Compte-rendu de la conférence sécurité INSA-2014
Date : 27 Janvier 2014
L’INSA de Toulouse et le LAAS-CNRS ont organisé le 23 janvier 2014 une journée de conférences sécurité. Des intervenants de haut niveau ont été invités à s’exprimer lors de cette journée et ont présenté des sujets plutôt orientés recherche (sur des sujets comme le Big data, la détection d‘intrusion ou la robustesse cryptographique) ou très techniques (sur les backdoors matérielles, le scan massif ou l’audit intrusif sur des équipements avioniques).
Nous vous présentons ci-dessous un résumé de cette journée. Les supports de présentation seront disponibles sous peu sur le site web de la conférence.
Sécurité et Big Data Analytics
Par : Marc Dacier (Symantec Research Lab)
L’orateur présente deux projets de recherche des laboratoires de Symantec : WINE et TRIAGE. Il s’agit du prolongement de travaux initialisés dans le cadre du projet européen WOMBAT, que nous avions évoqué en 2009 dans 2 articles : Etat de l’art des honeypots et Compte-rendu SSTIC 2009.
WINE (Worldwide Intelligence Network Environment) est un environnement qui est mis à la disposition des chercheurs qui en font la demande. Il fournit des données réelles relatives aux attaques, provenant de différents senseurs mis en place par Symantec, et garantit que ces données sont archivées et rejouables. L’objectif est de fournir un environnement "scientifique" pour réaliser des expériences dans des conditions maitrisées. Le service WINE est disponible ici : www.symantec.com/WINE
TRIAGE est une technique de data-mining qui permet d’identifier les similarités qui existent sur un ensemble de données. Par exemple, lorsqu’elle est appliquée à un ensemble d’emails malveillants, TRIAGE est capable d’identifier tous les emails appartenant à une même campagne d’attaques et de mettre en évidence l’évolution de cette campagne (changement dans le sujet de l’email, dans les sites relais pour les attaques, etc..). La méthode utilisée consiste à identifier des MCD (Multi Dimensional Cluster) au moyen de techniques de recherche de similarités (par exemple en utilisant le modèle des intégrales de Choquet). La visualisation des MCD est ensuite réalisée en utilisant www.vis-sense.eu (qui est un projet européen sur la visualisation de données). Une description plus complète de TRIAGE (et des exemples de visualisation des MCD) est disponible ici.
A propos de WOMBAT : http://www.syssec-project.eu/m/page-media/23/bic2011-05-ioannidis.pdf
A propos de WINE et TRIAGE : http://seminaire-dga.gforge.inria.fr/2012/20130607-FredHollowood.pdf
Cyberdéfense et sécurité du matériel : jusqu'où faut-il aller ?
Par : Loic Duflot (responsable de la sous-direction Expertise de l'ANSSI)
Après avoir présenté l’ANSSI, l’orateur montre par une série d’exemples, qu’il existe de nombreux aspects à explorer dans le domaine de la sécurité matérielle et des backdoors implémentées au niveau hardware :
- Au niveau BIOS, il est possible par exemple de développer des root-kits en exploitant le SMM (System Management Mode) des processeurs Intel. Notre article de 2009 détaille ce sujet.
- Sur certaines cartes réseaux, il a été possible d’installer une backdoor en exploitant, au travers de RMCP (Remote Management and Control Protocol), des faiblesses d’implémentation de l’ASF (Alert Standard Format). Un article ANSSI de 2010 détaille ce sujet.
- A quoi servent les « op-codes » x86 non documentés par Intel ? Sont-ils liés à une backdoor ?
- Peut-on faire confiance à une clé USB ? La norme USB étant générique, une clé USB spécifiquement conçue pourrait se faire passer pour n’importe quel type de périphérique USB et tenter de cette façon des attaques mettant en défaut les drivers USB du système hôte.
L’expérience montre que jusque dans un passé récent, les composants hardware ont le plus souvent été conçus sans prendre en compte les attaques possibles, et que peu de défenses ont donc été mises en place. Cela ouvre un grand champ d’insécurité pour tous ces matériels. L’orateur conclut en recommandant :
- De désactiver les fonctions inutiles (par exemple dans le setup du BIOS),
- D’intégrer la sécurité dans les nouvelles architectures développées.
