Luxembourg
Deux conférences seront proposées par les ingénieurs-chercheurs de l'ESEC lors de la conférence Hack.lu
1/ La sécurité des Smartphone par Cédric HALBRONN :
Les terminaux mobiles sont omniprésents dans notre monde actuel sous diverses formes : GPS, téléphones portables, PDAs, etc. Ils deviennent de plus en plus puissants et donc vulnérables. Afin de comprendre les risques, nous présenterons les possibilités offertes par le système Windows Mobile 6 présent sur certains smartphones pour implémenter un rootkit capable de prendre en compte les services offerts par le smartphone (SMS, GPS, SD-Card, etc.) et l'environnement réseau (téléphone, WLAN, ActiveSync, etc.) afin d'expatrier des informations sans que l'utilisateur légitime du smartphone ne s'en rende compte.
2/ Le fuzzing automatique par Gabriel CAMPANA :
Le fuzzing est devenu au cours de ces dernières années une des principales méthodes de recherche de vulnérabilités. Les fuzzers actuels reposent principalement sur la génération de données invalides à partir de modèles, qui nécessitent d'être réécrit pour chaque nouvelle cible. Nous détaillerons le fonctionnement de Fuzzgrind, un nouvel outil de fuzzing entièrement automatique, générant de nouvelles données de test à partir de l'exécution symbolique du programme cible sur une entrée donnée, dans le but de rechercher de nouvelles vulnérabilités.
Retrouvez :
- le programme et la liste des intervenants sur le [site] ;
Malaisie
5 ingénieurs chercheurs de l'ESEC seront présents en tant que conférenciers lors du HITB Malaysia de 2009
1/ Malicious PDF origamis strike back (F. RAYNAL, G. DELUGRE et D. AUMAITRE)
We have kept on investigating PDF file format. This time, we have also been focusing on PDF readers and the interactions between PDF file, its reader and its environment. We will explain how Adobe Reader is built, and some of its key features, like encryption and usage rights. We will demonstrate that these features are sometimes weaker than expected, and could even be used to attack a target. In a 2nd part, we will focus on how to protect / extract information from a PDF file. We illustrate how PDF are difficult to analyze when used to conceal a malware, and propose a tool to do it. Then we will explain PDF forensics, based on 2 famous reports: the Calipari Italian secret agent killed by the US army in Iraq, and the Facebook case. In both cases, one can retrieve hidden information, but also information that is not supposed to be here at all. Finally, we will use PDF file format to perform some attacks. Both of these attacks are credential leaks, one through the Internet with cookies stealing, the other on a local network with a "pass the hash" attack.
2/ Defeating software protection with Metasm (A. Gazet & Y. Guillot)
Metasm, is a binary manipulation framework (disassembly, compilation, executable formats handling, etc.). It currently supports x86 (Ia32 and Ia64), MIPS and PowerPC architectures. One of its distinctive characteristic is the encoding of instruction semantics. Based on this semantic encoding, the disassembler takes advantage of what we call a ``backtracking'' engine (symbolic emulation) that allows very fine disassembly. Using the encoded semantics of instruction, we have been developing a generic approach on x86 code virtualization-based protection. We also used some optimization techniques to defeat obfuscation, and compilation to defeat virtualization. Moreover, Metasm includes a very new feature: a C decompiler. We have already started to port the optimization into the decompiler with good results. Our talk will illustrate the different functionalities proposed by Metasm; we relied on concrete results we have obtained against different state of the art software protections involving heavy obfuscation and code virtualization.
Retrouvez :
- La liste des intervenants sur le [site] ;
Rennes
L'ESEC sera présente à SSTIC cette année grâce à 3 conférences.
Dans la lignée de leur présentation de l'an dernier, A. Gazet et Y. Guyot ont travaillé sur le contournement automatique de techniques de protections logicielles. Ils se concentrent particulièrement sur la problématique de l'obfuscation. Jusqu'à présent, il était nécessaire de rechercher à la main les schémas utilisés par la protection afin de les annuler. Leur approche actuelle cherche à rendre ce travail fastidieux automatique, par une analyse de la sémantique du code binaire permettant d'en extraire une représentation minimale, ce qui revient à supprimer la couche d'obfuscation. Ils montreront les résultats obtenus sur quelques exemples. En particulier, les techniques d'optimisation habituellement utilisées par les compilateurs, permettent de mettre en échec l'obfuscation et parfois de contourner d'autres formes de protection.
G. Campana parlera de fuzzing. Le fuzzing est devenu au cours de ces dernières années une des principales méthodes de recherche de vulnérabilités. Les fuzzers actuels reposent principalement sur la génération de données invalides à partir de modèles, qui nécessitent d'être réécrit pour chaque nouvelle cible. Nous détaillerons le fonctionnement de Fuzzgrind, un nouvel outil de fuzzing entièrement automatique, générant de nouvelles données de test à partir de l'exécution symbolique du programme cible sur une entrée donnée, dans le but de rechercher de nouvelles vulnérabilités.
