La Journée Sécurité des Systèmes d'Information 2017
Le sujet sera mis-à-jour dès que les slides seront disponibles !
Introduction
La JSSI est une conférence sur des sujets ayant attrait à la sécurité des systèmes d'information organisée par l'OSSIR (Observatoire de la Sécurité des Systèmes d'Information et des Réseaux) depuis, selon les archives disponibles, 2002. L'OSSIR est une des plus vieilles associations dont la création date de 1996, mais qui va chercher sa source en 1987 avec un groupe de réflexion SUR (Sécurité Unix et Réseaux). Rapidement, l'événement se déroulait cette année au FIAP Jean Monet situé dans le 14ème arrondissement de Paris. Cette année marque les 21 ans de l'association.
La JSSI est une conférence sur des sujets ayant attrait à la sécurité des systèmes d'information organisée par l'OSSIR (Observatoire de la Sécurité des Systèmes d'Information et des Réseaux) depuis, selon les archives disponibles, 2002. L'OSSIR est une des plus vieilles associations dont la création date de 1996, mais qui va chercher sa source en 1987 avec un groupe de réflexion SUR (Sécurité Unix et Réseaux). Rapidement, l'événement se déroulait cette année au FIAP Jean Monet situé dans le 14ème arrondissement de Paris. Cette année marque les 21 ans de l'association.
Le thème de cette année était: "Fuites de données: sen protéger, les détecter, les gérer"
Conférences
- 9h00-9h15 : Discours d'ouverture du président de l'OSSIR
Une brève introduction par le président de l'OSSIR, M. Jean-Philippe GAULIER, qui nous rappelle succinctement comment l'organisation s'articule et donne le mot-dièse pour cette journée #JSSI17. Une occasion de rappeler que l'OSSIR est présente aussi sur les réseaux sociaux via le twitter @OSSIRFrance mais aussi de faire connaître la chaîne YouTube de l'association où vous trouverez les revues d'actualités effectuées par les membres de l'OSSIR que je vous encourage à aller voir, c'est par ici -> https://www.youtube.com/channel/UCdw...W234-8zwDAU1Yw
- 9h15 - 9h45 : La sécurité des données, cet échec ? par M. Jean-Philippe GAULIER
Dès les premiers slides, on sent le ton donné. Il explique que le piratage n'est pas forcément sponsorisé par des états, souvent cela n'est qu'un jeu ou pour reprendre ses mots "un sport de loisir". Il parle ensuite de Sony, met en relation les multiples impacts qu'a subi la société financièrement comme l'amende, les cadeaux sous forme de jeux gratuits pour tous les utilisateurs de la plateforme plus les frais d'engagement de conseils spécialisés qui ont coûté selon lui environ $15,000 par consultant.
Commence ensuite son premier quiz à main levée; sur Julian Assange, responsable de Wikileaks, qui a divulgué les e-mails de Clinton entre-autres; sur Edward Snowden, qui en 2013, a divulgué des documents appartenant à la NSA sur la surveillance mondiale généralisée; sur Kim Dotcom, créateur du plus gros site d'hébergements de fichiers illicites et licites qui fût fermé le 19 Janvier 2012 par le FBI; sur le piratage du site de rencontres adultérines Ashley Madison.
Puis, il continue avec un deuxième quiz pour l'assistance sur quatre images: Chacune représentant une communauté: Le trône de Game of Thrones, une image de JDR, une image d'une célèbre actrice et pour finir, un peu de luxe avec un sac Louis Vuitton. Puis, il explique que grâce à ces images on peut déduire dans quels cercles évoluent des personnes de l'assistance. Voilà introduite la notion d'identité numérique.
Le présentateur montre son identité numérique, le lien de sa wishlist pour les généreux donateurs anonymes... Puis il explique ce qu'est une donnée personnelle avec une liste de données et la définition. Il rappelle l'amende pouvant être en cas de infligé qui s'élève jusqu'à 4% du CA mondial de l'entreprise ou jusqu'à 20 millions d' pour une administration.
