SSTIC – Jour 3 (mise à jour 15:45)

Suite de mes notes !

RRABIDS, un système de détection d’intrusion pour les applications Web Ruby on Rails

Romaric Ludinard, Loïc le Hennaf, Eric Totel, Supélec

Projet ANR DALI. Outil Daikon, détecteur d’invariants dynamique. Mais il faut réduire le nombre d’invariants en ne s’intéressant qu’à celles qui dépendent des entrées utilisateurs, grâce à la notion de taint checking (propagation d’une marque apposée). Ensuite, il faut « tisser » dans le code la détection associée à ces invariants. Le coût en nombre de lignes et donc en temps d’exécution est important.

Il leur reste encore à améliorer l’apprentissage (diminution du nombre de faux positifs). Démonstration sur l’application confiée par un client.

Usages offensifs de XSLT

Nicolas Grégoire, Agarri

XSLT réel langage de programmation W3C (permet de transformer automatiquement des structures de données XML en page HTML à partir d’un fichier de transformation). L’objectif des travaux de l’auteur est de découvrir des exploits autour de cette technologie. Ils ont été conduits sur plusieurs moteurs XSLT généralistes et spécifiques. Les risques identifiés sont essentiellement du côté des extensions propriétaires (LibXSLT, Xalan-J et Altova).

Exemples de vulnérabilités: sous libxslt (produits Apple, RIM, distributions Linux à cause du moteur de rendu Webkit et Chrome n’est pas vulnérable), il est possible d’écrire un fichier dans le système attaqué. PHP5 (toujours impacté aujourd’hui).

En résumé, beaucoup de boulot en vue pour les éditeurs d’applications XSLT.

Conférence invitée: Faille de sécurité ou défaut de sécurité

Eric Barbry, Cabinet Alain Bensoussan

Conséquences pénales d’une mauvaise sécurité (article 34 de la loi informatique et libertés). Eric souligne un intérêt croissant de la CNIL pour ces questions. Un guide de la CNIL est disponible ici. Sans oublier les autres obligations (226-22 du code pénal sur la divulgation de données personnelles, 226-13 sur la révélation de secrets).

La victime finale (celle dont les données ont été détournées) est elle victime du professionnel négligent ou de l’auteur de l’intrusion ? Mais pour une affaire comme celle de Sony, les conséquences sont innombrables dans de nombreux domaines (communication et image, remboursements, contrôles. enquêtes…).

Eric évoque ensuite le projet d’ordonnance qui doit implémenter les notifications obligatoires d’incidents de sécurité touchant les opérateurs et d’autres acteurs, mesure issue d’une des directives du Paquet télécoms (on en reparlera). PDF du projet d’ordonnance (voir l’article 38) qui est l’objet actuellement d’une consultation publique.

Typologie des attaques contre nos libertés online

Jérémie Zimmermann, La Quadature du Net

Neutralité du net. Vision d’un Internet comme bien commun. J. Z. définit les attaques comme toute limitation à la possibilité de publier ou d’accéder (aux services, aux contenus,…). Protection des gouvernements autoritaires, protection par les gouvernements des intérêts sectoriels, attaquants purement industriels. Le biais serait parfois législatif ou parfois en contournant les législations. Les vecteurs seraient multiples: inconscient collectif (peurs), complexité et opacité, contournement des chemins traditionnels. Il décrit ensuite des contre-mesures: observer, démontrer.

(Beaucoup d’attaques contre le blocage des sites pédopornographiques, cf. mes articles précédents sur le sujet).

Système de stockage en ligne de photos avec confidentialité des données personnelles

L. Montalvo, S. Defrance, F. Lefebvre, N. Le Scouarnec, P. Perez, Technicolor

La gestion des doublons permettrait d’optimiser le stockage. Confidentialité des données: si l’utilisateur chiffre les informations stockées, l’hébergeur ne pourra pas supprimer les doublons. Le principe du chiffrement convergent est discuté.

Se pose la question de chercher des images similaires, sans avoir accès au contenu chiffré. Les fonctions de hachage classique ne fonctionnent évidemment pas: plutôt fonctions de hachage visuel (empreinte plutôt que digest). Deux grandes classes d’algorithmes sont documents: globales ou locales (+ lentes et robustes contre quasi toutes les distorsions). Elles font un focus sur les points d’intérêt. Si statistiquement le nombre d’empreintes communes entre deux images est important, on dira que les images sont similaires.

Ces fonctions posent deux problèmes: performance et introduction d’une nouvelle faille (sur la confidentialité). Les fonctions les plus efficaces sont les fonctions SIFT classiquement documentées. Toutefois, il est démontré qu’à partir de nombreuses empreintes on peut reconstruire partiellement les images: l’invertibilité n’est pas garantie. On va donc combiner avec la fonction de hachage VLAD (vector of locally aggregated descriptors).

Un framework de fuzzing pour cartes à puces, application au protocole EMV

Julien Lancia (site web), CESTI-SERMA Technologies

EMV est la spécification des cartes bancaires à puce diffusées actuellement. Fuzzing: technique de tests en boîte noire, ici par blocs. Framework Sulley, étendu pour générer des données au modèle EMV, une interface pour les cartes à puce et des spécifications pour la détection d’incidents réussis.

Sulley est dédié au départ au fuzzing de protocoles réseau. Pour la transmission des données, la couche de communication a été remplacée par une API métier TRITON.

Sur 12 produits, 6 ont eu des résultats: anomalies sécuritaires (remise à zéro de compteur avant vérification online) et anomalies fonctionnelles.

Développements futurs: sortir de la spécification stricte, inclusion des spécifications Monéo ou fuzzing des couches basses. Ces techniques pourraient être intégrées en amont au niveau du développement.

Conférence invitée de clôture

Hervé Schauer, HSC

Revue de la philosophie sur le débat liberté-sécurité, repositionné sur la SSI. Constat rétrospectif d’inachèvement: la sécurité aurait peu progressé.

À propos Éric Freyssinet
Officier de gendarmerie. Docteur en informatique. Travaille depuis 1998 dans le domaine de la lutte contre la cybercriminalité, actuellement conseiller auprès du Préfet en charge de la lutte contre les cybermenaces au Ministère de l'intérieur. Les idées publiées sur ce blog le sont à titre personnel. Law enforcement officer (colonel with the Gendarmerie nationale in France). PhD in computer science. Working since 1998 in the fight against cybercrime. Views published on these blogs are personal.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :