Annonce : une alimentation Lenovo a été trouvée dans la salle du SSTIC et n'a pas été réclamée. Le malheureux propriétaire peut, pour le plus grand soulagement de ses batteries, prendre contact avec les organisateurs à l'email habituelle, contact (at) sstic (dot) org.


Mercredi 3 juin 2009 - Jour 1

Céline, présidente du SSTIC 2009, ouvre la conférence par une courte allocution et passe rapidement la main au premier intervenant pour la keynote.

  • Keynote d'ouverture manifestement très appréciée[1] par Pascal Andrei, Airbus. Pascal est un collègue de travail de longue date, son activité chez l'avionneur et le développement du labo de sécu chez IW ayant des parcours qui se croisent plus que régulièrement, pour le plus grand plaisir des deux parties. Il va nous parler de sûreté, safety dans le jargon, et de sécurité, la différence entre ces deux concepts, comment ils interagissent voire se contredisent, etc. De la réglementation et son évolution. De l'organisation de la sûreté et de la sécurité. Et surtout, pour en revenir à ce qui intéresse énormément, du développement, de l'intégration et de la sécurisation des moyens de communication et de l'informatique de bord, toujours plus riche, et de leurs interactions avec l'environnement de l'avion. Une vision on ne peut plus éclairée d'un domaine dont j'ai essayé de vous entretenir dans la limite de ce que je pouvais en dire à quelques reprises.
  • "Évaluation de l'injection de code malicieux dans une Java Card" par Jean-Louis Lanet, Institut de recherche XLIM - Université de Limoges. Après une rapide description de l'architecture d'une Java Card, l'auteur va insister en particulier sur les mécanismes de sécurité et de cloisonnement des applications installées sur la puce, puisque l'objet de la présentation est de les contourner. Ils vont parvenir à dumper de la mémoire à partir d'un petit trou dans la spécification et de l'absence de vérificateur de bytecode intégré sur certains modèles. La présentation est globalement bien détaillée, tout comme le papier, et présente bien les bases de l'attaque, ses limites et les mécanismes d'exploitation[2]. Il terminera par un scénario d'exploitation, une bonne grosse fuite d'information, et des idées de contre-mesures.
  • "Utilisation du data tainting pour l'analyse de logiciels malveillants" par Florent Marceau, CERT LEXSI. L'auteur présente une plate-forme d'analyse principalement destinée à l'analyse de malwares bancaires en pleine et constante évolution, en particulier en terme de protection contre l'analyse et l'éradication. Le principe est le data tainting, à savoir le traçage de la propagation des données sur le système au niveau des périphériques, de la RAM et du CPU. Ce ne manque pas de poser quelques soucis d'implémentation pratique, on s'en doute bien, ne serait-ce qu'en terme de volume de données à suivre et à capturer. D'où la nécessité d'un calibrage, à savoir un compromis entre les données à suivre et celles à laisser de côté, et une capture au niveau de la MMU selon les cas. La présentation est courte, mais relativement claire, même si on sent parfois une furieuse envie de se lâcher sur la technique. Une bonne démo pour finir et hop. Et un papier qui fait mal à la tête dans les actes.
  • "Désobfuscation automatique de binaire" par Alexandre Gazet et Yoann Guillot, SOGETI ESEC. Je me suis laissé distraire, j'ai un peu perdu le fil, mais globalement, ils ont l'air de présenter en première partie des techniques visant à obtenir une vision symbolique et contextualisée du bytecode d'une VM d'obfuscation en assembleur optimisé. Code qu'il ne reste plus qu'à analyser avec l'outil qui va bien, dans leur cas METASM, bref, produire un résultat équivalent au code obfusqué d'origine, forcément, mais facile à analyser. La seconde partie porte sur des techniques de décompilation du code vers le C, plus facile à lire, à manipuler et plus expressif, démontrée en pratique sur le challenge SSTIC même si ce dernier n'est pas obfusqué.
  • "Le point de vue d'un WOMBAT sur les attaques Internet" par Marc Dacier, Symantec. Présentation du projet WOMBAT et de quelques uns de ses résultats en terme de collecte, d'enrichissement, de corrélation et de traitement de données en matière de propagation de malware, et par extension, de l'analyse de la menace[3] globale. Bonne présentation avec pleins de chiffres, intéressante surtout pour ceux qui aiment bien les honeypots. Pour la culture générale aussi. Et jolis slides...