Petit buzzword au passage, le nouvel or noir, c'est le Big Data ! Il termine la conférence en donnant des pistes pour se protéger (Sensibilisation, Formation, Authentification forte, Chiffrement, Charte, Bonnes pratiques, Analyse statique et dynamique, Détection, Prévention, AntiMalware, Antispam, Contrôle d'accès, Normes, Data Loss Prevention, Anonymisation, Ségrégation, Standards, Veille, Security Operations Center, Cryptographie, Sous-traitance, Audits, Pentests, Anti-APT, ...) Toujours dans l'optique de préserver l'éternel triptyque D.I.C. (Disponibilité, Intégrité et Confidentialité).
Commence ensuite son premier quiz à main levée; sur Julian Assange, responsable de Wikileaks, qui a divulgué les e-mails de Clinton entre-autres; sur Edward Snowden, qui en 2013, a divulgué des documents appartenant à la NSA sur la surveillance mondiale généralisée; sur Kim Dotcom, créateur du plus gros site d'hébergements de fichiers illicites et licites qui fût fermé le 19 Janvier 2012 par le FBI; sur le piratage du site de rencontres adultérines Ashley Madison.
Puis, il continue avec un deuxième quiz pour l'assistance sur quatre images: Chacune représentant une communauté: Le trône de Game of Thrones, une image de JDR, une image d'une célèbre actrice et pour finir, un peu de luxe avec un sac Louis Vuitton. Puis, il explique que grâce à ces images on peut déduire dans quels cercles évoluent des personnes de l'assistance. Voilà introduite la notion d'identité numérique.
Le présentateur montre son identité numérique, le lien de sa wishlist pour les généreux donateurs anonymes... Puis il explique ce qu'est une donnée personnelle avec une liste de données et la définition. Il rappelle l'amende pouvant être en cas de infligé qui s'élève jusqu'à 4% du CA mondial de l'entreprise ou jusqu'à 20 millions d' pour une administration.
Petit buzzword au passage, le nouvel or noir, c'est le Big Data ! Il termine la conférence en donnant des pistes pour se protéger (Sensibilisation, Formation, Authentification forte, Chiffrement, Charte, Bonnes pratiques, Analyse statique et dynamique, Détection, Prévention, AntiMalware, Antispam, Contrôle d'accès, Normes, Data Loss Prevention, Anonymisation, Ségrégation, Standards, Veille, Security Operations Center, Cryptographie, Sous-traitance, Audits, Pentests, Anti-APT, ...) Toujours dans l'optique de préserver l'éternel triptyque D.I.C. (Disponibilité, Intégrité et Confidentialité).
- 9h45 - 10h30 : Charles FOL (Ambionics Security) ; La face cachée de la XXE (XML eXternal Entity)
L'intervenant prend 2 rapides minutes pour expliquer que son entreprise commence juste à s'ouvrir au marché, forte de deux ans de travail uniquement avec les clients de la société https://www.lexfo.fr/ . Après avoir introduit en quelques slides les concepts du XML avec les différents attributs existants, il commence à nous expliquer qu'une XXE c'est un type d'attaque contre une application qui parse du XML en entrée. L'attaque intervient quand une entrée XML contient une référence vers une entité extérieure et que le parser XML qui va traiter la demande est mal configuré.
Ce type d'attaque peut mener à la divulgation de données sensibles comme les challenges NTLM, des fichiers de configurations, voire dans certains cas, on peut même envoyer des mails via SMTP. La récupération des résultats se fait de deux manières, le "In Band", vue des données ou vue des erreurs et le Out Of Band via les protocoles HTTP, FTP, DNS. Autre fait que nous énonce l'intervenant, c'est que le XML est partout, même là où on ne l'attend pas, dans un fichier Powerpoint par exemple. Il termine sa présentation en donnant des pistes de méthodes de protection, notamment avec un attribut LIBXML_DISABLE_ENTITY_LOADER(TRUE) ou encore désactiver le DTD voire pour les plus réfractaires, utiliser un autre format.
