Compte rendu de la conférence sécurité INSA-2017

Le 25 janvier 2017 s’est déroulée la quatrième édition de la conférence sécurité organisée par l’INSA de Toulouse et le LAAS-CNRS. Le programme est disponible ici et comporte  des sujets allant de  la sensibilisation à la sécurité informatique, à la sécurité logicielle et industrielle, ainsi que des nouvelles solutions pour les moyens de paiement numériques. Nous résumons ci-dessous certaines conférences de cette journée.

 

Par Jean-Yves Marion (professeur à l’Université de Lorraine)

Le problème posé par l’orateur est : comment savoir si un code est malveillant ou pas ?

La réponse à cette question ne peut pas être rendue rapidement. Plusieurs solutions existent, dont l’une d’elles est l’analyse de code par désassemblage. Mais le désassemblage de code binaire est long et difficile, et est réservé à des experts. De plus, les auteurs de codes malveillants utilisent des techniques d’obscurcissement de code comme par exemple l’utilisation d’empaqueteurs (ou « packer » en anglais) pour masquer la charge utile et pour se protéger des rétro-analyses.

L’auteur propose une méthode d’identification des codes malveillants par une étude morphologique visant à reconnaître la forme du logiciel malveillant. Cette étude repose sur l’analyse des diagrammes de flux de contrôle et sur des règles de réécriture de graphes pour normaliser ces graphiques et leur donner un niveau d’abstraction suffisant.  Le graphique produit par l’analyse permet d’identifier le code et donc de répondre à la question initiale.

 

L’ingénierie sociale : pirater le système d’exploitation humain

Par Romain Bouvet (Chercheur en psychologie à l’Université de Toulouse II Jean-Jaurès)

L’orateur présente l’une des méthodes privilégiées par les cybercriminels, l’ingénierie sociale. Le but est d’exploiter la crédulité des utilisateurs afin de les amener à devenir des complices involontaires.

Pour arriver à leurs fins, les hackers exploitent des failles humaines à l’aide de différentes techniques d’influence et de manipulation comme la communication engageante ou encore l’ancrage, afin d’amener les utilisateurs à exécuter une action.

L’orateur détaille une expérience qu’il a menée auprès de personnes sensibilisé aux techniques de phishing, notamment des personnes travaillant dans le service des ressources humaines. Pour cela, il a créé un faux CV qu’il a préalablement infecté avec un malware, permettant de récupérer le mot de passe de la victime lorsque celle-ci ouvre le fichier et exécute une macro. En répondant par mail à une offre d’emploi en utilisant un langage approprié et soigné, l’orateur explique que le CV est dynamique et comporte des animations, et que pour accéder au CV complet il faut donc activer la macro. D’après les résultats obtenus, il semble que la majorité des personnes a ainsi activé la macro malgré la sensibilisation à la sécurité.

Ce type de méthode est très utilisé car même si l’être humain est la plupart du temps rationnel, il est en fait irrationnel. Il prend l’exemple des fumeurs : si fumer n’est pas bon pour la santé, ce n’est pas pour autant que le fumeur va s’arrêter.

 

Donjons, Dragons et Sécurité

Par Thiphaine Romand-Latapie (Airbus Group Innovations)

L’oratrice présente une méthode qu’elle a développée afin de sensibiliser et convaincre ses collègues à la sécurité informatique à travers un jeu de rôle opposant d’un côté une équipe représentant les attaquants (hackers) et de l’autre une équipe représentant les défenseurs (équipe sécurité).

Son approche est très intéressante.  La sécurité informatique est traitée sans parler d’aspects techniques. Cela permet de toucher des interlocuteurs  d’horizons différents (PDG, Project Manager, secrétaire, ingénieurs, …)

Les buts poursuivis sont :

• Répondre aux questions « Qu’est-ce qu’une défense en profondeur ? » et « Quelles sont les motivations des attaquants ? »
• Combattre les stéréotypes du genre :
  • les hackers sont des génies (Pas nécessairement),
  • l’équipe sécurité ne connait pas la vie réelle et empêche les gens de travailler.

Cette approche résulte des remarques entendues en discutant avec des néophytes peu ou pas sensibilisés à la sécurité informatique par exemple :

• « Nous ne risquons rien : c'est dans le réseau local. »
• « Nous n'avons jamais été piratés ! »
• ...

Par ailleurs l’oratrice souligne que les néophytes appliquent souvent des mesures de sécurité physique dans leur quotidien :

• Fermer les portes de la maison le matin pour aller au travail etc…
• Avoir une assurance (auto, maison…),
• Cacher des objets de valeurs avant de partir en vacances,
• Ne laisser entrer aucun étranger dans leur maison

et sont d’accord avec la sécurité quand ils estiment qu’elle les protège (alarme, serrures, caméras…).

Le jeu repose sur  une analogie entre sécurité physique et informatique. Il se joue de 4 à 8 personnes sur une période de 30 à 45 minutes dirigé par un maitre du jeu (expert sécurité). Une fois le temps écoulé un débriefing est effectué avec les équipes.

Le but du jeu consiste à un voler un objet de valeur dans un bâtiment n’ayant aucune sécurité. Pour se faire, les équipes attaquantes écrivent à tour de rôle sur un tableau blanc, une méthode pour dérober l’objet, puis les défenseurs proposent une méthode pour contrer l’attaque. Chaque équipe dispose d’un budget illimité pour simplifier le jeu.

Contraintes :

• Les défenseurs doivent respecter les lois en vigueur,
• Les lois de la physique s’appliquent, pas de super pouvoirs.

Il est facile pour les participants de trouver des idées. Lors du débriefing, il s’agit de faire un parallèle avec la sécurité informatique. Pour cela les méthodes défensive et offensive ainsi que les méthodes d’attaques sont passées en revue :

• Mesures de sécurité opérationnelles et techniques, contrôle d’accès (privilèges), défense en profondeur, mauvais déploiement des mesures de sécurité (l’objet n’est pas déposé dans le coffre-fort),
•  Ingénierie sociale, vol de mot de passe, chemin le moins résistant,
•  Sécurité matérielle, supervision (SOC),
•  Vol d’identifiant,
•  Biométrie, authentification multi-facteurs.

L’avantage de ce jeu est l’interaction entre les participants. Cela permet d’intéresser et de montrer la nécessité d’appliquer une sécurité à des personnes non techniques, mais aussi de leur apporter des conseils en matière de sécurité.