  • "ACPI et routine de traitement SMI" par Loïc Duflot, DCSSI. Présentation sur le fameux concept d'informatique de confiance avec des choses comme Intel TxT et initiatives similaires chez les concurrents. Belle entrée en matière avec une démonstration du backdoor ACPI, puis explication des concepts d'attaque à partir du mode SMM et de l'ACPI. Description des mécanismes de TxT, du périmètre du socle de confiance minimal et donc des éléments potentiellement sous le contrôle d'un attaquant. L'auteur se focalise sur la gestion de l'alimentation qui fait intervenir la routine SMI et/ou l'ACPI. Une partie sur la gestion du mode SMM et le traitement de la SMI qu'il a largement développées à Cansec[4]. L'idée sera en l'occurence d'exploiter de cette manière le traitement de la SMI avec du code malicieux pour contourner TxT lors d'un redémarrage à chaud. Il poursuivra avec l'exploitation de l'ACPI, via une table DSDT corrompue placées en mémoire avant un redémarrage à chaud. Et fin de présentation sur une démonstration de l'attaque via la SMI. Du Loïc Duflot, excellent, comme d'habitude. On comprend mieux pourquoi Joanna est une fan :)
  • "Compromission physique par le bus PCI" par Christophe Devine et Guillaume Vissian, Thales. Présentation qui porte sur la compromission d'un système via l'insertion d'une PC Card particulièrement adaptée à cet effet. C'est le mécanisme de DMA qui est exploitée, puisqu'il permet un accès direct en lecture/écriture à la mémoire, sans filtrage de la part de la plate-forme ou du système d'exploitation. La preuve de concept est implémentée sur un FPGA embarqué sur carte PCI ou Cardbus. Une bonne grosse démonstration des familles durant laquelle l'insertion de la carte permet de bypasser l'écran de login de Windows via l'attaque Winlockpwn. On aura droit à pleins de détails sur l'implémentation d'un CPU, chose qui n'a manifestement pas été une chose aisée. On comprend mieux pourquoi Joanna est une fan.
  • "Cinq questions sur la vraie utilité de l'ISO 27001" par Alexandre Fernandez-Toro, HSC. Partant de l'observation que ISO27001 est bien entrée dans les mœurs, l'auteur se dit que finalement, il ne doit pas s'agir d'un effet de mode et qu'il doit bien avoir du sens quelque part. Sens qu'il se propose de nous démontrer en répondant à cinq questions, après nous avoir assommé de quelques slides sur la famille des normes ISO27000. D'abord, à quoi ça sert ? Manifestement pas à faire de la sécurité ou si peu. Ensuite, est-ce que ça améliore vraiment la sécurité ? Manifestement, c'est possible, des fois, mais comme tous les cycles PDCA quelque chose qui doit s'inscrire dans la durée et qui donne des résultats chez ceux qui font de la sécurité quand même, c'est à dire peut-être ceux qui n'en avaient pas besoin. Pour leur sécurité s'entend. La question numéro 3 : comment reconnaître une certification obtenue rien que pour la conformité d'une "vraie" certification qui veut dire quelque chose ? Des pistes en effet, mais bon, quand on en arrive à se poser ce genre de question, c'est que la réponse à la première question est "à rien". Ceci dit, ça ouvre un marché pour une certification du process de certification ISO 27001... Dernière vraie question, quels sont les domaines impactés ? Des tas de domaines, mais plus spécialement la sécurité physique, la continuité d'activité, la gestion des habilitations et la prise en compte de la sécurité dans les projets. Dernière question qui laisse songeur : à quoi ça sert vraiment ? Grosso modo à asseoir, ordonner et pérenniser la gestion de la sécurité de ceux qui font vraiment de la sécurité. Pour le reste, on passera. Ce qui nous ramène à une constatation de base : ce n'est finalement qu'une certification. Présentation vivante, des points intéressants et point de vue pas malhonnête, sans parti pris évident, même si on sent le mec convaincu.
  • Explication du challenge par Stéphane Duverger et remise des prix aux quatre gagnants qui ont fait le déplacement. Raphaël Rigo et Simon Maréchal ont ensuite exposé leur solution au problème. Notez que les cinq autres solutions ont également été mises en ligne, ainsi que les sources du challenge.

