Recorded Future, cabinet d’expertise InfoSec, publie un rapport sur l’analyse d’une centaine « d’exploits kit ». Sans surprise, les vulnérabilités Flash sont des points d’intrusion dans 8 cas sur 10, devant Internet Explorer.

Deux articles sur le camouflage des outils de « télécommande » destinés aux botnets viennent d’être publiés, l’un par deux chercheurs de Dell SecureWorks et CrowdStrike (Pierre-Marc Bureau et Christian Dietrich), l’autre par Artturi Lehtiö de F-Secure. Deux enquêtes sur les astuces les plus échevelées que développent aussi bien les grands réseaux mafieux que les services de renseignement de quelques Etats-Nation impliqués dans les actes de cyber-guerre.

Le papier Dell/CrowsStrike se focalise sur l’usage de la stéganographie pour véhiculer les ordres du C&C. Stegoloader cache son code dans les fichiers PNG, Lurk dans les BMP et Gozi dans les icones Windows résument à la fois l’article du blog de Dell et la série d’écrans de présentation utilisée lors de la Black Hat Europe qui s’est achevée la semaine passée.

Cette utilisation hors norme des images comme couche de transport n’est pas sans rappeler les travaux que Saumil Shah à l’occasion de la première NoSuchCon. Les conclusions d’alors sont toujours valables : il est vain de vouloir filtrer toutes les images du Web pour en détecter une commande cryptique. Et il est presque aussi difficile d’envisager de détourner le botnet ainsi piloté, puisque les vecteurs de diffusion potentiels sont innombrables et leurs serveurs d’hébergement généralement profondément cachés dans le code du Bot.

Artturi Lehtiö, de son côté, destinait la publication de ses recherches au Virus Bulletin. Il s’agit là encore d’une analyse des techniques de camouflage des échanges entre C&C et machine zombifiée, mais en utilisant cette fois réseaux sociaux et autres services en ligne. Cela va du simple fichier hébergé sur Google Doc (Backdoor.Makadocs), au message discret (mais public) envoyé sur Twitter (Janicab). Cette approche avait été pressentie et décrite dès 2010 par Ziv Gadot et Itzik Kotler lors de la conférence Hackito Ergo Sum de 2010, puis de plus en plus largement utilisée par le côté obscur de la force, ainsi ce botnet visant la sphère Apple et qui lisait les articles de Reddit, ou cette infection Android qui allait se repaître dans les espaces infinis de la blogosphère (étude conduite en 2011 déjà).

Mais le summum de la duplicité, expliquent le chercheur, c’est lorsque le C&C d’OnionDuke utilise Twitter pour y émettre des mises à jour elles-mêmes camouflées dans une image postée. Stéganographie et réseaux sociaux, le mélange est détonnant.

Et Lehtiö d’énumérer les vecteurs de pilotage : Skype, Facebook, Google Calendar, Yahoo mail, Google Talk, MSN Messenger, et, lorsque le botnet cible les équipements mobiles, les ordres sont transmis par Baidu, ou les push du Google’s Cloud Messaging. Les données extraites suivent un chemin comparable, plus adapté au volume de l’information. Microsoft Onedrive, par exemple, ou Cloudme.com.

La série d’attentats du 13 novembre continue de provoquer des glissements sémantiques dans la presse technique d’Outre Atlantique. Le New York Times publie un très long article, aussi documenté que précis, sur l’enchaînement des actes terroristes et glisse, au détour d’un chapitre, un très prudent « European officials said they believed the Paris attackers had used some kind of encrypted communication, but offered no evidence » (quelques personnalités Européennes déclarent qu’elles pensent plausible l’usage par les attaquants de certains moyens de communication chiffrés ».

