La Journée Sécurité des Systèmes d'Information 2010

JSSI 2010
FIAP Jean Monnet - Paris
Mardi 16 mars 2010

"Attaque / Défense : score 2.0"

Programme

8h30 : accueil des participants et café
9h00 : ouverture de la journée

9h05 : première session

9h05 - 9h50 : 1A, Thibault Koechlin et Jean Baron (NBS System)

"Juste une imprimante ?"

9h50 - 10h35 : 1B, Matthieu Suiche (MoonSols)

"Analyse avancée de la mémoire physique de Mac OS X"

 

10h35 - 11h05 : pause café

11h05 : deuxième session

11h05 - 11h50 : 2A, Yoann Garot (iTrust)

"Les aspects juridiques du scan et des tests intrusifs"

11h50 - 12h40 : 2B, Eric Freyssinet (DGGN)

"Se préparer à la réponse judiciaire contre les attaques informatiques"

 

12h40 - 14h00 : déjeuner

14h00 : troisième session

14h00 - 14h40 : 3A, Nicolas Ruff (EADS IW)

"Les PME françaises contre la mafia russe et les hackers chinois - retour d'expérience"

14h40 - 15h20 : 3B, Eric Barbry (Avocat au Barreau de Paris), Christophe Labourdette (CNRS et OSSIR)

"Présentation du livre blanc sur les logs issu du groupe de réflexions technico-juridiques de l'OSSIR"

 

15h20 - 15h50 : pause café

15h50 : quatrième session

15h50 - 16h30 : 4A, Renaud Dubourguais (HSC)

"Les webshells, ou comment ouvrir les portes de son réseau ?"

16h30 - 17h10 : 4B, Sébastien Gioria (OWASP)

"OWASP ASVS - Une boite à outils pour améliorer la sécurité d'une application Web" (annulé)

 

17h10 - 17h30 : clôture de la journée, discussions

Détail des interventions

Première session

1A - Juste une imprimante ?

Conférencier(s): Thibault Koechlin et Jean Baron (NBS System)

T.B.D.

 

A propos de Thibault et Jean :

Thibault Koechlin et Jean Baron sont consultants au sein du pôle sécurité de NBS SYSTEM.

En dehors de l’activité de R&D, ils interviennent régulièrement sur des missions de tests d’intrusion et d’accompagnement auprès de divers clients.

1B - Analyse avancée de la mémoire physique de Mac OS X

Conférencier: Matthieu Suiche (MoonSols)

Depuis quelques années, l'intérêt de la communauté du forensics pour la capture et l'analyse de mémoire physique a augmenté de façon significative.

Toutefois les outils existants se limitent aux systèmes Windows et Linux. Cette présentation élargit le sujet au système d'exploitation d'Apple: Mac OS X.

 

A propos de Matthieu :

Matthieu Suiche est un chercheur en sécurité français, spécialisé dans le reverse engineering et l'autopsie de la mémoire physique.

Parmi ses travaux on peut citer: SandMan, un framework pour déchiffrer le fichier d'hibernation Windows ; Win32dd/Win64dd, un outil d'acquisition de la mémoire physique pour Windows.

Avant de fonder en 2010 une start-up du nom de MoonSols, Matthieu était employé de l'Institut de Forensic Néerlandais du Ministère de la Justice des Pays-Bas.

Deuxième session

2A - "Les aspects juridiques du scan et des tests intrusifs"

Conférencier : Yoann Garot (iTrust)

L'apparition constante de nouvelles contraintes légales et jurisprudentielles obligent les Professionnels de la Sécurité informatique à prendre en compte le droit dans la mise en œuvre de leur travail. Qu'ils soient Consultants Sécurité, RSSI, DSI, Administrateurs Réseaux et surtout Pentesteurs, plus que jamais l'aspect juridique s'impose pour des actions aussi courantes que le scan de sécurité ou l'audit intrusif.

Quel est le contexte juridique ? Que disent les textes ? Quelles sont les bonnes pratiques ? Les limites à nos métiers ? Autant de question que nous tenterons d'aborder dans cette présentation alliant juridique et informatique.

