Investigation & transformation numériques

Lendemain de SSTIC

J’ai eu la chance cette année de pouvoir préserver le début du mois de Juin et participer au Symposium sur la Sécurité des Technologies de l’Information et de la Communication / SSTIC 2010, dans les locaux de l’Université de Rennes.

Un grand bravo aux organisateurs qui relèvent le défi de rassembler plus de 400 personnes à des conditions financières très raisonnables (à comparer aux autres conférences sur la sécurité au niveau mondial). Merci enfin de leur accueil particulièrement chaleureux !

Blogging and tweeting

Le programme de la conférence était effectivement particulièrement riche et plusieurs d’entre nous ont fait l’effort de commenter chacune des présentations dans le détail (sid 1, 2, 3, n0secure, le micro-blogging de jpgaulier, Yvan VANHULLEBUS 1, 2, 3, Mat pentester).

Les hashtags à suivre sont évidemment #sstic et #sstic2010.

Quelques-unes des conférences

Sans faire la revue intégrale de toutes les interventions, voici ce qui a attiré mon attention:

  • DGSE et ANSSI en ouverture et clôture, pour mieux se faire connaître et clairement pour recruter (c’est un bon endroit pour le faire indéniablement);
  • Ph. Lagadec (OTAN/NC3A) qui présentait un démonstrateur d’une solution développée dans son laboratoire pour rassembler dans une interface opérationnelle (CIAP) l’ensemble des données de sécurité d’un réseau, sur la base d’un modèle de données commun et un projet connexe (DRA), pour l’analyse de risque en temps réel d’une alerte,
  • E. Barbry (avocat) a su présenter de façon simple et percutante l’environnement juridique en 2010 des RSSI,
  • Les parades contre les attaques physiques sont mises à l’épreuve avec une étude d’Intel VT-d (et une démonstration difficile d’une nouvelle attaque Firewire) et un retour sur les attaques contre les cartes réseaux et en particulier l’implémentation du protocole ASF (Alert Standard Format) par les petits gars de l’ANSSI (voir leur site à ce sujet).
  • Frédéric Connes (HSc) nous a fait partager les résultats de sa thèse sur un système de vote électronique basé sur la distribution d’un reçu à chaque votant et un processus de contrôle collaboratif. La communauté du SSTIC était un peu perplexe, car surtout peu habituée à discuter de ces sujets, mais comme j’avais pu l’évoquer avec G. Desgens dans notre livre L’identité à l’ère numérique, il est indispensable de développer une recherche poussée sur le vote électronique qui sera un outil incontournable de notre démocratie (Patrick Pailloux DG de l’ANSSI le répétait le lendemain),
  • F.-X. Bru et G. Fahrner (article par ici) nous ont fait une très sympathique et efficace présentation de leurs travaux sur la sécurité de Facebook et notamment la capacité de collecter rapidement des données personnelles grâce à la diffusion virale d’une application,
  • H. Welte (son blog) nous a présenté deux projets autour du GSM dans lesquels il est très actif, OpenBSC (plateforme expérimentale d’un contrôleur de station de base GSM) et OsmocomBB (une implémentation opensource de pile réseau de terminal mobile). Il a d’ailleurs été l’un des chanceux qui ont réussi leur démo cette semaine, avec une injection de code au démarrage d’un terminal GSM Nokia,
  • J’étais absent pendant la présentation de N. Ruff sur l’audit des applications .NET complexes, car convié à la présentation des technologies d’une entreprise locale,
  • C. Halbronn a fait un tour d’horizon des défauts de Windows Mobile et une démonstration des risques liés aux rootkits sur cette plateforme,
  • Une mention spéciale à Mathieu Baudet qui a été quelque peu chahuté par la salle, car il n’était pas préparé à ce type de public et donc avait une présentation trop peu technique et pas assez centrée sur son sujet principal. J’ai appris ensuite qu’en fait il remplaçait ici un autre orateur invité qui n’a pas pu venir. Le projet qu’il a présenté, OPA une plateforme de construction d’applications Web sensé améliorer la sécurité n’en est pas moins intéressant. Si les participants au SSTIC sont cohérents, j’espère que l’année prochaine on aura une présentation critique sur les failles éventuelles d’OPA 🙂 !

J’avais aussi la chance d’être invité et donc de pouvoir m’exprimer sans passer par les fourches caudines du comité de programme, donc un grand merci pour cette occasion qui m’était offerte de partager quelques réflexions sur la lutte contre les botnets (mon papier). N’hésitez pas à me contacter (les commentaires sont modérés, donc non publiés par défaut) si vous avez toute idée sur l’action dans ce domaine.