Ars Technica, se basant sur l’article du NYT, titre alors « ISIS encrypted communications with Paris attackers, French officials say » (Daech chiffrait ses communications avec les attaquants, déclarent les représentants du gouvernement Français). De l’hypothèse (probable), on passe à l’affirmation péremptoire. Cela rappelle les suspicions d’usage de la stéganographie par Al Quaida lors de la préparation de l’attentat du 11 septembre 2001. Usage qui n’a jamais été prouvé dans le cadre de cet évènement précis, contrairement à la technique des « boîtes mortes » sur Internet qui a effectivement beaucoup servi. Ce qui n’a pas pour autant rendu hors la loi le business des messageries Cloud. La sécurité d’Etat pourrait s’arrêter là où le business est fructueux ?

Le NYT encore, témoigne de la pugnacité de Tom Brennan, Directeur de la CIA qui, depuis des années, régulièrement, agite le chiffrement des échanges sur Internet comme un épouvantail, et explique que c’est là un moyen largement utilisé par les terroristes. Le fond de commerce de Brennan (la peur, l’incertitude, le doute, la stigmatisation et surtout l’inlassable répétition) commence à faire écho auprès de plus en plus de Sénateurs US, sans toujours la moindre preuve venant confirmer cette possibilité. Que la Maison Blanche valide ces théories, et l’Europe pourrait bien, par mimétisme, profiter de cette attitude pour justifier la résurrection de vieilles idées sécuritaires telles que les tiers de confiance et les clefs de séquestre.

Et ce, malgré un troisième article du NYT qui martèle à nouveau « les personnes autorisées tant Américaines que Françaises déclarent qu’il n’existe encore aucune preuve venant étayer la thèse que les terroristes du vendredi 13 novembre ont utilisé des technologies de chiffrement nouvelles et difficiles à casser ». Ce qui n’empêche pas Brennan et autres politiques d’expliquer, chiffres à l’appui, que depuis les révélations Snowden et la psychose des écoutes NSA, le nombre de personnes utilisant des outils de chiffrement, des réseaux chiffrés (Tor étant le premier visé) ou des systèmes sécurisés tels que Tails (https://tails.boum.org/) a plus que doublé, voir triplé en l’espace de deux ans. Mais, aurait ajouté Pierre Dac, il s’agit d’une frange d’utilisateurs « partis de rien pour arriver à pas grand-chose ». Les afficionados de Tails se comptent en dizaines de milliers, pas en milliards d’internautes. Idem pour les adorateurs du culte de Tor l’Oignon Sacré. Et l’installation de GPG relève, proportionnellement au nombre réel d’abonnés au Net, de l’usage anecdotique. D’ailleurs, l’emploi que Daech fait de ces techniques est lui-même assez limité, puisqu’un premier site d’information djihadiste vient à peine d’apparaître sur le Darknet, faisant la promotion au passage d’un outil d’échange chiffré assez simplifié. Cette naissance a été signalée sur Krypt3ia et CSO Online.

Quelques journalistes parviennent pourtant, dans ce climat anxiogène, à résister. Glenn Greenwald, de The Intercept, titre« Exploiter les émotions soulevées après les attentats de Paris pour condamner Snowden détourne l’attention qui devrait se focaliser sur les coupables effectifs, à savoir le bras armé de Daech ». Greenwald laisse clairement entendre que les attentats sont considérés par les faucons Républicains non pas comme un évènement grave dont il faut rapidement tenter de combattre les causes, mais comme un prétexte arrivant à point nommé pour justifier des visées politiques. Et Greenwald de s’indigner de l’attitude de ces « journalists mindlessly and uncritically repeat whatever U.S. officials whisper in their ear about what happened ». Car les récents attentats sont aussi l’occasion de faire jouer les techniques d’influence et d’orientation de certains médias, notamment ceux en quête de sensationnel.

Instrumentalisation encore, mais du côté de la Grande Bretagne cette fois, puisque le Premier Ministre David Cameron fait son possible pour accélérer la procédure d’adoption d’une proposition de loi baptisée « Investigatory Powers Bill » rapporte The Stack. Au fil de ce texte, l’obligation de rétention des données par les FAI sur une durée d’un an, et la mise hors la loi de tout système de chiffrement « zero knowledge ».