F. Raynal, G. Delugré et D. Aumaitre présenteront les résultats de leurs travaux sur le format PDF. D'une part, il s'agit de montrer les possibilités - souvent insoupçonnées - du langage en lui-même. Cependant, ce langage est "interprété" dans un contexte qu'il faut aussi prendre en considération : le lecteur chargé de transcrire le PDF en un document affiché à l'écran. La seconde partie de la présentation portera donc sur le contexte dans lequel le PDF est interprété : un plug-in, un reader, ... Le tout s'appuiera sur de nombreux exemples de PDF malicieux et des scénarii d'exploitation réalistes.
Retrouvez :
- le programme et la liste des intervenants sur le [site] ;
Berlin
Nous présentons deux conférences à EICAR cette année. La première, par J.B. Bédrune et A. Gazet portera sur l'évaluation des anti-virus. Qu'est ce qui fait qu'un tel logiciel est bon et efficace : la taille de sa base de signatures, son empreinte mémoire, son impact sur le système ... ? La seconde intervention, par C. Devaux, J. Lenoir et D. Aumaitre, portera sur l'analyse d'un botnet "in vivo". En partant d'une machine compromise, le reverse des codes malicieux téléchargés a permis de remonter au botnet et à son infrastructure de contrôle. On a alors été en mesure de tracer l'organisation générale derrière ce botnet et ses multiples acteurs. En outre, F. Raynal animera un workshop sur la collecte d'information en source ouverte, et comment on peut l'utiliser ensuite à des fins offensives.
Retrouvez :
- le programme et la liste des intervenants sur le [site].
Lille Grand Palais
Titre :
Le téléphone portable : risque, opportunité et gestion de la flotte au sein de l'entreprise
Conférence : [Programme]
Résumé de l'intervention : [lien]
Par connexion illégitime, perte ou vol d'un PDA ou d'un téléphone mobile, les données deviennent facilement accessibles à une personne malveillante. L'usurpation d'identité, la perte de confidentialité, les risques d'intrusion dans les systèmes d'information de l'entreprise sont à l'origine de conséquences catastrophiques.
Dans le cas de divulgation d'informations confidentielles à la suite d'un vol de ce type d’appareil, la responsabilité juridique de l'entreprise peut être en jeu.
Quels sont les risques réels qui menacent l'entreprise et comment s'en prémunir ?
La gestion des flottes accroit-elle les vulnérabilités ?
Quelles solutions de protection sont à préconiser ?
Intervenant :
Guillaume LAROCHE de ROUSSANE, consultant sécurité au sein de l'ESEC (European Security Expertise Center) - pôle sécurité de SOGETI.
PARIS 14e
Titre :
Les rootkits navigateurs
Programme : [lien]
Intervenants :
Christophe DEVAUX et Julien LENOIR sont deux ingénieurs chercheurs de l'ESEC (European Security Expertise Center) - pôle sécurité de SOGETI.
PARIS 8e, Centre de Conférence Etoile Saint Honoré
Titre :
Cloud Computing
Programme : [lien]
Intervenant :
Edouard JEANSON, directeur de l'ESEC (European Security Expertise Center) - pôle sécurité de SOGETI.
PARIS, Palais des congrès
Titre :
rootkit pour navigateurs
Résumé :
De nos jours, l'accès à Internet est devenu primordial pour l'utilisateur, que ce soit dans un contexte privé ou professionnel, à tel point que les navigateurs Web sont devenus des pièces maîtresses du poste de travail. Ils sont présents sur la très grande majorité des postes et sont légitimement autorisés à accéder aux réseaux (Internet, Intranet, etc.). Par ailleurs, ils manipulent des données sensibles telles que des mots de passe, des courriels confidentiels ou des informations personnelles ou professionnelles.
Afin de supporter les nouvelles fonctionnalités attendues par les utilisateurs (plug-ins / extensions, machines virtuelles / interpréteurs, ...), les navigateurs sont devenus plus complexes, et donc potentiellement moins sûrs. Ils sont régulièrement victimes d'importantes failles de sécurité permettant d'exécuter du code sur le système. En conséquence, les navigateurs deviennent une cible de premier choix pour les attaquants.
La complexité et l'architecture des navigateurs ressemblent de plus en plus à celle des noyaux des systèmes d'exploitation. En poursuivant cette analogie, nous avons, à titre expérimental, développé des rootkits pour les deux navigateurs Web les plus populaires : Internet Explorer et Firefox.
Le rootkit pour Firefox a été développé par mimétisme les rootkits type type LKM (Loadable Kernel Module). Il se présente sous la forme d'une simple extension malicieuse. Cette extension se cache elle-même et permet à un attaquant de prendre le contrôle total du navigateur tout en enregistrant l'activité de l'utilisateur.
Quant au rootkit pour Internet Explorer, une autre technique a été utilisée~: du code réside dans le contexte du navigateur, et s'appuie principalement les fonctions internes du navigateur. Ce code permet ainsi d'outrepasser les zones de sécurité du navigateur et d'obtenir un accès à la machine de l'utilisateur.
