Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 3 au 5 juin 2015.

Sécurité et ingénierie (dans Chromium)Julien Tinnes


Date : 03 juin 2015 à 10:00 — 60 min.

PICON : Control Flow Integrity on LLVM IRArnaud Fontaine, Pierre Chifflier, Thomas Coudray


Date : 03 juin 2015 à 11:30 — 30 min.

Control flow integrity has been a well explored field of software security for more than a decade. However, most of the proposed approaches are stalled in a proof of concept state - when the implementation is publicly available - or have been designed with a minimal performance overhead as their primary objective, sacrificing security. Currently, none of the proposed approaches can be used to fully protect real-world programs compiled with most common compilers (e.g. GCC, Clang/LLVM). In this paper we describe a control flow integrity enforcement mechanism whose main objective is security. Our approach is based on compile-time code instrumentation, making the program communicate with its external execution monitor. The program is terminated by the monitor as soon as a control flow integrity violation is detected. Our approach is implemented as an LLVM plugin and is working on LLVM’s Intermediate Representation.

Triton : Framework d'exécution concoliqueFlorent Saudel, Jonathan Salwan


Date : 03 juin 2015 à 12:00 — 30 min.

Triton est un framework d'exécution concolique basé sur Pin. L'objectif de Triton est d'apporter des composants supplémentaires au framework Pin déjà existant afin de faciliter la mise en place d'analyses concoliques poussées. Triton s'utilise depuis des bindings Python et propose des composants tel que de l'analyse par teinte (taint analysis), un moteur d'exécution symbolique, un moteur de prise d'instantané (snapshot), une sémantique des instructions x86-64 en SMT2 ainsi qu'une interface avec le SMT solver Z3. Basé sur ces composants, il est possible de développer des outils externes en Python permettant d'effectuer du fuzzing symbolique, d'analyser des traces, d'effectuer des analyses en runtime pour de la recherche de vulnérabilités, etc.

REbus : un bus de communication facilitant la coopération entre outils d'analyse de sécuritéPhilippe Biondi, Sarah Zennou, Xavier Mehrenberger


Date : 03 juin 2015 à 12:30 — 30 min.

REbus : un bus de communication facilitant la coopération entre outils d'analyse de sécurité

Abyme : un voyage au cœur des hyperviseurs récursifsBenoît Morgan, Eric Alata, Guillaume Averlant, Vincent Nicomette


Date : 03 juin 2015 à 14:45 — 30 min.

Les gestionnaires de machines virtuelles (ou VMMs) sont de plus en plus utilisés dans le monde de l’informatique aujourd’hui (notamment, depuis l’engouement pour le Cloud Computing). Ils reposent principalement sur des techniques d’assistance matérielle à la virtualisation proposées par les différents fondeurs de processeurs. Par ailleurs, il est de plus en plus courant de rencontrer des couches de virtualisation imbriquée ou nested virtualization, également supportée par des techniques matérielles. Cette approche a pour effet d’augmenter le nombre de couches de virtualisation. En partant de ce constat, nous nous sommes penchés sur la conception et le développement d’un hyperviseur “récursif”, permettant de supporter un nombre quelconques de couches de virtualisation. Nous décrivons son architecture, ainsi qu’un modèle formel décrivant de façon simple comment gérer ces couches de virtualisation. Quelques tests permettant d’évaluer ses performances sont également proposés à la fin de cet article.

Stratégies de défense et d'attaque : le cas des consoles de jeuxMathieu Renard, Ryad Benadjila


Date : 03 juin 2015 à 15:15 — 30 min.

Depuis plus de 20 ans, l'industrie du jeu vidéo investit du temps de recherche et développement pour lutter contre la production de contrefaçons et le piratage. L'importance de cet investissement est proportionnel au potentiel manque à gagner qui se compte en plusieurs dizaines de millions d'euros. Les consoles de jeux représentent donc des vitrines technologiques en ce qui concerne la sécurité matérielle et logicielle. L'objectif du présent article est de faire un tour d'horizon de l'évolution de la sécurité de ces équipements, alliant un intéressant mélange de choix techniques innovants (tant pour la partie matérielle que logicielle) à de subtiles attaques permettant de les contourner. Il est d'ailleurs intéressant d'observer que les fabricants sont passés d'un modèle de menace où l'objectif était de se protéger des pirates de jeux à un modèle où les hobbyistes adeptes de plateformes maîtrisées sont devenus les principaux ennemis. L'analyse réalisée montre par ailleurs que les fabricants de consoles ont eu une avance certaine de plusieurs années sur les techniques de protection matérielle et logicielle aujourd'hui appliquées -- ou pas -- à d'autres produits grand public comme les smartphones et les Set Top Box.