L’usage du Chiffre est-il la conséquence des alertes lancées par Edward Snowden ? Si la réponse est « oui », il faut également mettre au ban de la société tous les personnages qui ont eu recours à ce genre de technique dans le cadre de correspondances clandestines. Ce qui risque de compromettre la réputation de Jules César, Marie Stuart ou Edgar Poe.

Les amateurs de mantras hypnotiques apprécieront cette nouvelle dévoilée par Softpedia, et narrant la déconvenue des forces de police US (dont certaines unités du Swat, les forces d’intervention de la police des Etats Unis) lorsque ceux-ci ont appris que leur caméras portatives étaient, en partie, infectées par le virus-ver Conficker. Ce vieux briscard de l’infection semble s’être glissé dans les « master » de l’entreprise Martel, fabricant d’équipements électroniques tactiques. Le raccordement de la caméra à un ordinateur mal protégé provoque alors quelques surprises sur l’ensemble du réseau.

Un tout autre exemple de vulnérabilité épique est donnée par Brian Krebs, lequel revient sur une série de vulnérabilités très connues qui ont affecté les routeurs WiFi de la société Ubiquity, provoquant la bagatelle de plus d’un demi-million de trous de sécurité dans le monde. Généralement, les trous de sécurité les plus médiatisés affectent la partie WiFi du routeur. Laquelle n’est exploitable que dans le cadre très restreint d’une attaque ciblée, puisqu’il faut que l’adversaire se trouve à portée dudit routeur. Dans le cas du défaut Ubiquity, le problème était un peu plus délicat, puisqu’il concernait une configuration par défaut d’une console d’administration distante. Un « open bar » de 600 000 points d’accès réseau.

Fuites d’informations, volontaires cette fois, chez Vizio, un fabricant de téléviseurs « intelligents ». Si intelligents, nous raconte Ars Technica, qu’il flique les habitudes de ses usagers dans le but d’en fournir des statistiques et analyses à des entreprises tierces (la chose est spécifiée dans le contrat d’utilisation de l’appareil). Informations intrusives qui, précise l’article, s’étend à d’autres appareils reliés au système vidéo (tablette, téléphone etc.). Cet ensemble de« non-personal identifiable information (that) may be shared with select partners » inquiète d’autant plus que cette prétendue anonymisation des données est un leurre. Une fois le numéro IP extrait, donc indirectement la région dans laquelle vit le client ainsi surveillé, il est excessivement simple d’y accoler une identité. D’ailleurs, et bien que nos confrères de Ars Technica ne le mentionnent pas dans leur article, la collecte des données d’usage collectées par les téléviseurs Vizio a fait l’objet d’un travail de reverse par le laboratoire d’Avast. Le système est aussi vulnérable qu’indiscret.

Il y a presque deux ans jour pour jour, le fabricant LG s’était fait épingler pour des raisons similaires. Encore n’était-il pas encore question d’un réseau de flicage s’étendant à tout un petit monde d’objets interconnectés.

Achevons le survol de cette bérézina de l’IoT avec une récente étude de Techscience portant sur 110 « apps » Android et iOS, l’archétype même de l’exploitation professionnelle des objets de l’Internet.

– 73% des appliquettes Android partagent des données personnelles, 47% des Apps iOS fournissent à des tierces parties les coordonnées géographiques des usagers

– 93% des applications Android se connectent à safemovedm.com, dont l’usage, assez mal connu, semble lié à un processus en tâche de fond

Le reste de l’étude, qui s’étale sur plus d’une dizaine de pages et autant de graphiques et tableaux précis, ne plaide pas franchement en faveur de l’usage des smartphones et de l’Internet des Objets dans son état actuel.
En France, le CNRFID, Conseil National visant au développement des cartes RFID, souhaite étendre très activement sa sphère d’influence pour y intégrer l’Internet des Objets. Mais attention, il n’est pas temps de parler de « sécurité de l’IoT »… « Les acteurs feront eux-mêmes des efforts et renforceront leurs produits avec le temps et l’évolution des techniques » expliquait en substance le Président de l’organisation à l’occasion du dernier congrès RFID. Spécialistes de la sécurité des NTIC à vos Outils, il risque d’avoir une recrudescence de boulot par les temps qui viennent … Pour l’heure, l’Internet des objets est sur… sans accent circonflexe.

