Accueil Editions Précédentes Actes de conférence Actes de Conférence – Édition 2013

[ Actes de Conférence – Édition 2013 ]

Actes de Conférence – Édition 2013

Voici les actes de conférence de l’édition 2013 des GS Days.

Conférence plénière : La sécurité du Cloud : au-delà d’une vision manichéenne
Le Cloud Computing est-il une opportunité ou un risque pour la sécurité des données hébergées ? Si la question pouvait encore se poser en des termes aussi tranchés il y a peu, la perception du Cloud est aujourd’hui moins manichéenne. Entre ses aspects techniques, juridiques et organisationnels, le choix du Nuage doit désormais passer par une réflexion plus fine et pluri-disciplinaire. Cette conférence plénière réunira des experts juridiques, techniques et des professionnels du Cloud afin de débattre des meilleures approches pour atteindre en toute sécurité le Nuage !
Table ronde avec Maître Diane Mullenex, Cabinet Ichay & Mullenex, Philippe Humeau, DG de NBS System, créateur de CerberHost, Thierry Floriani, RSSI de Numergy, Alexandre Morel, Chef de projet chez OVH, Olivier Iteanu, Secrétaire Général d’EuroCloud – Modérateur : Jérôme Saiz, Expert Sécurité et Rédacteur en Chef du Magazine de la Communauté Sécurité Qualys

Les vulnérabilités dans les frameworks Web modernes
De nombreux sites commerciaux et personnels se reposent actuellement sur des frameworks Web modernes, tels que Ruby On Rails, Symfony, Django… Ces frameworks embarquent de base des composants logiciels haut niveau pour gérer toute la sécurité de l’application sans forcément que les développeurs aient conscience des risques de sécurité sous-jacents. Cette présentation vise à mettre en lumière les failles de sécurité liées à ces frameworks, ainsi que leur exploitation.
Nicolas Oberli et Florent Batard, Ingénieurs Sécurité – SCRT

Hacktivistes, de la scientologie aux cyber-guerres
De par les idées qu’il véhicule, le hacking a toujours eu une connotation politique. Ces dernières années, ce phénomène s’est encore accentué depuis que certains ont choisi de prendre les armes (informatiques) au service de combats politiques. Même si l’on ne peut pas parler d’organisations structurées ou hiérarchisées, plusieurs collectifs d’hacktivistes existent aujourd’hui.
Défendant souvent des causes communes (comme la lutte contre la censure), Anonymous, Telecomix ou NullCrew sont autant de groupes apparus sur la scène militante. De plus, cette tendance à l’hacktivisme est en augmentation. En effet, la médiatisation grandissante de leurs actions, ainsi que la notion « d’activisme de canapé », permet à ces hackers d’avoir un soutien important des populations.
Du déni de service distribué aux manifestations plus traditionnelles en passant par la mise en place de canaux de discussion sécurisés, les moyens qu’ils emploient pour soutenir, voire participer aux contestations politiques mondiales sont variés.
En détaillant les actions marquantes, ainsi que les modes d’actions et de fonctionnements de ces collectifs, cette présentation a pour but de cerner leurs organisations, leurs motivations et de préciser leurs méthodes d’actions.
_Yoann HEDDE, Pentesteur et Consultant en sécurité informatique – Lineon

Extraction de données authentifiantes de la mémoire Windows
Lors de la réalisation de tests d’intrusion, la récupération de mots de passe sur les postes compromis permet de rebondir au sein du réseau pour atteindre les éléments les plus critiques de l’infrastructure. En vu de la réalisation de cet objectif, les différents types de stockage et algorithmes utilisés par Windows seront détaillés afin de comprendre le fonctionnement des différents outils d’extraction. L’extraction des données authentifiantes en mémoire (empreintes, mots de passe) sera le principal sujet de l’intervention. L’outil développé sera présenté, puis publié à la suite de la conférence.
_Steeve BARBEAU, Consultant en sécurité informatique – Hervé Schauer Consultants

Le marché du M-paiement, nouveau terrain de jeu pour les cybercriminels
Le M-Paiement et la sécurité sont-elles des notions contradictoires ou complémentaires ? Alors que le paiement mobile est à l’origine d’une transformation majeure de l’industrie des paiements, ce nouveau mode de transaction pose de nombreuses questions notamment en termes de sécurité. Les risques de fraude, la protection du consentement des utilisateurs et la lutte contre la cybercriminalité sont autant d’enjeux fondamentaux à ne pas ignorer avant de se lancer dans cette aventure.
_Maître Diane Mullenex, Avocat à la Cour – Solicitor England & Wales – Cabinet Ichay & Mullenex Avocats

Conférence plénière : Mise en place d’une capacité en défense des réseaux au sein du Conseil de l’UE : de la théorie à la pratique
La Cyber Défense ou Cyber Sécurité est devenue depuis quelques années un « buzzwords », des mots très en vogue et en tout cas la solution à tous nos cyber maux. Mais ce domaine, qui ne fait finalement que compléter les autres pièces du puzzle de la Sécurité est spécifique, immensément vaste, complexe et incroyablement coûteux… Beaucoup d’organisations se targuent d’être à la pointe quand bien souvent il n’en est rien. Quelques autres en ont parfaitement compris les enjeux mais ont des difficultés à appréhender le concept et donc à dégager des solutions pratiques.
Basée à la fois sur des études et des expériences réelles (à la fois à l’OTAN et à l’Union Européenne), cette conférence décrit à la fois la problématique et les stratégies de développement possibles pour l’élaboration d’une capacité en Cyberdéfense.
Jean-Luc AUBOIN, Chef du Secteur « Défense des réseaux » de l’Unité « Sécurité des SIC-Sensibles » du Secrétariat Général du Conseil de l’UE, et Sébastien LEONNET, Chef d’unité, DGA-CIS / Sécurité des SIC-Sensibles, Secrétariat Général du Conseil de l’UE

Téléchargez les présentations :
- GS Days 2013 – Jean-Luc Auboin
- GS Days 2013 – Sebastien Leonnet

Les APT sont-elles des attaques avancées ?
APT : « Advanced Persistent Threat », ou cyber-espionnage en bon français. _ Plusieurs voix se sont récemment élevées sur Internet pour dire que le niveau des attaques ne serait pas si « avancé » qu’on pourrait le croire… même s’il est vrai que les défenseurs sont largement à blâmer dans le succès des APT, cette session sera néanmoins l’occasion de démontrer quelques techniques d’exploitation, d’évasion et d’anti-détection originales identifiées dans des codes réels.
Nicolas RUFF, Expert sécurité – EADS Innovation Works

Comment industrialiser le processus de gestion des risques
Les sinistres sont malheureusement encore aujourd’hui pour les directions, le principal vecteur de prise de conscience des défaillances de la sécurité du SI dans leur structure. Malgré l’émergence des standards de management de la sécurité et des méthodes d’analyse de risques, les grands groupes et administrations ne parviennent pas aujourd’hui à mettre en place un processus d’appréciation et de gestion des risques efficace… Comment évoluer du mode correctif et ponctuel de réponse à un sinistre vers le traitement des risques dans la durée ? Quelles sont les clés d’une gestion des risques opérationnelle ? Comment industrialiser ce processus dans nos structures ?
Jean LARROUMETS, Consultant senior et co-fondateur – Fidens

Téléchargez la présentation :

A-IPS, le chaînon manquant ?
La protection des applications sensibles et spécifiques, – i.e. qui ne sont pas des produits sur étagère -, est théoriquement obtenue par une validation « parfaite ». Dans la réalité, … on cherchera à associer des dispositifs externes (Web Application Firewall pour filtrer les interfaces, profil MAC pour limiter la réutilisation abusive du processus, etc…), et à disposer de logs détaillés pour les forensics éventuels.
Ces applications spécifiques ont leur propre système de traces et sont inconnues des outils standards (IDS / IPS ou analyseur de logs). Il est donc difficile de détecter des attaques qui portent sur l’application elle-même, de remonter rapidement des alertes au SIEM central, et quasi impossible d’envisager un blocage des attaquants distants par analyse comportementale. Cette présentation décrira la démarche adoptée en interne pour permettre aux équipes d’augmenter le niveau de protection de leurs projets sensibles. Cet A-IDS / A-IPS, indépendant des applications, est déployé dans le but de détecter efficacement les comportements anormaux et éventuellement de bloquer automatiquement l’origine de l’attaque.
Eric GARREAU, Server Security Expert – Security Labs, Gemalto

