Compte-rendu de la conférence SSTIC 2022

Date : 07 Juin 2022

Du 1 au 3 juin 2022 a eu lieu la 19eme édition de la conférence sécurité SSTIC (Symposium sur la sécurité des technologies de l'information et des communications). Il s'agit d'une conférence francophone très réputée pour son haut niveau technique qui rassemble des passionnés de sécurité informatiques. Le programme de la conférence est disponible ici.

Les supports de présentation sont disponibles via ce lien. Pour la plupart des conférences, on peut retrouver les supports suivants :

  • un article complet fourni par l’intervenant pour présenter son travail. On notera qu’il est possible, sur demande lors de l’inscription à SSTIC, de récupérer un recueil papier regroupant l’ensemble des articles/actes de la conférence.
  • le diaporama de la présentation,
  • la vidéo de la présentation.

Le SSTIC est une conférence assez généraliste et non thématique, ce qui pourrait limiter son attrait qu’à certains groupes d’auditeurs. Toutefois le planning était fait de sorte à faire regrouper le interventions par thématiques (cryptographie, forensics, environnements Microsoft, réseau, outils, reverse, mobiles, …), ce qui permet éventuellement de ne pas assister à tout, même si on ne saurait vous recommander une telle approche. Les intervenants proviennent de différents horizons, tels qu’industriels, académiques, étatiques, ingénieurs, étudiants, chercheurs, ou à titre privé.

Le SSTIC dispose de quelques caractéristiques uniques qui en font un incontournable en France :

  • La très grande majorité du contenu (articles, présentations) est en français.
  • Il est exigé des intervenant qu’ils produisent un article complet documentant leurs recherches (une approche quasi-académique).
  • L’organisation de l’événement a aujourd’hui une grande maturité. Le lieu (le couvent des jacobins à Rennes) est adapté, moderne, magnifique qui plus est, et la logistique (le respect des horaires, les repas) est bien rodée.
  • Le prix d’inscription, de l’ordre de 400€ (billet d’entrée + repas du midi + social event), nous paraît plus qu’honnête.
  • L’organisation est faite de sorte à favoriser les rencontres et échanges avec ses homologues. Le fameux « social event » du deuxième soir, les pauses, les repas sont autant de moyens de partager de l’information avec des personnes qui travaillent aussi en sécurité, mais souvent dans des contextes bien différents.
  • Le challenge organisé en amont, et dont la solution est présentée au soir du second jour, est d’un haut niveau et assez incroyable d’inventivité. Nous n’y avons pas participé, mais la présentation de la solution est agréable à regarder.
  • Les « rumps », une sorte de scène ouverte où chacun peut venir présenter un sujet (un exploit, un projet technique) en moins de 3 minutes, sont devenues un classique du SSTIC et d’autres conférences du genre. Tantôt drôles, parfois impressionnantes mais parfois incompréhensibles aussi, c’est un moment de spectacle que le public apprécie généralement.

Cette année, le SSTIC fêtait ses 20 ans et ce fut l’occasion d’une présentation invitée spéciale, dressant une rétrospective de l’événement depuis sa création en 2002-2003. Statistiques amusantes, anecdotes croustillantes, souvenirs de présentations improbables, retour sur scène de certains anciens du comité d’organisation, cette présentation un peu plus légère a été un moment de franche rigolade et de douce nostalgie pour les participants les plus âgés.

Mais entrons dans le concret et la technique pour vous résumer 4 présentations que nous avons particulièrement appréciées cette année.

 

Smartphone et forensique : comment attraper Pegasus for fun and non-profit

Etienne Maynier (Amnesty International)

Pour cette présentation, l’intervenant a donné quelques rappels sur Pegasus mais a surtout montré les moyens mis en œuvre par les experts en forensique d’Amnesty International pour détecter les infections. En effet plusieurs problèmes se posent pour faire de la recherche d’indicateurs sur smartphone :

  • Le premier est dû à l’accès aux données. Dans une entreprise « parfaite » les smartphones sont masterisés avec un outil spécifique permettant éventuellement de faire des captures d’image disque à tout moment. Mais dans la vraie vie c’est compliqué, en particulier pour les téléphones qui appartiennent à des journalistes/ONG et qu’il n’est pas forcément possible de jailbreak/root. Ce problème a été résolu sur iPhone grâce aux fonctions natives de sauvegardes chiffrées, celles-ci contenant beaucoup d’informations, mais est encore en suspens sur Android.
  • Le deuxième problème est la difficulté de trouver des échantillons récents de Pegasus, et le peu d’analyses rendues publiques au sujet de malware de type Pegasus sur iPhone.

Amnesty International a donc dû mettre en place toute une méthodologie et développer un outil pour inspecter les smartphones. Cet outil open source, nommé Mobile Verification Toolkit (MVT), permet de faire de l’extraction et de la recherche d’indicateurs dans les smartphones iOS et Android, avec la gestion de différentes sources de sauvegarde.

Cette présentation avait un intérêt tout particulier pour nous car elle concerne directement les activités de forensique Pegasus que nous effectuons parfois pour nos clients.

 

La signalisation chez les opérateurs mobiles

Benoit Michau, Marin Moulinier (P1 Security)

Cette présentation traite de la signalisation chez les opérateurs mobiles et des attaques potentielles inhérentes à l'exposition des infrastructures entre opérateurs mobiles nécessaires au roaming. Pour résumer, l'architecture d'un réseau mobile est composée :

  • d'abonnés (identifiables en interne grâce à leur numéro unique IMSI, et leur numéro de téléphone),
  • le réseau de l'opérateur (antennes, front-end, back-end),
  • ainsi que des prestataires IPX/GRX, qui servent d'intermédiaires pour interconnecter les réseaux des opérateurs afin de permettre l'itinérance des abonnés.