La journée s'est terminée par un cocktail, sorte de mini social event avant le social event, avant que la foule ne se disperse aux quatre coins de Rennes pour aller diner. En ce qui me concerne, ce furent des fruits de mer à La Marine. Sans être exceptionnel, c'était frais et bon. La suite rue de la soif, au 1929, dont le rhum arrangé au piment est à essayer. Juste pour voir...


Jeudi 4 juin 2009 - Jour 2

C'est devant une salle relativement clairsemée que commence ce second jour de présentations. Les mauvaises langues vous diront que certains ont perdu leur âme, sinon plus, rue St. Michel. Je ne me risquerai pas à commenter de telles affirmations.

  • "Fuzzing, le passé, le présent et l'avenir" par Ari Takanen, Codenomicon. Ari est un chercheur qui a pas mal bossé sur le fuzzing. Il est en particulier connu pour ses travaux sur la suite Protos, un des premiers frameworks libres décents de fuzzing réseau. Ce dernier a d'ailleurs servi de base aux produits Codenomicon, boîte dont il est un des fondateurs et actuel CTO. Globalement, le talk présente le fuzzing sous un aspect historique. Vision intéressante, en particulier venant de quelqu'un qui étudie le domaine depuis une dizaine d'années, avec un peu de recul sur quelques lieux communs largement répandus sur le sujet : principes, méthodes, résultats, efficacité, use cases, développements à venir, etc. Rien d'exceptionnel, mais ça mérite de l'attention. Par contre, méga-sacrilège et entorse à LA règle : la présentation est donnée en anglais. Bouhouhouhouh :)
  • "Fuzzgrind, un outil de fuzzing automatisé" par Gabriel Campana, SOGETI ESEC. On commence par un introduction rapide sur les méthodes et description du concept de base, à savoir la mutation d'entrée reposant sur une exécution symbolique du programme à tester. Le but est d'en extraire un modèle de contraintes, le résoudre et se servir de la solution pour trouver des fautes éventuelles. Fuzzgrind est un outil qui repose sur un plugin spécifique pour Valgrind et STP, un outil de résolution de contraintes. Globalement, Valgrind analyse le programme et génère le modèle de contraintes, lequel est résolu par STP. Les solution servent à générer des entrées valides pour le programme à tester qui pourront, in fine, générer des résultats. Si j'ai bien compris, Fuzzgrind est donc un programme qui sert à générer des entrées par mutation par analyse du programme à tester, entrées qui seront ensuite utilisées pour le fuzzing proprement dit. Intéressant, mais pas forcément limpide dans la présentation : la lecture du papier va s'avérer nécessaire. D'un autre côté, 30mn, c'est court, surtout avec une démo à la fin.
  • "Sécurité des architecture de convergence fixe-mobile" par Laurent Butti, Orange Labs (ex FT R&D). Convergence blabla, FMC[5], 3G, UMA, IMS, Wi-Fi tralala, pleins de TLA. Des schémas d'architecture et de principe dans tous le sens et moyens de sécurité déployés. Lisez le papier ou les slides quand ils seront en ligne, c'est utile pour la culture générale. La recherche de vulnérabilités se fera par, ô surprise, fuzzing. Focus sur IKEv2 et EAP : contexte, contraintes, implémentation basée sur Sulley et résultats. Il est clair que fuzzer du protocole crypto avec pas mal d'états genre IKE, c'est loin d'être une sinécure... Intéressant, résultats qui laissent songeur, en particulier sur EAP...
  • "La sécurité des smartphones" par Romain Raboin, Atlab. État de l'art sur le marché du smartphone : Symbian, iPhone, Blackberry et Windows Mobile, puis étude d'un spyware commercial disponible sur l'ensemble de ces plate-formes, FlexiSPY, dont le pitch marketting ne manque pas d'humour[6]. L'auteur passe ensuite aux choses sérieuses avec des méthodes d'infection permettant d'implanter ce genre de backdoor : social engineering, en particulier le coup de l'auto-exécution de programmes par Windows Mobile sur médium amovible ou transfert BlueTooth, exploitation de vulnérabilités et enfin la description d'une implantation silencieuse via la synchronisation RAPI. Ensuite, on va passer à l'attaque de ressources à partir d'un smartphone malicieux ou tout simplement compromis par les méthodes précédentes. Enfin, des techniques et outils de sécurisation, mais ça n'a pas l'air de casser trois pattes à un canard. La présentation est assez haut niveau puisqu'elle essaie d'aborder beaucoup de points. Il faudra que je regarde si l'article est plus détaillé. Ça semble être un bon point de départ pour se faire une idée de l'état de l'art en la matière.
