Symposium sur la sécurité des technologies de l'information et des communications

...

Cette présentation aborde les résultats d'une étude comparative des contre-mesures intégrées dans certaines cartes à puce de type Java Card. Nous avons évalué différentes cartes en vérifiant leur résistance à l'attaque EMAN. Cette dernière porte sur une faiblesse d'un composant de la machine virtuelle : le firewall. Les hypothèses de cette attaque sont i) l'absence d'un vérificateur de byte-code à l'intérieur de la carte (ce qui est le cas dans la plupart des cartes évaluées) et ii) la carte autorise le chargement a posteriori de code et nous possédons les clés de chargement. Nous montrons que certaines cartes sont particulièrement sensibles à cette attaque.

La virtualisation fournit des possibilités prometteuses dans le cadre de l'analyse automatique de binaires.

Parmi ces possibilités, nous nous proposons ici d'en étudier une en particulier, le "data tainting", et d'en voir les différents aspects dans le cadre d'une mise en application concrète. Cette application aura pour but de capturer de manière générique les données déchiffrées des fichiers de configuration des malware.

Dans la suite de notre présentation de l'an dernier, nous travaillons sur le contournement automatique de techniques de protections logicielles. Nous nous concentrons particulièrement sur la problématique de l'obfuscation.

Jusqu'à présent, il était nécessaire de rechercher à la main les schémas utilisés par la protection afin de les annuler. Notre approche actuelle cherche à rendre ce travail fastidieux automatique, par une analyse de la sémantique du code binaire permettant d'en extraire une représentation minimale, ce qui revient à supprimer la couche d'obfuscation.

Nous montrerons les résultats obtenus sur quelques exemples, où nous verrons que les méthodes développées permettent parfois de contourner d'autres formes de protection comme les machines virtuelles logicielles.

Le projet WOMBAT est un projet de recherches collaboratif financé par la communauté Européenne. Il a pour but de comprendre les menaces existantes et émergentes qui menacent les utilisateurs Internet et la net-économie. L'approche menée par les partenaires inclut un effort important de collecte de données et des techniques sophistiquées d'analyse et de fouille des informations collectées. Dans cette présentation, nous présenterons une des sources de données développées dans le cadre de WOMBAT qui est fondée sur un déploiement mondial de pots de miel d'une nouvelle génération. Cette architecture, nommée SGNET, est la version améliorée du précédent système connu sous le nom de Leurré.com. Elle permet de continuer d'interagir avec les attaquants jusqu'au point où un malware est chargé sur la machine visée. Nous montrerons le type d'analyses faites sur ces données très riches (analyse structurelle et comportementale de code, enrichissement contextuelle, analyse temporelle et multidimensionnelle, etc.) ainsi que les principaux enseignements que nous pouvons déjà en tirer.

Un certain nombre d'initiatives internationales visent à promouvoir des plates-formes dites de confiance sur lesquelles un minimum de composants (processeur, chipset, moniteur de machines virtuelles) est maîtrisé, le reste des composants étant doté de privilèges réduits qui ne leur permettent pas d'effectuer des opérations critiques au plan de la sécurité. En particulier, les initiatives Intel TxT et AMD Presidio visent à exclure le BIOS de cet ensemble maîtrisé. C'est pourtant le BIOS qui fournit la routine de traitement de la SMI et les tables ACPI, des primitives en charge de la configuration et de l'alimentation de la plate-forme, auxquelles la zone maîtrisée doit faire confiance pour fonctionner. Dans cet article, nous étudions dans quelle mesure il est raisonnable de faire confiance à ces deux composants. Nous verrons en particulier que, malgré les mesures de protection mises en oeuvre, il est possible à un attaquant de leur ajouter des fonctions cachées, à des fins d'escalade de privilèges. La contribution principale de ce papier est de proposer un mécanisme novateur pour modifier la routine de traitement de la SMI, et de décrire comment implémenter des fonctions cachées intégrées dans une table ACPI dont l'exécution sera déclenchée par un stimulus externe (dans notre exemple, lorsque l'attaquant débranchera deux fois consécutivement le câble d'alimentation d'une machine portable).

Résumé : le bus PCI permet à tout périphérique d'effectuer des accès à la mémoire physique (accès « DMA »). Cet article a pour but d'illustrer le développement d'un proof-of-concept visant à compromettre le système d'exploitation d'une station de travail ou d'un portable par l'intermédiaire d'une carte PCI ou Cardbus; il présentera finalement les moyens de s'en protéger.

