Année 2009

 

Mardi 8 décembre [Thomson]

La séance aura lieu à Thomson R et D France, 1 avenue Belle Fontaine, Cesson Sévigné. Une pièce d'identité sera nécessaire pour accéder aux locaux.

  • "Analyse d'un botnet artisanal", Julien Lenoir (ESEC Sogeti)

Suite à une réponse sur incident viral chez un de nos clients, nous avons été amenés à étudier un botnet. Analyse des binaires, cartographie du réseau des serveurs de contrôle et étude du 'business model' mis en œuvre nous ont permis de mieux cerner le profil des attaquants. Plus investisseurs et opportunistes que véritables professionnels, leur entreprise n'en reste pas moins efficace.

  • "Design et implémentation d'une solution de filtrage ARP", Patrice Auffret (Thomson) [PDF]

Dans une entreprise, certains métiers sont difficilement conciliables avec un lourd filtrage de l'accès à Internet (proxy HTTP avec authentification, filtrage par listes blanches/grises/noires). C'est dans ce cadre que nous avons mis en place une architecture permettant un accès "full Internet" contournant ce filtrage, et permettant de se prémunir contre le double attachement afin d'éviter la contamination d'un lien réseau a un autre. Nous allons montrer comment la solution a été pensée et implémentée au travers d'un outil de filtrage ARP.

Jeudi 22 octobre 2009 [Orange Business Services]

  • "Suivi de sécurité des VPN MPLS", Christophe Anselme-Moizan (Orange) [PPT]

 L'intranet fourni au client par l'opérateur a migré d'une technologie FR ou ATM vers MPLS/VPN. Cette technologie, comme les précédentes, permet d'offrir au client un VPN construit sur une infrastructure mutualisée. Elle apporte plus de flexibilité et d'efficacité. Lors de cette migration, se pose bien sur la question de la sécurité. Il est admis que le niveau de sécurité du MPLS/VPN est équivalent à celui du Frame Relay sous certaines conditions. Cette présentation donne d'abord un aperçu de la technologie MPLS/VPN. Elle expose ensuite la problématique de sécurité qui conduit à intégrer un suivi de sécurité des VPN MPLS dans les mesures mises en oeuvre par l'opérateur pour assurer la sécurité des VPN. Enfin, elle fournit un aperçu de la façon dont ce suivi est mis en oeuvre par Orange Business Service au travers d'un outil.

  • "Retour sur la conférence ESORICS", Olivier Heen (INRIA)

ESORICS 2009 s'est tenue à Saint Malo les 21-22-23 September 2009. Je donnerais un bref aperçu des principaux papiers présentés. Puis je détaillerai les nouveauté qui m'ont paru le plus intéressantes, comme l'attaque "coremelt" ou la détection de code crypto.

 

Mardi 16 juin 2009 [ETI]

  • "Mesure et analyse du contenu pédophile dans eDonkey", Guillaume Valadon (CNRS - UPMC) [PDF]

    L'objectif de nos mesures est de collecter des informations précises sur le système eDonkey telles que requêtes, noms de fichiers ou bien encore la première apparition d'un client. L'analyse de ces données vise à améliorer la connaissance des contenus pédophiles échangés dans les système pair-à-pair. Dans cette présentation, nous détaillons les mesures que nous avons mis en oeuvre ainsi que les résultats obtenus.
  • "Oracle : a new hop", Erwan Abgrall (Kereval) [PDF]

    L'accès aux données d'un backend sql est souvent considéré comme le point final d'un pen-test sur une application web, mais avec des backend sql de plus en plus riches en terme de fonctionnalité, et l'essor des webservices, les bases de données ne sont plus cantonné au fond du SI dans une dmz isolée, mais sont devenu de véritables noeuds d'interconnexion entre SI. Il ne faut donc plus considérer l'accès au sgbd comme une fin en soit, mais comme un point d'appuis pour pénétrer en profondeur dans les SI.

    Nous verrons comment un attaquant, partant d'une simple injection SQL peut rapidement transformer une base de données Oracle en un proxy http, ainsi que les outils qui sont à sa disposition pour facilité sa tâche. Nous terminerons par quelques recommandations pour palier à de tels risques.

