SSTIC 2008 : le rendez-vous francophone de la sécurité

Par Sylvain SARMEJEANNE, vendredi 6 juin 2008 à 09:49 :: General :: #240 :: rss

Depuis mercredi se déroule à Rennes la 6ème édition du Symposium sur la Sécurité des Technologies de l'Information et de la Communication (SSTIC), rendez-vous français incontournable sur toutes les thématiques liées à la sécurité (techniques, juridiques, etc). Voici un rapide résumé de la première journée de conférences.

Sécurité : anatomie d'un désastre annoncé

Conférence présentée par Marcus RANUM (Tenable Security). Une présentation assez pessimiste (mais réaliste ?) sur la manière dont les entreprises gèrent, ou plus précisément ne gèrent pas la sécurité. Le fait de mentionner un problème de sécurité est souvent considéré comme négatif par la hiérarchie, et les personnes travaillant dans la sécurité "préférant avoir un travail plutôt qu'avoir raison", ses impacts ne seront pas considérés comme ils devraient l'être. Quant à la gestion des risques, elle se résume souvent à "la multiplication d'un facteur approximatif par un coefficient farfelu". Il vaut mieux en rire...

Exploitation des failles humaines par les prédateurs informationnels

Conférence présentée par Michel IWOCHEWITSCH (Strateco), sur l'exploitation des failles dans un système d'exploitation un peu particulier : le cerveau humain (alias "tests d'intrusion humains"). En sécurité informatique, on a l'habitude de parler de "social engineering" pour désigner les méthodes humaines pour arriver à ses fins (récupération d'information, incitation à réaliser une action, etc). Il ne s'agit en fait que d'une partie de l'iceberg des "prédateurs". Ceux-ci exploitent des failles opérationnelles, humaines, physiques, ou techniques et adaptent leur méthodologie en fonction du profil la victime (extravertie, en conflit avec son entreprise, etc) et du contexte (situation de stress, etc) pour arriver à faire parler ou persuader la cible. On comprend qu'il est difficile de se protéger contre ce type d'attaques.

Activation des cartes à puce sans contact à l'insu du porteur

Conférence proposée par Gemalto. Les périphériques sans contact sont désormais entrés dans notre quotidien, en particulier avec les titres de transport (exemple du Pass Navigo pour les plus Parisiens d'entre vous). Après avoir rappelé la structure électronique d'une carte à puce sans contact, les attaques sont présentées : passives (écoute, tracking d'une personne, etc) et actives (envoi de commandes, perturbation physique du composant, etc). La distance d'attaque, en utilisant un matériel non standard, peut atteindre de l'ordre de 50 cm (au-delà, gagner quelques centimètres de plus devient très vite rédhibitoire). A moins bien sûr de mener une attaque par relais. Des solutions existent (étui en métal ou bouton d'activation sur la carte par exemple). On peut aussi envisager des capteurs vérifiant que l'environnement (luminosité, température, etc) du lecteur et de la carte sont bien identiques. Des composants sans contact commencent à être déployés sur les téléphone portables, avec la technologie NFC (Near Field Communication), principalement pour des applications de paiement. Des attaques contre NFC ont d'ailleurs été présentées à EuSecWest 2008.

L'expertise judiciaire des téléphones mobiles

Conférence présentée par David Naccache (ENS Ulm). Après avoir rappelé les parts de marché des différents constructeurs de portables, les données qu'il est possible de retrouver sont listées (IMEI, IMSI, SMS, dernière borne connectée, etc). Le PIN est nécessaire pour retrouver les informations de la carte SIM ; solution simple : le demander au propriétaire... Il est aussi bien sûr possible de passer par le code PUK. Ensuite, des méthodes de "piratage légal" (sic) sont présentées, comme la mise en place d'un mouchard sous la batterie, l'injection de fautes (pour contourner le code PIN) et l'installation d'une appliquette Java hostile. La deuxième partie de la conférence est un peu particulière puisque la technique de "machine telepathy" a été présentée, consistant à échanger de l'information via l'activité du processeur et donc de sa température et de la vitesse de rotation du ventilateur. La conférence se termine par un mouchard à coller derrière un PC avec de la Patafix...

Outils d'intrusion automatisée : risques et protections

Conférence présentée par Mathieu Blanc (CEA). Les frameworks d'exploitation Metasploit, CORE IMPACT et Immunity CANVAS sont présentés. La conférence s'attache aux moyens permettant de détecter l'exploitation d'une machine par ces outils, plus particulièrement l'installation d'un agent. Comme l'upload de celui-ci n'est chiffré par aucun de ces outils, il est possible d'écrire des règles Snort/Snort-Inline en se basant sur des constantes contenues dans les paquets. La détection est aussi possible au niveau de l'hôte lui-même, en passant par des outils d'API hooking comme Detours sur Windows ou par exemple systemtap sur Linux.

Bogues ou piégeages des processeurs: quelles conséquences sur la sécurité

Conférence présentée par Loïc DUFLOT (DCSSI). Certainement une des conférences les plus originales de la journée. Sachant que des bogues existent au niveau des processeurs (on se rappelle du message de Theo de Radt à propos du Core 2 d'Intel), la conférence part de l'hypothèse d'un processeur piégé (contenant une backdoor aux niveau du traitement de certaines opcodes) et étudie les moyens de l'exploiter. L'activation de la backdoor consiste à placer le processeur dans un certain état via ses registres puis à appeler une opcode piégée (l'exemple donné était l'instruction salc, non documentée), pour par exemple exécuter du code arbitraire en Ring 0. Des exemples sont donnés concernant une élévation simple de Ring 3 à Ring 0. Dans le cas où un moniteur de machine virtuelle comme XEN est présent, l'exploitation est plus complexe.

Autopsie et observations in vivo d’un banker

Conférence présentée par Frédéric Charpentier et Yannick Hamon (XMCO). Est présentée ici une étude du troyen bancaire Torpig. Sont présentées l'architecture en termes de serveurs, puis les techniques utilisées pour la résilience (FQDN généré en fonction de la date, fast flux).

GenDbg : un débogueur générique

Conférence présentée par une équipe du CELAR. GenDBG est un projet interne de débogueur générique, c'est-à-dire non lié à l'architecture ou à l'OS (contrairement à RR0D par exemple, qui reste spécifique à x86). Son architecture est très modulaire, et permet par exemple de poser des points d'arrêts dans une machine virtuelle type Java ou .NET, avec une interface à la SoftICE. Une démonstration est donnée sur la machine virtuelle Visual Basic et son fameux P-Code.