L'artisan développeur

Blog de Sébastien Cormier
A la Une Conférences

Conférence NetSecure Day 2017 #NSD17

Ce jeudi 14 décembre avait lieu la 5ème édition du NetSecure Day. Le NetSecure Day (NSD pour les intimes) est l’évènement annuel sur la Cybersécurité en Normandie. Cette année, il avait lieu au Parc des Expositions à Rouen.

Au programme : des conférences réparties sur 2 salles ainsi que des workshops nécessitant une inscription préalable. Pour ma part, mon programme a été le suivant :

  • Comment se connecter à un site web avec une clé USB ?
  • Les Vendredis noirs : même pas peur !
  • Martine fait des Bug Bounty
  • Réduction massive de la Fraude par Authentification Multi-Biométrique dans le respects des directives Européennes PSD2 et GDPR
  • Ransomware, Malware, Phishing, Spearphishing, rétrospective de l’année vue du champ de bataille
  • La sécurité des noms de domaine, le cas Wikileaks

Le programme complet est consultable sur le site officiel : https://www.netsecure-day.fr/programme/

Dans ce post, je vous fais un résumé des différentes conférences auxquelles j’ai assisté. Des vidéos officielles seront probablement diffusées.

 

Comment se connecter à un site web avec une clé USB ?

Dans cette première conférence, Vincent Casse nous présente U2F (Universal Second Factor), une norme permettant de s’authentifier à l’aide d’un périphérique USB. Cette norme est pour le moment compatible avec les navigateurs Chrome et Firefox (à partir de la version Quantum). Elle est implémentée par des acteurs tels que Github, Google, Facebook ou encore Dropbox.

Vincent est d’abord revenu sur les problématiques d’authentification que l’on connait aujourd’hui : le bon vieux mot de passe est très peu sécurisé. Beaucoup de personnes utilisent encore le même mot de passe pour plusieurs services, et ce mot de passe peut servir de n’importe où quand il a été dérobé.

Pour utiliser des mots de passe sécurisés différents, il est conseillé de passer par un gestionnaire de mot de passe (Lastpass, Keepass, Dashlane, etc.). Ces gestionnaires ne sont malheureusement pas simples d’utilisation pour l’Internaute lambda.  Il existe aussi la technique du bon vieux carnet dans lequel on écrit à la main, archaïque mais pas la pire des solutions.

Alors comment prouver son identité sur Internet ?

Dans la vie, nous utilisons une carte d’Identité ou encore une carte bancaire pour les paiements. En somme, un objet physique. L’objet physique personnel que presque tous le monde possède aujourd’hui est le smartphone. C’est la raison pourquoi la plupart des systèmes à double authentification passent par l’envoi d’un code SMS. Le niveau de sécurité est alors bien plus important, mais que ce passe-t-il si l’utilisateur n’a pas de réseau ? Ou encore s’il perd son téléphone ?

Dans tous les cas, quand on développe ce type d’authentification il est primordial de toujours prévoir une procédure de secours, mais si elle n’est pas automatisée.

Principe de fonctionnement U2F

Le principe de fonctionnement du protocol U2F

U2F se base sur l’utilisation d’un périphérique compatible ressemblant à une clé USB (on en trouve à 10 euros sur Amazon). Grossièrement, le rôle de cet appareil sera de générer un couple clé publique / clé privée à partir de d’un « AppId » et d’une valeur aléatoire. La clé publique sera ensuite transmise au service d’authentification, ainsi que la valeur aléatoire ayant permis de générer cette clé.

L’appareil U2F ne stocke aucune donnée. Alors, comment la clé privée est conservée sur l’appareil ? En réalité, chaque appareil U2F possède une clé privée interne qui lui ai propre. Comme dit précédemment, le couple clé privée /publique est calculé en fonction de cet clé privée interne à l’appareil, de l’AppId et d’une valeur aléatoire générée en interne. Dans le cas d’une authentification, la valeur aléatoire utilisée pour générée les clés la première fois sera transmise par le service, ce qui permettra à l’appareil de déduire à nouveau le même couple clé publique / clé privée. C’est la raison pour laquelle le service doit conserver cette valeur aléatoire que l’appareil lui aura transmis.

