Accueil Editions Précédentes Actes de conférence Actes de Conférence – Édition 2011

[ Actes de Conférence – Édition 2011 ]

Actes de Conférence – Édition 2011

Voici les actes de conférence de la 3ème édition des GS Days, qui s’est tenue le 10 mai 2011.

- Paul-Olivier GIBERT, AFCDP, Eric DOYEN, Generali, Diane MULLENEX, Avocat, et Hervé SCHAUER, HSC : Les équipes sécurité dans la tourmente des nouveaux moyens de communication
Les nouveaux outils de communication, qui s’invitent en entreprise de gré ou de force, entraînent une véritable mutation dans la façon de penser la sécurité. Face à ce phénomène, les équipes sécurité sont en première ligne. Comment doivent-elles se positionner à une période où la sécurité échappe de plus en plus à leur contrôle ? Quels sont leurs rôles et leurs missions à l’ère du Cloud Computing et d’une sécurité externalisée ? Quel est leur champ d’action face aux mastodontes que sont Google, Apple, etc.?

- Jérémy LEBOURDAIS, EdelWeb – Groupe ON-X : WebScarab : développement de nouveaux modules pour les tests d’intrusion
WebScarab est un "proxy-intrusif", outil créé par l’OWASP et sous licence GPL. Sa licence libre et sa modularité ont été mis à profit lors de tests d’intrusion d’applications Web afin de pouvoir adapter rapidement à la cible les fonctions natives proposées. Parmi les développements réalisés, et qui seront présentés, se trouvent : le support de flux AMF (utilisé par des applications "Flex"), un moteur basique de test d’injections, le support d’objets Java sérialisés, l’ajout de petites fonctionnalités, la correction de bugs mineurs. L’objectif de la présentation est de présenter les possibilités d’évolution de WebScarab, sous licence libre, illustrées par des développements concrets.

- François JAN, Arismore : Ouverture des SI et fédération d’identité
Après un tour d’horizon du contexte et des moteurs justifiant l’usage de la fédération d’identité - tant du point de vue des entreprises que des internautes -, François Jan, expert en gestion des accès et des identités, donnera un aperçu des différentes normes. Cette intervention sera illustrée par des exemples d’implémentation sans occulter les difficultés inhérentes. Y seront également abordées les propositions du gouvernement américain pour lever un des freins à l’utilisation de la fédération d’identité.

- Laurent CHOURAKI, Franck RIOUX et Michel DUBOIS, ARCSI : Exploitation de failles de sécurité. Démonstrations et présentations pratiques
L’Association des Réservistes du Chiffre et de la Sécurité de l’Information (ARCSI) vous démontrera par des exemples que l’exploitation des vulnérabilités et failles dans l’informatique du quotidien est à la porté d’un ado, un peu branché NTIC, qui utilise juste quelques outils disponibles sur le Net :
- Laurent CHOURAKI, membre de l’ARCSI, Consultant en Sécurité des Systèmes d’Information.
Démonstrations :
Viber (téléphonie gratuite sur iPhone) : C’est tellement simple à utiliser... qu’on en oubli la sécurité.
AR Drone (Drone jouet piloté depuis un iPhone) : La documentation indique qu’il n’y a pas de sécurité...
Prenons ensemble quelques minutes pour y regarder de plus près et vérifions que c’est vrai !
- Franck RIOUX, Consultant "protection de l’information"
Démonstrations :
Piégeage d’un support externe.
Récupération, aspiration du contenu d’une clé USB.
- Michel DUBOIS, membre de l’ARCSI, chercheur doctorant au laboratoire de cryptologie et de virologie opérationnelle de l’ESIEA
Démonstrations :
Génération de faux mails, envois de PDF piégé et prise en main de la machine cible.
Prise en main à distance d’un ordinateur à partir de nmap et metasploit.
Piégeage et prise en main à distance d’un ordinateur à partir d’une clef USB non vérolée (faille DLL Hijacking).

