[ Actes de Conférence – Édition 2012 ]

Conférence Plénière : Qui est le maillon faible : l’homme ou la machine ?
L’objectif de la conférence est de cerner les comportements à adopter et les décisions à prendre pour anticiper et gérer une crise, lorsqu’une entreprise a été victime d’une fraude, d’une escroquerie ou d’un vol d’informations, perpétrés notamment au moyen d’une intrusion dans ses systèmes d’information. A travers un cas pratique fondé sur des faits réels, les intervenants simuleront la réunion de crise du comité exécutif, mettant en scène notamment le Président de la société, le Directeur de la sécurité informatique, le responsable de la sécurité des systèmes d’informations et le directeur juridique. Les intervenants rappelleront les moyens juridiques et informatiques dont il convient de se doter pour anticiper ce genre de problèmes et présenteront les solutions et procédures à mettre en place lorsque des faits similaires se sont produits.
Par Maître Diane MULLENEX, Clément GAUTIER et Alice PIERRE – Cabinet Mullenex, Ichay et Associés, Philippe HUMEAU et Thibault KOECHLIN – NBS System, et Eric DOYEN, RSSI de Generali

Attaques par fuzzing sur les applications Adobe Flex utilisant le protocole AMF
La multiplication des applications Web développées à l’aide des technologies Flash/Flex et Silverlight apportent de nouvelles approches dans le cadre d’un test d’intrusion. Ces technologies utilisent divers protocoles de communication afin de, par exemple, récupérer des informations d’une base de données stockée sur le serveur.
La technologie Adobe Flex, par exemple, utilise le protocole AMF afin d’appeler des méthodes sur le serveur et de recevoir les réponses. Le problème dans ce cas là est qu’il n’est pas possible pour un auditeur de connaître les méthodes disponibles sur le serveur sans effectuer un appel à une méthode et de vérifier manuellement la réponse du serveur.
Dans ce contexte, SCRT a développé une application (opensource GPLv2 et librement disponible sur notre site à partir d’Avril 2012) permettant de communiquer avec ces protocoles et d’automatiser la découverte des services disponibles au travers de ces protocoles de communication.
L’objet de la présentation sera de présenter le contexte et les enjeux, les possibilités de l’outil, à travers quelques exemples d’utilisation, mais aussi ses limites, ainsi que ses futures évolutions.
Julia BENZ, SCRT, Future jeune diplômée de l’Ecole Polytechnique Fédérale

Téléchargez la présentation :

7 manières infaillibles de faire condamner son RSSI
Cette présentation se propose, à partir d’exemples concrets, de faire un bilan des principaux risques juridiques pour les RSSI et les équipes sécurité. Nous analyserons les affaires sensibles récentes et les risques les plus fréquents auxquels sont exposées les organisations (entreprises, administrations). Cette analyse, qui conservera un axe didactique et dynamique, permettra en conclusion d’élaborer les grandes lignes d’une méthodologie permettant d’appréhender et de gérer les risques juridiques.
Thiébaut DEVERGRANNE, Docteur en droit

Téléchargez la présentation :

Analyse des protections et mécanismes de chiffrement fournis par BitLocker
La démocratisation des ordinateurs portables au sein des entreprises s’accompagne d’une prise de conscience de la nécessité de protéger des informations confidentielles. Un nombre croissant chaque année d’agressions visant les informations stockées sur les supports de stockage font réagir les entreprises, qui cherchent alors des solutions à ce problème devenu majeur. L’arrivée de BitLocker sur les versions haut de gamme de Windows se veut être une solution à ce type de problème. Avec cet outil, il suffit de trois clics pour que le disque se chiffre.
Néanmoins, quels sont les mécanismes internes à BitLocker ? Est-il possible de s’assurer de la qualité du chiffrement mis en place ?
Nous expliquerons quelles sont les clés générées pour déchiffrer un volume BitLocker ainsi que les structures et méta-données utilisées au cœur même de celui-ci. Nous nous baserons sur un exemple concret issu d’un projet réalisé au sein d’HSC permettant de lire des partitions chiffrées avec BitLocker sous Linux.
Romain COLTEL, Consultant technique en sécurité informatique chez HSC

Téléchargez la présentation :

Développer des applications Web sécurisées. Et après ?
Qu’elles aient été conçues et mises en production en prenant ou non en compte les bonnes pratiques de sécurité, qu’elles soient hébergées en interne ou chez un tiers, la majorité des applications Web restent vulnérables. Pourtant, les bonnes pratiques de sécurité sont aujourd’hui largement diffusées, et les compétences ainsi que les technologies pour les sécuriser ne manquent pas.
Ce constat est le même depuis plus de 10 ans. Pourquoi rien ne change ?
Au cours de cet atelier, illustré par de nombreux retours d’expériences, nous expliquerons comment assurer la protection des applications web en production, notamment celles pour lesquelles il est souvent impossible de corriger le code, donc d’apporter des actions correctives rapidement, celles que l’on doit mettre en ligne pour demain et que l’on découvre, celles qui subissent le feu des attaques ou encore celles qui sont hébergées chez un tiers et qui échappent au contrôle du RSSI.
Jérémie JOURDIN, Responsable R&D – ADVENS