Une fois que l'information entre dans le réseau opérateur, tout est transmis en clair. Il est donc possible pour un attaquant qui loue les services d'un prestataire IPX/GRX de réaliser facilement des attaques sur le réseau. Les types d'attaques les plus courantes sont : l'obtention de l'IMSI d'un numéro de téléphone, l'obtention de la géolocalisation d'un abonné à partir de son IMSI (avec une précision régionale), et le détournement de SMS en utilisant la géolocalisation et l'IMSI d'un abonné.

Pour éviter cela, plusieurs protections peuvent être mises en place. Au niveau IPX/GRX, il est possible d'avoir un anti-spoofing et un filtrage simple des messages de signalisation. Au niveau de l'opérateur, il est possible d'avoir des firewalls pour les messages de signalisation, de faire du filtrage simple ou stateful, et d'utiliser des "SMS-HomeRouters" permettant de centraliser la réception des SMS afin de ne pas avoir à transmettre l'IMSI du destinataire sur d'autres réseaux.

Mais d'importantes difficultés subsistent : Par exemple, il est difficile de différencier des informations de localisations légitimes, d'informations de localisation falsifiées. L'opérateur mobile effectue bien un filtrage en fonction de la distance parcourue par le signal et de la durée, mais ce n'est pas toujours pertinent : par exemple avec l'antenne d'un bateau de croisière amarré au port : les abonnés vont osciller entre l'antenne du bateau (impossible à localiser, ou située loin de son lieu réel) et celle située à terre. On est ici en présence d'une situation légitime qui pourra facilement être détectée comme suspecte.

 

AnoMark - Détection d’Anomalies dans des lignes de commande à l’aide de Chaînes de Markov

Alexandre Junius (ANSSI)

On connaît bien l’approche par IOC (indicateurs de compromission) ou par signature de comportements connus, pour détecter des attaques au niveau système. Mais cette activité est aussi un champ d’application formidable pour les algorithmes d’apprentissage statistique en détection d’anomalie, permettant d’identifier des comportements inconnus jusqu’alors.

AnoMark entre dans cette dernière catégorie. Il s’agit d’un algorithme de machine learning reposant sur des techniques de traitement automatique des langues pour analyser les lignes de commandes remontant à chaque création de processus dans les journaux d’événements système. AnoMark décompose une ligne de commande en n-grammes (blocs de n lettres) et entraîne sur cette base un modèle statistique basé sur une chaîne de Markov. Ce dernier permet ensuite de calculer un score de vraisemblance de nouvelles lignes de commande, et d’en extraire les plus anormales vis-à-vis de l’activité passée.

L’ANSSI explique utiliser AnoMark en production depuis un an pour détecter notamment les lignes de commandes encodées, les pings vers des domaines inhabituels, l’exécution de processus inconnus, l’utilisation de flags inconnus dans des commandes légitimes, le changement de quelques lettres, l’exécution de processus connus depuis des chemins inconnus, etc.

L’approche très concrète de l’ANSSI sur cette problématique de détection nous a séduite. D’ailleurs, l’agence a publié en source ouverte, tout le code de AnoMark ainsi qu’une app Splunk, afin d’inciter pourquoi pas les SOC à valider cette méthode de détection.

 

Mise en quarantaine du navigateur

Fabrice Desclaux, Frédéric Vannière (CEA)

Les intervenants (mention spéciale au très énergique et presque désinvolte Fabrice Desclaux) ont présenté une solution maison mise en place au CEA pour réduire l’une des plus grandes surfaces d’attaque en entreprise. Le navigateur web est en effet une porte d’entrée toute trouvée, donnant sur le domaine Windows avec les privilèges utilisateur. Les nombreuses vulnérabilités qu’on y découvre, le fait que l’essentiel du trafic est chiffré SSL (opaque pour l’analyse des entrées/sorties de l’entreprise), rendent le navigateur impossible à protéger.

La réponse du CEA est un nouveau projet open source nommé sanzu et écrit en Rust. Il consiste à réduire la surface d’attaque (en cas de compromission du navigateur) de la manière suivante :

  • Le navigateur est placé dans une machine virtuelle Linux durcie, elle-même placée hors de la zone de sécurité, hors du domaine Active Directory. La VM se voit attribuée un disque dur virtuel dédié contenant les données de navigation de l’utilisateur.
  • L’utilisateur peut accéder aux fichiers téléchargés via un partage WebDAV.
  • Le déport d’écran est implémenté avec des bibliothèques de compression vidéo prenant en charge l’accélération matérielle, à la manière de ce que font les plateformes de jeux vidéo en streaming (comme Stadia ou GeForce Now). Ces protocoles maitrisés permettent d’éviter RDP ou Citrix, des protocoles complexes, souvent pointés pour leurs vulnérabilités, et aussi peu optimisés pour la fluidité d’affichage. Cette implémentation n’expose potentiellement à l’attaquant qu’une zone mémoire partagée entre le système invité et l’hyperviseur (un simple mapping des pixels streamés).
  • Des modules de code ajoutent des fonctions comme le copier/coller, avec une possibilité de le rendre unidirectionnel.
  • Sanzu permet aussi d’authentifier l’accès à la VM avec Kerberos, et ce de manière complètement transparente : l’utilisateur peut lancer son navigateur sécurisé en cliquant simplement sur une icône, comme une application classique.

Au-delà de proposer une vraie solution technique à une problématique bien connue, cette présentation a été la plus vivante, la plus drôle et la plus applaudie que nous ayons vu au SSTIC cette année.

Précedent Précedent Suivant Suivant Imprimer Imprimer