Rétro-ingénierie matérielle pour les reversers logiciels : cas d'un DD externe chiffréJoffrey Czarny, Raphaël Rigo


Date : 03 juin 2015 à 15:45 — 30 min.

L'idée de cette présentation est de démystifier que l'analyse de sécurité de produits matérielle est difficile.

En nous plaçant du point de vue d'un reverse engineer "logiciel", nous présentons la méthodologie d'analyse d'un disque dur externe chiffré, à clavier physique.

Bien qu'au final l'analyse n'a pas été un succès total, car il n'a pas été possible d'accéder aux données chiffrées, celle-ci montre que la conception même de la sécurité reste perfectible.

CLIP : une approche pragmatique pour la conception d'un OS sécuriséVincent Strubel


Date : 03 juin 2015 à 16:45 — 45 min.

Injection de commandes vocales sur ordiphoneChaouki Kasmi, José Lopes Esteves


Date : 03 juin 2015 à 17:30 — 15 min.

La commande vocale permet d’utiliser un ordiphone les mains libres. Cette nouvelle façon d’interagir avec les ordiphones est de plus en plus répandue. Actuellement déjà, de nombreuses fonctionnalités, parfois critiques du point de vue de la sécurité de l’information, sont accessibles par commande vocale. Par exemple, selon le modèle d’ordiphone et son système d’exploitation, il est possible d’émettre des appels téléphoniques, d’envoyer des SMS, de prendre des photos et de les publier sur les réseaux sociaux, de naviguer sur internet ou encore de changer les paramètres de l’ordiphone. Comme la voix est le vecteur de déclenchement de ces commandes, cette interface est rarement considérée comme un vecteur d’attaque.

Dans cette présentation, nous introduirons une nouvelle technique d’injection de commandes vocales à distance par interférences électromagnétiques intentionnelles. L’idée part du constat que les ordiphones équipés d’un récepteur FM utilisent le câble des écouteurs comme antenne de réception. Nous montrerons qu’il est possible d’utiliser le câble des écouteurs pour y injecter des commandes vocales via un signal radio spécialement formé. Nous détaillerons la surface d’attaque et le profil d’attaquant nécessaire à la réalisation de ce type d’attaques. Enfin, nous proposerons des contre-mesures adaptées à destination des utilisateurs, des fabricants et des éditeurs de systèmes d’exploitation mobiles.

RowHammerNicolas Ruff


Date : 03 juin 2015 à 17:45 — 15 min.

RowHammer est une attaque un peu différente des autres.

Connue depuis longtemps dans le monde du hardware, elle faisait partie des "défaillances aléatoires" - au même titre que le rayonnement cosmique.

Mais il s'avère que cette défaillance du matériel est contrôlable par logiciel, ouvrant ainsi la porte à une élévation de privilèges universelle - qui affecte tous les systèmes informatiques depuis le C64 jusqu'aux systèmes cyber-cloisonnés les plus récents.

Cette présentation courte abordera succinctement l'histoire de cette faille, une méthode d'exploitation, et les contre-mesures applicables.

FlexTLS : des prototypes à l'exploitation de vulnérabilités dans TLSBenjamin Beurdouche, Jean Karim Zinzindohoue


Date : 03 juin 2015 à 18:00 — 15 min.

Transport Layer Security (TLS) est l’un des protocoles cryptographiques les plus utilisés pour protéger les communications et les informations qui transitent par internet. Les implémentations des protocoles de sécurité, et notamment celles dont le code source est ouvert, sont examinées et testées de manière régulière. Nous constatons cependant que cela n’est pas suffisant. Dans cet article, nous présentons FlexTLS, une librairie de source ouverte, permettant de créer rapidement des prototypes de nouvelles fonctionnalités du protocole et de tester le handshake. FlexTLS nous permet également de découvrir et d’exploiter des vulnérabilités en scriptant des scénarios très concis tout en se basant sur des primitives cryptographiques formellement vérifiées issue de miTLS.

