10 mai 2016, RV à l’Intercontinental Paris Avenue Marceau
En pleine mutation ? Comment savoir si on a été attaqué ? Comment tracer une attaque ? Comment nettoyer son SI ? Comment se protéger ? se défendre ?
Numérisation de l’entreprise, évolution du Système d’Information, rôle des Dirigeants, DSI, RSSI, départements métier, DRH … c’est toute l’entreprise qui est en pleine mutation. Un SI en perpétuelle évolution et sans frontière physique, qui avec le Cloud voit apparaître de nouveaux services internes et externes, à un rythme soutenu. De nouvelles manières de travailler, l’apparition d’Objets Connectés dans le quotidien professionnel … autant de raisons de faire régulièrement le point sur les vulnérabilités et menaces qui pèsent sur l’entreprise car il est difficile d’imaginer et mettre sur pied une stratégie de protection et de défense sans connaître les risques encourus. Comment savoir si on a été attaqué ? Comment tracer une attaque ? Comment nettoyer son SI ? Comment se protéger ? se défendre ?
Autant de questions et sujets auxquels répondront le 10 mai matin des experts Sécurité reconnus, Consultants, Avocats, Acteurs, Chercheurs, Responsables sécurité ou DSI. De la théorie à la pratique, des risques et menaces aux conseils ou solutions potentielles : une matinée d’Informations concrètes, de Sensibilisation et de Networking.
CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).
InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 av. Marceau, Paris 8
Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.
Mention spéciale à Florian Hammers (Tenable) avec son « 8 security lessons from 8bit games », qui a su faire salle comble avec un parterre de spectateurs attendant un cours magistral sur le retrogaming/retrohacking à grand renfort de C64, Pet Comodore et autres Oric Atmos et ZX81. Hélas il n’en fût rien, le discours se limitant à énoncer les bases des « bonnes pratiques » que l’on ressasse lors des réunions de sensibilisation à la SSI. Dans une autre salle, au même moment, Nick Stephens déroulait son « Million Dollar Baby: An “angr”y Attempt at Conquering the DARPA CGC ». Plus d’un auront regretté d’avoir manqué cette discussion à propos d’Angr, plateforme d’analyse de binaires.
Insomni’hack 2016 s’achevait par une plénière de clôture totalement déjantée, animée par le plus Breton des responsables sécurité Helvétique, Bruno Kerouanton. Lequel offrait à l’assistance un patchwork de séquences vidéos, de chansons loufoques sur l’impossible rôle du RSSI en entreprise, d’extraits de films au langage pseudo technoïde et de références subtiles allant de « the IT Crowd » au traité de management ou aux ouvrages de sociologie contemporaine. Le métier de Ciso, résume-t-il, relève tantôt de « Mission : Impossible », tantôt de « On doit vivre dangereusement ». Poste moitié technique, moitié stratégique, métier en éternelle recherche d’une queue de budget ou d’un cyber-parapluie miracle, le siège de super-RSSI n’est pas une sinécure. Ce n’est pas une raison pour se complaire dans l’auto-affliction, explique Kerouanton, tout en arrosant l’assistance d’une pluie de paquets de céréales de marque Nerds. Il sera difficile de faire mieux l’an prochain.
Le traditionnel CTF -qui traditionnellement se déroule une fois les dernières conférence achevées- a été remporté haut la main par l’équipe DragonSector, qui a battu ses concurrents de plusieurs longueurs
Moins d’IoT, plus de rançons, de crimes, de spam, de pluies de malwares et de bot-herders avec la conférence de Maxim Goncharov (Trend Micro) « Criminal Hideouts for Lease: Bulletproof Hosting Services ». Cette présentation avait déjà été donnée à l’occasion de Pac_Sec, au Japon. Qui, au sein de la communauté des Cert et autres Response Team, s’intéresse de près aux hébergeurs à haute disponibilité, qui louent leurs services aux cyber-mafieux ? Ils sont très peu, en fait. L’un des premiers, des plus tenaces, fut longtemps Dancho Danchev, lequel inlassablement listait les liens qui unissaient les différents prestataires Russes et Ukrainiens et les groupes mafieux du Russian Business Network et leurs héritiers. Depuis que Danchev a cessé ses publications, Goncharov a repris le flambeau. Il publiait d’ailleurs en juillet dernier une étude complète sur ces hébergeurs véreux. Des opérateurs pour truands qui imposent à leurs clients des règles morales très élastiques. « Pas de pédopornographie… sans en discuter avec l’opérateur. Pas d’attaque visant le marché Russe ou Ukrainien ». Mais depuis les récents affrontements entre Moscou et Kiev, les coups de canifs au contrat sont nombreux. « Il suffit parfois de lire les accroches publicitaires de ces entreprises pour deviner le profil des clients ». Certains mettent en avant leurs capacités de hosting et leurs datacenter situés à l’étranger, fort utiles pour brouiller les pistes et les origines d’une attaque, d’autres tentent de charmer les spécialistes du racket au dénis de service en proposant des grappes de machines virtuelles en location à court terme, d’autres encore vantent leurs capacités en bande passante et l’efficacité de leur force de frappe lors de campagnes de malwaretizing ou de spam. « Leurs catalogues ressemblent à ceux des prestataires occidentaux, à la différence près qu’ils ne proposent ni suite bureautique, ni agenda partagé, ni support aux forces de ventes, mais des C&C as a service, des adresses IP mobiles, des serveurs Torrent, des pseudo sites SEO… et en prime, de véritables sites légitimes piratés par leurs soins qu’ils peuvent « sous-louer » dans le cadre d’attaques en DdoS ou phishing, des pans entiers de sites d’hébergement secondaires (Amazon, OVH) ainsi transformés en hébergeurs mafieux malgré eux »
La seconde couche était passée par Axelle « Cryptax » Apvrille (Fortinet). Une approche plus technique, les objets de l’Internet ayant fait l’objet d’une opération d’ingénierie inverse étant respectivement une paire de lunettes (sous Android), une brosse à dent (qui discute avec tout smartphone via une liaison BLE), et une …. Centrale d’alarme, également sous Android, laquelle a l’extrême politesse de transmettre via SMS son propre mot de passe ainsi que le numéro de téléphone de l’intéressé. Même un effacement de la « boîte de courriers sortant » ne permet de conserver le secret du mot de passe. Les « transparents » de la conférence de Cryptax peuvent être récupérés sur l’espace de stockage Fortiweb.
