JSSI 2004

La journée de la Sécurité des Systèmes d’Information, un événement sécurité organisé par l’OSSIR, a eu lieu le mardi 4 mai 2004.

Salle des congrès, Ministère de l'Industrie et des Finances
20, avenue de Ségur
Paris VII


Programme de la journée "Virus, vers et code mobile, menaces"

8h30 : accueil des participants
9h00 : ouverture de la journée

09h15 - 10h : 1A, Guillaume Arcas (Consultant indépendant), IDS, Vers et Statistiques : de la théorie à la pratique ? (pdf.gz)
10h00 - 10h45 : 1B, Philippe Bourgeois (Ingénieur sécurité au Cert-IST),Blaster, Sobig-F, AutoProxy, Mydoom : Comment faire face aux nouvelles crises virales ? (pdf.gz)

10h45 - 11h15 Pause

11h15 - 12h : 2A, Nicolas Fischbach (Senior Manager, IP Engineering/Security COLT Telecom), Les FAI face aux virus et aux vers (pdf.gz)
12h00 - 13h : 2BTable Ronde, modérateur Michel Miqueu (CNES), "Vers, virus, spam , le déni de service !" Avec la participation de M. Didier Gras (Directeur Sécurité, Noos), Mme Danielle Kaminski (Journaliste, Chercheur en Cybercriminalité), M. Eric Wiatrowski (France Telecom-SGE-Transpac, Directeur Délégué à la Sécurité / CSO), et M. Jacques Beigbeder (ENS, responsable du Service de Prestations Informatiques)

13h00 - 14h30 Repas

14h30 -15h10 : 3A, Nicolas Ruff  (Consultant Sécurité, Expert Windows et codes malveillants, EdelWeb),La mobilité du code malveillant (pdf.gz)
15h10 - 15h50 : 3B, Vanja Svajcer (Team Leader - Virus Researcher, Sophos), Etat des lieux des dernières techniques antivirales (pdf.gz)

15h50 - 16h 20 Pause

16h20 - 17h : 4A, Eric Detoisien (Ingénieur Sécurité), Eyal Dotan (Directeur R&D TEGAM International), API Win32 ancestrales pour Chevaux de Troie hyper furtifs (pdf.gz)
17h00 - 17h40 : 4B, Jean-Baptiste Marchand (consultant en sécurité, HSC), Ethereal : un analyseur réseau à usages multiples (pdf.gz)
 
17h40 - 17h50 Clôture de la journée


Détail des interventions

Première session

1A-  IDS, Vers et Statistiques : de la théorie à la pratique ?

Conférencier : Guillaume Arcas (Consultant indépendant)

Résumé de l’intervention :
Sachant qu'il faut compter deux heures au mieux pour qu'un éditeur d'antivirus ou d'IDS puisse fournir l'empreinte virale ou la signature idoine d'un nouveau ver, et compte tenu du fait que les vers de dernière génération ont récemment démontré leur capacité à se propager de façon fulgurante, il devient nécessaire de réfléchir à des méthodes elles-aussi rapides de détection de ces codes et de leurs activités. L'approche statistique semble de prime abord représenter la voie la plus prometteuse en la matière : elle ne nécessite pas de base de connaissance (signatures, empreintes, etc.) ni la mise en oeuvre de moyens techniques coûteux ou gourmands. Après un rapide tour d'horizon des fondements théoriques sous-tendant cette démarche, il nous a semblé intéressant d'en évaluer la portée et éventuellement les limites à travers quelques exemples de mise en oeuvre pratique à l'aide, notamment, de logiciels libres/opensource.

A propos de M. Arcas :
Après quelques années passées à "observer" le monde d'Internet et l'émergence des technologies dites "nouvelles" au sein d'un cabinet de veille, j'interviens, depuis 1997, pour des missions d'adminitration système (majoritairement Unix) et réseaux (TCP/IP) ou d'ingénierie Sécurité (avec un fort tropisme pour la détection d'intrusion) en tant que consultant indépendant (depuis 2002) auprès d'entreprises grandes et/ou moyennes de tous secteurs (majoritairement industrie et télécoms).

1B- Blaster, Sobig-F, AutoProxy, Mydoom : Comment faire face aux nouvelles crises virales ?

Conférencier : Philippe Bourgeois (Ingénieur sécurité au Cert-IST)

Résumé de l’intervention :
La propagation massive du ver Blaster au cours de l'été 2003 et les virus qui se sont répandus massivement plus récemment ont montré que la menace virale avait changé.
En se basant sur son savoir faire propre, ainsi que sur le retour d'expérience de ses Partenaires dans des crises telles que Blaster, Sobig-F, Autoproxy ou Mydoom, le Cert-IST exposera les solutions techniques et l'organisation qu'il recommande pour la gestion de ce type de crises.