  • "Le traçage des traitres en multimédia" par Teddy Furon, INRIA - Thomson. Par tracer les traitres, on entend lutter contre la redistribution illégale de contenu en identifiant la source de fuites de contenu multimédia, donc sujet particulièrement à la mode. Approche différente du DRM en ce qu'elle se concentre sur l'identification de la source plutôt que faire chier les utilisateurs finaux et, de manière très marginale, les méchants utilisateurs de P2P. On va donc parler tatouage numérique, watermarking pour les intimes. On va d'abord parler, en prenant l'exemple de l'implémentation sur Blu-ray, d'aiguillage, à savoir que la lecture se fait en fonction d'un ID, ce qui produit donc une sortie numérique unique au lecteur. Grosse partie sur la collusion, à savoir la génération d'un contenu à partir de plusieurs sources pour contourner l'aiguillage, avec les différentes techniques utilisées et le principe des codes anti-collusion et la traçabilité obtenue. Et exemple par la pratique sur de code de Tardos. Enfin, les principe de dissimulation des informations de tatouage et leur résistance à la dégradation, la conversion et autres traitements visant à les rendre inefficaces. Petite démo sympa à la fin pour illustrer l'impact du tatouage et son efficacité face à la copie et la collusion. Présentation vivante et très claire, sur un sujet très pointu
  • "Le vol d'informations n'existe pas" par Marie Barel, juriste officielle du SSTIC Orange Consulting Services. Ou plutôt, le droit ne reconnaît pas le vol d'information, puisque le vol suppose à la soustraction de la chose, donc la privation de quelqu'un d'un objet, ce qui n'est pas du tout le cas, puisque dans notre beau jargon, on va plutôt copier de l'information, immatérielle. Discussion autour du sujet, puis qualifications et textes applicables à ce cas de figure que l'usage qualifie de vol d'information, avec évidemment les dispositifs de protection utilisables en la matière. 30mn, c'est à la fois trèèèès long pour nous dire ça, et trèèèès court pour nous l'exposer sous l'angle juridique. On notera un moment de faiblesse, slide numéro 9, où l'auteur se laisse aller à des considérations vaguement sociologiques, mais ce n'était que pour mieux repartir par la suite. Globalement, la problématique n'en reste pas moins intéressante.
  • "Pourquoi la sécurité est un échec (et comment y remédier)" par Nicolas Ruff, EADS Innovation Works. Constat de départ : la sécurité est un échec et les exemples ne manquent pas. Constat alimenté par l'expérience. Florilège de pensées personnelles, largement partagées, alimentées par une foultitude d'exemples. ça mériterait un billet complet, voire deux. Donc allez lire les slides et le papier. Mention spéciale pour le disclaimer et le quizz... Du grand Ruff...
  • "Une approche de la virtualisation assistée par le matériel pour protéger l'espace noyau d'actions malveillantes", par Éric Lacombe, LAAS. Deux problématiques : comment empêcher le noyau d'être compromis et, si on n'y arrive pas, protéger quand même le système. Première partie sur les attaques visant le noyau, avec les vecteurs et les classes d'attaques... Seconde partie sur l'approche retenue, à savoir, accrochez-vous bien, la préservation des contraintes sur les objets contraints par le noyau. Ces trucs, appelés KCO par la suite, sont des ensembles de variables, valeurs, états, etc. dont on doit maintenir l'intégrité, ce qui doit être fait à un niveau de privilège supérieur. Typiquement au niveau d'un hyperviseur assisté matériellement comme celui développé, Hytux, qui repose sur VT-x. Deux exemples illustrent le concept, le premier qui maintient la valeur de certains registres, le second qui porte sur l'agencement de l'espace d'adressage du noyau. Voir le papier pour plus de détails pour la méthode de protection retenue. Contributions et limites, genre qu'on ne peut pas vérifier tous les objets du systèmes.