Tout comme lors de ses dernière présentations (le hack des montres Fitbit), Axelle Apvrille insiste sur les risques élevés de fuites de données personnelles. Rien n’est plus personnel qu’une brosse à dent, plus « permanent » et attaché à la personne qu’une paire de lunettes de sport…
Et de trois, avec Candid « Mylacoon » Wueest (Symantec), qui remplaçait au pied levé Sylvain Maret. Un Candid Wueest qui craignait que Cryptax ne fasse un exposé trop proche du sien. Il n’en fut rien. Les propos du chercheur étaient moins techniques, moins tactiques que stratégiques.« Le Web, explique-t-il, est devenu un monde dans lequel les attaques, le chantage à la rupture de service sont monnaie courante. Que la menace soit celle d’un cryptovirus ou d’une publication sur Pastebin, le cyber-racketeur poursuit toujours un unique but : extorquer de l’argent de victimes incapables de se défendre car techniquement dépendantes d’un outil informatique qu’elles ne maîtrisent pas, ou peu. Il est quasiment certain que cette dérive va toucher le secteur IoT. Son adoption rapide sur le marché grand public, le manque d’attention porté à l’intégration de règles de sécurité « by design », la quasi omniprésence de ces objets en relation directe avec nos habitudes de vie, tout ça en fait une cible quasi certaine des sphères techno-mafieuses ». Et de fournir quelques exemples, prouvant que la solidité de l’IoT se limite en général à celle du système de collecte de l’information, autrement dit une boîte Linux ou un Android embarqué. Plus les objets de l’Internet nous seront indispensables, plus leur compromission présentera un handicap pour ses usagers, du « soft hacking » qui exploite des fuites d’informations susceptibles d’intéresser une compagnie d’assurance (laquelle peut moduler ses primes en fonction de ces données personnelles jugées plus ou moins « à risque » (au verrouillage de l’IoT débloqué contre versement d’une rançon versée en Bitcoin).
Si, l’an passé, la conférence sécurité Genevoise avait bien timidement abordé les problèmes liés à la sécurité de l’informatique embarquée automobile, son édition 2016 a littéralement mis les pieds dans le plat de l’IoT. S’il fallait une seule phrase pour résumer le discours des chercheurs, ce serait « Peut mieux faire : de bonnes idées, mais une intégration bâclée et un travail rendu trop rapidement. Apprenez à réfléchir ».
Apprenez à réfléchir. C’est le cri d’alarme que pousse Beau Woods au fil de son intervention intitulée « A Hippocratic Oath for Connected Medical Devices ». Rien de particulièrement nouveau sous le soleil, ce cyber-serment d’Hippocrate avait été rapidement brossé en janvier dernier dans un billet de blog rédigé par Woods lui-même. Ses travaux, ainsi que ceux de tous les participants du mouvement « I am the Cavalry », expliquent clairement le manque de compétence et d’attention dont font preuve les intégrateurs du domaine de l’instrumentation médicale. Entre les hacks de pacemakers et les intrusions dans les électroniques des pompes à insuline, en passant par les razzias effectuées sur les fichiers d’imagerie médicale (ou les parachutages de crypto-malwares), le capital confiance dont bénéficiaient les professionnels de l’électronique médicale s’érode peu à peu. Et rien, ou si peu, est fait pour que cette situation s’améliore, déplore Woods. Et de recommander ces « règles d’un Owasp médical » à la fois si simples à comprendre, si difficiles à mettre en place : une sécurité by design, le recours aux conseils de professionnels de la sécurité qui savent, des outils de conservation des traces et des preuves recevables, des mécanismes de mise à jour, le tout protégé par des appareils résilients dans le cadre d’une architecture segmentée pour limiter les risques de propagation. Il reste à espérer que le clairon de la cavalerie ne se fera pas entendre trop tard au sein des grands OEM du milieu médical, automobile, de l’habitat ou des infrastructures publiques.