La Journée Sécurité des Systèmes d'Information 2006

Programme

La Journée de la Sécurité des Systèmes d'Information (JSSI), un événement sécurité organisé par l'OSSIR, a eu lieu le lundi 22 mai 2006 autour du thème :


"Sécurité et dépendance aux nouvelles technologies"

Organisation de la journée

8h30 : accueil des participants

9h00 : ouverture de la journée

9h10 : première session

9h10 - 9h50, 1A, Franck Capello (directeur de recherche à l'INRIA)

"P2P et dépendances"

9h50 - 10h30, 1B, Nicolas Fischbach (Senior Manager, Network Engineering Security, COLT Telecom)

"La voix sur IP chez un opérateur"

 

10h30 - 11h00 : pause café

11h00 : deuxième session

11h00 - 11h40 : 2A, Loic Pasquiet (responsable réseaux voix/données et sécurité - EP/DSI)

"Déploiement d'une solution de téléphonie sur IP dans un campus (4200 postes)"

11h40 - 12h40 : 2B, Table Ronde, animée par Michel Miqueu (CNES)

avec la participation de :
- Raphael AMADELLI (RSSI, Muséum National d'Histoire Naturelle)
- Didier BERTANA (RSSI branche EP, Total)
- Franck CAPPELLO (INRIA)
- Cédric BLANCHER (Centre de Recherche EADS)

"Les nouvelles technologies de l'information : y aller ou non ?"

 

12h45 - 14h00 : déjeuner

14h00 : troisième session

14h00 - 14h40 : 3A, Jean-Luc Parouty (ingénieur de recherche au CNRS)

"Stratégies de gestion du/des nomadisme(s) et de la délocalisation, en terme de coûts, de risques et de services"

14h40 - 15h20 : 3B, Nicolas RUFF (Ingénieur-Chercheur en Sécurité des Systèmes d'Information, EADS)

"Sécurité des réseaux : le défi du P2P"

 

15h20 - 15h50 : pause café

15h50 : quatrième session

15h50 - 16h30 : 4A, Eric Detoisien, Aurelien Bordes

"Qui veut gagner des clés privées ?"

16h30 - 17h10 : 4B, Capitaine Nicolas Duvinage, chef du département informatique-électronique de l'Institut de recherche criminelle de la gendarmerie nationale

"La gendarmerie nationale, un acteur à double titre de la sécurité des systèmes et des réseaux"

 

17h10 - 17h30 : clôture de la journée, discussions

Détail des interventions

Première session

1A - P2P et Dépendance

Conférencier : Franck Capello - directeur de recherche à l'INRIA

Les systèmes P2P et les grands sites serveurs multi-applications comme Google tendent à réduire le contrôle des administrateurs sur les données et les programmes des utilisateurs de leurs systèmes. De nombreuses techniques sont développées dans la perspective de traverser les firewalls et d'importer ou d'exporter données et programmes. Les grands sites serveurs multi-applications séduisent les utilisateurs qui y voient le retour d'une informatique "centralisée", plus facile d'accès et plus simple à gérer. Ces deux grandes tendances réduisent la capacité de contrôle et d'intervention des administrateurs systèmes remettant en cause drastiquement la sécurité des données et des programmes des utilisateurs de ces systèmes.

 

A propos de Franck :

Franck Cappello est directeur de recherche à l'INRIA où il dirige l'équipe Grand-Large (grand-large.lri.fr) et le projet Grid'5000 (www.grid5000.fr). Sa spécialité concerne les systèmes distribués à grande échelle comme les Grilles et les systèmes P2P. Les logiciels produits par Grand-Large sont XtremWeb (un système de Desktop Grid www.xtremweb.net) et MPICH-V (une bibliothèque MPI tolérante aux pannes, mpich-v.lri.fr).

Franck Cappello organise depuis plusieurs années le workshop "Global and P2P Computing" et est en 2006 le "General Chair" de la conférence IEEE HPDC'15 "High Performance Distributed Computing" (hpdc.lri.fr).