- Nicolas RUFF, EADS Innovation Works : Détecter les intrusions gratuitement
La succession récente de compromissions graves (NASDAQ, Bercy, Commission Européenne, RSA, Comodo, etc.) ne laisse plus aucun doute sur la motivation et la compétence des attaquants.
Quelle que soit la qualité des éditeurs logiciels, une stratégie de défense purement basée sur des produits de sécurité a échoué à prévenir ces intrusions.
Cette présentation proposera donc de nouvelles directions - simples, pragmatiques, et efficaces - pour lutter contre ce qu’il est convenu d’appeler les "APT", sur la base des expériences personnelles de l’intervenant.

- Benoit TANGUY, Solucom : Biométrie et authentification au SI : mythes et réalités
Depuis une dizaine d’années, des solutions d’identification et d’authentification à base de technologie biométrique sont disponibles sur le marché. Leurs déploiements initialement relativement confidentiels deviennent aujourd’hui une réalité. L’objet de la présentation est dans un premier temps de revenir les principes de la biométrie mais aussi sur les capacités et limites de cette technologie dans le contexte de la sécurité IT. Enfin, elle abordera des retours d’expériences de déploiements réussis et avortés entre 2002 et 2011 et évoquera les facteurs de succès, les points d’attentions notamment juridiques et les périmètres où la biométrie a un réel intérêt.

- Julien BACHMANN, SCRT : Reverse engineering iOS binaries
Avec 160 millions d’utilisateurs et plus de 10 milliard de téléchargements sur l’AppStore, les terminaux iOS deviennent une cible intéressante pour des personnes mal intentionnées en quête d’informations à revendre. Se pose alors la question de la vérification des actions et fonctionnalités de ces applications. En effet, malgré les contrôles réalisés par Apple certaines applications malveillantes parviennent à se forger un chemin sur la plateforme de téléchargement. D’autre part, les applications d’e-banking ont fait leur apparition et le stockage et le transfert des informations est un point sensible.
Cette présentation vise à donner des bases quant au reverse engineering de binaires iOS provenant de l’AppStore : présentation de la plateforme (processeur, formats utilisés, ...), déchiffrement des applications ou encore les points importants à vérifier lors d’une analyse.

- Stéphane SCIACCO, Orange Business Services : Axe de réflexion autour d’une doctrine de cyber défense au sein d’un opérateur
L’exposé tentera de vous proposer des principes susceptibles de participer à la construction de stratégies de défense. Cette démarche sera articulée autour de 5 notions. Ces principes sont : la formation (avant et pendant la carrière du personnel), « l’orchestration » (organisation des ressources), la résilience (construction et l’exploitation de l’ensemble des barrières de protection d’une entreprise, veille, exercices de défense), la normalisation (certification ou conformité) et communication (adhésion et gestion de crise). Ces principes représentent une liste non exhaustive, l’ajout de nouveaux principes comme « la défense active » (l’attaque) pourrait dans certain cas être utilisé.

- Thibaut LEVESLIN, Hervé Schauer Consultants : Extraction des empreintes de mots de passe en environnement Windows
Dans le cadre d’un test d’intrusion, il est toujours intéressant de pouvoir récupérer les empreintes des mots de passe des différents utilisateurs du système. En effet, en environnement Windows, il n’est pas nécessaire de disposer du mot de passe en clair d’un utilisateur pour pouvoir accéder à ses ressources (qu’il s’agisse de répertoires réseaux ou de l’accès distant à sa machine) avec son identité. La connaissance de l’empreinte de son mot de passe (aussi appelée « hash ») est généralement suffisante. Les outils habituellement utilisés pour extraire les empreintes des mots de passe sur les systèmes Microsoft Windows se retrouvent bien souvent bloqués sur des systèmes récents et disposant d’un antivirus. Dans certains cas, ils peuvent provoquer un dysfonctionnement de la machine ciblée, du fait des techniques intrusives mises en œuvre.
Cette conférence propose une démarche non intrusive d’extraction des empreintes, aussi bien pour les empreintes des comptes locaux, stockées dans le registre, que pour les empreintes des comptes d’un domaine Active Directory. Une démonstration de l’outil développé sera réalisée.

