Mardi 8 juin 2010 - Jour 0

Arrivé à Rennes vers 18h, hôtel et direction le Bureau pour un repas "en famille". Et puis l'inévitable détour par la rue de la soif. Ça fait partie des choses qui ne changent pas au SSTIC.

Mercredi 9 juin 2010 - Jour 1

La conférence commence à l'heure, mais dans le noir. C'est un truc nouveau ça... Avec les badges à imprimer soi-même, on sent que 2010 est une année de grand changement ;)

  • "Systèmes d'information : les enjeux et les défis pour le renseignement d'origine technique" par Bernard Barbier, DGSE. Le directeur technique de cet organe de renseignement nous livre un panorama des activités de renseignement technique et quelques réflexion sur les enjeux de la sécurité informatique. En dehors de comparaisons entre le nombre de bonshommes aux US et en France, quelques perspectives historiques, l'organisation du renseignement en France et des informations sur les moyens à disposition, on a surtout eu droit à des choses relativement classiques et conformes à ce qui se dit, ici et ailleurs, sur le sujet. Dommage, je suis sûr qu'il aurait pu raconter pleins de trucs nettement plus intéressants. Un poil de réflexion sur la nécessité de développer des capacitées de lutte informatique offensive, mais rien de transcendant. On peut cependant saluer le fait que la DGSE se soit déplacée et ait pris la parole sur un sujet potentiellement casse-gueule. Ah si, y'avait une info quand même : la DGSE veut recruter 100 personnes par an. Va y avoir de la concurrence avec l'ANSSI...
  • "Tatouage de données d’imagerie médicale : applications et méthodes" par Gouenou Coatrieux de Télécom Bretagne. Une présentation sur, comme son titre l'indique, les applications possibles du watermarking pour la protection du contenu multimédia de santé. En l'occurence, il s'agit essentiellement de l'insertion de méta-données pour assurer l'authenticité des informations reçues : contrôle d'intégrité, détection et localisation des anomalies sur de l'imagerie, traçabilité des données, protection du dossier patient, etc. On aura aussi droit à une petite partie sur l'enrichissement des données médicales bien que ne relevant pas vraiment de la sécurité. S'en suivra une discussion sur les méthodes de tatouage en fonction des propriétés recherchées[1] et des données manipulées, avec un focus sur la perceptibilité du tatouage d'images. Avec en sus pas mal d'informations sur les techniques d'imagerie médicale. Une très bonne présentation pour découvrir les techniques et problématiques de watermarking dans un contexte particulier. Contrairement à ce que beaucoup ont ressenti, y compris moi, il ne s'agissait pas de présenter une méthode pour inclure une signature par stéganographie, mais bel et bien d'une marque faisant office de signature, mais portant sur la sémantique du contenu contrairement à une signature numérique, qui porte sur le contenant. D'où la réflexion sur la résistance aux changements de formats par exemple. J'ai bien aimé en tout cas.
  • "Visualisation et analyse de risque dynamique pour la cyber-défense" par Philippe Lagadec, OTAN/NC3A. Introduction sur l'approche cyber-défense de l'OTAN avec une jolie variation de roue de Deming. Ça manquait... Philippe présente deux outils, démos à l'appui. Le premier est un outil de visualisation, CIAP[2], a été développé à des fins d'aide à la décision. Pas mal d'informations accessibles et pleins de vue disponibles, avec Google Earth inside. Le second, DRA[3], est un outil d'analyse de risque temps réel et de contre-mesure. Peu de détails techniques globalement, ça faisait un peu presentation commerciale, mais sans rien à vendre ;) Sinon montrer des travaux de R&D de l'OTAN.
  • "CASTAFIOR : détection automatique de tunnels illégitimes par analyse statistique" par Fabien Allard et Mathieu Morel, Thales. On a donc un outil de détection des tunnels cachés. Une grosse partie très intéressante sur les hypothèses et la théorie sous-jacente. Grosso modo, ils génèrent par apprentissage des empreintes sur une dizaine de paramètres comme la répartition temporelle et volumétrique de différents protocoles. Partant de l'hypothèse que l'encapsulation du tunnel altère peu ces caractéristiques, la reconnaissance des protocoles encapsulés se fait par une classification basée sur ces empreintes précalculées. Les résultats expérimentaux présentés sont intéressants, avec 96% de taux de classification correcte, et des faux positifs qui tournent sous les 5%. Avec des temps de calcul en dessous de la milliseconde et un nombre de paquets nécessaires assez bas. La question de l'impact de l'algorithme de chiffrement et de la compression sur le résultat a été laissée de côté. Une bonne question à la fin sur la reconnaissance d'un tunnel IP avec pas mal de protocoles concurrents encapsulés.