FlexTLS est disponible sur http://www.mitls.org ou http://www.smacktls.com

Site de l'équipe Inria Prosecco http://prosecco.inria.fr

SSL/TLS, 3 ans plus tardOlivier Levillain


Date : 04 juin 2015 à 09:00 — 30 min.

Depuis quelques années, l'actualité autour de SSL/TLS s'est accélérée. De nombreuses failles ont été mises au jour, qu'il s'agisse de faiblesses conceptuelles concernant la phase de négociation, de vulnérabilités cryptographiques affectant la protection des flux ou d'erreurs d'implémentation.

Un premier état des lieux avait été dressé en 2012. Cet article est composé de trois parties: la première se veut être une actualisation de la présentation de 2012; la seconde décrit les nombreuses failles d'implémentation qui ont touché toutes les piles SSL/TLS majeures en 2014; enfin, la dernière partie présente des pistes pour l'avenir du protocole, avec des éléments d'analyse de TLSv1.3, en cours de définition à l'IETF.

Les risques d'OpenFlow et du SDNMaxence Tury


Date : 04 juin 2015 à 09:30 — 30 min.

Par opposition aux réseaux traditionnels, le paradigme Software-Defined Networking prône une séparation des fonctions de routage et de celles de transfert de paquets. L’échange d’information entre ces deux plans passe par le développement de nouveaux protocoles et outils dont la sécurité n’a été éprouvée que par encore peu d’études. Ces technologies suscitent beaucoup d’intérêt mais leur déploiement expose les réseaux à des risques méconnus. Cet article présente les spécificités du standard ouvert OpenFlow en mettant l’accent sur certaines de ses faiblesses. La mise en place d’un écosystème SDN complet et les failles observées au sein d’implémentations récentes font l’objet de mises en garde supplémentaires.

Quatre millions d’échanges de clés par secondeAdrien Guinet, Carlos Aguilar, Serge Guelton, Tancrède Lepoint


Date : 04 juin 2015 à 10:00 — 30 min.

Cet article présente une bibliothèque cryptographique : NFLlib. Nous décrivons les performances qu’elle permet d’atteindre au niveau des échanges de clés, ainsi que les optimisations qui ont mené à ces résultats. La cryptographie à clé publique est réputée pour le surcoût important engendré tant au niveau de l’implémentation (calculs sur les grands nombres, manipulation de points dans une courbe elliptique, etc.) qu’au niveau calculatoire. Un des principaux usages de la cryptographie à clé publique est l’échange de clés lors de la mise en place d’une communica- tion sécurisée (par exemple pour une connexion TLS). Cette opération, gourmande en temps de calcul, permet au mieux (en utilisant ECDH avec un Core i7-4770) de gérer de l’ordre de vingt mille connexions entrantes par seconde à 128 bits de sécurité ou six mille connexions à 256 bits de sécurité. La cryptographie basée sur les réseaux est entrée en scène en force depuis quelques années, en particulier grâce aux fonctionnalités avancées, de type chiffrement complètement homomorphe, qu’elle permet d’atteindre. Notre bibliothèque, NFLlib, permet d’implémenter simplement des algo- rithmes cryptographiques basés sur les réseaux euclidiens, le tout avec des performances supérieures à l’état de l’art connu. Pour illustrer cela, nous implémentons, en une dizaine de lignes de code, un système de chiffrement standard avec une estimation conservatrice du niveau de sécurité. Cette implémentation permet de gérer quatre millions d’échanges de clés de type TLS par seconde à 128 bits de sécurité et deux millions à 256 bits de sécurité. Si nous partons sur un proxy web utilisé pour du partage de charge et pouvant gérer les connexions TLS, il est possible de traiter jusqu’à 70 000 requêtes par seconde sur un unique serveur (voir [?]). L’utilisation de ECDH demandera trois Core i7-4770 à 100% rien que pour les échanges de clés, alors que notre bibliothèque permet d’utiliser uniquement 2% d’un unique CPU libérant ainsi les processeurs pour traiter les requêtes.

