Retour sur la 11ème édition des GSDays

La 11ème édition des « GS Days, Journées Francophones de la Sécurité » s’est déroulée le 2 avril 2019 à Paris, à l’Espace Saint-Martin. Cette conférence s’adresse à tous les acteurs de la sécurité et propose des sessions techniques, organisationnelles et juridiques animées par des experts reconnus. Ce colloque a pour objectif d’informer la communauté SSI et d’évoquer les menaces actuelles, leur mise en œuvre et leur impact sur les systèmes d’information.

 

Conférence Plénière : Comment faire de l’humain le maillon fort de la sécurité ? — Fabien CAPARROS, Chef de la division Méthodes de management de la sécurité numérique, à la sous-direction stratégie de l’ANSSI, Nicolas VIELLIARD, RSSI, CLUSIF, et Jean-François AUDENARD, Responsable de la veille sécurité et de la sensibilisation chez Orange, Diane RAMBALDINI, Présidente de l’Association ISSA France et Présidente de Crossing Skills

SLIDES

 

Dans le domaine de la sécurité il n’est pas rare d’entendre l’adage “le problème se situe entre la chaise et le clavier”. Pour les trois invités de cette table ronde, cet adage, en plus d’être rabaissant, provient d’un temps révolu !

Fabien Caparros, Nicolas Vieilliard et Jean-François Audenard sont unanimes, les spécialistes en sécurité font preuve d’un réel manque de pédagogie, et “s’enferment parfois dans leur tour d’ivoire”. Pour eux, l’amélioration du niveau de sécurité des entreprises doit forcément passer par un accompagnement bienveillant, de la pédagogie et de la sensibilisation.

Pour les trois invités, la sensibilisation implique, dans un premier temps, de réenseigner aux collaborateurs leur manière de communiquer. Pour Jean-François Audenard, RSSI d’Orange, améliorer la détection du phishing implique de rééduquer les équipes de communication et marketing interne et leur enseigner de bonnes pratiques. En prenant pour exemple l’envoi d’emails internes, il donne pour recommandation :

• Éviter les liens cachés ;
• Et les raccourcisseurs d’URL ;
• Ajouter systématiquement un point de contact en fin de communication.

Pour le RSSI d’Orange, étant donné que ces techniques (liens cachés, raccourcisseur d’url, absence d’un point de contact) sont également utilisés par les attaquants, leur utilisation participe à habituer les collaborateurs à légitimer ces pratiques.

Ainsi, bannir l’utilisation de ces techniques dans les communications légitimes permet de remettre à plat les habitudes des collaborateurs afin de pouvoir détecter plus aisément les emails malveillants.

Plusieurs axes d’action ont été abordés pour améliorer la sécurité des sociétés grâce à l’humain :

• Transparence : être transparent avec les collaborateurs concernant les avantages et inconvénients des pratiques de sécurité “Oui ce n’est pas ergonomique mais…” ;
• Sensibilisation : proscrire la veille forcée car contre-productive et peut donner un sentiment de fatalisme “si cela touche même les plus grandes sociétés alors on a aucune chance !” et privilégier les exemples concrets ;
• Rapprocher les équipes sécurité et les collaborateurs : par exemple au travers d’un réseau social. Jean-François Audenard expliquait qu’Orange utilise le réseau social interne “Plazza”. Il a eu l’initiative de créer une communauté relative à la sécurité au sein de laquelle le “parler vrai” est le maître mot, résultat, la communauté est placée dans le Top 20 des communautés (parmi plus de 10 000)  les plus actives du réseau social !

En conclusion, les participants recommandent de se mettre à la place du collaborateur, et d’être empathique. La table ronde a été très pragmatiquement conclue par l’expression suivante :  “Stop au dédain et on embarque tout le monde avec nous”.