Pause déjeuner...

  • "Réflexions pour un plan d'action contre les botnets" par Éric Freyssinet, Gendarmerie Nationale. Après une présentation des activités de la gendarmerie en matière de criminalité informatique, on passe au sujet principal de la présentation. Mise en bouche par un slide de généralités, suivie d'un panorama d'affaires plus ou moins récentes : les ISP véreux comme Atrivo et McColo, la fermeture de Waldedac par Microsoft, le modèle de distribution de Gumblar et le démantèlement de Mariposa. Pour combattre les botnets, l'auteur propose des actions possibles ciblant toutes les populations impliquées : attaquants, victimes, opérateurs, éditeurs, chercheurs, etc. Il nous parlera de sensibilisation, de mutualisation des efforts de détection et partage des données, réaction coordonnée des différents acteurs, etc. Un groupe de travail au niveau d'Interpol est donné en exemple. Côté évolutions législatives, on citera des provisions pour bloquer une propagation, autoriser la prise de contrôle d'un botnet, taper sur le spam en étendant la LCEN, etc. choses qui ne seraient pas très simples avec l'arsenal juridique actuel.
  • "virtdbg: un débogueur noyau utilisant la virtualisation matérielle" par Christophe Devine et Damien Aumaitre, SOGETI ESEC. Ce projet est de l'absence de débugger ring0 adapté à l'analyse de fonctionnalités de Windows 7 comme PatchGuard et les systèmes de DRM. Du fait de grosses limitations sur l'injection de code dans le noyau, en particulier parce que PatchGuard est là pour l'empêcher, le choix se porte sur la virtualisation matérielle avec un debugger sur hyperviseur. La grosse partie du milieu porte sur l'implémentation à base de board FPGA et du code qui reprend les travaux présentés par Damien en 2008. Tout est largement décrit dans les actes. Donc, RTFM. Quand ils seront en ligne. Forcément. Une ch'tite démo, et hop. Du bon boulot.
  • "Analyse de programme par traçage" par Daniel Reynaud, Jean-Yves Marion et Wadie Guizani. J'ai malheureusement perdu un peu le fil, mais il semble que ça parle d'analyser des blobs binaires en s'appuyant sur des traces mémoire d'exécution. L'auteur propose un outil appelé TraceSurfer qui s'accompagne d'un plugin IDA pour traiter les traces générées. Il permet d'y importer des traces, permettant typiquement de débloquer un désassemblage IDA, comme montré en démo. Une étude a été faite sur un gros set de malware, avec des résultats sympas qui sont dans les actes. Présentation claire est intéressante, mais bon, faut suivre.
  • "Intéressez vous au droit... avant que le droit ne s'intéresse à vous" par Éric Barbry, Cabinet Alain Bensoussan Avocats. Présentation très dynamique sous le signe du "nul n'est censé ignorer la loi"... L'auteur nous explique que le DSI/RSSI a un métier style homme orchestre à multiples facettes qui engage sa responsabilité sur de nombreux terrains, ce qui le place devant un nombre impressionnant d'écueils juridiques. C'est très vivant, c'est drôle, ça part dans tous les sens et ça tape sur tout le monde : la surveillance, Facebook, les réseaux sociaux, le Cloud, les clauses contractuelles, le droit à l'image, l'usurpation d'identité, le droit d'auteur et même le phishing... De manière plus sérieuse, il insiste sur la responsabilité au titre des fautes et/ou des infractions au code pénal qu'on comment, mais aussi au titre de la négligence fautive. Et on a contexte juridique chargé : LSQ, LSI, LSF, LCEN, HADOPI, loi sur les jeux d'argent, etc. Avec 2010 comme millésime particulièrement vivant... Présentation intéressante qui met le doigt sur les risques juridiques qui se profilent pour les internautes en général et l'entreprise en particulier avec les lois passées dernièrement ou à venir dans les prochains mois et qui propose quelques pistes d'outillage juridique en conclusion. Un intermède non technique particulièrement divertissant.

Fin de journée, miam, glou et dodo... Et à demain

Notes

[1] Robustesse, invisibilité, capacité, etc.

[2] Consolidated Information Assurance Picture

[3] Dynamic Risk Assessment