Démonstrations d’exploitations de failles de sécurité et présentations pratiques, par les démonstrateurs de l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information)
Comment un expert judiciaire peut-il faire « parler » votre téléphone portable ?
De plus en plus de personnes utilisent leurs téléphones portables à la place des ordinateurs professionnels et personnels. De ce fait, lors d’une perquisition judiciaire, les forces de l’ordre n’hésitent plus à saisir ces appareils à qui l’on confie tout ou presque. Pour l’investigation de ces ordiphones (smartphones), l’expert doit être équipé de logiciels et de matériels afin de pouvoir expertiser tous les types de téléphones. Il doit pouvoir contourner toutes les protections pour accéder aux informations contenues dans ces téléphones (SMS, messages vocaux, messagerie instantanée, Facebook, etc.). Que ces fichiers soient protégés par des accès restreints, chiffrés ou effacés, l’expert judiciaire vous montrera comment il procède pour extraire ces fichiers et ainsi aider la justice dans la manifestation de la vérité !
Cyrille TESSER – Expert près la Cour d’appel de Paris – Expert en Sécurité des Systèmes d’Information

Votre portable et le droit ?
De nos jours, le portable est un instrument à tout faire. Il renferme des données à caractère personnel qui s’échangent très facilement. Or, nous tous, encourrons des risques de façon inconsciente ou consciente et ceci va se développer de plus en plus. Que pouvons-nous faire du côté du droit ?
I – Qu’est-ce qu’un portable en droit ?
II – Comment assurer la sécurité juridique ?
III – Les limites de la sécurité juridique du portable.
Isabelle LANDREAU – Cabinet d’avocats LANDREAU

Téléchargez la présentation : GS Days 2013 – Isabelle Landreau

Les frameworks d’exploitation, amis ou ennemis ?
Le framework d’exploitation metasploit est une référence dans le domaine de l’intrusion informatique. Sa simplicité d’utilisation en fait un outil à la portée de tous les administrateurs, mais aussi de tous les attaquants potentiels. Les dernières vulnérabilités concernant Java ne font pas exceptions à la règle, de l’exploitation à l’escalade de privilège en passant par le vol d’information, nous verrons la facilité de se jouer des systèmes informatiques actuels.
Vincent HAUTOT – Auditeur sécurité offensive – Société SYSDREAM

HTML5 et la sécurité, un point d’étape
De nombreux sites Web sont actuellement en cours d’adoption du standard HTML5. Cette nouvelle version de HTML améliore fortement l’expérience utilisateur. Mais qu’en est-il des potentiels problèmes de sécurité dus à des développements malveillants ? Ou des développements faits par des WebAgency qui ne comprennent pas tous les impacts d’une WebSocket ?
Lors de cette présentation, nous ferons un point d’étape sur HTML5 (état du standard), décrirons quelques fonctionnalités nouvelles et verrons les impacts éventuels sur la sécurité du LAN/Poste Client.
Sébastien GIORIA, French OWASP Leader – OWASP France

Réglementer et outiller sans acculturer n’est que ruine de la sécurité
Dans un univers global, incertain et hyper-complexe, la Sécurité des SI doit sans doute, sans que ce soit paradoxal, effectuer un saut créatif tout en revenant sur ses fondamentaux.
La Sécurité numérique (ou cyber-sécurité) s’adresse aux usages plus qu’aux systèmes, à la négligence / malveillance plus qu’aux erreurs / accidents. Elle propose une nouvelle évolution du secteur et se situe au cœur de la sécurité globale impliquant entreprises, états et individus (citoyens/employés/parents/consommateurs). Et plus que jamais les questions d’acculturation (mêlant le business, le numérique et la sécurité) doivent devancer ou au moins accompagner la démarche dans son ensemble. Mais comment ?
Cette intervention démontrera que des progrès tangibles sont possibles dès lors qu’un processus en 4 axes (risques / accès / secret / contrôle) accompagne une approche innovante de la gestion des risques mêlant stratégie, sociologie, technologie, juridique et économie. Des éclairages concrets seront proposés au travers des nouveaux usages (Cloud Computing, mobilité, médias sociaux) et de la menace « social engineering ».
Pierre-Luc REFALO, Directeur Associé – Hapsis