Retour sur l’édition 2017 de la conférence dotSecurity

Retour sur l’édition 2017 de la conférence dotSecurity

XMCO était partenaire de la deuxième édition de la conférence dotSecurity, une conférence de sécurité informatique destinée aux développeurs. Cette édition 2017 s’est déroulée le 21 avril au Théâtre des Variétés, en plein cœur de Paris.

Nous allons ici revenir sur les 9 présentations données durant la conférence.

Nous souhaitions profiter de cet article pour remercier les conférenciers, ainsi que toute l’équipe ayant donné vie à cette édition de dotSecurity pour leur travail.

 

Counter-spells and the art of keeping your application safe, par Ingrid Epure

SLIDES

La première session commence avec Ingrid Epure, ingénieure à Intercom. C’est à l’aide d’une présentation soignée et de slides ésotériques qu’elle nous dresse un portrait de vulnérabilités, souvent oubliées, liées au développement d’applications web. Une série de failles nous sera alors présentée et, pour chacune d’entre elles, Ingrid détaillera les risques et les solutions à mettre en place pour s’en protéger. Ainsi la présentation passe en revue :

  • Entrées utilisateurs
  • Same-origin policy
  • Content Security Policy
  • Fonctionnalités de sécurité des navigateurs
  • Entrées HTML dans le framework Ember.js

En effet, peu de temps après son arrivée à Intercom, Ingrid a été chargée du développement d’une fonctionnalité de mise en ligne d’images avec aperçu immédiat, devant être sécurisée afin de ne pas pouvoir être exploitée par des attaquants.

Après avoir présenté chaque vulnérabilité, elle déploiera son arsenal de « contre-sorts » afin de contrer ces failles. Afin de se prémunir des entrées malveillantes, la technique d’échappement de code HTML (HTML Escaping) permet d’empêcher ce dernier d’être interprété par le navigateur, afin, entre autres, de bloquer les attaques de type XSS (Cross Site Scripting). Les politiques de sécurité du contenu (CSP – Content Security Policy) permettent notamment de bloquer le contenu malveillant en se basant sur leur origine, ainsi il est possible d’autoriser uniquement certains scripts.

La suite de la présentation s’oriente sur les failles de sécurité qui sont inhérentes à l’utilisation de templates et frameworks de rendu web. Enfin, Ingrid couvrira les méthodes post-développement permettant de découvrir des vulnérabilités oubliées telles que les tests, le logging, le monitoring des événements générés et les programmes de bug bounty.

Bien que les exemples reposent sur le Framework Ember.js, ces bonnes pratiques peuvent être plus généralement appliquées à tout développement orienté web. Il s’agit donc d’une présentation agréable à suivre et qui saura profiter à de nombreux développeurs d’applications web.

 

DevOps and Security, par Zane Lackey

SLIDES

VIDEO

Zane Lackey, cofondateur et CSO de Signal Sciences, est venu partager son expérience en matière de sécurité. Bien qu’il s’agisse une fois de plus de bonnes pratiques, ce sont des réflexes trop souvent délaissés qui, s’ils étaient acquis, permettraient de mieux réagir face aux menaces et attaques.

En effet, Zane souligne l’importance de l’amélioration de nos procédures pour identifier, remonter et corriger des erreurs qui créent des vulnérabilités. Il rappelle que, même s’il est difficile pour les petites entreprises de proposer des récompenses intéressantes, les programmes de « bug bounty » sont efficaces et motivent le signalement « responsable » de vulnérabilités.

Il explique aussi que les programmes de bug bounty et les tests d’intrusion sont complémentaires et non exclusifs. En effet les bug bounties offrent un retour général mais en temps réel alors que les tests d’intrusion, plus ponctuels, apportent un retour plus ciblé sur des éléments clés.

Sont aussi essentiels les bons rapports et réactions face aux remontées d’erreurs et de vulnérabilités. Ils permettent à la fois d’afficher une image responsable, mais aussi encourageante auprès des utilisateurs, des clients et de la communauté.

Sans oublier la capacité à mettre en place des méthodes efficaces de surveillance des erreurs et des attaques. Cela permet de pouvoir réagir plus rapidement et d’identifier les vulnérabilités avant qu’elles ne soient sévèrement exploitées. Il souligne la différence de difficulté et de temps de réaction entre réagir à une attaque en surveillant des milliers de lignes de log indigestes et l’utilisation d’outils d’analyse et de représentation qui permettent visuellement, même pour des collègues non techniques, de repérer aisément un comportement anormal.