1B - La Voix sur IP chez un opérateur

Conférencier : Nicolas Fischbach - Senior Manager, Network Engineering Security, COLT Telecom

La Voix sur IP est un projet majeur pour bon nombre d'entreprises et d'opérateurs. Cette présentation est un retour d'expérience sur le déploiement d'une solution VoIP "telco" avec toutes les problématiques de sécurité (déni de service, fraude, interception, respect de la vie privée, etc). La confiance (comme lors du passage FR/ATM aux VPNs du type MPLS/VPLS) est en train d'augmenter et les utilisateurs (adeptes du GSM) acceptent une qualité de service légèrement dégradée. Force est également de constater que bien que certains vendeurs et certaines solutions existent depuis déjà des années ne nous sommes qu'au début de la VoIP/ToIP et que beaucoup de choses vont et devront encore changer (bugs, failles de sécurité, qualité, "scalabilité").

 

A propos de Nicolas :

Nicolas FISCHBACH est Senior Manager chez COLT Telecom et dirige l'équipe sécurité au sein du département européen d'ingénierie réseau.

Il est également co-fondateur de Sécurité.Org, un site web francophone dédié à la sécurité informatique, d'eXperts, un groupe informel de spécialistes sécurité ainsi que du chapitre français du Honeynet Project. Nicolas participe à de nombreuses conférences (BlackHat Briefings, CanSecWest, SSTIC, PacSec, Defcon, JSSI, Eurosec, NANOG, Cisco Systems, RIPE, SwiNOG, FrNOG, AusCERT, etc), publie des articles (MISC) et donne des cours dans différentes écoles et universités. Pour plus d'informations: http://www.securite.org/nico/

Deuxième session

2A - Déploiement d'une solution de téléphonie sur IP dans un campus (4200 postes)

Conférencier : Loic Pasquiet - responsable réseaux voix/données et sécurité - EP/DSI

Le remplacement prochain de son PABX et la prise en compte de nouveaux besoins téléphoniques (construction de 550 chambres d'étudiants) ont conduit l'Ecole Polytechnique à lancer, en 2003, l'étude de l'évolution de son réseau téléphonique sur la période 2004-2008. A l'issue des phases d'analyse des besoins et d'étude des scénarii, l'Ecole a retenu le scénario fondé sur la téléphonie sur IP.

Après un appel d'offres sur performance se déroulant sur 12 mois en 2004, la solution retenue, celle du constructeur Avaya, est opérationnelle depuis septembre 2005 avec 600 postes déployés. Outre les aspects sécurité, l'exposé présentera l'architecture déployée, les difficultés rencontrées et un premier bilan des usages de la téléphonie sur IP en termes de fonctionnalités et d'administration de la solution.

 

A propos de Loic :

Après un DEA sur les langages, la programmation et l'intelligence artificielle, j'ai assuré, durant 3 ans, la mise en place d'un réseau RNIS multi-sites sur l'académie d'Orléans-Tours afin de déployer un progiciel comptable en mode client-serveur.

En poste à l'Ecole polytechnique depuis 8 ans, où j'ai démarré par l'administration du réseau pendant 2 ans, je me suis vu confié l'activité de la cellule réseau pour déployer dans un premier temps un réseau de câblage de 5000 prises et de 1000 connecteurs optiques.

2 ans plus tard, la cellule évolue en intégrant la sécurité informatique du site et avec la responsabilité du projet de téléphonie sur IP. L'administration réseau des données s'étend maintenant à la voix sur IP avec une évolution au passage de 4 à 10 personnes en 4 ans.

2B - Table Ronde : Les nouvelles technologies de l'information : y aller ou pas ?

Animateur : Michel Miqueu (CNES)

Orateurs :
- Raphael AMADELLI (RSSI, Muséum National d'Histoire Naturelle)
- Didier BERTANA (RSSI branche EP, Total)
- Franck CAPPELLO (INRIA)
- Cédric BLANCHER (Centre de Recherche EADS)

Troisième session

3A - Stratégies de gestion du/des nomadisme(s) et de la délocalisation, en terme de coûts, de risques et de services

Conférencier : Jean-Luc Parouty, CNRS / Institut de Biologie Structurale

Les besoins en terme de nomadisme vont croissants. Nos déplacements peuvent être brefs (le temps  d'une réunion),  longs (quelques semaines) ou avoir une teinte de quasi-définitif, comme dans le cas des équipes délocalisés. De la même façon, nos visiteurs peuvent venir ponctuellement ou de manières plus récurrente, souvent à l'improviste, et même parfois, s'installer durablement dans nos murs ...

Après avoir brièvement qualifié ces divers comportements nomades, nous décrirons les différentes classes de besoins à couvrir ainsi que les solutions organisationnelles et techniques qu'il est possible de proposer.