 

S’attaquer à l’humain pour compromettre le SI — Sylvain HAJRI, consultant sécurité chez Digital Security

SLIDES

 

« La réussite d’une attaque dépend de sa préparation. » Cette assertion est également vraie dans le domaine de la sécurité de l’information. En tant qu’attaquant, il s’agit de connaître suffisamment l’entreprise, sa culture, son jargon pour être capable de faire croire qu’on en fait partie, repérer les accès physiques et lister les technologies utilisées pour préparer une intrusion, détecter les employés intéressants : en bref, avoir les éléments pour établir son plan d’attaque.

Pour cela, les moyens à disposition des attaquants sont multiples et les renseignements sont l’un d’eux. Ils sont divisés selon leur origine en 5 types :

1. Humain (HUMINT) ;
2. Électromagnétique (SIGINT) — incluant notamment TEMPEST ;
3. Imagerie (IMINT) — dont images satellites ;
4. Sources ouvertes (OSINT) ;
5. Réseaux sociaux (SOCMINT).

 

L’orateur s’intéresse ainsi aux trois derniers types. En commençant par les renseignements d’origine géographique, il décrit les différentes sources utilisables et certaines informations qui peuvent en être tirées : une poignée de camions sur Google Maps permet de détecter une aire de livraison, une batterie de sorties de climatisation sur un toit du site ciblé laisse supposer la localisation de salles serveur, etc.

Lorsqu’il s’agit de sources ouvertes et des réseaux sociaux, de nombreux renseignements peuvent être obtenus :

• informations techniques, notamment à partir d’appels d’offres, de CV ou résumé d’employés de réseaux sociaux professionnels, de photos de l’intérieur des locaux publiées par des collaborateurs ;
• informations physiques comme la position de caméra de vidéosurveillance ou le type de systèmes de contrôle d’accès en place par des photos ou le design de badges d’accès qu’il serait possible d’imiter ;
• informations personnelles, dont les relations et les centres d’intérêt des employés, dans l’objectif d’améliorer sa crédibilité dans des attaques d’ingénierie sociale ou d’hameçonnage.

 

Le thème de ces journées francophones de la cybersécurité a été annoncé en ouverture : faire de l’humain le maillon fort de la sécurité. Pour Sylvain Hajri, l’obtention de tels renseignements peut ainsi être réduite par la sensibilisation des collaborateurs internes, mais aussi des prestataires. Il est possible de les aider à configurer leurs comptes sur les réseaux sociaux, de leur apprendre comment la publication d’une vidéo de l’intérieur peut être exploitée par un attaquant, par exemple. Comme dans tout domaine de la sécurité de l’information, la définition de règles, la surveillance de leur application (et notamment l’exposition sur les réseaux sociaux) et l’audit sont finalement d’autant plus de moyens de réduire les risques associés.

Les humains étant sociables, chacun a ses propres vulnérabilités. La relation à la technologie varie d’une personne à une autre, mais nous avons tous les clefs pour nous protéger.

 

Dark Web, Dark Net, Deep Web : petra eo* ? — Patrice AUFFRET, Fondateur de la société Onyphe

SLIDES

 

Patrice Auffret, fondateur de la société Onyphe spécialisée en recherche en sources ouvertes (OSINT), a présenté une conférence sur la démystification du Dark Web.

La conférence a commencé par les différentes “couches d’internet” (clear, deep, dark) et une présentation technique du réseau Tor. Le conférencier affirme que le réseau Tor contiendrait environ 50 000 sites web, dont seulement 10 000 actifs. Il a également dressé un panorama de ce qu’on trouve vraiment sur le Dark Web, puis une présentation du moteur de recherche du Dark Web proposé par son entreprise.

Patrice Auffret a également détaillé la manière dont ils indexaient les sites Onion accessibles sans authentification, et les méthodes existantes afin de retrouver l’adresse IP des serveurs utilisés par lesdits sites web. Ces techniques peuvent notamment être utilisées dans le but d’effectuer des “take down” par les autorités à l’encontre des sites illégaux.

