Compte-rendu de la conférence JSSI 2010
Date : 08 Avril 2010
La neuvième JSSI (Journée de la Sécurité des Systèmes d'Information) organisée par l'OSSIR (Observatoire de la Sécurité des Systèmes d'Information) s'est déroulée le 16 mars dernier à Paris. Une centaine de personnes assistait à cette conférence, dont le thème était cette année "Attaque / Défense : score 2.0". Au-delà d’un score apparemment sans appel, cette journée tentait de démontrer le contraire et abordait de nombreux sujets.
Nota : Ce compte-rendu ne présente pas les détails techniques des présentations. Il s'attache surtout à exposer les idées directrices relevées par le Cert-IST.
Juste une imprimante ? Thibault Koechlin, Jean Baron (NBS system)
Cette première présentation aborde la sécurité des équipements dits multifonctions tels que les MFP (MultiFunctional Peripheral) ou les MFD (Multiple Function Devices). Derrière ces acronymes barbares se cachent des équipements tels que des imprimantes, des fax, des photocopieurs, des caméras IP ou encore des PABX. Tous ces équipements présentent la particularité commune d’être désormais dotés d’interface réseau, de systèmes d’exploitation évolués (souvent Linux), mais surtout de disposer de services/serveurs bien connus (web, FTP, TFTP, etc.).
Au coeur des réseaux d’entreprise, ils passent la plupart du temps inaperçus, et sont donc rarement mis à jour (si tant est qu’ils le permettent). De facto, ils deviennent des cibles potentielles.
A travers 3 approches d’attaques (logicielle, firmware et matérielle) les orateurs présentent leur recherche en matière d’exploitation des vulnérabilités inhérentes à ces équipements. La première approche vise à corrompre les services ouverts de l’imprimante (overflow, brute force, XSS, etc.). La seconde a pour objectif de modifier le firmware employé sur le périphérique cible. La dernière s’emploie à s’interfacer au niveau matériel afin de dialoguer avec le périphérique (port série, ajout de matériel de pontage, etc.).Le bilan de ces approches est sans appel. A travers diverses techniques d’attaques, allant du « social engineering » visant à tromper un utilisateur accédant à un périphérique factice, à l’exploitation d’une vulnérabilité XSS, ou encore à l’attaque des firmwares, ces équipements ne résistent pas bien longtemps.
La mémoire de MacOSX - Matthieu Suiche (MoonSols)
Matthieu Suiche, auteur du célèbre outil d’inspection de la mémoire Windows « WinDD » présente ses travaux de recherche sur la mémoire physique des systèmes MacOS X 10.5 et 10.6. En s’appuyant sur les fonctions d’hibernation du système, il est possible de récupérer l’état d’un système lors de sa mise en veille. A l’aide d’outils appropriés et de techniques avancées (fonction debug, tables de symboles), il est possible de reconstruire l’espace d’adressage du système d’exploitation pour ensuite accéder à divers éléments stratégiques du noyau (handles, threads, structures de données, listes, etc.).Ce type d’information peut devenir essentiel lors d’analyse forensic ou l’étude du comportement de malware.
Nota : Les outils présentés sont toujours en cours de développement et ne sont actuellement pas disponibles.
Aspects juridiques du scan et des tests intrusifs - Yoann Garot (Itrust)
La présentation de Yoann Garot aborde les aspects juridiques liés aux activités de « scanning », fréquemment utilisées dans le cadre d’audits intrusifs (pentesting). Derrière ce mot sont abordés plusieurs type de « scanning » ; le scanning de port permettant l’identification de la topologie des réseaux et le scanning de vulnérabilités permettant de détecter les failles potentielles d’un équipement.
L’orateur rappelle que peu de société de conseils en sécurité informatique et peu de clients de ces services, se préoccupent des aspects juridiques liés aux prestations de ce type.
Après un bref rappel de la fraude informatique, de la loi Godfrain de 1988, ainsi qu’un bref historique de la législation française, on constate que le mot « informatique » et plus généralement ce qui lui est assimilé, a du mal à trouver une place dans le droit français. Son appréciation dépend du contexte dans lequel il est employé, en termes de législation généraliste ou de droit commun (supports utilisés, moyen de communication, diffusion, etc.…), de droit spécifique (signature électronique, droit d’ayant d’auteur, protection des données à caractère personnel, etc.) ou des infractions (P2P, contrefaçon, etc.).
Au final, le flou subsiste. Selon que cette activité de scanning soit encadrée dans une prestation professionnelle consentie entre un client et un prestataire ou qu’elle soit l’œuvre d’un acte de piratage, on constate que celle-ci est toujours mal encadrée. La décision appartiendra donc au juge qui appréciera la « qualité » de l’acte de scanning et les accords préalables à son exécution.
Se préparer à la réponse judiciaire contre les attaques informatiques - Eric Freyssinet (DGGN)
Dans la continuité de la présentation sur les aspects juridique, Eric Freyssinet dresse un panorama mondial de pertes liées aux attaques informatiques. Sur 2008-2009, malgré une baisse des pertes moyennes par victime, on constate globalement que les actes malveillants ne cessent de progresser (augmentation des fraudes financières, des propagations de malwares, etc.).
