Compte-rendu de la conférence GS-Days 2013

Date : 24 Mai 2013

La 5ème édition de la conférence « GS Days », organisée par le fondateur du journal Global Security Mag, s’est déroulée à Paris le 4 avril 2013. Elle proposait une douzaine de sessions (réparties en 2 salons parallèles) qui couvraient des présentations à caractère juridique, technique et organisationnel.

Nous vous présentons ici les sessions auxquelles le Cert-IST a assisté. Le programme de la journée et les supports de présentation sont disponibles sur le site web de la conférence.
 

Conférence plénière : La sécurité du Cloud : au-delà d’une vision manichéenne

Table ronde modérée par Jérôme Saiz, Expert Sécurité et Rédacteur en Chef du magazine de la Communauté Sécurité Qualys, avec :

  • Maître Diane Mullenex, Cabinet Ichay & Mullenex,
  • Philippe Humeau, DG de NBS System, créateur de CerberHost,
  • Thierry Floriani, RSSI de Numergy,
  • Alexandre Morel, chef de projet chez OVH,
  • Olivier Iteanu, secrétaire général d’EuroCloud.

Cette table ronde a confronté des réflexions  techniques, juridiques et organisationnelles relatives à la sécurité des données hébergées dans des architectures de type Cloud Computing.

Les conférenciers, tous convaincus que le Cloud est une opportunité, ont fait la différence entre un cloud privé, plus sécurisé, et un cloud public plus ouvert mais posant de nombreux problèmes techniques (comme la synchronisation de base données éloignées de millions de kilomètres) ou juridiques (la confrontation à des juridictions différentes selon les pays).

 La meilleure solution serait vraisemblablement l’utilisation d’un cloud hybride panachant les deux types d’architecture. Cette solution nécessite une analyse de risque pour d’identifier avec précision les données pouvant être stockées dans un cloud public et celles devant rester dans un cloud privé.
 

Hacktivistes, de la scientologie aux cyber-guerres

Présentation de Yoann HEDDE consultant chez Lineon.

Cette conférence a présentée une typologie des hacktivistes, de leurs motivations et de leurs méthodes.

Le mot "hacktiviste", concentré de "hacker" et "activiste", a été utilisé pour la première fois en 1996 par le pirate Omega, membre du groupe «cult of the dead cow».
Il désigne une personne qui utilise les moyens informatiques pour servir des causes politiques.

L'idée défendue par ces personnes est que la liberté d'expression et l'accès à l'information sont des droits fondamentaux, et qu'il convient de lutter pour les conserver.

Le conférencier a identifié trois types d’hacktivistes :

  • l’informaticien, qui a des compétences pointues en informatique et dont les motivations peuvent être variées (soutien aux causes nationales, la protestation numérique, amusement et provocation),
  • le script kiddie, qui a des compétences informatiques limitées et utilise des logiciels simples dans des buts de provocation ou d’amusement,
  • l'hactiviste, qui utilise le support informatique à des fins politiques (soutien aux causes nationales, la protestation numérique).

Ces hacktivistes utilisent les moyens suivants :

  • des kits de survie dont le but est d'aider les populations victimes de dictatures à échapper à des réseaux surveillés ou censurés,
  • l'atteinte à l'image par des manifestations ou des défacements,
  • l'atteinte à la personne par la diffusion d’informations personnelles,
  • l'atteinte à l'organisation via des dénis de service ou des vols de données.

La présentation s’est conclue par des conseils pour ne pas devenir une cible des hacktivistes :

  • durcissement du code et protection périmétrique du site web, pour être moins exposé au défacement,
  • maîtrise du réseau pour lutter contre le vol de données.
     

Le marché du M-paiement, nouveau terrain de jeu pour les cybercriminels

 Présentation de Maître Diane Mullenex, Cabinet Ichay & Mullenex

 Cette conférence nous a présenté :

  • une définition du m-paiement

Il s’agit de "l’ensemble des paiements pour lesquels les données de paiement et les instructions sont émises, transmises ou confirmées au travers d’un appareil mobile".
La commission Européenne a défini deux catégories de m-paiement : à distance (via Internet ou SMS), ou de proximité (via la technologie NFC).

