation
La plupart des réseaux connectés à Internet sont aujourd'hui relativement sécurisés: la sécurité de niveau réseau est assurée par des éléments de filtrage tels que routeurs filtrants, pare-feux ou DMZ évoluées, avec selon les cas antivirus et détection d'intrusion. Par contre les couches applicatives ne sont pas forcément bien maîtrisées. Cette présentation se penche sur le cas particulier des fichiers, qui peuvent pénétrer sur un intranet par de nombreux moyens différents (web, mail, disquette, CDROM, ...), la plupart du temps sans réel filtrage. Une fois qu'il est ouvert par un utilisateur, un fichier peut facilement agir sans aucun contrôle sur un intranet et mettre en jeu sa sécurité (installation de cheval de Troie, espionnage, actions malveillantes, ...). Afin de préciser les menaces, quelques démonstrations concrètes illustreront différents exemples de codes malveillants qui peuvent être introduits dans les formats de fichiers classiques: exécutables, scripts, HTML, documents Office, PDF, ... Cela débouche sur une classification des différents formats de fichiers, afin de distinguer ceux qui sont inoffensifs et ceux qui présentent une menace potentielle. Il est ainsi possible de déterminer une politique de filtrage adaptée au réseau à protéger. Ensuite, il s'agira d'étudier quels sont les moyens techniques disponibles aujourd'hui pour contrer au mieux ces menaces (antivirus, contrôle d'intégrité, pare-feux personnels, analyse de contenu, bac à sable, conversion de formats, ...), en montrant que les solutions actuelles sont loin d'être satisfaisantes et exhaustives. Cela amènera quelques réflexions sur les solutions à mettre en place ou à développer à l'avenir pour améliorer la sécurité d'un réseau vis-à-vis des fichiers.
Philippe LAGADEC
Ingénieur au Centre d'Électronique de l'Armement (CELAR), département Sécurité Système.

Prise de contrôle via Internet Explorer d'une machine compromise située en réseau inconnu

Cet article présente JAB, une backdoor utilisant Internet Explorer via les contrôles OLE pour communiquer avec un serveur externe, contournant ainsi firewalls personnels, proxy (avec ou sans authentification), passerelles antivirales, etc.
De plus, le binaire peut être exécuté dans un réseau totalement inconnu et, si quelques pré-requis sont respectés, établir à coup sûr un canal de communication entre la victime et l'attaquant.

Nicolas GREGOIRE

Ingénieur sécurité au sein d'Exaprobe, Nicolas Grégoire privilégie les prestations d'audits (organisationnels, techniques) et de tests intrusifs.
De par son passé de principal développeur Web pour une startup française, il travaille régulièrement dans le domaine de la sécurité d'applications Web complexes, à la fois pour de très grands comptes et pour des applications très sensibles.
Très actif au sein de la communauté "sécurité", il a contribué (principalement sous NDA) à l'augmentation du niveau de sécurité d'applications largement utilisées.

Prise de contrôle via Internet Explorer d'une machine compromise située en réseau inconnu
Cet article présente JAB, une backdoor utilisant Internet Explorer via les contrôles OLE pour communiquer avec un serveur externe, contournant ainsi firewalls personnels, proxy (avec ou sans authentification), passerelles antivirales, etc. De plus, le binaire peut être exécuté dans un réseau totalement inconnu et, si quelques pré-requis sont respectés, établir à coup sûr un canal de communication entre la victime et l'attaquant.
Nicolas GREGOIRE
Ingénieur sécurité au sein d'Exaprobe, Nicolas Grégoire privilégie les prestations d'audits (organisationnels, techniques) et de tests intrusifs. De par son passé de principal développeur Web pour une startup française, il travaille régulièrement dans le domaine de la sécurité d'applications Web complexes, à la fois pour de très grands comptes et pour des applications très sensibles. Très actif au sein de la communauté "sécurité", il a contribué (principalement sous NDA) à l'augmentation du niveau de sécurité d'applications largement utilisées.

Le SpyWare dans Windows XP

Windows XP, le dernier né de la gamme des systèmes d'exploitation Microsoft, intègre de plus en plus de fonctions Web natives. Bien que cette intégration facilite indéniablement « l'expérience utilisateur » (pour reprendre les termes de Microsoft), il est légitime de se poser la question des informations qui sont échangées en arrière-plan entre le système d'exploitation et les serveurs Microsoft, bien souvent sans confirmation ou possibilité de paramétrage ...

Nicolas RUFF

Consultant expert en sécurité Windows, Nicolas RUFF participe à des missions de sécurité amont (définition de politique de sécurité, guides de sécurisation) et aval (audit, test d'intrusion) sur des infrastructures complexes. Animateur du groupe "Sécurité Windows" de l'OSSIR, il intervient également dans des conférences et formations à la sécurité Windows.