L'ISO 27001 est dans toutes les bouches. On ne trouve plus aujourd'hui de présentation sur la sécurité organisationnelle sans une évocation à la norme. Même le monde ITIL la mentionne systématiquement pour les aspects sécurité. Pourtant, on se pose souvent la question de la réelle utilité de cette norme, et de la charge de travail que représente son implémentation ainsi que son exploitation. On se pose même des questions sur sa réelle utilité en matière de sécurité des systèmes d'information. L'ISO 27001 est elle vraiment utile ? On commence aujourd'hui à disposer en France d'un recul suffisant pour répondre à ces questions. On voit notamment la norme faire entrer la sécurité dans la culture de l'entreprise, imposer la sécurité comme élément clé de la gouvernance, faciliter l'intégration des nombreux référentiels de sécurité que le RSSI se doit d'appliquer et améliorer le dialogue entre les différentes populations de l'entreprise.

Les standards de fiabilité et de sécurité en matière de communication nécessitent de faire appel à des nouvelles techniques de test automatisé. Le Fuzzing est une méthode de test « négative ». Il s'agit d'alimenter un programme, un matériel ou un système avec des données d'entrées malformées ou inattendues pour provoquer des défauts critiques, des crash… Les tests envoyés sur les interfaces externes peuvent contenir des données incorrectes, des erreurs de syntaxe, mais aussi des séquences de messages incorrectes. Dans cette présentation je parlerais des derniers progrès des fuzzers « model-based », en particulier concernant le fuzzing de XML. XML est aujourd'hui omniprésent, aussi bien dans les applications Web que dans des systèmes critiques SCADA et Télécom. Malheureusement, les recherches conduites au CodeLabs montrent que la complexité d'XML engendre de nombreuses erreurs…

Le fuzzing est devenu au cours de ces dernières années une des principales méthodes de recherche de vulnérabilités. Les fuzzers actuels reposent principalement sur la génération de données invalides à partir de modèles, qui nécessitent d'être réécrit pour chaque nouvelle cible. Nous détaillerons le fonctionnement de Fuzzgrind, un nouvel outil de fuzzing entièrement automatique, générant de nouvelles données de test à partir de l'exécution symbolique du programme cible sur une entrée donnée, dans le but de rechercher de nouvelles vulnérabilités.

Cet article propose d'exposer les problématiques de sécurité des différentes architectures de Convergence Fixe-Mobile. Il décrira les principales architectures possibles destinées à offrir la connectivité aux utilisateurs mobiles en détaillant les méchanismes de sécurité mis en jeu. Il s'efforcera d'adopter une approche didactique lors de la présentation des mécanismes de sécurité présents dans chacune des architectures de Convergence Fixe-Mobile.

Après une brève introduction aux réseaux cellulaires et les problématiques de sécurité intrinsèques à ces derniers, l'article présentera les principales options offertes aux opérateurs de téléphonie mobile (et aux nouveaux acteurs) pour déployer des architectures de Convergence Fixe-Mobile. Ces architectures sont pour la plupart normalisées par le 3rd Generation Partnership Project (3GPP) qui définit alors (entre autres) les mécanismes de sécurité mis en oeuvre dans ces réseaux.

Nous détaillerons dans un premier temps ces mécanismes de sécurité et le niveau de sécurité attendu de ces derniers. Pour ce faire, nous nous aiderons d'un exemple pratique d'une architecture de Convergence Fixe-Mobile, appelée Interworking Wireless Local Area Network (I-WLAN), normalisée par le 3GPP.

Enfin, nous aborderons les efforts réalisés dans notre entité pour évaluer la sécurité de ces nouvelles architectures aussi bien sur le plan fonctionnel qu'au niveau des implémentations logicielles. En particulier, nous détaillerons les outils de recherche de vulnérabilité par fuzzing qui ont été développés dans ce but ainsi que quelques résultats pratiques.

Connecté à Internet, branché sur les postes client de l'entreprise, équipé des technologies de communication sans fil, le smartphone est à la frontière entre téléphonie et informatique. Il est de ce fait un risque pour la sécurité du système d'information de l'entreprise et une cible de choix dans le cadre de l'espionnage industriel.

Pour faire face au piratage sur Internet de ses contenus, l'industrie de l' "entertainment" a promulgué un ensemble de mesures techniques de protection, plus connues sous le nom de DRM. Limitant l'accès des contenus dûment achetés, les DRM ont créé une énorme frustration chez les utilisateurs et sont devenus très controversés. Le traçage des traîtres fait partie des techniques alternatives moins intrusives en développement à l'heure actuelle. L'objectif est de s'attaquer à la source de la redistribution illégale en identifiant qui possédait à l'origine les contenus. La présentation a pour but de décrire le problème du traçage de traîtres, d'en établir un rapide historique (de Magaret Thatcher au disque Blu-Ray) et de décrire de manière simple les principes soutenant les solutions actuelles. Les ingrédients de base seront les suivants : une pincée de théorie des codes, un peu de statistique et beaucoup de tatouage numérique.