Vincent Casse

Nous avons donc 2 processus :

  1. L’enregistrement de l’utilisateur pendant lequel l’appareil U2F utilisera une valeur aléatoire générée en interne.
  2. L’authentification de l’utilisateur pendant lequel l’appareil utilisera la valeur donnée par le service d’authentification pour retrouver la clé publique et la clé privée.

L’appareil U2F n’est pas actif en permanence, à chaque sollicitation l’appareil clignote et l’utilisateur doit appuyer sur son bouton pour déclencher le processus. Ceci permet d’éviter aux différents services de pister l’utilisateur connecté.

Vincent nous a ensuite montré le code Javascript permettant d’enregistrer un utilisateur U2F, puis de l’authentifier (JS & PHP). Le code est disponible sur son Github.

 

Les Vendredis noirs : même pas peur !

 

David Pilato

David Pilato, Evengéliste chez Elastic Search est venu nous présenter la solution du même nom. L’angle choisi ici est de donner des pistes sur les choix de configuration la veille d’un évènement comme le Black Friday, où la volumétrie risque d’exploser.

La stack Elastic peut-être considérée comme un moteur de recherche, un outil de collecte et d’analyse de log ou encore de détection d’anomalie en terme de sécurité. La gestion des données avec cette stack est généralement effectuée en différentes phases :

  1. La collecte avec un Logstash qui peut-être considéré comme un ETL. Cette collecte est effectuée à partir de plusieurs sources de log différentes. Des agents « Beats » permettent même d’analyser les paquets au niveau de la carte réseau pour collecter cette donnée. Il est par exemple possible de pouvoir déterminer les requêtes SQL les plus lentes d’une base PostgreSQL sans modifier sa configuration.
  2. Les données sont envoyée sur un cluster ElasticSearch. Les requêtes doivent arrivées au format JSON (la transformation étant effectuée au niveau de Logstash)
  3. Enfin, la restitution de la donnée sous forme de tableau de bord à l’aide de l’outil Kibana.

L’utilisation de la stack Elastic est complètement libre, seuls les plugins X-Pack sont commercialisés (la licence Basic est gratuite). X-Pack vous permettra par exemple de mettre en place des systèmes de monitoring de vos cluster, ou de détecter des anomalies à l’aide d’algorithme de machin learning.

Un cluster ElasticSearch est composé de différents noeuds. Les données sont stockées dans des Index répartis sur ces différents noeuds. Ces index sont découpés en « shards ». Un shard étant l’unité logique. En pratique, un shard est une instance Lucene.

David nous a ensuite donné plusieurs conseils pour bien configurer ces shards. Toutefois, pas de recette magique, rien de remplace l’expérimentation. Dans tous les cas, il est nécessaire de revoir les valeurs par défaut afin d’éviter un problème d’over-sharding (un trop grand nombre de shard par index).

Une erreur souvent commise est de vouloir libérer de l’espace en supprimant des données transversales (en effectuant un DELETE) : cette suppression génère en fait de nouvelles données et ne fait qu’empirer la situation. La bonne stratégie à suivre est la suivante :

  • Générer des Index sur le modèle Timeseries : chaque Index correspondant à une période donnée (heure, jours, semaine…) et on ne réécrit jamais l’histoire. ElasticSearch permet de rechercher au travers différents Indexs donc ce n’est pas un problème.
  • On peut de ce fait purger les Indexs d’une période considérée comme obsolète.
  • Si on désire avoir un « backup » de ces données, cela peut-être géré par Logstash en effectuant une double écriture : sur le cluster ElasticSearch et sur le système de backup qui sera conserver.

Beaucoup d’autres sujets ont été abordés dans ce talk, comme :

  • Le principe de Templates : appliquer un format d’Index automatiquement en fonction de son nom
  • La roll-over API : permet de mettre un alias vers un nouvel Index
  • La Schrink API : pour changer la taille d’un shard une fois qu’un Index n’est plus en écriture

Lien vers les slides : https://speakerdeck.com/elastic/netsecureday-managing-your-black-friday-logs

 

Martine fait des Bug Bounty

 

Martine fait du Bug Bounty

En Bretagne, il n’y a pas que les Korrigans, les Druides et les buveurs de Chouchen, il existe aussi des « Bug Hunter ». Le Bug Hunter chasse les vulnérabilités la nuit. SaxX, un spécimen très intéressant de Bugs Hunter. Il est venu nous faire un retour d’expérience sur les bug bounty.

