Compte-rendu de la conférence JSSI 2014
Date : 06 Mars 2014
La 13ème édition de la conférence JSSI (Journée de la Sécurité des Systèmes d'Information), organisée par l’OSSIR (Observatoire de la Sécurité des Systèmes d'Information), s’est déroulée à Paris le 17 mars 2014. Comme les années précédentes, elle a réuni une centaine de participants. Nous faisons ici un compte-rendu des différentes présentations. Le programme complet et les présentations sont disponibles sur le site de la conférence.
Cette année, le thème de la conférence était « Est-il encore possible de se protéger ? », et les sujets présentés étaient presque tous techniques.
Advanced Protection Techniques ou comment utiliser des APT contre les APT (Intrinsec)
Les orateurs rappellent tout d'abord des chiffres extraits d'une étude de la société Mandiant :
- 63 % des intrusions sont détectées par des organismes tiers (et non par l'entreprise victime elle-même),
- 243 jours s’écoulent en moyenne avant qu’une compromission réussie ne soit découverte.
Face à ce constat, il apparaît nécessaire d’améliorer la surveillance au sein de l'entreprise afin de détecter les attaques le plus tôt possible. Les orateurs présentent deux exemples de surveillance permettant de détecter des attaques types :
- Utiliser un SIEM et la corrélation d'événements pour détecter une attaque web.
- Utiliser un "HoneyFile" pour détecter les malwares (tels que CryptoLocker) qui chiffrent les fichiers sur un poste de travail.
SIEM et corrélation d'événements :
Dans ce 1er scénario, les orateurs montrent qu'une attaque web déclenche une suite d'événements facilement observables par un SIEM :
- Reconnaissance : le scan de vulnérabilités lancé par l’attaquant va déclencher toute une série d’alertes de sécurité.
- Compromission : le pirate dépose et utilise un web shell. Cette page inhabituelle accédée de façon répétée va générer une alerte (comportement atypique).
- Exfiltration : le dump par le pirate de la base de données du site web va générer une activité CPU élevée qui générera une alerte.
Si l'on dispose d'un SIEM capable de corréler ces événements (ce qui suppose qu’il connait les scénarios d’attaques), alors la succession des alarmes va permettre de diagnostiquer avec fiabilité l’attaque en cours.
HoneyFile :
Les orateurs ont développé un prototype qui permet de détecter sur Windows les processus qui parcourent l’arborescence et altèrent les fichiers du poste. Le principe est de déposer des fichiers leurres dans l’arborescence, et de surveiller les processus qui tentent de modifier ces fichiers. Cette méthode est cependant très spécifique à un type de menace et nécessite de déployer l’agent de surveillance sur tous les postes de l’entreprise (ou à certains endroits stratégiques comme sur les serveurs de fichiers).
Les éléments présentés dans ces 2 exemples sont intéressants, mais semblent difficiles à généraliser. S’il est vrai que, comme le disent les orateurs en conclusion, la priorité doit être mise sur l’amélioration de la détection et sur les procédures de réaction, la mise en pratique est ici non triviale…
La sécurité de TLS, un vœu pieu ? (HSC)
Cette présentation examine en détail les difficultés qu’il y a pour mettre en œuvre de façon sûre le protocole SSL/TLS. Au-delà des failles découvertes, comme les récents « GotoFail » d’Apple (CVE-2014-1266) et le « Bool is not int » de GnuTLS (CVE-2014-0092), ou les révélations Snowden à propos de la NSA (vol de clés privées, attaques MiTM, etc.), l’orateur montre qu’une mise en œuvre correcte repose sur une suite d’étapes, depuis la conception des algorithmes jusqu’à la mise en œuvre dans un contexte opérationnel, et que ce chemin est jonché d’embûches. En fait, la sécurité est plutôt bonne au départ (les algorithmes conçus sont sûrs au départ), mais elle se dégrade d’étape en étape. Par exemple, la phase « intégration dans les applications » est souvent catastrophique car les programmeurs manquent d’API bien faites. De même, à l’étape finale de la mise en œuvre opérationnelle, on bute sur le manque de fiabilité de certaines autorités de certification (comme Diginotar et Comodo).
L’orateur recommande de désactiver impérativement SSL v2 (et antérieures), et de poursuivre la migration vers TLS 1.2 (en attendant TLS 1.3 qui est en préparation). Il conseille aussi aux personnes intéressées par le sujet de lire les No 71 (pour la description des attaques) et No 72 (pour les conseils de configuration des serveurs) de la revue MISC-magazine.
Est-il possible de sécuriser un domaine Windows ? (Solucom)
En faisant référence au titre de leur présentation, les orateurs répondent : « Non, il n’est pas possible de sécuriser un domaine Windows ». Le défaut principal est que si un administrateur se connecte sur un poste de travail qui a été compromis par un pirate, alors se dernier pourra voler ses credentials (en utilisant un outil comme Mimikatz) et les réutiliser. Ce constat oblige alors à adopter des stratégies qui limitent l’impact de ce type d’attaques :
- Segmenter les réseaux pour limiter la portée d’une compromission.
- Segmenter les comptes d’administrations (en créer N plutôt que de concentrer tous les pouvoirs sur un seul compte) en séparant par exemple : administrateurs de domaine, administrateurs des serveurs de fichiers, administrateurs « users-zoneA », etc..
- Ne pas utiliser, pour les comptes d’administration locaux, le même mot de passe sur tous les postes de l’entreprise.
