NoSuchCon #2 – Day #1 - le résumé

Quelques notes sur la première journée de « NoSuchCon#2 - The bullshit-free hardcore technical InfoSec event in Paris, France » qui se déroule du 19 au 21 Novembre sur Paris.
 


Cette journée a été tout simplement excellente ! La conférence d’entrée (la « keynote ») a donné un coup de fou à tout le monde (« réveillez-vous, vous êtes dans une conférence très particulière »), la conférence sur les prises HomePlugAV pour créer un réseau via les prises électriques, ainsi que les deux conférences consacrées aux ordinateurs quantiques ont été mes trois préférées.

KEYNOTE: "Program Synthesis in Reverse Engineering" - Rolf Rolles - @rolfrolles
Dès le départ, la « keynote » a donné le ton : NoSuchCon#2 n’est pas une conférence pour ceux qui aiment le bull-shit marketing et les trucs mous ou commerciaux. Ici, la technique est la règle. Ca choque, car d’habitude la keynote est plutôt « high-level » et pose le contexte, les acteurs, le sujet, le blah-blah, etc… Ici c’était tout l’inverse.

Nous sommes donc rentrés dans le « dur du dur » avec de la génération automatisée de code en langage machine (assembleur) appliquée au domaine du reverse-engineering de codes malicieux pour comprendre le fonctionnement des vers, virus et autres logiciels espions.
Car oui, quand un cybercriminel créé un programme malicieux, il veut que celui-ci soit particulièrement compliqué à analyser (et donc très difficile à détecter et à bloquer). Pour la personne qui travaille dans les logiciels antivirus, il va vouloir comprendre le plus rapidement possible comment fonctionne précisément le code malicieux. Cela lui permettra de générer une signature pour bloquer la menace. Le cybercriminel va donc faire en sorte de lui rendre la tâche la plus compliquée possible : il va « transformer » sa création de telle façon qu’elle soit illisible : c’est le processus d’«obfuscation ».  La technique présentée par Rolf Rolles vise à automatiser la création d’un programme permettant de rendre lisible (donc de « dé-obfusquer ») un code pour en faciliter l’analyse. Le tout quasiment automatiquement…

Your Q is my Q - MQ vulnerabilities  - G. Gesheff - @munmap
Pour interconnecter les systèmes entre eux, les entreprises utilisent souvent des systèmes basés sur l’échange de messages. Un système envoie des messages et un autre souscrit à des messages d’un certain type mais chacun d’entre eux ne se connaissent pas directement : ils passent (ou échangent leurs messages) par le biais de « queues de messages » qui sont gérées par des systèmes spécialement conçus pour faire cela.


Ces systèmes sont clairement des cibles intéressantes pour un attaquant et comme cela a été expliqué durant la présentation, ils sont souvent vulnérables. Rien de bien spécifique comme failles : non-désactivation de fonctions inutiles, carence dans l’authentification, absence de vérification de l’intégrité des messages échangés, etc….
Il aurait été intéressant que soit plus développé le côté « impact », car les failles en elles-mêmes étaient assez classiques (même si la démo faite en mode « live »  fût convaincante et bien réussie).

HomePlugAV PLC: practical attacks and backdoorin - S. Dudek
Cette présentation sur la sécurité des prises à courants porteurs (CPL) permettant de créer une connexion réseau en passant via le réseau électrique 220V a été particulièrement intéressante. Elle a commencé par casser un « mythe » : les compteurs électriques ne bloquent pas les communications qui transitent via le réseau électrique. Si deux appartements ou maisons situés côte-à-côte utilisent des équipements CPL, ceux-ci sont théoriquement en mesure de se parler… En entendant cela, on regarde sa prise CPL avec un regard différent.

La présentation s’est ensuite attachée à nous expliquer les principes de fonctionnement du protocole HomePlugAV qui permet de créer un réseau de niveau 2 (un switch en fait) entre plusieurs prises. La sécurité d’un tel réseau étant définie par une clef dite NMK (Network Master Key). Cette clef étant elle-même définie et configurable via une autre clef « DAK ». En substance, cette clef DAK permet de faire ce que l’on veut sur les équipements PLC et à distance s’il vous plait. Evidemment (sic) cette clef peut être récupérée sans trop de peine…. Un homme informé en valant deux, ces prises sont bien pratiques mais ne sont pas sécurisées… A bon entendeur salut !

The Nitty Gritty of Sandbox Evasion - R. Rachwald
Détecter un code malicieux via des signatures est peine perdue. La raison est simple : 85% des malwares sont désormais en mode « à usage unique » (ou « kleenex ») et ont une durée de vie de l’ordre de 1 heure… Clairement, les signatures sont « has been » et la seule façon viable est d’utiliser des technologies de « sandboxing » (des « boites à sables » ou environnements informatiques utilisés pour observer un fichier ou un programme afin de définir s’il est malicieux ou pas, ce de façon totalement automatisée et indépendante du système d’information « de production »).


 


Si les « sandboxes » sont de plus en plus utilisées, les cybercriminels ont développé des techniques pour « passer sous le radar » et ne pas être détectés… Diverses techniques d’évasions ont été passées en revue : le malware ne s’active qu’à la détection d’une interaction humaine (il sait donc qu’il n’est pas dans une sandbox). Il recherche des caractéristiques spécifiques aux machines virtuelles comme des périphériques de souris virtuels ou encore va établir si un hyperviseur est présent par le biais de services ou d’instructions spécifiques.

Au petit jeu du chat et de la souris, ce seraient les Russes qui seraient particulièrement forts alors que les attaquants Chinois font dans le bruyant et n’ont cure d’être détectés.

Quantum computing in pratice - Renaud Lifchitz
La dernière présentation sur la cryptographie quantique est celle que j’ai préférée de la journée ; et ce même si je n’ai pas tout compris. L’utilisation d’ordinateurs quantiques offre des perspectives qui restent à explorer car nous n’en sommes encore qu’au début de l’aventure.  Je ne tenterai pas de paraphraser ni les propos ni la présentation qui a été faite. Il convient de conserver à l’esprit que la crypto quantique si elle se développe va remettre en cause la durée de vie d’algorithmes comme AES qui n’auraient plus que 10 ans à vivre.


A ceux qui se disent « la crypto quantique c’est du bull-shit théorique », je répondrai qu’ils aillent lire la présentation de Renaud LIFCHITZ : ils y trouveront des exemples de logiciels et même de services Cloud pour se faire la main dans le domaine.
Après, au vu des échanges sous Twitter , la cryptographie quantique semble un sujet assez controversé par les experts. Un sujet à suivre donc !


Et voilà, c’est fini pour cette 1ere journée ! Demain c’est parti pour la 2ième journée de la #NoSuchCon.

Jean-François (Jeff) Audenard - @jeffman78

PS : Suivez l’événement sous Twitter (le hashtag officiel est #NSC14). Les slides des présentations sont publiés au fil de l’eau sur le site à
cet endroit. Sinon, un bravo à Nicolas RUFF du comité d’organisation qui a été aux petits soins des speakers et qui a su donner le coup de pouce quand il le fallait pour qu’au final cette première journée soit un succès !

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens