Symposium sur la sécurité des technologies de l'information et des communications

.

SSL/TLS est un protocole ayant pour but de créer un canal de communication authentifié, protégé en confidentialité et en intégrité. L'objectif initial de SSL/TLS était la sécurisation du protocole HTTP, mais son champ d'application s'est élargi depuis: protection d'autres services (SMTPS, LDAPS, etc.), création de réseaux privés virtuels (VPN), sécurisation de réseaux sans-fil (EAP-TLS).

Après un rapide historique des différentes versions de SSL/TLS et une description rapide du protocole, cet article présente un panorama des attaques connues, qu'elles portent sur le protocole en lui-même, les algorithmes cryptographiques, ou les certificats mis en oeuvre.

Cette énumération des vulnérabilités de SSL/TLS permettra de déduire des recommandations pour une utilisation sécurisée de SSL/TLS. Chaque recommandation sera validée par une expérimentation visant à déterminer la faisabilité de leur application.

Résumé

Dans cet article, nous présentons Netzob, un outil libre de rétro-conception semi-automatisée de protocoles de communication. Netzob est destiné à répondre à différents cas d'applications (analyse de sécurité, génération de trafic réaliste, interopérabilité, etc.) où la compréhension d'un protocole propriétaire ou non documenté est primordiale.

Netzob s'appuie principalement sur des algorithmes issus des domaines de la bio-informatique et de la théorie des automates. Il propose également un module de simulation de trafic, permettant ainsi la génération de flux de communication réalistes issus de l'inférence de protocoles dont la spécification est inconnue.

Abstract

In this paper, we present Netzob, an opensource tool which supports the expert in its operations of reverse engineering, evaluation and simulation of communication protocols. Its main goals are to help security evaluators to assess the robustness of proprietary or unknown protocols implementation, simulate realistic communications to test third-party products (IDS, firewalls, etc.) or even create an open source implementation of a proprietary or unknown protocol.

Netzob supports the expert in a semi-automatic manner. It includes the necessaries to passively learn the vocabulary of a protocol and to actively infer its grammar. In addition, it integrates a stochastic and statefull model to represent any statefull communication protocol. The definition of the model can be shared and loaded in a dedicated component of Netzob, its simulator. Therefore, it becomes easy to simulate multiple actors (servers and clients) which communicate according to the infered protocol, and to apply advanced fuzzing.

L'article présente une étude de sécurité de RDP (Remote Desktop Protocol). Il tire son origine du constat effectué sur le terrain que le protocole est très largement (mal) utilisé pour l'administration à distance de systèmes Windows.

Après une revue du besoin et des propriétés attendues, une présentation du protocole est réalisée, suivie d'un historique orienté sécurité.

Les mécanismes de sécurité mis en oeuvre sont ensuite analysés en détails et leurs faiblesses résiduelles décrites. En particulier, les modes historiques de protections offerts par RDP, propriétaires, sont particulièrement vulnérables et permettent à un attaquant d'attenter à l'intégrité et à la confidentialité des échanges.

La réalité des implémentations client et serveur Microsoft est ensuite détaillée. Tous ces éléments sont enfin pris en compte dans un ensemble de recommandations et de bonnes pratiques d'utilisation de RDP visant à renforcer la sécurité de l'administration à distance de systèmes Windows.

Le nouveau système d'exploitation Windows 8 de Microsoft vient avec de nombreux de changement par rapport à Windows 7, non seulement avec la nouvelle interface nommée Métro, la possibilité d'exécution sur ARM, mais aussi de nouvelles fonctionnalités du point de vue de la sécurité.

Une des principales caractéristiques de cette nouvelle version de Windows est le Windows RunTime, nom de code "WinRT".

En premier lieu, nous expliquerons ce qu'est WinRT, à partir d'un point de vue haut niveau, et quelle sont ses fonctionnalités en matière de sécurité. Ensuite, nous regarderons WinRT du point de vue d'un programmeur: Quelle sont les langages supportés, comment sont compilés les langages natifs, quelles sont les protections apportées par l'O.S, etc.

Ensuite nous nous concentrerons sur le nouveau modèle d'application. Toutes les applications destinées à ce runtime seront vérifiées, signées et finalement distribuées par Microsoft grâce à son Windows Store. Microsoft fournit un outil afin qu'un programmeur puisse pré-tester sa propre application avant de la soumettre au Store. Nous montrerons comment il est possible de contourner tous les contrôles interdisant l'utilisation de l'API natives de Windows pour les applications ciblant WinRT et comment, par exemple, il serait possible intégrer un malware dans une application valide.

