28 novembre 2012, Rendez-vous à l’Intercontinental Paris Avenue Marceau

Hacking the Cloud : connaître les vulnérabilités et risques pour mieux se protéger. Conseils & Solutions

Cliquer ici pour : S’inscrire en ligne aux matinées de CNISevent

Toutes les entreprises se lancent ou se posent la question d’entrer dans le Cloud que ce soit un Cloud particulier, hybride ou public. Ces environnements déportés s’appuient sur de nouvelles technologies afin que le business model devienne des plus intéressants d’un point de vue financier. Parmi ces nouvelles technologies, la virtualisation à tous les étages ce qui génère des problèmes de sécurité différents de ceux habituellement considérés. Stockage, réseaux, serveurs, PC, applications et maintenant data center, la virtualisation est partout.

Alors comment sécuriser le Cloud, environnements virtuels compris ? Des questions et des réponses qui seront apportés tout le long de cette matinée. Après un panorama de différentes vulnérabilités et risques potentiels, des experts de tous bords, associations dans le domaine de la sécurité, cabinets de conseil ou acteurs du domaine viendront donner des conseils et répondre aux questions. Des avocats de différents cabinets juridiques viendront également donner des conseils pour rester conforme aux différentes législations tout en étant dans le Cloud. Ils viendront débattre également autour d’une table ronde et répondre aux questions des patrons, DSI, RSSI, personnel IT ou non mais concernés par la sécurité.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).
InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL (Correspondant Informatique & Liberté), les avocats et juristes de l’entreprise, les consultants également. Tous sont concernés par la sécurité dans le Cloud et la virtualisation des environnements informatiques. Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour :

S’inscrire en ligne aux matinées de CNISevent

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 –Vulnérabilités et risques dans le Cloud, tour d’horizon par Jean-Marc Grémy, Vice-Président du Clusif,
• 9H20 –  Expert terrain, point de vue d’un acteur du secteur,
• 9H40 – Conseils, guide et expertise, par Chadi Hantouche, Expert Sécurité chez Solucom,
• 10H00 –« Maîtriser ses données dans le cloud computing », risques pour la disponibilité des données, transferts de données personnelles hors Union européenne, mise en place d’un cloud en gardant la maîtrise de ses données et Cloud souverain, par Frédéric Connes, HSC Consulting ,
• 10H20 – Minute Juridique : les impacts juridiques du Cloud sur les entreprises, Maîtres Olivier Itéanu et Garance Mathias répondent à toutes vos questions
• 10H40 – PAUSE Networking
• 11H00 – Démonstration d »une attaque DDoS, par Philippe Langlois, CEO P1 Security,
• 11H20 – Panel sur « Hacking the Cloud : vulnérabilités, risques, conseils et solutions» avec Isabelle Renard, avocate et membre de l’AFCDP, Nicolas Ruff, chercheur chez EADS, département R&D et membre de diverses associations telle l’OSSIR, qui donnera son point de vue sur les vulnérabilités potentielles, Olivier Caleff, Directeur du CSIRT chez Devoteam et membre du Cloud Security Alliance qui détaillera les actions et conseils du CSA et un acteur qui donnera ses conseils en la matière. Animé par un analyste IT, Bertrand Garé
• 12H 05– Clôture de la conférence

28 novembre 2012, Rendez-vous à l’Intercontinental Paris Avenue Marceau

Hacking the Cloud : connaître les vulnérabilités et risques pour mieux se protéger. Conseils & Solutions

Cliquer ici pour : S’inscrire en ligne aux matinées de CNISevent

Toutes les entreprises se lancent ou se posent la question d’entrer dans le Cloud que ce soit un Cloud particulier, hybride ou public. Ces environnements déportés s’appuient sur de nouvelles technologies afin que le business model devienne des plus intéressants d’un point de vue financier. Parmi ces nouvelles technologies, la virtualisation à tous les étages ce qui génère des problèmes de sécurité différents de ceux habituellement considérés. Stockage, réseaux, serveurs, PC, applications et maintenant data center, la virtualisation est partout.

