XMCO était présent lors de la nouvelle édition de la JSSI organisée par l’OSSIR durant une journée.
Cette année, le thème de l’innovation était abordé par plusieurs conférenciers sur des sujets divers comme le datamining, les faiblesses concernant des aspects juridiques de la RGPD, le business lié à la rétro-ingénierie ainsi que la présentation de différents outils et des retours d’expérience.
[distance1]Programme de la JSSI
La réunion courante du 19 mars était composée des présentations suivantes :
- Une vision sur l’innovation dans la sécurité par Yassir Kazar (YOGOSHA)
- Ping Castle : Quand un projet de sécurisation Active Directory sort du cadre par Vincent Le Toux (PING CASTLE)
- Du reverse engineering à l’ingénierie logicielle par Marion Videau (QUARKSLAB)
- Datamining et cybersécurité par Michel Dubois (LA POSTE)
- Smart security : aspects juridiques par Eric Barbry (RACINE)
- Techniques modernes pour les tests d’intrusion par Thomas Debize (WAVESTONE)
- Le radar des start-ups cybersécurité par Jules Haddad et Gabriel Amirault (WAVESTONE)
[distance1]Une vision sur l’innovation dans la sécurité
Yassir Kazar, fondateur de la plate-forme de bug bounty Yogosha, a profité de cette conférence afin de proposer sa vision sur le rôle de l’innovation dans la sécurité.
Le conférencier a expliqué que celle-ci mettait et maintenait en mouvement la machine capitaliste, le coût marginal devant être réduit au plus proche de zéro, et que celle-ci était actuellement disruptive pour l’être humain.
En effet, durant cette présentation, celui-ci a précisé que l’innovation serait actuellement tellement rapide que l’être humain s’orienterait de plus en plus sur l’intelligence artificielle pour pouvoir la suivre.
Cependant, il a indiqué que l’intelligence artificielle serait un abus de langage et correspondrait plus à une capacité de stockage et une puissance de calcul.
Ensuite, le conférencier a expliqué que la gestion de projets devait évoluer et suivre l’innovation, que les managers devaient principalement s’adapter aux outils collaboratifs.
Les méthodes agiles seraient d’après lui mieux adaptées pour du rapid delivery plutôt que des projets de type « cycle en V » et les développeurs auraient compris ce concept de disruption.
Celui-ci est revenu ensuite sur les addictions et les dérives liées à la technologie, notamment les notifications sur téléphone.
Il a précisé que les technologies modifieraient l’être humain, des études auraient notamment démontré que la zone du cerveau du cortex somato-sensoriel réagirait et se développerait de façon proportionnelle en fonction de l’utilisation d’écrans tactiles.
Il a également évoqué le thème du « trolling » présent sur internet, apparu sur le réseau Usenet en 1992, expression principalement utilisée par des personnes nommées « trolls » créant artificiellement une controverse permettant de focaliser l’attention aux dépens des échanges et de l’équilibre habituel d’une communauté.
Le conférencier a expliqué que l’innovation impacterait également la psychologie des personnes derrière un écran, les conversations deviendraient de plus en plus anxiogènes sur les réseaux sociaux et il serait maintenant de plus en plus difficile d’analyser une personne pour deviner ses traits de caractère.
Le quotidien est également impacté par l’innovation, en reprenant quelques exemples notamment la série à succès « Black Mirror », il a expliqué que nous utilisons actuellement de plus en plus d’objets connectés comme des voitures, réfrigérateurs et autres, communicants via internet et des dérives pourraient voir le jour.
Il a cité à ce moment-là de possibles fuites d’informations en prenant l’exemple d’un réfrigérateur appartenant à un diabétique et pouvant potentiellement lui refuser du sucre ou simplement divulguer à d’autres ses données médicales par simple autonomie.
Pour finir, le conférencier a conclu que l’intelligence artificielle devrait principalement aider à la décision et être considérée comme un outil.
[distance1]Ping Castle : Quand un projet de sécurisation Active Directory sort du cadre
Vincent le Toux a présenté un retour d’expérience sur le développement de son outil « Ping Castle » et de sa société.