  • "OS Sécurisé" dans le cadre du projet SEC&SI. Défi mettant en concurrence trois équipes pour le développement d'un OS sécurisé mais utilisable pour autant, ciblé pour l'utilisateur final. Autant dire que Mme Michu a largement été mise à contribution dans les discours qui ont suivi. Le tout s'étale sur deux ans, avec une alternance de phases de développement et d'évaluation, dernier terme par lequel il faut comprendre que chaque équipe essaye de compromettre les contributions des autres. Suivent les présentations des trois solutions en lice : OS4, SAFE-OS et SPACLik.
  • Ensuite, on aura la fameuse Rump session arbitrée par un Franck Veysset que j'ai trouvé un peu laxiste[7], avec 23 interventions au total. Malheureusement, la deuxième batterie de mon laptop a atteint le seuil critique critique à son tour, ainsi que ma tenacité à remplir ces lignes en live. Donc pas de CR des rumps en live, je me suis juste contenté d'en profiter, reportant la rédaction de la liste suivante à plus tard[8]...
    • on attaque avec la traditionnelle présentation de la conférence C&ESAR dont le thème de l'année est la sécurité des applications sans-fil, et dont l'appel à contributions est encore d'actualité ;
    • Christophe Devine avec un rapide exposé sur le micro-espion dont j'ai un peu de mal à saisir le but ;
    • Yannick Hamon nous a présenté le projet IMA, un outil d'audit pour la gestion d'identité ;
    • Bruno Kerouanton qui est venu nous faire un cours de communication de crise ;
    • Christophe Grenier s'est passablement moqué d'un challenge de forensics, mais n'a pas parlé de Photorec ;
    • Arnaud Tarrago est venu nous présenter DESIIR, une box pour l'échange sécurisé de données sur USB ;
    • Michel Dubois avec deux applications, Reconet pour la reconnaissance réseau, dont je n'ai pas compris l'intérêt quand on sait se servir de Scapy, et EvalSMSI ;
    • Renaud Bidou nous a fait une démonstration d'injection XPath en aveugle ;
    • Philippe Lagadec est venu nous parler de la gestion par l'OTAN des aspects CyberSecurity ;
    • Yves le Provost avec de l'intrusion web via téléphone mobile ;
    • Aurélien Bordes a présenté les mécanismes de CredSSP et un outil permettant d'extraire le mot de passe d'un utilisateur en les exploitant ;
    • Julien Sterckeman et son caoutchouc plein de malice, qui traite de dissimulation de code malicieux dans du source LaTeX ;
    • Guillaume Valadon nous a parlé d'analyse de captures de trafic à caractères pédo-pornographique sur EMule, sujet qui a certes cassé un peu l'ambiance joyeuse, mais aurait largement mérité plus qu'une simple rump ;
    • Philippe Biondi a présenté le support des automates pour Scapy et son application à TCP, ainsi qu'un module de génération de slides et un sacré scoop ;
    • après une panne de projecteur et beaucoup de bugtracking, Sébastien Tricaud et Denis Bodor nous on décrit ÉthyloSSTIC, un éthylomètre USB, et quelques applications genre module PAM ou module de post-commit SVN ;
    • Laurent Licours nous a parlé lui aussi d'injection XPath et de cartographie de signal Wi-Fi avec Kismet ;
    • Benjamain Caillat a annoncé la mise en ligne d'une image VMWare contenant toutes les épreuves[9] des challenges SecuriTech, image dont peut retrouver les solutions en ligne ;
    • Nicolas Collignon[10] et son implémentation d'un shell au dessus de DTMF avec retour par synthèse vocale, démo à l'appui ;
    • Cedric Halbronn nous a proposé quelques démos d'attaques sur Windows Mobile 6 ;
    • Yvan Vanhullebus nous a expliqué pourquoi il allait proposer un draft de RFC visant à interdire l'usage de Should et Should not dans les futures RFC ;
    • Arnauld Mascret nous a parlé de triche en ligne, en l'occurence bypasser les limitations d'UI Web de base et construire des bots ;
    • Jean-Baptiste Bédrune s'est intéressé à la qualité du générateur aléatoire de passphrases WPA/WPA2 proposé par deux box française dont on taira le nom par pure charité, et l'impact le brute-force de ces accès.
    • enfin, Philippe Mathieu-Daude nous a présenté le projet Netifera, un framework opensource pour la création d'outils de sécurité, plus particulièrement des outils de vulnerability assessment/exploitation.