S’il est tout à fait humain, de réagir avec violence à la suite des évènements abominables du 13 novembre dernier, il est cependant du devoir des médias et des institutions garantes de la sécurité de la Nation d’éviter de rechercher, à chaud, des boucs émissaires. De nombreux quotidiens, dont 20 Minutes mais c’est loin d’être le seul, se sont inquiété des capacités de communications chiffrées (et non cryptées …) des consoles de jeu, lesquelles « auraient pu être utilisées par les terroristes durant la phase de préparation des attentats ». Des réseaux qui, insiste d’ailleurs le Ministre de l’Intérieur Belge (point de départ de cette polémique), seraient très compliqués à surveiller. Du coup, certaines presses passent du conditionnel à l’affirmatif, brandissent le spectre de ce « darknet » que sont les outils de chat des Xbox et Playstation, Whatsapp, Skype, et toutes les messageries instantanées de la création, associées éventuellement à certains réseaux sociaux.

Tentative de récupération ou pas, ce genre d’assertions mènent tout de même tout droit à l’apparition de nouveaux moyens de contrôle sur les outils de communication. Rappelons que les multiples lois existantes visant à la libéralisation des écoutes téléphoniques et surveillances du réseau Internet, la course aux infrastructures de surveillance vidéo ne sont pas parvenues à endiguer l’horreur. Une preuve de plus de leur inefficacité, pourtant prévisible … La surveillance des NTIC ne peut en aucun cas remplacer le travail de renseignement sur le terrain.

D’ailleurs, cette sur-réaction n’est-elle précisément pas ce que souhaitent les mouvements djihadistes ? Ceux-là même qui parviennent à pousser leur propre adversaire à surveiller ses propres citoyens, à transformer la société qu’ils combattent en une forme de « soft dictature » plus conforme à leur vision du monde, à contraindre ses dirigeants à revendiquer le droit de « mener un combat impitoyable », c’est-à-dire littéralement « sans la moindre pitié ». Ne se rapproche-t-on pas ici de l’état d’esprit inhumain dont font preuve les terroristes ? Faire « la guerre à la terreur », outre le fait qu’on ne peut pas combattre une idée avec des armes, ce genre de réactions a déjà mené à d’autres guerres sur site. Guerres que l’on pourrait qualifier de perdues puisqu’ayant donné naissance à l’Etat Islamique au bout du compte. Ne serait-il pas temps d’apprendre les leçons de ces échecs et de réfléchir « à froid » à la riposte ?

C’est le business florissant des données de géopositionnement vendues sous l’appellation « Telco Data as a service » (TDaaS). Un marché qui flirte avec les 24 milliards de dollars cette année et devrait dépasser 79 milliards de dollars en 2020, estime une étude du groupe 421 rapportée par cet article de Ad Age. De telles données sont commercialisées par des détaillants spécialistes, tel que SAP, qui revend cette « surveillance permanente as a service » sous le nom très discret de « Consumer Insights 365 ». « Grâce à notre service, explique en substance la brochure du service, vous savez exactement à quelle heure arrive votre client, combien de temps il demeure sur place… » et surtout « combien de fois il revient sur les lieux » : c’est là plus que de la simple analyse statistique de fréquentation, cela relèverait presque du marquage individuel. Des indiscrétions pourtant garanties « anonymes ». Mais plus personne n’est vraiment dupe quant au véritable anonymat dès lors que les données de ces TDaaS passent au crible de n’importe quel logiciel d’analyse « big data ». Avec de tels procédés, bien sûr, personne ne connaît le patronyme d’une personne ainsi surveillée, mais son lieu d’habitation et de travail, ses horaires de déplacement, ses résidences de vacances, ses trajets, ses habitudes de consommation font l’objet d’une constante consignation.

