Et c'est parti pour la première journée...

  • 20 years of PaX, par Pipacs de la PaX Team. Un point de vue super intéressant sur une des innovations majeures de ces vingt dernières années en terme de sécurité informatique. Ça commence avec une rapide présentation de PaX, de son histoire qui commence à un moment où le mot "sécurité" ne figurait pas au lexique des gros de l'industrie informatique et de ses fonctionnalités avec, en toile de fond, l'état d'esprit qui a guidé son développement. La seconde partie détaille les fonctionnalités offertes aujourd'hui par PaX, avec un gros focus sur celles, relativement méconnues, d'auto-protection du noyau et sur l'intégration dans la chaîne de compilation via des plugins GCC. La dernière partie porte sur le futur de PaX et ses axes de développement.
    Une excellente keynote, très dense techniquement, qui place la barre très haut pour la suite...
  • SSL/TLS: état des lieux et recommandations, Olivier Levillain de l'ANSSI. Une introduction avec un rapide historique et le fonctionnement de base. La seconde partie détaille le protocole : les différentes versions disponibles et leurs faiblesses éventuelles, le concept de suite cryptographique et la gestion des certificats. Une troisième partie sur l'état de l'écosystème HTTPS avec de vrais morceaux de statistiques et de résultats de tests de serveurs et clients dedans, et quelques réflexions sur la gestion des certificats.
    Une bonne présentation introductive sur SSL/TLS, qui décevra donc pas mal de monde ici. Des points intéressants tout de même sur les implémentations, malheureusement un peu rares. Je reste sur ma faim, en particulier considérant que l'auteur avait manifestement beaucoup plus à dire sur le sujet...
  • Netzob : un outil pour la rétro-conception de protocoles de communication, par Frédéric Guihery, Georges Bossert et Guillaume Hiet. Une introduction sur l'intérêt du reverse de protocoles réseau et les difficultés associées, qui ont abouti à la création de l'outil Netzob. La deuxième partie décrit le modèle utilisé pour décrire un protocole et la troisième les étapes et méthodes qui lui sont associées dans le processus de rétroconception. On termine avec la description de l'outil Netzob et quelques démos en vidéo.
    Bonne présentation, qui ne nécessitait probablement pas autant de termes barbares, une mise en pratique manifestement utilisable et donc un outil de plus à tester.
  • Sécurité de RDP, par Arnaud Ébalard, Aurélien Bordes et Raphaël Rigo de l'ANSSI. Introduction sur les tonnes de fonctionnalités offertes et la description du bordelprotocole. Deuxième partie sur la sécurité, avec d'une part Standard RDP Security qui repose sur une clé RSA de 512bits jusqu'à Windows 2003 et sans authentification fiable du serveur, et d'autre part Enhanced RDP Security qui améliore les choses avec d'abord sur TLS puis NLA/CredSSP depuis Vista/2008. On passe ensuite aux considérations ludiquespratiques illustrés par des vidéos. Conclusion sur le passif sécurité du protocoles et des recommandations qui se résument à limiter au maximum l'accessibilité de l'outil.
    Présentation très didactique, étude approfondie et illustrations pratiques. Un must-read pour les utilisateurs de RDP évidemment, mais pas que ;)
  • WinRT, par Kévin Szkudlapski et Sébastien Renaud de QuarksLAB. Analyse de Windows Runtime, l'API qui sert de fondation à l'interface Metro de Windows 8. On attaque avec une description de Metro, des applications associées et leurs fonctionnement. On passe ensuite au fonctionnement interne de l'API WinRT, puis celui du Windows Store, seule source d'applications Metro, et enfin la sandbox dans laquelle s'exécutent les applications, avec une comparaison avec celle de Chrome, jugée d'un niveau correct par les auteurs.
    Excellente présentation, même si on pourrait se prendre à croire que l'aspect sécurité a été oublié...
  • L'information, capital immatériel de l'entreprise, par Garance Mathias. La présentation juridique du jour porte sur le traitement par le droit de la notion d'information dans un cadre législatif complexe et disparate. L'auteur aborde beaucoup de problématiques et se livre à un exercice de circonvolutions sémantiques pour apporter des éléments de réponse concrets.
    Je n'ai pas accroché : la présentation faisait un peu cours magistral et manquait clairement d'exemples pratiques. Un style aux antipodes de celui de Éric Barbry...
  • Audit des permissions en environnement Active Directory, par Géraud de Drouas et Pierre Capillon de l'omniprésente ANSSI. Les auteurs présentent les techniques et outils qu'ils utilisent pour automatiser l'audit les droits d'accès utilisateur contenus dans des annuaires Active Directory souvent énormes, en cas de compromission principalement. La seconde partie de la présentation illustre leur utilisation pour retrouver des compromissions typiques injectées dans un AD monté pour l'occasion. Conclusion avec des perspectives de développement, comme l'analyse d'autres supports ou la corrélation avec d'autres sources d'informations.
    Belle présentation, bien illustrée avec des cas pratiques[1]. On regrettera évidemment que les outils présentés ne soient pas publics, même si les auteurs ont évoqué la possibilité de les donner au cas par cas, sur contact direct. Sur ce coup là, l'ANSSI, c'est l'Agence Nationale de la Sécurité des Systèmes d'Information, mais pas des vôtres...
    Update (06/07/2012) : les outils sont désormais disponibles sur GitHub sous licence CeCILL v2..
  • Windows 8 et la sécurité : un aperçu des nouvelles fonctionnalités, par Bernard Ourghanlian de Microsoft. Présentation portant sur les évolutions de l'infrastructure de sécurité dans Windows 8. On commence avec la protection contre les malwares avec un boot sécurisé basé sur UEFI, TPM 2.0 et un Early Launch Anti-Malware (ELAM). On poursuit avec la sécurisation des connexions par l'utilisation du TPM pour protéger des certificats à la manière d'une carte à puce et DirectAccess. Puis vient le chiffrement des données avec BitLocker et ses nombreuses évolutions. On termine avec l'accès aux ressources avec un contrôle d'accès capable d'évoluer dynamiquement avec le contexte de connexion.
    La présentation est, sans surprise aucune, un speech technico-marketing qui passe en revue et justifie pas mal d'évolutions de sécurité de Windows 8, avec quand même quelques morceaux de bullshit d'un fort beau gabarit à l'intérieur, en particulier dans les réponses à certaines questions. Son intérêt se résume, amha, à fournir une liste de fonctionnalités sur lesquelles se renseigner...
  • 10 ans de SSTIC, par les vieux de la vieille que sont Nicolas Fischbach, Frédéric Raynal et Philippe Biondi. Attention... Ça va tailler sec... Ça commence avec la genèse du SSTIC, les principes fondateurs, les premiers errements, les choix qui ont été faits, des réflexions sur l'évolution de la conférence et des autres évènements, avec quelques quenelles gentilles. Des stats, avec en particulier le top 5 des speakers avec en première place Philippe Lagadec et sept présentations. Une jolie liste de #FAIL, dont un problème lié à la divulgation de failles... Un florilège sur les rumps, et autres anecdotes marquantes... Une évolution sur "qui trustait les talks" au cours du temps... Un retour sur les challenges... Des jolis réflexions sur le futur de la SSI en général et du SSTIC en particulier...

Et c'est fini. Direction le cocktail, puis la bouffe, puis le glou, le dodo... Et à demain :)


Pour les deux autres jours, c'est par là que ça se passe :

Notes

[1] Dont toute ressemblance avec des évènements passés, présents ou à venir ne serait pas totalement fortuite ;)