Slides: http://www.ossir.org/jssi/jssi2017/JSSI_2017_1B.pdf
Ce type d'attaque peut mener à la divulgation de données sensibles comme les challenges NTLM, des fichiers de configurations, voire dans certains cas, on peut même envoyer des mails via SMTP. La récupération des résultats se fait de deux manières, le "In Band", vue des données ou vue des erreurs et le Out Of Band via les protocoles HTTP, FTP, DNS. Autre fait que nous énonce l'intervenant, c'est que le XML est partout, même là où on ne l'attend pas, dans un fichier Powerpoint par exemple. Il termine sa présentation en donnant des pistes de méthodes de protection, notamment avec un attribut LIBXML_DISABLE_ENTITY_LOADER(TRUE) ou encore désactiver le DTD voire pour les plus réfractaires, utiliser un autre format.
Slides: http://www.ossir.org/jssi/jssi2017/JSSI_2017_1B.pdf
- 11h00 - 11h45 : Eric Barbry ; Conférence juridique sur la règlementation GDPR
Le conférencier nous rappelle la différence fondamentale entre une directive qui a le besoin d'être transposée dans la loi nationale par les états et entre le règlement qui lui, est à application immédiate. Il nous rappelle ensuite les deux dates importantes, la première, celle de l'entrée en vigueur le 24/05/2016 et la deuxième, la date tant redoutée du 25/05/2018, cependant, il indique qu'il se serait déjà vu des reports, espoirs ?
Le reste de la conférence sera sur les différents chantiers qui seront à mener pour obtenir le saint Graal, la conformité. On aura un rappel concernant les sanctions encourues en cas de non-conformité. Il rappellera ensuite que s'il y a un problème de conformité, il n'y aura pas qu'un impact financier, mais aussi sur l'image ainsi que sur la conformité. Ce qu'il faut retenir de la présentation c'est la nécessité de l'implication et qu'il ne faut surtout rien cacher aux autorités de contrôle. Je tiens à souligner aussi que la conférence était dynamique, ce qui est rare dans le domaine du droit, bravo !
Slides: http://www.ossir.org/jssi/jssi2017/J...s_DSI_RSSI.pdf
Le reste de la conférence sera sur les différents chantiers qui seront à mener pour obtenir le saint Graal, la conformité. On aura un rappel concernant les sanctions encourues en cas de non-conformité. Il rappellera ensuite que s'il y a un problème de conformité, il n'y aura pas qu'un impact financier, mais aussi sur l'image ainsi que sur la conformité. Ce qu'il faut retenir de la présentation c'est la nécessité de l'implication et qu'il ne faut surtout rien cacher aux autorités de contrôle. Je tiens à souligner aussi que la conférence était dynamique, ce qui est rare dans le domaine du droit, bravo !
Slides: http://www.ossir.org/jssi/jssi2017/J...s_DSI_RSSI.pdf
- 11h45 - 12h30 : Stéphane Py (Orange) ; Retour d'expérience sur la gestion d'une fuite de données majeure
L'intervenant explique le contexte de sa crise: Une faille sur l'interface de gestion des clients, le portail Orange.
Un peu de chronologie: le dimanche 12 Janvier détection d'attaques, gestion technique (comprendre "simple réponse à incident"). Puis le mercredi 15 Janvier, nouvelles attaques. Cette fois-ci, l'équipe SOC remarque quelque chose d’inhabituel dans la formation des requêtes. Passage en Crise le 16 Janvier.
Pendant deux semaines, Orange investigue, déclare une première fois à la CNIL, effectue une déclaration complémentaire, prépare ses communications internes et externes (chaque employé d'Orange devait savoir quoi répondre, Q&A disponibles). Le Mercredi 29 et 30 Janvier, Orange offre la fraîcheur de l'information à un journal et notifie ses clients. Le 02 Février, dépêche AFP, médiatisation de masse (passage au 20H), communication, réponses, il faut répondre aux multiples interrogations. Le 06 Février, la fin de la crise.
Les enseignements à en tirer: Préparation nécessaire, jouer les simulations, mettre à jour les processus; beaucoup de personnes à amener à travailler ensemble; lourdes contraintes notamment sur la déclaration et l'information client; une bonne aventure mais prenante. En une phrase: Entraînez-vous !
Slides: http://www.ossir.org/jssi/jssi2017/J...es_majeure.pdf
Un peu de chronologie: le dimanche 12 Janvier détection d'attaques, gestion technique (comprendre "simple réponse à incident"). Puis le mercredi 15 Janvier, nouvelles attaques. Cette fois-ci, l'équipe SOC remarque quelque chose d’inhabituel dans la formation des requêtes. Passage en Crise le 16 Janvier.