Téléchargez la présentation :

Exploitation de failles de sécurité. Démonstrations et présentations pratiques
• Exécution automatique de code depuis une clé USB sur un poste de travail Windows 7 malgré la désactivation de l’autorun ;
• Après l’attaque contre le WEP, illustration du crack de WiFi protégé par WPA par l’exploitation d’une faille dans le protocole WPS ;
• Démonstrations autour de la sécurité des nouvelles Cartes Bleues sans contact ;
• Présentation des mécanismes de sécurité de l’iPhone.
Les Démonstrateurs de l’ARCSI

Attaques réelles et backdoors .NET
Il n’a échappé à personne que 2011 avait été l’année des attaques par le truchement de documents PDF malformés.
Dans la première partie de cette présentation seront formulés des constats issus de la collecte d’une masse importante de documents adressés à des entités françaises variées. S’il sera démontré que les attaquants recyclent à outrance du code d’attaque conçu par d’autres (sans forcément le comprendre), on remarquera également que les « backdoors » et les canaux de contrôle utilisés varient grandement selon les équipes.
La deuxième partie de la présentation décrira plus en détail une backdoor originale, délivrée sous forme de bytecode .NET obfusqué. Les techniques de protection utilisées et les rares outils d’analyse disponibles seront présentés sous forme didactique.
Nicolas RUFF, Expert sécurité – EADS Innovation Works

Téléchargez la présentation : GS-Days – Nicolas RUFF – Analyse d’une backdoor .NET

Un tableau de bord sécurité comme outil de communication
L’un des principaux aspects du métier de RSSI est de piloter sa sécurité en accord avec la stratégie globale associée aux enjeux métier. Mais pour y arriver, il faut pouvoir disposer des outils adéquats permettant de s’informer pour obtenir un état des lieux sécurité de la situation courante et d’identifier les tendances associées à son évolution permettant ainsi de communiquer avec les différentes parties prenantes et de prendre les bonnes décisions, en disposent d’éléments factuels permettant de les justifier.
Dans la plupart des cas, le RSSI peut déjà s’appuyer sur des outils de reporting ou de supervision opérationnelle. Toutefois, ces outils ne permettent pas toujours de synthétiser au mieux l’information pour obtenir des indicateurs pertinents, ni de communiquer efficacement avec des non-spécialistes de la sécurité.
Nous vous proposons notre réponse à cette problématique, issue de notre travail de recherche sur les tableaux de bord sécurité articulé autour des points suivants :
• L’identification et le choix des indicateurs de sécurité synthétiques ;
• Le modèle mathématique permettant de produire ces indicateurs de synthèse en prenant en compte les aspects transverses de la sécurité ;
• Les différentes manières de représenter ces indicateurs visant aussi bien les aspects de pilotage que de communication. Afin d’illustrer notre propos, nous présenterons également un exemple concret, basé sur des retours d’expérience client.
Olivier ALLAIRE, en charge de la R&D Sécurité et co-fondateur, et Sébastien MICHAUD, Président et co-fondateur – Lineon

Téléchargez la présentation :

Retour d’expérience sur l’implantation d’un outil d’analyse de code source statique dans un cycle de développement logiciel d’applications Web
Les applications Web, loin d’être infaillibles, sont par nature exposées aux attaques externes, et paradoxalement, ont souvent des accès privilégiés à des données sensibles (bases clients, données internes).
Dans ce contexte, l’audit de sécurité technique est incontournable pour s’assurer d’un certain niveau de sécurité.
Afin de rendre systématique l’étape d’audit, nous avons fait le choix d’introduire un jalon d’audit sécurité dans le cycle de développement de nos applications Web, par la mise en œuvre d’un outil d’analyse de code source. Nous proposons de partager ce retour d’expérience en détaillant ce qui a guidé notre choix de solution, ainsi que sur les aspects techniques et organisationnels liés à la mise en place d’un tel dispositif.
Laurent BUTTI, Expert Sécurité Web, et Olivier MORETTI, Responsable Sécurité Web – Orange France

