Le SSTIC, les utilisateurs et internet

Il y a deux semaines, se déroulait la conférence du SSTIC à Rennes. Cette grande conférence sur la sécurité s’est ouverte sur une première journée assez variée dans les thèmes abordés puisqu’ils s’étendaient du debugging dynamique au cracking de mot de passe en passant par la réalisation d’attaque XSS et de type clientside. Après une réflexion intéressante sur les mécanismes de sécurité à mettre en place (notamment l’isolation)  et un tour d’horizon du fonctionnement de bitlocker, deux conférences nous ont présenté des exploitations de .Net et de XSSF.

Le SSTIC était donc inauguré par Joanna Rutkowska pour présenter le fruit de ses travaux sur la sécurité des postes clients. De manière générale, la sécurité d’un poste regroupe 3 approches :

  • L’approche réactive qui rassemble essentiellement les antivirus, les protections contre les codes d’exploitation et l’application de correctifs à outrance ;
  • La sureté des langages utilisés et plus globalement des développements des applications qui demandent une grande rigueur ;
  • Enfin la séparation et l’isolation des différents éléments afin de les restreindre au maximum.

Après une longue introduction sur des concepts assez génériques, elle nous présente Qubes, un POC d’OS permettant d’isoler par virtualisation les applications.

On le voit lors des récentes attaques, les utilisateurs sont de plus en plus ciblés directement, pour leurs données ou pour leur accès à des parties internes du SI et la combinaison d’attaques clientside, par phishing ou d’ingénierie sociale se révèle très efficaces. Les conférences du sstic cette année viennent conforter une évolution dans ce sens.

En effet, la présentation de l’exploitation de silverlight, le concurrent (en devenir) de flash, offre des exploits très stables, non sandboxés dans la majeure partie des cas et une activité couverte par le framework .NET et à l’abri de l’ASLR.

Les démonstrations du framework XSSF , outre son intégration poussée dans metasploit (en opposition a BeeF) présentent des techniques de rebond XSS intéressantes, mais aussi de nouvelles pistes d’exploitation plus poussée des smartphones où le navigateur possède de nombreux accès aux autres éléments comme les annuaires, le système de fichier, etc…

Le dernier jour, une présentation des différents moteurs XSLT achève ce tableau en présentant des exploitations aussi bien client-side que server-side des différents moteurs du marché. Ces derniers bien souvent, ne disposent d’aucune protection particulière et permettent des interactions très avancées avec le système. Il est donc possible de conduire des attaques directement contre les navigateurs des utilisateurs, mais aussi d’attaquer des serveurs

L’excellente conférence invitée d’Eric Bardry est par ailleurs revenue sur les implications légales pour les entreprises quand les données des utilisateurs sont touchées par une attaque informatique. La tendance va au renforcement des sanctions pour les entreprises quand le respect des bonnes pratiques aurait pu empêcher l’incident. Elle peut par exemple être obligée d’informer individuellement toutes les personnes dont les données ont pu être touchées par un incident de sécurité. Néanmoins, la loi pousse à la réactivité des entreprises en matière de sécurité et les sanctions les plus sévères pourront être annulées si elles fournissent la preuve d’un travail d’amélioration après incident.

Bien sûr le SSTIC contenait son lot de conférences parfois impressionnantes par la quantité de travail abattu par les conférenciers (par exemple la conférence sur le KBC  custom shop ), ou surprenante dans les résultats présentés.  Ainsi Graham Steel nous apprend que sur la plupart des clés implémentant PKCS 11 il a été possible d’extraire les clés privées, même chez des grands éditeurs du marché. Déroutant, lorsque l’on connait les coûts de mise en place de telles solutions de sécurité.

Nous ne reviendrons pas sur l’ensemble des conférences, toutes de bonne qualité, ainsi que la célèbre rump session. Mais au bout de ces 3 jours, c’est Hervé Schauer qui a pris le micro  pour la conférence de clôture. Et après de grandes envolées philosophiques, notamment sur l’équilibre entre sécurité et liberté, s’en est suivi un retour abrupt (un peu trop peut être) sur la condition de notre métier et la difficulté de sensibilisation. Il conclura tout de même sur une note positive et la nécessité de persévérer et de pousser à l’amélioration des systèmes d’informations.

Rendez-vous l’année prochaine