 

Sécurité Android : présentation de vecteurs de compromission et démonstration de scénarios de post-exploitation — William BOISSELEAU et Yann FERRERE, Consultants sécurité chez XMCO

SLIDES

Nos collègues Yann et William ont présenté l’exploitation et la compromission d’un téléphone Android au travers de failles Bluetooth. Vous pourrez retrouver l’intégralité de la conférence au sein d’un article dans le prochain ActuSécu.

 

Mécanismes mentaux et Cyber risques — Caroline BRINGAND, Consultante en facteur humain

SLIDES

Caroline Bringand, consultante en facteur humain, proposait une réflexion autour des prochains usages et leurs impacts en termes de risques pour les entreprises.

Dans un premier temps, la consultante a dressé un regard critique sur les usages numériques actuels. On peut citer :

• L’addiction aux smartphones et aux réseaux sociaux ;
• et la présence de plus en plus intime des “assistants virtuels” dans nos vies (Google Home, Amazon Alexa, etc.).

Enfin la conférencière a expliqué le résultat de ses réflexions et notamment les actions que peuvent entreprendre les entreprises pour améliorer leur sécurité et réduire le risque.

Pour introduire le sujet, Caroline Bringand est parti d’un constat simple : si la politique de sécurité demande trop d’effort, alors le collaborateur ne l’adoptera pas pour au moins deux raisons : elle n’est pas efficace, elle lui fait perdre du temps.

Le collaborateur, au travers de ses expériences en tant que client (Uber, Amazon, Vente-Privée), est habitué à avoir une expérience utilisateur très travaillé, où tout est pensé et conçu pour simplifier sa vie. Quand on confronte ses habitudes personnelles, avec les process professionnels de son entreprise, l’écart peut-être très conséquent.

Pour la consultante les entreprises devraient privilégier plusieurs leviers :

• L’expérience collaborateur : de la même manière qu’on travaille l’expérience client, les entreprises devraient travailler l’expérience collaborateur et notamment dans le domaine de la sécurité afin de simplifier les politiques et les processus. Car un processus demandant trop d’effort est rejeté ;
• Le “Storytelling” : beaucoup d’entreprise articulent leur sensibilisation autour de discours, de “martelage”, de l’imposition de politiques etc. la consultante recommande plutôt l’utilisation de “Storytelling” afin de transmettre les tenants et les aboutissants de manière bienveillante et remporter l’adhésion des collaborateurs.

La conférence, bien que très intéressante, n’a pas rencontré l’adhésion de tous les RSSI présents. Ceux-là ont essayé de faire comprendre à la consultante, via la session de questions/réponses, que le budget alloué, les compétences et le temps disponible ne permettait pas de mettre si facilement en place ces éléments.

 

Intrusion physique au siège d’une banque (Pentest) — Alexandre TRIFFAULT, président d’AT Security SAS, formateur intrusion.eu et chercheur associé à l’école Esiea

SLIDES

 

Alexandre Triffault nous proposait un retour d’expérience d’audit de sécurité physique durant lequel il a présenté des méthodes et techniques d’intrusion. Spécialiste des serrures, il a alors expliqué les techniques qu’il a mises en œuvre pour contourner les mesures de sécurité en place. Dans le cas présenté, la prestation a d’abord débuté en boîte noire (en ne connaissant aucune information) avant d’évoluer en boîte blanche (le client a alors fourni certaines informations sur les systèmes en place et les auditeurs ne nécessitaient aucune discrétion particulière).

Pour un audit de ce type, il s’agit d’abord de déterminer dans quel type de scénario on se place. Il en existe trois :

1. Attaquant opportuniste : vagabond ou cambrioleur isolé, la source de menace ne dispose que de moyens publics à sa disposition, des outils de base (tournevis et pince), cherchera des biens consommables, de l’argent et des objets dont la revente est facile et n’aura pas préparé son attaque ;
2. Bande organisée : les moyens mis en œuvre par ces équipes ou ces organisations criminelles sont ici plus importants puisqu’un investissement de quelques milliers d’euros dans du matériel pourrait permettre d’engranger un bénéfice bien supérieur ;
3. Attaquant déterminé : il s’agit ici d’organisations terroristes ou étatiques disposant de moyens illimités, hautement préparées pour la cible particulière agissant en équipe entraînée — les objectifs pourraient différer : le vol de secrets industriels, la mise en œuvre de portes dérobées ou le sabotage sont également des menaces possibles pour ces groupes.