La journée s'est terminée avec un social event nouvelle formule au Coq Gadby. Et ce fut une réelle réussite : plein de place pour circuler, un magnifique jardin, une grande salle, buffet excellentissime, du boire presque raffiné. Et surtout le fait que cette année, pour la premère fois, il rassemblait tout le monde. Ça a donné une ambiance parfaite pour discuter à droite et à gauche. Sans aucun doute possible le meilleur social event de tous les SSTIC, à des années lumières de celui de l'an dernier en particulier. Je me demande même si ce n'était pas un peu trop feutré comme endroit. C'est difficile à expliquer, mais ça faisait plus Eurosec que SSTIC... Mais on ne va pas cracher dans la soupe non plus. Bémol, ou anecdote rigolote, selon les perspectives, il paraîtrait que quelqu'un dont l'affiliation reste à sujette à controverse, ait décidé de refaire la décoration des toilettes. De fort mauvais goût qui plus est. Je ne veux pas délatter, mais il y aurait des photos qui trainent. Quand je dis que c'est une mauvaise idée de se laisser aller en conférence...

Une fois tout le monde sorti, je n'ai pas besoin de vous dire où[11] s'est dirigé le troupeau. En ce qui nous concerne, le P'tit Vélo, un petit bar de nuit bien tranquille sera une alternative acceptable au désormais trop célèbre Cactus.


Vendredi 5 juin 2009 - Jour 3

Social oblige, l'adjectif clairsemé est largement dépassé pour qualifier le faible taux de remplissage de la salle à 9:15, début des hostilités. Je n'oserai pas l'attribuer au sujet du premier talk, les XSS, bien que j'ai failli ne pas me lever en lisant le programme. Grand bien m'en a pris !

