Cette année encore nous étions présents pour la 5e édition de la JSSI de Rouen organisée conjointement par l’Université de Rouen Normandie et l’INSA Rouen Normandie.

La conférence s’est déroulée le jeudi 3 novembre 2016 dans les locaux de l’INSA de Rouen et les thèmes abordés concernaient la fuite et le pistage de données personnelles, ainsi que leur protection.

Intrinsec remercie l’ensemble des organisateurs et intervenants ayant présenté leurs travaux de recherches, et vous présente ci-dessous un compte-rendu des présentations.

« La CNIL et la sécurité »

Après un discours d’ouverture introduisant les différents thèmes de la conférence et présentant le groupe INSA, Amandine Jambert, experte technique de la CNIL, a présenté la sécurité et les processus internes de cette organisation. Pour rappel, la CNIL (Commission Nationale de l’Informatique et des Libertés) est une autorité administrative indépendante française dont la fonction principale est de protéger les citoyens contre tout usage abusif des données informatiques personnelles les concernant.

Elle a donc expliqué en détail ce qu’est une donnée à caractère personnel et a rappelé les grands points de la loi « Informatique et Libertés » :

• Finalité
• Proportionnalité et pertinence
• Durée de conservation
• Sécurité
• Droits des personnes

En effet, toute organisation récoltant des données personnelles se doit d’en justifier le but, de définir une durée de conservation limitée (ne pouvant par exemple pas excéder 6 mois pour les journaux de connexion sur un serveur), et enfin de s’engager à prendre les mesures nécessaires pour garantir la sécurité de ces données et permettre aux utilisateurs d’y accéder, de les rectifier ou de les supprimer.

Amandine a ensuite rappelé le processus de régulation effectué par la CNIL, pour analyser les déclarations reçues concernant le traitement des données personnelles en s’appuyant sur les recommandations de différents guides tels que le référentiel général de sécurité (RGS) rédigé par l’ANSSI, les normes de l’ISO ou encore l’article 29 du Working Party (WP29). Ce dernier a été rédigé à destination des moteurs de recherche pour la mise en œuvre de l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 13 mai 2014 relatif au « droit à l’oubli » numérique.

De nouveaux droits récemment octroyés ont également été présentés tels que le droit à la portabilité des données, la notification des violations de DCP (Data Breach Notification) ou encore le principe général de transparence applicable aux responsables du traitement des données personnelles.

Amadine a ensuite comparé deux points : la sécurité des systèmes d’information (SSI) d’une part et la Protection de la vie privée d’autre part, et a terminé sa présentation en détaillant la démarche méthodologique utilisée par la CNIL. Elle se situe à mi-chemin entre une expertise technique et expertise juridique, et est divisée en 4 étapes : définition du contexte, identification des principes fondamentaux, analyse de risques et prise de décision.

Elle a enfin conclu sa présentation en décrivant les différentes sections d’un rapport de PIA (Privacy Impact Assessments) type, et en indiquant les futurs travaux de la CNIL, comme la finalisation de la norme internationale ISO/IEC 27552.

« Domotique et objets connectés : Analyse de la sécurité des composants grands publics »

Jérémy Briffaut, maître de conférences de l’INSA Centre Val de Loire nous a présenté ses travaux de recherche sur la sécurité des équipements domotique.

Après une brève description de ce qu’est la domotique, Jérémy nous a rappelé l’architecture d’une installation domotique : présence d’un objet connecté, d’une passerelle et d’une interface IHM. Différents protocoles de communication utilisés par ce type de composant ont ensuite été présentés tels qu’ARC, X10, ZWAVE ou encore ENOCEAN.

Après cette introduction, Jérémy nous a exposé différents vecteurs d’attaque comme la réalisation d’un déni de service par un dispositif de brouillage tribande permettant de neutraliser les caméras de vidéosurveillance ou les alarmes pour un coût de 60€, ou encore la récupération de données sensibles par écoute passive des communications qui, dans la plupart des cas, s’effectuent en clair.

La prise de contrôle des équipements utilisant ce type de communication est alors possible et différents projets ont été présentés pour la réaliser :

• RFLink, utilisé pour les objets communiquant sur les fréquences 315, 433 et 868 MHz et 2.4 GHz
• RTL_433, permettant de recevoir des signaux entre 52 et 2200 MHz
• Cc1101-X2D-Heaters, pour la prise de contrôle des thermostats X2D

Le dernier et le plus important vecteur d’attaque présenté par Jérémy concerne les défauts de configuration. Le cas du botnet Mirai, exploitant des couples « identifiant / mot de passe par défaut » et ayant infecté plus de 30 000 passerelles AirLink, a été rappelé. Celles-ci, publiquement accessibles sur internet, ont en effet été utilisées pour réaliser des campagnes de déni de service réparti (DDOS) sur des sites internet tels que le site de sécurité informatique du journaliste Brian Krebs ou encore sur l’hébergeur français OVH.

Jérémy a ensuite indiqué qu’une des recommandations était de changer ces comptes par défaut, tout en précisant qu’elle s’avérait insuffisante puisque des portes dérobées, telles que des accès d’administration ou des URL « hard codées » non documentés existent et sont laissés, d’après lui, par les constructeurs.

