Retour sur le SSTIC 2024
Cette année encore, nous avons eu la chance de participer à l’une des conférences incontournables dans le domaine de la cybersécurité : le SSTIC. Le Symposium sur la Sécurité des Technologies de l’Information et des Communications (SSTIC) a eu lieu du 5 au 7 juin 2024 au Couvent des Jacobins, le centre des congrès de Rennes, et a regroupé pas moins de 800 participants. La qualité des présentations était encore une fois au rendez-vous. Voici une sélection de quelques sujets parmi ceux qui ont retenu notre attention.
AD Miner – Analyse de l’Active Directory
PingCastle, BloodHound, ADRecon … Vous avez sûrement déjà entendu parler de ces outils qui sont couramment utilisés lors de tests d’intrusion internes ou en amont de phases de sécurisation de l’Active Directory. Un nouvel outil vient compléter la liste : AD Miner. Cet outil se base sur la théorie des graphes et propose au travers d’une interface Web un aperçu global des faiblesses d’un Active Directory.
Avec AD Miner, les pentesters peuvent facilement identifier des chemins d’exploitation et des défauts de configuration. L’outil peut également apporter de nombreuses informations aux administrateurs désirant augmenter le niveau de sécurité de leur domaine Active Directory.
CoercedPotato
Toujours dans le thème Windows, nous avons pu assister à une présentation enrichissante au sujet des élévations de privilèges avec notamment une introduction à l’utilisation de l’outil CoercedPotato. Celui-ci peut se révéler très intéressant à utiliser lors de tests d’intrusion internes.
Belenios: the Certification Campaign
La Certification de Sécurité de Premier Niveau (CSPN) est une alternative française aux évaluations Criètres Commun. Cette évaluation a pour objectif d’analyser la conformité d’un produit en termes de sécurité. Elle est réalisée sur une durée de 35 jours par des Centres d’Évaluation de la Sécurité des Technologies de l’Information (CESTI) agréés par l’ANSSI. À la fin de l’évaluation, l’ANSSI valide (ou non) la certification du produit.
Nous avons pu avoir un exemple concret de CSPN via une présentation de la campagne de certification de Belenios, une plateforme utilisée pour le vote électronique.
Zed-Files : Aux frontières du réel
En France, l’envoi et le stockage d’information de type « Diffusion Restreinte » (DR) nécessitent l’utilisation de logiciels agréés par l’ANSSI. Au travers de cette présentation, l’ANSSI nous a expliqué le fonctionnement des archives Zed! et nous a également présenté des vulnérabilités en lien avec celles-ci.
Parmi les vulnérabilités présentées: une archive Zed! contenait des informations sensibles associées à son créateur (fichier .zaf) et divulguait le chemin utilisé lors de sa création ce qui peut révéler des informations potentiellement sensibles. Les failles présentées ont toutes été corrigées par l’éditeur Prim’X, mais des mesures doivent tout le même être mises en place concernant les archives générées avant la mise à jour des produits : analyser les archives Zed! envoyées précédemment afin de vérifier si des données ont fuité et renouveler les fichiers .zaf des utilisateurs.
Rumps
Comme chaque année, une session de rumps a également eu lieu. Il s’agit de courtes présentations de 3 minutes. N’importe qui peut s’y inscrire pour présenter un sujet.
Cette année 2 présentations autour de la sécurisation des postes Windows ont retenu notre attention.
Ce qu’il faut en retenir : Activer BitLocker c’est bien, mais mettre un PIN c’est mieux. Et oui, car un attaquant ayant physiquement accès à un poste sans PIN BitLocker peut utiliser des techniques (débranchage du disque à chaud ou écoute des communications entre le TPM et le CPU) afin de tout de même récupérer les données du poste !
Pour ceux qui souhaitent voir les présentations et les rumps, elles sont disponibles sur le site du SSTIC