Programme de la JSSI 2004
La journée de la Sécurité des Systèmes
d’Information, un événement sécurité
organisé par l’OSSIR, aura
lieu le mardi 4 mai 2004.
Salle des congrès,
Ministère de l'Industrie et des Finances
20, avenue de Ségur
Paris VII
Modalités de participation :
- 75 Euros pour les non adhérents
- 15 Euros pour les adhérents de l’OSSIR
Une inscription par mail avant le 16 avril 2004 est indispensable pour
pouvoir assister à cette journée.
Votre inscription ne sera validée qu’après
réception du règlement (par courrier postal
adressé à l’OSSIR).
OSSIR
BP 143
75224 Paris Cedex 05
Le nombre de place disponible pour cette journée étant
limité, les premiers inscrits seront les premiers servis.
Adresse pour l’inscription : jssi@ossir.org
L'OSSIR ne dispose pas de fax, ni de téléphone. Le MAIL,
ainsi que le courrier papier, sont les seuls contacts possibles
pour l'inscription à la JSSI.
Programme de la journée "Virus, vers et code mobile,
menaces"
8h30 : accueil des participants
9h00 : ouverture de la journée
09h15 - 10h : 1A, Guillaume Arcas (Consultant indépendant),
IDS, Vers
et Statistiques : de la théorie à la pratique ?
10h00 - 10h45 : 1B, Philippe Bourgeois (Ingénieur sécurité au Cert-IST),
Blaster, Sobig-F, AutoProxy, Mydoom : Comment faire face aux nouvelles
crises virales ?
10h45 - 11h15 Pause
11h15 - 12h : 2A, Nicolas Fischbach (Senior Manager, IP
Engineering/Security COLT Telecom),
Les FAI face aux virus et aux vers
12h00 - 13h : 2B
Table Ronde, modérateur Michel Miqueu (CNES),
"Vers, virus, spam , le déni de service !"
Avec la participation de M. Didier Gras (Directeur Sécurité, Noos), Mme
Danielle Kaminski (Journaliste, Chercheur en Cybercriminalité), M.
Eric Wiatrowski (France Telecom-SGE-Transpac, Directeur Délégué à la
Sécurité / CSO), et M. Jacques Beigbeder (ENS, responsable du Service de
Prestations Informatiques)
13h00 - 14h30 Repas
14h30 -15h10 : 3A, Nicolas Ruff (Consultant
Sécurité, Expert Windows et codes malveillants, EdelWeb),
La mobilité du code malveillant
15h10 - 15h50 : 3B, Vanja Svajcer (Team Leader -
Virus Researcher, Sophos), Etat des
lieux des dernières techniques antivirales
15h50 - 16h 20 Pause
16h20 - 17h : 4A, Eric Detoisien (Ingénieur
Sécurité), Eyal Dotan (Directeur R&D TEGAM
International), API Win32 ancestrales
pour Chevaux de Troie hyper furtifs
17h00 - 17h40 : 4B, Jean-Baptiste Marchand
(consultant en sécurité, HSC), Ethereal : un analyseur réseau
à usages multiples
17h40 - 17h50 Clôture de la journée
Détail des interventions
Première session
1A- IDS, Vers et Statistiques : de la
théorie à la pratique ?
Conférencier : Guillaume Arcas (Consultant indépendant),
Résumé de
l’intervention :
Sachant qu'il faut compter deux heures au mieux pour qu'un
éditeur d'antivirus ou d'IDS puisse fournir l'empreinte virale
ou la signature idoine d'un nouveau ver, et compte tenu du fait que les
vers de dernière génération ont récemment
démontré leur capacité à se propager de
façon fulgurante, il devient nécessaire de
réfléchir à des méthodes elles-aussi
rapides de détection de ces codes et de leurs activités.
L'approche statistique semble de prime abord représenter la voie
la plus prometteuse en la matière : elle ne nécessite pas
de base de connaissance (signatures, empreintes, etc.) ni la mise en
oeuvre de moyens techniques coûteux ou gourmands. Après un
rapide tour d'horizon des fondements théoriques sous-tendant
cette démarche, il nous a semblé intéressant d'en
évaluer la portée et éventuellement les limites
à travers quelques exemples de mise en oeuvre pratique à
l'aide, notamment, de logiciels libres/opensource.
A propos de M. Arcas :
Après quelques années passées à "observer"
le monde d'Internet et l'émergence des technologies dites
"nouvelles" au sein d'un cabinet de veille, j'interviens, depuis 1997,
pour des missions d'adminitration système (majoritairement Unix)
et réseaux (TCP/IP) ou d'ingénierie
Sécurité (avec un fort tropisme pour la détection
d'intrusion) en tant que consultant indépendant (depuis 2002)
auprès d'entreprises grandes et/ou moyennes de tous secteurs
(majoritairement industrie et télécoms).
1B- Blaster, Sobig-F, AutoProxy, Mydoom : Comment faire
face aux nouvelles crises virales ?
Conférencier : Philippe Bourgeois (Ingénieur
sécurité au Cert-IST),
Résumé de
l’intervention :
La propagation massive du ver Blaster au cours de l'été
2003 et les virus qui se sont répandus massivement plus
récemment ont montré que la menace virale avait
changé.
