Séminaire ESEC 2008

Séminaire ESEC 2008 : révéler les informations cachées dans les systèmes d'information

L'équipe de Recherche et Développement de l'agence Sogeti ESEC organise un séminaire pour le 5 Février 2008 sur le thème des informations cachées dans les systèmes d'informations (SI). Il se déroulera dans nos locaux, à Paris.

L'informatique est une double proie pour les prédateurs informationnels. D'une part, tous les SI contiennent des données sensibles. D'autre part, les composants du SI, les logiciels en particulier, sont eux-mêmes des trésors de technologies qui renferment aussi bien des algorithmes critiques que des données névralgiques pour les entreprises et organismes.

L'ouverture du séminaire sera réalisée par Luc-François Salvador, Président Directeur Général du groupe Sogeti. Les présentations suivantes sont issues des travaux menés au sein de notre laboratoire sur cette thématique des informations cachées dans les SI. Nous commencerons par les informations disponibles sur Internet, Google n'étant pas, et de loin, l'unique source. Nous verrons ensuite comment analyser un protocole fermé, et les risques que leur utilisation entraîne pour le SI. Cela servira de préambule à l'intervention de Maître Garance Mathias qui traitera du droit au reverse engineering. Nous poursuivrons avec l'analyse des informations cachées, souvent à l'insu de l'utilisateur, sur un poste de travail ou un portable et montrerons en quoi elles sont susceptibles de compromettre le réseau cible. Enfin, nous terminerons avec deux présentations détaillant les capacités réelles du reverse engineering, loin des idées reçues comme le cracking de jeux vidéo : la première portera sur les méthodes employées pour analyser des codes malicieux (virus, vers et autres chevaux de Troie) ou révéler les secrets des applications ; la seconde traitera des packers, c'est-à-dire des protections contre le reverse engineering, protections agissant de la même manière qu'un firewall vis-à-vis d'un réseau.

Télécharger l'invitation au format pdf (1018K)

Programme de la journée

9h30	Accueil et petit-déjeuner
9h45	Introduction de la journée	Luc-François Salvador Président Directeur Général du groupe Sogeti
10h00	Collecte d'informations : recel sur internet	A. Gazet F. Raynal
10h30	Pause café
11h00	Logiciels et protocoles fermés : comment révéler ce qu'ils cachent ?	J.B. Bedrune F. Raynal
11h45	Droit et reverse engineering	Maître Garance Mathias Avocat à la cour
12h30	Déjeuner autour d'un buffet sur place
14h00	Forensics : quelles traces se dissimulent malgré vous sur votre ordinateur ?	B. Caillat (enseignant-chercheur au Mastère Sécurité de l'ESIEA) D. Aumaitre J.B. Bedrune
15h00	Pause café
15h30	Rétro-conception : une menace pour les secrets industriels ?	D. Aumaitre Y. Guillot
16h15	Le packer, la solution contre la rétro-conception ?	A. Gazet Y. Guillot
17h00	Conclusion

COLLECTE D'INFORMATION : RECEL SUR INTERNET

Résumé

Cette introduction présente les multiples sources (ouvertes) d'information qu'il est facile d'interroger pour dresser l'environnement d'une cible : entreprise, personnes ou réseau. Au travers d'un exemple réel, nous montrerons qu'Internet recèle parfois bien plus de données que ce à quoi on peut penser, Google n'étant pas, et de loin, l'unique moteur de recherche.

LOGICIELS ET PROTOCOLES FERMÉS : COMMENT RÉVÉLER CE QU'ILS CACHENT ?