- Equiper les administrateurs de 2 postes de travail : un pour leurs activités ordinaires, et un second réservé exclusivement aux tâches d’administration. Si cela n’est pas possible, utiliser un mécanisme de « bastion » : l’administrateur ne peut pas administrer directement les machines depuis son poste de travail. Il doit se connecter sur une machine bastion qui lui permet alors d’acquérir le privilège d’administration nécessaire pour sa tâche et de se connecter alors sur les postes administrés. L’accès à la machine bastion peut aussi être renforcé avec des mécanismes d’authentification spécifiques (par exemple une calculette d’authentification) tout en gardant une authentification Windows standard sur le reste du parc.
La gestion des comptes à privilèges est donc aujourd’hui un élément clé pour la sécurité d’un domaine Windows.
Droit international des TIC (Bensoussan Avocats)
Eric Barbry analyse dans cette présentation, s’il est possible pour une entreprise de se protéger juridiquement dans un contexte international. Il indique tout d’abord que vouloir être en conformité avec la législation de tous les pays du monde est probablement impossible, et que surtout cela ne sert à rien. Il recommande donc de travailler d’abord au niveau national (être en conformité avec la loi de son pays) puis d’étendre progressivement aux autres pays, en s’appuyant impérativement sur des services juridiques des autres pays (le droit national est toujours trop complexe pour être maîtrisé par un étranger). De façon globale, tous les pays sont en accord sur les principes juridiques de base (par exemple sur ce qu’est une intrusion), mais il y a par contre des écarts importants entre pays sur :
- Certains domaines technologiques. Par exemple le droit sur des domaines tels que la cryptographie, la biométrie ou la valeur juridique de la signature électronique est très différent d’un pays à l’autre
- Certains principes de base. Par exemple, savoir qui, de l’état, la société ou l’individu prime en matière de droit est très différent d’un pays à l’autre.
Outils et techniques pour attaques ciblées (Synacktiv)
Dans cette présentation, l’orateur donne un retour d’expérience sur les audits « Red teams » qu’il a réalisés pour ses clients. Dans ce type d’audit, l’objectif qui lui est confié est d’entrer par tous les moyens possibles dans l’entreprise (mission de type « commando »). La mission peut s’étaler sur plusieurs mois, et les techniques utilisées (et les retours d’expérience) sont :
- L’attaque par mail piégé. Dans ce domaine, il est illusoire de penser qu’éduquer les utilisateurs pour détecter les mails malveillants soit la solution. En effet, pour certains métiers de l’entreprise, ouvrir les mails reçus de l’extérieur est une obligation (par exemple les RH, les services commerciaux et marketing, etc…) et il est donc impossible d’empêcher l’attaque. L’orateur conseille donc plutôt de travailler à renforcer la résistance du poste de travail aux attaques, par exemple en utilisant des solutions de type « application white-listing »
- L’attaque par ingénierie sociale. Le but ici est d’obtenir un compte ou un mot de passe en appelant au téléphone des collaborateurs de l’entreprise. Les cibles de choix sont les assistantes (qui ont de nombreux contacts), les nouveaux arrivants (plus faciles à manipuler) et les Help-Desk (qui ont l’habitude d’aider en cas de problème de mot de passe). Pour l’orateur, la meilleure défense ici est la sensibilisation.
- L’intrusion physique dans l’entreprise. Le but ici est de brancher un mini PC sur le réseau interne de l’entreprise (typiquement un ShivaPlug : un ordinateur de la taille d’une grosse prise électrique). L’orateur explique qu’il est difficile de lutter contre ce type d’attaques, car peu de personnes osent s’interposer face à quelqu’un qui marche de façon déterminée.
Implementation and Implications of a Stealth Hard-Drive Backdoor (Eurecom)
L’orateur présente un projet réalisé par Eurecom (centre de recherche et école d’ingénieurs) qui avait comme objectif de modifier le firmware d’un disque dur pour y placer une backdoor. La tâche a été difficile (probablement parce que la marque de disque dur choisie utilise un firmware complexe) mais le projet a réussi à développer un prototype (décrit dans cette publication). Des recherches similaires ont aussi été publiées par d’autres chercheurs (voir cet article de SpritesMods) et il a été révélé fin 2013 que la NSA disposait de ce type de backdoor depuis 2008 (cette backdoor a pour nom IrateMonk dans le catalogue ANT de la NSA).
La compromission matérielle est donc un risque réel et très difficile à détecter. L’orateur recommande donc de travailler à développer des outils pour détecter ce type d’attaques.
Nota : au cours des questions, l’orateur précise que ce type de compromission ne fonctionne pas sur les disques Raid-5 : si un seul des 3 disques est corrompu par une backdoor alors il sera détecté comme défectueux par le système Raid.
L'environnement radio, de plus en plus difficile à protéger (Oppida)
Cette présentation montre que par des moyens simples il est possible d’observer des signaux radios non protégés et de les décoder. Une clé USB « décodeur TNT » à 20 Euros et un logiciel SDR (Software Defined Radio) tel que GNUradio permettent par exemple de géo-localiser des avions ou de localiser les utilisateurs de téléphones portable (car beaucoup d’implémentation GSM laissent fuiter le IMSI attribué à chaque abonné mobile).
La sécurité : d'une contrainte à un levier business. Retour d'expérience (Orange)
Cette présentation prend comme support l’image du château fort pour montrer les erreurs que l’on peut faire en termes de sécurité au cours d’un projet. Il montre comment la sécurité doit être intégrée tout au long du cycle de développement d’une solution.
Conclusions
Entre les conférences très techniques (de type SSTIC) et celles plus commerciales ou stratégiques (de type FIC ou Assises), la conférence JSSI garde une place à part : on y parle technique en s’intéressant aux problèmes des entreprises. Les retours d’expérience qui y sont présentés sont à ce titre toujours très intéressants.