Ensuite nous irons au cœur de WinRT d'un point de vue "user-land". nous montrerons comment le registre Windows est toujours là et au cœur de la technologie WinRT. Nous montrerons également comment les différentes parties de WinRT interagissent entre elles, quel est le cycle de vie d'une application et ce qui s'y passe.

En dernier lieu, nous regarderons à la sandbox de WinRT, en la comparant à celle de Chrome. Nous introduirons ici ce que nous nommons le modèle LowBox, terme que nous utilisons pour nommer la mise en œuvre du bac à sable utilisé dans le cadre de WinRT. Nous expliquerons ici ce que sont et ce que font les fonctions utilisées par le noyau du système pour créer la sandbox WinRT.

L’information est une notion complexe, mais incontournable dès lors que l’on aborde la problématique de la sécurité des systèmes d’information. Toutefois, contrairement aux idées reçues, le droit n’appréhende que de manière lacunaire et disparate cette notion qui revêt pourtant un caractère économique considérable. L’entreprise n’a donc pas d’autres choix que de concilier ses propres impératifs (économiques, sociaux) avec les droits fondamentaux, et plus spécifiquement la liberté d’expression et le droit d’accès à l’information. Néanmoins, l’absence de protection satisfaisante par le droit de la notion d’information pousse les entreprises à organiser, elles-mêmes, par la voie contractuelle la maîtrise de la diffusion de leurs informations.

Lors de l'audit d'un environnement Active Directory, les permissions mises en œuvre par le mécanisme de contrôle d'accès discrétionnaire sont le plus souvent examinées de manière sommaire, du fait de leur nombre et des limites inhérentes aux outils intégrés au système. Les privilèges illégitimes ou inadaptés acquis via les permissions de l'annuaire doivent pouvoir être détectés afin de prévenir les risques d'abus ou d'escalade mais aussi de retour ou de persistance d'un attaquant au sein d'un système d'information compromis après remise en état.

La principale contribution de cet article est de proposer une approche pratique d'audit de l'ensemble des permissions d'un environnement Active Directory. Nous expliquerons le modèle de contrôle d'accès et détaillerons une méthode de récupération des descripteurs de sécurité depuis les fichiers de base de données de l'annuaire. Enfin l'outillage développé pour visualiser et analyser ces informations sera présenté.

Windows 8 introduit toute une série de nouvelles fonctionnalités en matière de sécurité ; pour en nommer quelques-unes, l’arrivée d’un nouveau modèle de bac à sable applicatif appelé AppContainer, le support de la notion de carte à puce virtuelle, le support d’un amorçage sécurisé grâce à UEFI, le support de TPM 2.0, d’un contrôle d’accès dynamique, etc. L’objet de cette intervention est de donner un aperçu de quelques-uns des apports de Windows 8 dans le domaine de la sécurité.

A venir

Les plateformes Java Card permettent de garantir la sécurité des applications embarquées sur cartes à puces au moyen de mécanismes de sécurité factorisés au niveau de la machine virtuelle. Cependant, le caractère optionnel du mécanisme de vérification de bytecode jusqu'à la version 2.2.2 de Java Card permet de charger des applications malicieuses et de réaliser des attaques logiques sur ces plateformes. Cet article présente une attaque logique sur une plateforme Java Card intégrant de nombreux mécanismes de sécurité allant au delà des recommandations sécuritaires imposées par les spécifications Java Card. Malgré ces protections, nous montrons qu'une vulnérabilité d'apparence anodine permet de compromettre intégralement l'application bancaire embarquée sur la plateforme Java Card. Nous détaillons également deux contre-mesures permettant de se prémunir contre cette attaque.

Les attaquants continuent à faire preuve d'ingéniosité pour contourner les nombreux mécanismes de protection mis en oeuvre dans les systèmes informatiques. Aujourd'hui, les scénarios d'attaques qui ciblent les composants logiciels ne reposent plus exclusivement sur l'utilisation d'autres composants logiciels, et peuvent impliquer des composants matériels. Ainsi, nous avons pu constater, ces dix dernières années, des attaques utilisant des contrôleurs d'entrées-sorties (ex. un contrôleur Ethernet, un contrôleur de clavier) ou des périphériques (ex. un iPod FireWire, une souris USB), à des fins, par exemple, d'escalade de privilèges. Malheureusement, cette classe d'attaques hybrides reste encore méconnue à ce jour. Du fait de leur caractère récent, nous n'avons qu'une vision limitée des actions malveillantes qu'un attaquant peut effectuer s'il a un contrôle sur un composant matériel. Dans l'optique d'élargir cette vision, et de proposer une classification de ces attaques, nous avons mis au point un contrôleur d'entrées-sorties capable de générer des requêtes quelconques (valides mais surtout invalides) sur les bus d'entrées-sorties. Cet article présente ses caractéristiques principales et détaille quelques expérimentations qu'il est difficile, voire impossible, d'effectuer avec des contrôleurs d'entrées-sorties sur étagère, et que nous avons pu mener avec succès avec notre contrôleur. Finalement, nous discutons d'autres cas d'utilisation que nous avons envisagés pour ce contrôleur, à la fois d'un point de vue offensif et d'un point de vue défensif.

