22 Juin. 18 Actualités

Le SSTIC Rennes – conférence de sécurité : les nouveautés 2018

Le SSTIC est une conférence de sécurité française qui se tient chaque année à Rennes début juin. Nous vous proposons ici une rétrospective des conférences qui s’y sont déroulées, par thématiques, avec des liens vers les articles et vidéos associés.

Nous aborderons tout d’abord les conférences liées à l’activité d’audit de Certilience. Elles ont présenté des outils, techniques ou méthodes utiles pour les auditeurs.

Puis nous ferons le point sur les conférences plus académiques et les travaux de recherche pointus.

Pour finir, le troisième thème concernera la résistance des machines et d’internet face aux attaques que l’on appelle « résilience ».

1. Good for Pentesters

Certaines conférences sont directement liées avec nos activités d’audit, et nous utiliserons certainement ces nouveaux outils et connaissances dans nos prochains pentests.

Certains châssis hardwares disposent d’une interface de management dédiée type iLo. Des chercheurs ont totalement compromis cette interface et sont capables d’aller corrompre le système d’exploitation pour lui faire exécuter du code : protégez ces interfaces d’administration dans un VLAN dédié, et mettez à jour.
Ensuite, une conférence sur une prise de courant télé-pilotée par une application Android/iPhone. Cette prise fait fuiter votre clé WPA2 à toute personne passant à proximité, et ne l’efface pas lorsque vous jetez la prise à la poubelle ou la vendez d’occasion : la personne récupérant la prise pourrait relire votre clé WPA2.
En informatique, nous avons tous un écran. Les câbles qui transmettent l’image depuis la carte graphique à l’écran émettent des ondes radios qui permettent à un attaquant disposant d’un outil adapté et d’un programme de traitement du signal de reconstruire l’image qui s’affiche . La solution : utiliser des murs épais ou des câbles de bonne qualité ! Une démonstration vraiment impressionnante, puisqu’on peut réussir à lire le texte de l’écran ‘écouté’.
Nous avons également eu d’excellents conseils sur la sécurisation d’environnements Docker. Nous reprendrons d’ailleurs certaines explications lors de nos prochains audits.
Une très bonne conférence a montré comment tester des réseaux cellulaires télécom avec python.
Une conférence a présentée sur le langage ErLang (peu connu), mais qui est utilisé dans jabber ou activeMQ. Un attaquant est capable de compromettre ces services à cause d’une faiblesse d’entropie dans la génération des cookies d’authentification. Il est possible de patcher pour corriger la vulnérabilité, ou d’utiliser TLS ou de générer soi-même ses cookies d’authentification de manière forte.
De nombreuses entreprises utilisent un système SAP. Ce système est mal connu, et peu testé par des pentesteurs. Deux auditeurs ont présenté un résultat d’audit dans lequel ils ont réussi à compromettre le système. SAP mérite d’être plus audité en raison de sa surface d’attaque et de son importance dans la vie des entreprises.
Une des dernières conférences du SSTIC a présenté un « Hacking Harness » (filet de sécurité) pour les pentesters afin de les protéger contre des dépôts intempestifs de traces compromettantes sur les systèmes distants, ou des déconnexions intempestives une fois que l’auditeur dispose d’un premier accès.

2. Good for Research

Le SSTIC est également une conférence présentant des travaux universitaires de recherche en sécurité. Ces recherches peuvent mener sur des applications directes, ou sur des bénéfices à plus long terme.

Cette conférence a débuté par la présentation d’un nouvel outil capable de rechercher des gadgets ROP en leur appliquant des contraintes. Cet outil se veut plus rapide que les outils de recherche avec solvers, et plus expressif que les recherches par regexp.
Il y a également eu deux conférences sur l’attaque de matériel type IOT : «Du PCB à l’exploit: étude de cas d’une serrure connectée Bluetooth Low Energy » pour une serrure embarquée qui s’est fait totalement compromettre, et « Attacking serial flash chip: case study of a black box device » pour le déssoudage et l’analyse des flash soudés à un composant.
Dans un sujet plus léger, des chercheurs se sont intéressés à la sécurité des smartTV . Il en ressort qu’une analyse d’impact est nécessaire avant d’utiliser ces télévisions dans des salles de réunions ou des lieux de passage.
Dans un domaine plus inquiétant, un chercheur a réussi à extraire les secrets (clés cryptos) d’une carte SIM de téléphone uniquement en surveillant la consommation électrique débitée pendant les opérations de chiffrement.
Toujours dans les cartes à puce, d’autres chercheurs ont étudiés comment durcir un peu plus les javacard (autres noms des cartes à puce).
Et enfin, trois conférences très intéressantes sur des outils d’analyses de binaires malveillants. Le premier, « YaDiff», est capable d’analyser plusieurs centaines de binaires et de corréler les informations récoltées pour identifier les parties de code identiques en se faisant aider par des réseaux de neurones. Le second est un code se plaçant au niveau d’un hyperviseur pour surveiller et analyser le système virtualisé.

