Compte rendu SSTIC 2008 - journée du mercredi

Thu 05 June 2008 by alex

SSTIC s'est ouvert ce mercredi 4 juin, avec une journée déjà très chargée, vous pouvez retrouvez ici nos impressions et ressentis sur les conférences.

Sécurité : anatomie d'un désastre annoncé par Marcus RANUM

La présentation d'ouverture de SSTIC est cette année encore propice à une réflexion sur la sécurité en général. Marcus RANUM, sur un ton mi-désabusé, mi-amusé, nous a présenté sa vision de la sécurité informatique. Cet américain d'origine s'est exprimé dans un français impeccable. Pour lui, le fossé entre la perception de la sécurité et la réalité ne cesse de s'agrandir. Aucun enseignement n'est tiré des erreurs passées, et devant la complexification croissante des systèmes, il apparaît inéluctable que des désastres vont se produire. Des petites phrases bien senties ("La plupart d'entre nous préfèrent avoir un travail que d'avoir raison") ont rythmé son discours. Cette présentation, bien que pessimiste, a permis de mettre l'amphi de bonne humeur.

Identification et exploitation des failles humaines par les prédateurs informationnels : un risque sous-estimé par les entreprises ? M. Iwochevitch.

Cette présentation aborde l'aspect humain de la collecte d'informations. Pour les Russes, le cerveau humain est un système d'exploitation complet sans firewall. Les lumières éteintes pendant cette présentation ont donné à celle-ci une ambiance un peu étrange. Elle détaillait notamment la méthode Big Five, qui permet de cibler la personnalité (et par conséquent les angles d'attaque préférentiels) d'un individu à distance en moins d'une heure. La fin présentait quelques exemples anonymisés d'exploitation, assez divertissants, mais un peu effrayants.

Activation des cartes à puce sans contact à l'insu du porteur par P. GIRARD, C. MOURTEL et C. BOURSIER

La présentation détaillait ce qu'est une carte sans contact. Elle recensait les attaques connues sur les cartes avec contact, assez maîtrisées, et montrait de nouveaux types d'attaques propres aux cartes sans contact : attaques par relai, amplification de la portée d'émission, etc.Une dernière partie recensait les attaques publiées, comme le cassage complet du système de démarrage des voitures de plusieurs constructeurs.Il en ressort que les attaques se situent globalement plus au niveau applicatif que sur la carte elle-même. Dans un futur très proche, le téléphone portable pourrait être utilisé en tant que carte sans contact : porte-monnaie électronique, lecture d'informations dans la rue, etc. Combiné aux attaques possibles sur les GSM, cela fournirait-il un beau vecteur d'attaque supplémentaire ?

L'expertise judiciaire des téléphones mobiles par D. NACCACHE

Un tour d'horizon des méthodes employées dans l'analyse forensics sur les téléphones portables, et les problématiques associées, comme l'obtention du code PIN : méthodes classiques et plus exotiques. Citons par exemple le piégeage d'une batterie pendant une garde à vue pour récupérer le PIN ...C'est sur une envolée lyrique que le speaker a démarré une seconde partie, n'ayant un peu rien à voir, où il présentait une expérience de transmission d'informations entre deux systèmes (PC, cœurs FPGA) à partir de la chaleur qu'ils dégagent. Une présentation bien menée, drôle et assez inoubliable.

Outils d'intrusion automatisée : risques et protection par M. BLANC

C'est lors d'une présentation très sobre que M. Blanc a exposé l'état de l'art d'outils d'intrusions automatisés : CANVAS, Metaspoloit et CoreImpact. La suite a porté sur leur détection au niveau réseau et sur une machine hôte, pour aboutir un ensemble de contre-mesures pour mettre ces outils en échec. La discussion qui a suivi portait sur l'intérêt de tels outils pour le pentester.

Bogues ou piégeages des processeurs : quelles conséquences sur la sécurité ? par L. DUFLOT

Partons de l'hypothèse qu'un processeur est piégé. Est-il possible d'utiliser un tel piège pour prendre totalement le contrôle d'une machine ? La réponse est oui, et cela fonctionne même sur des systèmes mettant en œuvre la virtualisation. La présentation, extrêmement claire, s'est conclue par deux preuves de concept en utilisant Xen dans QEmu (!) : ce n'était pas visuel, mais ça faisait bien peur quand même ...

Autopsie et observation in vivo d'un banker par F. CHARPENTIER et Y. HAMON

L'étude d'Ansarin, un malware évolué, qui injecte des formulaires malicieux dans votre navigateur. Ces formulaires se substituent à l'interface original de près de 200 sites bancaires pour abuser l'utilisateur et lui soutirer ses informations bancaires. La présentation a détaillé l'architecture et les principales fonctionnalités du malware. Les deux auteurs ont suivi les traces du malware pendant un an. Ils ont rappelé que les malware évoluent vers une criminalité de plus en plus organisée, et de plus en plus orientée vers le profit. Une présentation peu technique, qui a eu l'air d'intéresser pas mal de monde.

GenDbg : un débogueur générique par J.-M. FRAYGEFOND, J.-M. BORELLO, P. BION, O. EMERY, D. EMERY

La présentation techniquement la plus intéressante de la journée. Ce débogueur a ouvert l'appétit des reversers ouverts dans la salle. L'architecture de GenDbg a été détaillée, suivie d'une description générale des différents modules qu'il comporte. Une interface à la SoftIce, déjà pas mal d'architectures supportées : le projet est plus que prometteur.Lorsqu'il a été demandé à un des conférenciers quelle était l'utilisation de ce débogueur, et si des programmes commerciaux étaient analysés par l'État français, celui-ci a répondu : "un débogueur, ça sert à mettre au point des logiciels". Pas mieux ...

A demain pour de nouvelles aventures ...