Symposium sur la sécurité des technologies de l'information et des communications

Si on devait établir une échelle de valeur des outils liés à la sécurité des systèmes d'information, les exploits dits "0day" auraient sans nul doute une place de choix. Ce terme anglais (dont la traduction littérale est 0jour), désigne une catégorie particulière d'outils d'exploitation de vulnérabilités : ceux qui permettent de compromettre des systèmes à jour. Plusieurs raisons possibles à cela : l'éditeur est au courant de la faille mais n'a pas encore publié de correctif  : l'éditeur n'est pas au courant de la faille, cette dernière n'étant partagée que par un nombre restreint de personnes. Toujours est-il que dans une telle situation, les systèmes et réseaux comprenant le composant vulnérable sont exposés.

À cause de cela, les 0days sont très recherchés, aussi bien par les pirates que par les professionnels de la sécurité, qui y trouvent un moyen efficace de réaliser avec succès un test d'intrusion. Mais comment mettre la main sur ces exploits si particuliers ? C'est évidemment là que réside l'essence du problème. Certains envisagent les pots de miel comme une solution, en attendant de capturer les paquets d'un exploit pour une vulnérabilité non répertoriée ; mais le taux de réussite est relativement faible. D'autres tentent de les échanger, contre des ressources diverses, de l'argent (oui, ça s'appelle les payer), d'autres 0days (le serpent se mord la queue). De mon point de vue - qui rejoint je pense celui de bon nombre d'autres - la meilleure façon d'avoir un 0day reste encore de chercher des failles soi-même.

Au travers de 6 failles trouvées dans 3 services différents de systèmes d'exploitation Windows (non publiées à l'époque de l'écriture de ce document), je dresserai le tableau de la naissance d'exploits 0day, et de leur vie jusqu'à la publication des correctifs de sécurité, signifiant leur mort. Je m'attarderai sur les détails techniques de la découverte des failles, de l'implémentation des outils d'exploitation, tout en décrivant les procédures organisationnelles adoptées pour communiquer avec Microsoft et publier les avis de sécurité.

Les dénis de service ne sont pas nouveaux. Les principales techniques utilisées ont parfois plus de dix ans. Néanmoins l'accroissement sensible des attaques de ce type, généralement à des fins d'extorsion, prouve d'une part qu'elles restent d'actualité et d'autre part que les solutions proposées aujourd'hui ne permettent pas de se protéger efficacement. Nous verrons dans un premier temps les aspects techniques de telles attaques en détaillant leur fonctionnement et leur impact sur les composants du système d'information. Nous essaierons ensuite de trouver des solutions techniquement pertinentes, industriellement fiables et applicables dans le cadre d'un réseau d'entreprise.

La guerre en Irak de 2003 a souligné l'importance prise par la manipulation de l'information dans les relations internationales. Mais c'est dans le monde économique que la guerre de l'information prend aujourd'hui une dimension majeure. Les attaques informationnelles peuvent prendre différentes formes : créer un doute sur la qualité des produits d'une entreprise, nuire à la réputation de ses dirigeants ou encore diffuser des rumeurs sur ses résultats financiers ou commerciaux. Ces actions déloyales sont nuisibles et difficiles à contrer par le recours à la police et à la justice. Les attaques informationnelles sont la plupart du temps indirectes et lancées à partir de la société civile. La maîtrise de ce risque informationnel est un nouveau type de défi stratégique pour l'entreprise qui doit tenir compte d'une évidence : l'avantage est pour l'instant à l'attaquant.

Les informations les plus sensibles d'une entreprise sont généralement stockées dans des serveurs de bases de données comme Oracle. Or de tels serveurs sont souvent peu sécurisés, car dans la pratique les administrateurs Oracle (les fameux « DBA ») ne sont que rarement formés et sensibilisés à la sécurité, en particulier aux problèmes spécifiques d'Oracle. De plus, l'installation par défaut d'un serveur Oracle comporte de nombreuses vulnérabilités importantes dont un attaquant averti peut facilement tirer profit, parfois même indirectement à travers un pare-feu ou un serveur web intermédiaire. Cet article et la présentation associée ont pour but de montrer concrètement les principales intrusions permettant d'accéder aux données du serveur, ou même de prendre le contrôle du système d'exploitation hôte, en se basant sur les vulnérabilités d'Oracle. Bien sûr, quelques recommandations seront fournies pour se protéger contre ces intrusions.