Pour illustrer ces propos, Zane nous raconte une anecdote forte : grâce au mécanisme de monitoring mis en place, Etsy (une entreprise possédant un site ecommerce dans laquelle était employé Zane) a été capable de découvrir des tentatives d’exploitation d’une vulnérabilité qui leur était alors inconnue par un attaquant « white hat » (qui n’avait aucune intention malveillante, il cherchait uniquement à contribuer à l’amélioration de la sécurité du site).

L’attaquant s’est ensuite absenté. A son retour, il s’est rendu compte que la vulnérabilité avait été corrigée entre temps (en l’espace de quelques heures et avant même qu’il en ait communiqué les détails via le formulaire prévu à cet effet) suite à la détection rapide des requêtes émises lors de l’attaque. Impressionné, il a alors vanté les capacités de l’entreprise à réagir promptement aux menaces.

Enfin, il met en avant l’importance de la communication et de l’échange d’informations entre les équipes, cela suscite l’intérêt, la motivation et l’amélioration globale de la sécurité au sein d’un projet.

 

The Digital Battle, par Mikko Hypponen

SLIDES

VIDEO

Cette présentation nous était donnée par Mikko Hypponen, directeur du département de recherche de la société F-Secure et conférencier reconnu. Il est revenu avec beaucoup d’humour sur différents sujets ayant émaillé l’actualité de la sécurité informatique.

Il a tout d’abord été question du vol de données de Yahoo par des pirates russes. Les photos publiées par l’un des pirates sur les réseaux sociaux, exposant un certain nombre de véhicules de luxe, ont permis de soulever la question de la valorisation des données dérobées lors de la compromission d’un système, au travers d’une analogie entre la donnée et le pétrole (il faut extraire une information d’un jeu de données, tout comme il faut raffiner le pétrole avant de pouvoir l’exploiter).

Mikko évoque alors la différence entre les montants exigés par les auteurs de ransomwares pour déchiffrer les données du système infecté (entre 1 et plusieurs centaines de bitcoins) pour expliquer qu’il n’existe actuellement pas de moyen d’évaluer la valeur monétaire d’une donnée.
Ce ne sera d’après lui plus le cas avec l’adoption du GDPR (General Data Protection Regulation), qui prévoit qu’une entreprise soit sanctionnée par une amende pouvant atteindre 4% de son chiffre d’affaires mondial en cas de fuite de données. Cette valeur pourrait être utilisée par des pirates pour effectuer un chantage auprès d’une entreprise compromise, par exemple en ne divulguant pas la fuite de données en échange d’une somme inférieure à l’amende prévue par le GDPR.

Mikko revient ensuite sur un sujet brulant : la sécurité des objets connectés. Il explique que les problématiques de sécurité touchant ce type d’appareils proviennent généralement de configurations par défaut trop permissives qui ne sont pas modifiées par le propriétaire de l’appareil. Là encore, il explique ce comportement à l’aide d’une analogie : celle du magnétoscope, dont l’heure était rarement réglée par son possesseur, car le produit était fonctionnel en l’état.

Dans d’autres cas, c’est l’absence de mécanismes de sécurité qui est à blâmer. Mikko donne ici un contre-exemple avec les ampoules connectées Ikea, dont le seul port ouvert est celui qui est utilisé pour recevoir les commandes de l’utilisateur.

Les objets connectés sont souvent inutilisables s’ils n’arrivent pas à se connecter aux serveurs du fabricant. Cet état de fait est illustré avec humour au travers d’un tweet d’un utilisateur indiquant être dans l’incapacité de régler son four lors de la panne d’Amazon AWS S3.

Conclusion inspirante pour cette présentation : Mikko nous indique qu’au vu de l’omniprésence de l’informatique, ce n’est pas des applications que les développeurs travaillent à sécuriser, c’est la société elle-même.

 

Secure Software Development Lifecycle, par Jim Manico

Fondateur de Manicode Security, ancien membre de l’OWASP et professeur en développement sécurisé, Jim Manico a démontré sa capacité à intéresser le public au travers d’un grand dynamisme.

Ainsi, il explique l’importance de prendre en compte la sécurité et les risques tout au long du processus de création d’un produit ou d’un service. Au travers de plusieurs exemples, Jim rappelle que les procédures de sécurité sont essentielles et qu’elles doivent tout de même rester accessibles afin d’être respectées dans les différentes phases de réalisation de l’application.

