Bonjour à tous,
Tout d'abord, merci à Cédric de me laisser quelques pages sur son blog.
Je travaille actuellement dans une structure CERT d'un établissement bancaire français. Nous nous occupons entre autres de réponse à incidents de sécurité informatique et de lutte contre la cybercriminalité. Dans le cadre de ma mission, j'ai eu l'occasion d'assister à l'édition 2009 du SSTIC.
Ceci est le compte-rendu de ma première participation à cette manifestation. L'impression générale que j'ai eue de cet évènement est très positive. L'ambiance était très bonne, et j'ai eu l'occasion de pouvoir échanger avec des gens venant d'industries différentes. J'ai notamment beaucoup apprécié le social event.
Evoluant d'habitude dans un environnement peu technique (en tout cas beaucoup moins que la plupart des participants de ce Symposium), je ne pense pas pouvoir faire aussi bien que d'autres blogueurs bien connus, à moins de reprendre le contenu des actes. Pour cette raison, la suite de cet article présentera les conférences qui m'ont le plus marqué au cours de l'édition 2009 du SSTIC.
Merci de votre indulgence et bonne lecture.
La conférence d'ouverture a été présentée par M. Pascal Andrei, directeur de la sûreté aérienne chez Airbus. Elle a été l'occasion de découvrir une vue métier sur la sécurité informatique dans un environnement aérien. Notamment, la différence entre la sécurité (safety) et la sûreté (security) a été évoquée. La sécurité concerne la conception d'appareils, le développement de composants. En résumé, il s'agit de s'assurer de la fiabilité des appareils, démarche en cours depuis plus de 30 ans chez Airbus. La Sûreté (security) est quand à elle plus récente. Elle distingue la sécurité physique (bombes, passagers clandestins, etc.) et la sécurité informatique. Cette dernière a été un sujet de préoccupation plus récent, qui à coïncidé avec l'entré de composants logiciels dans les systèmes embarqués ainsi que l'informatique de divertissement. Au passage, des connexions à Internet ont été mises à disposition dans l'A380. Les équipements connectés sont bien entendu isolés du reste de l'infrastructure critique. Cette conférence a aussi été l'occasion d'évoquer l'évolution des contraintes de sécurité informatique imposées aux compagnies aériennes en général et à Airbus en particulier. Ainsi, il n'y avait que peu de contraintes sur les appareils conçus avant l'A380. Puis des pentests ont étés mis en place, ainsi que la création d'un CERT interne, dont le but est de surveiller les vulnérabilités pouvant impacter l'infrastructure informatique. Il est aussi question de l'adoption de normes telles que ISO 27000. De manière générale, Les problématiques de sécurité semblent être prises très au sérieux chez Airbus.
Data tainting
Cette conférence, présentée par Florent Marceau du CERT LEXSI, a évoqué une technique d'automatisation d'analyse de code malveillant mettant en œuvre du data tainting. Le principe est de marquer et tracer les données manipulées par un code malveillant lors de son exécution sur une machine victime. Ce traçage s'applique également aux données chargées d'un serveur éventuellement contacté dans le cadre de l'attaque. On peut ainsi contourner les techniques de chiffrements employées par la plupart des malware modernes. En pratique, le code malveillant est soumis à une machine virtuelle pour être analysé. En moyenne, une analyse prend une dizaine de minutes (dans le cas où aucun système de détection de machine virtuelle n'est mis en œuvre par le code malveillant). LEXSI peut ainsi parvenir à analyser entre 2000 et 2500 binaires suspicieux par jour. Un autre challenge à l'analyse est les stimuli qui déclenchent l'activation d'actions malveillantes.
Projet WOMBAT
Symantec a ensuite présenté son projet WOMBAT. Le but est d'obtenir une meilleure compréhension des menaces qui pèsent sur Internet. L'implémentation de WOMBAT consiste en une multitude de senseurs qui ont 2 fonctionnalités principales: identifier les attaques connues dont ils sont la cible et identifier les nouvelles attaques. Les données ainsi collectées sont transmises à un serveur qui procède à l'analyse. Une fois qu'un chemin d'attaque est identifié, il est diffusé à toutes les sondes WOMBAT du réseau. La présentation était émaillée de nombreux graphes et données statistiques.
