Compte-rendu de la conférence JSSI 2013

Date : 06 Avril 2013

La 12ème édition de la conférence JSSI (Journée de la Sécurité des Systèmes d'Information), organisée par l’OSSIR (Observatoire de la Sécurité des Systèmes d'Information), s’est déroulée à Paris le 19 mars 2013. Comme les années précédentes, elle a réuni une centaine de participants. Nous faisons ici un compte-rendu des différentes présentations. Le programme complet et les présentations sont disponibles sur le site de la conférence.

Cette année, le thème de la conférence était « Méthodes et outils pour l’audit de sécurité ». Les sujets présentés étaient plutôt techniques : hormis une présentation et la table ronde qui traitaient de problèmes organisationnels et juridiques, les 6 autres présentations constituaient plutôt des retours d’expérience, des méthodologies d’audit et des problématiques liées à la veille sécurité.

 

Retours d’expérience sur des campagnes d’audit de sécurité (par C2S)

Cette présentation constitue un retour d’expérience des audits sécurité réalisés par C2S (entité chargée de la sécurité au sein du groupe Bouygues). Ces audits, qui peuvent être soit organisationnels, soit techniques, peuvent être initiés par Bouygues SA, réalisés pour l’une des nombreuses sociétés du groupe, ou en dehors du groupe.

La réalisation de ces audits a permis de dégager le Top 10 des vulnérabilités le plus couramment observées (Wall of Shame), à savoir :

  1. Mots de passe triviaux/par défaut
  2. Composants applicatifs/logiciels non à jour
  3. Injections SQL
  4. XSS/CSRF
  5. Installation/configuration non sécurisées ou non renforcées
  6. Protocoles et flux non chiffrés
  7. Gestion non sécurisée des sessions utilisateurs
  8. Stockage non sécurisé de mots de passe
  9. Imprimantes multifonctions recélant tous les secrets d’une entreprise
  10. Post-it dans des endroits inattendus

On constate que l’on retrouve les mêmes vulnérabilités depuis 10, 15, voire 20 ans. Concernant les audits SCADA, de plus en plus demandés, les vulnérabilités observées sont tout à fait compatibles avec ce Wall of Shame.

Les bonnes pratiques consistent donc à :

  • Intégrer la sécurité tout au long du cycle de vie des projets
  • Définir et mettre en œuvre des politiques de mots de passe
  • Sécuriser les codes sources
  • Utiliser des Web Application Firewalls (WAF)
  • Etudier également les menaces qui viennent de l’intérieur
  • Réaliser des tests d’intrusion systématiques et récurrents

En conclusion, l’orateur insiste sur le fait que la sécurité n’est pas qu’un problème technique. Il faut en effet définir des organisations et méthodologies pour répondre aux risques, sensibiliser les utilisateurs et prévoir la formation interne des architectes et développeurs.

 

Retour sur expérience de test d’intrusion sur domaine Windows (par Solucom et COGICEO)

Cette intervention présente des méthodes de tests d’intrusion sur domaine Windows et vise à partager un retour sur expérience. Le scénario utilisé est celui d’un prestataire en salle de réunion, disposant d’un accès réseau. L’objectif est de parcourir les vulnérabilités les plus connues afin d’accéder à des systèmes, obtenir des identifiants, jusqu’à trouver ceux de l’administrateur du domaine.

Les auditeurs rappellent qu’il existe plusieurs méthodes pour récupérer ces mots de passe (tâches planifiées, navigateur web…), pour retrouver des mots de passe (hash), voire se passer de mots de passe (authentification NTLM). Les résultats obtenus montrent que 85% des mots de passe tombent, 96% des domaines sont compromis en moins d’une semaine, 100% des entreprises ont au moins un mot de passe trivial, plus de la moitié des domaines tombent en moins de deux jours et un tiers des réseaux ont des systèmes obsolètes. Pour les auditeurs, cela confirme que la sécurité des domaines Windows est un échec.

Il ne reste plus qu’à trouver des données marquantes pouvant mieux sensibiliser : données métier, dossier syndicats des ressources humaines, e-mails, données personnelles (paye, santé), etc…

 

Ingénierie sociale : aspects juridiques et pratiques (par HSC)

Cette intervention présente les aspects juridiques et pratiques des prestations d’ingénierie sociale, telles que réalisées par le cabinet HSC. Ces derniers se sont d’abord posé la question de savoir s’ils avaient le droit de faire de l’ingénierie sociale, en étudiant notamment les textes de loi relatifs à l’usurpation d’identité, au vol d’information, à l’escroquerie et à la collecte déloyale. Ils sont arrivés à la conclusion qu’il n’y avait pas de problème majeur pour réaliser ce type de prestation. L’objectif annoncé est de mesurer le niveau de sensibilisation des utilisateurs, mais aussi le niveau d’exposition à la fuite d’information (nombre d’utilisateurs faillibles, criticité de l’information obtenue).

En pratique, les auditeurs tentent d’exploiter la crédulité des cibles et de gagner leur confiance, afin d’obtenir des informations capitales (mots de passe, architecture réseau, informations personnelles…). Les présentateurs ont ensuite détaillé la construction d’un scénario de phishing, prenant en compte le contexte (actualité, métier de l’organisme, profils des cibles, marché de l’emploi) et cherchant à identifier le facteur pouvant déclencher le clic (gain financier, meilleur emploi, bonne action…). La réalisation du scénario se termine par la construction du site web, l’envoi de courriers électroniques et le choix de la durée de mise en ligne.

La conclusion de leurs travaux est que la sensibilisation donne un résultat mitigé : elle doit être ciblée, périodique et accompagnée de mesures techniques.