Alors comment sécuriser le Cloud, environnements virtuels compris ? Des questions et des réponses qui seront apportés tout le long de cette matinée. Après un panorama de différentes vulnérabilités et risques potentiels, des experts de tous bords, associations dans le domaine de la sécurité, cabinets de conseil ou acteurs du domaine viendront donner des conseils et répondre aux questions. Des avocats de différents cabinets juridiques viendront également donner des conseils pour rester conforme aux différentes législations tout en étant dans le Cloud. Ils viendront débattre également autour d’une table ronde et répondre aux questions des patrons, DSI, RSSI, personnel IT ou non mais concernés par la sécurité.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).
InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL (Correspondant Informatique & Liberté), les avocats et juristes de l’entreprise, les consultants également. Tous sont concernés par la sécurité dans le Cloud et la virtualisation des environnements informatiques. Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour :

S’inscrire en ligne aux matinées de CNISevent

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 –Vulnérabilités et risques dans le Cloud, tour d’horizon par Jean-Marc Grémy, Vice-Président du Clusif,
• 9H20 –  Expert terrain, point de vue d’un acteur du secteur,
• 9H40 – Conseils, guide et expertise, par Chadi Hantouche, Directeur Sécurité chez Solucom,
• 10H00 – « Maîtriser ses données dans le cloud computing », risques pour la disponibilité des données, transferts de données personnelles hors Union européenne, mise en place d’un cloud en gardant la maîtrise de ses données et Cloud souverain, par Frédéric Connes, HSC Consulting,
• 10H20 – Minute Juridique : les impacts juridiques du Cloud sur les entreprises, Maîtres Olivier Itéanu et Garance Mathias répondent à toutes vos questions,
• 10H40 – PAUSE Networking
• 11H00 – Démonstration d »une attaque DDoS, par Philippe Langlois, CEO P1 Security,
• 11H20 – Panel sur « Hacking the Cloud : vulnérabilités, risques, conseils et solutions» avec Isabelle Renard, avocate et membre de l’AFCDP, Nicolas Ruff, chercheur chez EADS, département R&D et membre de diverses associations telle l’OSSIR, qui donnera son point de vue sur les vulnérabilités potentielles, Olivier Caleff, Directeur du CSIRT chez Devoteam et membre du Cloud Security Alliance qui détaillera les actions et conseils du CSA et un acteur qui donnera ses conseils en la matière. Animé par un analyste IT, Bertrand Garé
• 12H 05– Clôture de la conférence

Côté sécurité logicielle et infrastructures, GreHack a apporté son lot de présentations à la fois originales et opportunes. Mathieu Renard (Sogeti/Esec), qui a souvent parlé de sécurité des noyaux IOS, revient sur le sujet, avec une analyse détaillée des quelques « points d’entrée » remarquables. Et c’est par une attaque « presque hard » (le branchement d’un iPhone sur une station d’accueil) qu’il commence sa conférence et ouvre le feu avec une première faille ou possibilité de backdoor exploitant ensuite le l’Apple File Communication protocol. Certes, le noyau est inaccessible, mais l’espace utilisateur, là où photos, musiques, données et fichiers de préférence sont stockés, peut être pillé à volonté. On imagine immédiatement comment une « borne publique de recharge gratuite de batterie » peut se transformer en une formidable p0wn console. Le second coup porté est un peu plus classique, puisqu’il repose sur l’extraction de données des fichiers de backup créés automatiquement par iTunes, attaque qui donne accès au SMS, journaux d’appels, fichiers générés par les appliquettes et données stockées dans les keychain (API chaînes de clefs). Rappelons que le sujet a fait l’objet de nombreuses publications, analysées et vulgarisées notamment par l’institut Fraunhaufer, sans oublier les développements sur ce même sujet de la part de Jean-Baptiste Bédrune et Jean Sigwald (également de Sogeti / ESEC) lors de Hack in the Box 2011.

Lorsque l’appareil est jailbreaké, le champ exploratoire s’étend brutalement : déchiffrement et reverse des applications écrites en Objective C, récupération des informations utilisateur, installation d’applications « rogue » (notamment un proxy chargé d’intercepter les communications réseau), voler les clefs de chiffrement des applications… tous les détails ( transparents et texte de la présentation) sont à récupérer sur les serveurs de l’Ensimag.