Au-delà des clichés habituels vis-à-vis des jeunes « cyber-délinquants », il rappelle que ces derniers ont des facultés d’apprentissage et d’adaptation aux nouvelles technologies, phénoménales qu’il convient de contenir et maîtriser. L’absence de plaintes afin de lutter contre cette délinquance informatique tend à leur laisser croire qu’ils peuvent tout faire impunément sans crainte de poursuite. De plus cela banalise leurs actes, ce qui instaure un sentiment de ne pas causer de torts.
Afin de préparer et anticiper les actes de piratage, de fraude informatique ou encore d’atteinte aux systèmes informatiques des entreprises, plusieurs lois ou projets de lois visent à permettre une meilleure notification des incidents ; « Paquet Telecom voté en novembre 2009 », « Proposition de loi Détraigne/Escoffier débattue au Sénat en mars dernier », etc. Enfin il conclut en rappelant l’importance de la preuve. La collecte et la préservation est majeure. Plus la preuve est valorisée, intégrée dans des processus de confiance et de neutralité, meilleures sont les chances qu’elle soit recevable devant un juge. Mais ceci ne s’improvise pas.
Les PME françaises contre la mafia russe et les hackers chinois - retour d'expérience - Nicolas Ruff (EADS IW)
Derrière un titre aguichant, on s’attend à une présentation digne d’un roman d’espionnage. Nicolas Ruff prend l’auditoire à contrepied en décrivant ses déboires dans la TPE/PME de son épouse, pour laquelle il oeuvre à ses heures perdues en tant qu’administrateur système et ingénieur sécurité. Au-delà de ce clin d’oeil humoristique il rapporte ses retours d’expérience sur les difficultés rencontrées dans ces petites structures en matière de sécurité informatique.
En s’appuyant sur diverses anecdotes, l’orateur montre qu’il est difficile pour ces entreprises de faire face aux attaques informatiques des systèmes d’information, qui malheureusement ne parlent qu’aux puristes. Difficile d’expliquer ce qu’est une injection SQL, ou les dangers d’insérer une clé USB de provenance inconnue à quelqu’un qui dès le lendemain naviguera sur Internet sans précaution. L’orateur rappelle qu’il est difficile de former les utilisateurs et plus généralement de les informer sur les dangers liés aux technologies de l’information.
En conclusion il rappelle que les bonnes pratiques restent de rigueur ; un utilisateur qui n’a pas besoin d’être administrateur n’a pas à l’être, si le système le permet il faut journaliser ce qui doit l’être, activer les fonctions DEP si le système en dispose, etc.
Livre blanc sur les logs, restitution - Eric Barbry (Cabinet Bensoussan), Christophe Labourdette (CNRS / ENS-CACHAN)
Cette intervention porte sur la présentation des résultats du groupe de travail conduit par Christophe Labourdette et Eric Barbry au sein de l’OSSIR, visant à la rédaction d’un livre blanc sur les logs.
Faisant un bref retour sur les difficultés rencontrées par le groupe de travail, notamment celle de la compréhension du vocabulaire informatique, opposant le monde informaticien à celui du juriste - « Logs », « Traces » pour les informaticiens, « Données de connexion », « Données d’identification » ou « journaux d’historisation » pour les juristes (CPCE, LCEN, CNIL).
De plus le groupe de travail s’est vite heurté à un problème de périmètre, c'est-à-dire « absence de loi dédiée », « pas de définition communément admise », des « termes approchants » et « une absence de cohérence ». Cependant malgré ces difficultés les exigences réglementaires et les obligations légales existent pour tous, du prestataire Télécom, aux prestataires Internet, aux banques, aux acteurs de secteurs sensibles, etc.
Aboutissement de deux années de travail, ce livre blanc rappelle aux entreprises le besoin de journaliser, d’intégrer la gestion et la conservation des traces dans des processus clairs, appuyant la politique de sécurité.
Les webshells - Renaud Dubourguais (HSC)
La présentation de Renaud Dubourguais porte sur l’exploitation de portes dérobées applicatives (webshells), déposées dans des applications web ou des serveurs web vulnérables. Il aborde les techniques d’exploitations successives de plusieurs vulnérabilités permettant le dépôt de tels programmes d’exploitation, contournant les mesures de sécurité réseaux sensées protéger le serveur cible (filtrage, authentification, etc.).
L’orateur expose les multiples possibilités offertes par les webshells et exploitables à distance. Entre autre, citons parmi celles-ci ; la prise de contrôle, l’exécution de commandes administratives, le relais de spam, l’accès à des bases de données, l’encapsulation protocolaire, etc. Une démonstration présente la compromission d’un serveur JBoss en DMZ, le contournement des protections périmétriques et le dépôt d’un webshell. Le webshell offre ainsi tout un arsenal de fonctions permettant à un pirate d’augmenter sa connaissance de l’environnement compromis, de balayer les systèmes voisins, de rediriger des flux via un protocole autorisé (HTTP dans le cas présent). Au final, l’orateur montre qu’il est possible de prendre le contrôle du serveur cible depuis Internet, via une session Terminal Server encapsulée dans un tunnel HTTP rerouté par le webshell.
Enfin il conclut sur quelques recommandations pour se prémunir contre ce type d’outil (PHP Safe mode, Java security Manager, restrictions/permissions, sandboxing, etc.).
OWASP ASVS: Une boite à outils pour améliorer la sécurité d’une application Web Sébastien Gioria (OWASP)
Cette présentation a été annulée.Nota : Les supports de présentation ne sont actuellement pas disponibles. Ils le seront ultérieurement sur le site officiel de l'OSSIR.