[ Actes de Conférence – Édition 2010 ]

 Diane Mullenex, Avocat, Paul Such, SCRT, et Philippe Humeau, NBS System : Du juridique au technique : la nique au hacking !
Pour lutter efficacement contre les dangers de la cybercriminalité (intrusion ou autres types d’attaques internes ou externes), une entreprise doit avoir un système de prévention solide et résistant au maximum à toute épreuve. Cette prévention comprend une dimension technique, l’entreprise devant s’assurer d’avoir les outils et les conseils nécessaires pour anticiper toute atteinte au système d’information ou réparer le mal déjà fait. S’y ajoute une dimension juridique grâce à laquelle l’entreprise peut se prémunir contre les cybercriminels en s’assurant une protection juridique efficace aussi bien auprès de ses salariés que de ses partenaires.
L’objet de cette conférence est de présenter, en pratique, les moyens techniques et juridiques de prévention et de réparation contre la cybercriminalité au service de l’entreprise.

 Thibault du Manoir de Juaye, Avocat : Aurons-nous encore une vie privée ?
De nouveaux textes et des évolutions technologiques mettent à néant les frontières qui existaient entre la vie privée et la vie professionnelle :
La LOPPSI II, en passe d’être adoptée, crée un statut pour réglementer l’activité des personnes chargées de collecter des informations sur « l’environnement économique, commercial, industriel ou financier d’une ou plusieurs personnes physiques ». Ces termes flous pourraient permettre des intrusions dans la vie privée.
Le développement du haut débit permet le travail à distance et notamment de son domicile dans des environnements de « Cloud computing ». Dès lors comment définir le lieu de travail et quel impact sur le lien de subordination ?
Les informations à caractère personnel qui circulent sur le net sont facilement accessibles et peuvent constituer un moyen de pression efficace notamment sur les salariés.
Le futur traité ACTA négocié dans le plus grand secret permet la transmission d’informations nominatives détenues par les fournisseurs d’accès. Ce texte doit, en outre, être mis en perspective avec la loi HADOPI.

Téléchargez la présentation :

 Arnaud Malard, Devoteam : H@ckRAM, exploitation de la mémoire RAM sous Windows
L’objet de cette présentation consiste à recenser l’ensemble des attaques connues et exploitables par le biais des données rémanentes en mémoire vive sur une machine embarquant un système d’exploitation Windows. Celles-ci sont nombreuses et il est intéressant de les réunir dans un unique document écrit à la manière d’un tutoriel et permettant ainsi de les réaliser pas-à-pas. Les différentes étapes d’exploitation telles que l’extraction du contenu de la mémoire RAM, le traitement de l’image mémoire, l’identification de données sensibles et la modification de l’état du système seront présentées. Enfin, les mesures de protection contre ces types d’attaques seront présentées succinctement.

Téléchargez la présentation :

 Gérôme Billois et Chadi Hantouche, Solucom : Smartphones nouvelle génération : quel positionnement pour le RSSI ?
L’actualité récente montre que le sujet des smartphones est dans le radar de l’ensemble des RSSI. Forte pression de la part des utilisateurs et des métiers pour s’équiper, demande de développement d’applications sur ces plateformes vues comme des accélérateurs de business, demande forte pour l’utilisation de smartphones personnels sont autant de nouveautés qui rythment le quotidien du RSSI.
L’objet de la présentation est de revenir sur les forces et les faiblesses des plateformes nouvelle génération, puis d’identifier les risques auxquels s’exposent les entreprises, pour conclure sur les bonnes pratiques que doivent suivre les RSSI afin d’amener des services innovants tout en conservant un niveau de sécurité cohérent.

Téléchargez la présentation :

 Paul Such, SCRT : Contourner les systèmes de filtrage HTTP en ligne
De plus en plus d’équipements de sécurité proposent des fonctionnalités de filtrage pour les flux HTTP : filtrage anti malware, anti-virus, contenu...
Cette présentation s’attachera à présenter quelques cas pour lesquels il est pourrait être intéressant de pouvoir contourner ces systèmes de filtrage et plusieurs techniques permettant d’y parvenir.

Téléchargez la présentation :

 Franck Rioux, ARCSI : Exploitation de failles de sécurité. Démonstrations et présentations pratiques : USB, Recovery, MDP …

 Eric Wies, Université Paul Verlaine – Metz : L’utilisateur : l’ultime menace ?
Après avoir posé le constat de insuffisance de la protection périmétrique et de la protection de données personnelles et professionnelles, et ceci malgré les très nombreuses solutions de sécurité et l’arsenal légal à disposition des entreprises, nous montrerons que l’utilisateur reste la source la plus courante de fuite d’information que celle si soit volontaire ou non. Quelles sont donc les solutions pour que l’utilisateur ne soit plus une menace pour l’entreprise ?

