21 mars 2017

THC sécurité informatique

 

 

La ville rose se doit de se munir de rendez-vous à la hauteur de ses ambitions en termes de Sécurité des Systèmes d’Informations (SSI). Nous sommes donc plus que ravis de voir l’INP-ENSEEIHT accueillir cette année la Toulouse Hacking Convention, rassemblement qui s’est tenu le 03 mars dernier ; une journée de présentations, d’ateliers, d’échanges, de challenges ; une journée de sécurité informatique comme on les aime !

 

 

Connaissant la plus-value de ce type d’évènements pour la communauté cubersécurité, Nomios, en tant que pure player en SSI, a souhaité se porter partenaire et nous avons donc pu assister à cette journée depuis les réglages studio jusqu’à la bière de clôture. David GERMAIN et Guillaume PATRY m’ont accompagné pour l’occasion, voici nos coups de cœur respectifs, sans pour autant dénigrer les autres présentations, toutes d’un excellent niveau. Nous regretterons cependant le timing très serré de 30 minutes par présentation, limitant ainsi l’approfondissement de certaines parties.

 

 

 

« Dungeons and Dragons and Security » par Tiphaine Romand-Latapie

Fabien GILIS

L’humain est au cœur de la discussion sécuritaire. L’espace occupé entre la chaise et le clavier reste l’élément le plus faible de la chaîne et, pourtant cela fait plus de 20 ans que nous entendons parler de cela.

Nous avons tous fait (ou tenter de faire) un jour ou l’autre de la sensibilisation à la sécurité informatique, que ce soit pour faire comprendre aux utilisateurs d’un SI qu’il faut qu’ils portent une attention particulière à leurs mots de passe ou pour simplement expliquer à sa grand-mère en quoi consiste notre métier. Malheureusement, même avec la meilleure volonté et la meilleure pédagogie qui soient, il faut se rendre à l’évidence, l’exercice demande des prouesses d’imagination impensables et le résultat est souvent décevant. Ma grand-mère pense toujours que je mets le feu au mur pour nous protéger de Jack Sparrow !

Bref, voilà quelques années que j’entends parler de Tiphaine aka @Flutsunami et sa méthode de sensibilisation, nous y voilà, la méthode est simple mais rudement efficace, utiliser le jeu comme vecteur d’apprentissage.

Tiphaine utilise le parallèle que l’on peut faire avec la sécurité physique, chose pour laquelle même madame MICHOU est sensibilisée : Qui s’absente de chez lui en laissant la porte ouverte ? Un scénario donc à la hauteur de tous pour un jeu en mode RPG rondement ficelé afin d’éviter les dérives des joueurs les moins constructifs.

Au-delà de l’effet immédiat de la session, il a été observé qu’une certaine réflexion sécurité perdure dans le temps et amène nombre de participants à se poser un minimum de questions avant de cliquer sauvagement sur tout ce qui se présente à eux. Enfin la voie de la sagesse ?

https://www.blackhat.com/us-16/briefings.html#dungeons-dragons-and-security

 

« App vs Wild » par Stéphane Duverger

David GERMAIN

Stéphane nous présente en français (pour le bien de tous !) ses recherches sur la protection d’applications en environnement hostile.

L’objectif recherché est donc la protection du code d’une application, dans un environnement hostile, cross plate-forme, sans modification ni recompilation du code, afin de se protéger d’un noyau malveillant et d’elle-même, rien que ça !

La solution technique proposée est l’utilisation d’un micro-hyperviseur maison, qui virtualise la mémoire physique auprès de l’application. Cette solution permet de sécuriser le code et les algorithmes, mais n’assure pas de protections sur les données traitées par l’application (ce n’est pas le but recherché).

La couverture du sujet est complète, Stéphane nous propose là un exposé de grande qualité qui couvre l’ensemble du domaine : explication théorique du problème et de la solution imaginée, description de l’implémentation et des contraintes sous-jacentes, scénarios d’attaques imaginés et vérifications du fonctionnement de la protection.

Si vous n’êtes toujours pas convaincu, le micro-hyperviseur « Ramooflax » est distribué gratuitement et librement sur son compte github – https://github.com/sduverger/ramooflax – pour vous faire votre propre idée.

Et si vous ne seriez vraiment toujours pas convaincu, Stéphane vous propose même de tester et tenter de casser la protection apportée par l’hyperviseur via un challenge « AppVsWild » tout prêt, disponible encore une fois librement sur son compte github :

https://github.com/sduverger/AppVsWild ; alors profitez-en, et faites vos jeux !

 

« Privacy on steroids » par Bruno Kerouanton

Guillaume PATRY

Bruno, paranoïaque assumé, nous explique comment protéger sa vie privée afin de s’assurer que ses chères données ne viennent pas aux yeux des Big Brothers quels qu’ils soient.

Sur son propre ordinateur, il met en œuvre une stratégie de sécurité à l’image d’un environnement professionnel.

A l’aide de machines virtuelles, il isole donc son système d’exploitation des réseaux environnants, et utilise des solutions de Firewall, Proxy, DNS et DHCP afin de contrôler finement toute communication de son système vers l’extérieur.

Trois briques virtuelles sont ainsi configurées, une pour héberger les fonctions réseaux, une réservée aux logs et enfin la dernière servant de poste de travail réversible dans le temps.

Aucune donnée ne peut « s’échapper » de son ordinateur sans le démarrage de ses machines virtuelles.

En plus de cela, Bruno « en rajoute une couche » en utilisant une adresse email unique pour chacun de ses besoins, et utilise un gestionnaire de mots de passe complètement isolé et accessible uniquement depuis ses machines virtuelles.

Et ce sera malheureusement tout pour cette session de 30 minutes.

Bref de nombreuses bonnes pratiques permettant de garantir la confidentialité de ses données toutes aussi intéressantes les unes que les autres ; pour aller encore plus loin :

https://bruno.kerouanton.net/blog/

Partager :

Auteurs

, et