ACPI et routine de traitement SMI
La démonstration de l'exploitation de failles ACPI et SMI a été très visuelle. Nous avons vu M. Loïc Duflot de la DCSSI obtenir un accès root à une machine en débranchant et rebranchant plusieurs fois le câble d'alimentation de son laptop. Le but était de mettre en évidence deux types de failles. La faille ACPI qui permet à un attaquant de modifier les routines de gestion de la batterie en réécrivant les tables ACPI. La deuxième exploitation présentée était un accès à la routine SMI. L'attaque se produit par une compromission du BIOS.
Questions sur l'utilité de ISO 27001
Alexandre Fernandez-Toro de HSC a dressé un bilan de l'implémentation de la norme ISO 27001. ISO 27001 ne constitue pas un nouveau "nirvana" de la sécurité mais a eu le mérite d'établir un référentiel des bonnes pratiques de sécurité. Ce qui est certifié n'est pas un niveau de sécurité, mais un processus d'amélioration continue de la sécurité. Chercher la certification "pour la certification" n'est pas utile. Il est plus intéressant de voir ISO 27001 comme un modèle vers lequel tendre et de se faire certifier sur opportunité. Présentation intéressante et vivante.
Traçage des traitres en multimédia
Sujet d'actualité évoquant le watermarking (tatouage digital). Le but est d'identifier le ou les utilisateurs à l'origine de la dissémination de copies pirates d'un fichier multimédia. Un fichier multimédia est tatoué différemment pour chaque utilisateur. Le tatouage permet d'identifier quel utilisateur est à l'origine de la fuite. Dans le cas où plusieurs fraudeurs entrent en jeu, il est possible d'identifier les fraudeurs avec un certain degré de probabilité.
Le vol d'information n'existe pas
Il n'est pas reconnu juridiquement. En revanche, la divulgation peut faire l'objet de sanctions. Pour l'entreprise, il est possible de se protéger par le contrat de travail (obligation de loyauté), une politique de classification des documents, une charte utilisateur et une politique de gestion des tiers.
Pourquoi la sécurité est un échec
D'après Nicolas Ruff, la sécurité est un échec. La faute à de mauvaises décisions techniques et organisationnelles, des marchés captifs et un buzz non mérité sur certaines applis de sécurité. La présentation était conviviale et mettait en relief certaines opinions assez partagées dans le monde de la sécurité.
Macaron, une porte dérobée pour toutes les applications JavaEE
Une présentation d'Atos a démontré l'installation d'une backdoor dans une application J2EE via l'insertion d'un jar malveillant dans une Web Archive. Le but était de mettre en évidence un trou dans les procédures d'audit standard. Si la vérification du code est effectuée, il n'y a en général pas de vérification des binaires compilés. Cela met aussi le doigt le champ beaucoup plus large de la sécurité des applications J2EE en général.
Émanation compromettantes électromagnétiques des claviers filaires et sans-fil
La conférence sur la détection des émanations électromagnétiques des claviers a mis en évidence qu'il est possible de détecter les entrées tapées sur un clavier en se basant sur les interférences électromagnétiques produites lors de l'utilisation des touches. Cette technique pourrait permettre d'espionner les entrées clavier à l'aide d'une antenne dans un périmètre de 20 mètres autour de la source. Des recherches sont toujours en cours pour tenter d'étendre le périmètre.
A noter les présentations rumps de Philippe Lagadec de l’OTAN sur la cybersécurité et de Bruno Kerouanton sur la communication.
Pour conclure, ce SSTIC 2009 a été pour moi une très bonne expérience. J’espère la renouveler en 2010.
Vincent Ferran-Lacome