 

A propos de Jean-Luc :

Ingénieur de recherche au CNRS et responsable de l'équipe des moyens informatiques de l'Institut de Biologie Structurale (IBS).

3B - Sécurité des réseaux : le défi du P2P

Conférencier : Nicolas RUFF, Ingénieur-Chercheur en Sécurité des Systèmes d'Information (EADS-CCR)

Les logiciels P2P, consommateurs de bande passante et difficiles à filtrer, sont devenus la plaie des administrateurs ... mais dans un futur proche, ces réseaux de millions de machines pourraient également devenir des botnets très efficaces, voire permettre d'attaquer les entreprises de l'intérieur ! Cette intervention se propose de faire le tour des menaces sur la base de l'étude de quelques réseaux réels.

 

A propos de Nicolas :

Nicolas RUFF est chercheur en sécurité informatique, spécialiste Windows et codes malveillants, au sein de la société EADS.

Il est l'auteur de nombreuses publications sur la sécurité Windows dans des revues spécialisées telles que MISC, dispense régulièrement des formations sur le sujet et participe à des conférences telles que EuroSec, les Journées Microsoft de la Sécurité, la JSSI et le SSTIC.

Quatrième session

4A - Qui veut gagner des clés privées ?

Conférenciers : Eric Detoisien, Aurelien Bordes

Au travers de cette présentation nous vous montrerons comment il est possible de compromettre la clé privée des certificats X509 stockée localement sur les systèmes Microsoft Windows. Après un rapide rappel sur des techniques de programmation comme l'injection de code et l'API Hooking nous expliquerons les différents concepts liés aux certificats et à l'implémentation de la cryptographie dans la Crypto API de Microsoft.

La seconde partie portera sur la présentation de codes malveillants développés pour voler les crédences des utilisateurs (certificat X509 et clés privées) employés pour la signature et le chiffrement dans les clients de messagerie type Outlook et l'authentification SSL dans Internet Explorer. Les démonstrations aborderont en outre les limites du stockage des clés privées sur support physique (carte à puce et clé USB).

 

A propos d'Eric :

Eric Detoisien est un expert en sécurité informatique travaillant actuellement pour une banque française. Ses expériences précédentes dans le milieu professionnel de la sécurité des systèmes d'information l'ont conduit à mener des missions d'audit, de test d'intrusion, de conception d'architecture sécurisée et de formation.

Il est, en outre, l'auteur de plusieurs articles (MISC, Banque & Informatique, Linux Mag, ...) et conférences (Black Hat, JSSI, SSTIC, Salon Juridique, ...).

4B - La gendarmerie nationale, un acteur à double titre de la sécurité des systèmes et des réseaux

Conférencier : Capitaine Nicolas Duvinage, chef du département informatique-électronique de l'Institut de recherche criminelle de la gendarmerie nationale

La gendarmerie nationale, avec ses 100.000 employés et ses 4.000 "points de vente", est une grande entreprise qui ne pouvait faire l'impasse sur une modernisation en profondeur de ses systèmes d'information et de communication. Logiciels libres, Intranet, Internet haut-débit, TabletPC, applications-métier font désormais partie du vocabulaire de tout gendarme, avec des enjeux de sécurité très importants en raison de la nature des données qui sont susceptibles de transiter. Mais cette modernisation devait aussi répondre à un défi : celui de la lutte contre la cybercriminalité; il est en passe d'être gagné.

 

A propos de Nicolas :

A sa sortie de l'Ecole Polytechnique, le capitaine Nicolas Duvinage a intégré l'Ecole des Officiers de la Gendarmerie Nationale et a obtenu un diplôme universitaire de droit et sciences criminelles. Après deux ans en unité opérationnelle non technique, il a intégré l'Institut de recherche criminelle (IRCGN), le laboratoire d'analyse scientifique de la gendarmerie nationale. Titulaire d'un mastère spécialisé en conception et architecture de réseaux (ENST Paris), il réalise de nombreuses expertises judiciaires pour les enquêteurs et magistrats français. Membre actif de l'ENFSI (European Network of Forensic Science Institutes), il participe également aux réunions d'experts cybercrime d'Europol et entretient de fructueuses collaborations avec ses homologues français (police nationale, douanes, DGA, DCSSI...) et étrangers. Chef du département informatique-électronique de l'IRCGN depuis août 2005, il dirige une équipe d'une quinzaine d'ingénieurs et techniciens spécialistes en informatique, réseaux et électronique.