 

Labellisation des prestataires d’audit en sécurité (Table ronde)

Cette table ronde était consacrée à la labellisation de certains services critiques :

  • Test d’intrusion
  • Audit d’architecture
  • Audit de configuration
  • Audit de code source
  • Audit organisationnel et physique

A la différence de ce qui est fait pour les personnes (processus de certification), cette labellisation touche les sociétés et vise à assurer une confiance en la prestation d’audit (forte demande de la part des ministères).

 

Reverse engineering sous iOS et Android (par Quarkslab)

Cette présentation constitue un bilan des travaux de Reverse Engineering sous iOS et Android, réalisés par Sébastien KACZMAREK de la société Quarkslab. Après un rappel sur les technologies utilisées sous iOS et Android et sur le format des applications, l’orateur s’est ensuite penché sur le fonctionnement du développement sous ces deux systèmes et sur les différents outils permettant de débuguer les applications écrites sous iOS et Android.

 

Approche semi-automatisée pour les audits de configuration (par AMOSSYS)

Cette intervention présente une approche proposée par la société AMOSSYS, pour réaliser des audits de configuration. Ce type d’audit nécessite l’obtention de l’image d’un serveur et concerne plusieurs niveaux (système, réseau et applicatif). Les données devant être extraites peuvent être statiques (version du système d’exploitation, configuration matérielle, configuration réseau, utilisateurs et groupes) ou dynamiques (processus en écoute, processus planifiés), et peuvent surtout devenir très vite volumineuses.

Les approches possibles sont les suivantes : manuelle, automatisée, semi-automatisée. C’est cette dernière solution qui a été retenue par AMOSSYS. Ils ont ainsi développé un framework permettant d’aider le travail de l’auditeur, constitué d’un cœur (focalisé sur le système d’exploitation) et de plugins (permettant de gérer les applications).

 

Veille avancée sur le noyau Linux (par LEXFO)

Cette présentation constitue un bilan des travaux réalisés par Etienne Comet de la société LEXFO autour des vulnérabilités affectant le noyau Linux, avec comme objectif l’obtention de privilèges. Pour l’orateur, il y a aujourd’hui pénurie d’exploits publics, avec par ailleurs des informations nombreuses mais peu détaillées, et beaucoup de bugs, soit corrigés silencieusement, soit inutiles.

Les conclusions de l’étude de l’intervenant autour des CVE est qu’il y a finalement assez peu de failles relatives au noyau Linux, que beaucoup de ces CVE sont inutiles (par exemple, lorsque la configuration impactée est trop exotique ou s’il s’agit d’un vieux bug) et que ces vulnérabilités sont vite corrigées (CVE est bien suivi par les éditeurs qui corrigent ces failles relativement vite). Il est donc nécessaire de se pencher vers d’autres sources comme les mailing lists des développeurs, le Bugtracker RedHat (bugzilla) ou le dépôt GIT du noyau Linux (commit).

En particulier, le dépôt GIT constitue une mine d’informations, qu’il est impératif de trier. Un outil a donc été créé (GitzOr) permettant d’analyser de manière constante les commits noyau, en recherchant les patterns intéressants. Une fois un bug identifié, il faut voir s’il est exploitable et pour cela trouver son emplacement dans les sources, trouver un chemin d’accès vers la fonction vulnérable, créer un programme d’exploitation et coder l’exploit.

 

 WAF : concours canin (par Synacktiv)

Cette intervention présente les résultats des tests réalisés par la société Synacktiv autour des Web Application Firewall en mode SaaS. Deux architectures sont possibles, soit par ajout de code au sein de l’application web, soit par modification de l’entrée DNS. Les risques induits sont l’exposition de l’interface d’administration sur Internet et le contournement des règles de filtrage. Pour les WAF fonctionnant par modification DNS, le serveur web est de plus toujours exposé sur Internet et il est possible de contourner le WAF si sa véritable adresse IP est découverte. Pour les WAF fonctionnant par insertion de code, un autre risque à envisager est l’insertion de code non maitrisé.

Les WAF choisis sont XyberShield, CloudFlare et Incapsula. Le premier, très mis en avant par l’éditeur, fonctionne par insertion de code. Les résultats sont très décevants (techniques d’obsfuscation classiques non détectées, informations détaillées fournies à l’attaquant et envoi de données vers le Cloud avec un chiffrement médiocre). Pour CloudFlare, l’analyse a été encore plus succincte puisque les orateurs n’ont pas réussi à le faire réagir. Incapsula (qui fonctionne par redirection DNS) est donc celui qui s’en sort le mieux : il utilise un système de filtrage par liste noire bien construit, mais présente tout de même quelques lacunes.

La conclusion sur ces WAF est qu’ils sont très faciles à déployer, mais qu’ils n’offrent qu’un niveau de protection limité et possèdent surtout un niveau de qualité global faible, voire choquant.

 

Conclusion

Cette 12ème édition de la JSSI a donc permis d’aborder des sujets variés, à la fois techniques, juridiques, pratiques et organisationnels. De nombreux retours d’expérience en matière d’audits donnent une bonne idée de l’évolution des techniques et des problématiques dans ce domaine : accroissement des demandes d’audits SCADA, nécessité de développer des outils d’aide pour l’audit, forte demande de certains ministères pour une labellisation des prestataires d’audit en sécurité et évolution des techniques de veille. Malgré tout, des vulnérabilités vieilles de 10 ou 20 ans sont toujours d’actualité et certaines problématiques semblent perdurer, notamment les problèmes de sensibilisation des utilisateurs, de robustesse des mots de passe ou de sécurité des domaines Windows. Cette journée a également permis de mettre en garde contre certaines solutions de sécurité annoncées comme solutions miracles, du type des Web Application Firewalls.

 

Précedent Précedent Suivant Suivant Imprimer Imprimer