10 mai 2016, RV à l’Intercontinental Paris Avenue Marceau

Vulnérabilités et Menaces 2016 :

En pleine mutation ? Comment savoir si on a été attaqué ? Comment tracer une attaque ? Comment nettoyer son SI ? Comment se protéger ? se défendre ?

Conseils et Solutions

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Numérisation de l’entreprise, évolution du Système d’Information, rôle des Dirigeants, DSI, RSSI, départements métier, DRH … c’est toute l’entreprise qui est en pleine mutation. Un SI en perpétuelle évolution et sans frontière physique, qui avec le Cloud voit apparaître de nouveaux services internes et externes, à un rythme soutenu. De nouvelles manières de travailler, l’apparition d’Objets Connectés dans le quotidien professionnel … autant de raisons de faire régulièrement le point sur les vulnérabilités et menaces qui pèsent sur l’entreprise car il est difficile d’imaginer et mettre sur pied une stratégie de protection et de défense sans connaître les risques encourus. Comment savoir si on a été attaqué ? Comment tracer une attaque ? Comment nettoyer son SI ? Comment se protéger ? se défendre ?

Autant de questions et sujets auxquels répondront le 10 mai matin des experts Sécurité reconnus, Consultants, Avocats, Acteurs, Chercheurs, Responsables sécurité ou DSI. De la théorie à la pratique, des risques et menaces aux conseils ou solutions potentielles : une matinée d’Informations concrètes, de Sensibilisation et de Networking.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 av. Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité 

Agenda

• 8H00 – Accueil des participants : petit-déjeuner et Networking
• 8H40 – Panorama des Vulnérabilités, Menaces & Risques 2016, par Helmi Rais, Directeur AlliaCERT chez Alliacom
• 9H00 – Retour d’expérience & Solution, point de vue de Forcepoint, avec Florent Fortuné, AVP Sales Engineering
• 9H20 – Conseils et guides pratiques, par Vincent Nguyen, Directeur Technique CERT Solucom, gestion de crise cyber et particularités
• 9H40 – Expérience terrain, point de vue de Darktrace avec Jérôme Chapolard
• 10H00 – Une nouvelle attaque, Locky expliquée et décortiquée par Thomas Tranier, Chef de projet Lexsi
• 10H20 – PAUSE Networking
• 10H40 – Panel sur «Vulnérabilités et Menaces 2016 : Comment savoir si on a été attaqué ? Comment tracer une attaque ? Comment nettoyer son SI ? Comment se protéger ? se défendre ? Stratégie, Conseil & Solutions » avec Maître François Coupez, avocat qui abordera la partie juridique, Expérience en entreprise et conseils avec Vincent Le Toux, Incident detection, prevention & response manager, SOCv2 stream leader et Active Directory security project manager à la DSI Corporate Security chez ENGIE et
membre du Clusif, réalité au sein des entreprises avec Nacira Salvan, ex-RSSi et actuelle Directrice Cybersécurité chez PwC, Point de vue d’un acteur avec un expert sécurité de Blackberry qui avec Good Technology se tourne vers la Sécurité des plateformes et des applications mobiles, également retour terrain et conseils avec Ely de Travieso, Elu en charge de la Cybersécurité CGPME et Dirigeant PhoneSec, également expert en sécurité, Animé par Solange Belkhayat-Fuchs, Rédactrice en Chef CNIS Mag 
• 11H25 – La Minute Juridique : les impacts juridiques, nouvelles législations et jurisprudences en sécurité du SI par Maîtres Olivier Itéanu et Garance Mathias. Ils répondront à toutes les questions du public sur le sujet de façon interactive.
• 11H45 – PAUSE Networking avec Tirage au sort de Tablettes autour d’une coupe de champagne
• 12H15 – Clôture de la conférence

Le Ministère de la Défense US reconnaît utiliser des « cyberbombes » contre l’organisation terroriste Daech, rapporte Gizmodo. Après les gesticulations des Anonymous, c’est au tour des militaires de se lancer dans un combat aussi stérile que contre-productif. Stérile car ce qui est détruit un jour est reconstruit le lendemain en d’autres lieux, sous d’autres protocoles, avec d’autres moyens, réduisant à néant le travail des services de renseignement, et contre-productif car ces frappes fournissent à l’adversaire des informations ou des indices sur ce qui a permis de révéler les cibles ainsi frappées… non seulement les moyens techniques de la NSA et des armées sont ainsi révélés, mais leur efficacité à moyen terme pourrait être grandement compromise. Les cyber-bombes ne font que des cyber-morts, les cyber-réseaux de communication contribuent parfois à organiser de véritables assassinats.