Le projet Leurré.com est fondé sur un partenariat entre de nombreux intervenants disséminés dans le monde entier qui ont déployé un ensemble de pots de miel tous configurés de manière identique. Les données collectées sont rassemblées dans une base de données centralisée. Cet environnement unique, administré par l'institut Eurecom, offre à ses partenaires des données qu'ils peuvent analyser par le biais de techniques innovantes. Pour l'instant, plus de 20 plateformes sont en fonctionnement depuis plusieurs mois sur les 5 continents.

Ce papier présente les derniers résultats obtenus. Entre autres choses, nous montrons l'influence grandissante du crime organisé dans les attaques vues sur Internet. Nous éclairons les stratégies de coopérations qui existent entre différents groupes d'attaquants. Nous expliquons pourquoi interdire l'accès à son réseau à un certain nombre d'adresses IP déjà vues peut être un gaspillage de ressources. Nous expliquons aussi la valeur que peuvent retirer les administrateurs et les officiers de sécurité des données collectées afin de leur permettre de mieux réagir aux menaces identifiées. Enfin, nous offrons aux participants à la conférence d'accéder gratuitement à l'ensemble de nos données en échange du déploiement d'un de nos honeypots au périmètre de leur environnement.

Lors du SSTIC04, la conférence « Honeypots, un pot-pourri juridique » s'était achevée sur une question laissée en suspens, faute de temps pour pouvoir la traiter correctement, et qui portait sur l'utilisation des traces informatiques enregistrées par le système pot de miel dans le cadre d'une poursuite judiciaire contre l'attaquant. Cette année, nous nous proposons donc de répondre de façon précise et détaillée à la question qui avait été ainsi formulée et qui nous conduira à exposer le régime de la preuve en matière de fraude informatique. Les notions qui seront abordées au cours de cette conférence seront donc les suivantes : système de liberté de la preuve en droit pénal et ses limites, question de la fiabilité des preuves numériques et difficultés de la preuve du caractère intentionnel et de l'imputabilité, problème de la loi applicable sur l'Internet

Les clusters de calcul haute performance (HPC) sont de plus en plus répandus dans les organisations gouvernementales, les grandes entreprises et les laboratoires scientifiques. Ils permettent des avancées majeures pour la société et l'économie, puisqu'ils aident à mieux comprendre, concevoir, prévoir, et simuler des phénomènes ou des structures. Ces regroupements importants de ressources sont donc des cibles intéressantes. Alors que certains clusters sont reliés entre eux via Internet pour former des grilles, les problèmes de sécurité rencontrés, associés à la spécificité de l'environnement, résolument tourné vers l'efficacité, nous enjoignent à considérer les solutions de détection d'intrusions. Nous mettons en évidence le fait que l'aspect "performance" et la topologie du système imposent de nouvelles techniques peu intrusives. Ceci ne peut se faire qu'au regard de l'architecture étudiée. Celle-ci fait déjà l'objet d'études d'efficacité à travers divers outils d'instrumentation. Ainsi, forte de ces précédents travaux, la détection d'intrusion en environnement haute performance peut être efficace et conduire à un système plus sûr, grâce à la détection d'anomalies et de fraudes.

UberLogger est un dispositif permettant de capter furtivement une quantité d'information conséquente sur différents systèmes (comme Linux, FreeBSD ou bien UML). Lorsqu'il est utilisé sur UML il permet de créer un réseau de pots à miels au sein d'une seule machine. L'étude des informations recueillies permet d'obtenir les outils et les techniques utilisées par les pirates pour compromettre une machine. Ce dispositif est présenté sous la forme d'un module noyau.

