Résumé de la réunion du groupe Paris de l’OSSIR du 13 novembre 2012

Résumé de la réunion du groupe Paris de l’OSSIR du 13 novembre 2012

Comme chaque mois, la réunion du groupe de travail parisien a donné lieu à la présentation de deux sujets, puis à la revue d’actualité du mois.

Compte-rendu de la conférence JFIN de l’AFSIN (Olivier Perret)

Olivier Perret est venu présenter son compte-rendu des 6e Journées Francophone de l’Investigation Numérique (JFIN) qui se déroulaient à Levallois du 10 au 12 octobre dernier. Organisée par l’Association Francophone des Spécialistes de l’Investigation Numérique (AFSIN), et dédiée en priorité à ses membres, ces journées regroupent de nombreux plusieurs spécialistes du domaine, majoritairement des magistrats, des policiers, des gendarmes, des experts judiciaires en informatique ; mais aussi quelques académiques et enfin les sponsors.

Selon Olivier, cette population fait preuve d’une très grande discrétion, et il est donc particulièrement difficile de s’y intégrer, voir simplement de participer à la conférence.

Après avoir rappelé le parcours et le rôle des investigateurs et des experts (investiguer dans le respect du débat contradictoire, vulgariser les résultats, voire témoigner au procès), l’intervenant a fait un rapide retour sur les différentes conférences proposées au cours de ces JFIN :

  • La virologie: amie ou ennemie de l’investigation numérique (Jean-Yves MARION/Guillaume BONFANTE)
  • Le monitoring réseau (Laurent CIARLETTA)
  • Le traitement et l’amélioration d’images fixes et dynamiques (Jacques FELDMAR)
  • L’Expert judiciaire et la CNIL (Thomas DAUTIEU)
  • L’analyse des bornes de jeux et surf Internet (Lemmy FONTAINE)
  • La description d’un nouveau phénomène et conséquences pour l’investigation (Eric FREYSSINET)
  • L’intervention numérique sur mémoire flash (Bruno DAVENEL)
  • Le développement d’un outil d’analyse des artefacts sous Windows (Emmanuel BONHEURE)
  • L’analyse Cloud (Patrick ROUSSEL)
  • L’analyse de machine virtualisée (Frédéric BAGUELIN)

Selon Olivier, cette 6e édition des JFIN a permis de présenter un milieu plus dynamique qu’il peut le paraitre, qui s’intéresse vraiment aux problématiques soulevées par l’informatique d’aujourd’hui, et non à des problématiques antédiluviennes.

SLIDES

Compte-rendu du Training Blackhat: « Building, attacking and defending SCADA systems » (Rémi Chauchat / HSC)

La seconde intervention a été menée par Rémi Chaudat, un consultant HSC ayant eu l’occasion de participer à une formation de deux jours au cours de la dernière édition de la conférence BlackHat qui se déroulait à Las Vegas. Le sujet de ce « Training » donné par Tom Parker et Jonathan Pollet, deux spécialistes du sujet, était la « Construction, et techniques d’attaque et de défense de systèmes de supervision industriels » (SCADA).

Après avoir rappelé les différents éléments (technologie, composants, protocoles et normes) entrant dans la constitution d’un système de type SCADA, le consultant a présenté l’architecture type d’un tel environnement, ainsi que son intégration au sein du système d’information « bureautique » d’une entreprise. Il a aussi présenté le rôle d’un système industriel via un exemple concret : le cycle de vie du pétrole, de la recherche de gisement, jusqu’à sa distribution.

Enfin, Rémi a rapidement présenté les différentes faiblesses de sécurité qui peuvent être classiquement exploitées pour compromettre un système industriel, ainsi que les recommandations pour le protéger. Contrairement au monde de l’informatique « grand public », les constructeurs de systèmes SCADA sont particulièrement en retard en terme de prise en compte des aspects « sécurité » dans le développement de leurs systèmes. Ainsi, il n’est pas rare d’être confronté à des protocoles normalisés n’offrant pas de mécasnime d’authentification ou encore n’empêchant pas l’interception et le rejeux des messages de commandes. Enfin, concernant les techniques de défense de ces systèmes, le consultant a rappelé l’importance de respecter les mêmes meilleures pratiques que celles utilisées dans le monde de l’entreprise « classique », à savoir :

  • La segmentation réseau et filtrage pour bien isoler le réseau d’entreprise du réseau industriel ;
  • L’utilisation de protocoles supportant le chiffrement et l’authentification ;
  • La définition et la mise en place de politiques de sécurité (mots de passe, restrictions d’accès aux ressources, traçabilité, mise à jour des systèmes / antivirus, et enfin analyse et supervision des flux réseau (IDS / IPS))

SLIDES

Revue d’actualité (Nicolas Ruff)

Enfin, la réunion s’est terminée par la revue de l’actualité du mois écoulé par Nicolas Ruff, aussi bien en matière de publication de correctifs, de découvertes de failles de sécurité qu’en matière d’informations.

Voici un extrait des informations les plus marquantes :

SLIDES

Actualité de l’OSSIR

Concernant l’actualité de l’association, l’OSSIR a ouvert un compte Twitter @OSSIRFrance qui sera utilisé pour publier l’actualité de l’association.

Le CfP des JSSI (Journée de la Sécurité des Systèmes d’Information), qui se dérouleront le mardi 19 mars 2013 à la Maison des Associations, a été publié : http://www.ossir.org/jssi/index/jssi-2013-appel-a-communications.shtml Le thème de cette édition est « Outils et méthodes d’audit en SSI ».

Enfin, rendez-vous le 13 novembre prochain pour la prochaine réunion du groupe Paris de l’OSSIR.


Cert-XMCO