Annonce

Rduire
Aucune annonce.

Retour sur la JSSI 2017

Rduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Retour sur la JSSI 2017

    La Journe Scurit des Systmes d'Information 2017


    Le sujet sera mis--jour ds que les slides seront disponibles !
    Introduction

    La JSSI est une confrence sur des sujets ayant attrait la scurit des systmes d'information organise par l'OSSIR (Observatoire de la Scurit des Systmes d'Information et des Rseaux) depuis, selon les archives disponibles, 2002. L'OSSIR est une des plus vieilles associations dont la cration date de 1996, mais qui va chercher sa source en 1987 avec un groupe de rflexion SUR (Scurit Unix et Rseaux). Rapidement, l'vnement se droulait cette anne au FIAP Jean Monet situ dans le 14me arrondissement de Paris. Cette anne marque les 21 ans de l'association.

    Le thme de cette anne tait: "Fuites de donnes: s’en protger, les dtecter, les grer"

    Confrences
    • 9h00-9h15 : Discours d'ouverture du prsident de l'OSSIR

    Une brve introduction par le prsident de l'OSSIR, M. Jean-Philippe GAULIER, qui nous rappelle succinctement comment l'organisation s'articule et donne le mot-dise pour cette journe #JSSI17. Une occasion de rappeler que l'OSSIR est prsente aussi sur les rseaux sociaux via le twitter @OSSIRFrance mais aussi de faire connatre la chane YouTube de l'association o vous trouverez les revues d'actualits effectues par les membres de l'OSSIR que je vous encourage aller voir, c'est par ici -> https://www.youtube.com/channel/UCdw...W234-8zwDAU1Yw
    • 9h15 - 9h45 : La scurit des donnes, cet chec ? par M. Jean-Philippe GAULIER

    Ds les premiers slides, on sent le ton donn. Il explique que le piratage n'est pas forcment sponsoris par des tats, souvent cela n'est qu'un jeu ou pour reprendre ses mots "un sport de loisir". Il parle ensuite de Sony, met en relation les multiples impacts qu'a subi la socit financirement comme l'amende, les cadeaux sous forme de jeux gratuits pour tous les utilisateurs de la plateforme plus les frais d'engagement de conseils spcialiss qui ont cot selon lui environ $15,000 par consultant.
    Commence ensuite son premier quiz main leve; sur Julian Assange, responsable de Wikileaks, qui a divulgu les e-mails de Clinton entre-autres; sur Edward Snowden, qui en 2013, a divulgu des documents appartenant la NSA sur la surveillance mondiale gnralise; sur Kim Dotcom, crateur du plus gros site d'hbergements de fichiers illicites et licites qui ft ferm le 19 Janvier 2012 par le FBI; sur le piratage du site de rencontres adultrines Ashley Madison.
    Puis, il continue avec un deuxime quiz pour l'assistance sur quatre images: Chacune reprsentant une communaut: Le trne de Game of Thrones, une image de JDR, une image d'une clbre actrice et pour finir, un peu de luxe avec un sac Louis Vuitton. Puis, il explique que grce ces images on peut dduire dans quels cercles voluent des personnes de l'assistance. Voil introduite la notion d'identit numrique.
    Le prsentateur montre son identit numrique, le lien de sa wishlist pour les gnreux donateurs anonymes... Puis il explique ce qu'est une donne personnelle avec une liste de donnes et la dfinition. Il rappelle l'amende pouvant tre en cas de inflig qui s'lve jusqu' 4% du CA mondial de l'entreprise ou jusqu' 20 millions d'€ pour une administration.

    Petit buzzword au passage, le nouvel or noir, c'est le Big Data ! Il termine la confrence en donnant des pistes pour se protger (Sensibilisation, Formation, Authentification forte, Chiffrement, Charte, Bonnes pratiques, Analyse statique et dynamique, Dtection, Prvention, AntiMalware, Antispam, Contrle d'accs, Normes, Data Loss Prevention, Anonymisation, Sgrgation, Standards, Veille, Security Operations Center, Cryptographie, Sous-traitance, Audits, Pentests, Anti-APT, ...) Toujours dans l'optique de prserver l'ternel triptyque D.I.C. (Disponibilit, Intgrit et Confidentialit).
    • 9h45 - 10h30 : Charles FOL (Ambionics Security) ; La face cache de la XXE (XML eXternal Entity)
    L'intervenant prend 2 rapides minutes pour expliquer que son entreprise commence juste s'ouvrir au march, forte de deux ans de travail uniquement avec les clients de la socit https://www.lexfo.fr/ . Aprs avoir introduit en quelques slides les concepts du XML avec les diffrents attributs existants, il commence nous expliquer qu'une XXE c'est un type d'attaque contre une application qui parse du XML en entre. L'attaque intervient quand une entre XML contient une rfrence vers une entit extrieure et que le parser XML qui va traiter la demande est mal configur.