  • "XSS, de la brise à l'ouragan" par Pierre Gardenat, académie de Rennes. Bon ben XSS, comment ça marche, conséquences, voilà. Démos. Combinaison avec d'autres attaques, redirections, XSS volatile vs. XSS persistante, etc. Puis on passe à d'autres choses un peu plus étoffées, genre injecter plein de code JavaScript pour faire des choses pas bien, typiquement prendre le contrôle du navigateur et faire des bots, donc des botnets, etc. L'auteur a testé les quatre réseaux sociaux principaux avec succès, ce qui semble confirmer les forts taux de vulnérabilité. Quelques considérations sur les raisons qui nous ont amené à cette situation, dont la sous-estimation de l'impact d'une XSS. Enfin, réflexions sur les éventuelles contre-mesures. Jolie démonstration d'injection sur le site du SSTIC. Pas mal du tout, voire très bon, sur un sujet miné.
  • "Origami malicieux en PDF"[12] par Frédéric Raynal, SOGETI ESEC. Ça commence avec des choses basiques et déjà vues dans les présentations faites précédemment sur le sujet. Démonstration bien chiadée de code viral en PDF embarqué dans un PDF signé, qui va bien pourrir tout le modèle de sécurité d'Adode Reader. Suivent des considération sur l'analyse du soft, avec le chiffrement, la gestion de la confiance, des droits attribués aux contenus du fichier traité, la moteur JavaScript du plugin Adobe Reader et son exploitation, puisque son modèle d'autorisation est évidemment beaucoup plus laxiste que celle de l'application standalone et qui permet une tonne d'interactions avec le navigateur. Démonstration finale avec un PDF qui lance silencieusement un SMBRelay sur le réseau local.
  • "Macaron, une porte dérobée pour toutes les applications JavaEE" par Philippe Prados, Atos Origin. L'auteur veut à démontrer la possibilité pour un développeur d'implanter une backdoor complètement furtive dans une application J2EE et attaque directement par une démonstration de Macaron, son PoC. Le code est inséré dans le projet sous forme d'archive JAR déclarée saine par l'attaquant. Son exécution se fait par piégeage du code, genre surcharge, paramétrage additionnel, génération de classes lors de la compilation, etc. Les communications s'insèrent dans le traitement du flux HTTP, et permettent de déclencher la backdoor qui donne elle-même accès à une large collection d'agents. L'auteur propose un PoC pour qualifier son exposition à ce genre d'attaques. Enfin, quelques solutions au problème, avec en particulier sandboxing Java2 et distribution des privilèges, même si on sent bien que ça n'a rien d'une sinécure. L'auteur propose également un outil pour aider à la génération de politiques. L'article des actes est massif, les fans de Java devraient y trouver leur bonheur.
  • "IpMorph, unification de la mystification de prise d'empreinte" par Guillaume Prigent, Diateam. Le but de l'outil est de tromper les techniques d'OS fingerprinting actif et/ou passif, qu'on se trouve sur une machine réelle ou virtuelle. Après un rapide état de l'art du détournement d'OSFP, l'auteur passe à une description de sa technique, laquelle s'appuie sur la substitution de la pile IP à la honeyd. L'outil tourne sous Linux, BSD et MacOS, license GPLv3. Description des cas de nmap, SinFP, p0f, Xprobe2 et Ring2. Quelques démos à la fin. Présentation pleine de bonne humeur et graphiquement belle avec un joli jeu de slides colorés et animés. Presques mieux que ceux de Symantec... Pour le reste, l'outil a l'air rigolo, et ne fonctionne pas trop mal. Ceci dit, je ne suis pas convaincu du tout par la présentation, je n'ai rien senti de neuf derrière tout ça. De plus, je ne suis pas persuadé de l'intérêt de ce genre de chose par rapport à de la linéarisation de trafic. Ah si, pour les honeypots me souffle-t-on. Ou pas...
  • "Analyse dynamique depuis l'espace noyau avec Kolumbo" par Julien Desfossez, Révolution Linux, venu tout droit du Canada. On commence avec des méthodes classiques de prévention d'analyse dynamique via un self ptrace et la détection de breakpoints. On continue avec une description de Kolumbo, qui se présente sous forme de module kernel autonome, et de ses fonctionnalités : mode trace pour intercepter les appels systèmes, mode dump pour récupérer l'image mémoire du binaire et un mode anti-anti-trace par interception de l'appel ptrace. Un quatrième mode est décrit dans les actes. Présentation claire, démos qui parlent, mais j'ai du mal à voir ce que ça apporte vraiment par rapport à l'existant.
  • "Calcul sur cartes graphiques, cryptographie et sécurité" par Antoine Joux, DGA. Donc des cartes graphiques de plus en plus performantes qu'on aimerait bien utiliser pour faire plein de calculs, et en particulier de la cryptographie. Côté constructif, on trouve des implémentations d'algos à clé secrète avec DES et AES et des gains respectifs de facteur 60 et 16. Et d'autre part, des travaux sur de la cryptographie à clé publique dont l'implémentation demande plus qu'un simple portage et qui plafonnent à des gains pas terribles de l'ordre 20-30% sur RSA/DSA. Côté attaque, on accélère la recherche exhaustive de clés en exploitant au mieux le parallélisme, et dernièrement la factorisation par méthode ECM. Exemples d'optimisations algorithmiques pour GPU avec la multiplication de matrices 32x32 et la recherche de multicollisions. Deux autres exemples d'application, le classique crackage de mot de passe et la reconnaissance de virus, puis quelques réflexions sur l'utilisation des plate-formes pour l'exécution de malwares. Bon talk, très bien présenté, j'adore.
  • "Émanation compromettantes électromagnétiques des claviers filaires et sans-fil" par Martin Vuagnoux, EPFL. On commence par une revue du concept d'émanations compromettantes, sous forme d'historique. On continue avec les principes de base et le type de matériel utilisé pour détecter de tels signaux et en particulier leur montage à base de plate-forme GNU Radio. On passe ensuite à la théorie sous-jacente, la description et l'implémentation des attaques contre les claviers PS2 ainsi que les problèmes rencontrés lors des expérimentations de capture directe, via la terre ou à travers des canalisations. J'aime bien la description de l'approche progressive et bien empirique qui a guidé leurs travaux. Mention à la fin de résultats à publier bientôt sur USB et Wireless[13]. Par contre, c'est pleins d'informations et de graphiques un peu difficile à résumer à la volée. Je vous renvoie donc aux actes, et en particulier à un jeu de slides d'un fort beau gabarit, avec de la 3D animée et tout et tout. Super présentation, excellent speaker.
  • "L'humain, le maillon fort" par Dominique Chandesris, DCSSI. Pleins de réflexions très intéressantes. Ça part un peu dans tous les sens et on a un peu de mal à rester en ligne avec le fil directeur. Mais ça valait vraiment le détour.


