Introduction
Intrinsec était représentée par quatre de ses consultants à la Journée de la Sécurité des Systèmes d’Informations 2016 organisée par l’OSSIR (Observatoire de la Sécurité des Systèmes d’Information et des Réseaux). La conférence s’est déroulée le mardi 8 mars 2016 à la MAS (Paris 13ème).
Intrinsec remercie l’ensemble des organisateurs et intervenants, et vous présente ci-dessous un compte-rendu des présentations.
Une journée dans la vie de nos données personnelles – Damien DESFONTAINES
Slides non disponibles
Damien Desfontaines est ingénieur chez Google. Il travaille sur les problématiques liées à la protection des données personnelles, et plus spécifiquement sur celles liées à la géolocalisation.
Durant sa présentation, Damien nous a expliqué le processus interne de Google visant à protéger les données personnelles tout au long de leur cycle de vie. Cela commence dès la conception d’un nouveau service chez Google avec un document nommé « privacy design doc » qui est rédigé afin de vérifier que tous les détails techniques liés à la récolte de données sont conformes : quelles données, où et comment sont-elles stockées…
Les données récoltées par Google sont ensuite chiffrées et stockées dans les différents centres de données de l’entreprise. Pour accéder à ces données, les ingénieurs de chez Google doivent avoir l’autorisation du propriétaire (ex : appel d’un utilisateur au service client). La personne en charge du dossier obtient alors un jeton d’accès aux données personnelles valable pendant une certaine durée et sur un certain périmètre.
Si un utilisateur souhaite supprimer l’intégralité de ses données personnelles, celles-ci restent tout de même conservées pendant une durée de quelques semaines après la demande, dans le cas où l’utilisateur souhaiterait annuler la suppression.
Retour sur 10 ans d’audit sécurité – Renaud FEIL (Synacktiv) et Jérémy LEBOURDAIS (ON-X)
Renaud et Jérémy sont des consultants sécurité expérimentés. Ils se sont donc emparés du thème de cette JSSI pour revenir sur les plus de 10 ans d’évolution du milieu de la sécurité qu’ils ont pu connaître.
Ils ont remarqué l’évolution des attaques qui deviennent de plus en plus difficiles au fur et à mesure de la prise de conscience des éditeurs. En particulier Microsoft qui a dû gérer plusieurs vulnérabilités emblématiques, et reconnues par les auditeurs, comme MS03-026 (exploitée par le ver Blaster) ou bien MS08-067 (exploitée par le ver Conficker). Le reflet de cette évolution étant l’augmentation du rôle de l’équipe sécurité, MSRC, depuis une sous-division de la direction marketing de la branche serveurs, avec notamment le programme Microsoft Trustworthy Computing (secure by design, by default and in deployment, communication améliorée sur les vulnérabilités, fin d’IE 6, protections mémoire type ASLR/DEP/SafeSEH/SEHOP/etc.).
Des évolutions similaires sont observées chez Google (avec Chrome) et Apple (récent « succès » face au FBI exploité en argument marketing).
L’évolution de la sécurité passe par exemple par des configurations par défaut renforcées, la prise en compte dans les frameworks, la désactivation par les navigateurs des versions vulnérables des plugins, les mécanismes de distribution automatique de correctifs réguliers et les travaux de collectifs comme l’OWASP.
Malgré cela, des risques perdurent en particulier à cause de l’héritage historique : sur Windows ils remarquent qu’il est toujours aussi facile de compromettre un domaine, que les algorithmes faibles LM/NTLM sont toujours présents, que l’attaque Pass-the-Hash est toujours réalisable, tout cela mis en exergue par l’outil mimikatz, ainsi que des protocoles réseau exploitables (LLMNR/NBNS pour la récupération du WPAD, exploitable avec Responder). Les macros Office sont toujours aussi dangereuses comme le montrent les vagues actuelles de ransomwares.
Au niveau de la menace, ils observent une augmentation des attaques via des compromissions de tiers (ex : Target, XCodeGhost, via les prestataires cloud et une isolation parfois poreuse, ainsi qu’en exploitant des failles de bibliothèques tierces toujours plus utilisées, ou en piégeant directement le code source comme celui de la distribution Linux Mint), ainsi que des attaques étatiques en citant Hacking Team ou Zerodium.
Retour d’expérience sur la lutte contre le cyber-espionnage (étatique) – Laurent OUDOT (Tehtri-Security)
À travers plusieurs exemples concrets, Laurent Oudot revient sur les problématiques de cyber-espionnage. La notion d’étatique reste en filigrane sur l’ensemble de la présentation, même si l’orateur indique que dans la plupart des cas, positionner cet élément avec certitude est difficile.