Le SpyWare dans Windows XP
Windows XP, le dernier né de la gamme des systèmes d'exploitation Microsoft, intègre de plus en plus de fonctions Web natives. Bien que cette intégration facilite indéniablement « l'expérience utilisateur » (pour reprendre les termes de Microsoft), il est légitime de se poser la question des informations qui sont échangées en arrière-plan entre le système d'exploitation et les serveurs Microsoft, bien souvent sans confirmation ou possibilité de paramétrage ...
Nicolas RUFF
Consultant expert en sécurité Windows, Nicolas RUFF participe à des missions de sécurité amont (définition de politique de sécurité, guides de sécurisation) et aval (audit, test d'intrusion) sur des infrastructures complexes. Animateur du groupe "Sécurité Windows" de l'OSSIR, il intervient également dans des conférences et formations à la sécurité Windows.

Sécurité des Réseaux Domestiques

Au carrefour de l'informatique traditionnelle et du consumer electronics, les réseaux domestiques promettent de nouveaux usages et de nouveaux horizons pour le grand public. Ils ne tiendront pas ces promesses si leur sécurité n'est pas assurée. Nous montrons dans cette présentation en quoi des solutions de sécurité initialement élaborées pour un environnement professionnel offrent en fait peu de sécurité en environnement domestique ou contraignent trop le réseau et son utilisateur. Puis nous présentons quelques pistes récentes vers des mesures de sécurité spécifiques.

Nicolas PRIGENT, Olivier HEEN, Alain DURAND, Christophe BIDAN

Né en 1978, Nicolas Prigent obtient en 2001 un DEA d'informatique à l'université de Rennes 1. Passionné par l'informatique et les réseaux, il prépare actuellement une thèse de doctorat portant sur la sécurité des réseaux domestiques, en collaboration avec Thomson et Supelec.
Docteur en Informatique Fondamentale, Olivier Heen conduit depuis 7 ans des recherches en Sécurité des Réseaux, à France Télécom puis à Thomson. Ses recherches actuelles portent sur la sécurité des Réseaux Domestiques.
Né en 1972, Alain Durand est diplomé de l'École Nationale Supérieure de Techniques Avancées (ENSTA) en 1995. Cette même année, il obtient un DESS d'informatique à l'université Paris VII Denis Diderot. Entre 1997 et 1999, il travaille chez Oberthur Smart Cards dans le domaine de la cryptographie, puis il rejoint le laboratoire de sécurité de Thomson. Actuellement, ses principaux centres d'intérêt sont la protection de contenu et les protocoles cryptographiques.

Sécurité des Réseaux Domestiques
Au carrefour de l'informatique traditionnelle et du consumer electronics, les réseaux domestiques promettent de nouveaux usages et de nouveaux horizons pour le grand public. Ils ne tiendront pas ces promesses si leur sécurité n'est pas assurée. Nous montrons dans cette présentation en quoi des solutions de sécurité initialement élaborées pour un environnement professionnel offrent en fait peu de sécurité en environnement domestique ou contraignent trop le réseau et son utilisateur. Puis nous présentons quelques pistes récentes vers des mesures de sécurité spécifiques.
Nicolas PRIGENT, Olivier HEEN, Alain DURAND, Christophe BIDAN
Né en 1978, Nicolas Prigent obtient en 2001 un DEA d'informatique à l'université de Rennes 1. Passionné par l'informatique et les réseaux, il prépare actuellement une thèse de doctorat portant sur la sécurité des réseaux domestiques, en collaboration avec Thomson et Supelec. Docteur en Informatique Fondamentale, Olivier Heen conduit depuis 7 ans des recherches en Sécurité des Réseaux, à France Télécom puis à Thomson. Ses recherches actuelles portent sur la sécurité des Réseaux Domestiques. Né en 1972, Alain Durand est diplomé de l'École Nationale Supérieure de Techniques Avancées (ENSTA) en 1995. Cette même année, il obtient un DESS d'informatique à l'université Paris VII Denis Diderot. Entre 1997 et 1999, il travaille chez Oberthur Smart Cards dans le domaine de la cryptographie, puis il rejoint le laboratoire de sécurité de Thomson. Actuellement, ses principaux centres d'intérêt sont la protection de contenu et les protocoles cryptographiques.

Poste de travail léger sécurisé

Le CEA se propose de déployer dans ses centres de recherche des applications nationales très fortement sécurisées dans un mode client-serveur. Après un rappel de la problématique, l'exposé décrira les règles qu'il s'impose pour la protection des informations sensibles manipulées par ces applications et les menaces contre lesquels il se propose de se protéger.
Nous passerons ensuite à une description sommaire de la solution retenue basée sur un client léger Linux sans disque dur et avec lecteur de carte à puce utilisant un VPN pour communiquer avec le serveur. L'exposé s'attardera sur les mécanismes de boot, puis de chargement de système et d'applications en présentant différents choix possibles de sécurisation selon les étapes. Une présentation du maquettage en cours conclura l'exposé.