- Olivier PATOLE, Devoteam : Vous voulez perdre de l’argent, il y a une application pour ça …
L’incroyable essor des applications mobiles donnent de nouvelles perspectives aux entreprises tant pour des usages BtoB que BtoC. En effet, les entreprises voient en ces outils une façon de rendre productif un collaborateur tout en se déplaçant ou tout simplement offrir aux clients la possibilité de consommer à la demande. Cette ruée vers l’application mobile et ce besoin de les diffuser en un temps record ne se fait-elle pas au détriment de la sécurité du système d’information de l’entreprise ? Les bonnes pratiques en termes de développement d’applications mobiles sont-elles connues, respectées ?

- Joseph GRACEFFA, ADVENS:Terminaux mobiles et fuites d’information : une analyse des faits récents dans ce domaine …
Cette conférence permettra de faire le point sur l’ensemble des faits récents de fuite d’information depuis les terminaux mobiles (smartphones), que ce soit vers les constructeurs et développeurs d’OS mobiles, ou tout autre acteur de la mobilité.
Les capacités croissantes de ces terminaux (connexion Internet permanente, GPS, géolocalisation par réseau Wifi et GSM, Bluetooth ...) soulèvent des interrogations quant au respect de la vie privée des utilisateurs mais également sur la sécurité des données professionnelles détenues sur ces équipements. L’arrivée des terminaux mobiles, tant personnels que professionnels dans le monde de l’entreprise lui impose d’être consciente du risque associé quant à la fuite d’informations et de prévoir les contre mesures adaptées, tant techniques qu’organisationnelles, qu’au niveau de l’utilisateur lui-même.

- Diane MULLENEX, Avocat à la Cour : Dualité des usages du poste de travail – Quelle sécurité pour l’entreprise lorsque les frontières entre utilisation personnelle et professionnelle des ressources numériques de l’entreprise deviennent floues ?
Usage à titre personnel du poste de travail – E-mails, réseaux sociaux, etc. quels sont les droits de l’employeur en terme de contrôle ? Les éléments de surveillance peuvent-ils être utilisés dans une procédure de licenciement (Affaire Facebook et Audrey) ?
Usage dans le cadre professionnel d’équipements personnels – Quel contrôle l’employeur peut-il exercer sur les équipements personnels qui sont connectés au réseau de l’entreprise ? Quelle est la responsabilité du salarié en cas d’importation de virus et autres botnet ? La sanction peut-elle aller jusqu’au licenciement ?

- Thibault KOECHLIN, NBS System : Atelier technique : démonstration d’un WAF en mode open source
Les consultants de NBS-SYSTEM vous proposent, en avant première, lors de
cet atelier, de tester "mod_upe" (Url Policy Enforcement), un module
open-source de firewall applicatif pour NGINX, développé par NBS.
Fortement inspiré de mod_security (Apache), mod_upe se tourne vers les
reverse proxy haute performances.
mod_upe repose fortement sur un système d’apprentissage automatisé
permettant une génération automatique de règles, préférant une approche
par liste blanche à un système de patterns complexes ayant présenté en
de maintes occasions ses limites.
Les personnes désireuses de mettre en place un firewall applicatif sont invitées, mais nous attendons aussi nos compères experts en sécurité applicative afin de trouver les limites et les axes d’amélioration à notre module. mod_upe sera ensuite releasé en open-source.

- Christophe D’ARCY – MIRCA : Les limites de la DLP pour répondre à toute la problématique de la fuite d’information
Les événements récents de l’actualité (Wikileaks, Renault, Ministère de l’Economie et des Finances, J.P. Morgan) rappellent combien la compétition est féroce, et combien l’information devient un enjeu fondamental à tous les niveaux des organisations. Avec des systèmes de plus en plus ouverts et mal contrôlés, la sécurité des données ne peut se faire qu’au niveau de l’information elle-même. La Prévention de la Fuite d’Information (DLP – Data Leak Prevention) est censée répondre à cette problématique. Mais est-elle suffisante ? Quelles en sont les limites ? Comment s’intègre-t-elle dans la politique globale de sécurité de l’information ? Nous apporterons ici des éléments de réponses à ces différentes questions.