Cette crainte, (cette certitude affirment certains) est telle en Europe que SAP propose essentiellement ses services aux USA et en Asie, mais ne peut assurer le même niveau de précision au sein de la C.E. car il y est impossible « d’obtenir de la part des Telco des données intégrant ce niveau d’indiscrétion ».

Il serait injuste de transformer SAP en bouc émissaire. Le business du flicage marketing bat son plein et attire d’autres grands noms, tels qu’IBM, HP, AirSage, et des opérateurs réputés comme Verizon, Sprint, Telefonica, AT&T… Cette mode, ajoute l’article de Ad Age, explique également la frénésie de fusions-acquisitions autour des spécialistes de ces grandes braderies de l’identité et des déplacements. Ainsi l’absorption par Verizon d’Aol et du géant de la publicité sur réseaux mobiles Millenial Media.

La seconde journée Hackito Ergo Sum comptait également son lot de présentations de haut vol, et débutait avec une signée Laurent Ghigonis et Philippe Langlois, P1 Security, les organisateurs de HES. L’an passé, le protocole SS7 et ses vulnérabilités avait soulevé pas mal d’interrogations sur la prétendue inviolabilité des réseaux d’opérateurs télécom, cette année, le dévolu des deux chercheurs a été jeté sur les réseaux mobiles LTE, et plus particulièrement sur les DRA, Diameter Routing Agents et de son protocole d’authentification associé. Une fois cette sécurité contournée, le réseau interne de l’opérateur est accessible, avec les conséquences que l’on peut imaginer. Mais le plus inquiétant, explique Philippe Langlois, c’est qu’un opérateur scrupuleux qui aurait tout mis en œuvre pour contrer ce type de menaces n’est pas à l’abri d’une attaque puisque l’adversaire peut fort bien exploiter la fragilité des infrastructures d’un tout autre opérateur pour, une fois dans la place, profiter à la fois de l’authentification octroyée par ce « maillon faible » et des « tuyaux » reliant les entreprises télécom entre elles.

Lukasz Siewierski, quant à lui, s’est penché sur les malwares Android qui « n’intéressent strictement personne car ils n’ont rien à voir avec les vecteurs d’attaque en code natif que l’on rencontre sur le créneau de l’informatique classique ». Pourtant, ces malwares font preuve d’un comportement général proche des virus classiques : un « loader », ou plus exactement une DLL qui attend les ordres émis depuis l’extérieur via un SMS (à l’instar de tout C&C en train de piloter un bot). Ainsi, lorsque la DLL recevait le caractère « / », certains malwares bancaires se mettaient à intercepter les « mots de passe unique » (OTP) expédiés par l’intermédiaire d’un SMS, message réexpédié à destination du « bot herder » qui s’empressera bien entendu de l’utiliser pour son plus grand bénéfice. Pour éviter tout soupçon, une fois son forfait accompli, le pilote du réseau de téléphones compromis peut même expédier un « ! » au terminal zombifié pour que s’efface toute trace du code indésirable. Ce genre de virus s’est répandu assez rapidement en Pologne notamment, jusqu’à ce que l’analyse du malware révèle le secret de ses commandes cachées. A partir de ce jour, les SMS expédiant les codes de « second facteur » émis par les banques locales ont tous débuté par un expéditif « ! »

Hackito 2015 s’est achevé avec la remise d’un prix Intel qui (c’est une presque tradition désormais) profite de ce genre de manifestation pour promouvoir ses plateformes de développement. Cette fois, c’était l’Edison qui était à l’honneur, le vecteur « IoT » du constructeur.

