Compte-rendu réalisé par Mathieu Mauger, consultant sécurité au pôle Evaluation
Intrinsec était présent cette année à la 13ème édition de la JSSI. Cette conférence annuelle organisée par l’OSSIR avait pour thème : « Est-il encore possible de se protéger ? ».
Ce thème a tenu toutes ses promesses et nous a offert des conférences d’un très bon niveau. Vous trouverez ci-dessous un compte rendu de chacune des présentations de cette journée.
Pour les participants de cette journée, n’oubliez pas de remplir le sondage de l’OSSIR concernant la JSSI 2014.
Advanced Protection Techniques ou comment utiliser des APT contre les APT (Advanced Persistent Threats)
Par Vasileios Friligkos & Florian Guilbert (Intrinsec)
Cette présentation, réalisée par nos collègues du SOC d’Intrinsec, débute par un rappel concernant les APT (Advanced Persistent Threats) qui ne cessent de faire parler le monde de la sécurité. Quelques statistiques sont fournies concernant les intrusions et les attaques subies par les entreprises, notamment :
-
Plus de la moitié des intrusions sont détectées par uneorganisation tierce (CERT, autorités gouvernementales, etc.) ;
- En moyenne, il faut 243 jours pour détecter une compromission sur un SI ;
- Et surtout, 78% des attaques auraient pu être évitées grâce à des
contrôles simples.
Par la suite, quelques scénarios de corrélation ont été présentés ainsi que des idées intéressantes pour détecter une éventuelle fuite d’information ou la compromission d’une machine, notamment, l’utilisation d’un honeyfile permettant de se prémunir des ransomwares (par exemple riseup ou bitcrypt). L’idée est assez simple : plusieurs fichiers honeyfile sont disposés sur le disque dur de l’équipement. Lorsqu’une demande de modification, suppression ou renommage est détectée sur le honeyfile, le processus ayant effectué la demande est arrêté et l’ordinateur s’éteint afin d’empêcher le ransomware de chiffrer de nouveaux fichiers.
Les tests réalisés par le SOC d’Intrinsec indiquent que l’efficacité des honeyfiles varient selon leur emplacement sur le disque dur. En conclusion, il apparait qu’il est préférable d’avoir plusieurs honeyfiles à des emplacements stratégiques du disque dur (notamment les répertoires de l’utilisateur).
Les supports de la présentation : http://www.ossir.org/jssi/jssi2014/JSSI-Intrinsec-APT.pdf
La sécurité TLS, un vœu pieux ?
Par Christophe Renard (HSC)
Christophe Renard commence sa présentation par évoquer le doute qui existe actuellement sur la sécurité de TLS vis-à-vis des différentes révélations faites par Snowden, mais aussi concernant les dernières faiblesses identifiées (notamment CRIME, BEAST, iOS et son « goto fail », ainsi que la validation des certificats dans GnuTLS).
Par le suite, le conférencier nous présente les différentes couches d’un système cryptographique :
-
Algorithmes
-
Mécanismes cryptographiques
-
Protocole
-
Implémentation
-
Intégration
-
Configuration
-
Opération
Pour chaque couche, Christophe nous détaille les différentes faiblesses existantes et les axes d’amélioration devant être mis en œuvre. Une tendance se dégage rapidement de son exposé : Les API mises à disposition des développeurs sont mal documentées et complexes à lire.
En conclusion, la sécurité de TLS n’est pas un vœu pieux, mais des efforts restent à faire concernant l’implémentation et l’intégration. Il est nécessaire d’évoluer rapidement vers TLSv1.2.
Les supports de la présentation : http://www.ossir.org/jssi/jssi2014/jssi2014-hsc-securite_tls-un_voeu_pieu.pdf
Est-il encore possible de sécuriser un domaine Windows ?
Par Arnaud Soullié, Florent Daquet & Ary Kokos (Solucom)
Les consultants de Solucom nous ont fait un retour d’expérience sur les tests d’intrusion en environnement Windows. Cette présentation était ponctuée de « fails » rencontrés sur le terrain.
La présentation débute par une statistique intéressante et bien connue des pentesters : « Lors d’un test d’intrusion interne, le pentester obtient les droits d’administration du domaine Windows dans plus de 90% des cas ! ».
Par la suite, les consultants Solucom nous ont présenté les principales faiblesses rencontrées et il s’agit, malheureusement, de scénarios bien connues, notamment :
- Utilisation du même compte administrateur local sur tous les postes ;
- Absence de segmentation et filtrage du réseau interne (postes d’administration sur le réseau utilisateurs par exemple) ;
- Présence de mots de passe en clair dans des scripts d’administration ;
- Utilisation des comptes d’administration du domaine pour des tâches inappropriées (navigation Web, exécution de services, etc.).
En conclusion, la sécurisation d’un domaine Windows est une tâche complexe et nécessite de bien maîtriser les bonnes pratiques, mais aussi de changer les méthodes d’administration rencontrées aujourd’hui.
Les supports de la présentation : http://www.ossir.org/jssi/jssi2014/JSSI_2014__Solucom_WinSec_vf.pdf
Est-il encore possible de se protéger à l’international ?