Pour le troisième outil, un conférencier a également réalisé une étude sur la sécurité des machines virtuelles et sur la manière dont il est possible de se prémunir d’un administrateur malveillant.

Enfin, la conférence donnée en ouverture, était une constatation légèrement désabusée de la part d’une légende chez les reversers de code, Halvar Flake : il se rend compte qu’au bout de 20 ans, il n’existe que très peu d’outils interopérables, fiables, et fonctionnels. Il propose plusieurs axes d’améliorations, aussi bien pour les développeurs que pour les reversers.

3. La résistance d'internet et des systèmes face aux attaques permanentes

La résilience est la capacité d’un système à réagir face à une attaque pour la surmonter.

Plusieurs conférences ont abordé ce sujet, parfois de manière très ludique.

Une université a créé une escape room (jeu à la mode actuellement) liée à la cyberdéfense et aux bonnes pratiques.

Une conférence invitée a permis d’écouter un développeur de WireGuard qui présentait son outil, un VPN simple, fiable, sécurisé et auditable (4000 lignes de code contre +100000 pour openVPN par exemple).
Toujours dans le domaine de la confidentialité, un des administrateurs de Let’s encrypt, autorité de certification gratuite est venu sur demande du comité d’organisation. En quelques années, ils ont réussi à faire passer de 40% à 80% de flux chiffrés http vers https, ce qui est excellent pour la confidentialité des échanges.
Ces certificats ont d’ailleurs besoin d’être vérifié par vos navigateurs (entre autres), et une conférence (HACL, une bibliothèque de cryptographie formellement vérifiée dans Firefox) a montré comment prouver et certifier formellement le code de vérification pour qu’il n’ait aucun bug. Ce code est aujourd’hui intégré à Firefox .
Encore avec les certificats, deux conférenciers ont présenté un outil surveillant les menaces liées à l’usurpation de certificat (Certificate Transparency ou comment un nouveau standard peut aider votre veille sur certaines menaces).
Dans les outils de vérification, il a été présenté un outil capable d’analyser les SPOF (single point of failure) d’architecture DNS : connaitre ces SPOF permet d’ajouter la redondance nécessaire pour éviter qu’un crash unique paralyse votre réseau.
La surveillance d’un réseau se fait quelquefois avec des NIDS comme Snort/Suricata ou BRO. Un ingénieur a développé un outil graphique de gestion et de configuration centralisé.
Les clés USB sont une menace importante pour les réseaux (porte d’entrée de virus, ou moyen d’exfiltration de données sensibles), une équipe de l’ANSSI a donc développé Wookey, un device clé USB permettant d’appliquer des règles de sécurité aux clés USB.
Une conférence très intéressante a montré comment l’équipe de sécurité Debian traite et gère les incidents de sécurité majeurs et prévient les équipes, les développeurs des failles de sécurité.

4. Le challenge SSTIC et les rumps.

Tous les ans, un challenge est fourni, demandant aux participants de résoudre une série d’épreuves dont le niveau de difficulté augmente à chaque étape. Le résultat et les solutions sont donnés pendant le SSTIC.

Les rumps sont des courtes présentations de 3 à 4 minutes, non soumises à acceptation préalables, pendant lesquelles les participants vont tenter de faire sourire ou d’impressionner le public.

Ces 3 jours de conférences ont donc été riches d’enseignements en raison du très haut niveau technique des présentations. Les sujets sont variés, toujours à la pointe de l’état de l’art. La conférence a 0% de sponsoring, elle est donc indépendante et uniquement technique (ni cravate, ni de commerciaux !).

* Good for resiliency