18 septembre 2012 : Le framework BeeF -- Utilisateurs et mécanismes d'authentification [compte-rendu à venir]

• M. Jérôme Bousquié, IUT de Rodez [PDF]
  Comportement des utilisateurs dans l'usage de mécanismes d'authentification
  Les établissements de l'enseignement supérieur utilisent massivement comme portail d'authentification web SSO l'implémentation de JASIG du serveur d'authentification centralisée CAS (http://www.jasig.org/cas).
  Par ailleurs, les bases de comptes utilisées pour l'authentification CAS sont souvent les mêmes que celles utilisées pour l'authentification sur d'autres services non web : authentification windows active directory, espace de stockage en ligne, e-mail, applications métier, etc.
  Enfin, afin de faciliter l'accès à des ressources extérieures, de très nombreux établissements ont rejoint une fédération d'identités et de services : la fédération Renater, basée sur Shibboleth.
  Les serveurs CAS des établissements sont habituellement utilisés in fine pour procéder aux authentifications sur la fédération d'identités.
  Cette présentation vise à montrer comment pourraient être utilisés les serveurs CAS institutionnels pour récupérer les identifiants d'utilisateurs par un simple hameçonnage ciblé. Les contre-mesures à mettre en œuvre sont ensuite développées.
• M. Etienne Maynier, MDAL [PDF]
  BeEF : The Browser Exploitation Framework
  Les XSS (Cross Site Scripting) sont des vulnérabilités qui prennent de plus en plus d'importance depuis leur découverte avec la "webisation" des interfaces et le développement des fonctionnalités dans les navigateurs. Le temps où les XSS ne permettaient que d'extraire les cookies est révolu, il est cependant bien difficile de définir précisément les possibilités d'une XSS.
  BeEF (Browser Exploitation Framework) est un outil d'exploitation de XSS incluant un système de commande du navigateur devenu "zombie". Le projet se veut modulaire et permet donc d'ajouter rapidement de nouvelles attaques qui s'intègrent dans le framework, il inclut également une interface avec metasploit.
  L'objectif de cette présentation est de présenter par des démonstrations et des explications avec code à l'appui les possibilités d'attaques sur un navigateur par XSS.

15 mai 2012 : Fuzzing -- Traçabilité des administrateurs [Compte-rendu]

• Revue d'actualité, M. Etienne MAYNIER, MDal [PDF]
• M. Rikke Kuipers, Codenomicon [PDF]
  The story of how I hacked into your TV
  This talk did focus on the increased level of capabilities of electronics commonly found in offices and homes. These devices are converging to a point where each can deliver roughly the same base functionality and services, often meaning more specialized hardware and integration of network protocols to enable universal communication between them. Connectivity to the Internet is a must these days and thus exposes these devices that have traditionaly been in a more closed environment to the whole world. Vulnerabilities can be proactively found and eradicated, if techniques like fuzzing are incorporated in the development life cycle of the product, but this is unfortunately often not the case.
  Testing results from Codenomicon Labs will be shared and a number of examples of  zero-day vulnerabilities discovered will be demonstrated
  
• M. Marc Balasko, Wallix [PDF]
  Traçabilité des administrateurs internes et externes : une garantie pour la conformité
  Les SI sont en pleine mutation, ils jouent un rôle toujours plus prépondérant dans la vie et la productivité des entreprises. Avec cette mutation, se pose également la question de la conformité aux normes de ces SI. Les incidents de sécurité se multiplient et mettent en danger la productivité, la réputation et les données confidentielles d'une entreprise. En cas de problème, il est important de pouvoir localiser son origine, sa provenance et son responsable.
  Les prestataires et administrateurs ont accès aux données les plus critiques de l'entreprise. Comment protéger ces données ? Comment empêcher la fuite ou le vol d'informations au sein du SI ? En cas d'externalisation du SI, comment, malgré tout garder la main et la visibilité sur les actions menées par le prestataire ?
  

27 mars 2012 : Techniques de contournement de détection -- Bilan 2011 des incidents de sécurité [Compte-rendu]

• Revue d'actualité, M. Etienne MAYNIER, MDal [PDF]
• MM. Léonard DAHAN et Laurent BOUTET, Stonesoft
  AET, Advanced Evasion Threats [PDF]
  Les Advanced Evasions Techniques permettent à des agresseurs de pénétrer un réseau sans être détectés et leur laissent ensuite toute latitude pour étudier le réseau, le cartographier et trouver l’endroit le plus vulnérable. Si les techniques d’évasions traditionnelles sont connues depuis les années 90, elles n’en sont pas pour autant intégrées dans les solutions de sécurité de tous les éditeurs. De plus, les AET étant une forme plus évoluée des évasions, elles sont souvent méconnues.
• M. Philippe BOURGEOIS, CERT-IST
  Bilan Cert-IST sur les attaques informatiques de l'année 2011 [PDF]
  Ce bilan retrace les événements marquants de l'année 2011 de façon à mettre en évidence les tendances sur l'évolution des attaques et des menaces et d'aider les acteurs à mieux se protéger.
  Il analyse aussi l'évolution des technologies et identifie les domaines pour lesquels la sécurité est une préoccupation croissante.
  

Réunion du 17 janvier 2012 : Attaques par DMA - Analyse d'un malware [Compte-rendu]

• Pierre-Yves Bonnetain - B&A Consultants [PDF]
  Analyse du logiciel malveillant "Gendarmerie Nationale"
  De nombreux utilisateurs ont été confrontés, fin décembre 2011, à des écrans de démarrage demandant le règlement d'une amende pour avoir téléchargé illégalement des oeuvres, ou d'autres actions illégales. Nous analysons le fonctionnement de cet outil malveillant qui, il va sans dire, n'a aucun rapport avec la Gendarmerie Nationale au-delà de l'utilisation du nom de cette institution.
  
• M. Fernand Lone Sang - Laas [PDF]
  Les attaques par entrées-sorties et leurs contremesures.
  Au fur et à mesure de l'accroissement de la complexité des systèmes d'informations, la surface d'attaque s'est élargie et le nombre d'attaques perpétrées et réussies ne cesse de croître, en dépit des mécanismes de protection mis en place. Les attaques peuvent notamment reposer sur l'exploitation des entrées-sorties. La présentation s'intéresse à cette catégorie spécifique.
  Nous dressons un état de l'art de telles attaques sur les systèmes informatiques conçus autour de l'architecture Intel x86, notamment les ordinateurs personnels (PC) et certains System-On-Chip (SoC). Nous détaillons ensuite quelques technologies matérielles qui permettent de s'en protéger et nous discutons finalement de leurs limites respectives.