Résumé de la réunion du groupe Paris de l’OSSIR du 12 février 2013

Résumé de la réunion du groupe Paris de l’OSSIR du 12 février 2013

La dernière réunion de l’OSSIR s’est déroulée le 12 février 2013 dans les locaux de l’INRIA. Les sujets suivants y ont été présentés :

  • FireAMP par Yann Le Borgne de Sourcefire
  • Education au phishing par Fabrice Prigent de l’université Toulouse 1 Capitole
  • Revue d’actualité par Nicolas Ruff

FireAMP (Yann Le Borgne / Sourcefire)

Afin de compléter son offre de produits, Sourcefire a racheté il y a environ 2 ans Immunet, la société éditrice de la solution éponyme. Cette solution, contrairement à l’antivirus ClamAV qui appartient lui aussi à Sourcefire, mais aussi à tous les autres antivirus, n’a pas pour objectif d’être plus efficace. Cette solution veut en réalité chercher à combler un autre besoin : identifier l’écosystème des malwares, et ses relations avec les autres fichiers/processus intervenant lors de la compromission d’un système. Immunet permet en effet de remonter au « patient zéro » de l’infection.

En effet, les développeurs d’Immunet sont partis d’un constat simple. Les antivirus identifient en général facilement un malware, mais rarement le vecteur par lequel il a été en mesure de prendre pied sur le système : le downloader.

Pour atteindre cet objectif, la solution fonctionne de la manière suivante :

  • un agent, installé sur les postes clients, surveille les actions réalisées sur l’ensemble des fichiers du système (création, modification, déplacement, suppression) quelque en soit le processus auteur.
  • ces informations, anonymisées, sont centralisées dans le « Cloud » de Sourcefire où différentes méthodes de détection sont appliquées (base de signatures et algorithmes propriétaires). Les fichiers sont alors qualifiés par Sourcefire comme étant sain, malveillant, ou inconnu.

Ces informations sont accessibles sur Internet aux analystes d’une société ayant implémenté cette solution. L’extranet permet de retracer sous la forme d’une frise chronologique les actions ayant abouti à l’installation d’un malware. On peut ainsi aisément identifier le patient zéro d’une infection et identifier l’ensemble des postes infectés sur le système d’information pour ensuite prendre une action de remédiation.

Immunet vient donc en complément d’un antivirus et permet d’obtenir une vision plus complète de la menace afin de ne pas se limiter à supprimer le malware identifié par l’antivirus, mais aussi les fichiers malveillants ayant rendu son installation possible.

On regrettera le manque de visibilité sur la volumétrie réseau nécessaire à l’envoi de ces informations dans le Cloud. Par ailleurs, Sourcefire travail actuellement sur une solution permettant de s’affranchir du Cloud, notamment pour des problématiques de données personnelles, en installant un boitier relais au sein du Système d’Information de l’entreprise.

Cette présentation a permis de découvrir une solution intéressante qui permet d’avoir une vision temporelle des infections. Cependant, et comme l’a reconnu l’intervenant, ce type de solution n’est intéressante et utile qu’au sein du Système d’Information d’une entreprise que si cette dernière est prête à consacrer des ressources humaines à l’analyse des informations remontées.

SLIDES

Education au phishing (Fabrice Prigent / Université de Toulouse 1 Capitole)

Fabrice Prigent, RSSI de l’Université Toulouse 1 Capitole, est venu partager son retour d’expérience en matière de sensibilisation au phishing auprès des quelque 2100 employés de l’université, et 21 000 étudiants. L’université est en effet très régulièrement ciblée par ce type de campagne (3 à 5 campagnes par jours, avec 3 à 6 campagnes par an couronnées de succès pour les pirates).

Fabrice, souhaitant que ces utilisateurs adoptent des automatismes afin de ne plus se faire avoir par du phishing, a donc mené différentes vraies-fausses campagnes de phishing sur plus d’une année (en prévenant les utilisateurs, ou pas, à l’avance). Ces campagnes étaient d’abord isolées dans le temps et envoyées massivement aux utilisateurs, puis réalisées de manière quotidienne en ciblant un nombre de personnes restreint choisi aléatoirement.

Ces campagnes de phishing étaient non ciblées : c’est-à-dire qu’elles ne reprenaient aucun élément graphique de l’université (on est – très – loin du « spear phshing »). Le taux de succès (ou d’échec ?) de ces campagnes était tout de même d’environ 25% !

Parmi les constats du RSSI, ni le niveau d’étude, ni le niveau de responsabilité des personnes ciblées n’ont d’incidence sur leur capacité à détecter un phishing. En effet, les universités sont composées de gens brillants (ex : Bac+8), qui se font également avoir…

Les retours des personnes étant tombées dans les vraies-fausses campagnes de phishing de Fabrice ont indiqué que la fatigue et/ou l’inattention, généralement de fin de journée, étaient un facteur de réussite des campagnes de phishing, car celles-ci baissaient leur vigilance.

Au final, la seule solution efficace selon le RSSI : sensibiliser régulièrement, au hasard, en utilisant des critères objectifs simples à appréhender par les utilisateurs, et surtout, sans les accabler dès lors qu’ils se font prendre au piège.

SLIDES

Revue d’actualité (Nicolas Ruff)

La réunion s’est enfin terminée par la revue de l’actualité du mois écoulé par Nicolas Ruff avec comme toujours, la publication de correctifs, les découvertes de failles de sécurité et les informations diverses autour de la sécurité.

  • Des développeurs laissent trainer leurs clefs privées sur GitHub
  • Des pirates chinois auraient piraté le New York Times et le Wall Street Journal
  • L’éditeur de solutions de sécurité Bit9 aurait été compromis ; des malwares auraient été signés pour les rendre furtifs dans le cadre d’attaques tierces.
  • Piratage des comptes de 250 000 utilisateurs de Twitter
  • Kaspersky lève le voile sur l’opération Red October, une opération de cyber-espionnage d’envergure internationale
  • Microsoft et Symantec démantèlent le botnet Bamital, pendant que le CERT Polonais et le NASK s’occupent du botnet Virut

SLIDES

Pour rappel, l’OSSIR organise ses JSSI le 19 mars prochain à la Maison des Associations (MAS) dans le 13e à Paris. Les inscriptions sont ouvertes, et les organisateurs bénévoles ont rappelé l’importance, pour leur simplifier la tâche, de procéder à son inscription le plus tôt possible. Plus d’information à l’adresse suivante : http://www.ossir.org/jssi/jssi2013/index.shtml

Le groupe Paris de l’OSSIR organise aussi un AfterWork réservé à ses membres le 26 février prochain. Au cours de cette soirée, Benjamin Delpy viendra présenter son outil Mimikatz. L’inscription à l’association sera possible sur place.

Enfin, rendez-vous le mardi 9 avril prochain pour la prochaine réunion du groupe Paris de l’OSSIR.


Cert-XMCO