Face à la crise, l'intelligence économique est une stratégie à développer et la maîtrise de l'information une nécessité impérieuse. Alors que, contrairement aux idées reçues, le vol d'informations n'est pas reconnu par le code pénal français, il convient de comprendre comment le droit protège le patrimoine informationnel de l'entreprise. Or, sauf le cas particulier de certaines données (données à caractère personnel, données couvertes par le secret, …) pour lesquelles le législateur a organisé une protection légale, il incombe en définitive aux responsables de mettre en oeuvre au sein de l'entreprise des solutions, réponses contractuelles ou normatives, susceptibles de répondre efficacement à la problématique de la protection de l'information.

La sécurité informatique s'est généralisée comme activité commerciale avec l'interconnexion croissante des réseaux depuis une dizaine d'années, et les problèmes de sécurité qui en ont découlés.

Depuis 10 ans les failles et les produits sensés nous en protéger se sont multipliés. Toutefois l'expérience du test d'intrusion (illustrée de cas réels) démontre qu'aucun réseau ne résiste bien longtemps à des attaques pourtant relativement simples et documentées.

Face à ce constat, ma présentation comporte deux volets complémentaires:

• Quelles sont les fausses idées, qui conduisent à adopter des schémas de protection inefficaces et coûteux, et d'où viennent-elles.
• Comment mettre en place de la sécurité efficace, gratuitement.

Le tout dans un contexte de réseau bureautique d'entreprise sous Windows

Cet article est consacré à la protection de la sécurité d'un noyau de système d'exploitation. Nous proposons une caractérisation des actions malveillantes pouvant corrompre ce noyau, basée sur la façon dont elles accèdent au noyau tout d'abord et dont elles corrompent l'espace d'adressage ensuite. Puis nous discutons des mesures de sécurité permettant de contrer de telles attaques. Enfin, nous exposons notre approche basée sur un hyperviseur matériel, qui est partiellement ilmplémenté dans notre démonstrateur Hytux. Celui-ci est inspiré de bluepill, un malware qui s'installe en tant qu'hyperviseur léger -- sur un CPU possédant le technique de virtualisation matérielle -- et installe un système opératoire Microsoft Windows dans une machine virtuelle. À la différence de bluepill, Hytux est un hyperviseur léger qui implémente des mécanismes de protection dans un mode plus privilégié que le noyau Linux.

Projet SEC&SI

Rump sessions

Les failles XSS, vulnérabilités du pauvre il y a encore quelques années, se sont hissées aujourd'hui au rang des vulnérabilités les plus critiques en informatique. L'objectif de cette présentation est de montrer comment et pourquoi le XSS, bien loin du simple vol de session ou du phishing, peut aujourd'hui s'appuyer sur de vastes réseaux sociaux comme Facebook ou MySpace pour déclencher de très puissantes attaques comparables à celles des botnets ou des virus les plus redoutables. Des vers XSS aux XSSbotnets, petite revue de l'utilisation possible du XSS dans la guerre électronique, et contre-mesures.

Les gens ont maintenant bien intégré les risques liés aux documents MS Office, qu'ils viennent des macros ou des failles associées. Par opposition, les documents PDF semblent bien plus sûrs et fiables. Ce (faux) sentiment de sécurité provient essentiellement de ce que les documents PDF apparaissent statiques. Cela est également sans doute dû à l'utilisation massive d'Acrobat Reader, au détriment de logiciels permettant la manipulation des fichiers PDF. En conséquence, les fichiers PDF sont perçus comme des images plutôt que documents actifs. Et comme chacun le sait, une image n'est pas dangereuse, donc un PDF non plus.

Mais est-ce bien le cas ... ?

Soixante-dix pour cent des attaques viennent de l'intérieur de l'entreprise. L'affaire Kerviel en a fait une démonstration flagrante. Les projets JavaEEs sont très présents dans les entreprises. On peut même avancer que toutes les grandes entreprises ont au moins une application JavaEE. Par manque de temps, de compétences disponibles ou par excès de confiance, il n'est généralement fait aucun audit pour vérifier qu'un développeur malveillant ou qui subit des pressions n'a pas laissé une porte dérobée invisible dans le code. Dans son article, Philippe Prados propose de se mettre à la place d'un développeur Java pour étudier les différentes techniques permettant d'ajouter une porte dérobée à une application JavaEE, sans que cela soit visible par les autres développeurs du projet. Nous avons développé une archive Java qui permet, par sa simple présence dans un projet, d'ouvrir toutes les portes du serveur. Nous étudierons alors les risques et proposerons différentes solutions et outils pour interdire et détecter ce type de code.