VLC, les DRM des Bluray et HADOPIJean-Baptiste Kempf


Date : 04 juin 2015 à 11:00 — 45 min.

VLC media player est un lecteur multimédia libre et open source, issu du projet VideoLAN. VLC est un logiciel multiplateforme, et qui est réputé pour sa capacité à lire tout type de vidéos.

VLC peut lire les DVD depuis 2001, grâce à la librairie libdvdcss, qui ouvre la protection des DVDs. Les protections des Blurays sont autrement plus compliquées que celles du DVD, et depuis quelques années, le projet VideoLAN travaille pour proposer des solutions techniques et légales pour pouvoir lire ces Blurays. Ainsi, VideoLAN offre aujourd'hui libbluray, libaacs et libbdplus, pour lire les bluray.

VideoLAN a fait une saisine officielle à HADOPI, pour avoir le droit de diffuser ces projets et éclaircir le droit autour de ce projet. Cependant, le résultat de la saisine a été compliqué, car VideoLAN considère que l'HADOPI n'a pas répondu à la question.

Cette conférence donnera des informations techniques sur tout ces sujets.

Analyse de sécurité de technologies propriétaires SCADAAlexandre Gazet, Florent Monjalet, Jean-Baptiste Bédrune


Date : 04 juin 2015 à 11:45 — 30 min.

Les systèmes SCADA sont au cœur de beaucoup de systèmes critiques, parmi eux : centrales nucléaires, circuits de distribution d’eau ou systèmes d’alarme. Cet article relate l’étude de sécurité que nous avons menée sur des technologies SCADA récentes. Nous mettrons en particulier l’accent sur la méthodologie employée pour arriver à nos fins et les diverses méthodes utilisées : rétro conception en boîte noire, en boîte blanche et fuzzing. Cette étude a permis de mettre en évidence plusieurs failles dans les technologies concernées et de dévoiler une bonne partie du cryptosystème d’un protocole propriétaire. Des travaux sont encore en cours pour identifier les derniers algorithmes utilisés, protégés a priori par de l’obfuscation.

Protocole HbbTV et sécurité : quelques expérimentationsEric Alata, Jean-Christophe Courrege, Mohammed Kaaniche, Pierre Lukjanenko, Vincent Nicomette, Yann Bachy


Date : 04 juin 2015 à 12:15 — 30 min.

Les smart-TVs sont de plus en plus présentes dans nos domiciles. Au même titre que les différents objets connectés qui envahissent notre quotidien professionnel et familial, ces téléviseurs de nouvelle génération, embarquent un système d’exploitation, pouvant contenir des vulnérabilités susceptibles d’être exploitées par des attaquants. Le but de cet article est d’étudier ces vulnérabilités, et en particulier celles qui sont liées à l’utilisation du standard DVB (Digital Video Broadcasting) et du protocole HbbTV (Hybrid Broadband Broadcast TV). Cet article présente des expérimentations qui nous ont permis, d’une part, de mon- trer que les téléviseurs n’authentifient pas l’émetteur des flux DVB qu’ils reçoivent, mais également d’exploiter des vulnérabilités des téléviseurs à l’aide de données spécifiquement incluses dans ces flux.

A peek under the Blue Coat (annulé à la demande des auteurs, cf. résumé)Raphaël Rigo, Stephane Duverger


Date : 04 juin 2015 à 12:45 — 15 min.

Suite à l'annulation de la présentation des auteurs à SyScan, qui aurait servi de référence, et compte tenu que 15 minutes sont largement insuffisantes pour présenter les résultats dans le détail, les auteurs préfèrent annuler cette présentation courte et laisser la place à une présentation plus pertinente. Néanmoins les personnes intéressées par les résultats pourront les obtenir à une conférence ultérieure

Compromission de carte à puce via la couche protocolaire ISO 7816-3Guillaume Vinet


Date : 04 juin 2015 à 12:45 — 15 min.

L'utilisation des cartes à puce pour embarquer des applications de porte-monnaie ou de passeport électroniques démontrent qu'elles sont reconnues comme un excellent coffre-fort numérique. Cette réputation s'appuie sur de nombreux schémas de certifications attestant de leur sécurité comme les Critères Communs, le programme Compliance Assessment and Security Testing (CAST) de MasterCard ou bien le VISA Chip Security Program (VCSP).