Il utilisera l’exemple marquant du groupe Van Halen, réputé à l’époque pour leur forte utilisation d’effets pyrotechniques. Dans les conditions de sécurité émises par le groupe pour effectuer la représentation, un point intrigant apparaissait : il devait y avoir un bol de M&M’s de différentes couleurs, à l’exception de la couleur marron qui ne devait surtout pas être présente sous peine d’annulation du concert.

Il s’agissait en réalité d’un « canari ». En effet, cette exigence leur servait de preuve que tous les points de la liste avaient été scrupuleusement respectés et que leur sécurité n’était donc pas menacée. Si un M&M’s marron était présent, il y aurait alors eu négligence du respect des conditions de sécurité pouvant entrainer un accident.

 

Verifiable lotteries, par Joseph Bonneau

Joseph Bonneau est chercheur et enseignant dans le domaine de la sécurité ainsi que « Technology Fellow » à l’Electronic Frontier Foundation (EFF). Il a présenté l’importance d’avoir une réelle graine aléatoire ou « random seed », lors de la génération de valeurs aléatoires.

Afin d’expliquer clairement ses idées, il établit des parallèles avec les jeux de hasard et les différentes possibilités pour changer les probabilités au profit de certaines valeurs. Il faut par exemple, lors d’une loterie par boules numérotées, s’assurer qu’elles aient toutes le même poids, condition sans laquelle les boules les plus légères se retrouveraient plus souvent en haut, prêtes à être piochées.

Il soulignera l’importance d’avoir des balises permettant de s’assurer de la non-prévisibilité, de l’unanimité ainsi que de la disponibilité des résultats. Retour sur les moyens existants, notamment les mécanismes de blockchains qui sont, de par leur concept, très complexes à falsifier ou à prédire. Il présente aussi plusieurs entités qui semblent pouvoir générer des nombres suffisamment aléatoires.

Enfin il passera brièvement sur plusieurs projets importants maintenus par l’EFF tels que Let’s Encrypt et les extensions pour navigateur Privacy Badger et HTTPS Everywhere.

 

Names and Security, par Paul Mockapetris

Paul Mockapetris n’est ni plus ni moins que l’homme derrière l’invention du DNS, protocole aujourd’hui vital pour toutes les technologies reposant sur des noms de domaine. Il aborde avec le recul l’incroyable croissance qu’a connue son protocole et confie qu’il n’aurait jamais pu imaginer, à l’époque, un tel développement.

Le fondateur du DNS présente, pour commencer, quelques menaces et utilisations malveillantes de son protocole telles que l’utilisation de caractères spéciaux dans les noms de domaine pour conduire des campagnes de phishing. Il est ainsi possible d’utiliser des caractères qui, une fois encodés, apparaissent presque similaires à des lettres de l’alphabet anglo-saxon à l’œil, mais dirigent en réalité vers des domaines frauduleux.

L’une des solutions pour éviter l’utilisation malveillante du protocole DNS est apparue il y a quelques années sous le nom de RPZ (Response policy zone). Ce mécanisme se base sur le projet de prévention d’abus des mails implémentant des solutions de filtrage et de blocage basées sur la réputation de certaines adresses afin de bloquer les emails frauduleux. Le fonctionnement de RPZ est similaire à celui d’un pare-feu, il est donc possible pour une entreprise, par exemple, de bloquer les domaines de mauvaise réputation ou illégaux afin de limiter les risques comme l’accès à des sites distribuant des logiciels malveillants.

Paul a terminé par une présentation du produit ThreatSTOP sur lequel il travaille et qui illustre une implémentation de ces sécurités pour le protocole DNS.

 

Collective Authorities : Transparency and Decentralized Trust at Scale, par Philip Jovanovic

SLIDES

Philip Jovanovic est chercheur en sécurité au sein de l’École Polytechnique Fédérale de Lausanne.

Sa présentation commence avec des exemples de dépendance envers des autorités :

  • serveurs NTP ;
  • serveurs DNS ;
  • autorités de certification ;
  • serveurs hébergeant les mises à jour de logiciels et d’applications mobiles.

Il est nécessaire de pouvoir faire confiance à ces autorités. Or, leur compromission peut avoir de graves conséquences :

  • redirection vers un serveur malveillant ;
  • fourniture d’un faux certificat ;
  • installation d’une version vulnérable d’un logiciel.

Philip nous rappelle que les menaces ne sont pas seulement techniques, mais également légales, en revenant sur les affaires ayant opposé le FBI à Lavabit puis à Apple (le FBI a demandé à ces deux sociétés de lui fournir des moyens techniques visant à obtenir des informations sur les utilisateurs de leurs produits).