Cet outil est capable d’auditer les composants Active Directory afin de produire des rapports et des indicateurs à destination des RSSI.
L’idée de développer un tel outil lui serait venue lors d’un projet de sécurisation de nombreux AD au sein de son ancienne entreprise. À l’époque, aucun outil ne répondait à ses attentes. Vincent avait besoin d’un outil rapide, utilisable simplement, sans avoir besoin de beaucoup privilèges et pouvant produire des rapports « utilisables ».
Avant de commencer les développements, Vincent s’est inspiré du guide de l’ANSSI (même s’il l’a trouvé limité sur certains points comme les problèmes liés au compte « krbtgt ») puis a testé plusieurs outils notamment « BTA », un outil développé par Airbus. Il a également testé « AD Controls Path » développé par l’ANSSI, mais aucun des deux ne répondait à ses attentes (analyse du fichier « ntds.dit » requise ou outil instable).
Il aurait donc décidé de travailler sur son outil durant deux ans en suivant de bonnes pratiques et aurait réussi à avoir un script fiable et fonctionnel en 6 mois.
L’outil Ping Castle est développé en C# et serait capable de produire un rapport d’Active Directory avec une cartographie complète de tout le périmètre audité.
Une version gratuite est disponible, mais également une version payante qui inclurait plus de fonctionnalités permettant de faciliter la production de rapports ainsi qu’un support.
[distance1]Du reverse engineering à l’ingénierie logicielle
Marion Videau accompagnée de Frédéric Raynal a présenté un retour d’expérience de leurs méthodes de recherche et d’innovation en matière de vulnérabilités via le Fuzzing ainsi que la production d’outils internes.
D’après eux, l’être humain se serait trop basé sur la résolution de problèmes, mais pas assez sur les finalités attendues en prenant comme référence les malwares polymorphes.
Ils ont précisé que beaucoup d’études ont été menées dessus, mais que celles-ci ne servaient que dans de rares cas actuellement.
Ils ont ensuite expliqué que le Fuzzing serait une méthode intéressante pour rechercher des vulnérabilités, mais qu’il serait dorénavant beaucoup plus complexe que de vérifier les entrées et sorties d’un programme.
Plusieurs multinationales, dont Google, se seraient lancées dans la découverte de vulnérabilités, et il serait donc compliqué d’avoir l’exclusivité.
Ils auraient donc réfléchi à des solutions et auraient opté pour développer de meilleurs outils ainsi que de meilleures idées en suivant de bonnes pratiques.
D’après eux, un nouvel outil serait intéressant à partir du moment où il serait multiplateforme, flexible, efficace, robuste et surtout maintenu et documenté.
Or, ils se seraient heurtés à un problème, un expert en sécurité ne serait pas en mesure de produire des développements d’applications de façon aussi professionnelle qu’un développeur en maintenant et en documentant son code.
Et inversement, un développeur n’aurait pas les connaissances nécessaires pour savoir quel type de données insérer ni comment analyser le comportement des applications auditées.
Quarkslab aurait développé trois outils en interne notamment LIEF, Triton et QDBI (à eux trois 2200 jours en temps de développement) et aurait innové sur leurs méthodes de recherche.
Ils auraient récemment découvert 350 vulnérabilités non corrigées sur Android en produisant une corrélation de données sur des bulletins de sécurité.
Ils ont également précisé avoir innové concernant leurs méthodes de Fuzzing en détectant et en filtrant les crashs les plus intéressants tout en utilisant l’exécution symbolique.
Cependant, pour développer des outils en recherche et développement, les conférenciers ont expliqué avoir également rencontré des problèmes pour développer un outil d’obfuscation.
Ils ont expliqué qu’il est nécessaire d’avoir des fonds pour faire de la recherche et du développement et ont donc trouvé des subventions notamment via le Régime d’Appui Pour l’Innovation Duale (RAPID) de la Direction Générale de l’Armement (DGA), des investisseurs et des fonds privés.
Ils ont précisé avoir eu besoin de mettre en place un Business Model et ont opté pour l’abonnement par licence après avoir intégré les commerciaux bien trop tard dans le projet.