Laurent CABIROL

Après avoir obtenu un diplôme d'ingénieur en génie physique et en intrumentation à l'Université Pierre et Marie Curie, Laurent CABIROL s'est consacré aux architectures de commande de robot au Commissariat à l'Énergie Atomique. Il s'est ensuite tourné vers la sécurité informatique au sein du Service Central pour la Sécurité des Systèmes d'Information. Il a poursuivi sa carrière au ministère de la recherche, chargé de mission pour les technologies de l'information. Il est passé ensuite à la Commission Européenne, au sein de la direction générale "Société de l'Information" ou il a travaillé à nouveau sur les questions de sécurité informatique ainsi que sur le logiciel libre. Depuis 18 mois, il est revenu au CEA en tant qu'adjoint, chargé de la sécurité informatique, du directeur des Technologies de l'Information.

Poste de travail léger sécurisé
Le CEA se propose de déployer dans ses centres de recherche des applications nationales très fortement sécurisées dans un mode client-serveur. Après un rappel de la problématique, l'exposé décrira les règles qu'il s'impose pour la protection des informations sensibles manipulées par ces applications et les menaces contre lesquels il se propose de se protéger. Nous passerons ensuite à une description sommaire de la solution retenue basée sur un client léger Linux sans disque dur et avec lecteur de carte à puce utilisant un VPN pour communiquer avec le serveur. L'exposé s'attardera sur les mécanismes de boot, puis de chargement de système et d'applications en présentant différents choix possibles de sécurisation selon les étapes. Une présentation du maquettage en cours conclura l'exposé.
Laurent CABIROL
Après avoir obtenu un diplôme d'ingénieur en génie physique et en intrumentation à l'Université Pierre et Marie Curie, Laurent CABIROL s'est consacré aux architectures de commande de robot au Commissariat à l'Énergie Atomique. Il s'est ensuite tourné vers la sécurité informatique au sein du Service Central pour la Sécurité des Systèmes d'Information. Il a poursuivi sa carrière au ministère de la recherche, chargé de mission pour les technologies de l'information. Il est passé ensuite à la Commission Européenne, au sein de la direction générale "Société de l'Information" ou il a travaillé à nouveau sur les questions de sécurité informatique ainsi que sur le logiciel libre. Depuis 18 mois, il est revenu au CEA en tant qu'adjoint, chargé de la sécurité informatique, du directeur des Technologies de l'Information.

Les firewalls personnels

Le développement des accès haut-débit pour les particuliers a ouvert un nouveau marché en matière de sécurité. Les spécificités des accès « grand public » ont conduit à l'émergence d'un type de produit nouveau : le firewall personnel.
Si le concept est intéressant et si ce type outil apparaît aujourd'hui comme une composante essentielle de protection, il est essentiel d'en apprécier les atouts comme les limites. Cet article vise donc d'une part à présenter ce qu'est un firewall personnel par ses concepts fondamentaux, puis d'autre part à en analyser les faiblesses dans son contexte de fonctionnement. Nous pourrons ainsi en définir les limites pour parvenir à une utilisation éclairée et efficace.

Cédric BLANCHER

Ingénieur de l'ENST Bretagne, Cédric Blancher est aujourd'hui consultant en sécurité informatique chez Cartel Sécurité, au sein du pôle Conseil/Audit/Formation. Spécialisé en sécurité des réseaux et systèmes Unix, il s'occupe de conseil, d'audits et tests d'intrusion, de formation et de veille technologique. Il publie dans MISC et Linux Magazine, et participe à la promotion et au développement du logiciel libre, particulièrement dans les pays en voie de développement via des formations (INTIF) ou sa participation à des conférences (RMLL, CODI3)

Les firewalls personnels
Le développement des accès haut-débit pour les particuliers a ouvert un nouveau marché en matière de sécurité. Les spécificités des accès « grand public » ont conduit à l'émergence d'un type de produit nouveau : le firewall personnel. Si le concept est intéressant et si ce type outil apparaît aujourd'hui comme une composante essentielle de protection, il est essentiel d'en apprécier les atouts comme les limites. Cet article vise donc d'une part à présenter ce qu'est un firewall personnel par ses concepts fondamentaux, puis d'autre part à en analyser les faiblesses dans son contexte de fonctionnement. Nous pourrons ainsi en définir les limites pour parvenir à une utilisation éclairée et efficace.
Cédric BLANCHER
Ingénieur de l'ENST Bretagne, Cédric Blancher est aujourd'hui consultant en sécurité informatique chez Cartel Sécurité, au sein du pôle Conseil/Audit/Formation. Spécialisé en sécurité des réseaux et systèmes Unix, il s'occupe de conseil, d'audits et tests d'intrusion, de formation et de veille technologique. Il publie dans MISC et Linux Magazine, et participe à la promotion et au développement du logiciel libre, particulièrement dans les pays en voie de développement via des formations (INTIF) ou sa participation à des conférences (RMLL, CODI3)