S’il est des institutions bancaires qui ont, au fil des années, voué un véritable culte d’ouverture et de transparence, ce sont bien les banques des pays du Golfe Persique. Déjà, en 2013, deux banques (d’Oman et des E.A.U.) ont laissé échapper des centaines d’identités bancaires qui ont facilité la razzia des billetteries automatiques du monde entier durant la trêve des confiseurs. Près de 50 millions de dollars en liquide se sont ainsi évaporés en moins de 4 heures de travail.

Cette fois, le hack relève (pour l’instant) plus de la provocation que de l’opération mafieuse, et c’est la banque nationale du Qatar qui a perdu 1,4 Go de données personnelles. On retrouve dans ces fichiers les noms de certains journalistes travaillant pour le compte de la chaîne Al Jazzera, bien entendu une grande partie de l’arbre généalogique des princes régnants du pays, et en prime quelques comptes appartenant à des barbouzes, travaillant soit pour le compte du très Britannique MI-6 (probablement des héritiers oubliés de Lawrence d’Arabie) soit pour les services de renseignements de Doha. Et pour sûr, il ne peut s’agir que d’une regrettable erreur, une déplorable confusion dans l’organisation des fichiers que de trouver dans le répertoire « espions » les noms de messieurs Fabrice Jean Crenn et Jean Charles Fisher, respectables attachés d’Ambassade.

Une fois n’est pas coutume, cette collecte d’information est disponible depuis les ressources de Cryptome (attention, le fichier zip pèse plus de 530 Mo). Les artistes du phishing et les professionnels de l’usurpation d’identité seront-ils assez téméraires pour exploiter ces milliers de comptes ?

10 mai 2016, RV à l’Intercontinental Paris Avenue Marceau

Vulnérabilités et Menaces 2016 :

En pleine mutation ? Comment savoir si on a été attaqué ? Comment tracer une attaque ? Comment nettoyer son SI ? Comment se protéger ? se défendre ?

Conseils et Solutions

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Numérisation de l’entreprise, évolution du Système d’Information, rôle des Dirigeants, DSI, RSSI, départements métier, DRH … c’est toute l’entreprise qui est en pleine mutation. Un SI en perpétuelle évolution et sans frontière physique, qui avec le Cloud voit apparaître de nouveaux services internes et externes, à un rythme soutenu. De nouvelles manières de travailler, l’apparition d’Objets Connectés dans le quotidien professionnel … autant de raisons de faire régulièrement le point sur les vulnérabilités et menaces qui pèsent sur l’entreprise car il est difficile d’imaginer et mettre sur pied une stratégie de protection et de défense sans connaître les risques encourus. Comment savoir si on a été attaqué ? Comment tracer une attaque ? Comment nettoyer son SI ? Comment se protéger ? se défendre ?

Autant de questions et sujets auxquels répondront le 10 mai matin des experts Sécurité reconnus, Consultants, Avocats, Acteurs, Chercheurs, Responsables sécurité ou DSI. De la théorie à la pratique, des risques et menaces aux conseils ou solutions potentielles : une matinée d’Informations concrètes, de Sensibilisation et de Networking.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 av. Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité 

