SecurityInsider
Le blog des experts sécurité Wavestone

Compte-rendu de la JSSI 2016



Le mardi 8 mars 2016 s’est tenue la Journée Sécurité des Systèmes d’Informations (JSSI), organisée par l’OSSIR ( Observatoire de la Sécurité des Systèmes d’Information et des Réseaux). Cette édition s’est déroulée comme chaque année au MAS, et avait le thème suivant : « Retour vers le futur : bienvenue en 1984 ? ».
Huit conférences, alternant retours d’expérience, présentations techniques ou organisationnelles, se sont enchaînées, entrecoupées d’un excellent buffet à midi, comme à l’accoutumée.
Après un bref mot introductif du président –et quelques interruptions d’un dénommé Dimitri- la première présentation a eu lieu. 

  • Life of PII, une journée dans la vie de nos données personnelles par Damien Desfontaines (Google)
    Dans cette intervention, l’orateur nous a présenté les différents mécanismes organisationnels et techniques mis en place par Google pour assurer la « privacité » des données que ses clients lui confient. On apprend de manière très intéressante que la problématique des données personnelles est prise en compte dès la création d’un nouveau projet, avec la création d’un document détaillant les données personnelles manipulées et les traitements qui vont leur être effectués ; il s’agit d’un fonctionnement très procéduré que l’on n’imagine pas forcément dans une entreprise telle que Google. De même, des solutions techniques, réutilisables, permettent aux applications de limiter les données personnelles manipulées. Plusieurs centaines de personnes sont dédiées à la gestion des données à caractère personnel chez Google.

  • Retour sur 10 ans d’audit sécurité, par Renaud FEIL (Synacktiv) et Jérémy LEBOURDAIS (ON-X)
    Après avoir effectué un panorama des vulnérabilités fréquemment exploitées en audit par le passé, les deux intervenants ont fait le point sur les nouvelles mesures de sécurité et ont insisté sur l’élévation du niveau de sécurité des produits.
    On regrettera cependant que la présentation se soit focalisé sur l’amélioration des systèmes, mais n’ai pas apporté un regard critique sur les vastes évolutions du côté des ressources de l’attaquant :
    • Le concept de « bug bounty » n’a été abordé que très brièvement ;
    • La vaste disponibilité de supports de formation pour les débutants ;
    • Les progrès considérables sur la connaissance et les mécanismes d’attaque et de persistance sur l’Active Directory ;
    • Le niveau de qualité et de packaging exceptionnel des outils d’attaques d’aujourd’hui, qui facilitent grandement le travail du pentesteur (Metasploit, Empire, …)
  • Retour d'expérience sur la lutte contre le cyber-espionnage (étatique) par Laurent OUDOT (Tehtri-Security)
    Plusieurs situations d’espionnage économique, peut-être étatique ont été détaillées, non sans humour, lors de cette présentation. Des mises en garde et recommandations ont ensuite été formulées sur les bonnes pratiques à appliquer pour –tenter- de se prémunir de ce type d’attaques.

  • De la cyber-surveillance du salarié à la cyber-protection de l’employeur : 15 ans d’évolution de jurisprudence. Et maintenant ? par Me François COUPEZ (ATIPIC)
    L’avocat présente lors de son intervention les différentes règlementations qui imposent la sécurité du système d’information de l’entreprise. En cas de piratage, l’entreprise pourrait faire face à un quadruple peine : conséquences classiques (remédiations, pertes, …), condamnation CNIL, diminution des dommages et intérêt si négligence de la part de l’entreprise en matière de sécurité, et enfin des sanctions pénales.
    L’entreprise doit donc mettre en place une « cybersurveillance », tout en respectant les droits de chacun (CNIL, etc).
    Cette surveillance doit se faire de manière licite afin d’obtenir des preuves opposables. Dans le cas contraire (preuve illicite), l’entreprise pourrait non seulement perdre le procès, mais également risquer un procès en retour en correctionnelle. Il est donc important de s’assurer que les preuves sont obtenues dans le respect des lois, mais également des chartes de l’entreprise.