Téléchargez la présentation :

 Jean-Baptiste Aviat, HSC : Return Oriented Programming : rappel et pratique
Le ROP est une technique d’exploitation des dépassements de buffers (stack, heap overflow) fonctionnant dans le cas où les OS disposent de protections particulières (bit NX, DEP, certains cas d’ASLR...), ce qui est notamment le cas dans les iPhones, Windows ou les certaines distributions Linux.
Cette technique consiste à ne pas envoyer de code malveillant, mais à utiliser des portions de librairies existant en mémoire afin de reconstruire du code utile à l’attaquant.
Cette conférence présentera les fondamentaux de cette technique, des exemples d’attaques réelles utilisant cette technique, quelques outils utilisables pour la création de charges utiles ROP, des mesures de protection adaptées.

Téléchargez la présentation :

 L’ARCSI et Maître Thibault du Manoir de Juaye :
Approche juridique.
Obligations règlementaires.
Réponses à vos questions.

 Nicolas Ruff, EADS Innovation Works : La sécurité d’Android
Malgré ses origines prestigieuses, le système d’exploitation Android (conçu par Google) souffre des mêmes défauts que tous les produits logiciels édités ces 30 dernières années : erreurs d’implémentation et pression du marketing.
L’objectif de cette intervention est de passer en revue la sécurité des différentes "couches" du système Android.

Téléchargez la présentation :

 Frédéric Caramello, expert et consultant en sécurité : Les sources humaines au cœur de l’information et de la sécurité
Le renseignement humain est une pratique ancestrale qui permet d’anticiper et de renforcer la marge de manœuvre décisionnelle et donc la sécurité (Cf. l’Iliade et l’Odyssée, la bible, etc.).
Internet n’est pas la seule façon d’acquérir des informations pour comprendre, prendre les bonnes décisions et se protéger des malveillances. Même avec l’apparition des nouvelles technologies, et quelle que soit la terminologie, fut elle anglo-saxonne : social engineering, débriefing, cold reading, whistle blower, screening (et autres mots en ing) ; les sources humaines demeurent un gisement informationnel considérable. De plus, pour quelques décennies encore, le traitement des informations acquises ne pourra être effectué que par des « humains » !
Partant de ce constat, après quelques éléments théoriques cette conférence, abordera les principaux aspects du renseignement et de la malveillance.

Téléchargez la présentation :

 Diane Mullenex, Avocat : Une utilisation intelligente des réseaux sociaux est-elle possible ?
A l’heure où l’un des plus grands réseaux sociaux est accusé de violer la confidentialité de ses utilisateurs pour certaines de ses applications, les « social network » ne font pas bonne figure, et moins encore dans le cadre de l’entreprise. D’abord visés comme source d’improductivité des salariés par les employeurs, les réseaux sociaux sont désormais source d’insécurité pour l’entreprise et sont donc à consommer avec modération et surtout prudence !
Une utilisation non avertie des réseaux sociaux ou un usage non approprié de ceux-ci en entreprise peuvent conduire à des conséquences graves comme la perte de données sensibles, une atteinte à leur réputation ou encore tous types d’attaque cyber criminelle.
Cette présentation a pour but de soulever les enjeux et les dangers générés par l’utilisation des réseaux sociaux en entreprise et de donner des outils de préventions contre leurs effets néfastes aux entreprises.

Téléchargez la présentation :

 Sergio Alves Domingues, SCRT : RFID : Radio Frequency Insecure Device ?
Bien que la technologie en elle-même ne soit pas forcément toujours récente, les systèmes de cartes ou badges sans contact ont reçu ces dernières années une attention accrue, probablement due à la multiplication de leurs utilisations.
Bien qu’ils soient souvent regroupés sous un même terme - RFID – ces systèmes sont en fait très nombreux et bien différents les uns des autres. De ce fait, ils ne sont pas tous adaptés aux mêmes utilisations et ne fournissent pas tous les mêmes garanties en termes de sécurité.
Le but de notre présentation est, d’une part, de démystifier cette technologie en présentant brièvement les différents types de systèmes dits "RFID" ainsi que leurs caractéristiques spécifiques et, d’autre part, d’illustrer - démonstrations à l’appui - les conséquences de l’utilisation erronée de ce type de systèmes, en se basant sur quelques exemples concrets.

Téléchargez la présentation :

 Tristan Savalle et Jérémie Jourdin, Advens : Mesurer, améliorer et piloter votre sécurité
Une approche pragmatique dans la recherche de conformité -
Pendant des années, la sécurité de l’information s’est focalisée sur la mise en œuvre de mesures de sécurité « à l’état de l’art », sans vraiment chercher à connaître leur efficacité réelle. Incapable de vraiment participer aux bénéfices de l’entreprise, cette sécurité constituait au mieux une assurance, au pire des contraintes et des coûts.
Depuis, les RSSI ont cherché à mettre en œuvre un pilotage opérationnel de la sécurité, mais se heurtent souvent à des outils complexes (par exemple : SIEM) ou des approches de contrôle permanent trop lourdes ou trop rigides constituant au final de nouvelles contraintes.
L’objet de notre intervention est de présenter une approche pragmatique et efficiente de la mesure de conformité, en définissant simultanément les périmètres, les référentiels et les points de contrôles alignés sur les enjeux métiers, dans une optique d’amélioration continue. En bref, redonner du sens au tableau de bord du RSSI pour piloter efficacement sa sécurité.