 

La démarche d’audit est ensuite comparable à une démarche de tests d’intrusion (informatique).

Une première phase de repérage sur place (prise de photo des serrures, repérage des lieux, des accès, etc.) est suivie par une phase de tests en atelier. Il s’agit d’acheter les mêmes modèles de serrures pour y trouver des vulnérabilités ou exploiter des bases de données publiques, souvent dédiées à des amateurs de crochetage. Dans ce domaine, chaque problème étant spécifique, l’auditeur doit fabriquer ses outils pour chaque situation. Ces outils doivent donc être testés en atelier avant exploitation sur le terrain. L’intrusion sur site peut ensuite être réalisée par de l’ouverture discrète (serrures, sans-fil et autres), de l’ingénierie sociale, voire de l’escalade.

Le retour d’expérience présente donc la mise en œuvre de nombreuses techniques et vulnérabilités communes : accès au parking depuis l’extérieur, des portes fermées, mais non verrouillées, ouvertes à l’aide d’un levier en plastique, l’ouverture de portes anti-panique par une tige de métal tordue glissée à travers un trou fait dans la porte, l’escalade de poteaux à l’extérieur du bâtiment pour atteindre une fenêtre ouverte sur le toit, etc.

Les failles physiques sont omniprésentes et la majorité ne peut pas être corrigée par l’organisation. La mise à jour de centaines de serrures vulnérables d’un site peut par ailleurs demander des moyens importants.

Quelques recommandations sont alors formulées :

• renseignez-vous sur la manière dont peuvent être faites des copies des clefs utilisées auprès du constructeur : certaines clefs, même certifiées, peuvent ne nécessiter aucun élément pour commander un duplicata sur Internet ;
• sensibilisez vos collaborateurs, notamment à ne pas prêter des clefs : il suffit de quelques minutes pour copier le numéro de série gravé sur certaines ou réaliser un simple moulage pour d’autres afin de créer une copie d’une clef — limez si possible les numéros présents sur les clefs ;
• mettez en œuvre des systèmes de détection d’intrusion et de vidéosurveillance : même si une intrusion est réalisée, cela permet de diminuer les impacts et potentiellement les actions malveillantes des attaquants ;
• faites des audits pour estimer votre niveau de vulnérabilité.

 

Vol de données et ransomware : pourquoi et comment négocier avec un hacker ? — Olivier HERISSON, Consultant en sécurité numérique ON-X & Formateur ADN Talents (L’Agence des Négociateurs)

SLIDES

 

Olivier Herisson est un ancien policier et formateur en négociation, sa conférence avait pour but de transmettre ses conseils et ses astuces lors d’une négociation avec un hacker dans le cadre d’une attaque par ransomware.

Pendant longtemps il a été recommandé de ne jamais payer, au risque de motiver les attaquants à poursuivre ce genre de pratique, mais attention “négocier” ne veut pas forcément dire “payer” !

Avant d’entrer dans le vif du sujet, le consultant établit le scénario suivant :

Votre entreprise a été victime d’un ransomware, le pirate demande 20 BTC (environ 90 000€) à verser sous 24h afin de récupérer les données. Au delà les données seront supprimées. Une adresse email de contact est disponible. Restaurer les données supprimées via vos sauvegardes vous coûterait environ 10 000€ (principalement en temps homme).