Phase de reconnaissance de cyber-attaques : que peut-on trouver sur Internet ?
Par : Frédéric Raynal (Fondateur de la société QuarksLab)
L’orateur présente un projet interne de QuarksLab, dont l’objectif est de réaliser des scans à large échelle afin de cataloguer l’ensemble des machines d’un pays ou d’une entreprise de grande taille.
L’approche adoptée consiste à :
- Tous d’abord à identifier toutes les IP du pays visé en utilisant GeoIP (une base de données mondiale de géo-localisation des machines. La base GeoIP la plus connue est celle de www.maxmind.com).
- Puis de scanner ces IP au moyen de Nmap et de scripts NSE, pour obtenir un maximum d’informations sur les machines (port ouverts, bannières employées, etc…).
- Et enfin de stocker l’ensemble des données ainsi récoltées dans une base MongoDB.
L’orateur a fait part des différents aspects qu’ils ont dus analyser pour arriver à cette solution, et en particulier :
- Le choix d’utiliser des techniques passives (écoute) ou active (scan) pour recueillir les données.
- La nécessité de ne pas perturber les réseaux scannés .
- Le choix des outils à utiliser pour collecter les informations.
- Le stockage des données collectées.
- La performance.
En termes de performance, l’orateur indique que le scan d’un pays entier comme le Luxembourg (1 million d’IP), avec 3 machines, et en se limitant aux 20 principaux ports, nécessite 12h de traitement. Par comparaison, le lancement du même type de scan depuis le service Cloud d’Amazon, en utilisant 80 machines virtuelles, pourrait être réalisé en 45 minutes. Il serait possible d’utiliser des scanners plus rapides, comme masscan (voir la section « data-plane networking » de notre compte-rendu Brucon-2013) ou zmap, mais le flux de données généré et la bande passante consommée introduisent alors des problèmes non triviaux.
L’orateur cite plusieurs autres travaux similaires : Rapid7, Internet Census 2012, Shodan, ou même le projet LHKF (Low Hanging Kiwi Fruits, voir cette présentation à Hack.Lu-2011). Il mentionne enfin une société américaine (Endgame System) qui, selon des documents secrets volés chez HBGary, vend au gouvernement des USA un service équivalent (voir cet article du site Risky.biz pour plus de détails).
Nouvelles avancées en détection d'intrusions ?
Par : Ludovic Mé (Directeur de recherches Supelec/INRIA/CNRS)
L’orateur rappelle tout d’abord les principes généraux de la détection d’intrusions, en abordant en particulier :
- les 2 familles de solutions : d’une part l’analyse par scénarii d’attaques et la création de signatures de détection, et d’autre part l’analyse comportementale. Aujourd’hui la majorité des produits adoptent la première approche.
- les propriétés attendues d’un IDS : la fiabilité (pas de faux négatif) et la pertinence (pas de faux positifs).
Il constate ensuite la difficulté à obtenir de bons résultats avec les IDS actuels. Cet "échec" est dû en particulier à un phénomène statistique, connu sous le nom de « base-ref fallacy », qui fait qu’un IDS ayant un taux de détection d’attaque théorique de 90% pourra, dans la pratique, générer 92% de fausses alarmes.
Pour améliorer les IDS deux approches sont possibles :
- retraiter les alarmes générées pour éliminer celles qui ont été émises à tort. La technique ici s’appuie essentiellement sur de la corrélation : l’arrivée concomitante de plusieurs alarmes permet de confirmer la réalité de la menace.
- générer de meilleures alarmes.
Pour cette dernière approche, l’orateur expose une liste d’idées puis analyse plus en détail deux d’entre elles :
- Prendre en compte la politique de sécurité de l’entreprise. La plupart des IDS aujourd’hui font de la détection « dans l’absolu », sans rien savoir de la politique de sécurité de l’entreprise. S’appuyer sur une modélisation de la politique de sécurité permettrait de renforcer considérablement la performance des IDS. L’orateur donne en exemple pour cette catégorie le projet www.blare-ids.org.