    Ce type d'attaque peut mener la divulgation de donnes sensibles comme les challenges NTLM, des fichiers de configurations, voire dans certains cas, on peut mme envoyer des mails via SMTP. La rcupration des rsultats se fait de deux manires, le "In Band", vue des donnes ou vue des erreurs et le Out Of Band via les protocoles HTTP, FTP, DNS. Autre fait que nous nonce l'intervenant, c'est que le XML est partout, mme l o on ne l'attend pas, dans un fichier Powerpoint par exemple. Il termine sa prsentation en donnant des pistes de mthodes de protection, notamment avec un attribut LIBXML_DISABLE_ENTITY_LOADER(TRUE) ou encore dsactiver le DTD voire pour les plus rfractaires, utiliser un autre format.

    Slides: http://www.ossir.org/jssi/jssi2017/JSSI_2017_1B.pdf
    • 11h00 - 11h45 : Eric Barbry ; Confrence juridique sur la rglementation GDPR
    Le confrencier nous rappelle la diffrence fondamentale entre une directive qui a le besoin d'tre transpose dans la loi nationale par les tats et entre le rglement qui lui, est application immdiate. Il nous rappelle ensuite les deux dates importantes, la premire, celle de l'entre en vigueur le 24/05/2016 et la deuxime, la date tant redoute du 25/05/2018, cependant, il indique qu'il se serait dj vu des reports, espoirs ?
    Le reste de la confrence sera sur les diffrents chantiers qui seront mener pour obtenir le saint Graal, la conformit. On aura un rappel concernant les sanctions encourues en cas de non-conformit. Il rappellera ensuite que s'il y a un problme de conformit, il n'y aura pas qu'un impact financier, mais aussi sur l'image ainsi que sur la conformit. Ce qu'il faut retenir de la prsentation c'est la ncessit de l'implication et qu'il ne faut surtout rien cacher aux autorits de contrle. Je tiens souligner aussi que la confrence tait dynamique, ce qui est rare dans le domaine du droit, bravo !

    Slides: http://www.ossir.org/jssi/jssi2017/J...s_DSI_RSSI.pdf
    • 11h45 - 12h30 : Stphane Py (Orange) ; Retour d'exprience sur la gestion d'une fuite de donnes majeure
    L'intervenant explique le contexte de sa crise: Une faille sur l'interface de gestion des clients, le portail Orange.
    Un peu de chronologie: le dimanche 12 Janvier dtection d'attaques, gestion technique (comprendre "simple rponse incident"). Puis le mercredi 15 Janvier, nouvelles attaques. Cette fois-ci, l'quipe SOC remarque quelque chose dinhabituel dans la formation des requtes. Passage en Crise le 16 Janvier.
    Pendant deux semaines, Orange investigue, dclare une premire fois la CNIL, effectue une dclaration complmentaire, prpare ses communications internes et externes (chaque employ d'Orange devait savoir quoi rpondre, Q&A disponibles). Le Mercredi 29 et 30 Janvier, Orange offre la fracheur de l'information un journal et notifie ses clients. Le 02 Fvrier, dpche AFP, mdiatisation de masse (passage au 20H), communication, rponses, il faut rpondre aux multiples interrogations. Le 06 Fvrier, la fin de la crise.

    Les enseignements en tirer: Prparation ncessaire, jouer les simulations, mettre jour les processus; beaucoup de personnes amener travailler ensemble; lourdes contraintes notamment sur la dclaration et l'information client; une bonne aventure mais prenante. En une phrase: Entranez-vous !

    Slides: http://www.ossir.org/jssi/jssi2017/J...es_majeure.pdf
    • 14h00 - 14h45 : Marc-Frdric Gomez ; Dtection d'une fuite de donnes, Gestion de crise, et Plan d'action pour revenir une situation normale
    Conformment la demande de l'intervenant, pas de photos, ni d'article.
    • 14h45 - 15h30 : YesWeHack ; Confrence sur le Bug Bounty
    Prsentation de l'intervenant, CEO de BountyFactory.io qui prsente ce qu'est un programme de bug bounty: A la diffrence de l'audit qu'on paye forfaitairement, payer des gens contre des vulnrabilits remontes uniquement si elles sont valides c'est du BugBounty. Le succs de cette plateforme n'a rien dexceptionnel comme le souligne son CEO, il existait ce service aux tats-Unis, pourquoi pas alors en France ? C'est dsormais chose faite. S'en suit une longue discussion sur les Duplicates, qui arrive quand deux chercheurs remontent la mme vulnrabilit. Dans ces cas-l, le premier gagnera des points et la rcompense, mais le second va gagner des points aussi, dans une moindre mesure par contre. Mais, si le deuxime chercheur a remont la vulnrabilit en dcrivant mieux celle-ci dans le rapport, il peut alors aussi recevoir une rcompense et des points supplmentaires.
    Chose intressante qui apparatra dans les questions: Si un chercheur travaille pour l'entreprise A et qu'il sait que son entreprise a un programme de bug bounty, comment s'assurer qu'il ne va pas dclarer la vulnrabilit au Bug Bounty pour gagner de l'argent au dtriment vident de son employeur ? La rponse est trs simple, il n'y a aucun contrle, c'est l'thique de la personne. Au moins un cabinet de SSI parisien, lui a fait son choix, ses employs, s'ils souhaitent faire du Bug bounty, c'est dans le programme Bug Bounty du cabinet et pas ailleurs et cela dfini de manire contractuelle. Autre point intressant, la relation contractuelle entre l'entreprise, la plateforme et le chercheur ? L'entreprise est li contractuellement la plateforme, la plateforme au chercheur, s'il y a conflit juridique, la plateforme se rserve le droit de poursuivre les parties concernes.

