Résumé de la réunion du groupe Paris de l'OSSIR du 13 novembre 2012

Comme chaque mois, la réunion du groupe de travail parisien a donné lieu à la présentation de deux sujets, puis à la revue d’actualité du mois.

Compte-rendu de la conférence JFIN de l’AFSIN (Olivier Perret)

Olivier Perret est venu présenter son compte-rendu des 6e Journées Francophone de l’Investigation Numérique (JFIN) qui se déroulaient à Levallois du 10 au 12 octobre dernier. Organisée par l’Association Francophone des Spécialistes de l’Investigation Numérique (AFSIN), et dédiée en priorité à ses membres, ces journées regroupent de nombreux plusieurs spécialistes du domaine, majoritairement des magistrats, des policiers, des gendarmes, des experts judiciaires en informatique ; mais aussi quelques académiques et enfin les sponsors.

Selon Olivier, cette population fait preuve d’une très grande discrétion, et il est donc particulièrement difficile de s’y intégrer, voir simplement de participer à la conférence.

Après avoir rappelé le parcours et le rôle des investigateurs et des experts (investiguer dans le respect du débat contradictoire, vulgariser les résultats, voire témoigner au procès), l’intervenant a fait un rapide retour sur les différentes conférences proposées au cours de ces JFIN :

• La virologie: amie ou ennemie de l’investigation numérique (Jean-Yves MARION/Guillaume BONFANTE)
• Le monitoring réseau (Laurent CIARLETTA)
• Le traitement et l’amélioration d’images fixes et dynamiques (Jacques FELDMAR)
• L’Expert judiciaire et la CNIL (Thomas DAUTIEU)
• L’analyse des bornes de jeux et surf Internet (Lemmy FONTAINE)
• La description d’un nouveau phénomène et conséquences pour l’investigation (Eric FREYSSINET)
• L’intervention numérique sur mémoire flash (Bruno DAVENEL)
• Le développement d’un outil d’analyse des artefacts sous Windows (Emmanuel BONHEURE)
• L’analyse Cloud (Patrick ROUSSEL)
• L’analyse de machine virtualisée (Frédéric BAGUELIN)

Selon Olivier, cette 6e édition des JFIN a permis de présenter un milieu plus dynamique qu’il peut le paraitre, qui s’intéresse vraiment aux problématiques soulevées par l’informatique d’aujourd’hui, et non à des problématiques antédiluviennes.

SLIDES

Compte-rendu du Training Blackhat: « Building, attacking and defending SCADA systems » (Rémi Chauchat / HSC)

La seconde intervention a été menée par Rémi Chaudat, un consultant HSC ayant eu l’occasion de participer à une formation de deux jours au cours de la dernière édition de la conférence BlackHat qui se déroulait à Las Vegas. Le sujet de ce « Training » donné par Tom Parker et Jonathan Pollet, deux spécialistes du sujet, était la « Construction, et techniques d’attaque et de défense de systèmes de supervision industriels » (SCADA).

Après avoir rappelé les différents éléments (technologie, composants, protocoles et normes) entrant dans la constitution d’un système de type SCADA, le consultant a présenté l’architecture type d’un tel environnement, ainsi que son intégration au sein du système d’information « bureautique » d’une entreprise. Il a aussi présenté le rôle d’un système industriel via un exemple concret : le cycle de vie du pétrole, de la recherche de gisement, jusqu’à sa distribution.

Enfin, Rémi a rapidement présenté les différentes faiblesses de sécurité qui peuvent être classiquement exploitées pour compromettre un système industriel, ainsi que les recommandations pour le protéger. Contrairement au monde de l’informatique « grand public », les constructeurs de systèmes SCADA sont particulièrement en retard en terme de prise en compte des aspects « sécurité » dans le développement de leurs systèmes. Ainsi, il n’est pas rare d’être confronté à des protocoles normalisés n’offrant pas de mécasnime d’authentification ou encore n’empêchant pas l’interception et le rejeux des messages de commandes. Enfin, concernant les techniques de défense de ces systèmes, le consultant a rappelé l’importance de respecter les mêmes meilleures pratiques que celles utilisées dans le monde de l’entreprise « classique », à savoir :

• La segmentation réseau et filtrage pour bien isoler le réseau d’entreprise du réseau industriel ;
• L’utilisation de protocoles supportant le chiffrement et l’authentification ;
• La définition et la mise en place de politiques de sécurité (mots de passe, restrictions d’accès aux ressources, traçabilité, mise à jour des systèmes / antivirus, et enfin analyse et supervision des flux réseau (IDS / IPS))

SLIDES

Revue d’actualité (Nicolas Ruff)

Enfin, la réunion s’est terminée par la revue de l’actualité du mois écoulé par Nicolas Ruff, aussi bien en matière de publication de correctifs, de découvertes de failles de sécurité qu’en matière d’informations.

Voici un extrait des informations les plus marquantes :

• Advisory Microsoft 2661254 : le correctif invalidant les clefs RSA dont la taille est inférieure à 1024 bits a été déployé automatiquement
• Advisory Microsoft 2749655 : un problème d’horodatage dans la signature des correctifs qui ont dû être redistribués et mis à jour
• Advisory Microsoft 2755801: IE 10 a été livré avec une version vulnérable de Flash, et doit donc être mis à jour suite à la publication d’une nouvelle version du plug-in
• Bypass de la signature des drivers Windows
• SMB 3.0 fait son apparition avec Windows 8 et supporte nativement le chiffrement
• Microsoft n’innove plus, car la société lutte contre la cybercriminalité
• Une étude réalisée par Microsoft explique pourquoi le Nigéria est souvent choisi par les pirates comme pays de résidence supposée
• Suite aux nombreux rebondissements dans l’affaire ZTE/Huawei, ZTE stoppe ses projets d’investissement à Poitiers
• Seuls 12% des sites de l’administration américaine sont compatibles IPv6, alors que l’objectif initial était d’atteindre les 100% au 30 septembre 2012
• Open-root.eu, une hiérarchie parallèle à celle de l’ICANN
• Le groupe ruse IB a découvert l’exploitation sur Internet d’une faille 0day Adobe vendue 50 000 $
• Selon Symantec, un « 0day » dure en moyenne … 10 mois
• Une faille VUPEN exploitée au Bahrain
• Le « TOP 10 » des failles détectées par Qualys
• Des terminaux de paiement backdoorés chez Barnes & Noble
• Faille sérieuse chez PayPal
• Rapport final sur l’intrusion chez Diginotar
• L’antivirus Sophos intègre de nombreuses failles exploitables à distance
• Le gouvernement allemand recrute … le développeur du Trojan fédéral
• le Cloud doit payer la taxe sur la copie privée
• Le chasseur chinois J-31, le fruit du cyberespionnage ?
• Le « reverse engineering » légal en Europe ?
• L’Europe planche sur la protection des données personnelles
• Google utilise des clés RSA pour DKIM de 512 bits. Un mathématicien usurpe son identité

SLIDES

Actualité de l’OSSIR

Concernant l’actualité de l’association, l’OSSIR a ouvert un compte Twitter @OSSIRFrance qui sera utilisé pour publier l’actualité de l’association.

Le CfP des JSSI (Journée de la Sécurité des Systèmes d’Information), qui se dérouleront le mardi 19 mars 2013 à la Maison des Associations, a été publié : http://www.ossir.org/jssi/index/jssi-2013-appel-a-communications.shtml Le thème de cette édition est « Outils et méthodes d’audit en SSI ».

Enfin, rendez-vous le 13 novembre prochain pour la prochaine réunion du groupe Paris de l’OSSIR.