D’après eux, il fallait que la solution soit testée et également facilement implémentable dans des solutions existantes, ils ont donc opté pour que celle-ci soit un plug-in de LLVM, une solution permettant la portabilité du code.
Pour tester la solution, Quarkslab a ensuite développé des challenges de sécurité en incluant celle-ci et a pu obtenir des métriques par rapport aux compétences de leurs propres ingénieurs.
Enfin les conférenciers ont expliqué que la psychologie des collaborateurs était également importante et ont recommandé la lecture du document « Google’s Hybrid Approach to Research ».
[distance1]Datamining et cybersécurité
Michel Dubois, responsable du département cybersécurité du groupe La Poste, a présenté dans cette conférence un cas concret d’utilisation du datamining.
Selon lui, trop de données seraient à traiter actuellement, le numérique ayant pris le dessus sur l’analogique à partir de 2002. L’intelligence artificielle existerait, mais serait fictive et représenterait plus une capacité de stockage et une puissance de calcul pour réaliser des statistiques.
Durant sa conférence, il a expliqué que l’apprentissage automatique de celle-ci serait en réalité un ensemble de conditions informatiques.
Il a notamment expliqué que le datamining permettait de prédire des résultats en classifiant des données et ainsi en extraire la connaissance.
Il a ensuite présenté plusieurs outils permettant de partitionner, de produire des régressions, des prédictions et des associations sur des données brutes.
Le conférencier a expliqué que le groupe La Poste a eu un besoin d’implémenter des solutions de sécurité sur leur service mail « laposte.net ».
Certains pirates se seraient servis de leur service pour créer massivement des adresses email “La Poste” et ainsi réaliser des campagnes de spam.
Le conférencier a donc expliqué que le groupe a mis en place un SOC en utilisant le machine learning pour détecter le spam, mais également ces créations massives à la façon de géants comme Google et Cisco.
La solution complète serait actuellement déployée sur le service, mais le conférencier a également expliqué qu’il est probable que des pirates évoluent par la suite pour contrer ces solutions via du machine learning à leur tour et que les capteurs peuvent également être piégés via des brouilleurs.
Pour finir, celui-ci a expliqué que toutes les données ne sont pas forcément corrélables et que l’intelligence artificielle devrait être considérée comme une aide à la décision.
[distance1]Smart security : aspects juridiques
Éric Barbry, associé du cabinet d’avocats « Racine » a présenté une analyse des textes de lois concernant le RGPD ainsi que ses aspects juridiques et nous a expliqué de façon ironique la notion de « smart sécurité ».
Le conférencier a notamment expliqué que les articles concernant le RGPD ne sont pas réellement explicites.
D’après lui, la CNIL serait actuellement en mesure de pénaliser toute personne morale, les textes n’étant pas en mesure de définir clairement les précautions à prendre contre les différents degrés de menaces.
Il a également précisé qu’on pouvait retrouver des termes comme « y compris, entre autres » dans les articles et que les entreprises doivent appliquer une « smart sécurité » ou plutôt s’adapter et tenter de corriger ce que les textes ne précisent pas.
Le conférencier est ensuite revenu sur les amendes infligées à de grands groupes comme Uber, Dailymotion, Bouygues Telecom, Darty et Optical Center.
Il a expliqué qu’il fallait prendre en compte la réparation du préjudice en plus de l’amende potentielle et que cela correspondait à une double peine conséquente.
Le conférencier a indiqué avoir analysé les textes de loi et élaboré des bonnes pratiques pour faire de la “smart sécurité”.
Celui-ci a expliqué que les responsables doivent faire attention à l’article 9 qui correspond à la nature des données, notamment les informations personnelles sur la religion, le groupe ethnique d’une personne, mais également d’autres informations comme les données concernant sa santé et appliquer des mesures conséquentes sur ce type de données.
Il a également précisé que se servir de l’incompétence comme excuse n’était pas valable, un responsable se devant de respecter le RGPD malgré les lacunes dans les petites et moyennes entreprises et qu’il faut à minima être en capacité de prouver une mise en conformité.
Il a également indiqué que même avec un budget relativement faible, un responsable se doit de faire de la smart sécurité et donc de protéger ses données en calculant un ratio du coût du projet par rapport au coût de la sécurité et ainsi obtenir un retour sur investissement (ROI).