 

A propos de Yoann :

Juriste de métier et de formation, diplômé en Contentieux et Arbitrage et en Droit des Systèmes d’information et des Réseaux à Toulouse, Yoann Garot s'est spécialisé en droit des Systèmes d'Information et Sécurité Informatique. Riche d'une expérience professionnelle variée auprès de tribunaux, cabinets d’avocats, études d'huissiers, associations de consommateur et institutions publiques, il rejoint la société ITrust en 2008 en tant que Chef de projet. Au sein d'ITrust, initialement Juriste d'entreprise, il est aussi responsable du Pôle innovation de la Société ainsi que du développement économique de la société sur Paris, il exerce enfin une activité de conseil en sécurité informatique et patrimoine informationnel de part son regard juridique.

2B - "Se préparer à la réponse judiciaire contre les attaques informatiques"

Conférencier : Eric Freyssinet (DGGN)

Au delà du débat sur le chiffre noir des attaques que subissent les systèmes d'information des entreprises ou des administrations, bien souvent les responsables informatiques ou juridiques ne se sont pas préparés à la gestion des aspects non techniques d'une telle atteinte. Ils doivent être préparés à plusieurs aspects: la collecte de preuves, le choix d'une action judiciaire et la communication.

Quelles que soient les suites judiciaires sur une affaire individuelle, l'implication au bon moment des services d'enquête et de la justice est la seule solution pour permettre éventuellement l'identification et l'interpellation des auteurs et donc de faire cesser le dommage pour l'ensemble des victimes potentielles, voire d'obtenir réparation.

 

A propos d'Eric :

Lieutenant-colonel Eric FREYSSINET, direction générale de la gendarmerie nationale, chargé des projets de lutte contre la cybercriminalité.

Ingénieur de formation (Ecole Polytechnique X92, Mastère spécialisé SSIR de l'ENST 2000).

Chef du département informatique électronique pendant 7 ans avant de rejoindre la DGGN.

Troisième session

3A - Les PME françaises contre la mafia russe et les hackers chinois - retour d'expérience

Conférencier : Nicolas Ruff (EADS IW)

Attaque 2 - Défense 0.

Tandis que les attaquants prennent deux longueurs d'avance, les défenseurs restent au niveau zéro de la protection - ils utilisent les principes et les outils de sécurité conçus à la fin des années 90 pour lutter contre les menaces de l'époque.

Après avoir analysé des attaques réelles subies par une PME française absolument banale, cette présentation s'attachera à (re)définir les méthodes et outils qui marchent en 2010 pour assurer un niveau de sécurité minimal et réaliste.

 

A propos de Nicolas :

Nicolas RUFF est chercheur en sécurité au sein de la société EADS.

Il est l'auteur de nombreuses publications sur la sécurité des technologies Microsoft dans des revues spécialisées telles que MISC. Il dispense régulièrement des formations sur le sujet et participe à des conférences telles que SSTIC, les Microsoft TechDays ou la JSSI de l'OSSIR.

3B - Présentation du livre blanc sur les logs issu du groupe de réflexions technico-juridiques de l'OSSIR

Conférencier : Eric Barbry (Avocat au Barreau de Paris), Christophe Labourdette (CNRS et OSSIR).

Aujourd'hui dans le grand monde de la sécurité des systèmes d'information, il n'est plus possible de séparer complètement les mondes juridiques et techniques de la sécurité.

Il est pourtant difficile de partager le même vocabulaire, des incompréhensions et des ambiguïtés existent pour les deux mondes lorsqu'ils regardent vers les autres.

Fort de ce constat, l'OSSIR a annoncé lors de la JSSI 2008 la création d'un groupe de réflexion possédant à parité les compétences juridiques et techniques pour travailler sur des sujets bien précis.

Comme premier objectif, ce groupe s'est fixé comme but d'éclaircir le statut des logs. Les logs sont utilisés quotidiennement par les administrateurs des systèmes et des réseaux ainsi que les acteurs de la sécurité informatique depuis bien longtemps, mais cela fait peu de temps qu'ils ont investi le monde des juristes. L'apparition en filigrane de références, souvent indirectes dans les textes, a créé un flou artistique autour de l'objet "log". Il est devenu nécessaire de faire un point et de confronter les points de vue techniques et juridiques pour préciser et affiner l'objet en question.