Selon le consultant, il y a plusieurs avantages à négocier :

• Gagner du temps. Dans le cadre d’une attaque par ransomware il faut souvent : monter une cellule de crise, diagnostiquer l’attaque, répondre à l’incident, définir une stratégie, communiquer, autant d’éléments qui demandent du temps qu’il est possible de gagner en amorçant une discussion avec l’attaquant ;
• Diminuer le montant de la rançon. Tout est une question de rentabilité, est-ce que restaurer via une sauvegarde les données volées coûte plus cher que de payer la rançon ? Dans un premier temps : oui il y a de fortes chances. Mais diminuer le montant de la rançon grâce à la négociation pourrait permettre d’inverser le rapport ;
• Diminuer l’impact sur la vie privée. Le hacker a-t-il seulement chiffré les données ou bien y a-t-il eu accès également ? Sous-entendu, il y a-t-il seulement un impact en disponibilité ou aussi en confidentialité ? Cette nuance peut-être extrêmement importante pour l’entreprise, car elle influe sur la stratégie à adopter et les communications à réaliser. C’est une information qui peut être facilement et rapidement acquise par la négociation ;
• Négocier occasionne t-il des risques juridiques ? Aucun, sauf éventuel un risque d’image.

Avant de négocier, il est nécessaire de monter une cellule de crise cyber :

• Elle doit être constituée des différents acteurs désignés pour gérer les risques cyber ;
• Elle doit également être constituée du DPO, pour gérer la CNIL et évaluer les risques sur la vie privée.

Olivier Herisson nous confie ses conseils de négociation :

• Le décideur ne négocie jamais avec le pirate ! Le rôle du décideur est la prise de décision et l’affinage de la stratégie, il doit garder la tête froide et a besoin de pouvoir prendre du recul. Afin de ne pas subir les pics émotionnels de la négociation, il est même recommandé qu’il ne soit pas dans la même pièce que la cellule de crise. C’est également un moyen de protéger le négociateur qui peut aisément botter en touche “ce n’est pas moi qui décide, c’est le patron”;

• Mettre son égo dans sa poche. On dit souvent “un bon négo n’a pas d’égo !”. Adopter une position basse, de “débutant”, pour gagner du temps et ne pas dévoiler son rapport de force ;

• Ne pas mentir. Sauf le mensonge par omission à la rigueur ;

• Comprendre les différences entre Position, Objectif et Intérêt.

1. Position : le maximum recherché par l’attaquant (exemple : rançon de base à 20 BTC) ;
2. Objectif : le réel montant espéré (exemple : 5 ou 6 BTC) ;
3. L’intérêt : ce qu’il veut vraiment (exemple : des vacances en Thaïlande).

• Protéger son intérêt. Il ne faut jamais dévoiler ce que l’on souhaite, par exemple “gagner du temps” ou “réduire le montant de la rançon”. Si l’intérêt est découvert, la négociation est terminée ;

• Celui qui pose les questions mène la négociation. Poser des questions permet de gagner du temps. Par ailleurs, la connectivité, le verbatim, sont également des éléments qui peuvent permettre d’orienter l’enquête de police ;

• Créer un lien avec le hacker. L’empathie, le profilage, la visualisation, parler de soi, laisser des petits indices pour humaniser, sont autant d’astuces qui peuvent permettre au hacker de faire des concessions sur le temps imparti ou même sur le montant de la rançon.

 

Pour conclure, le négociateur nous a confié que le scénario établi précédemment était fortement inspiré d’un cas rencontré. Dans ce cas-là, les négociations ont permis de gagner 4 jours (au lieu de 24h au départ), et les fruits des discussions ont permis de réduire la rançon à 0,5 BTC soit 2 500€ (à la place de 20 BTC) : au regard de la somme demandée, ils ont décidé de payer et ont récupéré les données en quelques heures.

 

Démonstrations d’exploitations de failles de sécurité et présentations pratiques de l’ARCSI — Renaud LIFCHITZ, expert sécurité IoT chez Digital Security, membre et démonstrateur de l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information) et Damien CAUQUIL, responsable R&D chez Digital Security

 

Renaud Lifchitz et Damien Cauquil ont présenté chacun deux démonstrations pratiques.