La discrimination positive serait également à proscrire comme collecter des données ethniques et que le RGPD est international, le fait de délocaliser ce type de données sur des serveurs en dehors de l’Union Européenne ne permet pas de s’en prémunir.
Pour finir, il a indiqué que des dérives peuvent également avoir lieu en demandant au préalable un droit d’expérimentation à la CNIL, il a cité à ce moment-là le dispositif de reconnaissance faciale de la ville de Nice.
En effet, d’après lui, la CNIL ne serait pas en mesure à l’heure actuelle de répondre dans des délais relativement courts et plusieurs entités auraient donc pu exploiter cette faiblesse.
[distance1]Techniques modernes pour les tests d’intrusion
Thomas Debize de la société Wavestone est revenu durant cette conférence sur l’évolution des méthodes pour réaliser des tests d’intrusion.
Il a expliqué qu’il est maintenant possible de scanner toutes les adresses ipv4 d’internet en quelques minutes et que différents outils sont accessibles pour faire des recherches par critères dessus notamment Census en 2012, mais également d’autres outils plus récents comme Zmap, Masscan, Unicornscan, Shodan, ZoomEye, Scans.io et Censys.io.
Il serait également possible de réaliser son propre équivalent Shodan via des outils comme recon-ng, domaintools, pastebin, Ihavebeenpwned, certificate transparency et bien d’autres et que cela permettait de faciliter la recherche en sources ouvertes.
Pour la cartographie, il a fait référence à d’autres outils notamment Powerview, Bloodhound et Ping Castle.
Concernant l’exploitation et la post-exploitation, il a également suggéré CrackMapExec, Responder, Mimikatz, Empire et Impacket.
Le conférencier a ensuite donné quelques conseils pour réaliser des tests d’intrusion, notamment utiliser le format CSV via des outils comme CSVKit et Daitaiku DSS et a présenté deux outils qu’il a développé comme Nmaptocsv et Webscrenshot, un outil permettant de prendre des screenshots d’une liste prédéfinie de sites internet.
Enfin, il a recommandé d’utiliser des langages de programmation comme Jython et Ironpython ainsi que l’outil de rétro-ingénierie Frida.
[distance1]Le radar des start-ups cybersécurité
Durant cette conférence, Jules Haddad et Gabriel Amirault de la société Wavestone ont présenté leur radar des start-ups en cybersécurité.
Les conférenciers ont expliqué lister les start-ups ayant leur siège exclusivement en France avec moins de 35 employés et moins de 7 ans d’existence.
À partir de ce filtrage, ils ont catégorisé les différentes start-ups par niveau d’innovation, réputation, maturité de la structure, qualité de la communication et si celles-ci étaient en adéquation avec le marché.
D’après eux, le nombre de start-ups aurait augmenté de 29 % depuis 2017, elles seraient actuellement 129 dont 57 % à Paris sans compter les start-ups spécialisées RGPD qu’ils ont retiré.
Ils ont estimé à 1100 emplois directs nouvellement créé soit 10 % de plus principalement à Paris, Rennes et Lyon.
Les conférenciers ont ensuite expliqué que deux tiers (70%) des start-ups réinventent la roue , 19 % créer de l’innovation et 11 % accompagne la transition digitale.
Les start-ups intéressantes orienteraient leurs activités sur le chiffrement dans le cloud, la sécurité industrielle et la blockchain.
Ils ont ensuite présenté un comparatif avec d’autres pays comme Israël qui comporte actuellement 450 start-ups pour 12 millions d’habitants et expliquerait ce chiffre par le manque d’incubateurs et le manque de maturité en France, mais également par le manque de fonds dédiés.
Ils ont estimé à seulement 5 % des start-ups françaises auraient été en liquidation, mais que les autres resteraient sur un nombre constant d’employés et ne dépasseraient pas les 35 collaborateurs.
Références
https://www.ossir.org/
https://www.ossir.org/jssi/index/jssi-2019.shtml
Image de couverture : le logo est la propriété exclusive de l’Observatoire de la Sécurité des Systèmes d’Information et Réseaux (OSSIR).
