28 Juin. 22 Actualités
SSTIC 20ème édition - Retour sur les 3 jours de conférence
Le SSTIC est une conférence de sécurité française qui se tient chaque année à Rennes début juin.
Comme pour l’édition de 2018, nous vous proposons ici une sélection de présentations qui s’y sont déroulées, par thématiques, avec des liens vers les articles et vidéos associés.
Analyse forensique
- Smartphone et forensique : comment attraper Pégasus for fun and non-profit: Un des membres de l’équipe Amnesty International, ONG qui se bât pour la défense des droits de l’Homme, nous a parlé des attaques menées contre les journalistes et opposants politiques. Cette conférence s’est principalement concentrée sur l’analyse du logiciel espion Pégasus fourni par la société NSO Group. L’investigation a lieu en plusieurs étapes: recherche de différents indicateurs de compromissions (IOC) pouvant être présents sur les téléphones portables des personnes ciblées et automatisation de la récolte d’informations sur un smartphone via le développement d’outils utilisant les différentes fonctionnalités qu’il propose telles que les backups. Les outils et la méthodologie ont été rendus publiques.
- Analyse forensique de la mémoire de GnuPG: GnuPG est un outil utilisé pour la réalisation d’opérations cryptographiques telles que la signature et le chiffrement de mails ou encore la signature de commits avec Git. L’agent chargé de la gestion des phases et clés secrètes stocke ces dernières en mémoire. Le thème principal de cette présentation était l’analyse du mode de stockage des clés au sein de la mémoire. Les clés sont bien stockées de manière chiffrée cependant, une vulnérabilité dans la librairie permettant de chiffrer les clés permet de les récupérer. Pour cela, des modules d’extension pour l’outil Volatility nous ont été présentés.
- DFIR-IRIS – Plateforme Collaborative de Réponse sur Incident: Lors de réponses à incident, les principales problématiques sont de tracer les éléments rencontrés durant l’investigation, partager efficacement les informations entre les analystes et traiter les tâches répétitives et redondantes. L’outil DFIR-IRIS tente de répondre à ces problématiques au travers de différentes fonctionnalités permettant: l’automatisation (génération de rapport, ingestion de données, …), la collaboration (édition partagée, …) et la traçabilité (IOC, Time Line, …). Cet outil est développé en Python et s’utilise via une application Web. Le code source est disponible sur GitHub.
Windows et Active Directory
- ADeleg, un outil de gestion des permissions d’un Active Directory : La gestion des permissions dans un Active Directory peut parfois être difficile et complexe. Au cours des années, les administrateurs ajoutent, modifient ou éditent des règles au sein de leur AD. Parfois ces règles donnent des autorisations trop permissives au sein du domaine. Par défaut, Microsoft ne fourni pas d’outil facilitant la gestion des règles. ADeleg est un outil qui répond à la problématique précédente en analysant les différentes règles à la recherche de celles qui seraient trop permissives ou mal positionnées. ADeleg est principalement adressé aux administrateurs d’environnements Active Directory et aux pentesters en phase de reconnaissance. L’outil est disponible sur GitHub.
- Surface d’attaque des solutions Active Directory Self-Service: Historiquement, un utilisateur ne pouvait pas changer lui-même son mot de passe Active Directory sans être présent dans le domaine (sur site ou via VPN). Il devait alors contacter le support pour réaliser le changement de mot de passe. Pour répondre à cette problématique, des solutions de type AD Self-Service sont apparues. Ces solutions permettant à l’utilisateur de changer lui-même son mot de passe sont présentes sous plusieurs formes: applications Web, applications mobiles et clients lourds. Cette conférence nous a présenté différentes applications ainsi que les vulnérabilités et risques qui leur sont associés.
Side-Channel et cryptanalyse
- Building Open Security Tooling For Fun & Profit (Conférence d’ouverture) : La conférence d’ouverture de cette 20ème édition du SSTIC a été animée par Colin O’Flynn, chercheur en sécurité hardware spécialisé dans les attaques de type Side-Channel et auteur de « The Hardware Hacking Handbook: Breaking Embedded Security with Hardware Attacks ». Il nous a présenté son retour d’expérience sur la réalisation du « ChipWhisperer » et nous a également parlé des problématiques de conception et de logistique. Pour terminer, il nous a fait des démonstrations d’attaques par injection de faute.
Wireless
- OASIS: un framework pour la détection d’intrusion embarquée dans les contrôleurs Bluetooth Low Energy : Le Bluetooth Low Energy (BLE) est de plus en plus utilisé dans les objets connectés cependant ce protocole contient de nombreux problèmes de sécurité. Des chercheurs nous ont présenté leurs travaux de recherche sur la détection des attaques sur ce protocole ainsi que OASIS un framework permettant l’automatisation de cette détection. Leur objectif était de fournir un composant qui puisse directement être embarqué au sein des contrôleurs BLE.
- Ghost in the Wireless, iwlwifi edition : Cette conférence portait sur l’analyse d’un composant Wi-Fi via du reverse engineering. Au sommaire: présentation du fonctionnement du composant dans un environnement Linux, recherche de vulnérabilités et analyse dynamique. Suite aux recherches plusieurs vulnérabilités ont pu être trouvées et remontées au constructeur du composant.