En se basant sur son savoir faire propre, ainsi que sur le retour
d'expérience de ses Partenaires dans des crises telles que
Blaster, Sobig-F, Autoproxy ou Mydoom, le Cert-IST exposera les
solutions techniques et l'organisation qu'il recommande pour la gestion
de ce type de crises.
A propos de M. Bourgeois :
Philippe Bourgeois est consultant en sécurité
informatique depuis 1993. Il travaille au Cert-IST depuis près
de 3 ans, en particulier sur la réponse organisationnelle et
technique face aux incidents de sécurité.
Deuxième session
2A- Les FAI face aux virus et aux vers
Conférencier : Nicolas Fischbach (Senior Manager, IP
Engineering/Security COLT Telecom)
Résumé de
l’intervention :
Face aux dénis de service et aux formes récentes de virus
et de vers bon nombre de fournisseurs d'accès et de services
Internet ont dû revoir leur politique de filtrage IP. En effet,
beaucoup de personnes estiment que c'est le rôle du FAI de
filtrer ce type de trafic alors qu'à l'origine il
n'était/n'est censé fournir qu'un service de
connectivité IP à l'Internet et protéger son
infrastructure réseau pour en assurer la disponibilité.
Après avoir présenté quelques parasites et leurs
effets, nous allons discuter de différents moyens de
détection (Netflow, pot de miel, "syphon" réseau, etc) et
de protection (filtrage distribué, contrôle d'accès
au réseau, environnement réseau restreint, etc) ainsi que
des problématiques opérationnelles (que filtrer, comment,
pour combien de temps, etc ?).
A propos de M. Fischbach :
Nicolas FISCHBACH est Senior Manager chez COLT Telecom et dirige
l'équipe sécurité au sein du département
européen d'ingénierie IP. Il est également
co-fondateur de Sécurité.Org, un site web francophone
dédié à la sécurité informatique,
d'eXperts, un groupe informel de spécialistes
sécurité ainsi que du chapitre francais du Honeynet
Project.
Nicolas participe à de nombreuses conférences (BlackHat
Briefings, CanSecWest, Defcon, JSSI, Eurosec, NANOG, Cisco Systems,
RIPE, SwiNOG, Libre Software Meeting, etc) également comme
membre du comité de programme (SSTIC), publie des articles
(MISC) et donne des cours dans différentes écoles et
universités (HEC, Université de Genève, ITIN,
etc). Pour plus d'informations: http://www.securite.org/nico/
2B- Table ronde , modérateur Michel Miqueu (CNES),
"Vers, virus, spam , le déni de service !".
Avec la participation de M. Didier Gras (Directeur Sécurité, Noos), Mme
Danielle Kaminski (Journaliste, Chercheur en Cybercriminalité), M.
Eric Wiatrowski (France Telecom-SGE-Transpac, Directeur Délégué à la
Sécurité / CSO), et M. Jacques Beigbeder (ENS, responsable du Service de
Prestations Informatiques)
Troisième session
3A- La mobilité du code malveillant
Conférencier : Nicolas Ruff (Consultant
Sécurité, Expert Windows et codes malveillants, EdelWeb)
Résumé de
l’intervention :
Aujourd'hui les buzzwords "nomadisme" et "mobilité" deviennent
des concepts de plus en plus flous devant la multiplication des normes
et des technologies accessibles au plus grand nombre. Par delà
les effets d'annonce sur le WiFi, le GPRS et autres, cette
présentation a pour objectif de présenter les
technologies rencontrées en entreprise et leurs impacts sur le
transport de codes malveillants auxquels ont été
confrontés nos clients. Nous verrons pourquoi les solutions les
plus couramment employées (antivirus, firewalls personnels) ont
montré leur limites lors des épisodes "Slammer" et
"Blaster", et comment les nouvelles technologies d'échange de
données menacent dangereusement les fondements des
schémas de protection actuels. Une parenthèse sera
ouverte sur le cas des nouvelles solutions proposées par Windows
2003 et Cisco. Enfin le dogme de la défense
périmétrique sera revisité par le concept de
défense en profondeur, avec un exemple de mise en oeuvre
pratique en entreprise.
A propos de M. Ruff :
Nicolas RUFF est expert en sécurité Windows et codes
malveillants au sein de la société EdelWeb / Groupe ON-X.
Il a mené avec succès de nombreuses missions d’assistance
sécurité à la migration de Windows NT4 vers
Windows 2000/XP/2003, ainsi que des audits de sécurité et
de réponse sur incidents de sécurité, et enfin des
missions de sécurisation de serveurs dans des environnements
classifiés. Il est l’auteur de nombreuses publications sur la
sécurité Windows dans la presse spécialisée
(ex. magazine MISC) et sur Internet, dispense des formations sur le
sujet au sein de différents organismes, et anime le groupe
Sécurité Windows de l'OSSIR depuis 2 ans.