Agenda

• 8H00 – Accueil des participants : petit-déjeuner et Networking
• 8H40 – Panorama des Vulnérabilités, Menaces & Risques 2016, par Helmi Rais, Directeur AlliaCERT chez Alliacom
• 9H00 – Retour d’expérience & Solution, point de vue de Forcepoint, avec Florent Fortuné
• 9H20 – Conseils et guides pratiques, par Vincent Nguyen, Directeur Technique CERT Solucom, gestion de crise cyber et particularités
• 9H40 – Expérience terrain, point de vue de Darktrace
• 10H00 – Une nouvelle attaque expliquée et décortiquée par Lexsi
• 10H20 – PAUSE Networking
• 10H40 – Panel sur «Vulnérabilités et Menaces 2016 : Comment savoir si on a été attaqué ? Comment tracer une attaque ? Comment nettoyer son SI ? Comment se protéger ? se défendre ? Stratégie, Conseil & Solutions » avec Maître François Coupez, avocat qui abordera la partie juridique, Expérience en entreprise et conseils avec Vincent Le Toux, Incident detection, prevention & response manager, SOCv2 stream leader et Active Directory security project manager à la DSI Corporate Security chez ENGIE et
membre du Clusif, réalité au sein des entreprises avec Nacira Salvan, ex-RSSi et actuelle Directrice Cybersécurité chez PwC, Point de vue d’un acteur avec un expert sécurité de Blackberry qui avec Good Technology se tourne vers la Sécurité des plateformes et des applications mobiles, également retour terrain et conseils avec Ely de Travieso, Elu en charge de la Cybersécurité CGPME et Dirigeant PhoneSec, également expert en sécurité, Animé par Solange Belkhayat-Fuchs, Rédactrice en Chef CNIS Mag 
• 11H25 – La Minute Juridique : les impacts juridiques, nouvelles législations et jurisprudences en sécurité du SI par Maîtres Olivier Itéanu et Garance Mathias. Ils répondront à toutes les questions du public sur le sujet de façon interactive.
• 11H45 – PAUSE Networking avec Tirage au sort de Tablettes autour d’une coupe de champagne
• 12H15 – Clôture de la conférence

Mention spéciale à Florian Hammers (Tenable) avec son « 8 security lessons from 8bit games », qui a su faire salle comble avec un parterre de spectateurs attendant un cours magistral sur le retrogaming/retrohacking à grand renfort de C64, Pet Comodore et autres Oric Atmos et ZX81. Hélas il n’en fût rien, le discours se limitant à énoncer les bases des « bonnes pratiques » que l’on ressasse lors des réunions de sensibilisation à la SSI. Dans une autre salle, au même moment, Nick Stephens déroulait son « Million Dollar Baby: An “angr”y Attempt at Conquering the DARPA CGC ». Plus d’un auront regretté d’avoir manqué cette discussion à propos d’Angr, plateforme d’analyse de binaires.

Insomni’hack 2016 s’achevait par une plénière de clôture totalement déjantée, animée par le plus Breton des responsables sécurité Helvétique, Bruno Kerouanton. Lequel offrait à l’assistance un patchwork de séquences vidéos, de chansons loufoques sur l’impossible rôle du RSSI en entreprise, d’extraits de films au langage pseudo technoïde et de références subtiles allant de « the IT Crowd » au traité de management ou aux ouvrages de sociologie contemporaine. Le métier de Ciso, résume-t-il, relève tantôt de « Mission : Impossible », tantôt de « On doit vivre dangereusement ». Poste moitié technique, moitié stratégique, métier en éternelle recherche d’une queue de budget ou d’un cyber-parapluie miracle, le siège de super-RSSI n’est pas une sinécure. Ce n’est pas une raison pour se complaire dans l’auto-affliction, explique Kerouanton, tout en arrosant l’assistance d’une pluie de paquets de céréales de marque Nerds. Il sera difficile de faire mieux l’an prochain.
Le traditionnel CTF -qui traditionnellement se déroule une fois les dernières conférence achevées- a été remporté haut la main par l’équipe DragonSector, qui a battu ses concurrents de plusieurs longueurs