Maintenant, tout le monde est rentré, les organisateurs ont fini de nettoyer la salle. Restent quelques gens assis dans la pelouse ou à vague portée de Wi-Fi. Ça fait vide tout d'un coup :) Et maintenant que c'est bel et bien fini, il reste encore à remanier un peu tout ça. Les photos sont uploadées et les rumps à jour, il faut encore faire la chasse aux coquilles. Jean Jeudemo, je compte sur toi.

Sinon, côté soirée, je me suis fait un rapide dîner et ai regardé le formidable film soit-disant libre[14] de Yann-Arthus Bertrand, Home, sur une télé ridiculement petite, mais pépère, le temps que les autres finissent de manger. Et puis nous sommes sortis au Couleurs Café, un bar à rhum vraiment excellent.

Et puis le lendemain matin, TGV et welcome back to Paris...


Les autres en parlent aussi (en vrac, par ordre de découverte) :



Je tiens à remercier mes voisins de derrière pour la correction orthographique et interactive en live, malgré la police microscopique sur un affichage tout rikiki...

Et évidemment, un grand, énorme, gigantesque merci aux organisateurs pour nous avoir offert à nouveau un grand moment pour cette septième édition du SSTIC. Des rumeurs de changements circulent, avec quelques nouveautés pour les inscriptions l'année prochaine. Tout ce que j'ai le droit de vous dire, c'est de booker vos 2, 3 et 4 juin 2010. D'un autre côté, ce n'est pas vraiment une surprise :)

Notes

[1] Par ceux qui ne l'ont pas manquée...

[2] C'est bien technique, je ne vous le cache pas...

[3] Plutôt des menaces, mais bon...

[4] On me fait remarquer que je n'ai pas fait de CR de Cansecwest 2009, mais vous pouvez toujours aller voir les slides.

[5] Fixed Mobile Convergence.

[6] "Catch cheating spouses with FlexiSPY"...

[7] On voit bien que niCRO n'est plus là...

[8] Normalement, la liste est bonne, mais si je me suis planté dans l'attribution des photos, faites-le moi savoir...

[9] Ou presque...

[10] Au second plan. Devant, c'est Julien Raeis.

[11] <cc>

[12] PDF fourni par l'auteur, à vos risques et périls, donc...

[13] ?!

[14] Ne vous inquiétez pas, juste le temps de finir le billet sur le sujet, et vous allez comprendre...

[15] Quel nom à la con.. Vraiment...