La seconde journée de la conférence HES était, en partie, destinée à un public un peu moins technique, grâce à trois présentations plus « humaines ». C’est Alex Triffault qui ouvrait le bal, en détaillant par le menu le travail d’un expert en recherches de preuves spécialisé dans le crochetage de serrures. Si, par tradition, chaque conférence sécurité possède qui son atelier, qui sa présentation traitant de l’art de savoir tutoyer les verrous, loquets et autres cadenas, il faut savoir, explique Triffault, que chacune des méthodes préconisées par les chatouilleurs de pistons et des cylindres laissent de légères griffures ou tonches indélébiles sur le métal des serrures. D’autant plus indélébiles que biens souvent les outils de crochetage sont en acier et le mécanisme des cadenas en laiton, plus tendre. D’un coup de binoculaire, l’expert relève immédiatement la signature de l’effraction, le type d’outil employé, et indirectement le degré d’expérience de l’adversaire. Parapluie ou crochet, vibreur ou « bumper », la marque de l’intrus est enregistrée et ce témoignage peut être versé dans les éléments de preuves au cours d’une enquête de police.

Venait ensuite l’une des présentations les plus attendues, celle de Raul « Nobody » Chiesa sur la sécurité des aéroports. Allait-on apprendre la présence de nouvelles failles spécifiques ? Qui donc, après une telle causerie, oserait encore monter dans un avion ? En fait de conférence, Chiesa a relaté les résultats d’un audit de sécurité et d’une campagne de pentesting effectués « intra » et « extra » muros d’un aéroport, campagne qui a révélé… ce dont tout le monde se doutait depuis longtemps : failles de sécurité dans les infrastructures WiFi destinées au public mais révélant des porosités avec le LAN interne, certificats dépassés ou dangereux, bug SSL, trous RDP Windows, avalanches de configuration et de mots de passe par défaut… il n’y a guère de différence avec ce que l’on a coutume de rencontrer en entreprises, que celles-ci appartiennent au cercle restreint des OIV ou non.

Bien sûr, à partir de certaines de ces failles, outre une attaque en chiffrement sauce Cryptolocker ou un déni de service généralisé, l’on pourrait imaginer quelques forgeries d’identités capables de faire passer un dangereux terroriste pour un innocent quidam, quand bien serait-il inscrit sur une « no flight list ». Bien sûr aussi peut-on craindre des fuites de données personnelles ou bancaires. Mais peut-on imaginer un péril frappant le moyen de transport lui-même ? Sur ce point, Raul Chiesa se contente de reprendre (tout en émettant des doutes légitimes) les affirmations de Chris Roberts, et tente de classer au rang des vulnérabilités les échanges en clair des transmissions ADSB et Acars. C’est, doit-on rappeler, également le cas des communications en modulation d’amplitude des aéronefs entre eux, mais également entre les aéronefs et la tour de contrôle, sans oublier les communications « au sol », que l’échange concerne un A380 ou le plus humble des « tagazous » monomoteurs. La verve transalpine pousse parfois le bouchon un peu loin.

Reste que l’avertissement de Chiesa mérite toute l’attention des sociétés de gestion aéroportuaires. Fin septembre, un groupe Anonymous s’en était pris aux systèmes de Saudi Airline. Au début de cette année, c’était Malaisia Airline qui avait fait les frais d’une opération-éclair orchestrée par le Lizard Squad, et en juin, c’était au tour de LOT, la compagnie nationale Polonaise, ainsi qu’une partie de l’aéroport Chopin de Varsovie, de succomber à une attaque informatique, causant l’annulation d’une dizaine de vols et un retard considérable dans le trafic national et international. Les compagnies aériennes ont, de tous temps, fait l’objet de menaces, car elles représentent leur pays d’origine. Les alertes à la bombe (et attentats réels) qui ont régulièrement frappé les agences d’Aeroflot ou de Turkish Airline prouvent à quel point ce risque a toujours été présent.

On peut presque regretter que l’équipe Chiesa se soit limitée à un pentesting réseau purement informatique. La périmétrie radio (télémétrie, services au sol, radars, systèmes de guidage et d’approche) de ce genre d’infrastructure est encore plus complexe et, par certains aspects, plus fragile compte tenu de l’évolution des techniques d’émission-réception depuis ces 20 dernières années. D’un point de vue purement binaire, la sécurité informatique des aéroports est préoccupante.