Il existe aujourd'hui pléthore d'outils d'identification de piles TCP/IP qui permettent d'identifier relativement aisément le système d'exploitation des cibles pressenties. Le but de cet article est de montrer que la dissimulation et la mystification d'empreinte sont possible uniformément face aux différents outils de prise d'empreinte connus.

A titre pédagogique et comme preuve de concept, nous présentons la réalisation d'IpMorph, un outil logiciel de contre-reconnaissance sous la forme d'une pile TCP/IP en mode utilisateur qui assure le suivi de session et la réécriture des paquets à la volée. Nous détaillons son fonctionnement et son usage face à des outils tels que Nmap, Ring et SinFP.

Module noyau Linux développé pour faciliter l'analyse de binaires protégés contre l'analyse statique et dynamique.

Ce module reprend les principes de rootkit pour intercepter l'interruption 0x80 (appels systèmes) et la table des appels systèmes. Ainsi il peut suivre tous les appels systèmes effectués par un programme.

Les autres fonctionnalités lui permettent également de récupérer le contenu de la mémoire virtuelle d'un programme à un moment choisi, insérer des "points d'arrêts" pour afficher le contenu des registres à certaines adresse et également de contourner de manière basique le test anti-analyse consistant à faire un appel à ptrace pour vérifier la présence d'un debugger.

Afin de répondre aux besoins croissants des applications graphiques, les cartes graphiques connaissent une impressionnante augmentation de leur puissance de calcul. Une tendance récente appelée GPGPU (General-Purpose computation on Graphics Processing Units) consiste à détourner cette puissance afin de réaliser des calculs indépendamment de toute problématique d'affichage. Dans cet exposé, nous nous intéresserons aux applications possibles de cette technique aux algorithmes utilisés en cryptographie. Parallèlement, l'introduction de telles cartes graphiques dans un ordinateur modifie profondément la nature de son architecture interne et est susceptible d'introduire de nouvelles vulnérabilités que nous aborderons également.

L'objectif de cette présentation est de démontrer que les claviers actuels génèrent des rayonnements électromagnétiques, susceptibles de réveler, à distance, les touches frappées par son utilisateur.

Ce type de risque a deja été identifié dans les années 60, souvent sous le nom de TEMPEST, la norme définie par la NSA pour la protection des équipements de communication:. Cependant, il s'agissait de claviers utilisant une tension et un courant bien plus forts que ceux utilisés actuellement. De plus, il n'existe aucune expérience publique permettant de déterminer l'efficacité ainsi que la portée de ces attaques.

Suite à l'évolution technologique et la miniaturisation des circuits, ces rayonnements électromagnétiques ont été considérés comme trop faibles pour être dangereux (notamment par plusieurs agences gouvernementales étrangères).

Cette présentation démontre la faisabilité de ce type d'attaques et confirme leur existance sur les claviers modernes. Nous allons présenter quatre différentes attaques ainsi que leur implémentation pratique, qui permet de recouvrer 95% des touches frappées et ce jusqu'à une distance de 20 mètres.

Nous montrerons également comment identifier les frappes de différents claviers lors d'émissions simultanées.

"Si les citoyens ne défendent pas la cité, qui la défendra?" : le maillon fort de la protection de systèmes d'information n'est jamais la technique mais l'humain dont l'organisation.

Cette citation trafiquée de Thucydide veut indiquer ici que l'informatique et les télécommunications ne sont que des outils et qu'il nous faut rappeler que les hommes font partie des systèmes d'information.

L'outil une prolongation du système nerveux pour réaliser la partie répétitive du travail (recherche, rédaction, gestion, contrôles, diffusion). Comme avec un marteau, il est possible de se taper sur les doigts voir de mal tenir ou de mal construire son maillet. Mais la vulnérabilité principale des SI reste l'intoxication par la désinformation: diffuser des manuels incomplets ou délibérément faux est très délicat, mais des mécanismes de ce type sont-ils possibles ?

Plus généralement sont examinées la nature des menaces sur les SI liées aux personnes, la nature des facteurs de résistance des SI liés aux personnes et la mise en œuvre de mesures de protections liées aux personnes et leurs limites.

"L'épaisseur d'une muraille compte moins que la volonté de la franchir." Thucydide.

"La cité qui garde ses hommes possède le plus sûr rempart" Eschyle Perses 348,349.