La 8e édition des « GS Days, Journées francophones de la Sécurité » s’est déroulée le 7 avril dernier à l’espace St Martin, dans le 3e arrondissement de Paris. De nombreux experts reconnus dans le milieu de la sécurité informatique sous ses différentes formes et domaines sont intervenus durant toute la journée afin d’aborder différents sujets au travers de conférences organisationnelles, juridiques ou encore techniques.
Conférence Plénière – Lutte défensive : de la détection à la réponse à incident, quelle réalité ?
La journée s’est ouverte avec une table ronde qui avait pour objectif de poser le thème de la journée : « Lutte défensive : de la détection à la réponse à incident, quelle réalité ? ». Ce débat s’est tenu sous la modération de Diane RAMBALDINI, présidente de l’ISSA France, et en présence des participants suivants :
- Guillaume POUPARD, Directeur général de l’ANSSI
- Jean-Luc MOLINER, Directeur de la sécurité du groupe Orange
- Jean-Paul MAZOYER, Président du cercle Cybersécurité du CIGREF
Les usages offensifs de PowerShell
Nous avons ensuite assisté à une conférence donnée par Damien PICARD, expert sécurité chez Synacktiv et présentant les possibilités offertes par PowerShell (PS). PowerShell est un interpréteur de ligne de commande qui a vocation à remplacer cmd.exe et autres CLI de Windows en offrant de plus grandes possibilités que ses prédécesseurs (notamment par le biais de son intégration avec le framework .NET). Cet outil est rapidement devenu une aubaine pour les pirates depuis sont intégration native sur Windows 7, Windows serveur 2008 R2 et les versions suivantes. En effet, PS permet de contourner des règles d’utilisation ou des politiques de sécurité lorsque l’utilisation de ce dernier est mal contrôlée. Damien nous en a fait la démonstration en contournant Applocker et en exécutant une application .NET qui était normalement bloquée, et ce en quelques lignes seulement. PS permettra aussi de contourner de nombreux mécanismes de sécurité/détection, comme la majeure partie des antivirus.
Vers une lutte défensive intégrant des options offensives
La conférence suivante à laquelle nous nous sommes rendus était présentée par Laurent OUDOT, Directeur de TEHTRIS et ancien expert opérationnel de la DGSE. Il a abordé à cette occasion les possibilités envisageables de réponses offensives à des attaques. En effet, en France l’étendard juridique est très strict et s’oppose aux réflexions sur le sujet. En revanche, dans de nombreux pays tels que les États-Unis l’étude de telles mesures commence à prendre forme. Nous avons eu le droit à quelques explications sur la possibilité de ces contre-attaques sur un serveur de contrôle et de commande d’un malware. Ce dernier, comme tout système, était aussi vulnérable et la contre-attaque aurait éventuellement permis de supprimer les données statistiques et la liste des postes piratés dans la base de données, ou encore d’injecter du code pour traquer et identifier les pirates derrière le serveur de C&C. Laurent a ensuite ouvert la discutions sur l’avenir proche en termes de menaces (Ransomware intégrant des API des services de Cloud afin de chiffrer le contenu des backups en ligne, Randomware chiffrant le contenu du disque sans conserver la clé rendant les données ainsi chiffrées théoriquement irrécupérables…). La présentation s’est conclue sur une triste réalité : c’est la menace et les dégâts des attaques qui amènent les entreprises à prendre conscience du risque.
Bénéfices de l’accès direct aux disques à l’aide du framework Metasploit
Parmi les présentations qui se sont déroulées durant l’après-midi, nous avons assisté à la présentation de deux modules pour le framework MetaSploit développés par Danil BAZIN qui nous les a présentés en personne. MSF est un framework d’exploitation largement utilisé pour son efficacité et son importante base d’exploit. Le premier de ces deux modules intitulés « file_from_raw_ntfs » permet de contourner les blocages en accès sur certains fichiers contenant des données importantes comme le fichier « NTDS.DIT » qui contient des données Active Directory (hash du mot de passe, noms des utilisateurs…). Un rapide rappel du fonctionnement des volumes NTFS et quelques procédés pour contourner des blocages (comme la shadowcopy) ont été expliqués et une démonstration a été réalisée. Le second module nommé « bitlocker_fvek » permet quant à lui de récupérer la clé maitresse de Bitlocker afin de pouvoir déchiffrer le volume concerné. Un rappel du fonctionnement de Bitlocker et de la dérivation des clés nous a été présenté et la présentation s’est également conclue par une démonstration de ce second module.
Techniques et outils pour la compromission des postes clients
Pour la seconde plage de conférences de l’après-midi nous avons pris la décision d’assister à une présentation des « techniques et outils pour la compromission des postes clients » proposée par Renaud FEIL, cofondateur de Synacktiv et Clément BERTHAUX, expert sécurité. Nous avons eu le droit à un rappel détaillé des méthodes de phishing et de spear-phishing, quelques méthodes astucieuses pour pousser un individu à ouvrir un mail avec une pièce jointe malveillante en usant de social engineering, ainsi qu’une démonstration de leur outil Oursin (car qui s’y frotte, s’y pique). Enfin, les deux intervenants ont conclu sur quelques conseils afin d’éviter d’être touché.
Démonstrations d’exploitations de failles de sécurité et présentations pratiques de l’ARCSI – La domotique et ses vulnérabilités
Renaud LIFCHITZ et Damien CAUQUIL, de Digital Security, nous ont présenté plusieurs démonstrations « live » de détournement d’objets connectés. Le premier a concerné un casque d’écoute sans fil, l’interception du signal à l’aide d’un simple récepteur TNT nous a permis d’entendre très distinctement la musique, tout comme nous aurions ainsi pu épier une conversation. La démonstration suivante a consisté à l’exploitation du protocole ZigBee entre une ampoule connectée et un émetteur, nous avons ainsi pu voir avec quelle facilité déconcertante les faibles mesures de sécurité mises en place ont pu être contournées, le protocole ZigBee ne proposant pas d’échange de clés sécurisé. Par la suite, Damien a présenté d’une manière très simple et accessible le détournement d’un porteclé connecté et la procédure pour flasher le firmware de ce dernier. Enfin, la dernière démonstration a demandé plus de travail en amont pour nous présenter l’exploitation d’un clavier et d’une souris sans fil permettant ainsi, avec un bon émetteur, d’envoyer des entrées clavier/souris (contrôler la souris, envoyer des commandes clavier), théoriquement à des centaines de mètres.
Détection des incidents de sécurité : vision d’un SOC efficace par l’ANSSI
Finalement, la dernière conférence que nous avons suivie offrait la vision d’un SOC efficace par l’ANSSI et Matthieu HENTZIEN, chargé de mission « politique industrielle ». De nombreux processus d’amélioration et d’efficacité nous ont été présentés, parmi lesquels figurent : imposer un processus d’amélioration continue, formaliser les critères d’un service de confiance, développer l’expertise et motiver les capacités d’étonnement, ou encore spécifier les missions et les compétences requises.
Un cocktail de clôture a marqué la fin de cette intéressante journée de conférences.