UML as a honeypot

UML (User Mode Linux) permet d'avoir à sa disposition une machine virtuelle tournant sur Linux. L'intérêt est de pouvoir tester sans risque de nouveaux programmes ou même un nouveau noyau, puisque tout ce qu'on effectuera sur l'UML, lancé en tant qu'utilisateur sans privilèges particuliers, ne pourra endommager la machine de départ.
Nous avons repris cet outil pour créer un Honeypot ou pot à miel.
Le but est d'attirer les pirates et de les faire venir sur notre machine virtuelle tout en leur faisant croire qu'ils se trouvent sur une machine réelle.
On espère ainsi découvrir de nouvelles techniques qui pourraient être mises en oeuvre sur des ordinateurs où l'issue serait plus critique.
Nous allons donc mettre l'accent sur les différents aspects qui pourraient trahir la virtualité de l'UML sur des aspects système et réseau d'une part, et voir comment tracer les attaques d'un assaillant d'autre part.

Michaël HERVIEUX, Thomas MEURISSE

Michaël Hervieux et Thomas Meurisse, élèves ingénieurs en troisième année de l'ENSEIRB en option « Réseaux et Systèmes Répartis », diplomés en Juillet 2003, ont suivi les cours de Laurent Oudot, où ils commencèrent à travailler sur UML dans le cadre d'un projet. Ils publieront en collaboration avec des personnes de l'EPF un article sur UML dans le numéro spécial honeypot du Misc de Juillet.

UML as a honeypot
UML (User Mode Linux) permet d'avoir à sa disposition une machine virtuelle tournant sur Linux. L'intérêt est de pouvoir tester sans risque de nouveaux programmes ou même un nouveau noyau, puisque tout ce qu'on effectuera sur l'UML, lancé en tant qu'utilisateur sans privilèges particuliers, ne pourra endommager la machine de départ. Nous avons repris cet outil pour créer un Honeypot ou pot à miel. Le but est d'attirer les pirates et de les faire venir sur notre machine virtuelle tout en leur faisant croire qu'ils se trouvent sur une machine réelle. On espère ainsi découvrir de nouvelles techniques qui pourraient être mises en oeuvre sur des ordinateurs où l'issue serait plus critique. Nous allons donc mettre l'accent sur les différents aspects qui pourraient trahir la virtualité de l'UML sur des aspects système et réseau d'une part, et voir comment tracer les attaques d'un assaillant d'autre part.
Michaël HERVIEUX, Thomas MEURISSE
Michaël Hervieux et Thomas Meurisse, élèves ingénieurs en troisième année de l'ENSEIRB en option « Réseaux et Systèmes Répartis », diplomés en Juillet 2003, ont suivi les cours de Laurent Oudot, où ils commencèrent à travailler sur UML dans le cadre d'un projet. Ils publieront en collaboration avec des personnes de l'EPF un article sur UML dans le numéro spécial honeypot du Misc de Juillet.

Détection des systèmes d'exploitation avec Cron-OS

Après un survol du domaine de la reconnaissance à distance des systèmes d'exploitation, nous rappelons le principe de la reconnaissance temporelle mis en œuvre dans l'outil RING (cf. www.intranode.com). Nous présentons ensuite une évolution, Cron-OS, et indiquons divers exemples de fonctionnement.

Olivier COURTAY, Olivier HEEN, Franck VEYSSET

Aprés avoir débuté sa carriére dans une start-up spécialisée dans la sécurité, Olivier Courtay travaille à l'ENST Bretagne sur un projet autour de DNSsec et IPsec mais participe aussi à des projets OpenSource autour de la securité.
Docteur en Informatique Fondamentale, Olivier Heen conduit depuis 7 ans des recherches en Sécurité des Réseaux, à France Télécom puis à Thomson. Ses recherches actuelles portent sur la sécurité des Réseaux Domestiques.
Franck Veysset travaille à France Télécom R&D, dans l'unité Sécurité des Services et des Réseaux. Passionné par la sécurité, Franck participe activement à diverses activités dans ce domaine (organisation JSSI, CP du SSTIC03, CP FIRST 03...), et est également impliqué dans des projets Open Source liés à la sécurité IP, tel que l'OSFP.

Détection des systèmes d'exploitation avec Cron-OS
Après un survol du domaine de la reconnaissance à distance des systèmes d'exploitation, nous rappelons le principe de la reconnaissance temporelle mis en œuvre dans l'outil RING (cf. www.intranode.com). Nous présentons ensuite une évolution, Cron-OS, et indiquons divers exemples de fonctionnement.
Olivier COURTAY, Olivier HEEN, Franck VEYSSET
Aprés avoir débuté sa carriére dans une start-up spécialisée dans la sécurité, Olivier Courtay travaille à l'ENST Bretagne sur un projet autour de DNSsec et IPsec mais participe aussi à des projets OpenSource autour de la securité. Docteur en Informatique Fondamentale, Olivier Heen conduit depuis 7 ans des recherches en Sécurité des Réseaux, à France Télécom puis à Thomson. Ses recherches actuelles portent sur la sécurité des Réseaux Domestiques. Franck Veysset travaille à France Télécom R&D, dans l'unité Sécurité des Services et des Réseaux. Passionné par la sécurité, Franck participe activement à diverses activités dans ce domaine (organisation JSSI, CP du SSTIC03, CP FIRST 03...), et est également impliqué dans des projets Open Source liés à la sécurité IP, tel que l'OSFP.