Ajoutons à la liste des hacks « compréhensibles par tous » la présentation (en anglais) d’un jeune homme de 13 ans « perceur de coffre-fort », et accessoirement fils d’un spécialiste de la sécurité des systèmes bancaires… la pomme ne tombe jamais très près de l’arbre. Le challenge n’était pas évident : comment récupérer un téléphone portable ou une console de jeu confisquée par d’indignes parents et enfermés à double tour dans un coffre-fort à clavier ? La réponse est presque trop simple : en installant discrètement une petite caméra dans l’axe du clavier en question et en attendant qu’un des parents y accède, révélant ainsi la combinaison. Et c’est sous un tonnerre d’applaudissement et l’œil ému de son père que le jeune orateur terminait son « lightning talk », en affirmant haut et fort « I’m a hacker, not a thief ».

La sixième édition de la conférence Parisienne Hakito Ergo Sum s’est déroulée fin octobre, tout comme l’an passé dans un amphithéâtre de la Cité des Sciences de La Vilette. Quelques jours après Hack.Lu, quelques jours avant GreHack, il en faut, de l’endurance, pour suivre l’actualité InfoSec Européenne. HES, cette année, faisait essentiellement se succéder des chercheurs du domaine « pure software » et « infrastructure ». Le domaine des ondes radio ou des vulnérabilités matérielles n’était cette fois présent qu’en filigrane.

Et c’est le célèbre « FX » qui a ouvert le feu, avec une conférence plénière très « plénière », c’est-à-dire non technique, divertissante et instructive pour ceux qui avaient quelque peu oubliés leurs cours de génétique. Le chef de file du groupe Phenoelit, assisté d’une authentique biologiste, établissait parallèles et analogie entre le monde du hacking et le fonctionnement du noyau cellulaire.

A peine le temps de se remettre de ce changement d’univers que Camille Mougey et Xavier Martin, du CEA plongeaient l’assistance dans le labyrinthe parfois très ténébreux du machine learning appliqué à la recherche massive d’indice. La cible choisie pour les besoins de la démonstration était un vieux routier des vulnérabilités Scada, le protocole de contrôle de processus industriel Modbus et ses points d’entrée visibles sur Internet. Zmap, MassScan facilitent la collecte de ce genre de « Google hacking » dopé aux stéroïdes. Mais il en faut plus pour que cette collecte soit exploitable. Notamment être capable de filtrer les résultats par pays, par densité des réponses, par indice de plausibilité également, car il existe « aussi » des honeypots chargés de détecter des chasseurs de ports Modbus. Les représentations en nuages de points « 3D » générées par le moteur d’analyse des deux chercheurs parviennent alors à raconter des choses insoupçonnées, à isoler les « faux » sites, à mettre en exergue les installations les plus vulnérables ou les plus importantes, classées par emplacements géographiques. Le Machine Learning appliqué au scan réseaux massif pourrait bien devenir le cauchemar des OIV, la terreur des zones classées Seveso. Il y a un an environ, il n’était de meilleurs articles alarmistes que ceux traitant de Shodan, la très imparfaite base de données IoT mondiale. Que l’on attende encore quelques années le temps que l’Internet des Objets et ses vulnérabilités se développent réellement, et l’on pourra alors craindre le numéro de duettistes d’un super-Shodan et d’un moteur d’analyse « big data » offensif tel que celui présenté par Mougey Martin.

Olivier Levillain et Pierre Chifflier (Anssi) ont enchaîné dans les méandres des incohérences intrinsèques aux langages. Opérations arithmétiques ou logiques aux résultats défiant la raison, égalités qui ne sont plus égales, additions aux résultats incohérents, les deux chercheurs ont passé au crible Java et Javascript, PHP, Python, Ruby… Ce genre de présentation rappelle les travaux de plusieurs chercheurs du MIT qui, en 2013, s’étaient penchés sur les résultats surprenants d’un source passé à la moulinette de certains compilateurs (Python, C++…).