Résumé

Cette intervention illustre la démarche à suivre pour analyser un logiciel dont on ne sait rien, et être alors en mesure d'en évaluer l'impact en terme de sécurité. En effet, d'après les plaquettes, les logiciels fournissent toujours les meilleurs services, se fondent parfaitement dans l'architecture existante, et prennent en compte la sécurité.
Nous prendrons comme exemple OneBridge, une solution de mobilité pour donner accès aux emails et applications de l'entreprise à ses employés, où qu'ils soient. Nous montrerons comment nous avons reconstruit le protocole, puis l'avons détourné pour prendre un contrôle complet du serveur, uniquement en utilisant les fonctionnalités fournies. Cet exemple montre bien la nécessité d'une analyse approfondie avant le déploiement de telles applications, surtout quand elles ont accès à des données sensibles comme celles contenues dans une messagerie.

DROIT ET REVERSE ENGINEERING

Résumé

Pour analyser un logiciel, il est pratiquement toujours nécessaire de le reverser, c'est-à-dire d'examiner son code binaire, et de chercher à comprendre son fonctionnement : on parle alors de rétro-conception (ou reverse engineering). Ainsi, le législateur a prévu un certain nombre de cas où cette approche est autorisée (par exemple, pour des motifs d'interopérabilité). Néanmoins, la plupart du temps, elle est interdite. Cette présentation expliquera la logique juridique qui accompagne le reverse engineering.

Forensics : quelles traces se dissimulent malgré vous sur votre ordinateur ?

Résumé

Le vol d'un ordinateur portable n'est pas une perte anodine. Bien souvent, au-delà des documents qu'il contient, on y trouve également énormément d'information sur le SI d'une entreprise. En général, il devient alors trivial de pénétrer depuis n'importe où sur le réseau de la société, pour y rechercher tranquillement des données sensibles.
Cette intervention montrera tout ce qu'on peut trouver, quand on sait où et comment chercher, sur un ordinateur portable standard. Pour cela, le forensics, c'est-à-dire une démarche d'analyse post-intrusion, s'avère particulièrement efficace. C'est pourquoi il est important d'évaluer les informations présentes sur les portables, pas uniquement en terme de documents, mais aussi d'accès au réseau et de gestion de l'identité.

Rétro-conception : une menace pour les secrets industriels ?

Résumé

Qu'il s'agisse d'évaluer le risque informatique associé à un logiciel, ou de creuser dans les mécanismes internes d'un système d'exploitation pour y révéler ce qui est caché, cela passe toujours par une phase de rétro-conception. Toutefois, l'application la plus évidente en est le vol de secrets industriels. En effet, il est souvent bien plus simple d'acheter un logiciel et de le reverser pour comprendre l'avance technologique d'un concurrent que de cambrioler les bureaux de ce dernier.
Si cette pratique est indubitablement condamnable, faut-il pour autant rejeter la technique sur laquelle elle repose ? En réalité, les mêmes méthodes sont employées pour analyser des codes malicieux (virus, vers et autres chevaux de Troie) ou des applications. Nous présenterons les techniques classiques qui fournissent rapidement une idée précise de ce que fait un logiciel, puis comment on affine alors cette représentation incomplète en fonction de ce qu'on cherche.

Le packer, la solution contre la rétro-conception ?

Résumé

Un logiciel révèle beaucoup d'informations, en particulier sur la manière dont il fonctionne. Toute l'intelligence et l'investissement nécessaires à sa réalisation sont exposés à ceux qui les analyses. Il est néanmoins possible de retarder, voire d'empêcher, cette étude à l'aide d'une sur-couche logicielle appelée packer. Il s'agit d'une sorte d'enveloppe destinée à protéger l'intelligence mise dans le logiciel sans en empêcher en fonctionnement. Un packer met en oeuvre un ensemble d'opérations sur un logiciel qu'on cherche à protéger. Par exemple, il s'agira d'interdire l'accès au binaire par du chiffrement, ou encore de limiter les fuites d'informations sur les ressources utilisées par le programme. Cet exposé illustrera les multiples techniques de protection qui existent. Tout comme on protège un réseau à l'aide de différents composants (routeurs, pare-feux, et autres), on verra que l'architecture de cette protection est cruciale. En effet, chaque mesure prise séparément est inefficace, alors qu'une combinaison astucieuse se révèle redoutable.