La rétroconception: application a l'analyse logicielle

La rétroconception peut se définir comme l'action d'extraire une connaissance ou un savoir d'une réalisation.
Cette activité est pratique depuis très longtemps dans un grand nombre de domaine industriel (automobile, électronique...) afin, notamment, de permettre l'accession a un savoir, a une technologie, a moindre frais.
Notre exposé va tenter, après avoir aborder l'aspect juridique de la rétroconception, de montrer que les buts de la rétroconception sont nombreux et qu'ils dépendent très fortement de l'état d'esprit des personnes qui la pratique. Nous verrons ensuite qu'il est difficile de définir une méthodologie de la rétroconception car le spectre de ce qui est recherche est trop large. Dans le cas le plus simple (typiquement le cracking), nous savons ce que nous cherchons, et dans le cas le plus complique (la recherche de vulnérabilités), nous n'avons aucune idée de ce que nous cherchons... Ceci nous conduiras a présenter quelques schémas de protections et les façons de les contourner afin d'illustrer notre présentation par une exemple d'analyse logicielle.

Serge LEFRANC

Ingénieur de l'Armement, j'exerce le métier d'ingénieur d'étude en systèmes d'information opérationnels au Centre d'Electronique de l'Armement (CELAR).
Je donne également des cours, dans different domaines de la sécurité, au profit du CNAM, de Supélec Rennes, de l'ENST Bretagne, de l'ENSAI, de l'École Navale de Brest, de l'ENSTA.

La rétroconception: application a l'analyse logicielle
La rétroconception peut se définir comme l'action d'extraire une connaissance ou un savoir d'une réalisation. Cette activité est pratique depuis très longtemps dans un grand nombre de domaine industriel (automobile, électronique...) afin, notamment, de permettre l'accession a un savoir, a une technologie, a moindre frais. Notre exposé va tenter, après avoir aborder l'aspect juridique de la rétroconception, de montrer que les buts de la rétroconception sont nombreux et qu'ils dépendent très fortement de l'état d'esprit des personnes qui la pratique. Nous verrons ensuite qu'il est difficile de définir une méthodologie de la rétroconception car le spectre de ce qui est recherche est trop large. Dans le cas le plus simple (typiquement le cracking), nous savons ce que nous cherchons, et dans le cas le plus complique (la recherche de vulnérabilités), nous n'avons aucune idée de ce que nous cherchons... Ceci nous conduiras a présenter quelques schémas de protections et les façons de les contourner afin d'illustrer notre présentation par une exemple d'analyse logicielle.
Serge LEFRANC
Ingénieur de l'Armement, j'exerce le métier d'ingénieur d'étude en systèmes d'information opérationnels au Centre d'Electronique de l'Armement (CELAR). Je donne également des cours, dans different domaines de la sécurité, au profit du CNAM, de Supélec Rennes, de l'ENST Bretagne, de l'ENSAI, de l'École Navale de Brest, de l'ENSTA.

Analyse d'une protection d'exécutables PE : Asprotect

Les packers d'exécutables PE sont très utilisés pour protéger les applications contre le Reverse Engineering. Ils rendent le désassemblage et le débogage du programme protégé beaucoup plus complexe.
Dans mon tutoriel, je présenterai la protection Asprotect, son principe de fonctionnement, ses méthodes anti debugging, ses différentes protections, et la reconstruction pas à pas d'une application déprotégé. La protection Asprotect est un des leaders dans le domaine des protecteurs PE, et pourtant, nous verrons que malgré une bonne sécurité, nous ne pouvons faire confiance à ce type de protection, pour protéger des applications sensibles, puisqu'elles peuvent être retirées après quelques heures d'analyses.

Nicolas BRULEZ

Consultant en reverse engineering pour Cartel Sécurité, je m'occupe d'analyses diverses telles que l'analyse de virus, vers, protections logicielles, recherche de buffer overflows. Je développe aussi un moteur anti-virus heuristique open source.

Analyse d'une protection d'exécutables PE : Asprotect
Les packers d'exécutables PE sont très utilisés pour protéger les applications contre le Reverse Engineering. Ils rendent le désassemblage et le débogage du programme protégé beaucoup plus complexe. Dans mon tutoriel, je présenterai la protection Asprotect, son principe de fonctionnement, ses méthodes anti debugging, ses différentes protections, et la reconstruction pas à pas d'une application déprotégé. La protection Asprotect est un des leaders dans le domaine des protecteurs PE, et pourtant, nous verrons que malgré une bonne sécurité, nous ne pouvons faire confiance à ce type de protection, pour protéger des applications sensibles, puisqu'elles peuvent être retirées après quelques heures d'analyses.
Nicolas BRULEZ
Consultant en reverse engineering pour Cartel Sécurité, je m'occupe d'analyses diverses telles que l'analyse de virus, vers, protections logicielles, recherche de buffer overflows. Je développe aussi un moteur anti-virus heuristique open source.

Manipulation ELF et reverse engineering sous UNIX

À travers le reverse engineering, nous abordons de nombreuses problématiques de la sécurité informatique, notamment dans les domaines de manipulation binaire, analyse de code, et approche statique des protections automatiques contre les failles de sécurité de type buffer overflow. ELFsh (http://devhell.org/projects/elfsh/) est utilisé comme support pour l'exposé.

Julien VANEGUE, Sébastien ROY

L'equipe ELFsh se compose de passionnés de reverse engineering impliqués dans la recherche en sécurité informatique. Julien Vanegue est étudiant à l'EPITA où il participe à l'enseignement. Sébastien Roy, quant à lui, travaille au sein de la société NBS-System, pour laquelle il effectue du développement et de l'audit.

Manipulation ELF et reverse engineering sous UNIX
À travers le reverse engineering, nous abordons de nombreuses problématiques de la sécurité informatique, notamment dans les domaines de manipulation binaire, analyse de code, et approche statique des protections automatiques contre les failles de sécurité de type buffer overflow. ELFsh (http://devhell.org/projects/elfsh/) est utilisé comme support pour l'exposé.
Julien VANEGUE, Sébastien ROY
L'equipe ELFsh se compose de passionnés de reverse engineering impliqués dans la recherche en sécurité informatique. Julien Vanegue est étudiant à l'EPITA où il participe à l'enseignement. Sébastien Roy, quant à lui, travaille au sein de la société NBS-System, pour laquelle il effectue du développement et de l'audit.

La sécurité dans les réseaux sans fil ad hoc

Nous présentons les résultats d'une étude sur la sécurité des Réseaux Sans Fil Ad-Hoc, avec notamment une analyse de risque haut-niveau prenant en compte les spécificités de ces réseaux et leurs contextes d'utilisation. Sur un plan plus technique, nous détaillons les particularités du routage dans de tels réseaux et les problèmes de sécurité y afférant. Diverses équipes de recherche élaborent actuellement des solutions spécifiques aux réseaux sans fil Ad-Hoc. Nous présentons les plus prometteuses avant de conclure sur quelques recommandations et des suggestions d'axes de développement futurs.

Valérie GAYRAUD, Francis DUPONT, Sylvain GOMBAULT, Loufti NUAYMI et Bruno THARON

Francis Dupont est ingénieur et Docteur de l'École Polytechnique. Enseignant-chercheur à l'ENST Bretagne à Rennes au département RSM dans le domaine des réseaux informatiques (IPv6, IPsec, mobile IP, etc).
Sylvain Gombault est Ingénieur INSA Rennes et MEARI Supélec. Enseignant-chercheur à l'ENST Bretagne à Rennes dans le département RSM. Spécialiste de la sécurité des réseaux.
Loutfi Nuaymi est Docteur en Télécommunications de l'ENST. Enseignant-chercheur à l'ENST Bretagne au département RSM (site de Rennes) dans le domaine des réseaux mobiles et réseaux sans fil (GPRS, UMTS, WLAN 802.11).
Bruno Tharon, ingénieur en Informatique réseaux et systèmes, a travaillé sept ans chez Nortel Networks dans les domaines des réseaux cellulaires (PMR, GSM, GPRS et UMTS). Étudiant en Mastère SSI (co-fondé par Supelec & l'ENST Bretagne) à Rennes, il travaille actuellement sur la sécurité des réseaux sans fil et plus particulièrement sur les problèmes liés à la mobilité IPv6.
Valérie Gayraud, ingénieur de l'École Nationale Supérieure de l'Électronique et de ses Applications (ENSEA), a travaillé dans les télécommunications numériques et les réseaux larges bandes à Alcatel puis à Thomson. Son domaine de recherche dans le cadre du Mastère SSI (Supelec et ENST Bretagne) porte sur la sécurité des réseaux sans fil en contexte domestique.