Jeudi 23 avril 2009 [ST ERICSSON]

  • "Mécanismes de surveillance et de protection dans un réseau P2P", Soufiane Rouibia (Responsable R&D à TMG) [Support non disponible]

    Une caractéristique importante des applications peer-to-peer (P2P) est qu'il y a peu ou pas de contrôle central ; chaque noeud peut agir comme client et serveur simultanément. Plusieurs techniques sont utilisées par ces applications (pièce de taille variable, techniques de hachage, mesure statistique...) pour prévenir un ensemble d'attaques (empoisonnement, Free-Riding...) et veiller à ce que seules les vraies données du contenu sont partagées entre les différents noeuds du réseau. Malgré tous ces mécanismes de protection, les réseaux P2P de partage et de réplication de contenus sont constamment sous attaques. Dans cette présentation, nous exposons une technique de surveillance de l'intérieur du réseau, basée sur un ensemble de clients contrôlés. Ce mécanisme peut être aussi utilisé pour des fins de protection dans un réseau P2P ouvert.

  • "De DNS à DNSsec, le chemin de la sécurité", Francis Dupont (ISC) [PDF/TBZ2]

    Le DNS (Domain Name System) est un service critique de l'Internet objet d'attaques diverses dont la dernière a été découverte et publiée à grand bruit par D. Kaminsky l'été dernier (1). Le principal dispositif de sécurité du DNS est DNSSEC (2) qui consiste à protéger les données par un mécanisme de signature (RSA et DSA) suivant la hiérarchie du nommage. Après un développement douloureux (problèmes techniques avec le mécanisme de délégation et le codage des non-existences) DNSSEC est proposé aujourd'hui par quelques toplevel domains dont .se, .br, .org et surtout .gov. Il est certain que l'objectif ultime, la signature de la racine, sera bientôt rempli mais à une date encore inconnue. Francis Dupont est ingénieur en chef de l'armement en retraite travaillant à mi-temps pour l'ISC (Internet Systems Consortium Inc.) qui est la société à but non lucratif produisant entres autres BIND, de loin le serveur DNS le plus utilisé dans l'Internet. Références :
    1 - Failles DNS de Dan Kaminsky
    2 - RFC 403[345]

Mardi 17 février 2009 [Thomson]

  • "Hynesim: plate-forme distribuée de simulation réseau hybride", Florian VICHOT, Hynesim.org (Developper & Project Coordinator) & Guillaume PRIGENT, Hynesim.org (Project leader & Architect) [PDF]

    Hynesim est un projet open source de simulation de réseau développé par Diateam pour le compte de la DGA/CELAR. Reposant sur diverses technologies de virtualisation, il offre la possibilité de simuler des réseaux complexes tout en minimisant les ressources matérielles nécessaires. Son approche hybride permet de mêler équipements réels et virtuels au sein d'une même simulation. Enfin, grâce à une approche distribuée, il est possible de répartir la charge de la simulation sur plusieurs serveurs, et même d'interconnecter différentes simulations à travers Internet. Cette présentation commencera par un bref historique et une justification des approches retenues, puis nous procédons à la présentation de l'architecture du projet et de certaines implémentations techniques ainsi que diverses démonstrations d'usage. Pour conclure, nous effectuons une synthèse en exposant les évolutions principales prévues.

  • "IpMorph: vers la mystification de la prise d'empreinte de pile", Guillaume PRIGENT (guillaume.prigent@diateam.net) [PDF]

    Au travers du projet IpMorph, nous souhaitons montrer de manière pédagogique qu'il est possible de réaliser une pile TCP/IP 'userland' en C++ dont le but est de mystifier la plupart des outils de prises d'empreintes au niveau de la pile TCP/IP. Aussi bien au niveau actif qu'au niveau passif, notre approche consiste à unifier toutes les signatures des sondes au sein d'une seule base de personnalités. Le paramètrage de la pile IpMorph (aussi bien au niveau de ses attributs que de ses branchements algorithmiques) est effectué depuis ces personnalités. L'architecture d'IpMorph permet de le placer en coupure entre 2 cartes réseaux ou bien afin de masquer des instances de machines virtuelles (via l'emploi d'interfaces virtuelles type "tap"). Au niveau TCP, IpMorph effectue principalement un suivi de session TCP (côté attaquant et côté cible à protéger) afin d'assurer la réécriture complète des paquets conformément aux attentes des outils d'analyses. Nous profitons de cet exposé afin de présenter nos objectifs et notre état de l'art. Nous présentons les concepts et l'architecture d'IpMorph ainsi que quelques focus techniques sur certaines de ses spécificités. Enfin, nous effectuons un point d'avancement ainsi qu'une synthèse en présentant les perspectives et les limitations actuelles.