    Plus d'informations sur le Bug Bounty grce nos confrres de NoLimitSecu : ici

    Slides: http://www.ossir.org/jssi/jssi2017/J...AsAService.pdf
    • 15h50 - 16h35 : Jean-Christophe Delaunay (Synacktiv) ; Extraction hors-ligne des secrets protgs par la DPAPI
    Je ne ferai pas l'affront de prsenter une nouvelle fois Synacktiv, cabinet de SSI parisien connu pour son ct Redteam et ses publications. Cette fois, JCD prsente un talk trs technique o il va parler tour tour de librairies, de fonction de cryptographie, un petit coucou mimikatz (salut gentilkiwi). DPAPI pour Data Protection Application Programming Interface, c'est une API qui va permettre au dveloppeur trs simplement de chiffrer avec son application en passant par deux fonctions CryptProtectData et CryptUnprotectData contenues dans crypt32.dll. Le dveloppeur va soumettre son blob binaire l'API qui va contacter le processus lsass.exe via un call RPC scuris et va retourner un blob chiffr que l'application doit choisir o stocker ensuite,DPAPI tant le moyen, pas le stockage. Ensuite, le prsentateur nous explique que jusqu' Windows 2000 il est trivial de rcuprer les secrets de DPAPI et dans une moindre mesure aujourd'hui aussi, si la machine est compromise. Petits trucs sympa, le fichier %appdata%/roaming/microsoft/Protect/CREDHIST contient tous vos anciens mots de passe. Pas loin de celui-ci, vous avez le rpertoire Credentials qui va vous permettre d'accder aux formats chiffrs des identifiants et MDP qui sont enregistrs via Edge ou Internet Explorer. Il y a aussi un rpertoire VAULT (ce n'est pas la CIA cette fois ). Place la dmonstrations technique o JCD nous dmontre via un outil dvelopp en interne nomm DPAPEACE , qui sera distribu quand le code sera nettoy, qu'il est trs facile d'extraire les identifiants, mots de passe, et URL correspondants. Il est intressant de noter que beaucoup d'applications utilisent DPAPI (GTalk, Dropbox, iCloud, etc)

    Slides: http://www.synacktiv.ninja/ressource..._Synacktiv.pdf
    • 16h35 - 17h20 : Mahdi BRAIK (Wavestone) ; Big data : scurit des environnements Hadoop
    L'intervenant explique l'cosystme Hadoop, avec ses multiples couches. S'en suit la prsentation succincte des services et du big data. Puis, on passe sur la surface d'attaque de Hadoop qui est extraordinaire. Une scurit par dfaut inexistante, kerberos est propos mais, il y a un mais, on peut abuser du mode d'authentification simple.Sans compter qu'on peut consulter l'ensemble du cluster via un explorer en ligne via plusieurs interfaces et ports. Puis, l'intervenant dmontre qu'on peut utiliser ces mauvaises configurations pour pouvoir accder la racine ou encore exploiter la machine via un meterpreter. On voit donc que les "datalake" comme Hadoop ont grandement besoin de repenser leur scurit par dfaut. Surtout que certains sont dj rfrencs sur SHODAN...

    Slides: http://www.ossir.org/jssi/jssi2017/J...oop_-_v1.0.pdf
    Ambiance
    Trs bonne ambiance la JSSI, un cadre d'accueil agrable, le tout ponctu de pauses caf et croissants, rien redire. L'organisation a mme russi trouver des repas pour les inscrits de dernire minute, bravo ! Le repas du midi tait bon. Plein de bonnes rencontres ! Bravo aux membres de l'organisation qui ont bien travaill pour nous offrir cette journe! Bravo aussi tous les speakers pour leur partage de connaissances !

    Le mot de la fin
    La JSSI c'est une trs bonne exprience que je reconduirais certainement l'anne prochaine ou lorsque j'irai faire un tour une revue d'actualit !

    Podcast de NoLimitSecu sur le sujet:

    https://www.nolimitsecu.fr/jssi-2017/
    Dernire modification par L'OMBRE, 23 mars 2017, 10h56.
    Writer, Cyber Security Enthusiast! Follow me on Twitter: @SwitHak

  • #2
    Merci pour le rapport.

    Commentaire

    Chargement...
    X