Mobile
- DroidGuard: A Deep Dive into SafetyNet : SafetyNet est un composant proposé par Google à destination des développeurs pour vérifier l’intégrité d’un téléphone. Cela permet de s’assurer que l’environnement dans lequel l’application sera exécutée respecte bien les différentes contraintes de sécurité telles que : téléphone non rooté, firmware non modifié, bootloader sécurisé. La conférence s’est concentrée sur le reverse engineering de la VM liée à ce composant.
- Apple a day keeps the exploiter away : Cette conférence fait suite à une précédente présentation ayant eu lieu au SSTIC 2019 sur la sécurité iOS. L’objectif était de faire un état des lieux de la sécurité de ce système d’exploitation et de montrer les évolutions mises en place par Apple depuis la précédente présentation. La conclusion montre qu’Apple a ajouté de nouvelles sécurités qui rendent de plus en plus difficiles les attaques contre les iPhone.
Réseau
- Network detection is not dead (or why we aren’t always too late) : Cette conférence nous a exposé une méthode de détection d’intrusion basée sur différentes métriques liées au réseau. L’objectif de cette méthode est de mettre en place des sondes dans le réseau afin de lever des alertes lors de la découverte de comportements anormaux afin de pouvoir réagir rapidement. Par exemple: est-ce normal qu’il y ait des connexions en pleine nuit dans le réseau interne de l’entreprise ?
- AnoMark – Détection d’Anomalies dans des lignes de commande à l’aide de Chaînes de Markov : Lorsqu’un acteur malveillant effectue des attaques sur des systèmes, son principal outil est la ligne de commande. En partant de ce postulat, l’analyse de l’historique des commandes utilisées sur une machine peut permettre la détection d’actions anormales pouvant être liées à une intrusion. AnoMark est un algorithme qui peut permettre de détecter ces anomalies. Son fonctionnement est basé sur l’utilisation de machines à état ainsi que sur de l’analyse statistique. Plus l’algorithme sera entraîné et plus il sera performant (moins de faux positifs et faux négatifs). Il est possible d’intégrer AnoMark dans des solutions de type SIEM. Cet outil, réalisé par l’ANSSI, est disponible sur GitHub.
Isolation
- Mise en quarantaine du navigateur : Les navigateurs Web peuvent être la porte d’entrée d’un attaquant pour accéder à une machine puis rebondir dans le réseau, dans lequel la machine se trouve. Il est donc important que les navigateurs puissent garantir un certain niveau d’isolation. Pour répondre à cette problématique, des chercheurs nous ont présenté une solution impliquant la mise en place d’un hyperviseur entre le réseau interne et le proxy permettant de sortir sur Internet. L’idée est de mettre en place des VM sur l’hyperviseur afin que les actions soient réalisées sur les VM et non sur les postes des utilisateurs. Ainsi un utilisateur souhaitant effectuer une recherche sur Internet ouvrira son navigateur sur son poste mais en réalité la recherche se fera depuis la VM.
- Sasusb: présentation d’un protocole sanitaire pour l’usb : Malgré l’essor du Cloud, les clés USB sont toujours utilisées pour transférer des documents entre utilisateurs. Cependant, elles peuvent également être utilisées comme vecteur d’infection comme dans l’attaque Stuxnet par exemple. De ce fait, de nombreuses entreprises bloquent les ports USB et les utilisateurs ne peuvent plus s’en servir pour le partage de documents. Pour répondre à cette problématique, des chercheurs ont proposé une solution permettant d’analyser le contenu de clés USB afin de détecter des contenus malveillants. Cette solution utilise le concept de station blanche qui va permettre de nettoyer le support USB avant utilisation.
Outils
- Binbloom v2 : Lors de l’analyse de firmware par rétro-ingénierie, la première étape est de trouver l’adresse de chargement en mémoire. Cette étape peut être fastidieuse et longue. Binbloom est un outil facilitant la recherche de cette adresse. Cette conférence nous a présenté le fonctionnement de l’outil et notamment les différents points d’intérêts utilisés lors de la détection de l’adresse: chaînes de caractères, tableaux d’entiers, pointeurs, … La présentation s’est basée sur la dernière version de l’outil (v2) disponible sur GitHub.
- Ica2Tcp : Un proxy SOCKS pour Citrix : Pendant les tests d’intrusions, les pentesters ont parfois seulement accès à des espaces de travail restreints mis à disposition par les clients (Citrix, …). Cette limitation les empêche alors d’utiliser leurs outils habituels installés sur leur propre machine. Ica2Tcp est un outil permettant de répondre à cette problématique en mettant en place un proxy SOCKS qui peut ensuite facilement être utilisé depuis la machine du pentester.
Le challenge SSTIC et les rumps.
Tous les ans, le SSTIC propose un challenge invitant les participants à résoudre une série d’épreuves dont le niveau de difficulté augmente à chaque étape. Les résultats et la solution sont donnés pendant l’évènement.
Comme chaque année, une session de rumps a également eu lieu. Il s’agit de courtes présentations de 3 à 4 minutes. N’importe qui peut s’inscrire pour présenter un sujet en lien avec la cybersécurité.
L’évènement SSTIC propose chaque année 3 jours de conférences avec un haut niveau technique et cette année encore nous avons pu assister à des présentations pointues sur différents thèmes de la cybersécurité.