Bio :
Christophe Devaux et Julien Lenoir sont deux ingénieurs R&D au sein du laboratoire sécurité de l'ESEC (European Security Expertise Center) à Sogeti. Cette équipe travaille sur les risques émergents, tant sur des aspects techniques que des domaines connexes comme le risque informationnel. En outre, l'équipe a été accréditée par la DCSSI pour réaliser des évaluations de logiciels (CSPN). Elle intervient également sur des analyses post-intrusion, que ce soit des attaques virales massives, ou des opérations ciblées. Elle participe aussi à des tests d'intrusion, ou des développements sur mesure.
Retrouvez aussi le programme complet.
PARIS, rue DURET
Après le succès du premier séminaire proposé par l'ESEC l'année dernière, voici la deuxième mouture.
Cette fois, le thème sera la LIO ou Lutte Informatique Offensive. Dans cettte perspective, 6 conférences seront présentées par les ingénieurs-chercheurs de l'ESEC.
Les présentations sont disponibles au format PDF :
- Les hébergeurs bullet proof - A. Gazet et G. Campana - [PDF]
- Cas pratiques : analyse du bot net sality - D. Aumaître, C. Devaux et J. Lenoir [PDF]
- Contourner les produits de sécurité - JB. Bedrune et Y. Guillot [PDF]
- Les Pdf's malicieux - G. Delugré et F. Raynal [PDF]
- Les rootkits navigateurs - C. Devaux et J. Lenoir [PDF]
Paris, Ecole militaire
Le 11 décembre, M. Frédéric Raynal a participé à une table-ronde sur la guerre de l'info organisée par l'IHEDN.
- Menaces informatiques : identification, études des cas - Fredric Raynal
Retrouvez aussi la liste des conférences.
Tokyo, JAPON
Les 12 et 13 novembre, se déroule la conférence PacSec édition 2008. Cette conférence présentera plusieurs méthodes d'attaques nouvelles sur des sujets très variés mais non moins très utilisés (WEB, VMWare, Wi-Fi, SSH, etc...).
Parmi ses démonstrations, l'équipe R&D de l'ESEC organise une présentation sur un nouveau vecteur d'attaque : les PDFs.
- Malicious origami in PDF - Fredric Raynal, Guillaume Delugre [Slides]
Retrouvez aussi la liste des conférences.
LUXEMBOURG
Du 22 au 24 octobre 2008, se déroule la conférence annuelle Hack.lu. Dédiée à la sécurité informatique, elle présente les nouveaux vecteurs et techniques d'attaque.
En trois jours, se dérouleront une vingtaine de démonstrations. Parmi celles-ci, trois seront présentées par les ingénieurs chercheurs de l'ESEC :
- Browsers Rootkits, par Julien Lenoir & Christophe Devaux [résumé] [Slides];
- Analysis of an undocumented network protocol, par Jean-Baptiste Bédrune [résumé] [Slides];
- A little journey inside Windows memory, par Damien Aumaître [résumé] [Slides].
Retrouvez aussi le programme complet.
RENNES
Du 4 au 6 juin 2008, se déroule comme tous les ans la conférence SSTIC dédiée à la sécurité de l'information.
Durant ces trois journées, de nombreux sujets sont présentés de la cryptographie à la sécurité physique en passant par l'aspect juridique des SI et les pentests pour ne citer que quelques exemples.
Retrouvez :
- le programme et la liste des intervenants sur le [site] ;
- l'article paru dans Ouest France à ce sujet [article] ;
- le compte-rendu sur le blog de l'ESEC [blog].
LAVAL
Du 4 au 6 mai 2008, l'ESEC sera présent et dispensera deux conférences.
En l'occurrence, les chercheurs du pôle R&D de l'ESEC présenteront notamment une présentation sur le social-engineering.
Retrouver le programme et la liste des intervenants sur le [site].
Palais des Congrès - PARIS
Du 11 au 13 février 2008, Microsoft a organisé comme chaque année les TechDays. Cette année, un consultant de l'ESEC y a participé en présentant la solution Network Access Protection. L'ESEC met à votre disposition le support de la présentation.
- Retrouver le support de la présentation sur NAP de Microsoft [PDF].
- Retrouver l'interview de Cyril Voisin, Chef de Programme Sécurité chez Microsoft France au sujet du NAP [PDF] [WEB].
- Pour retrouver le site des Techdays, cliquer ici.
- Pour retrouver la partie sécurité de l'événement, cliquer ici.
)
6/8 rue Duret - 75116 PARIS
Retour sur le séminaire organisé par l'ESEC le 5 février par l'équipe R&D.
Aujourd'hui, nous vous proposons de trouver ou de re-trouver les présentations principales de la journée :
| Discipline | Titre | Auteurs | Liens |
|---|---|---|---|
| Forensics | Quelles traces se dissimulent malgré vous sur votre ordinateur ? |
D. Aumaitre, JB. Bedrune, B. Caillat | [PDF] |
| Packer | Les packers, la solution contre la rétro-conception ? | A. Gazet, Y. Guillot | [PDF] |
| Reverse Enginnering | Le reverse enginnering | D. Aumaître, Y. Guillot | [PDF] |
| Droit et Sécurité | Etat des lieux de la réglementation (SSI) | G. Mathias | [PDF] |
Et voici quelques photos du séminaire :
)
)
)
)