Moins d’IoT, plus de rançons, de crimes, de spam, de pluies de malwares et de bot-herders avec la conférence de Maxim Goncharov (Trend Micro) « Criminal Hideouts for Lease: Bulletproof Hosting Services ». Cette présentation avait déjà été donnée à l’occasion de Pac_Sec, au Japon. Qui, au sein de la communauté des Cert et autres Response Team, s’intéresse de près aux hébergeurs à haute disponibilité, qui louent leurs services aux cyber-mafieux ? Ils sont très peu, en fait. L’un des premiers, des plus tenaces, fut longtemps Dancho Danchev, lequel inlassablement listait les liens qui unissaient les différents prestataires Russes et Ukrainiens et les groupes mafieux du Russian Business Network et leurs héritiers. Depuis que Danchev a cessé ses publications, Goncharov a repris le flambeau. Il publiait d’ailleurs en juillet dernier une étude complète sur ces hébergeurs véreux. Des opérateurs pour truands qui imposent à leurs clients des règles morales très élastiques. « Pas de pédopornographie… sans en discuter avec l’opérateur. Pas d’attaque visant le marché Russe ou Ukrainien ». Mais depuis les récents affrontements entre Moscou et Kiev, les coups de canifs au contrat sont nombreux. « Il suffit parfois de lire les accroches publicitaires de ces entreprises pour deviner le profil des clients ». Certains mettent en avant leurs capacités de hosting et leurs datacenter situés à l’étranger, fort utiles pour brouiller les pistes et les origines d’une attaque, d’autres tentent de charmer les spécialistes du racket au dénis de service en proposant des grappes de machines virtuelles en location à court terme, d’autres encore vantent leurs capacités en bande passante et l’efficacité de leur force de frappe lors de campagnes de malwaretizing ou de spam. « Leurs catalogues ressemblent à ceux des prestataires occidentaux, à la différence près qu’ils ne proposent ni suite bureautique, ni agenda partagé, ni support aux forces de ventes, mais des C&C as a service, des adresses IP mobiles, des serveurs Torrent, des pseudo sites SEO… et en prime, de véritables sites légitimes piratés par leurs soins qu’ils peuvent « sous-louer » dans le cadre d’attaques en DdoS ou phishing, des pans entiers de sites d’hébergement secondaires (Amazon, OVH) ainsi transformés en hébergeurs mafieux malgré eux »

La seconde couche était passée par Axelle « Cryptax » Apvrille (Fortinet). Une approche plus technique, les objets de l’Internet ayant fait l’objet d’une opération d’ingénierie inverse étant respectivement une paire de lunettes (sous Android), une brosse à dent (qui discute avec tout smartphone via une liaison BLE), et une …. Centrale d’alarme, également sous Android, laquelle a l’extrême politesse de transmettre via SMS son propre mot de passe ainsi que le numéro de téléphone de l’intéressé. Même un effacement de la « boîte de courriers sortant » ne permet de conserver le secret du mot de passe. Les « transparents » de la conférence de Cryptax peuvent être récupérés sur l’espace de stockage Fortiweb.

Tout comme lors de ses dernière présentations (le hack des montres Fitbit), Axelle Apvrille insiste sur les risques élevés de fuites de données personnelles. Rien n’est plus personnel qu’une brosse à dent, plus « permanent » et attaché à la personne qu’une paire de lunettes de sport…

Et de trois, avec Candid « Mylacoon » Wueest (Symantec), qui remplaçait au pied levé Sylvain Maret. Un Candid Wueest qui craignait que Cryptax ne fasse un exposé trop proche du sien. Il n’en fut rien. Les propos du chercheur étaient moins techniques, moins tactiques que stratégiques.« Le Web, explique-t-il, est devenu un monde dans lequel les attaques, le chantage à la rupture de service sont monnaie courante. Que la menace soit celle d’un cryptovirus ou d’une publication sur Pastebin, le cyber-racketeur poursuit toujours un unique but : extorquer de l’argent de victimes incapables de se défendre car techniquement dépendantes d’un outil informatique qu’elles ne maîtrisent pas, ou peu. Il est quasiment certain que cette dérive va toucher le secteur IoT. Son adoption rapide sur le marché grand public, le manque d’attention porté à l’intégration de règles de sécurité « by design », la quasi omniprésence de ces objets en relation directe avec nos habitudes de vie, tout ça en fait une cible quasi certaine des sphères techno-mafieuses ». Et de fournir quelques exemples, prouvant que la solidité de l’IoT se limite en général à celle du système de collecte de l’information, autrement dit une boîte Linux ou un Android embarqué. Plus les objets de l’Internet nous seront indispensables, plus leur compromission présentera un handicap pour ses usagers, du « soft hacking » qui exploite des fuites d’informations susceptibles d’intéresser une compagnie d’assurance (laquelle peut moduler ses primes en fonction de ces données personnelles jugées plus ou moins « à risque » (au verrouillage de l’IoT débloqué contre versement d’une rançon versée en Bitcoin).