La Rump Session

4 minutes, pas une seconde de plus pour présenter une idée, un projet, une découverte ou se moquer d’un camarade de la communauté… J’ai relevé en particulier:

  • Une démonstration d’attaque contre les cartes de fidélité de machines à café, présentée de façon humoristique et très efficace avec un petit film.
  • Un projet prometteur de Maltego-like intitulé netglub, basé sur un modèle d’agents distribués.
  • Les dernières évolutions d’ExeFilter une plateforme de nettoyage des contenus malveillants potentiels dans les flux Internet (PDF, pages Web, mail,…). Une approche complémentaire aux antivirus, particulièrement intéressante.

Le Challenge SSTIC

Les résultats du Challenge SSTIC 2010 ont été annoncés au début de la deuxième journée du symposium. Particulièrement complexe, il était basé sur l’analyse d’un dump mémoire de téléphone Android, la résolution d’une énigme et pour les plus audacieux, l’utilisation de techniques cryptographiques. Pour y répondre il fallait retrouver une adresse de courrier électronique @sstic.org. Merci à l’ANSSI d’avoir fabriqué le challenge et à tous ceux qui se sont acharnés pour découvrir la solution. Au passage, on note qu’il y a indéniablement du développement à réaliser dans le domaine de l’analyse de la mémoire des systèmes de type Linux !

Bilan

Le public présent au SSTIC 2010 était globalement très jeune et assez pointu. La communauté française de la sécurité numérique technique donne une image dynamique et j’ai noté un vif intérêt pour les sujets liés à l’investigation numérique et à la criminalistique (plus fort en tous cas que chez les RSSI français). Ce n’est clairement pas une conférence pour débuter sa formation dans le domaine de la sécurité, mais avant tout pour partager sur l’actualité de la recherche et de la réflexion sur la sécurité numérique aujourd’hui.

Rendez-vous donc à l’année prochaine, je l’espère, et amitiés à tous les contacts que j’ai pu avoir pendant ces trois jours.

Tags:

12 juin 2010 by Cybercriminalité Prospective Sécurité 7

You may also like...

7 Responses

  1. Athanagor Znort dit :
    12 juin 2010 à 14h14

    Bonjour.

    Serait-il possible d’avoir un développement sur les travaux de sécurité sur Facebook ?

    Cordialement.

    Répondre
    • Eric Freyssinet dit :
      12 juin 2010 à 14h19

      Leur papier sera bientôt publié dans les Actes du SSTIC sur le site.
      En gros, ils ont étudié les modes de propagation des actions malveillantes sur Facebook telles qu’on les observe aujourd’hui et testé la faisabilité en créant 21 comptes fictifs qui ensuite invitaient leurs « amis » à utiliser une application Facebook développée pour tester la collecte de données personnelles possible (au passage, ils ont anonymisé les résultats collectés).

      Répondre
    • F-eeks dit :
      13 juin 2010 à 18h20

      Bonjour,

      Vous trouverez l’article ici http://tinyurl.com/2fevl2f, en attendant qu’il soit diffusé sur le site du SSTIC avec les slides de la présentation.

      Bonne journée !

      Répondre
  2. Foxy dit :
    15 juin 2010 à 9h51

    Bonjour Eric,

    j’aurais juste voulu revenir sur un point de votre CR : « Le public présent au SSTIC 2010 était globalement très jeune ».

    Je ne sais pas ce que vous qualifiez de « très jeune ». Pour ma part, j’ai remarqué sur les 450 personnes présentes :

    – une proportion minoritaire d’étudiants (moins de 25 ans)

    – une immense majorité de professionnels techniques du domaine : pentesters, R&D éditeurs de logiciels, ANSSI, « chercheurs » en sécurité d’EADS, Sogeti et consorts… pouvant se confrondre avec des étudiants par leur habillement. Pour cette population, on doit bien avoir une majorité de trentenaires.

    – quelques costumes de ci de là correspondants aux consultants, RSSI… s’étant trompé de conf ou plus vraisemblablement goutant encore à écouter un discours technique pointu.

    Au final, je pense que la moyenne d’age du public SSTIC doit se situer autour de 30 ans.

    Merci pour la conf sur les botnets et pour votre blog toujours très intéressant.

    Répondre
    • Eric Freyssinet dit :
      15 juin 2010 à 21h33

      Bonjour !

      Question de point de vue (on a le même âge pourtant !) 🙂 Mais une moyenne d’âge de 30 ans, sachant que la moyenne d’âge de la population active est plutôt autour de 40 ans… c’est très jeune 🙂 Et puis je n’ai pas dit que c’était une mauvaise chose, juste un constat intéressant. Je participe à beaucoup de confs de toutes sortes, y compris en matière de recherche, et le public n’est jamais aussi jeune.

      Cordialement,

      Répondre
  1. 27C3 – Jour 1 « Criminalités numériques
    30 décembre 2010

    […] de SMS pour attaquer des smartphones. Pour leurs expérimentations, ils ont utilisé OpenBSC (présenté au SSTIC par H. Welte), une implémentation libre de contrôleur de station de base GSM et les ont menées […]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.