Téléchargez la présentation : GSDays2012-Orange

Attaques ciblées : quelles évolutions pour la gestion de crise ?
L’année 2011 a été l’année de la révélation au public des attaques ciblées et de leurs conséquences sur les grandes organisations. Celles-ci sont toutes aujourd’hui soumises à ce risque et doivent s’y préparent activement.
Notre retour d’expérience sur 2011 montre que les processus existants, conçus au début des années 2000 pour lutter contre les grandes crises virales, atteignent leur limite. Vision unitaire des incidents, correction au cas par cas, implication limitée à la DSI… sont autant d’éléments qui nuisent à une gestion moderne et efficace des crises.
A la lumière des évènements passés, la gestion de crise et des incidents doit devenir un sujet transverse à l’organisation, en lien direct avec sa stratégie de communication client. Et c’est bien au RSSI de s’emparer du sujet et de jouer son rôle de chef d’orchestre à la fois lors de la crise mais aussi en amont pour mieux la gérer.
L’objet de cette présentation sera de dresser un panorama des évènements récents et de leurs particularités, de proposer des évolutions aujourd’hui nécessaires pour la gestion de crise et des incidents et d’identifier les chantiers permettant de se prémunir et de bien réagir lors d’attaques ciblées.
Gérôme BILLOIS, Manager Sécurité, et Frédéric CHOLLET, Consultant senior au sein de l’entité PCA –Solucom

Téléchargez la présentation : GSDays 2012 Solucom

Quel protocole de fédération pour quel usage ?
Complémentarité et interopérabilité des standards de fédération OAuth, OpenID et SAML dans des contextes BtoC et BtoB
Cloud, Réseaux sociaux, Budget IT serré et Mobilité, en quoi le concept de fédération peut répondre aux nouvelles problématiques du SI posées par ces changements ?
Après une présentation complète des environnements technologiques et cas d’usages nous apporterons en conclusion des éléments de réponses à des problématiques orientées nouveaux usages et utilisateurs. Dans un contexte où la mobilité et la consumérisation se sont installées, il convient de se recentrer sur l’utilisateur lui-même en sécurisant son accès à des services accessibles « en tout lieu », « à tout moment » et depuis « tout type de terminal ». Le contenu de la conférence :
• Fédération d’identité : socle de connaissance général concepts et protocoles ;
• Cas d’usage BtoB – BtoC : orientation d’usage des protocoles et cas d’usage en contexte d’entreprise ;
• Les évolutions technologiques : scénarii d’interopérabilité entre protocoles avec leurs bénéfices/impacts et proxy d’identité ;
• Nouveaux comportements et bonnes pratiques : état des bonnes pratiques en matière de parcours utilisateurs et présentation des particularités liées aux Smartphones et aux évolutions à venir.
Fabrice VAZQUEZ, Consultant Sécurité du SI – Harmonie Technologie

Téléchargez la présentation : GSDAYS Fabrice-Vazquez

La Fédération des Professionnels des Tests Intrusifs, 12 ans après
La FPTI, Fédération des Professionnels de Tests Intrusifs, est une association à but non lucratif (loi de 1901) qui a pour objet de fédérer les professionnels des tests d’intrusion et de promouvoir cette activité. La FPTI est à l’origine de la Charte déontologique de l’Intrusion, rédigée en 2000, qui est aujourd’hui un document de référence pour la Profession. En participant à cette session, vous découvrirez l’association, son historique, son fonctionnement avec ses membres et le Comité d’Ethique RSSI, ses objectifs et actions pour favoriser le métier des tests d’intrusion, sa professionnalisation et son encadrement.
Matthieu HENTZIEN (HSC) et Olivier REVENU (EdelWeb), FPTI

Téléchargez la présentation :

Hack Mac OS X
On entend souvent dire, « Windows ce nʼest pas sécurisé, moi jʼutilise Mac OS X, cʼest tellement mieux sécurisé !! »
Est-ce en effet le cas ou non ?
L’objectif de cette présentation est de présenter différentes méthodes de compromission du système Mac OS X sympas, relativement simples à mettre en œuvre et souvent peu connues du grand public. Ces méthodes seront présentées selon le positionnement et les droits qu’un attaquant a pu obtenir lors dʼune tentative de compromission. Par exemple, est-il simple de pirater un Mac à distance ou depuis un accès physique ? Une démonstration permettra notamment de mettre en exergue la simplicité avec laquelle il est possible de compromettre un Mac depuis un accès physique…
Arnaud MALARD, Consultant – BU Sécurité de Devoteam

Téléchargez la présentation : HackMacOSX-GSDays2012

Notification des failles de sécurité
La transposition l’été dernier du Paquet Télécom a introduit en France l’obligation de notification des failles de sécurité. A qui s’adresse cette obligation ? Quand s’applique-t-elle ? Que recouvre la notion de « violation de données personnelles » ? A qui notifier la faille de sécurité ? Sous quelle forme ? L’objectif est d’apporter des réponses pratiques à ces questions et à d’autres…
Hervé GABADOU, Avocat associé – Cabinet Courtois Lebel

Téléchargez la présentation :