Actes de Conférence – Edition 2011

Actes de conférence
 

 Paul-Olivier GIBERT, AFCDP, Eric DOYEN, Generali, Diane MULLENEX, Avocat, et Hervé SCHAUER, HSC : Les équipes sécurité dans la tourmente des nouveaux moyens de communication

Les nouveaux outils de communication, qui s’invitent en entreprise de gré ou de force, entraînent une véritable mutation dans la façon de penser la sécurité. Face à ce phénomène, les équipes sécurité sont en première ligne. Comment doivent-elles se positionner à une période où la sécurité échappe de plus en plus à leur contrôle ? Quels sont leurs rôles et leurs missions à l’ère du Cloud Computing et d’une sécurité externalisée ? Quel est leur champ d’action face aux mastodontes que sont Google, Apple, etc. ?

 Jérémy LEBOURDAIS, EdelWeb – Groupe ON-X : WebScarab : développement de nouveaux modules pour les tests d’intrusion

WebScarab est un « proxy-intrusif », outil créé par l’OWASP et sous licence GPL. Sa licence libre et sa modularité ont été mis à profit lors de tests d’intrusion d’applications Web afin de pouvoir adapter rapidement à la cible les fonctions natives proposées. Parmi les développements réalisés, et qui seront présentés, se trouvent : le support de flux AMF (utilisé par des applications « Flex »), un moteur basique de test d’injections, le support d’objets Java sérialisés, l’ajout de petites fonctionnalités, la correction de bugs mineurs. L’objectif de la présentation est de présenter les possibilités d’évolution de WebScarab, sous licence libre, illustrées par des développements concrets.

Téléchargez la présentation : GS-Days 2011 – EdelWeb – Jeremy Lebourdais – Presentation WebScarab – V0.1

 François JAN, Arismore : Ouverture des SI et fédération d’identité

Après un tour d’horizon du contexte et des moteurs justifiant l’usage de la fédération d’identité – tant du point de vue des entreprises que des internautes -, François Jan, expert en gestion des accès et des identités, donnera un aperçu des différentes normes. Cette intervention sera illustrée par des exemples d’implémentation sans occulter les difficultés inhérentes. Y seront également abordées les propositions du gouvernement américain pour lever un des freins à l’utilisation de la fédération d’identité.

Téléchargez la présentation : GSDays-Federation

 Laurent CHOURAKI, Franck RIOUX et Michel DUBOIS, ARCSI : Exploitation de failles de sécurité. Démonstrations et présentations pratiques

L’Association des Réservistes du Chiffre et de la Sécurité de l’Information (ARCSI) vous démontrera par des exemples que l’exploitation des vulnérabilités et failles dans l’informatique du quotidien est à la porté d’un ado, un peu branché NTIC, qui utilise juste quelques outils disponibles sur le Net :
 Laurent CHOURAKI, membre de l’ARCSI, Consultant en Sécurité des Systèmes d’Information.
Démonstrations :
Viber (téléphonie gratuite sur iPhone) : C’est tellement simple à utiliser… qu’on en oubli la sécurité.
AR Drone (Drone jouet piloté depuis un iPhone) : La documentation indique qu’il n’y a pas de sécurité…
Prenons ensemble quelques minutes pour y regarder de plus près et vérifions que c’est vrai !
 Franck RIOUX, Consultant « protection de l’information »
Démonstrations :
Piégeage d’un support externe.
Récupération, aspiration du contenu d’une clé USB.
 Michel DUBOIS, membre de l’ARCSI, chercheur doctorant au laboratoire de cryptologie et de virologie opérationnelle de l’ESIEA
Démonstrations :
Génération de faux mails, envois de PDF piégé et prise en main de la machine cible.
Prise en main à distance d’un ordinateur à partir de nmap et metasploit.
Piégeage et prise en main à distance d’un ordinateur à partir d’une clef USB non vérolée (faille DLL Hijacking).

