t c'est parti pour le SSTIC 2009, septième du nom. Je ne sais pas si j'arriverai à vraiment tout bloguer le tout en live comme l'an dernier, mais bon, on verra. En tout cas, la soirée d'hier s'est passée tranquillement, sans excès, avec un passage obligé Rue de la Soif, forcément.
Comme tous les ans, il y a la queue à l'entrée pour la récupération des badges, devant le café et à l'entrée de la salle qui est, comme vous vous en doutez, bien bien pleine. On y voit tout un tas de visages familiers, certains qu'on voit régulièrement, d'autres moins, ça fait toujours plaisir de revoir des gens qu'on n'a pas croisé depuis des lustres.
Mais bon, trève de plaisanteries, les interventions commencent et c'est une des raisons majeures pour lesquelles on fait le déplacement...
Mercredi 3 juin 2009
Céline, présidente du SSTIC 2009, ouvre la conférence par une courte allocution et passe rapidement la main au premier intervenant pour la keynote.
- Keynote d'ouverture par Pascal Andrei, Airbus. Pascal est un collègue de travail de longue date, son activité chez l'avionneur et le développement du labo de sécu chez IW ayant des parcours qui se croisent plus que régulièrement, pour le plus grand plaisir des deux parties. Il va nous parler de sûreté, safety dans le jargon, et de sécurité, la différence entre ces deux concepts, comment ils interagissent voire se contredisent, etc. De la réglementation et son évolution. De l'organisation de la sûreté et de la sécurité. Et surtout, pour en revenir à ce qui intéresse énormément, du développement, de l'intégration et de la sécurisation des moyens de communication et de l'informatique de bord, toujours plus riche, et de leurs interactions avec l'environnement de l'avion. Une vision on ne peut plus éclairée d'un domaine dont j'ai essayé de vous entretenir dans la limite de ce que je pouvais en dire à quelques reprises.
- "Évaluation de l'injection de code malicieux dans une Java Card" par Jean-Louis Lanet, Institut de recherche XLIM - Université de Limoges. Après une rapide description de l'architecture d'une Java Card, l'auteur va insister en particulier sur les mécanismes de sécurité et de cloisonnement des applications installées sur la puce, puisque l'objet de la présentation est de les contourner. Ils vont parvenir à dumper de la mémoire à partir d'un petit trou dans la spécification et de l'absence de vérificateur de bytecode intégré sur certains modèles. La présentation est globalement bien détaillée, tout comme le papier, et présente bien les bases de l'attaque, ses limites et les mécanismes d'exploitation[1]. Il terminera par un scénario d'exploitation, une bonne grosse fuite d'information, et des idées de contre-mesures.
- "Data tainting pour l'analyse de logiciels malveillants" par Florent Marceau, CERT LEXSI. L'auteur présente une plate-forme d'analyse principalement destinée à l'analyse de malwares bancaires en pleine et constante évolution, en particulier en terme de protection contre l'analyse et l'éradication. Le principe est le data tainting, à savoir le traçage de la propagation des données sur le système au niveau des périphériques, de la RAM et du CPU. Ce ne manque pas de poser quelques soucis d'implémentation pratique, on s'en doute bien, ne serait-ce qu'en terme de volume de données à suivre et à capturer. D'où la nécessité d'un calibrage, à savoir un compromis entre les données à suivre et celles à laisser de côté, et une capture au niveau de la MMU selon les cas. La présentation est courte, mais relativement claire, même si on sent parfois une furieuse envie de se lâcher sur la technique. Une bonne démo pour finir et hop. Et un papier qui fait mal à la tête dans les actes.
- "Désobfuscation automatique de binaire" par Alexandre Gazet et Yoann Guillot, SOGETI ESEC. Je me suis laissé distraire, j'ai un peu perdu le fil, mais globalement, ils ont l'air de présenter en première partie des techniques visant à obtenir une vision symbolique et contextualisée du bytecode d'une VM d'obfuscation en assembleur optimisé. Code qu'il ne reste plus qu'à analyser avec l'outil qui va bien, dans leur cas METASM, bref, produire un résultat équivalent au code obfusqué d'origine, forcément, mais facile à analyser. La seconde partie porte sur des techniques de décompilation du code vers le C, plus facile à lire, à manipuler et plus expressif, démontrée en pratique sur le challenge SSTIC même si ce dernier n'est pas obfusqué.
Et à table :)
Je tiens à remercier mes voisins de derrière pour la correction orthographique et interactive en live, malgré la police microscopique sur un affichage tout rikiki...
Notes
[1] C'est bien technique, je ne vous le cache pas...
Jeu de briques
Snake
Pacman
Bubble