Pendant deux semaines, Orange investigue, déclare une première fois à la CNIL, effectue une déclaration complémentaire, prépare ses communications internes et externes (chaque employé d'Orange devait savoir quoi répondre, Q&A disponibles). Le Mercredi 29 et 30 Janvier, Orange offre la fraîcheur de l'information à un journal et notifie ses clients. Le 02 Février, dépêche AFP, médiatisation de masse (passage au 20H), communication, réponses, il faut répondre aux multiples interrogations. Le 06 Février, la fin de la crise.
Les enseignements à en tirer: Préparation nécessaire, jouer les simulations, mettre à jour les processus; beaucoup de personnes à amener à travailler ensemble; lourdes contraintes notamment sur la déclaration et l'information client; une bonne aventure mais prenante. En une phrase: Entraînez-vous !
Slides: http://www.ossir.org/jssi/jssi2017/J...es_majeure.pdf
- 14h00 - 14h45 : Marc-Frédéric Gomez ; Détection d'une fuite de données, Gestion de crise, et Plan d'action pour revenir à une situation normale
Conformément à la demande de l'intervenant, pas de photos, ni d'article.
- 14h45 - 15h30 : YesWeHack ; Conférence sur le Bug Bounty
Présentation de l'intervenant, CEO de BountyFactory.io qui présente ce qu'est un programme de bug bounty: A la différence de l'audit qu'on paye forfaitairement, payer des gens contre des vulnérabilités remontées uniquement si elles sont validées c'est du BugBounty. Le succès de cette plateforme n'a rien d’exceptionnel comme le souligne son CEO, il existait ce service aux États-Unis, pourquoi pas alors en France ? C'est désormais chose faite. S'en suit une longue discussion sur les Duplicates, qui arrive quand deux chercheurs remontent la même vulnérabilité. Dans ces cas-là, le premier gagnera des points et la récompense, mais le second va gagner des points aussi, dans une moindre mesure par contre. Mais, si le deuxième chercheur a remonté la vulnérabilité en décrivant mieux celle-ci dans le rapport, il peut alors aussi recevoir une récompense et des points supplémentaires.
Chose intéressante qui apparaîtra dans les questions: Si un chercheur travaille pour l'entreprise A et qu'il sait que son entreprise a un programme de bug bounty, comment s'assurer qu'il ne va pas déclarer la vulnérabilité au Bug Bounty pour gagner de l'argent au détriment évident de son employeur ? La réponse est très simple, il n'y a aucun contrôle, c'est l'éthique de la personne. Au moins un cabinet de SSI parisien, lui a fait son choix, ses employés, s'ils souhaitent faire du Bug bounty, c'est dans le programme Bug Bounty du cabinet et pas ailleurs et cela défini de manière contractuelle. Autre point intéressant, la relation contractuelle entre l'entreprise, la plateforme et le chercheur ? L'entreprise est lié contractuellement à la plateforme, la plateforme au chercheur, s'il y a conflit juridique, la plateforme se réserve le droit de poursuivre les parties concernées.
Plus d'informations sur le Bug Bounty grâce à nos confrères de NoLimitSecu : ici
Slides: http://www.ossir.org/jssi/jssi2017/J...AsAService.pdf
Chose intéressante qui apparaîtra dans les questions: Si un chercheur travaille pour l'entreprise A et qu'il sait que son entreprise a un programme de bug bounty, comment s'assurer qu'il ne va pas déclarer la vulnérabilité au Bug Bounty pour gagner de l'argent au détriment évident de son employeur ? La réponse est très simple, il n'y a aucun contrôle, c'est l'éthique de la personne. Au moins un cabinet de SSI parisien, lui a fait son choix, ses employés, s'ils souhaitent faire du Bug bounty, c'est dans le programme Bug Bounty du cabinet et pas ailleurs et cela défini de manière contractuelle. Autre point intéressant, la relation contractuelle entre l'entreprise, la plateforme et le chercheur ? L'entreprise est lié contractuellement à la plateforme, la plateforme au chercheur, s'il y a conflit juridique, la plateforme se réserve le droit de poursuivre les parties concernées.