Enfin, le projet Open Source MySensors  a été présenté ; il permet de construire sa propre plateforme domotique en utilisant des microcontrôleurs Arduino ou Raspberry Pi. Des défauts de sécurité sont également présents sur celui-ci et les recommandations suivantes sont donc nécessaires afin de sécuriser les installations domotiques :

• Authentification des objets (en utilisant les composants Atmel)
• Confidentialité des communications (chiffrement AES)
• Intégrité des échanges (en utilisant un composant Atmel ATSHA204A)

« Red teaming et techniques d’exfiltration pour passer sous le radar »

Lors de cette présentation, nous avons exposé notre approche Red Team ainsi que notre outil d’exfiltration de données « Peet » (Post Exploitation and Exfiltration Tools).

Les techniques d’évaluation de la sécurité ayant en effet évolué avec le perfectionnement des méthodes de défense, l’approche Red Team est donc nécessaire afin de challenger le niveau de sécurité d’une entreprise face à des attaques avancées, et d’évaluer la capacité de détection et de réaction des équipes internes (« Blue Team »).

Après une introduction sur ce qu’est le Red Teaming, nous avons détaillé le processus complet des missions Red Team pouvant être divisées en 6 étapes :

Nous avons ensuite donné quelques exemples de scénarios réalisables en rappelant les 4 lois suivies par Intrinsec au cours de ces missions :

• Ne pas provoquer de perturbation de l’activité
• Ne pas réduire le niveau de sécurité en place
• Ne pas accéder aux données personnelles des collaborateurs
• Ne pas appliquer d’action irréversible

Quelques gadgets ainsi que leur utilisation respective ont alors brièvement été présentés :

Et l’approche Purple Teaming a ensuite été détaillée :

Nous avons également rajouté que deux modes de réalisation de Purple Teaming étaient proposés par Intrinsec. Dans un premier cas, nous pouvons réaliser un atelier de travail avec la Blue Team à l’issue de la mission Red Team ou alors, dans un second cas, nous définissons différents cas d’études à dérouler et nous analysons les évènements détectés par la Blue Team.

Ce type d’atelier est d’ailleurs très apprécié de nos clients puisqu’il permet d’améliorer les techniques de détection et de réaction de la Blue Team, et ce pour un grand nombre de comportements offensifs et de scénarios d’attaque.

Enfin, le vol de données critiques représentant un risque majeur pour les entreprises, nous avons présenté notre outil d’exfiltration de données Peet au cours d’une démonstration technique.

Pour plus d’information, nous vous invitons à consulter notre site internet.

La présentation peut être récupérée ici.

« Les questions de sécurité de la chaine de blocs »

Stéphane Bortzmeyer a fait l’exploit de nous présenter en 10 diapositives la chaîne de blocs (ou blockchain) et ses concepts de sécurité offerts. Cette technologie révolutionnaire est utilisée par de nombreuses applications, mais est plus connue pour son aspect monétaire, avec par exemple la création des cryptomonnaies telles que Bitcoin ou encore Ethereum.

Stéphane nous a ensuite expliqué les deux principes fondamentaux de la chaîne de blocs qui sont la preuve de travail et la preuve d’enjeu. Il nous a également rappelé les deux principaux risques liés à l’utilisation de la cryptographie asymétrique : la clé privée étant utilisée pour signer les transactions, il est donc important de se protéger contre sa copie et sa perte en adoptant les recommandations suivantes :

• Le stockage hors-ligne, l’utilisation d’un appareil HSM (Hardware Security Module) ou encore l’application de règles d’hygiène informatique
• Les copies de sauvegarde

Plusieurs attaques ont ensuite été présentées. La première est l’attaque des 51% qui permet lors d’une bifurcation de la chaine de blocs de choisir la chaine la plus longue pour peu que l’on détienne plus de 51% de puissance de calcul. Cette attaque n’est néanmoins pas discrète puisque l’ensemble de la chaine est visible de tous.

Des bugs dans la chaine peuvent également avoir des conséquences importantes. C’était par exemple le cas avec la faille Solarstorm présente dans le compilateur du langage Solidity utilisé par Ethereum et découverte récemment, ou avec la vulnérabilité CVE-2010-5139 découverte en août 2010 et ayant nécessité un retour en arrière dans la chaine et l’annulation d’un certain nombre de transactions. Un dépassement d’entier et l’absence de vérification des transactions ont permis la création de plus de 184 milliards de Bitcoins.

Enfin, le dernier point abordé par Stéphane concernait le caractère public de la chaine. En effet, Bitcoin ne garantit pas l’anonymat des utilisateurs puisque toutes les transactions sont visibles. Il a donc été conseillé d’utiliser des mixers ou tumblers de Bitcoins, des adresses à usage unique ou des solutions comme Zcash utilisant le principe de preuve à divulgation nulle de connaissance (zero-knowledge proof) afin de préserver l’origine, la destination et le montant des transactions, et ainsi rendre l’ensemble des transactions confidentiel.