Les tentatives d’intrusion sur les périphériques mobiles étaient également en question au cours de la conférence de MM Boris Balacheff et Dave Penkler (HP), qui abordaient un sujet épineux : l’administration du Cloud Computing et de l’entreprise mobile. Approche nettement moins technoïde que les précédentes présentations, mais pas franchement moins complexe. Le discours de ces deux chercheurs s’attachait à dresser un inventaire, une cartographie des questions soulevée par la disparition du périmètre de l’entreprise, avec d’une part des serveurs envoyés « dans le nuage » (services externalisés par exemple) et des « endpoint » éparpillés dans la nature et utilisant une multitude de médias d’accès (GSM, Wifi, Bluetooth, NFC/RFID…), dont certains relativement peu fiables. Tableau qui devient d’autant plus infernal que les espaces de stockage et de traitement sont souvent à touche-touche (lorsqu’ils ne sont pas mélangés) avec l’informatique et les données familiales, les applications privées de provenance inconnue, les liaisons non maîtrisées par les outils et politiques de sécurité d’entreprise. A ces dangers, quelques solutions : le MDM (mobile device management), le chiffrement, la virtualisation et cloisonnement des espaces de travail, les VPN, les applications métier « maison ». Tout ne peut pas être protégé avec une absolue perfection, d’autant plus que bien des pans de ce modèle architectural échappent totalement aux RSSI et DSI, qui sont alors contraintes de reposer sur des relations de confiance. Avec les fournisseurs de services Cloud, avec les opérateurs, avec les fabricants d’équipements (qui pratiquent une politique du best effort comportant elle-même des imperfections).

Signalons enfin, parmi les nombreux autres exposés, celui de Olli-Pekka Niemi et Antti Levomaki de Stonesoft, consacré sans grande surprise aux techniques de contournement des firewall de nouvelle génération ou encore l’intervention impressionnante de savoir signée Yann Stephan, qui a emporté l’assistance dans le domaine parfois aride du reverse des programmes écrits en C#.

Longtemps, le hack matériel était absent des conférences sécurité, exception faire de certaines analyses et reverse engineering de VLSI chevelus à coup d’acide et de microscopes surpuissants. Hacker du matériel faisait partie de la famille rocket science, donnant ainsi du silicium l’illusion d’une fiabilité absolue. Sécurité par l’obscurantisme et par manque de communication réelle entre savants de ces deux mondes que sont le logiciel et le matériel. Puis l’on a constaté un point de basculement aux alentours de 2009/2010, avec les premières publications de Joanna Rutkowska sur les bugs des processeurs Intel, des nombreux élèves de l’école « jtag hacking » ou des partisans de la compromission d’Eprom ou d’interception et analyse sans fil (Brossard/Demetrescu, Karsten Nohl, Mike Ossmann, Renaud Lifchitz etc.)… sans oublier Stuxnet, le premier virus officiellement casseur de matériel. Grehack possédait donc en toute logique son volet matériel.

La plus amusante était sans conteste celle de « Phil », honorable membre de l’Institut des bricoleurs indépendants, qui a conduit ses auditeurs dans un voyage technostalgique au pays du cryptage (et non nécessairement du chiffrement) des chaines de télévision payantes Françaises. Une aventure pleine de rebondissements qui débute avec les premières cartes à base de lignes à retard, de mélangeur équilibré MC1496 et inspirée d’un article publié dans les colonnes de la revue Radio Plan. Puis viendront les systèmes Discret, SysTer (Nagravision), et à chaque fois la naissance de décodeurs pirates puis, lorsque les mécanismes d’embrouillage deviennent trop complexes, de clonages de cartes à puce officielles. La télé payante passe au satellite. Changement de médium, changement de protection (Mediaguard) … les décodeurs deviennent communicants, et une petite communauté d’usagers officiels partagent le « secret » du désembrouillage TV devenu quasi inviolable par le biais des méthodes classiques, mais tout à fait contournable. C’est peut-être là la morale de l’histoire et la limite d’un mécanisme de protection lié à une base matérielle lourde à faire évoluer, et qui se veut à la fois pérenne et destinée à un parc d’usagers très vaste.