De nos jours la photographie numérique tend à remplacer le développement argentique de part sa simplicité d'utilisation et du faible coût qu'elle engendre. Hélas, la facilité de copie qu'elle procure se transforme vite en désavantage pour le consommateur quand il s'agit de préserver la confidentialité de ses photos (c'est-à-dire sa vie privée). En effet, il est possible de faire des copies à l'insu et au détriment des utilisateurs. Afin de les tranquilliser, les laboratoires de développement photos mettent en oeuvre des solutions telles que des CDs cryptés pour assurer la confidentialité des données lors des transmission entre l'utilisateur et le lieu de développement. Comme nous le montrerons, les méthodes de transfert actuellement utilisées ne sont pas suffisamment sures. Nous illustrerons notre propos en montrant comment il est possible de lire les photos contenues sur les CDs cryptés. Cet article s'attachera à pointer les lacunes constatées et proposera quelques solutions. En résumé, aujourd'hui le développement numérique est beaucoup moins sûr que le développement argentique en terme de confidentialité.

Cette intervention a pour objectif de montrer et décrire la réalité d'une cyber-attaque contre le système d'information d'une entreprise. Pour cela les différentes étapes et les moyens mis en oeuvre pour atteindre ce but seront clairement explicités d'un point de vue technique (au travers de démonstrations) mais aussi organisationnel et stratégique.

Loin de vouloir effrayer l'auditoire, cette présentation vise plus la sensibilisation et la prise de conscience des réels problèmes de sécurité liés au système d'information. Ici, l'attaque numérique est surtout un outil supplémentaire pour l'entité désireuse d'acquérir du renseignement sur un tiers.

De toutes les attaques possibles sur les réseaux IP, celles qui permettent d'aboutir à une redirection de trafic sont les plus lourdes de conséquences. En effet, être capable de forcer le passage d'un flux réseau par un point qu'il contrôle signifie pour l'attaquant la possibilité de l'écouter, de l'intercepter et le modifier, de le détruire ou d'usurper l'une ou l'autre des deux parties de manière plus ou moins transparente et discrète. Dans cet article nous étudions des attaques variées aboutissant à une redirection de trafic en abusant des protocoles clé de différentes couches du modèle OSI. Les conséquences en terme de sécurité seront couplées aux moyens de s'en prémunir.

La présentation détaillera le fonctionnement d'un réseau VoIP en entreprise en soulignant l'aspect sécurité et confidentialité des communications.

Pour illustrer nos propos, une démonstration sera réalisée.

La consommation de toutes les ressources mémoire d'une application peut entraîner un dysfonctionnement, voire un "crash" de celle-ci. Je montrerai que l'impact de cette attaque est parfois largement sous-estimé : au-delà du déni de service, elle peut permettre dans certaines conditions l'exécution de code arbitraire dans l'espace mémoire du processus. D'une manière plus globale, j'étudierai l'impact d'une forte utilisation de la mémoire et des limitations liées à la taille de stockage des variables sur la sécurité des applications. Les différences entre les architectures 32 bits et 64 bits seront abordées, ainsi qu'entre les systèmes d'exploitation (MS Windows, Linux, Linux avec grsecurity, Solaris, HP-UX). Je détaillerai les différents types de bugs liés à ce thème, les techniques d'exploitation associées, et la façon de les prévenir.

La sophistication croissante des attaques informatiques renvoie de manière récurrente à la question de la protection et de la sécurité des systèmes d'information. Traditionnellement issue de la combinaison de mesures techniques, physiques et organisationnelles, la SSI semble exiger aujourd'hui des réponses nouvelles, non plus seulement fondées sur le principe de la sécurité préventive, mais la défense - légitime - du système.

Le recours au principe de légitime défense en vue d'assurer la protection des biens informatiques donne lieu à des problématiques juridiques nouvelles au regard de la complexité des systèmes, des attaques, ainsi que des réponses pouvant entrer dans ce cadre. Strictement bornée par la loi au travers de l'article 122-5 du Code pénal, la légitime défense des biens, mais également des personnes, doit être analysée au travers des spécificités l'informatique. Cette analyse offrira l'occasion de déterminer quels en sont ses principes, ses limites, ainsi que ses éventuelles applications.