Téléchargez la présentation :

 Catherine Duval et Yann Fareau, Devoteam : Télétravail : frontière entre vie privée et vie publique
Le recours au Télétravail progresse en France, même s’il reste faible, en comparaison de nos voisins européens ou nord-américains. Il préfigure sous bien des aspects les nouvelles formes du travail de demain, à l’ère du numérique.
Ce qui induit, d’une part que les concepts usuels du temps de travail et les frontières entre vie professionnelle et vie privée soient bousculés, et d’autre part, que les questions de sécurité des données et de gestion de la vie privée doivent faire partie des réflexions sur les technologies à mettre à disposition du salarié.

Téléchargez la présentation :

 Groupe de travail « Notification des violations aux traitements de données personnelles » de l’AFCDP, composé de Pascale Gelly, Avocate, Bernard Foray, DSSI de Casino Technology, et Eric Doyen, RSSI de Generali : La sécurité des données personnelles enfin prise au sérieux ?
Venu des Etats-Unis, le concept de Data Breach Notification est à l’étude en France avec la création d’une obligation de notification des « violations aux traitements de données personnelles » aux Correspondants Informatique et Libertés, à la CNIL et aux personnes concernées. Cette mesure est inspirée des lois en vigueur depuis plusieurs années aux USA. Mais savez-vous que l’Allemagne et l’Autriche viennent de promulguer un tel dispositif, et que, dans le cadre de la transposition du Paquet Telecom, les Opérateurs et FAI français vont y être prochainement confrontés ?
Les co-animateurs du Groupe de travail « Notification des violations aux traitements de données personnels » de l’AFCDP (Association qui regroupent les Correspondants Informatique et Libertés ») se proposent de déchiffrer
les impacts d’une telle mesure, aussi bien sur les plans technique, juridique qu’organisationnel.
Au final, si la proposition initiée par les sénateurs Détraigne et Escoffier est promulguée, c’est un véritable changement de paradigme qui s’annonce en matière de sécurisation des données personnelles, avec – entre autres – un basculement de la sécurité périmétrique à un modèle centré sur la protection de l’actif immatériel.

Téléchargez la présentation :

 Ludovic Courgnaud et Imad Abounasr, Conix : XSSF : démontrer le danger des XSS
Les attaques de type XSS (Cross-Site Scripting) demeurent encore parmi les plus rencontrées sur les applications web. Une question est alors soulevée : cette faille, souvent négligée et incomprise permet-elle vraiment de réaliser des attaques sérieuses ?
C’est ce que veut montrer cette communication au travers d’un nouveau Framework d’attaque : XSSF. L’outil, directement intégré au Framework Metasploit, permet l’exploitation de victimes à large échelle.
La sensibilisation par la démonstration : toute la devise de XSSF, qui prouvera qu’une attaque ne s’arrête pas forcément à un vol de cookie de session…

Téléchargez la présentation :

 Laurent Chouraki, ARCSI : Exploitation de failles de sécurité. Démonstrations et présentations pratiques : Objet communiquant …

 Hervé Schlosser, France Pari, et Anne Mur, EdelWeb - Groupe ON-X : Intégrer la sécurité dans un projet à fortes contraintes réglementaires, techniques et calendaires : retour d’expérience des jeux en ligne
L’objectif de cette présentation est de proposer un retour d’expérience réussi de l’intégration de la sécurité dans un projet soumis à de fortes contraintes réglementaires, techniques et calendaires.
Le cas présenté sera celui de l’accompagnement d’un opérateur de jeux en ligne à l’obtention de l’agrément ARJEL, qui impose à ce dernier de satisfaire un grand nombre de problématiques de la sécurité qu’elles soient administratives, financières, juridiques, organisationnelles ou techniques.
D’autre part, le respect des exigences est contrôlé dans le temps et impose donc aux opérateurs la mise en place d’un système de management efficace et pérenne.
Cette présentation propose deux points de vue, celui de l’opérateur qui présenta sa problématique, et celui de la société de conseil qui a accompagné l’opérateur pour intégrer la sécurité dans son projet en tenant compte des exigences de l’ARJEL et des besoins de l’opérateur.

Téléchargez la présentation :

 L’ARCSI et Maître Thibault du Manoir de Juaye :
Approche juridique.
Obligations règlementaires.
Réponses à vos questions.