Les réflexions de ce groupe ont abouti sur la rédaction d'un livre blanc présenté lors de cette intervention.

 

A propos d'Eric :

Eric Barbry dirige le pôle « Droit du numérique » du Cabinet Alain Bensoussan constitué d’une équipe de 20 avocats. Ce pôle regroupe les départements « Internet Conseil », « Internet Contentieux », « sécurité des systèmes d’information », « Informatique & libertés privé », « informatique et libertés public » et « marketing & publicité électronique ». Il est l’auteur de plusieurs ouvrages et articles consacrés au droit de l’Internet et du numérique. Il est membre fondateur de Cyberlex et de l’Association française des correspondants informatique et libertés. Membre de l’OSSIR. Il est chargé d’enseignement à Telecom ParisTech.

A propos de Christophe :

Christophe Labourdette est docteur en mathématiques de l'université d'Orsay et ingénieur de recherche au Centre de Mathématiques et de Leurs Applications (CMLA) à l'ENS-CACHAN. Il est président de l'OSSIR.

Quatrième session

4A - Les webshells, ou comment ouvrir les portes de son réseau ?

Conférencier : Renaud Dubourguais (HSC)

Les serveurs web exposés sur Internet sont devenus au cours de ces dernières années des éléments particulièrement sensibles, nécessitant une attention toute particulière de la part des administrateurs.

Hébergeant des applications de plus en plus complexes souvent vulnérables à de nombreuses failles (interface d'administration non ou mal protégée, injections SQL ...), ils sont devenus petit à petit un point d'entrée de choix au système d'information des entreprises.

De plus en plus d'attaquants tentent notamment d'exploiter ces vulnérabilités afin d'installer, au sein du serveur web, un environnement complet d'attaque appelé webshell.

Les motivations de l'attaquant peuvent être de toutes sortes (mise en place d'un botnet, vole de données sensibles, compromission d'équipements internes ...) et peuvent conduire le pirate à la mise en place d'un véritable pont entre sa machine et le réseau interne de l'entreprise via le webshell déployé.

Cependant, jusqu'à quel point ces environnements constituent-ils une réelle menace pour les systèmes compromis ? Jusqu'où un attaquant peut-il aller par la simple compromission d'un serveur web et existe-t-il des moyens efficaces de s'en prémunir ?

Nous expliquerons tout d'abord les méthodes de déploiements de webshells les plus courantes, puis nous tenterons de définir l'impact réel que cela peut avoir sur l'ensemble du SI de la victime. Cette présentation sera basée sur un exemple concret, issu d'un projet réalisé en interne par HSC ayant pour objectif de développer un webshell suffisamment complet pour permettre une attaque applicative poussée. Des pistes concernants les actions préventives à mettre en oeuvre seront ensuite proposées.

 

A propos de Renaud :

Ingénieur diplômé de l'INSA de Rouen en Architecture des Systèmes d'Information, Renaud Dubourguais réalise en parallèle un master Sécurité des Systèmes Informatiques à l'Université de Rouen. Il se spécialise ensuite dans la sécurité web en développant un ensemble de portes dérobées facilitant la réalisation des tests d'intrusion applicatifs. Il rejoint par la suite l'équipe technique d'HSC en 2009 où il intervient sur des missions de tests d'intrusion, d'audit et d'expertise technique.

4B - OWASP ASVS: Une boite à outils pour améliorer la sécurité d'une application Web

Conférencier : Sébastien Gioria (OWASP)

L'OWASP Application Verification Standard se veut la boite à outils idéale de toute entreprise concernant la sécurité d'une application Web.

Cette présentation abordera donc en détail cet outil, les moyens de s'en servir et des bonnes pratiques à mettre en oeuvre pour améliorer la sécurité d'une application Web.

 

A propos de Sébastien :

Sébastien Gioria est consultant senior en Sécurité des Systèmes d'Informations au sein du cabinet d'audit Groupe Y, Chapter Leader de l'OWASP pour la France, membre du comité OWASP Global Education Committee et membre du CLUSIF. Il a une expérience de plus de 10 ans dans la sécurité des Systèmes d’Informations au sein de postes techniques ou à responsabilité dans des banques, assurances, telecoms.