La sécurité des cartes à puce est sans cesse remise en question dans de nombreuses publications qui se placent tant du point de vue d'un attaquant que d'un défenseur, ou bien qui ciblent tant les couches physiques que celles logicielles. A travers les ans, de nouveaux types d'attaques sont apparues : les attaques cryptographiques par canaux cachées, les attaques semi-invasives avec les attaques par faute (avec un laser par exemple), ou bien les attaques logicielles avec des applications Java Cards malveillantes.


De nos jours, bien qu'une large palette d'attaque soit couverte, il n'y a quasiment aucun article discutant d'attaques logicielles ciblant la couche de communication des cartes à puce à contact : l'ISO 7816-3. Cette observation est étrange puisque la couche de communication bas niveau est souvent un chemin d'attaque apprécié, par exemple avec la couche TCP/IP ou USB.


Dans cette présentation courte, nous expliquerons l'intérêt de cibler la pile ISO 7816-3. Puis, nous analyserons les vulnérabilité de ce protocole, plus en mode T=1. Ensuite, nous exposerons l'ensemble des outils matériels et logiciels que nous avons mis en place pour tester des cartes. Finalement, nous présenterons nos résultats.

Fuddly : un framework de fuzzing et de manipulation de donnéesEric Lacombe


Date : 04 juin 2015 à 14:45 — 15 min.

fuddly est un framework de fuzzing et de manipulation de données (disponible sous licence GPL à l'adresse https://github.com/k0retux/fuddly). Il est actuellement utilisé dans le cadre de tests d'équipements avioniques qui mettent souvent en oeuvre des protocoles spécifiques. D'autres formats de données et protocoles plus génériques ont également été testés dans ce contexte (JPG, PNG, ZIP, PDF et USB). Les principales caractéristiques de fuddly sont de permettre à l'utilisateur : de modéliser des formats de données très variés ; de les combiner entre eux ; de faciliter la mise en oeuvre de transformations complexes sur ces données ; d'autoriser la dissection de données existantes ; et d'allier des techniques de génération et de mutation. Enfin, il fournit des moyens pour automatiser le processus de fuzzing en s'appuyant sur différentes briques permettant de communiquer avec la cible, de suivre et d'observer son comportement, et d'agir en conséquence.

Avatar: A Framework to Support Dynamic Security Analysis of Embedded System's FirmwaresJonas Zaddach


Date : 04 juin 2015 à 15:00 — 15 min.

A Large-Scale Analysis of the Security of Embedded FirmwaresAndrei Costin


Date : 04 juin 2015 à 15:15 — 15 min.

A Large-Scale Analysis of the Security of Embedded Firmwares

Résultats du challengesstic


Date : 04 juin 2015 à 15:30 — 30 min.

Présentation des résultats du challenge par son concepteur et de la solution par le gagnant du classement qualité.

Rumpssstic


Date : 04 juin 2015 à 16:30 — 120 min.

Liste des rumps (avec liens vers les vidéos) :

  1. SSTIC (Benjamin Morin)
  2. Donjons, Dragons et Sécurité (Tiphaine Romand-Latapie)
  3. WebSite SSTIC (Kevin Denis)
  4. De reBUS à Parsifal (Olivier Levillain)
  5. Pshitt et les bruteforces SSH (Eric Leblond)
  6. Boite noire, par serge-sans-paille (Serge Guelton)
  7. Le vrai coût de la sécurité (Philippe Biondi)
  8. Evasion HQL vers SQL (Renaud Dubourguais)
  9. Factorisation de clefs RSA à grande échelle (Etienne Millon)
  10. MISC: redac en chef facétieux recherche auteurs malicieux (Cédric Foll)
  11. s(4)u for Windows (Aurélien Bordes) slides
  12. BREIZHCTF (Clément Domingo)
  13. Dot not fear, FIR is IR (Thibaud Binétruy)
  14. Faut-il acheter un outil de File Carving ? (Christophe Grenier)
  15. Analyse forensique du Nexus 4 avec DFF (Frédéric Baguelin)
  16. Quelques heuriSSTIC sur les repo git (Charles Prost)
  17. tcp2pipe (Fabien Kraemer)
  18. f*** me, I'm famous (Nicolas Ruff)
  19. Youkeepass (Romain Gayon)
  20. Rump @str4k3 @wlgz @RageYL
  21. IVRE, il scanne Internet (Pierre Lalet)
  22. Miasm (Fabrice Desclaux)
  23. Sybil (Camille Mougey)
  24. ISO 14001 Cloud - Take 3 (Arnaud Ebalard)
  25. Une rump éphémère et (im)pitoyable (Guillaume Delugré)
  26. jardin-entropique.eu.org (Mathieu Goessens)
  27. Du pare-feu au SIEM (Thomas Andrejak)
  28. Du reverse au fuzzing de protocoles avec Netzob (Georges Bossert - Frédéric Guihéry)
  29. CSV (Yoann Guillot)
  30. MITM USB (Benoît Camredon)
  31. Les objets connectés c'est nul (Eloi Vanderbeken)
  32. GreHack (Josselin Feist)
  33. BotConf (Frédéric Baguelin)