Dans ce talk, SaxX nous présente les principales plateforme de Bugs Bounty, comme par exemple Bounty Factory. Ces plateformes offrent des primes à ceux qui trouvent les vulnérabilités sur une cible donnée. Certaines sont ouvertes à tous, d’autres sont accessibles uniquement sur invitation.

SaxX nous a donné quelques conseils pour ceux qui voudraient se lancer dans l’aventure du bug bounty :

  • Se documenter, lire beaucoup ! Utiliser Twitter pour se tenir informer des nouvelles tendances
  • Participer à des challenges « Capture de Flag » (CTF)
  • Pratiquer !
  • Echanger avec ses pairs, participer à des évènements comme le #NSD17

Il conseille aussi de rester humble. En effet, avant qu’un système soit mis au grill du Bug Bounty, il aura la plupart du temps fait l’objet de plusieurs audits et au moins 90% des vulnérabilités auront déjà été trouvées. Il est aussi primordial de savoir écrire un bon rapport expliquant clairement la vulnérabilité. Enfin il est nécessaire de capitaliser son savoir en codant ses propres outils par exemple.

SaxX nous aura agrémenter son talk de différentes citations issues de l’excellent site excuse secu.

 

Reduction massive de la Fraude par Authentification Multi-Biométrique dans le respects des directives Européennes PSD2 et GDPR

 

Christopher Richard est venu nous présenter la solution d’authentification par Biométrie développée par United Biometrics. Cette solution permet d’être en règle avec les nouvelles réglementations européennes, à savoir :

  • PSD2 : Fournit un cadre légal à la sécurisation des l’accès aux données bancaires
  • GDPR : Fournit un cadre légal à la protection des données personnelles des utilisateurs

Christopher nous présente donc une solution basée sur un système de double-authentification biométrique :

  • Empreintes digitales
  • La voix
  • L’Iris
  • Mais aussi la façon dont la personne tape au clavier

Le système a été breveter et possède une innovation qui lui est propre : les informations utilisées pour conserver les données d’authentification donc hachées de façon non réversible. En d’autres termes, nos empreintes digitales se retrouvent sous forme d’un code barre chiffré qui ne pourra pas être exploité à d’autres fins que l’authentification.

Une question a été posée concernant la problématique de l’évolution des données biométrique avec l’âge. Ces données sont en effet amenée à évoluer. La seule réponse possible est de collecter régulièrement les données biométriques.

 

Ransomware, Malware, Phishing, Spear-Phishing, rétrospective de l’année vue du champ de bataille

 

Ransomware, Malware, Phishing, Spearphishing, rétrospective de l’année vue du champ de bataille

Sébastien Gest de chez VadeSecure est venu nous parler de l’évolution des ransomwares, malwares et autre spear-phishing au cours des dernières années.

En 2009, Internet c’était 1,4 milliard d’emails et le trafic était composé de 81% de spam. En 2016, nous passons à 2,6 milliard d’emails. Si le spam ne représente plus que 59% du trafic, on constate une hausse de 286% des malwares.

Le malware est un outil de plus en plus apprécié chez les hackers. Il est devenu polymorphe : le code est identique mais l’empreinte du fichier est modifié. Cela le rend difficilement détectable. Parmi les malwares, nous avons beaucoup entendu parlé dernièrement des ransomwares : un malware qui chiffre votre disque et vous demande une rançon pour pouvoir récupérer vos données.

L’email principal vecteur d’attaque

L’email reste le principal point d’entrée d’une attaque. En effet, 66% des attaques sont initiées par ce canal.

Le Spear Phishing

Le spear fishing est redoutablement efficace. Le principe est de scanner régulièrement l’effectif d’une grosse entreprise. Cela est de plus en plus facile avec les réseaux sociaux. Une fois qu’un nouvel arrivant est repéré dans un service administratif, on rentre en contact avec cette personne via son email. En tant que nouvel arrivant, la victime sera très souvent docile et facile à manipuler. Il sera vite possible de l’appeler en se faisant passer pour une personne importante de l’entreprise pour lui mettre un gros coup de pression. On pourra alors lui demander d’effectuer un virement immédiat en outrepassant le circuit normal sur un compte bancaire.

Les failles 0-Day : un business ?