La sécurité dans les réseaux sans fil ad hoc
Nous présentons les résultats d'une étude sur la sécurité des Réseaux Sans Fil Ad-Hoc, avec notamment une analyse de risque haut-niveau prenant en compte les spécificités de ces réseaux et leurs contextes d'utilisation. Sur un plan plus technique, nous détaillons les particularités du routage dans de tels réseaux et les problèmes de sécurité y afférant. Diverses équipes de recherche élaborent actuellement des solutions spécifiques aux réseaux sans fil Ad-Hoc. Nous présentons les plus prometteuses avant de conclure sur quelques recommandations et des suggestions d'axes de développement futurs.
Valérie GAYRAUD, Francis DUPONT, Sylvain GOMBAULT, Loufti NUAYMI et Bruno THARON
Francis Dupont est ingénieur et Docteur de l'École Polytechnique. Enseignant-chercheur à l'ENST Bretagne à Rennes au département RSM dans le domaine des réseaux informatiques (IPv6, IPsec, mobile IP, etc). Sylvain Gombault est Ingénieur INSA Rennes et MEARI Supélec. Enseignant-chercheur à l'ENST Bretagne à Rennes dans le département RSM. Spécialiste de la sécurité des réseaux. Loutfi Nuaymi est Docteur en Télécommunications de l'ENST. Enseignant-chercheur à l'ENST Bretagne au département RSM (site de Rennes) dans le domaine des réseaux mobiles et réseaux sans fil (GPRS, UMTS, WLAN 802.11). Bruno Tharon, ingénieur en Informatique réseaux et systèmes, a travaillé sept ans chez Nortel Networks dans les domaines des réseaux cellulaires (PMR, GSM, GPRS et UMTS). Étudiant en Mastère SSI (co-fondé par Supelec & l'ENST Bretagne) à Rennes, il travaille actuellement sur la sécurité des réseaux sans fil et plus particulièrement sur les problèmes liés à la mobilité IPv6. Valérie Gayraud, ingénieur de l'École Nationale Supérieure de l'Électronique et de ses Applications (ENSEA), a travaillé dans les télécommunications numériques et les réseaux larges bandes à Alcatel puis à Thomson. Son domaine de recherche dans le cadre du Mastère SSI (Supelec et ENST Bretagne) porte sur la sécurité des réseaux sans fil en contexte domestique.

Détection d'intrusion dans les réseaux mobiles sans fil ad hoc

Les réseaux mobiles sans fil et sans infrastructure, dits "réseaux ad hoc" ou MANET, posent des problèmes spécifiques de sécurité : systèmes complètement distribués, tout noeud peut jouer le rôle de routeur, etc. Les vulnérabilités des réseaux filaires sont accentuées. Les services de sécurité doivent être distribués, coopératifs et compatibles avec la bande passante disponible. Nous proposons ici un modèle de sécurité pour les MANET et un système de détection d'intrusion (IDS) distribué et coopératif, utilisant une technologie à agents mobiles.
Les résultats obtenus pour la détection des attaques par rebonds telnet sont présentés et feront l'objet d'une démonstration.

Bernard JOUGA, Jean-Marc PERCHER

Bientôt disponible.

Détection d'intrusion dans les réseaux mobiles sans fil ad hoc
Les réseaux mobiles sans fil et sans infrastructure, dits "réseaux ad hoc" ou MANET, posent des problèmes spécifiques de sécurité : systèmes complètement distribués, tout noeud peut jouer le rôle de routeur, etc. Les vulnérabilités des réseaux filaires sont accentuées. Les services de sécurité doivent être distribués, coopératifs et compatibles avec la bande passante disponible. Nous proposons ici un modèle de sécurité pour les MANET et un système de détection d'intrusion (IDS) distribué et coopératif, utilisant une technologie à agents mobiles. Les résultats obtenus pour la détection des attaques par rebonds telnet sont présentés et feront l'objet d'une démonstration.
Bernard JOUGA, Jean-Marc PERCHER
Bientôt disponible.

Cryptanalyse du chiffrement par bloc - Résultats récents sur l'AES

La réutilisation d'une clef secrète dans le cadre du chiffrement (symétrique) par flot a des effets non-négligeables sur la sécurité générale d'un tel système. Cela impose, pour les chiffreurs et les gestionnaires du chiffre des contraintes comptables fortes sur les éléments secrets, qui peuvent occasionner des compromissions cryptologiques de trafic. L'évolution de la cryptographie moderne a tenté de répondre à cette problématique générale de gestion de clefs de deux manières différentes :

par utilisation de système à clef publique. Les problèmes de réutilisation de clefs ne se posent plus (sauf quelques cas à la marge pour des systèmes faibles). Les contraintes de gestion des clefs se sont transformées en des contraintes de génération de clefs puisque ces systèmes réclament des propriétés assez fortes pour les éléments secrets.
utilisation de système par blocs (notamment en mode ECB). La clef secrète est réutilisée pour chaque bloc du message (actuellement 128 bits).
Dans cette présentation, après avoir rappelé les faiblesses provenant de la réutilisation de la clef secrète pour le chiffrement par flot, il sera montré que cette réutilisation peut s'avérer dangereuse dans le cadre du chiffrement par bloc et dégrader la sécurité générale d'un tel système, ce en utilisant des codes correcteurs à répétition. Des résultats récents sur l'AES, provenant de 200 cryptanalyses réelles, seront présentés. Ils permettent de retrouver trois bits d'information sur la clef en n'utilisant que 2³¹ blocs de chiffré, à la condition que ce chiffré ait été produit à partir de texte codé en ascii.
L'exposé sera didactique (pratiquement pas de mathématiques).