3B- Etat des lieux des dernières techniques
antivirales
Conférencier : Vanja Svajcer (Team Leader - Virus Researcher,
Sophos)
Résumé de
l’intervention :
Depuis l'apparition du premier virus écrit pour les
systèmes Windows 32bit (W95/Boza), les codes malicieux pour les
plates-formes Win32 sont devenus les plus répandus de
tous. Ils ont aussi évolué en complexité,
passant de simples virus métamorphiques et vers "mass-mailer" se
diffusant à travers Microsoft Outlook, à des vers
exploitant les vulnérabilités des systèmes
d'exploitation pour se propager. Les nombreuses innovations des
créateurs de codes malicieux pour rendre la vie plus difficile
aux chercheurs de virus ont sucité la mise au point de nouvelles
techniques de défense. Cette présentation passera en
revue à travers plusieurs études de cas les
dernières techniques de codes malicieux et les solutions
développées par les éditeurs d'anti-virus.
A propos de M. Svajcer :
Vanja a rejoint le Laboratoire antivirus de Sophos en Novembre 1998,
comme chercheur de virus, après avoir travaillé sur des
outils de "datamining" dans des architectures IBM AS/400. Il est
l'auteur de plusieurs analyses de virus publiées dans le "Virus
Bulletin" et contribue à plusieurs groupes de travail et
initiatives de la communauté des éditeurs de logiciels
antivirus. Vanja a mené des recherches sur un large
spectre de codes malicieux, basés sur DOS, les scripts, les
macros, Unix et Windows. Ses centres d'intérêt incluent
les techniques de détection antivirales, ainsi que la
réplication automatique et l'analyse de virus. Vanja est
titulaire d'un diplôme d'Ingénieur en Informatique de
l'Université de Zagreb en Croatie.
Quatrième session
4A- API Win32 ancestrales pour Chevaux de Troie hyper
furtifs
Conférencier : Eric Detoisien (Ingénieur
Sécurité), Eyal Dotan (Directeur R&D TEGAM
International)
Résumé de
l’intervention :
Cette présentation montre comment employer des techniques de
programmation Win32 connues pour mettre au point des Chevaux de Troie
furtifs adaptés à des environnements
sécurisés. Le Cheval de Troie se base sur des
méthodes génériques d'attaque d'un système
Windows avec des privilèges limités au strict minimum. Il
se doit d’être autonome et de trouver lui-même les
protocoles autorisés et les mots de passe afin d’obtenir un
accès sur le monde extérieur. L’objectif vise à
démontrer que seule une prévention stricte et rigoureuse
est capable d'éviter l’introduction d'un tel Cheval de Troie.
A propos M. Detoisien :
Eric DETOISIEN est un expert en sécurité informatique
travaillant actuellement pour une banque française. Ses
expériences précédentes dans le milieu
professionnel de la sécurité des systèmes
d'information l'ont conduit à mener des missions d'audit, de
test d'intrusion, de conception d'architecture sécurisée
et de formation. Il est l'auteur de plusieurs articles parus dans le
magazine de sécurité français MISC. Il fait partie
en outre d'un groupe nommé RSTACK composé de
passionnés de sécurité informatique. Plusieurs de
ses divers projets de développement sont accessibles sur le site
http://valgasu.rstack.org
A propos de M. Dotan :
Auteur du logiciel ViGUARD, Eyal DOTAN travaille sur des
méthodes de protection innovantes contre le code malveillant, en
se concentrant sur la prévention, avec à son acquis la
seule protection à avoir détecté sans
connaître à l'avance : ILOVEYOU, Melissa, Klez, Blaster et
autres. Il est l'auteur de plusieurs brevets américains et
européens dans le domaine de la sécurité
informatique. Ayant étudié aux Etats-Unis (University of
California, Santa Cruz) et en France (EPITECH) où il y enseigne
aujourd'hui la sécurité informatique, le code malveillant
et les méthodes de protection aux futurs ingénieurs
informatique.
4B- Ethereal : un analyseur réseau à
usages multiples
Conférencier : Jean-Baptiste Marchand (consultant en
sécurité, HSC)
Résumé de
l’intervention :
Ethereal (http://www.ethereal.com/) est un analyseur réseau
disponible en logiciel libre et fonctionnant sur les systèmes
d'exploitation des familles Unix et Windows NT. Ethereal supporte non
seulement un grand nombre de protocoles réseaux de tout type
mais dipose également d'un certain nombre d'outils permettant
d'analyser efficacement des données collectées sur un
réseau. Après une brève introduction à
l'utilisation d'ethereal comme analyseur réseau classique, la
présentation décrira, avec des exemples pratiques, des
cas d'utilisation possibles pour détecter et analyser des codes
mobiles de type vers.
A propos de M. Marchand :
Jean-Baptiste Marchand est consultant en sécurité
informatique au sein du cabinet HSC depuis 2001. Il possède une
connaissance approfondie des systèmes d'exploitation du
marché (systèmes Unix et Windows) et a eu l'occasion de
faire des présentations à des conférences
internationales autour de la sécurité informatique
à travers l'Europe (SambaXP03,HiverCon03). Il contribue
régulièrement au développement d'analyseurs pour
de nouveaux protocoles supportés par ethereal.