Certaines vulnérabilités, une fois découvertes, peuvent faire l’objet d’un véritable business avant d’être publiées. En effet, même coté Whitehat, il peut être tentant de multiplier les audits chez les clients qui possèderont les systèmes concernés par la vulnérabilité sachant qu’on trouvera à coup sûr la faille.

C’est un peu ce qui c’est passé avec la NSA qui a très longtemps exploité une faille du protocole Samba pour faire de l’espionnage. Malheureusement, leur outil a été diffusé et est tombé entre de mauvaises mains. Nous avons alors eu droit à des catastrophes économiques liées au malware Wanna Cry. Renault et Saint-Gobin ont perdu beaucoup d’argent dans l’affaire.

Des campagnes de phishing de plus en plus réalistes

Les campagnes de phishing sont de mieux en mieux réalisées. Fini les templates de mails grossiers, nous avons droit dorénavant à des copies de plus en plus réalistes de services comme Paypal. Nous pouvons nous attendre à ce que les campagnes de phishing s’améliorent encore plus en raison des fuites de données dont on été victimes plusieurs sites majeurs. Il sera ainsi possible de cibler les victimes avec des données personnelles volées.

 

La sécurité des noms de domaine, le cas Wikileaks

 

La sécurité des noms de domaine, le cas Wikileaks

En keynote de clôture, Stéphane Bortzmeyer est venu nous parler de la sécurité des noms de domaines. Pour cela, Stéphane nous a abordé le cas Wikileaks qui s’est fait « piraté » il y a 3 mois de cela. D’après Julian Assange, le patron de Wikileaks, ils ne se sont pas fait « piraté ». Tout dépend en effet de ce que l’on entend par « pirater ».

En effet, le serveur web Wikileaks n’a pas été hacké. Les pirates ont cependant réussi à rediriger l’adresse wikileaks.org vers un autre serveur. Aucune donnée confidentielle n’a donc fuitée, mais l’image de marque en a pris un coup. C’est surtout l’égo de Julian Assange qui a été mis KO.

En terme de sécurité informatique, on a souvent tendance à oublier la gestion des noms de domaines.

Comment fonctionne les noms de domaines ?

Il existe plusieurs acteurs pour la gestion des noms de domaines :

  • Le registre : c’est l’organisation en charge de l’extension. L’AFNIC est par exemple en charge des domaines enregistrés en .fr.
  • Le bureau d’enregistrement : c’est le service qui permet d’enregistrer son nom de domaine auprès du registre, et de le gérer. L’un des plus connus est Gandi.net.
  • Les serveurs DNS : ce sont les serveurs qui permettent de faire la translation entre le nom de domaine et l’adresse IP.

En ayant conscience de ces différents rôles, il est alors plus facile de comprendre d’où vient un piratage. Par exemple, quand Météo France se fait pirater son nom de domaine en .fr et .com, le problème ne vient forcément pas d’un piratage au niveau du registre. Sil s’agit ici plus probablement du compte Météo France au bureau d’enregistrement qui a été piraté.

Il est aussi possible de se faire prendre son nom de domaine par voie de justice : voire l’affaire Milka.fr. Chaque registre dépend d’une législation. Contrairement à ce que beaucoup de personnes pensent, l’extension en .com est par exemple sous législation américaine.

La médiatisation des problèmes de sécurité

Les différentes affaires de cyber-criminalité sont souvent relatées dans la presse avec un manque de professionnalisme consternant. Le terme de DNS-Poisonning est par exemple souvent utilisé, presque à chaque fois à tort.

Il n’existe d’ailleurs pas d’organisation indépendante d’investigation des incidents réseaux. Même si en interne l’investigation est menée, les résultats ne sont jamais publiés.

La sécurité informatique est encore au stade café du commerce.

Les bonnes pratiques

Stéphane a conclu en énonçant les bonnes pratiques à suivre :

  • Ne pas noter les mots de passe sur un post-it à la vue de tous le monde !
  • Attention à l’Ingénierie Sociale !
  • Développer une culture de la sécurité informatique

De mon coté, je ne résiste pas à l’envi de vous proposer la fameuse interview suite au piratage de TV5Monde :

 

Conclusion

Cette 5ème édition aura été un beau succès. Après Codeurs en Seine, c’est la deuxième conférence tech gratuite sur Rouen en moins d’un mois. Un grand merci aux organisateurs et rendez-vous l’année prochaine pour la sixième édition !

Merci aux organisateurs !

1 Comment

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.