Ces autorités représentent donc un point unique de défaillance : il suffit de les compromettre pour pouvoir distribuer des informations erronées, sans que les utilisateurs n’en aient connaissance.

Philip présente un modèle de signatures distribuées sur lequel il travaille, au travers de l’exemple de la publication par Apple d’une nouvelle mise à jour d’iOS :

  • la mise à jour est signée par Apple et plusieurs tiers de confiance indépendants, puis publiée ;
  • le client utilise un dispositif permettant d’agréger des signatures pour vérifier que cette mise à jour a bien été signée par Apple et un certain nombre de ces tiers de confiance, et ne l’installe que si c’est le cas.

Il devient ainsi beaucoup plus compliqué de distribuer de fausses informations. En effet, cela suppose de compromettre l’entité émettrice de l’information (Apple dans l’exemple) ainsi que tous les tiers de confiance.

Une première version de l’implémentation de cette méthode a été publiée sur Github.

 

Post-Quantum Cryptography, par Tanja Lange

SLIDES

Tanja est professeur de cryptologie à l’université d’Eindhoven.

Elle a commencé cette présentation en listant plusieurs exemples impliquant la cryptographie dans la vie quotidienne :

  • utilisation de cartes bancaires ;
  • consultation de sites Web en HTTPS ;
  • chiffrement des emails avec PGP ;
  • système de fichiers chiffrés de l’iPhone.

Ces exemples démontrent bien que la cryptographie occupe une place prépondérante dans le monde actuel. La sécurité des communications critiques dépend de la robustesse des algorithmes de chiffrement.

Or, une menace pèse sur ces algorithmes : l’ordinateur quantique universel.

Un ordinateur quantique universel est un ordinateur reposant sur les principes de la physique quantique, dont la conception diffère radicalement de celle des ordinateurs que nous connaissons. La caractéristique principale de ces ordinateurs est leur puissance de calcul bien supérieure à celle des ordinateurs actuels.

Des algorithmes de chiffrement aujourd’hui considérés comme robustes seraient cassés en un temps record par un ordinateur quantique. L’apparition de ce type de machines rendrait caduques toutes les mesures de chiffrement actuellement utilisées sur Internet.

D’importants efforts de recherche sont actuellement entrepris pour aboutir à la construction d’un ordinateur quantique universel, à la fois de la part d’entreprises privées et d’organismes étatiques (agences de renseignement).

Mark Ketchen, un chercheur d’IBM, estime que le premier ordinateur quantique universel pourrait voir le jour d’ici 10 ou 15 ans.

D’après Tanja, de grandes quantités de trafic chiffré seraient actuellement stockées dans le but d’être déchiffrées plus tard avec un ordinateur quantique universel.

Il est donc urgent de définir des mesures de sécurité qui résisteraient à la puissance de calcul de ces ordinateurs. Des pistes techniques allant dans ce sens ont été données en fin de présentation.

 

Encryption vs. Inspection, par Nick Sullivan

Nick Sullivan, responsable de la cryptographie chez Cloudflare, a présenté quant à lui les dangers présents sur le chiffrement des communications web de nos jours (SSL/TLS). Il retrace l’historique des protocoles SSL, puis sa succession TLS et de diverses attaques visant à défaire ou affaiblir la sécurité des échanges.

Actuellement, l’interception de trafic est de plus en plus fréquente que ce soit pour la surveillance de masse, le stockage des données échangées ou encore leur analyse. Ces données peuvent alors être utilisées à des fins commerciales ou malveillantes, raison pour laquelle il est important de s’assurer de la robustesse de nos échanges particulièrement lorsqu’il s’agit d’informations personnelles ou bancaires.

Nick recommande l’adoption des derniers protocoles TLS 1.2 ainsi que TLS 1.3 qui commencent à entrer sérieusement sur le marché, notamment encouragés et portés par des géants comme Mozilla (Firefox) et Google (Chrome). Il rappelle l’importance de ne conserver que des configurations sûres (suites de chiffrement solides, protocoles non vulnérables, etc.) et nous met en garde contre la rétrocompatibilité, qui mène souvent à des attaques de type « downgrade » visant à forcer l’utilisation de protocoles connus pour être vulnérables afin de les exploiter.

 

En bref…

Dans un format de courtes présentations, la DotSecurity est tout à fait abordable et permet de rester concentré du début à la fin, ce qui en fait une conférence adaptée à une audience de développeurs désireux de s’impliquer dans la sécurité ou à tout curieux.

 

Références


Jonathan Thirion