Comme chaque année, le célèbre Symposium sur la Sécurité des Technologies de l’Information et des Communications (SSTIC) se déroule à Rennes ! Intrinsec assiste à ces conférences et vous propose un résumé de chaque journée.
20 Years of PaX
Conférencier: PaX Team (Pipacs)
Pour fêter les 20 ans du patch kernel PaX, Pipacs nous propose ici de revoir les différentes fonctionnalités proposées par sa solution.
Afin de limiter l’impact des vulnérabilités induites par des erreurs de développement ou de conception, le patch renforce l’environnement d’exécution: pages mémoires noyau non exécutables et en lecture seule, séparation des plages mémoires Userland et Kernelland, nettoyage de la mémoire après libération…
Pipacs rappelle également l’existence de différents plugins GCC permettant de renforcer automatiquement la sécurité à la compilation: détection des overflow sur les allocations, « constification » automatique des structures …
Enfin, Pipacs passe en revue des améliorations futures de PaX, notamment l’amélioration et l’ajout de plugins GCC, mais également le développement de mécanismes de protection dédiés aux hyperviseurs.
Slides: à venir
SSL / TLS Etat des lieux des recommandations
Conférencier: Olivier Levillain (ANSSI)
Après des rapides rappels historiques sur SSL et TLS, Olivier Levillain passe en revue les failles connues sur les différentes versions de SSL et TLS, puis enchaine sur des rappels sur le fonctionnement des protocoles.
Olivier aborde ensuite les problématiques de configuration des serveurs principalement en ce qui concerne les suites cryptographiques autorisées et rappelle que la configuration centralisée de Microsoft Windows (via la base de registre) peut entrainer des dysfonctionnements en cas de renforcement trop important (limitation importante des suites cryptographiques).
Pour conclure, le conférencier précise que ces protocoles sont fiables et éprouvés, mais qu’il est possible d’assurer au mieux la confidentialité et l’intégrité des échanges uniquement si le client et le serveur sont maitrisés.
Slides: à venir
NetZob un outil pour la rétroconception de protocoles de communication
Conférenciers: Frédéric Guihery / Georges Bossert / Guillaume Hiet
Après quelques rappels sur l’utilité (et la difficulté) de la rétroconception de protocoles réseau qui a mené à la conception de cet outil, l’équipe présente le modèle utilisé pour définir un protocole de communication: un vocabulaire et une grammaire.
En s’appuyant sur un algorithme L*, l’outil est en mesure de découper de manière semi-automatique les différents champs des messages du protocole puis en effectuant une série de tests l’outil reconstitue les différents graphes de fonctionnement du protocole.
Les démonstrations de fonctionnement de Netzob sont impressionantes, mais montrent une grande complexité d’utilisation. Le développement d’un tel outil reste néanmoins une belle performance et mérite que la communauté s’y intéresse.
Sécurité de RDP
Conférenciers: Arnaud Ebalard / Aurélien Bordes / Raphaël Rigo (ANSSI)
Conférence très intéressante sur le Remote Desktop Protocole de Microsoft qui insiste sur le grand nombre de fonctionnalités proposées et l’extrême complexité de la solution.
Les conférenciers présentent les différentes faiblesses du protocole (clés de chiffrement faibles, pas d’authentification du serveur, …) puis présentent les améliorations proposées dans les dernières versions, notamment l’implémentation de NLA (Network Level Authentication) permettant l’authentification du serveur et la remontée d’erreurs en cas d’interception uniquement si le client est correctement configuré.
La conclusion de la présentation est sans équivoque: il est fortement conseillé de restreindre les accès aux RDP aux seuls administrateurs et d’utiliser la segmentation réseau pour limiter les risques d’interception des flux.
Slides: à venir
WinRT
Conférenciers: Kévin Skudlapski / Sébastien Renaud (ANSSI)
Slides: à venir
L’information, capital immatériel de l’entreprise
Conférencier: Garance Mathias
Via cette conférence, l’avocate propose de balayer les aspects du droit traitant du patrimoine informationnel de l’entreprise.
La conférence, assez décevante sur le fond et la forme, peut-être à cause d’un manque d’interactions avec le public et de cas concrets, a toutefois permis de rappeler la présence d’un grand vide juridique concernant la protection des biens immatériels de l’entreprise.
Slides: à venir
Audit des permissions en environnement Active Directory
Conférencier: Géraud de Drouas / Pierre Capillon (ANSSI)
L’ANSSI présente ici une méthodologie intéressante d’audit des permissions en réalisant l’extraction des informations présentes dans le fichier « ntds.dit » d’un contrôleur de domaine.
En utilisant un outil (non publié, mais fourni sur demande) développé en interne, les conférenciers expliquent qu’il est possible d’éliminer les très nombreuses permissions légitimes pour se concentrer sur un extrait de permissions abusives à vérifier manuellement.
Pour conclure, les conférenciers rappellent que les audits de permissions doivent être effectués de manière périodique afin de détecter au plus tôt les possibilités d’accès abusives aux objets du domaine.
Slides: à venir
Windows 8 et la sécurité: aperçu des nouvelles fonctionnalités
Conférencier: Bernard Ourghanlian (Microsoft)
Microsoft nous présente ici les différentes fonctions de sécurité implémentées sur Windows 8.
Il est principalement question de s’appuyer sur le matériel en utilisant l’UEFI et le Trusted Platform Module (TPM) afin de permettre l’analyse de malwares lors du boot, le contrôle des éléments de boot (UEFI, os loader…) et de faciliter le déploiement du chiffrement Bitlocker en entreprise.
Il est toutefois intéressant de mettre en perspective cette présentation avec celle de Jonathan Brossard lors de la conférence Hackito Ergo Sum qui traitait alors du risque important de positionnement de backdoors matérielles par les constructeurs.
Slides: à venir
10 ans de SSTIC
Conférenciers: Fred Raynal / Nicolas Fischbach / Philippe Biondi
Au travers de cette conférence, l’équipe fondatrice du SSTIC revient sur les bons moments et les tensions des premières années de l’évènement qui fête cette année ses 10 ans.
Conférence très agréable pour clôturer cette première journée, l’occasion d’analyser l’évolution du SSTIC depuis 10 ans, et de lancer quelques réflexions sur le futur du marché de la sécurité des systèmes d’informations en France.
Slides: à venir