  • « Surveillance en bande organisée » par Jérémie Zimmermann
    Dans son intervention, le co-fondateur de la Quadrature du Net nous avertissait sur la surveillance généralisée, orchestrée notamment par la NSA. Bien que PRISM soit le programme le plus connu des révélations Snowden, c’est le programme BULLRUN qui a été évoqué par Jérémie Zimmermann. Ce programme visait à affaiblir, de toutes les manières possibles, l’efficacité des moyens de chiffrement utilisés dans le monde. C’est notamment par la règlementation, mais également par la participation à des groupes de travail et de standardisation en tentant d’imposer des choix technologiques moins robustes que s’est effectué ce travail.
    Quelques lueurs d’espoir subsistent pour assurer la confidentialité de ses échanges, et, selon l’auteur, passent par :
    • L’utilisation de logiciel libre, et vérifié ;
    • Sur une plate-forme matérielle de confiance (qui reste à définir);
    • Auto-hébergée, et restant donc sous la maîtrise totale de son propriétaire.
  • Sécurité et AS400 par Sylvain Leconte (Cogicéo)
    Sylvain Leconte nous présentait ensuite un retour d’expérience sur des tests d’intrusions réalisés sur IBM AS400. Cette présentation reprenait les différentes étapes d’un test d’intrusion : identification, énumération, bruteforce, exécution de commandes, élévation de privilèges. Les vulnérabilités les plus couramment rencontrées en test d’intrusion ont été détaillées. Les mots de passe des utilisateurs sont notamment l’un des points faibles (mots de passe triviaux, complexité très faible, …). De même, de nombreuses protections sont contournables et la gestion des droits des utilisateurs est très fréquemment chaotique, permettant d’obtenir des privilèges élevés. Ces premiers résultats, très intéressants, ouvrent la porte à d’autres questions, qui nécessiteront des recherches complémentaires (export des hash utilisateurs, mise en place d’un reverse shell, exécution de code directement depuis un terminal TN5250, etc..).
  • IOT et sécurité Sigfox par Renaud Lifchitz (Digital Security)
    Renaud Lifchitz nous a ensuite présenté la technologie Sigfox, qui permet la communication d’objets « connectés » via une liaison radio nécessitant très peu de ressources. Après une présentation détaillée, en cinq slides, de la société Digital Security, l’intervenant a détaillé le fonctionnement de Sigfox ainsi que des mécanismes de sécurité existants. Aucun mécanisme de chiffrement des données n’est proposé par la solution, ni aucun exemple d’intégration au niveau applicatif ; on peut donc redouter que les industriels peinent à implémenter une telle fonctionnalité. Une clé secrète est cependant présente dans les objets et permet de calculer un HMAC, garantissant l’intégrité des données transmises. Cependant, la faible entropie de ce HMAC pourrait permettre de rejouer certains messages.
  • La cryptographie de Bitcoin, de la confiance à la preuve... par Jean-Luc PAROUTY (CNRS / IBS)
    Après un rappel du fonctionnement de la blockchain, Jean-Luc Parouty a présenté les résultats de ses travaux sur l’utilisation de la technologie blockchain afin d’enregistrer des preuves d’antériorité (exemple : prouver l’antériorité de ces travaux scientifiques). Pour cela, un démonstrateur a été créé. Il permet l’ajout dans la blockchain d’un condensat correspondant au document que l’on souhaite enregistrer. On peut ainsi prouver qu’un condensat a été publié antérieurement, ainsi que l’identité de l’auteur. Il est accessible ici : https://docproof.org/
Vous pouvez retrouver une partie des présentations sur la page dédiée sur le site de l’OSSIR :
Prochain rendez-vous le 12 avril pour la réunion mensuelle !
Arnaud SOULLIE

Aucun commentaire:

Enregistrer un commentaire