  • le régime juridique du m-paiement

La difficulté juridique liée au m-paiement concerne l’identification précise des obligations et responsabilités entre les différents acteurs (opérateurs télécom, banques, commerçants).

  • les problématiques de sécurité liées au m-paiement

La sécurité, étant un facteur essentiel pour gagner la confiance des consommateurs, il est important, face aux différentes menaces (reproduction de carte SIM, malwares, …) de développer les techniques et outils de lutte contre l’insécurité (standards de sécurité, audits, coopération entre les différents acteurs, codes d’accès, …).
 

Conférence plénière : Mise en place d’une capacité en défense des réseaux au sein du Conseil de l’UE : de la théorie à la pratique

Présentation de :

  • Jean-Luc AUBOIN, Chef du Secteur « Défense des réseaux » de l’Unité « Sécurité des SIC-Sensibles » du Secrétariat Général du Conseil de l’UE
  • Sébastien LEONNET, Chef d’unité, DGA-CIS / Sécurité des SIC-Sensibles, Secrétariat Général du Conseil de l’UE

Cette conférence nous a présenté un cas concret de mise en place d’une capacité en défense des réseaux.
Fin 2008, face aux nombreuses tentatives d’attaque et à la mauvaise sécurisation de son réseau (des audits du réseau avaient révélé des comportements suspects), le conseil de l’Union Européenne a décidé de mettre en place une capacité en défense des réseaux.
Cette mise en place est passée par une phase d’appropriation des concepts théoriques, suivie d’une mise en place de ces concepts via un recrutement de personnel compétent, et l’élaboration d’une stratégie adaptée.

Les APT sont-elles des attaques avancées ?

Présentation de Nicolas RUFF, Expert sécurité chez EADS Innovation Works

Cette présentation s’est intéressée à la thèse selon laquelle les APT : « Advanced Persistent Threat », ne seraient pas si "avancées".
Ces attaques fonctionnent grâce au grand nombre de vulnérabilités et au manque de défense en profondeur.
Elles utilisent des techniques simples et connues pour contourner les authentifications par mot de passe, contrôler les domaines Windows, voler des données.
Les APT ne seraient donc pas des attaques si avancées que ça !
 

Démonstrations d’exploitations de failles de sécurité et présentations pratiques

Présentation par les démonstrateurs de l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information) :

  • Cyrille TESSER – Expert près la Cour d’appel de Paris – Expert en Sécurité des Systèmes d’Information,
    nous a présenté un équipement matériel permettant de lire, dans le cadre d'une expertise judiciaire, toutes les informations contenues ou ayant transité dans un téléphone portable.
  • Isabelle LANDREAU – Cabinet d’avocats LANDREAU,
    nous a présenté les aspects juridiques de l’utilisation d’un téléphone portable en matière de protection des données à caractère personnel et de protection de la vie privée : autorisation d’établir des communications, encadrement des écoutes téléphoniques et des logiciels d’écoute, diffusions de photos, …
  • Vincent HAUTOT – Auditeur sécurité offensive – Société SYSDREAM
    nous a présenté une démonstration d’utilisation du framework d’exploitation metasploit.
     

HTML5 et la sécurité, un point d’étape

Présentation de Sébastien GIORIA, French OWASP Leader – OWASP France

Cette présentation s’est intéressée à l’aspect sécurité des nouvelles API proposées par HTML5 :

  • WebSocket
  • WebMessaging
  • IndexedDB
  • OffLineWeb Application
  • WebStorage
  • Cross Origin Ressource Sharing

Selon le conférencier ces API sont vulnérables à de nombreux types d’attaques (Cross-site Scripting, déni de service, injections, …), et la norme HTML5 ne prend pas en compte les risques de sécurité liés à ces nouvelles API.

Précedent Précedent Suivant Suivant Imprimer Imprimer