A venir

Présentation des résultats du challenge.

A venir.

Cet article présente une implémentation novatrice pour le renforcement des fonctions de contrôle d'accès de Windows 7. Basée sur le Type Enforcement, cette approche propose de mettre en place un contrôle d'accès de type mandataire supportant l'application de propriétés de sécurité avancées. De façon similaire à LSM pour le noyau Linux, notre implémentation off?re un contrôle d'accès à grain ?n reposant sur le détournement des appels système. L'ajout d'une labellisation du système de ?fichiers off?re une correspondance précise entre la ressource et son contexte de sécurité. De plus, dans le but de faciliter l'écriture d'une politique de sécurité, nous avons mis en place un mécanisme d'apprentissage qui se base sur les événements observés par notre solution pour les transformer en règles de contrôle d'accès. Ainsi, cette implémentation assure le contrôle des ?flux d'information directs, que ce soit entre un sujet et un objet ou entre deux sujets, o?ffrant ainsi protection ou con?finement contre les attaques de type 0-day. Cet article propose également une preuve de concept développée pour Windows 7, portable sur les autres systèmes d'exploitation de la famille Windows. Nous avons pu tester l'impact de notre implémentation sur les performances du système.

L'activité d'expert judiciaire reste un mystère pour un certain nombre de spécialistes. Après avoir présenté comment l'on devient expert judiciaire, je vais essayer de montrer plusieurs facettes de cette activité, à travers quelques anecdotes, mais aussi en répondant à quelques questions qui me sont souvent posées.

Cette présentation s'intéresse à l'analyse forensique des appareils iOS, en particulier l'acquisition et le déchiffrement des données utilisateur.

Nous détaillerons les fonctionnalités "data protection" introduites avec iOS 4, ainsi que les évolutions apportées par iOS 5.

Nous nous intéresserons ensuite à la couche de translation FTL utilisée par iOS pour gérer la mémoire NAND Flash. Enfin nous présenterons une nouvelle méthode permettant la récupération de fichiers effacés via la lecture bas niveau de la mémoire Flash et l'utilisation des métadonnées du FTL. s

Il y a une dizaine d’années, suite à une forte augmentation d’attaques utilisant des adresses IP falsifiées, l’IETF standardisait la technique de "Network Ingress Filtering" ainsi que sa variante dynamique, connue sous le terme "uRPF", afin de limiter ces attaques. Malheureusement, suite aux déploiements de cette technique, celle-ci a montré ses limites. Aussi, l’IETF a décidé de standardiser, au sein du groupe de travail "Source Address Validation Improvements" (SAVI), des mécanismes complémentaires affinant la précision de détection d’adresses IP falsifiées au sein de flux IP. Ces mécanismes reposent sur l’observation de la signalisation d’attribution d’adresse IP (e.g., DHCP, autoconfiguration IPv6). Dans cet article, nous rappelons tout d’abord les attaques utilisant des adresses IP falsifiées. Ensuite, nous présentons la technique de "Network Ingress Filtering", et sa variante uRPF, ainsi que les limites de ce mécanisme de protection. Nous décrivons ensuite les différents mécanisme SAVI standardisés. Après cela, nous décrivons une intégration de SAVI dans le cas concret du réseau d’accès IPv6 ADSL/Fibre et nous donnons les implémentations/déploiements existants à ce jour. Enfin, nous concluons avec les limites propres à SAVI et les potentiels futurs travaux.

Cet article a pour but de présenter une série d'attaques réseaux sur les pare-feu utilisant un système de suivi de connexions. Ces attaques ont pour particularité d'exploiter les faiblesses du modèle OSI et son implémentation qui découpent en couche le réseau du physique vers l'applicatif et permettent d'ouvrir des connexions presque arbitraires à travers un pare-feu ne disposant pas des contre-mesures adéquates. L'article décrira les mécanismes du suivi de connexions en se focalisant sur l'implémentation réalisée dans Netfilter puis décrira précisément les attaques pour certains protocoles avant de présenter les protections à mettre en oeuvre pour sécuriser les pare-feu.