A propos de M. Bourgeois :
Philippe Bourgeois est consultant en sécurité informatique depuis 1993. Il travaille au Cert-IST depuis près de 3 ans, en particulier sur la réponse organisationnelle et technique face aux incidents de sécurité.Deuxième session

2A- Les FAI face aux virus et aux vers

Conférencier : Nicolas Fischbach (Senior Manager, IP Engineering/Security COLT Telecom)

Résumé de l’intervention :
Face aux dénis de service et aux formes récentes de virus et de vers bon nombre de fournisseurs d'accès et de services Internet ont dû revoir leur politique de filtrage IP. En effet, beaucoup de personnes estiment que c'est le rôle du FAI de filtrer ce type de trafic alors qu'à l'origine il n'était/n'est censé fournir qu'un service de connectivité IP à l'Internet et protéger son infrastructure réseau pour en assurer la disponibilité. Après avoir présenté quelques parasites et leurs effets, nous allons discuter de différents moyens de détection (Netflow, pot de miel, "syphon" réseau, etc) et de protection (filtrage distribué, contrôle d'accès au réseau, environnement réseau restreint, etc) ainsi que des problématiques opérationnelles (que filtrer, comment, pour combien de temps, etc ?).

A propos de M. Fischbach :
Nicolas FISCHBACH est Senior Manager chez COLT Telecom et dirige l'équipe sécurité au sein du département européen d'ingénierie IP. Il est également co-fondateur de Sécurité.Org, un site web francophone dédié à la sécurité informatique, d'eXperts, un groupe informel de spécialistes sécurité ainsi que du chapitre francais du Honeynet Project.
Nicolas participe à de nombreuses conférences (BlackHat Briefings, CanSecWest, Defcon, JSSI, Eurosec, NANOG, Cisco Systems, RIPE, SwiNOG, Libre Software Meeting, etc) également comme membre du comité de programme (SSTIC), publie des articles (MISC) et donne des cours dans différentes écoles et universités (HEC, Université de Genève, ITIN, etc). Pour plus d'informations: http://www.securite.org/nico/

2B- Table ronde , modérateur Michel Miqueu (CNES), "Vers, virus, spam , le déni de service !".

Avec la participation de M. Didier Gras (Directeur Sécurité, Noos), Mme Danielle Kaminski (Journaliste, Chercheur en Cybercriminalité), M. Eric Wiatrowski (France Telecom-SGE-Transpac, Directeur Délégué à la Sécurité / CSO), et M. Jacques Beigbeder (ENS, responsable du Service de Prestations Informatiques)

Troisième session

3A- La mobilité du code malveillant

Conférencier : Nicolas Ruff  (Consultant Sécurité, Expert Windows et codes malveillants, EdelWeb)

Résumé de l’intervention :
Aujourd'hui les buzzwords "nomadisme" et "mobilité" deviennent des concepts de plus en plus flous devant la multiplication des normes et des technologies accessibles au plus grand nombre. Par delà les effets d'annonce sur le WiFi, le GPRS et autres, cette présentation a pour objectif de présenter les technologies rencontrées en entreprise et leurs impacts sur le transport de codes malveillants auxquels ont été confrontés nos clients. Nous verrons pourquoi les solutions les plus couramment employées (antivirus, firewalls personnels) ont montré leur limites lors des épisodes "Slammer" et "Blaster", et comment les nouvelles technologies d'échange de données menacent dangereusement les fondements des schémas de protection actuels. Une parenthèse sera ouverte sur le cas des nouvelles solutions proposées par Windows 2003 et Cisco. Enfin le dogme de la défense périmétrique sera revisité par le concept de défense en profondeur, avec un exemple de mise en oeuvre pratique en entreprise.

A propos de M. Ruff :
Nicolas RUFF est expert en sécurité Windows et codes malveillants au sein de la société EdelWeb / Groupe ON-X. Il a mené avec succès de nombreuses missions d’assistance sécurité à la migration de Windows NT4 vers Windows 2000/XP/2003, ainsi que des audits de sécurité et de réponse sur incidents de sécurité, et enfin des missions de sécurisation de serveurs dans des environnements classifiés. Il est l’auteur de nombreuses publications sur la sécurité Windows dans la presse spécialisée (ex. magazine MISC) et sur Internet, dispense des formations sur le sujet au sein de différents organismes, et anime le groupe Sécurité Windows de l'OSSIR depuis 2 ans.