Utilisation du framework pyCAF pour l'audit de configurationMaxime Olivier


Date : 05 juin 2015 à 09:45 — 15 min.

L’intérêt de la réalisation d’audits de configuration des composants d’un système sensible fait aujourd’hui consensus. Ce type d’audit fait notamment partie des prestations pour lesquelles l’ANSSI a mis en place une structure permettant de reconnaitre les compétences des auditeurs (PASSI). Dans les faits, la réalisation d’audits de configuration se heurte encore à des réticences des responsables informatiques provenant d’inquiétudes légitimes. Les accès nécessaires à l’obtention des informations sur lesquelles se basent les analyses sont élevés et les personnes en charges de systèmes sensibles (notamment en disponibilité) sont légitimement peu enclines à laisser la main sur leurs équipements aux auditeurs. Nous apportons dans cet article une solution permettant de répondre à ces inquiétudes tout en permettant une analyse approfondie des configurations. L’architecture de notre solution permet également un accompagnement de l’auditeur dans les tâches d’analyse les plus répétitives et permet ainsi des analyses plus complètes tout en limitant le risque d’erreur. Dans cet article, nous nous focalisons sur l’analyse de la configuration de serveurs et prenons l’exemple de l’analyse des mises à jour des paquets logiciels sur les systèmes Linux, tâche fastidieuse et impossible à réaliser de manière exhaustive en temps contraint.

Analyse de documents MS Office et macros malveillantesPhilippe Lagadec


Date : 05 juin 2015 à 10:00 — 15 min.

En 2003 au 1er SSTIC j’avais présenté les différents formats de fichiers pouvant contenir du code malveillant, comme les documents MS Office qui peuvent exécuter des macros VBA. En 2014-2015, alors qu’il devient plus difficile d’écrire des exploits efficaces grâce au déploiement des sandbox dans Adobe Reader ou MS Office, nous assistons au retour en force des macros MS Office dans l’arsenal des auteurs de malware. Cet article décrit la structure des documents Office et des macros, montre les possibilités offertes par les macros VBA malveillantes en s’appuyant sur plusieurs exemples de malware récents, puis explique comment les analyser grâce à plusieurs outils open source publiés récemment (oledump, olevba). Il couvre également les diverses méthodes d’obfuscation employés dans les malwares, et montre comment un interpréteur VBA spécialisé permet leur déobfuscation automatique.

StemJail : Cloisonnement dynamique d'activités pour la protection des données utilisateurMickaël Salaün


Date : 05 juin 2015 à 10:15 — 15 min.

Le modèle de contrôle d'accès classiquement employé sur les systèmes GNU/Linux est discrétionnaire. L'ensemble des processus exécutés par le compte d'un utilisateur dispose des mêmes privilèges vis-à-vis des données accessibles par l'utilisateur. La prise de contrôle d'un seul processus par un attaquant permet donc à celui-ci d'accéder à n'importe quelle donnée à laquelle l'utilisateur a accès. Ce modèle de contrôle d'accès est donc inadapté à une séparation des privilèges des applications en fonction de différentes activités que peut avoir un utilisateur.