La majorité des vendeurs de logiciels fermés ne divulguent plus les détails spécifiques des failles corrigées lorsqu'ils publient un patch. Dans une perspective offensive, il est important d'être capable de comprendre rapidement les changements qui ont été effectués au sein de l'application pour profiter de la fenêtre de temps durant laquelle on peut prendre le contrôle des systemes qui n'ont pas encore été mis à jour. Cette technique de comparaison d'objets exécutables a d'autres applications: avec l'arrivée de virus écrits dans un langage de haut niveau et de codes malveillants (malware), les analystes anti-virus doivent désassembler plusieurs variantes du même programme, ce qui long et fastidieux. Nous discuterons d'une approche abstraite pour construire rapidement un isomorphisme entre les fonctions, les blocs basiques et les instructions des deux objets exécutables en se basant sur la structure logique du code (callgraph et flowgraph).

Le but de cet article est de démontrer la faisabilité et d'évaluer la complexité de la création d'un ver exploitant une vulnérabilité liée à une application web (Web-Worm). Le ver de référence, Santy.A est brievement analysé, puis un nouveau ver plus efficace est créé étape par étape.

Les systèmes d'information sont des systèmes complexes. De part cette complexité, les systèmes d'information sont de plus en plus exposés aux différentes attaques et malversations des entités en interaction. Paradoxalement, l'informatique propose que très peu d'outils permettant d'aider à appréhender la complexité des systèmes d'information et en particulier leur sécurité. Ceci peu s'expliquer, entre autre, parce qu'il est extrêmement difficile de formaliser ce type de système. En ce qui concerne la sécurité des systèmes d'information, un environnement virtuel de prototypage interactif, de formation, et de simulation des systèmes d'information serait une aide précieuse dans ce domaine. Afin de tenter d'outiller de la sorte le domaine de la sécurité des systèmes d'information, il convient d'exposer l'historique de nos travaux afin de dégager la problématique de notre approche. Nous présentons notre plate-forme hybride de simulation des système d'information avant de proposer des perspectives qui nous semblent intéressantes.

L'objet de cette intervention est de présenter les stratégies et les techniques mises en oeuvre pour contourner les passerelles antivirus. Après une présentation des fondements théoriques, ces techniques seront illustrées à travers des exemples pratiques. Le logiciel ClamAV servira de plate-forme pour les démonstrations.

L'analyse forensique (ou analyse post-mortem) aide les administrateurs système et les enquêteurs en leur fournissant des outils et des techniques qui leur permettent de comprendre une attaque informatique, de restaurer un système sain et de trouver le(s) attaquant(s). Cette activité est aujourd'hui en grande partie empirique et repose sur l'expérience des enquêteurs.

Nous proposons dans cet article d'utiliser les réseaux bayésiens pour automatiser (sous certaines conditions) les investigations informatiques. Notre modèle, XMeta, est basé sur la connaissance de l'architecture et de la configuration des systèmes d'information, sur les indices accumulés tout au long de l'enquête et sur les résultats des enquêtes précédentes. Ces informations sont enregistrées dans une base de données mise à jour à chaque nouvelle enquête, et qui permet de proposer des hypothèses pour l'enquête en cours.

L'intérêt de notre méthode est ensuite illustré par l'étude d'une affaire bien connue: l'attaque du réseau de Tsutomu Shimomura par Kevin Mitnick.

Résumé : La maintenance de l'assurance sécurité couvre les problématiques liées à la prorogation des résultats d'une expertise sécurité menée sur un Système d'Information -- par ex : audit technique de sécurité conduit de manière objective et répétable, évaluation de la sécurité des TI selon les Critères Communs -- sur une période de temps donnée, en prenant en compte les changements susceptibles d'affecter la valeur du résultat établi par l'expertise sécurité du SI. Les changements peuvent être de nature _interne_ : changement de configuration (paramètres ou version logicielle) de composants du système, ou _externe_ : apparition de vulnérabilités, nouvelles techniques d'attaque, occurrence d'intrusions (qu'elles aient été contrées ou non par les mesures de sécurité ayant fait l'objet de l'expertise).

