Résumé de la réunion du groupe Paris de l’OSSIR du 9 septembre 2014

Résumé de la réunion du groupe Paris de l’OSSIR du 9 septembre 2014

logo_ossir.pngLa dernière réunion de l’OSSIR s’est déroulé le 8 octobre dernier dans les locaux de Solucom. Les sujets suivants y ont été présentés :

  • Compte rendu Black Hat et Defcon par Steeve Barbeau et Ines Ribeiro (HSC)
  • IRMA – Incident Response & Malware Analysis par Bruno Dorsemaine (Orange)
  • Intervention courte : CybelAngel, retour sur expérience par Eric Vautier (RSSI, Aéroport de Paris)
  • Revue d’actualité

Compte rendu Black Hat et Defcon (Steeve Barbeau et Ines Ribeiro / HSC)

Deux consultants du cabinet HSC ont présenté un retour sur les éditions 2014 de la Black Hat USA et de la Defcon. Ces deux conférences ont eu lieu à Las Vegas et ont réuni à elles deux environ 20 000 personnes. De très nombreux sujets ont été abordés parmi lesquels : le lockpicking, le Social-Engineering, les systèmes SCADA, des vulnérabilités dans des logiciels, technologies et systèmes en tout genre. Le traditionnel « badge challenge » a eu lieu à la defcon. Et cette année le Pwnie Award a été attribué à la célèbre vulnérabilité Heartbleed.

Ces deux consultants se sont attachés à retranscrire à l’auditoire l’essentiel des conférences qu’ils avaient pu suivre parmi lesquels :

  • l’étude de modems USB Huawei et ZTE et la découverte de vulnérabilité de type CSRF ;
  • la présentation des vulnérabilités liées aux firmwares USB (BADUSB)
  • l’étude de la vulnérabilité d’Android dans la validation d’une chaine de certificat ;
  • l’étude du protocole Energywise de Cisco ;
  • l’étude du format SVG utilisé par les navigateurs ;
  • les méthodes de protections d’un POS (Point of Sale) ;
  • la présentation de l’outil CAPSTONE ;
  • L’étude de terminaux SATCOM ;
  • Etc.

SLIDES

IRMA – Incident Response & Malware Analysis__ par Bruno Dorsemaine (Orange)

Bruno Doresemaine ainsi que Jean-Philippe Gaulier ont présenté le projet IRMA, pour Incident Response & Malware Analysis. Ce projet créé en collaboration avec Airbus Group, le CEA, le DCNS, Govcert.lu, Orange et Quarkslab. Ce projet vise apporter à la communauté une solution simple permettant de scanner des fichiers tout en contrôlant les données soumises. Ce projet se veut avant tout libre et disponible sur le web comme en standolane. Surtout, IRMA met l’accent sur le choix de partager ou non les données soumises.

D’un point de vue architecture, le projet est divisé en trois parties :

  • le frontend ;
  • le brain ;
  • les probes.

Le frontend est la partie visible par l’utilisateur. Celle qui lui permet de lancer les scans et d’observer leurs résultats. Le frontend est modifiable à souhait grâce à une API disponible.

Le brain quant à lui est la partie qui va contrôler la réalisation des scans et partager les jobs entre les probes. Il utilise pour cela RabbitMQ et Redis, des outils de transmission de messages. Par ailleurs, le brain stocke également les éléments scannés sur un serveur FTP.

Enfin les probes sont des analyses spécifiques, il s’agit de moteurs antiviraux, ou d’outil tel que VirusTotal, Pe File Analyser ou encore le National Software Reference Library. Il est possible d’ajouter facilement des probes via l’installation des binaires/librairies. 4 commandes seulement permettent ainsi d’ajouter le moteur de ClamAV :

  1. $ sudo apt-get install clamav-daemon
  2. $ sudo freshclam
  3. $ sudo service clamav-daemon restart
  4. $ sudo service celeryd.probe restart

Le système de probe repose également sur des dissecteurs qui permettent de traduire des éléments de sortie d’un moteur antivirus en un résultat exploitable pour l’outil.

Cet outil est donc une alternative à VirusTotal, il simple, facile à installer et extensible. Enfin, plusieurs probes comportementales sont à l’étude, tout comme la soumission via URL ou encore l’ajout d’un moteur de recherches.

SLIDES

DEMO

Intervention courte : CybelAngel, retour sur expérience (Eric Vautier / RSSI, Aéroport de Paris)

Le Responsable de la Sécurité du Système d’Information (RSSI) du groupe Aéroport de Paris a présenté un retour d’expérience de ses équipes sur l’offre de service de CybelAngel. Celui-ci leur a permis de mettre la main sur des documents confidentiels (techniques, organisationnelles et managériales) ayant fuité sur Internet. Cette intervention relativement courte a permis d’observer quelques résultats de ce service.

Revue d’actualité

La réunion s’est terminée, par l’incontournable revue de l’actualité du mois écoulé, avec comme toujours, la publication de correctifs, les découvertes de failles de sécurité et les informations diverses autour de la sécurité. Parmi les points à retenir :

SLIDES

Prochaines dates à retenir pour les événements organisés par l’OSSIR :

  • 23 septembre 2014 : AfterWork réservé aux membres de l’OSSIR, avec un retour d’expérience de Jean-Marie MELE (Orange) autour de la gestion de crise lié à Heartbleed ;
  • 14 octobre 2014 : prochaine réunion du groupe Paris ;

Enfin, le thème de la prochaine JSSI qui se déroulera le mardi 10 mars 2015 a été annoncé :

Quel avenir pour la souveraineté française en SSI ?

L’appel à communications a aussi été publié.


Cert-XMCO