Partant du constat que le protocole BGP n'utilise pas de mécanismes de sécurité, cette soumission vise à présenter les incidents BGP rencontrés par les opérateurs ainsi que les contre-mesures mises en place (filtres, annonces plus spécifiques, ou bien encore surveillance des préfixes gérés).

La contribution majeure de cette soumission repose dans la description de ces incidents et dans le détail de leur gestion. Nous proposons ainsi une nouvelle approche pour présenter les problématiques liées à la sécurité du protocole BGP. A l'occasion des 10 ans du SSTIC, cette soumission est également l'occasion de faire le point sur les incidents qui ont été les plus médiatisés depuis 2002.

A venir

The last 10 to 12 years have seen drastic change for reverse engineers. Aside from the mainstreaming of this formerly-fringe activity, automated tools (both static and dynamic) have made big inroads. So what can be done automatically nowadays, and what can't be done ? Where are the frontiers - and what needs to be done for published academic work to become useful to the practitioner ? What limitations do we run into when using SMT solvers for exercising program paths ? What bug classes remain exceedingly hard for classical abstract-interpretation based static analyzers to detect with low false positives ? This talk will discuss the above questions and attempt to underline the core points with real-life examples.

Miasm est un framework de reverse engineering. Ayant été développé en même temps que Metasm, il s'en rapproche fortement.

La présentation se propose de faire un rapide aperçu des fonctionnalités de Miasm, puis de s'attardera sur son langage intermédiaire, ses caractéristiques et ses possibilités offertes, tout ceci illustré par des exemples.

Les basebands sont omniprésents dans nos vies, et pourtant le fonctionnement de ces systèmes fermés reste un sujet très peu abordé. Quelques rares travaux ont mis en lumière des vulnérabilités dans l’implémentation des piles protocolaires téléphoniques sur différents modèles de baseband (notamment les travaux de Ralf-Philipp Weinmann présentés au 27C3 et Hack.lu). Cependant, aucune présentation ne s’est vraiment penchée sur l’analyse d’un système d’exploitation pour baseband. Cette présentation aspire à combler ce manque dans la littérature. A partir d’une simple clé 3G équipée d’un baseband Qualcomm, il sera présenté :

• comment extraire une image de la mémoire du système
• l’architecture du micro-noyau temps réel propriétaire de Qualcomm
• comment développer un débogueur pour analyser les tâches s’exécutant sur le système

Pour faire face aux risques et aux menaces qui pèsent sur des systèmes d’information devenus indispensables à son fonctionnement et aux missions conduites par les armées, le ministère de la Défense s’est doté d’une organisation et de moyens de cyberdéfense. Celle-ci, complémentaire de la protection des systèmes d’information, inclut une défense active en profondeur de l’ensemble des systèmes et une capacité de gestion des crises cybernétique.

Dans le cyberespace, les technologies civiles et militaires sont similaires, les réseaux sont souvent interconnectés. L’environnement, les techniques et les pratiques évoluent très vite. Il convient donc d’entretenir une connaissance permanente du domaine, d’échanger avec nos partenaires, militaires comme civils, en France et à l’étranger, de sensibiliser le personnel, d’assurer en permanence une protection au meilleur niveau de sécurité de nos systèmes, d’identifier nos forces et nos faiblesses et de nous préparer, notamment par des travaux de planification et l’adoption d’une posture adaptée à la menace.

La surveillance permanente et en profondeur des systèmes et des réseaux a pour objectif de détecter au plus tôt un incident. Il s’agit ensuite, tout en évaluant les conséquences opérationnelles, de faire appel à des équipes spécialisées, permanentes puis de renfort, d’investiguer et de caractériser l’incident ou l’attaque. Puis d’y faire face, avec des mesures techniques, d’organisation et de gestion des systèmes pour enfin restaurer les systèmes et retrouver une situation normale.

Le Chef d’état-major des armées, responsable de la défense des systèmes d’information pour l’ensemble du ministère, a confié la direction générale du domaine à un officier général cyberdéfense. A ce titre, il coordonne et pilote les travaux relatifs à l’ensemble du domaine et à sa montée en puissance et assure la coordination et la conduite des opérations de défense des systèmes d’information (aussi appelée lutte informatique défensive). Il dispose d’un réseau spécialisé et, pour emploi, d’un centre d’analyse dédié. Il adosse son action à la chaîne de conduite des opérations. Il s’appuie sur l’ensemble des armées, des services et directions du ministère, lesquelles doivent mettre en place une organisation de cyberdéfense.