SSTIC 2009 : Jour 2

Mon 08 June 2009 by christophe

Bandeau_SSTIC_2009.small.png

Résumé des conférences de la 2nd journée du SSTIC 2009.

FUZZING : LE PASSÉ, LE PRÉSENT ET L’AVENIR

Ari TAKANEN

thumb_img_0850.jpg

FUZZGRIND : UN OUTIL DE FUZZING AUTOMATIQUE

Gabriel CAMPANA (Sogeti ESEC)

thumb_img_0854.jpg

thumb_img_0855.jpg

SÉCURITÉ DES ARCHITECTURES DE CONVERGENCE FIXE-MOBILE

Laurent BUTTI (Orange Labs)

thumb_img_0857.jpg

thumb_img_0859.jpg

SÉCURITÉ DES SMARTPHONES

Romain RABOIN (Atlab)

Romain Raboin présente ses travaux sur la sécurité des smartphones. Après une rapide présentation des différentes plates-formes (Windows Mobile, Symbian, Blackberry, iPhone) et de leur système de signature des exécutables, il se concentre sur la plate-forme de Microsoft. Romain nous présente les méthodes d'infection : social engineering, autoexec, vulnérabilités, synchronisation ActiveSync... une bonne revue de l'état de l'art. Il montre ensuite la possibilité de modifier la stratégie de sécurité de l’appareil depuis un poste client Windows compromis (en utilisant une fonction non documentée de la Remote API), et ce sans que l’utilisateur du téléphone n'en soit notifié. Ceci ouvre la voie à l’installation "transparente" de programmes malveillants non signés, en passant par exemple par l'outil de synchronisation du smartphone avec un PC infecté. De plus, il a présenté l’existence de logiciels de type malware signés (comme FlexiSPY), permettant l'espionnage du smartphone (interception furtive de la voix et des SMS) sans modifier le niveau de sécurité du téléphone.

thumb_img_0864.jpg

LE TRAÇAGE DE TRAÎTRES EN MULTIMÉDIA

Teddy FURON

En présentant une conférence sur le tatouage numérique, Teddy Furon s'est lancé dans un exercice difficile ; il a pourtant réussi à captiver l'attention de la salle en expliquant de quelle manière il est capable de marquer un document afin d'en identifier le propriétaire.

Teddy présente d'abord la notion de tatouage numérique ou comment, à partir de deux contenus in-différentiables à l'œil nu, il est possible d'en créer un troisième unique. Ceci afin d'identifier la source de fuite d'un contenu marqué, identifier le propriétaire du lecteur Blue Ray qui a servi à effectuer une copie ou l'utilisateur ayant acheté un film en streaming, par exemple. La deuxième partie de la présentation met en avant la théorie des probabilités sous-jacentes qui permet d'assurer la résistance du marquage au mélange de plusieurs sources pas des "colludeurs" ou encore la résistance à l'altération du contenu.

L'auteur présente ensuite plusieurs limitations à son procédé. La première étant que si les "colludeurs" sont trop nombreux, l'identification des sources est faite avec une probabilité trop faible pour envisager des poursuites. La seconde étant que si le nombre de copies distribuées est très grand, une fois encore l'identification n'est pas faite de façon suffisamment fiable. La dernière limitation présentée est d'ordre matérielle, la distribution à grande échelle et de façon interactive (service VOD par exemple) nécessite une infrastructure importante pour diffuser une contenu unique pour chaque utilisateur.

En conclusion, on retiendra une présentation intéressante et un très bon orateur qui a su vulgariser son discours pour captiver un public qui n'était pourtant pas, à priori, acquis à sa cause.

thumb_img_0868.jpg

thumb_img_0870.jpg

LE VOL D'INFORMATIONS N'EXISTE PAS...

Marie BAREL

thumb_img_0872.jpg

thumb_img_0875.jpg

POURQUOI LA SÉCURITÉ EST UN ÉCHEC (ET COMMENT Y REMÉDIER)

Nicolas RUFF (EADS)

La conférence sur l'échec de la sécurité était très attendue, pas tant pour le contenu relativement prévisible, que pour la forme. Comme prévu, Nicolas Ruff a fait un show. C'est avec cet humour caractéristique, légèrement teinté d'ironie, qu'il a dépeint aux travers d'exemples bien trop nombreux (pour la sécurité), une situation qui serait comique si elle n'était pas aussi ridicule.

On peut tout de même se demander si la situation est aussi désespérée ? Probablement pas, dirons-nous. Le discours n'est certes pas alarmiste à tord, la sécurité n'a pas l'attention qu'elle mérite et souvent pas pour les bonnes raisons (comme l'a présenté Alexandre Fernandez-Toro), mais des progrès ont tout de même été fait.

thumb_img_0880.jpg

thumb_img_0882.jpg

UNE APPROCHE DE VIRTUALISATION ASSISTÉE PAR LE MATÉRIEL POUR PROTÉGER L'ESPACE NOYAU D'ACTIONS MALVEILLANTES

Eric LACOMBE (CNRS LAAS), Vincent NICOMETTE, Yves DESWARTE

thumb_img_0885.jpg

thumb_img_0886.jpg

OS SÉCURISÉ

Projet SEC&SI

thumb_img_0887.jpg

thumb_img_0888.jpg

RUMPS

thumb_img_0892.jpg

thumb_img_0898.jpg