 Nicolas RUFF, EADS Innovation Works : Détecter les intrusions gratuitement

La succession récente de compromissions graves (NASDAQ, Bercy, Commission Européenne, RSA, Comodo, etc.) ne laisse plus aucun doute sur la motivation et la compétence des attaquants. Quelle que soit la qualité des éditeurs logiciels, une stratégie de défense purement basée sur des produits de sécurité a échoué à prévenir ces intrusions.
Cette présentation proposera donc de nouvelles directions – simples, pragmatiques, et efficaces – pour lutter contre ce qu’il est convenu d’appeler les « APT », sur la base des expériences personnelles de l’intervenant.

Téléchargez la présentation : RUFF Se proteger contre les intrusions gratuitement – 0.2

 Benoit TANGUY, Solucom : Biométrie et authentification au SI : mythes et réalités

Depuis une dizaine d’années, des solutions d’identification et d’authentification à base de technologie biométrique sont disponibles sur le marché. Leurs déploiements initialement relativement confidentiels deviennent aujourd’hui une réalité. L’objet de la présentation est dans un premier temps de revenir les principes de la biométrie mais aussi sur les capacités et limites de cette technologie dans le contexte de la sécurité IT. Enfin, elle abordera des retours d’expériences de déploiements réussis et avortés entre 2002 et 2011 et évoquera les facteurs de succès, les points d’attentions notamment juridiques et les périmètres où la biométrie a un réel intérêt.

Téléchargez la présentation : Solucom_GSDAYS_Biometrie v2

► Julien BACHMANN, SCRT: Reverse engineering iOS binaries

Téléchargez la présentation : jbachmann_iOS_apps_reverse_engineering-1.0-gsdays

► Stéphane SCIACCO, Direction de la sécurité – Orange Business Services : Axe de réflexion autour d’une doctrine de cyber défense au sein d’un opérateur

L’exposé tentera de vous proposer des principes susceptibles de participer à la construction de stratégies de défense. Cette démarche sera articulée autour de 5 notions. Ces principes sont : la formation (avant et pendant la carrière du personnel), « l’orchestration » (organisation des ressources), la résilience (construction et l’exploitation de l’ensemble des barrières de protection d’une entreprise, veille, exercices de défense), la normalisation (certification ou conformité) et communication (adhésion et gestion de crise). Ces principes représentent une liste non exhaustive, l’ajout de nouveaux principes comme « la défense active » (l’attaque) pourrait dans certain cas être utilisé.

Téléchargez la présentation :GSAY 2011 S Sciacco
► Thibaut LEVESLIN, Hervé Schauer Consultants : Extraction des empreintes de mots de passe en environnement Windows

Dans le cadre d’un test d’intrusion, il est toujours intéressant de pouvoir récupérer les empreintes des mots de passe des différents utilisateurs du système. En effet, en environnement Windows, il n’est pas nécessaire de disposer du mot de passe en clair d’un utilisateur pour pouvoir accéder à ses ressources (qu’il s’agisse de répertoires réseaux ou de l’accès distant à sa machine) avec son identité. La connaissance de l’empreinte de son mot de passe (aussi appelée « hash ») est généralement suffisante. Les outils habituellement utilisés pour extraire les empreintes des mots de passe sur les systèmes Microsoft Windows se retrouvent bien souvent bloqués sur des systèmes récents et disposant d’un antivirus. Dans certains cas, ils peuvent provoquer un dysfonctionnement de la machine ciblée, du fait des techniques intrusives mises en œuvre.

Cette conférence propose une démarche non intrusive d’extraction des empreintes, aussi bien pour les empreintes des comptes locaux, stockées dans le registre, que pour les empreintes des comptes d’un domaine Active Directory. Une démonstration de l’outil développé sera réalisée.

