Mardi dernier se tenait la Journée Sécurité des Systèmes d’Information 2010 de l’Observatoire de la Sécurité des Systèmes d’Information et des Réseaux.
Nous vous livrons un bref compte rendu de l’évènement, les supports de présentation devraient être disponibles rapidement.
- “Juste une imprimante ?”
Thibault Koechlin et Jean Baron (NBS System) ont fait un retour d’expérience sur la compromission des imprimantes par trois vecteurs différents: le logiciel (applications web, services), le Firmware et la modification matérielle.
Les imprimantes sont aujourd’hui devenus des systèmes autonomes exécutant des systèmes d’exploitation le plus souvent basés sur GNU/Linux avec les services qu’on lui connait. Le nombre de vulnérabilités augmente en conséquence et les imprimantes doivent être considérées comme tout autre serveur du système d’information de l’organisation. La modification du firmware permet quant à elle d’installer un système sous le contrôle de l’attaquant et assure à ce dernier la pérennité de son accès au SI. Enfin, la disponibilité d’alimentation 5 ou 12 V dans toute imprimante permet d’y introduire assez facilement des systèmes matériels tiers, agissant comme un pont réseau et offrant assez de puissance pour y exécuter tous les outils nécessaires à la poursuite d’une intrusion (scanner, outils divers).
- “Analyse avancée de la mémoire physique de Mac OS X”
Matthieu Suiche (MoonSols) a présenté ses travaux sur l’analyse de la mémoire physique (par opposition à la mémoire virtuelle) des systèmes d’exploitation Mac OS X (10.5 – Leopard et 10.6 – Snow Leopard). La présence des symbols de débug du noyau (mach) et la documentation de l’organisation de la mémoire (structures, listes chainées, …) de la partie libre du noyau de ces systèmes d’exploitation permet l’analyse poussée de dumps mémoires obtenus par l’injection de drivers (Kext) ou lors de la sauvegarde de la mémoire pour une hibernation. Ces analyses sont toutes particulièrement intéressantes lors d’analyses post-mortem (forensic) ou lors d’études de malwares. C’est un gros travail qui a été présenté et qui comble enfin une carence pour l’analyse des OS d’Apple. Les outils de Matthieu devraient être disponibles bientôt.
- “Les aspects juridiques du scan et des tests intrusifs”
Yoann Garot (iTrust) est revenu sur la situation juridique des scans et tests d’intrusif. Comme toujours le flou est de mise et les jurisprudences diverges. C’est la nature légitime (la curiosité semble être recevable…) des tests qu’il faudra démontrer en cas de contentieux et cela peut s’avérer délicat. La recommandation globale est d’encadrer très strictement les interventions de cette nature à l’aide de contrats adéquats et d’accords de confidentialité.
- “Se préparer à la réponse judiciaire contre les attaques informatiques”
Eric Freyssinet (DGGN) a rappelé l’importance d’une bonne préparation à la réponse judiciaire contre les incidents de sécurité. Les maitres mots sont préparation et anticipation. En effet, il est fondamental de prendre contact en amont avec les différents services pouvant apporter leur aide dans ce domaine. Cela permet de disposer d’un interlocuteur et de pouvoir définir avec lui les procédures d’échange et d’intervention nécessaire. Cette préparation sera la garantie d’une réaction efficace lorsque l’incident surviendra (et il surviendra !). Eric Freyssinet a également rappelé que les services de Gendarmerie et de Police Nationale étaient prêts et que les organisations ne portaient malheureusement que trop rarement plainte.
- “Les PME françaises contre la mafia russe et les hackers chinois – retour d’expérience”
Nicolas Ruff (EADS IW) a livré un retour d’expérience plus vrai que nature sur les difficultés rencontrées au quotidien par les PME dans leur gestion de la sécurité de l’information. Vers, Clés USB infectées, utilisateurs à l’imagination débordante pour contourner les mesures de sécurité… le menaces ne manquent pas. Nicolas s’est surtout attaché à démontrer que l’utilisation des mesures de protection des systèmes d’exploitation et des applications modernes (Windows Vista, 7, IE 8), pour peu qu’on ai migré des systèmes sorties dans les années 90, permettent d’assurer un niveau de sécurité très acceptable et de parer à une majorité d’attaques. Il a plus particulièrement insisté sur l’utilisation du DEP (prévention de l’exécution de code dans des pages mémoires accessibles en écriture), le principe de moindre privilège – et la nécessité de ne pas donner les droits administrateurs à ses utilisateurs, ainsi qu’à la mise en œuvre des protections avancées disponibles dans les OS/Compilateurs (ASLR, /GS, SafeSEH,…). Rien de nouveau donc, mais un message clair pour les RSSI: avant de dépenser votre budget en anti-(virus, malware, spyware, [entrer votre buzzword ici]ware), H,N-IPS, commencer par durcir vos postes utilisateurs et à restreindre les droits de ces derniers.
- “Présentation du livre blanc sur les logs issu du groupe de réflexions technico-juridiques de l’OSSIR”
Eric Barbry (Avocat au Barreau de Paris) et Christophe Labourdette (CNRS et OSSIR) ont présenté les résultats du groupe de travail sur les logs. Une fois la divergence de vocabulaire entre les juristes et les experts en sécurité constaté une nouvelle fois, il apparait rapidement que les exigences réglementaires en termes de journalisation (LCEN, Loi du 23 janvier 2006 relative à la lutte contre le terrorisme, règlementation sectorielle…) sont diverses et que les obligations de journalisation s’accumulent. Si les contraintes ne sont pas claires, les obligations sont là et la couverture du risque juridique passe par la mise en œuvre d’une journalisation des activités de ses utilisateurs. Celle-ci doit être faite avec discernement (proportionnalité, finalité) et il est important de communiquer à l’intérieur de son organisation sur son existence.
- “Les webshells, ou comment ouvrir les portes de son réseau ?”
Renaud Dubourguais (HSC) a dressé un panorama des possibilités offertes par l’installation/déploiement de codes malveillants dans les serveurs d’applications. Les webshells, véritables portes dérobées des serveurs web, offrent un vecteur idéal pour permette à un attaquant de contourner l’essentiel des mesures périmétriques de filtrage (firewall). Ce contournement se fait par rebond sur un serveur web le plus souvent en DMZ. Il a tout particulièrement insisté sur la possibilité, sous certaines conditions, de transformer le serveur web infecté en véritable pivot vers l’intérieur du système d’information de l’organisation cible. Scan des hôtes internes, injection de trafic, installation et exécution d’applications tierces sur le serveur compromis, les webshells sont de véritables boites à outils qui n’ont de limites que l’imagination et le temps dont dispose l’attaquant. Pour s’en prémunir, il conviendra donc de configurer correctement les serveurs d’applications et les environnements d’éxecution de scripts (PHP en tête) et de vérifier régulièrement la non-compromission de ses serveurs. On pourra également prendre pour hypothèse que le serveur sera compromis et configurer ses DMZ en conséquence dès le début.
- “OWASP ASVS: Une boite à outils pour améliorer la sécurité d’une application Web”
Sébastien Gioria (OWASP) – L’intervention a été annulée.