Hack matériel encore avec une présentation de Ari Takanen/Rikke Kuipers (Codenomicon), dans le droit fil de l’exposé précédent, mais englobant cette fois un champ plus important : le fuzzing des équipements électroniques grand public, et plus particulièrement les nouvelles générations de téléviseurs. Des téléviseurs interconnectés, conçus par des entreprises qui sont très éloignées des problématiques de sécurité informatique, et qui pourtant jouent avec des mécanismes que l’on sait ou que l’on devine vulnérables, principalement en raison d’erreurs d’intégration plus que de conception. Du côté des protocoles de transmission, tout d’abord, avec les DLNA, IPv4, DVB etc., du côté également des électroniques associées, venues tout droit du monde des microordinateurs : mediacenter, boîtiers-décodeurs, interfaces réseau… « En fuzzing, il n’y a pas de faux positif ». A tous les coups l’on gagne, explique Takanen. Et les recherches conduites par l’éditeur Finlandais montrent que les failles sont nombreuses, que « pas une des TV nouvelle génération a su résister à une attaque via DVB ». Jusqu’à présent, jamais le monde des blackhats n’avait eu un tel réseau tentateur à portée de main. Car le téléviseur moderne devient peu à peu, outre un appareil de diffusion passive, une interface familiale d’accès aux réseaux sociaux, aux canaux de sites marchands, aux vendeurs de contenus. Il y a donc là matière à récolter de la donnée personnelle ou détourner des moyens de payement. Et puis, quel beau botnet qu’un botnet de téléviseurs intelligents connectés à Internet… le parc n’a plus rien à voir avec celui d’une informatique informaticienne. Il s’étend même au-delà du simple meuble multimédia, s’interconnecte avec les autoradios et les multiples électroniques mobiles associées (téléphones, appareils audio-vidéo embarqués etc.). De telles perspectives vues avec l’éclairage du passé microinformatique nous réservent des réveils pénibles et des nervousses brékdonnes bien plus violentes qu’une vague Conficker ou qu’un bug de l’an 2000.

Salle comble, avec 160 participants, des intervenants venus du monde entier, des conférenciers aussi passionnants que réputés, un éclectisme des thèmes abordés digne d’un Hackito, un rigorisme technique tout universitaire : GreHack, la toute première conférence sécurité organisée dans le cadre de l’Ensimag (http://ensimag.grenoble-inp.fr/) de Grenoble, laisse présager un avenir prometteur. C’est en effet pour l’heure la seule conférence sécurité se déroulant dans le quart sud-est de la France, à à-peine plus d’une heure de route de Lyon et d’Annecy, à portée d’autoroute de la région Paca, autrement dit en prise directe avec la seconde et la troisième plus grande ville de France. Il ne faudra pas rater l’édition 2013, et espérer qu’elle ne souffrira pas de « l’effet Sttic », cette lutte acharnée pour l’obtention d’une place durant la courte demi-journée d’ouverture des réservations.

Pourtant, pour Fabien Duchène, l’un des organisateurs de la manifestation, la partie n’était pas jouée d’avance. « Il fallait tout d’abord inciter des chercheurs à venir, des chercheurs capables d’offrir aux participants des travaux originaux, et non pas de nous ressortir une présentation ayant déjà été inscrite au programme d’une autre manifestation. Il était ensuite nécessaire que ladite recherche offre toutes les garanties de sérieux et de précision qu’une telle manifestation exige… beaucoup n’ont pas passé le filtre du comité de lecture »… l’une d’entre elle a même été annoncée sur le site Web de GreHack puis refusée in-extrémis.

Il faut dire que la barre a été placée assez haut, avec, en « guest star », une analyse de Kostya Kortchinsky (dans une allocution en direct de Seattle) des possibilités d’exploitation des failles Windows depuis les années 2000. Analyse, précisait l’intervenant, qui n’était en aucun cas l’expression officielle de son employeur (Microsoft) mais le résultat de plusieurs années d’analyse et, précisément, de recherche d’exploits. Kortchintsky travaillait récemment encore pour Dave Aittel, fondateur d’Immunity Sec, entreprise spécialisée dans les tests de pénétration. Sans exploit, pas de pentest, sans expert, pas d’exploit.

Plus qu’un passage en revue à la sauce « trustworthy computing », c’était là une dissection des contre-mesures et des multiples améliorations que Microsoft a apporté au fil du temps à son noyau et applications (DEP, ASLR entre autres choses). Discours appuyé par quelques exemples dont la fameuse faille « ani » CVE-2006-4777, le trou Upnp MS07-019/ CVE-2007-1204 ou la faille TCP/IP MS10-009 largement commentée. Largement commentée mais pas franchement largement exploitée. « depuis 2009, il n’y a pas eu d’exploitation remarquable du code Windows » estime Kostya.
Cette présentation « core code » en suivait une autre, plus « infrastructure », celle d’Eric Freyssinet, sur un sujet déjà abordé mais tellement polymorphe et complexe : la typologie des botnet. Les transparents de cet exposé sont disponibles sur les serveurs de GreHack, tout comme ceux de bon nombre d’autres intervenants.