- S’inspirer des techniques de sûreté de fonctionnement. Par exemple un IDS pourrait utiliser le concept de "diversification fonctionnelle". Dans ce concept, plusieurs matériels indépendants exécutent la même tâche : si le résultat produit est différent sur l’un des matériels alors celui-ci est considéré comme fautif et une alarme est déclenchée. En appliquant ce modèle, on pourrait donc détecter les intrusions sur un site web en envoyant les requêtes utilisateurs en parallèle (et de façon redondante) sur plusieurs serveurs web indépendants ; si l’un des serveurs web a un comportement différent des autres, alors c’est qu’il a été compromis.
En conclusion, l’orateur donne une série de recommandations pour mettre au point de nouvelles approches de détection d’intrusions :
- Ne pas faire d’hypothèses (favoriser l’approche comportementale ?),
- Spécialiser et multiplier les détecteurs,
- Ne pas se limiter aux Network-IDS (et utiliser aussi les Host-IDS),
- Corréler en prenant en compte le contexte.
Et si la cryptographie s'arrêtait de fonctionner ...
Par : Jean-Jacques Quisquater (Cryptographe, professeur émérite à l'Université catholique de Louvain)
Jean-Jacques Quisquater est un expert en cryptographie mondialement reconnu. L’objet de sa présentation est de savoir si l’algorithme RSA a été cassé. Et à l’issue de son brillant exposé, on doit bien reconnaitre que le doute existe.
Tout d’abord, l’orateur rappelle que la robustesse de l’algorithme RSA (inventé en 1977) repose sur la difficulté de factoriser des grands nombres. Mais il existe plusieurs exemples dans l’histoire où des mathématiciens ont réussi à factoriser de très grands nombres (en 1643 Fermat a réussi à factoriser le nombre de Mersenne, à la fin du 19eme siècle plusieurs scientifiques ont réussi à factoriser le nombre de Jevons) sans que l’on sache la méthode qu’ils ont utilisée pour y parvenir. Il est donc possible qu’il existe des méthodes mathématiques oubliées (ou non encore découvertes) pour casser RSA. Si une telle méthode était découverte, elle aurait des conséquences catastrophiques car l’algorithme RSA est omni-présent dans les solutions de sécurité.
L’hypothèse qu’une méthode de cassage de RSA puisse exister est visiblement prise très au sérieux. Par exemple, le gouvernement américain a organisé en janvier 2013 un séminaire fermé intitulé « The end of RSA » (auquel a participé l’orateur, et dont les slides sont disponibles sur le site CATACRYPT 2013 ) ayant pour objet de fournir des recommandations au DoD pour se préparer à cette éventualité.
Recherche et Audits de sécurité en environnement industriel sensible
Par : Stéphane Duverger et Benoît Camredon (Airbus Group - Innovation Works)
Les orateurs présentent un retour d’expérience sur les audits intrusifs d’équipements avioniques.
Pour l’essentiel, la principale difficulté qu’ils ont rencontrée est l’exotisme du matériel audité :
- Connectique non standard,
- Protocoles propriétaires,
- Architectures et OS spécifiques.
Dans un tel contexte, un effort important est nécessaire pour comprendre le fonctionnement du matériel (une recherche Google a peu de chances d’apporter une réponse) et pour y retrouver des modèles connus et des pistes d’attaques.
Une autre difficulté est la faible disponibilité des équipements audités. Ceux-ci ne sont souvent disponibles que sur un banc de test, avec une planification stricte pour l’intervention des différents spécialistes. Enfin, ce banc de test propose souvent peu d’outils d’analyse adaptés aux besoins du pen-tester (traces d’exécutions), et il est donc souvent difficile de vérifier si l’attaque qui vient d’être testée a produit un résultat significatif.
Conclusion
Cette journée de conférence ouverte aux étudiants et industriels était une première pour l’INSA de Toulouse. Et c’est une première largement réussie lorsque l’on voit la qualité des présentations faites tout au long de la journée. En abordant à la fois des sujets de recherches et des sujets très techniques, elle a choisi un terrain idéal pour un partage d’idées entre les différentes communautés présentes : universitaires, étudiants et industriels.