Plus d'informations sur le Bug Bounty grâce à nos confrères de NoLimitSecu : ici
Slides: http://www.ossir.org/jssi/jssi2017/J...AsAService.pdf
- 15h50 - 16h35 : Jean-Christophe Delaunay (Synacktiv) ; Extraction hors-ligne des secrets protégés par la DPAPI
Je ne ferai pas l'affront de présenter une nouvelle fois Synacktiv, cabinet de SSI parisien connu pour son côté Redteam et ses publications. Cette fois, JCD présente un talk très technique où il va parler tour à tour de librairies, de fonction de cryptographie, un petit coucou à mimikatz (salut gentilkiwi). DPAPI pour Data Protection Application Programming Interface, c'est une API qui va permettre au développeur très simplement de chiffrer avec son application en passant par deux fonctions CryptProtectData et CryptUnprotectData contenues dans crypt32.dll. Le développeur va soumettre son blob binaire à l'API qui va contacter le processus lsass.exe via un call RPC sécurisé et va retourner un blob chiffré que l'application doit choisir où stocker ensuite,DPAPI étant le moyen, pas le stockage. Ensuite, le présentateur nous explique que jusqu'à Windows 2000 il est trivial de récupérer les secrets de DPAPI et dans une moindre mesure aujourd'hui aussi, si la machine est compromise. Petits trucs sympa, le fichier %appdata%/roaming/microsoft/Protect/CREDHIST contient tous vos anciens mots de passe. Pas loin de celui-ci, vous avez le répertoire Credentials qui va vous permettre d'accéder aux formats chiffrés des identifiants et MDP qui sont enregistrés via Edge ou Internet Explorer. Il y a aussi un répertoire VAULT (ce n'est pas la CIA cette fois ). Place à la démonstrations technique où JCD nous démontre via un outil développé en interne nommé DPAPEACE , qui sera distribué quand le code sera nettoyé, qu'il est très facile d'extraire les identifiants, mots de passe, et URL correspondants. Il est intéressant de noter que beaucoup d'applications utilisent DPAPI (GTalk, Dropbox, iCloud, etc)
Slides: http://www.synacktiv.ninja/ressource..._Synacktiv.pdf
Slides: http://www.synacktiv.ninja/ressource..._Synacktiv.pdf
- 16h35 - 17h20 : Mahdi BRAIK (Wavestone) ; Big data : sécurité des environnements Hadoop
L'intervenant explique l'écosystème Hadoop, avec ses multiples couches. S'en suit la présentation succincte des services et du big data. Puis, on passe sur la surface d'attaque de Hadoop qui est extraordinaire. Une sécurité par défaut inexistante, kerberos est proposé mais, il y a un mais, on peut abuser du mode d'authentification simple.Sans compter qu'on peut consulter l'ensemble du cluster via un explorer en ligne via plusieurs interfaces et ports. Puis, l'intervenant démontre qu'on peut utiliser ces mauvaises configurations pour pouvoir accéder à la racine ou encore exploiter la machine via un meterpreter. On voit donc que les "datalake" comme Hadoop ont grandement besoin de repenser leur sécurité par défaut. Surtout que certains sont déjà référencés sur SHODAN...
Slides: http://www.ossir.org/jssi/jssi2017/J...oop_-_v1.0.pdf
AmbianceSlides: http://www.ossir.org/jssi/jssi2017/J...oop_-_v1.0.pdf
Très bonne ambiance à la JSSI, un cadre d'accueil agréable, le tout ponctué de pauses café et croissants, rien à redire. L'organisation a même réussi à trouver des repas pour les inscrits de dernière minute, bravo ! Le repas du midi était bon. Plein de bonnes rencontres ! Bravo aux membres de l'organisation qui ont bien travaillé pour nous offrir cette journée! Bravo aussi à tous les speakers pour leur partage de connaissances !
Le mot de la fin
La JSSI c'est une très bonne expérience que je reconduirais certainement l'année prochaine ou lorsque j'irai faire un tour à une revue d'actualité !
Podcast de NoLimitSecu sur le sujet:
https://www.nolimitsecu.fr/jssi-2017/
Commentaire