Éric FILIOL

Titulaire d'un doctorat de mathématiques appliquées et informatique, du Brevet d'Études Supérieures de la Sécurité des Systèmes d'Information du DCSSI et chef du laboratoire de virologie et de cryptologie à l'École Supérieure et d'Applications des Transmissions de l'Armée de Terre. Ses domaines de recherche concernent la cryptologie symétrique (en particulier la cryptanalyse et la reconstruction des systèmes de chiffrement) et les applications en virologie informatique. Il est également chercheur associé au projet Codes de l'Institut National de Recherche en Informatique et Automatisme (INRIA).

Cryptanalyse du chiffrement par bloc - Résultats récents sur l'AES
La réutilisation d'une clef secrète dans le cadre du chiffrement (symétrique) par flot a des effets non-négligeables sur la sécurité générale d'un tel système. Cela impose, pour les chiffreurs et les gestionnaires du chiffre des contraintes comptables fortes sur les éléments secrets, qui peuvent occasionner des compromissions cryptologiques de trafic. L'évolution de la cryptographie moderne a tenté de répondre à cette problématique générale de gestion de clefs de deux manières différentes : par utilisation de système à clef publique. Les problèmes de réutilisation de clefs ne se posent plus (sauf quelques cas à la marge pour des systèmes faibles). Les contraintes de gestion des clefs se sont transformées en des contraintes de génération de clefs puisque ces systèmes réclament des propriétés assez fortes pour les éléments secrets. utilisation de système par blocs (notamment en mode ECB). La clef secrète est réutilisée pour chaque bloc du message (actuellement 128 bits). Dans cette présentation, après avoir rappelé les faiblesses provenant de la réutilisation de la clef secrète pour le chiffrement par flot, il sera montré que cette réutilisation peut s'avérer dangereuse dans le cadre du chiffrement par bloc et dégrader la sécurité générale d'un tel système, ce en utilisant des codes correcteurs à répétition. Des résultats récents sur l'AES, provenant de 200 cryptanalyses réelles, seront présentés. Ils permettent de retrouver trois bits d'information sur la clef en n'utilisant que 2³¹ blocs de chiffré, à la condition que ce chiffré ait été produit à partir de texte codé en ascii. L'exposé sera didactique (pratiquement pas de mathématiques).
Éric FILIOL
Titulaire d'un doctorat de mathématiques appliquées et informatique, du Brevet d'Études Supérieures de la Sécurité des Systèmes d'Information du DCSSI et chef du laboratoire de virologie et de cryptologie à l'École Supérieure et d'Applications des Transmissions de l'Armée de Terre. Ses domaines de recherche concernent la cryptologie symétrique (en particulier la cryptanalyse et la reconstruction des systèmes de chiffrement) et les applications en virologie informatique. Il est également chercheur associé au projet Codes de l'Institut National de Recherche en Informatique et Automatisme (INRIA).

Profils propres pour la détection d'intrusion

Dans cet article, nous présentons une nouvelle méthode de détection d'intrusion appartenant à la famille comportementale qui est basée sur l'analyse en composantes principales (ACP). Cette approche fonctionne en projetant les profils des utilisateurs sur un espace de traits qui peut décrire de signifiantes variations entre les profils. Ces traits sont connus sous le nom de « profils propres » car ils sont les vecteurs propres de l'ensemble des profils. L'opération de projection caractérise un profil utilisateur par une somme pondérée de l'ensemble des profils. Pour détecter si un profil est anormal, il suffit de comparer ces poids à ceux des profils utilisateurs connus. Les principaux avantages de cette méthode sont : (i) elle permet, au premier lieu, d'apprendre les profils utilisateurs ensuite déterminer si un nouveau profil correspond ou non à ceux des utilisateurs connus, (ii) son implémentation est très simple sur tous les systèmes ayant des mécanismes d'audit de sécurité ! et (iii) elle est robuste et permet de produire des taux de détection élevés. L'application de cette méthode sur un ensemble de profils simulés d'utilisateurs sous Unix a été réalisé pour valider la méthode. Par la suite nous avons utilisé un ensemble de profils des utilisateurs dans un réseau réel en analysant leur activité de navigation Web et nous présentons les résultats expérimentaux jugés encourageants.

Yacine BOUZIDA, Sylvain GOMBAULT

Sylvain Gombault est Ingénieur INSA Rennes et MEARI Supélec. Enseignant-chercheur à l'ENST Bretagne à Rennes dans le département RSM. Spécialiste de la sécurité des réseaux.

Résumé des interventions du SSTIC03