Par Eric Barbry (Cabinet Alain Bensoussan)
Changement de cadre pour cette présentation où Eric Barbry nous fait découvrir les méandres du droit international et notamment la conformité des contraintes légales à l’international. La présentation commence par la mise en évidence de l’approche de la loi par les entreprises : le respect de la loi n’est pas recherché, mais plutôt celui de la zone de risque afin d’éviter les sanctions. De cette constatation, le présentateur utilise l’analogie des plaques tectoniques et des formations volcaniques afin de mettre en évidence les situations qui se créent lorsque les appareils juridiques de différents pays entrent en collision.
Eric Barby conclut sa présentation en annonçant que la meilleure façon de se protéger est de se conformer au socle commun des différents droits (intrusion/donnée/preuves/actions de protection/prescription et secret).
Les supports de la présentation : http://www.ossir.org/jssi/jssi2014/Droit_international_des_TIC.pdf
Outils et techniques pour attaques ciblées
Par Renaud Feil (Synacktiv)
Lors de cette présentation, Renaud Feil nous a présenté les diverses techniques ainsi que la méthodologie utilisée au sein de son entreprise lors de la réalisation de tests d’intrusion en mode Red Team. La conférence commence par une description du contexte et des aspects légaux de certaines missions ainsi que des débuts de la sécurité (découverte des Buffer Overflow en 1972 et premiers tests d’intrusion en France en 1995). Renaud Feil a également agrémenté le contenu de sa présentation par des anecdotes, des outils pratiques et des recommandations qui peuvent être mises en place afin d’éviter certaines vulnérabilités.
Au fil de la présentation, l’orateur a dégagé la vraie problématique sur ce type de prestations : la sensibilisation des utilisateurs.Aujourd’hui, il est possible de faire comprendre qu’il n’est pas concevable de donner son mot de passe par téléphone. Mais, il semble encore difficile de dire aux utilisateurs de ne pas ouvrir des pièces jointes ou bien de suivre un lien dans des emails « normaux » (par exemple le service des ressources humaines qui reçoit des CV de candidats).
Les supports de la présentation : http://www.ossir.org/jssi/jssi2014/Synacktiv_pentest_red_team_Renaud_Feil.pdf
Implémentation et implications de la mise en place d’une porte dérobée dans un disque dur
Par Aurélien Francillon (Eurocom)
Aurélien Francillon s’est interrogé sur la possibilité d’installer une porte dérobée sur le firmware d’un disque dur. Diverses difficultés sont ainsi mises en avant comme l’absence de documentation ou de support qui a obligé l’équipe chargée du projet de créer un programme spécifique pour l’analyse. Cette étape aura duré près d’un an.
Par la suite, le conférencier a réussi à modifier le firmware de son disque dur afin d’intercepter la lecture et l’écriture de données. Un exemple d’exfiltration de données a été présenté. Fait intéressant, peu de temps aprèsles premières publications d’Aurélien Francillon, un document interne de la NSA expliquait la mise en place d’un même type de porte dérobée au sein de disques durs, indépendamment du constructeur.
La conclusion de cette présentation est qu’il est difficile de faire confiance aux systèmes embarqués. Cette étude a permis de développer un framework d’analyse spécifique aux systèmes embarqués : AVATAR
Les supports de la présentation : http://www.ossir.org/jssi/jssi2014/hdd_jssi_v4.pdf
L’environnement radio, de plus en plus difficile à protéger
Par Renaud Lifchitz (Oppida)
Lors de cette conférence, Renaud Lifchitz décrit l’état de la sécurité radio de nos jours en ponctuant sa présentation de démonstrations visant par exemple à écouter un casque Bluetooth à l’aide d’une antenne embarquée ou à récupérer les coordonnées GPS des avions de ligne. Le conférencier met très rapidement en évidence un manque total de sécurité dans les protocoles radio où le rejeu et la lecture des informations non chiffrées sont réalisables très facilement. De plus, aujourd’hui, il est simple de s’équiper en matériel radio à moindre coût.
En conclusion, il apparait que la plupart des protocoles radios souffre d’une mauvaise conception (absence de chiffrement, d’authentification, de signature, de mécanismes anti-rejeu et anti-brouillage). Cet état de fait montre qu’il est important de penser à la sécurité dès la conception des protocoles.
Les supports de la présentation : http://www.ossir.org/jssi/jssi2014/jssi2014-oppida-radio.pdf
La sécurité : d’une contrainte à un levier business. Retour d’expérience
Par Bernard Olivier (Orange)
Lors de cette présentation, Bernard Olivier a, dans une analogie du château fort et avec une énergie explosive, mis en avant les différents problèmes qu’il a pu rencontrer lors de l’élaboration de différents projets au sein d’Orange. Au cours de la conférence, l’orateur a su mettre en avant les différents besoins de sécurité vus par une entreprise et par le client. La problématique qui se dégage de cette présentation est la nécessité d’intégrer la sécurité dans le processus de création d’un service sans pour autant trop complexifier afin d’éviter le contournement des protections en place.
Pour conclure, Bernard Olivier explique l’importance de mettre en place une sécurité adaptée aux besoins. Concernant le processus visant à améliorer le niveau de sécurité, il suit le schéma classique :
- Analyse de risques ;
- Mise en place des fonctions et mesures de sécurité ;
- Evaluation des risques résiduels ;
- Réalisation d’audits de sécurité.
Les supports de la présentation : http://www.ossir.org/jssi/jssi2014/JSSI_2014_Orange.pdf
Il manque une précision sur l’intervention de Renaud Feil. A-t-il précisé que les premiers tests d’intrusions avait été réalisés par la société Intrinsec peu avant qu’il la rejoigne ?
Laurent 🙂