Une typologie nécessaire, car le Botnet, c’est le fourre-tout de la cyberdélinquance, le véhicule (ou plus exactement le réseau) qui favorise la circulation de spam, de virus, d’opérations scareware, de trafics divers, le tout lié à des filières de blanchiment d’argent. Peu d’organismes publics ou indépendants se sont penchés sur ces toiles complexes. Dancho Danchev à l’époque où il était chercheur indépendant, quelques experts de l’Unicri comme Raoul Chiesa, aucun, pourtant, n’a observé une démarche aussi méthodique et complète. A ne pas lire avant de se coucher, on finirait par voir des cybertruands de partout.

Le CNRFID et le CNR Santé organisent du 5 au 7 novembre 2012 à Nice, la 3ème édition de l’International RFID Congress. Au programme, les RFID et NFC dans la santé, l’autonomie et le bien-être. En ces temps où il ne se passe pas un mois sans un hack magistral et la mise en évidence d’énormes erreurs d’intégration de ces technologies, ce complément d’information arrive à point nommé.

L’accès à cette manifestation est gratuit pour les professionnels concernés, mais l’inscription préalable est obligatoire.

Les 10 sujets de conversation les plus « trollesques » du monde de la sécurité ? C’est Richard Bejtlich qui les énumère dans un court billet humoristique. D’autres idées ?

Il n’est de meilleure incitation à la migration des logiciels Microsoft que le Cloud Google : après l’annonce d’abandon de compatibilité avec Internet Explorer 8, la Schmidt Company déclare vieillots et frappés d’obsolescence, les formats .doc, .xls et .ppt

C’est dans le milieu de la journée du samedi 22 septembre (en France) que la rustine ms12-063 a été « poussée » par les serveurs de Microsoft Update.

Microsoft encore, Internet Explorer toujours : une mise à jour Flash Player pour IE 10 a fait l’objet d’une émission de correctifs. L’intégration de Flash de manière native dans la plus récente version des MS-navigateurs risque de nous réserver quelques surprises et pas mal de correctifs hors calendrier à l’avenir. Car désormais, ce ne sera plus à Adobe, mais à Microsoft qu’échoira la responsabilité de maintenir ce qui est considéré par beaucoup comme le bâton de poulailler des navigateurs.

Au total, cinq trous ont ainsi été colmatés : le couple MS12-063 et 2755399 est donc un « cumulatif IE out of band » fragmenté. Une nouvelle tendance ?

On ne sait s’il faut hurler de rire ou se lamenter devant tant d’inconséquence, lorsque l’on se plonge dans la lecture du papier de Radu Dragusin, expert sécurité travaillant pour le compte du Danois FindZebra : près de 100 000 login et mots de passe de membres de l’IEEE* étaient stockés en clair sur une ressource ftp, parmi un amoncellement de données diverses : statistiques de serveur Web, historique des requêtes http etc. Dragusin, dans sa grande sagesse, ne publie aucun passage, même savoureux, des données exposées. Rappelons toutefois que l’IEEE donne souvent des avis sur l’usage des protocoles sécurisés, légifère sur ceux que l’on doit adopter, et émet régulièrement des conseils de bonne pratique avec un ton qui fleure plus l’oukase technique que l’amicale suggestion.

Notons toutefois que notre spécialiste Danois s’est livré à un petit jeu statistique sur la distribution et la solidité des mots de passe utilisés par les membres du réseau de l’IEEE. On y trouve en première place l’inévitable 1234, le nécessaire 123456, ainsi que le plus évolué 12345678 ou l’extraordinairement complexe 1234567890, sans oublier les habituels Password et Admin. On ne peut exiger de l’IEEE une politique de sécurité plus élaborée que celle de la Banque de France, tout de même.

*ndlc Note de la Correctrice : IEEE, docte organisme de normalisation d’Outre Atlantique signifiant « Institute of Electrical and Electronics Engineers ». Leur IETF à eux, en quelques sortes. Les gens branchés prononcent ce sigle à l’américaine, en prononçant « Aille tripeul-hi », ce qui n’a bien entendu strictement aucun rapport avec la capitale de la Libye. Mais ça fait très bien dans une conversation.