Cet article présente un certain nombre de notions issues de notre compréhension de ce sujet, dans le but de permettre aux RSSI de mieux appréhender et planifier, dans une démarche de Système de Gestion de la Sécurité Informatique (ISMS), les activités et les mesures de maintenance de l'assurance sécurité. Les démarches de maintenance de l'assurance sécurité spécifiques au Schéma Français d'Évaluation et de Certification sont présentées à titre d'exemple.

La maturation de la sécurité d'une entreprise est un processus très long basé sur une organisation, une expertise technique et une dynamique de communication en continu. Depuis 1999, Bouygues Telecom a créé un service sécurité composé de 15 personnes dont la mission est de protéger les patrimoines matériels et immatériels de l'entreprise. La stratégie développée a permis de donner une forte culture sécurité et assurer une continuité des services aux clients.

Cette présentation a pour but d'attirer l'attention sur les faiblesses des outils de contrôle d'intégrité classiquement déployés aujourd'hui vis à vis des différents vecteurs de camouflage des chevaux de troie actuels. Une petite démonstration d'une infection non détectée sera également réalisée.

À partir d'un scellé, il s'agit de retrouver l'ensemble des preuves répondant à un délit ou crime. Après clonage du disque, et vérification que le clone est totalement identique à l'original (utilisation de différents algorithmes de hachages), les investigations peuvent commencer. Les fichiers ne peuvent être qu'en lecture seule. Un journal de toutes les investigations effectuées est généré. Dans ce journal, l'ensemble des preuves (objet évidence) est retranscrit.

Différentes analyses sont effectuées. - Sur les répertoires par la cartographie complète de l'ensemble des données contenues dans le disque y compris les données effacées. Les espaces inter-partitons sont récupérés ainsi que les queues de clusters (partie du cluster non utilisée). - sur les fichiers avec un interpréteur de données puissant. - sur les images avec une prévisualisation directe. -sur la base de registre.

Les images peuvent ensuite être comparées et une analyse probabiliste présente un éventuel rapprochement des couleurs avec la couleur de la peau.

Aujourd'hui les attaques sur Internet sont très nombreuses, et il est impossible des les éliminer toutes par les méthodes habituelles de la sécurité qui visent simplement à faire échouer ces attaques en renforçant les protections et en éliminant les vulnérabilités dès qu'elles sont connues. En complément, il faut aussi utiliser des méthodes de tolérance aux intrusions, de façon à les détecter et en corriger les effets avant qu'elles ne provoquent de dégâts.

Mais les techniques classiques de la tolérance aux fautes ne peuvent s'appliquer telles quelles : les hyptohèses d'indépendance de fautes, facilement justifiables pour des événements accidentels, ne sont pas valables pour des attaques délibérées ; la redondance nécessaire à la tolérance aux fautes peut être nuisible à la confidentialité.

Il convient donc de développer des techniques de tolérance adaptées aux spécificités des intrusions, comme la fragmentation-redondance-disséination (FRD) et la diversification des plate-formes.

Au cours de la présentation, différents projets seront décrits, en particulier le projet européen MAFTIA et le projet DARPA DIT.

L'usage de scanners de vulnérabilités pour auditer un réseau est de plus en plus répandu. Pour faire leur travail correctement, ces scanners bénéficient souvent des privilèges d'administrateur du domaine et passent en revue le réseau. Un pirate ne pourrait-il pas ce servir de ces scanners pour obtenir plus de privileges sur le réseau  ? Le scanner lui-même ne risque-t-il pas de causer un déni de service sur les machines les plus sensibles du réseau ?

Dans ma conférence, je présenterai les problèmes causés par les scanners utilisés dans un réseau en production, ainsi que les attaques qu'un pirate pourrait mettre en oeuvre pour bénéficier des privilèges de ces derniers, puis j'expliquerai comment, du côté de Nessus, nous avons tenté de limiter le risque.

Plusieurs années d'audit et de tests d'intrusion menés au sein de différents organismes ont fait apparaître des vulnérabilités génériques, apparaissant régulièrement. Au delà d'un catalogue de ces vulnérabilités, il est important de se focaliser sur les plus récurrentes et d'analyser les origines de celles-ci.