3B- Etat des lieux des dernières techniques antivirales

Conférencier : Vanja Svajcer (Team Leader - Virus Researcher, Sophos)

Résumé de l’intervention :
Depuis l'apparition du premier virus écrit pour les systèmes Windows 32bit (W95/Boza), les codes malicieux pour les plates-formes Win32 sont devenus les plus répandus de tous.  Ils ont aussi évolué en complexité, passant de simples virus métamorphiques et vers "mass-mailer" se diffusant à travers Microsoft Outlook, à des vers exploitant les vulnérabilités des systèmes d'exploitation pour se propager.  Les nombreuses innovations des créateurs de codes malicieux pour rendre la vie plus difficile aux chercheurs de virus ont sucité la mise au point de nouvelles techniques de défense. Cette présentation passera en revue à travers plusieurs études de cas les dernières techniques de codes malicieux et les solutions développées par les éditeurs d'anti-virus.

A propos de M. Svajcer :
Vanja a rejoint le Laboratoire antivirus de Sophos en Novembre 1998, comme chercheur de virus, après avoir travaillé sur des outils de "datamining" dans des architectures IBM AS/400.  Il est l'auteur de plusieurs analyses de virus publiées dans le "Virus Bulletin" et contribue à plusieurs groupes de travail et initiatives de la communauté des éditeurs de logiciels antivirus.  Vanja a mené des recherches sur un large spectre de codes malicieux, basés sur DOS, les scripts, les macros, Unix et Windows. Ses centres d'intérêt incluent les techniques de détection antivirales, ainsi que la réplication automatique et l'analyse de virus.  Vanja est titulaire d'un diplôme d'Ingénieur en Informatique de l'Université de Zagreb en Croatie.

Quatrième session

4A- API Win32 ancestrales pour Chevaux de Troie hyper furtifs

Conférencier : Eric Detoisien (Ingénieur Sécurité), Eyal Dotan (Directeur R&D TEGAM International)

Résumé de l’intervention :
Cette présentation montre comment employer des techniques de programmation Win32 connues pour mettre au point des Chevaux de Troie furtifs adaptés à des environnements sécurisés. Le Cheval de Troie se base sur des méthodes génériques d'attaque d'un système Windows avec des privilèges limités au strict minimum. Il se doit d’être autonome et de trouver lui-même les protocoles autorisés et les mots de passe afin d’obtenir un accès sur le monde extérieur. L’objectif vise à démontrer que seule une prévention stricte et rigoureuse est capable d'éviter l’introduction d'un tel Cheval de Troie.

A propos M. Detoisien :
Eric DETOISIEN est un expert en sécurité informatique travaillant actuellement pour une banque française. Ses expériences précédentes dans le milieu professionnel de la sécurité des systèmes d'information l'ont conduit à mener des missions d'audit, de test d'intrusion, de conception d'architecture sécurisée et de formation. Il est l'auteur de plusieurs articles parus dans le magazine de sécurité français MISC. Il fait partie en outre d'un groupe nommé RSTACK composé de passionnés de sécurité informatique. Plusieurs de ses divers projets de développement sont accessibles sur le site http://valgasu.rstack.org
    
A propos de M. Dotan :
Auteur du logiciel ViGUARD, Eyal DOTAN travaille sur des méthodes de protection innovantes contre le code malveillant, en se concentrant sur la prévention, avec à son acquis la seule protection à avoir détecté sans connaître à l'avance : ILOVEYOU, Melissa, Klez, Blaster et autres. Il est l'auteur de plusieurs brevets américains et européens dans le domaine de la sécurité informatique. Ayant étudié aux Etats-Unis (University of California, Santa Cruz) et en France (EPITECH) où il y enseigne aujourd'hui la sécurité informatique, le code malveillant et les méthodes de protection aux futurs ingénieurs informatique.

4B- Ethereal : un analyseur réseau à usages multiples

Conférencier : Jean-Baptiste Marchand (consultant en sécurité, HSC)

Résumé de l’intervention :
Ethereal (http://www.ethereal.com) est un analyseur réseau disponible en logiciel libre et fonctionnant sur les systèmes d'exploitation des familles Unix et Windows NT. Ethereal supporte non seulement un grand nombre de protocoles réseaux de tout type mais dipose également d'un certain nombre d'outils permettant d'analyser efficacement des données collectées sur un réseau. Après une brève introduction à l'utilisation d'ethereal comme analyseur réseau classique, la présentation décrira, avec des exemples pratiques, des cas d'utilisation possibles pour détecter et analyser des codes mobiles de type vers.

A propos de M. Marchand :
Jean-Baptiste Marchand est consultant en sécurité informatique au sein du cabinet HSC depuis 2001. Il possède une connaissance approfondie des systèmes d'exploitation du marché (systèmes Unix et Windows) et a eu l'occasion de faire des présentations à des conférences internationales autour de la sécurité informatique à travers l'Europe (SambaXP03,HiverCon03). Il contribue régulièrement au développement d'analyseurs pour de nouveaux protocoles supportés par ethereal.