« L’anonymat avec Tor – La protection de l’identité par l’obscurcissement »

Adrien Smondack, consultant chez NES nous a présenté le fonctionnement du réseau TOR. Les protocoles suivants peuvent être implémentés pour créer un réseau permettant l’anonymat :

• Mix network
• Dining cryptographer (DC-Net)
• Crowds
• Onion Routing (TOR)
• Freenet
• cMix (Priva Tegrity)

Adrien s’est donc concentré sur le protocole TOR et a présenté son architecture. Pour rappel, il est constitué de plusieurs nœuds, formant un maillage de serveurs mandataires dont les rôles sont de router les paquets à travers un circuit, et d’assurer la confidentialité des échanges entre les nœuds et la non-traçabilité des messages.

Pour réaliser cela, des échanges de clés sont effectués entre chaque nœud et des chiffrements successifs sont opérés entre chaque couche d’oignon.

Le principe d’anonymisation de services hébergés sur Internet a ensuite été introduit avec notamment l’utilisation d’adresses « .onion », uniquement accessibles par TOR et ses points d’introduction ou de rendez-vous.

Adrien a conclu sa présentation en rappelant que TOR permettait de protéger l’anonymat et non la confidentialité des échanges puisque les données diffusées restent en clair au niveau des nœuds de sortie. Il convient donc d’utiliser le protocole SSL entre le client et le serveur distant afin de rajouter une couche de chiffrement et d’utiliser le navigateur TOR dont la configuration est optimisée pour divulguer le moins d’information possible.

« Détournement d’une application de rencontre en système de traque GPS »

Julien Legras et Julien Szlamowicz, deux consultants chez SYNACKTIV, nous ont présenté leur POC (Proof Of Concept) de détournement d’une application de rencontre en ligne en un dispositif pouvant être utilisé à des fins de pistage.

Après une brève introduction sur les principes de géolocalisation, ils nous ont indiqué comment il était possible de tracer les mouvements d’un individu avec un nombre limité d’agents. Cette limitation est due au fait qu’un compte Facebook est nécessaire afin de s’authentifier sur l’application mobile testée et que la création massive d’utilisateurs est détectée par le réseau social. Le rôle des agents est de simuler un utilisateur légitime en rejouant simplement les 3 requêtes suivantes :

• Authentification par un compte Facebook
• Mise à jour de la localisation de l’agent
• Analyse des personnes aux alentours

Armé de 10 agents, répartis en réseau hexagonal, ils ont montré qu’ils pouvaient géolocaliser une personne ayant des préférences compatibles avec une précision d’environ 240 mètres par agent. À titre indicatif, 75 agents sont nécessaires pour couvrir le parc Disneyland Paris et environ 6 millions d’agents pour la surface de la France.

Une application web s’appuyant sur l’api Google Maps a même été développée en python afin de démontrer l’efficacité de ce dispositif.

« IoT en entreprise et sécurité : back to basics »

Bruno Dorsemaine nous a rappelé dans cette présentation les risques associés au BYOD (Bring Your Own Device).

Celle-ci avait pour but de sensibiliser l’audience sur le fait que les objets connectés peuvent être considérés comme faisant partie du système d’information dès lors qu’ils sont introduits dans les locaux de l’entreprise.

« Les moteurs de recherche sont-ils vraiment vos amis ? »

Dans cette dernière présentation, Charles Petit a partagé ses hypothèses concernant les moteurs de recherche et leur capacité à espionner leurs utilisateurs.

Les informations personnelles récupérées par défaut par ces services en ligne sont le nom, l’adresse email, le numéro de téléphone, le numéro d’une carte de paiement et la photo de profil. Mais cette récupération ne s’arrête pas là, puisque les données relatives à l’appareil utilisé peuvent également être récupérées comme le modèle et l’identifiant unique du téléphone, la version de l’OS installé. D’autres données permettant de réaliser une « empreinte digitale » de l’utilisateur peuvent également être recueillies en analysant par exemple le contenu des cookies, les en-têtes HTTP ou encore la configuration du navigateur (liste des plug-ins installés, fuseau horaire, résolution d’écran, etc.).

La problématique concernant les données de localisation a également été évoquée ainsi que l’utilisation massive des serveurs de résolution de nom détenus par Google (8.8.8.8 et 8.8.4.4), capables d’associer les noms de domaine aux adresses IP des utilisateurs ainsi que leurs informations de géolocalisation (ville).

Charles a ensuite rappelé que les conséquences possibles peuvent permettre la réalisation d’un marketing ciblé ou encore de l’espionnage industriel en se basant sur les informations recueillies telles que les informations personnelles contextuelles, le lieu de domicile ou de travail ainsi que les préférences et idéologies personnelles.

Enfin, il a conclu sa présentation en indiquant comment se protéger. La configuration de plusieurs profils Firefox dédiés à une activité ainsi que l’utilisation d’extensions permettant le blocage de publicités et de mouchards ont donc été évoqués. Charles a également fait mention de distributions sécurisées comme QubesOS ou Tails (« The Amnesic Incognito Live System ») permettant de compartimenter les différentes parties de notre vie numérique ou de préserver notre vie privée et notre anonymat sur Internet en utilisant le réseau TOR.