SSTIC 2008 : suite et fin !
Par Fabien PERIGAUD, lundi 9 juin 2008 à 14:42 :: General :: #242 :: rss
Après un Social Event sympathique jeudi soir (n'ayant pas entravé notre faculté à suivre les conférences contrairement à certaines suppositions 
), voici donc un résumé de la dernière journée du symposium.
Une architecture de bureaux graphiques distants sécurisée et distribuée
Conférence de Jonathan ROUZAUD-CORNABAS (LIFO), décrivant une architecture de bureaux distants sécurisée (authentification forte, SSH, NX et virtualisation) et offrant une grande disponibilité.
Walk on the wide side
Une présentation fonctionnelle du botnet Storm par Guillaume ARCAS, après plusieurs mois de surveillance et l'analyse de 6 Go de traces réseau. L'architecture du ver y est présentée, avec son canal de contrôle en peer-to-peer, sa diffusion par le biais de sites web simplistes et ses fonctionnalités multiples de spam, DDoS et hébergement.
SinFP, unification de la prise d'empreinte active et passive des systèmes d'exploitation
Présentation de l'outil de prise d'empreinte SinFP par Patrice AUFFRET. Après une introduction sur la prise d'empreinte à distance, les différents outils "actifs" sont présentés. S'en suit une explication du fonctionnement de SinFP, pouvant fonctionner pour sa part soit en mode actif, en envoyant trois paquets TCP vers un port ouvert et en interprétant les réponses, soit en mode passif, en traitant des paquets déjà capturés.
Recueil et analyse de la preuve numérique dans le cadre d'une enquête pénale
Présentation de l'IRCGN par Nicolas DUVINAGE, son directeur. Les affaires traitées sont dans 90% des cas des analyses de courriels ou conversations MSN sur des postes Windows. Les preuves numériques peuvent être divisées en trois catégories d'affaires : celles pour lesquelles l'informatique est utilisée en tant qu'outil (aboutissant généralement à l'analyse de courriels, de conversations ou de SMS), celles pour lesquelles l'informatique est un support (par exemple, dans le cas de diffusion d'images pédopornographiques) et enfin celles pour lesquelles l'informatique est l'objet du délit (piratage d'un système d'information). Lors d'une perquisition, tout élément susceptible de contenir des données doit être saisi, que ce soit des cadres photo numériques ou la carte micro-SD du téléphone portable du suspect. Il est d'ailleurs inutile de demander à voir un mandat de perquisition, celui-ci n'existant pas en France S'en suivaient des recommandations quant à la conduite à tenir en cas de soupçons pesant sur une personne, en particulier concernant la présomption d'innocence. La conférence s'est terminée en présentant les problèmes rencontrés par les forces de l'ordre, tant techniques (transporter un PC sans l'éteindre ...) qu'organisationnels (savoir retranscrire les conclusions de l'enquête à un juge et un jury).
Voyage au coeur de la mémoire
Damien AUMAITRE a présenté ici quelques outils de manipulation de la mémoire physique dans une optique offensive ou de forensics. Après quelques explications concernant la reconstruction de la mémoire virtuelle à partir de la mémoire physique, plusieurs méthodes d'accès à la mémoire physique ont été présentées, ainsi que des outils permettant la manipulation directe de la mémoire à travers un explorateur de processus et de base de registre. L'auteur a d'ailleurs effectué une démonstration des possibilités de ces outils, en lecture, en écriture (par la modification en mémoire de deux octets, permettant de se loguer sur le système sans aucun mot de passe, en manipulant directement la mémoire d'une machine virtuelle VMWare) et en exécution (en exécutant un cmd.exe avec les droits SYSTEM dans la fenêtre de login de Windows, permettant ensuite de lancer un explorer, le tout par le biais du port firewire de la machine).
Recherche et développement en sécurité des systèmes d'information : orientations et enjeux
Conférence animée par Florent CHABAUD de la DCSSI, visant à expliquer pourquoi la culture de la sécurité est si peu présente chez nos politiciens, alors que nous disposons d'excellentes connaissances dans les domaines de la cryptographies et des méthodes formelles en France. Un exemple a été donné concernant un projet d'utilisation de certaines clés DSA, ayant pris 5 années à se mettre en place.
Dynamic Malware Analysis for dummies
Talk de Philippe LAGADEC concernant l'étude de malware lorsque l'on ne dispose pas de connaissances pointues en assembleur. L'étude peut être effectuée en deux partie, statique (en ne faisant qu'observer le binaire à la loupe) puis dynamique. Le principe de cette dernière repose sur un ensemble de deux machines (virtuelles ou non), l'une représentant un poste lambda (i.e. avec des logiciels ne disposant pas des derniers correctifs de sécurité) et la seconde des services Internet classiques (en émulant DNS, HTTP, FTP, IRC, etc), reliées entre elles directement. Au bout d'un certain temps, les clés de registre et le système de fichier de la machine client sont comparés à une machine témoin, afin de déterminer quelle a été l'activité du malware. A noter que l'analyse automatique de malware sera bientôt disponible pour les abonnés de la 
veille technologique Lexsi.
Ainsi s'est terminée cette 7e édition du SSTIC. Même si certains trouvent que c'était mieux avant, ces trois jours d'immersion dans le petit monde de la sécurité française ont été particulièrement enrichissants. Prochain rendez-vous : juin 2009 !