S’il est difficile de voir en ces défauts un risque d’exploitation direct, c’est, à n’en pas douter, un vecteur certain de bugs fonctionnels généralement inexplicables. L’on remarquera au passage qu’après la présentation très médiatisée de deux autres chercheurs de l’Anssi à l’occasion de Hack in Paris, c’est la seconde fois que l’Anssi expose ses talents et son savoir-faire durant une conférence sécurité parisienne. Il est important qu’une institution gouvernementale vienne apporter tout son crédit à des « conférences de hackers ».

10 déc. 2015, RV à l’Intercontinental Paris Avenue Marceau

Données, Utilisateurs & Machines :

Comment garder le contrôle dans un SI ouvert ?

(Suivi des données, gestion des identités et des accès, gestion de logs, SIEM, compliance …) 

Stratégie, Conseil & Solutions

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Cloud, Mobilité ou autre évolution naturelle du Système d’Information, Désormais l’entreprise n’a plus le contrôle direct de son environnement et la problématique devient où se trouve la donnée ? Qui la manipule ? Pour quels traitements ? RSSI, DSI, CIL mais aussi CEO, toute personne en charge d’une quelconque partie du patrimoine de manière générale, tout le monde est concerné.

Sur site, dans le Cloud ou dans un système d’information hybride, public et privé, c’est la même problématique pour l’utilisateur comme pour le device : savoir qui se connecte et s’il agit en conformité avec ses droits est primordial et savoir si une machine avec laquelle le SI va établir une connexion est saine. Des préoccupations que ne datent pas d’hier mais pour lesquelles il n’y a toujours pas de réponse claire et simple, souvent plutôt multiples et parfois même complexes.

Comment éviter de perdre partiellement ou totalement son business ? Comment rester conforme dans le temps aux législations avec un SI dont on ne contrôle pas toute l’infrastructure ? Quels outils ? Quels partenaires ? Suivi des données, gestion de l’identité et des accès, gestion des logs, SIEM … Quelle stratégie adopter ? Quelle politique de sécurité ? Quels risques juridiques ?

Autant de questions et sujets auxquels répondront le 10 décembre matin des experts Sécurité reconnus, Consultants, Avocats, Acteurs, Chercheurs, Responsables sécurité ou DSI. De la théorie à la pratique, des risques et menaces aux conseils ou solutions potentielles : une matinée d’Informations concrètes, de Sensibilisation et de Networking.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité 

Agenda

• 8H00 – Accueil des participants : petit-déjeuner et Networking
• 8H40 – Panorama des Risques & Vulnérabilités, par Julien Steunou, ManagerSécurité Lexsi
• 9H00 – Retour d’expérience & Solution, point de vue de Fortinet avec Raphaël Lignier
• 9H20 – Conseils et guides pratiques, par Benoît MARION, expert Sécurité Solucom
• 9H40 – Expérience terrain, point de vue de Darktrace
• 10H00 – Point de vue d’un organisme officiel 
• 10H20 – PAUSE Networking
• 10H40 – Panel sur «Données, Utilisateurs & Machines : Comment garder le contrôler dans un SI ouvert ? Stratégie, Conseil & Solutions »avec Maître François Coupez, avocat qui abordera la partie juridique, Cyberdéfense et SIEM avec Gérard Gaudin, Président du Club R2GS, Ely de Travieso, Elu en charge de la Cybersécurité CGPME et Dirigeant PhoneSec, également expert en sécurité pour la partie conseils et retour terrain Raphaël Lignier, Fortinet sur  dans le Secure Access Architecture Animé par Solange Belkhayat-Fuchs, Rédactrice en Chef CNIS Mag
• 11H25 – La Minute Juridique : les impacts juridiques, nouvelles législations et jurisprudences en sécurité du SI par Maîtres Olivier Itéanu et Garance Mathias. Ils répondront à toutes les questions du public sur le sujet de façon interactive.
• 11H45 – PAUSE Networking Tirage au sort de lots pour fêter Noël autour d’une coupe de champagne (Tablettes, Montres connectées …)
• 12H15 – Clôture de la conférence