Si, l’an passé, la conférence sécurité Genevoise avait bien timidement abordé les problèmes liés à la sécurité de l’informatique embarquée automobile, son édition 2016 a littéralement mis les pieds dans le plat de l’IoT. S’il fallait une seule phrase pour résumer le discours des chercheurs, ce serait « Peut mieux faire : de bonnes idées, mais une intégration bâclée et un travail rendu trop rapidement. Apprenez à réfléchir ».
Apprenez à réfléchir. C’est le cri d’alarme que pousse Beau Woods au fil de son intervention intitulée « A Hippocratic Oath for Connected Medical Devices ». Rien de particulièrement nouveau sous le soleil, ce cyber-serment d’Hippocrate avait été rapidement brossé en janvier dernier dans un billet de blog rédigé par Woods lui-même. Ses travaux, ainsi que ceux de tous les participants du mouvement « I am the Cavalry », expliquent clairement le manque de compétence et d’attention dont font preuve les intégrateurs du domaine de l’instrumentation médicale. Entre les hacks de pacemakers et les intrusions dans les électroniques des pompes à insuline, en passant par les razzias effectuées sur les fichiers d’imagerie médicale (ou les parachutages de crypto-malwares), le capital confiance dont bénéficiaient les professionnels de l’électronique médicale s’érode peu à peu. Et rien, ou si peu, est fait pour que cette situation s’améliore, déplore Woods. Et de recommander ces « règles d’un Owasp médical » à la fois si simples à comprendre, si difficiles à mettre en place : une sécurité by design, le recours aux conseils de professionnels de la sécurité qui savent, des outils de conservation des traces et des preuves recevables, des mécanismes de mise à jour, le tout protégé par des appareils résilients dans le cadre d’une architecture segmentée pour limiter les risques de propagation. Il reste à espérer que le clairon de la cavalerie ne se fera pas entendre trop tard au sein des grands OEM du milieu médical, automobile, de l’habitat ou des infrastructures publiques.

Plus d’une vingtaine d’organisations de défense des libertés individuelles, sous l’égide du Groupe de Travail 29A (les Cnil d’Europe) ne croient pas que les accords entre USA et l’Union Européenne soient conformes à la vision de la Cour de Justice Européenne (celle-là même qui a récemment dénoncé l’iniquité du « safe harbor » à l’américaine). « Sans une réforme significative qui assurerait la protection des droits fondamentaux des individus de part et d’autre de l’atlantique, le « Privacy Shield » met en danger les usagers, mine la confiance placée dans l’économie numérique, et perpétue les violations des droits de l’homme qui sont actuellement commises, conséquence des programmes de surveillance et autres activités » fustige le communiqué, rédigé sous l’autorité de la Présidente du 29A, Isabelle Falque-Pierrotin.

Pour les Cnil d’Europe, la Quadrature du Net, l’ACLU, l’EFF, l’Epic, Amnesty International, la Digitale Gesellschaft e.V., le Digital Rights Ireland, l’ IT-Political Association Danoise et 13 autres organisations de défense, le « Privacy Shield » et une suite de décisions léonines dictées par le gouvernement US, totalement opaques, qui se passent de la moindre justification, du moindre cadre légal, qui ne respectent pas les droits de l’homme et qui ne souffrent aucun examen de la part d’un organisme indépendant. « Les usagers ne sont jamais avertis de la collecte, de la diffusion ou de l’usage , et de ce fait il n’existe aucune solution pour que les personnes ainsi concernées puissent trouver une parade, un remède » explique en substance le communiqué.

Tout augmente. 100 000 $ (et non plus 50 000$) de prime à qui sera capable de compromettre un ordinateur Chromebook de manière persistante. La récompense est naturellement promise par l’équipe sécurité de Google.