Les différents exemples abordés doivent selon l’orateur permettre de tirer quelques enseignements, dont notamment :
- Le facteur humain peut être totalement imprévisible en cas de danger et la sécurité physique mise à mal très rapidement (ex : datacenter dans un pays en pleine crise où la panique conduit tout le monde à fuir) ;
- Les opportunités commerciales fortes ne doivent pas conduire à accepter l’inadmissible (par ex. accès de visiteurs non cadré dans une zone sensible d’une usine). La vigilance et l’adoption de mesures fermes sont nécessaires. Il peut également être intéressant de se faire accompagner par des services étatiques (ministère de la Défense, ministère de l’Intérieur…) ;
- Il est important de disposer de procédures claires sur la gestion de ce type de situation (rôles, responsabilités, conduites à suivre…). En complément, il est important de mettre en place des mesures de surveillance et cloisonnement de tout ordre, en particulier sur les zones sensibles ou exposées (Honeypots par ex.).
De la cyber-surveillance du salarié à la cyber-protection de l’employeur : 15 ans d’évolution de jurisprudence. Et maintenant ? – François COUPEZ (ATIPIC)
François est avocat à la cour, associé-gérant d’ATIPIC et intervient dans le domaine des nouvelles technologies dont la sécurité de l’information. Il est intervenu pour la traditionnelle présentation juridique de fin de matinée, et il a averti l’audience avec un message opposé de celui des autres orateurs : « je suis juriste, mais je ne suis pas technique» (attention, votre rédacteur est lui technique, et résume à son niveau et avec ses mots cette présentation).
D’après son expérience, les employeurs font face à des injonctions réglementaires contradictoires, face à des attaquants internes (volontaires, ou par faute) dont le nombre augmente.
En cas de piratage, une entreprise peut subir une quadruple peine :
- Les conséquences classiques de l’intrusion (vol ou sabotage de données, image de marque, perte de productivité, etc.) ;
- Un potentiel défaut de conformité vis-à-vis de la CNIL ;
- Si un défaut de sécurité est à l’origine de l’incident, les dommages et intérêts seront amoindris ;
- Des sanctions diverses qui peuvent aller au pénal jusqu’à 4% du chiffre d’affaires mondial.
Les employeurs doivent donc surveiller leur Système d’Information, tout en respectant des règles pour que ces contrôles soient valables. Les contrôles généraux, statistiques et anonymes sont possibles, mais pour que la surveillance puisse descendre au niveau individuel, elle implique une notification du salarié et elle doit avoir des limites (transparence, proportion et loyauté).
Une charte annexée au règlement intérieur doit exister, mais plusieurs pièges existent dans sa rédaction ; sinon en cas de licenciement la preuve peut être jugée illicite aux Prud’Hommes, et être exploitée par une plainte du salarié se soldant souvent par « un gros chèque ». Plusieurs cas de licenciements se soldant tous de cette même manière ont été présentés : suite à des actions malveillantes qui ne font pas débat, mais dont les preuves ont été obtenues de manière illicite.
Par exemple, un salarié avait reçu l’autorisation d’utiliser sa messagerie personnelle pour un usage professionnel à l’occasion d’un déplacement. Cette autorisation n’avait pas été explicitement levée à son retour… donc aucun recours n’était plus possible lorsque la veille de quitter la société il a exfiltré une grande quantité de données par ce biais. Un autre exemple est celui d’un employé ayant reçu des remontrances par email et qu’il n’était plus possible de licencier pour une faute, car l’email avait compté comme une sanction et qu’il est interdit de doubler une sanction.
Le Code du travail ne contenant aucune règle précise, c’est la jurisprudence qui s’applique à ces sujets. Or, elle change régulièrement. L’orateur a pris l’exemple des fameux dossiers et emails labellisés « personnels » qui ne sont plus inviolables si c’est justifié, par exemple s’il y a un soupçon de détournement de leur usage.
En conclusion, il recommande la mise en place, sur le modèle d’un SMSI, d’un SMDSI : Systèmes de Management du Droit de la Sécurité de l’Information.
Surveillance en bande organisée – Jérémie ZIMMERMANN
Présentation sans slides
Deux idées sont au centre de cette présentation : « modèle de sécurité » et « confiance ». Les modèles de sécurité actuels collent-ils vraiment à notre société ? Sont-ils réalistes ? Comment la confiance s’acquiert-elle ? Comment se partage-t-elle ?