Téléchargez la présentation : presentation_gsdays2011_HSC

► Olivier PATOLE, Devoteam : Vous voulez perdre de l’argent, il y a une application pour ça …

L’incroyable essor des applications mobiles donnent de nouvelles perspectives aux entreprises tant pour des usages BtoB que BtoC. En effet, les entreprises voient en ces outils une façon de rendre productif un collaborateur tout en se déplaçant ou tout simplement offrir aux clients la possibilité de consommer à la demande. Cette ruée vers l’application mobile et ce besoin de les diffuser en un temps record ne se fait-elle pas au détriment de la sécurité du système d’information de l’entreprise? Les bonnes pratiques en termes de développement d’applications mobiles sont-elles connues, respectées ?

Téléchargez la présentation : GSDays_2011-opatole

 Joseph Graceffa, ADVENS : Terminaux mobiles et fuites d’information : une analyse des faits récents dans ce domaine…

Cette conférence permettra de faire le point sur l’ensemble des faits récents de fuite d’information depuis les terminaux mobiles (smartphones), que ce soit vers les constructeurs et développeurs d’OS mobiles, ou tout autre acteur de la mobilité.

Les capacités croissantes de ces terminaux (connexion Internet permanente, GPS, géolocalisation par réseau Wifi et GSM, Bluetooth …) soulèvent des interrogations quant au respect de la vie privée des utilisateurs, mais également sur la sécurité des données professionnelles détenues sur ces équipements. L’arrivée des terminaux mobiles, tant personnels que professionnels dans le monde de l’entreprise lui impose d’être consciente du risque associé quant à la fuite d’informations et de prévoir les contre mesures adaptées, tant techniques qu’organisationnelles, qu’au niveau de l’utilisateur lui-même.

Téléchargez la présentation : GSdays2011-ADVENS JGRACEFFA

► Diane MULLENEX, Avocat à la Cour : Dualité des usages du poste de travail

Quelle sécurité pour l’entreprise lorsque les frontières entre utilisation personnelle et professionnelle des ressources numériques de l’entreprise deviennent floues ?

Téléchargez la présentation : D MULLENEX IMA GSDAYS 2011

► Thibault KOECHLIN, NBS System : démonstration d’un WAF en mode open source

Les consultants de NBS-SYSTEM vous proposent, en avant première, lors de cet atelier, de tester « mod_upe » (Url Policy Enforcement), un module open-source de firewall applicatif pour NGINX, développé par NBS. Fortement inspiré de mod_security (Apache), mod_upe se tourne vers les reverse proxy hautes performances.

mod_upe repose fortement sur un système d’apprentissage automatisé permettant une génération automatique de règles, préférant une approche par liste blanche à un système de patterns complexes ayant présenté en de maintes occasions ses limites.

Les personnes désireuses de mettre en place un firewall applicatif sont invitées, mais nous attendons aussi nos compères experts en sécurité applicative afin de trouver les limites et les axes d’amélioration à notre module. mod_upe sera ensuite releasé en open-source.

Téléchargez la présentation : NBS System

► Christophe D’ARCY –MIRCA : les limites de la DLP pour répondre à toute la problématique de la fuite d’information

Les événements récents de l’actualité (Wikileaks, Renault, Ministère de l’Economie et des Finances, J.P. Morgan) rappellent combien la compétition est féroce, et combien l’information devient un enjeu fondamental à tous les niveaux des organisations. Avec des systèmes de plus en plus ouverts et mal contrôlés, la sécurité des données ne peut se faire qu’au niveau de l’information elle-même. La Prévention de la Fuite d’Information (DLP – Data Leak Prevention) est censée répondre à cette problématique. Mais est-elle suffisante ? Quelles en sont les limites ? Comment s’intègre-t-elle dans la politique globale de sécurité de l’information ? Nous apporterons ici des éléments de réponses à ces différentes questions.

Téléchargez la présentation : MIRCA GS Days 2011 DLP CDA

Ce contenu a été publié dans Actes de conférence. Vous pouvez le mettre en favoris avec ce permalien.

Les commentaires sont fermés.