La première consistait à la mise en œuvre d’un circuit quantique dans le but de déterminer la carte choisie parmi quatre. La démonstration reposait sur la mise en œuvre d’un oracle quantique (c’est-à-dire une boîte qui répond « vrai » ou « faux ») permettant finalement de déterminer à 100 % la carte ayant été choisie initialement.

La seconde démonstration reposait sur l’exploitation de la confiance des personnes dans leurs périphériques USB. À l’aide d’un câble USB (tout à fait fonctionnel et ayant l’air inoffensif) branché sur la machine de la victime, l’attaquant obtient un Shell inversé à distance sur la simple pression du bouton d’une télécommande. En réalité, le câble « USBNinja » inclut une carte Arduino et un récepteur Bluetooth. Lorsque le câble est branché, l’attaquant est alerté par une DEL sur la télécommande et peut décider d’exécuter un code préchargé dans l’Arduino. Dans le cas présenté, l’attaquant exécute une commande Powershell vers une URL raccourcie pour obtenir un accès à distance.

La troisième prenait l’exemple d’attaques sur les fournisseurs, en citant des pratiques de la NSA divulguées par Edward Snowden consistant à implanter des portes dérobées dans des équipements en interceptant les colis de fabricants particuliers notamment Cisco. L’objet pris ici était un cadenas connecté, dans l’idée que les utilisateurs configurent leur code, mais ne testent pas nécessairement qu’un mauvais code ne fonctionne pas. Une porte dérobée a alors été déposée en reprogrammant le cadenas connecté dont un port de débogage est accessible, une fois physiquement ouvert. La démonstration a permis de voir que tous les codes de déverrouillage étaient effectivement acceptés par le cadenas s’ouvrant systématiquement.

Le dernier cas consistait à exploiter une vulnérabilité du protocole Bluetooth Low Energy corrigée en version 5.1. Le problème : aucun équipement n’implémente complètement cette version du protocole publiée en janvier 2019. Un drone était alors utilisé ici : après avoir brouillé et détourné la communication entre l’objet et sa télécommande, des commandes arbitraires ont été injectées. Dans la démonstration, le drone a été arrêté « proprement » (à l’aide de la commande utilisée par l’application) ou brutalement, en arrêtant directement les moteurs de stabilisation.

 

Allocution de clôture – Cybermalveillance.gouv.fr : retour sur la première année de fonctionnement — Jérôme NOTIN, directeur général de www.cybermalveillance.gouv.fr

SLIDES

La journée s’est terminée par une présentation des résultats de la première année de fonctionnement de la plateforme cybermalveillance.gouv.fr. Ce portail d’assistance aux victimes d’actes de cybermalveillance a permis le suivi de 70 500 victimes depuis le 17 octobre 2018. Depuis environ 500 parcours victimes en janvier 2018, un pic de 7 500 sur une semaine de février 2019 a été observé.

L’objectif de la plateforme est notamment de pouvoir diriger les victimes vers des professionnelles de la sécurité pour les assister. C’est aujourd’hui 1 600 prestataires de proximité qui sont référencés.

Le premier volet d’un kit de sensibilisation à licence ouverte a été publié ainsi que des fiches réflexes et fiches pratiques utilisables en cas d’incident.

Pour 2019, les objectifs de la plateforme incluent une labellisation des prestataires (plus légère en termes d’exigences que les labels de l’ANSSI), l’augmentation du nombre d’entreprises et de collectivités accompagnées (aujourd’hui, 85 % des utilisateurs sont des particuliers) et la publication du second volet du kit de sensibilisation.

Une nouvelle version de la plateforme, la mise à disposition d’outils pour les victimes (à l’image de l’initiative No more ransom!) et la mise en œuvre d’un observatoire des menaces sont à venir.

 

---

Références

https://www.gsdays.fr/