Cet article présente StemJail : une architecture de cloisonnement dynamique des activités utilisateur. Cette nouvelle approche du cloisonnement simplifie l'utilisation du contrôle d'accès en l'intégrant dans le workflow de l'utilisateur. Celui-ci devient capable de limiter les droits d'accès de ses instances d'applications et donc de circonscrire les modifications et les fuites potentielles d'information. La solution proposée par StemJail se veut pragmatique : l'intervention de l'utilisateur est minimisée, l'impact sur les performances est faible tout en préservant la compatibilité logicielle et sans augmenter la quantité de code privilégié qui s'exécute sur le système.

Commentaire de l'auteur

Code source de StemJail

Hack yourself defenseEric Detoisien


Date : 05 juin 2015 à 10:30 — 45 min.

Entre urgence et exhaustivité : de quelles techniques dispose l'analyste pendant l'investigation?Amaury Leroy


Date : 05 juin 2015 à 11:45 — 30 min.

Entre urgence et exhaustivité : de quelles techniques dispose l'analyste pendant l'investigation?

IRMA : Incident Response and Malware AnalysisAlexandre Quint, Fernand Lone Sang, Guillaume Dedrie


Date : 05 juin 2015 à 12:15 — 30 min.

De nos jours, faire reposer la sécurité d'un système uniquement sur un antivirus est un pari osé. Même si les antivirus restent un outil nécessaire dans la détection des vecteurs d'attaques génériques, leur efficacité reste encore à démontrer.

L'idée pour les exploiter au mieux n'est pas nouvelle. Elle consiste à combiner les résultats d'un ensemble d'anti-virus permettant ainsi de réduire la menace de codes malveillants qui pèse sur nos systèmes.

D'ailleurs, faire analyser un code par plusieurs anti-virus est souvent la première étape pour un analyste de malware. Celui-ci va vouloir par la suite pousser son analyse en le désassemblant, en l'exécutant dans une sandbox mais aussi en appliquant des outils internes.

Le sujet de cet article est IRMA (Incident Response and Malware Analysis), une plate-forme privée et open-source d'analyse de fichiers. Nous allons rappeler les objectifs de cette plate-forme. Puis, nous détaillons le fonctionnement de celle-ci en mettant en avant l'aspect modulaire de la plate-forme.

Cette présentation sera aussi l'occasion de faire un retour sur le développement de la plate-forme (problématiques techniques rencontrées, la gestion de la communauté open-source, ...), de présenter quelques statistiques sur les anti-virus, mais aussi quelques faits amusants auxquels nous avons été confronté au cours de son développement.

Crack me, I'm famous!: Cracking weak passphrases using freely available sourcesHugo Labrande


Date : 05 juin 2015 à 12:45 — 15 min.

Nous présentons un travail sur les phrases de passe basées sur des phrases célèbres, qui confirme que leur sécurité est très faible et que leur usage doit être découragé. N'importe qui peut construire un dictionnaire de 65 millions de phrases célèbres en très peu de temps, en utilisant uniquement des corpus libres de droits et d'utilisation, et en extrayant ces phrases à l'aide de scripts très simples. Ce dictionnaire permet de craquer plusieurs millions de mots de passe (tirés de la base Korelogic), certains très longs (+ de 200,000 de longueur comprise entre 16 et 55 caractères), ainsi que certains mots de passe dérivés de phrases de passe à l'aide de moyens mnémotechniques. Nous donnerons la recette pour construire ce dictionnaire, et certains des mots de passe craqués à l'aide de cette méthode.

Contextualised and actionable information sharing within the cyber-security communityFrederic Garnier


Date : 05 juin 2015 à 14:45 — 30 min.

Contextualised and actionable information sharing within the cyber-security community

Snowden, NSA : au secours, les journalistes s'intéressent à la sécurité informatique !Martin Untersinger


Date : 05 juin 2015 à 15:15 — 60 min.

Le 5 juin, on fêtera le deuxième anniversaire du début des révélations Snowden. En deux ans, qu'a-t-on appris du fonctionnement du renseignement électronique ? Quel(s) effet(s) ces révélations ont-elle produit ? Comment les journalistes ont-il travaillé avec ces masse inédite de documents ? Qu'est-ce que cela pose comme questions en terme de traitement journalistique de la sécurité informatique ? Ne faut-il pas que les techniciens, les professionnels, travaillent davantage avec les journalistes, et inversement ? Obi-Wan Kenobi ?