Très rapidement, le terme d’hyper-sécurité est abordé, modèle dans lequel l’ennemi est n’importe qui et peut frapper n’importe quand et par n’importe quel vecteur. Une sorte de modèle qui « transcende tous les autres modèles » selon l’orateur. Ce modèle « non réaliste » et consécutif aux attentats du 11 septembre serait surtout une fin pour justifier des pratiques gouvernementales douteuses (écoute massive, intégration de porte dérobée dans de nombreux produits…) et de jouir de budgets importants. Sont notamment évoqués les programmes « BULLRUN » ou encore « PRISM » révélés au grand public par Edward Snowden.
Pour Jérémie, la confiance est définitivement rompue et l’informatique que nous utilisons tous les jours doit être repensée : utilisation de logiciel libre sur un matériel de confiance aux spécifications connues, chiffrement des communications de bout en bout qui ne repose pas sur la bonne foi d’un tiers (adieu les autorités de certification ?).
L’orateur conclut que sa présentation « pose plus de questions que ne donne de réponses » et que nous avons tous un rôle à jouer pour lutter contre le modèle actuel.
Sécurité et AS400 – Sylvain Leconte (Cogiceo)
Slides non disponibles
Sylvain Leconte est un expert en sécurité informatique spécialisé dans les tests d’intrusion au sein de la société Cogiceo. Sa présentation portait sur la sécurité des AS/400 sur lequels il a décidé de faire un retour d’expérience suite aux différents audits de sécurité qu’il a eu à réaliser sur ce système.
AS/400, pour Application System/400, est une gamme de mini-ordinateurs commercialisés en 1988 par IBM. Le système de gestion des droits représente le point central de la sécurité du système : ils peuvent être attribués aux utilisateurs suivant plusieurs profils, pouvant eux-mêmes être affectés dans une classe contenant des droits spéciaux. En partant d’un simple compte utilisateur, Sylvain a présenté un exemple concret de test d’intrusion sur un système AS/400 en procédant par étapes :
- Reconnaissance – Quels sont les services disponibles sur la machine ?
- Énumération – Comment énumérer et identifier les utilisateurs ayant des privilèges élevés ?
- Bruteforce – Comment brute forcer les mots de passe des comptes ?
- Exécution de commande – Comment exécuter des commandes arbitraires sur le serveur ?
- Élévation de privilèges – Comment élever ses privilèges et obtenir les droits maximum ?
Sylvain a ensuite fait un retour d’expérience sur les différentes missions qu’il a eu l’occasion de réaliser, présentant notamment des résultats sur la complexité des mots de passe rencontrés chez des clients.
IOT et sécurité Sigfox – Renaud LIFCHITZ (Digital Security)
Slides non disponibles
Renaud Lifchitz est un expert en sécurité informatique intéressé notamment par les objets connectés, sujet sur lequel portait sa présentation.
Bien que le nombre d’objets connectés soit en très forte hausse, la connaissance de leurs spécifications techniques n’est est qu’à ses débuts : Systèmes d’exploitation pas ou peu connus, nouvelles normes de radiofréquences… Avec l’omniprésence de ces objets dans notre quotidien, leur sécurisation est un enjeu crucial, les premiers piratages sur des pacemakers ou des voitures connectées ayant déjà été réalisés.
Renaud s’est particulièrement intéressé à la sécurité du protocole de Sigfox, opérateur télécom parmi d’autre de l’internet des objets. Sigfox permet aux objets de communiquer grâce à des signaux de fréquences radio ultra rapides et de longue portée.
Après l’analyse du protocole Sigfox grâce à l’étude d’un périphérique de test, Renaud a indiqué que ses résultats ont mis en évidence différents défauts, comme le fait que les données transmises par le périphérique ne sont pas chiffrées quand elles transitent sur le réseau Sigfox.
Les données transmises, également d’après lui, présentent en revanche une résistance au bruit grâce à l’envoi de trois messages identiques, sur trois fréquences et trois codages différents.
La cryptographie de Bitcoin, de la confiance à la preuve… – Jean-Luc PAROUTY (CNRS / IBS)
Slides non disponibles
L’orateur commence par rappeler le fonctionnement des chaînes de blocs (blockchain) : il s’agit d’une base de données décentralisée intégrant un historique de l’ensemble des enregistrements protégé contre la falsification. L’exemple le plus connu de blockchain est la monnaie virtuelle nommée « Bitcoin ».
Jean-Luc PAROUTY nous présente ensuite une utilisation connexe et astucieuse du Bitcoin : DocProof. Cet outil permet d’intégrer dans un bloc de la chaine Bitcoin le condensat d’un fichier. De cette manière, il est possible de jouir d’une preuve d’antériorité sur un fichier à condition d’avoir ajouté des métadonnées permettant de relier le document à une identité (dans le cas contraire, l’utilisateur ne peut prétendre qu’à une preuve d’existence d’un document à un instant T).
L’outil est disponible via l’URL suivante : https://www.docproof.org/
— Clément Notin
