HACK-IT-N, organisée par TEHTRIS et l’ENSEIRB-MATMECA, est une conférence française annuelle qui aborde la sécurité informatique sous les aspects techniques, organisationnels et également sociétaux. L’édition 2019 a eu lieu mardi 10 décembre 2019 à Bordeaux dans les locaux de l’école d’ingénieurs.
Après un bref discours d’introduction de Laurent OUDOT, Président de TEHTRIS, et Toufik AHMED, Directeur de la Recherche, de l’Innovation et du Transfert à l’ENSEIRB-MATMECA, c’est Bernard Barbier, l’ancien Directeur Technique de la DGSE, qui a pris la parole pour donner sa vision de la cyberguerre permanente que nous vivons en ce moment. Son constat, basé sur des chiffres concrets, est simple et sans appel: nos moyens sont ridicules en comparaison de ceux de nos voisins et alliés (USA, Angleterre, Israël). Il faut les revoir de manière drastique ou se prévoir à subir les assauts des cyber criminels qui se dirigent naturellement vers les entités les moins protégées.
Ensuite, une table ronde s’est tenue autour du sujet: “Technologie & société - Les enjeux de la cybersécurité”. Elle a été animée par Marie Le Pargneux (BPCE) avec trois intervenants: Didier Spella (Mirat Di Neride), Sébastien Yves Laurent (Université de Bordeaux) et Olivier Grall (ANSSI). L’idée en filigrane était que la sécurité concerne tout le monde aujourd’hui, en particulier les PME et les TPE, et la conclusion de Didier Spella entre en résonnance avec nos convictions: il propose qu’un bilan “cybersécurité” annuel soit demandé aux sociétés, comme c’est le cas pour le bilan comptable aujourd’hui.
Par la suite, plusieurs conférences techniques se sont succédées:
- Living Off The Land par André Lenoir - Cybersecurity consultant (TEHTRIS)
Retour d’expérience sur les méthodes d’attaques furtives actuelles et notamment une technique qui revient en force ces dernières années: Living Off The Land. Cette technique consiste à utiliser les outils existants déjà installés sur les postes de travail pour effectuer sa post-exploitation de manière plus furtive.
- Mass scanning the Internet for web vulnerabilities par Nicolas Surribas (auteur de Wapiti)
Auteur du scanner de vulnérabilités web Wapiti, Nicolas Surribas a décidé de l’utiliser massivement pendant un mois afin de déceler des faux positifs et des bugs dans un but d’amélioration du logiciel. Le talk a présenté l’outil, la structure derrière ce scan massif, puis les différents résultats: meilleures payloads, meilleures cibles ("/?s=" est le chemin le plus susceptible de cacher une XSS), faux positifs, axes d’améliorations, gouvernements les plus vulnérables, etc.
- AIS GSM Tracking – Les Naufrageurs 4.0 par David Le Goff (CEA)
Lorsque l’on veut suivre des bateaux à la côte, on utilise en général le système AIS (Automatic Identification System). Lorsque l’on veut suivre une cellule GSM, on peut écouter ce qu’une balise BTS (Base Transceiver Station) nous met à disposition. Chacun des sujets a souvent été traité séparément mais rarement ensemble. En combinant les deux technologies David Le Goff a imaginé des scénarios de naufrageurs nouvelle génération.
- Ciel ! Mon Kubernetes mine des bitcoins… par Denis Germain - Ingénieur Cloud - (auteur blog.zwindler.fr)
Après une rapide présentation de l’outil et un tour de l’actualité sécurité autour de Kubernetes, Denis Germain a listé les erreurs les plus communues, illustrées par des exemples tirés de l’actualité pour ensuite donner plusieurs conseils de durcissement.
- Entraînement à la cybersécurité par Bernard Roussely - (Beware Cyberlabs)
Bernard Roussely a donné sa vision de la sensibilisation aux problématiques de sécurité en définissant la population à cibler en entreprise et les priorités à donner à la formation puis finalement en détaillant des exemples d’entrainements.
- OWASP Mobile Security Testing Guide par Davy Douhine (RandoriSec)
La sécurité des terminaux mobiles est un sujet relativement récent dans le domaine de l’audit et des tests d’intrusion et l’adoption de ces terminaux en entreprise accélère le besoin des auditeurs mais également des développeurs de se former au sujet. Le projet Mobile Security Testing de l’OWASP a sorti récemment un standard, un guide de test et une checklist dédiés aux applications mobiles. Le talk a présenté brièvement le projet en l’illustrant d’exemples concrets de vulnérabilités trouvées récemment dans des applications Android et iOS. Les slides sont disponibles ici.
- Active Directory : Hack-it & Harden-it par Rémi Escourrou - Auditeur senior (Wavestone)
Rémi Escourrou a effectué un retour d’expérience sur les failles critiques les plus présentes sur l’Active Directory et les moyens de s’en prémunir. Il a ensuite présenté les fonctionnalités d’Azure Active Directory qui permettent d’ajouter plusieurs mécanismes de sécurité comme l’identification des mots de passe fuités ou le bannissement de certains mots de passe (ex: Societe2019).
- Security Operating Center en entreprise : Comment superviser ses périmètres et risques critiques par Cécilien Charlot - Expert sécurité (CGI Business Consulting)
Retour d’expérience de Cécilien Charlot sur les questions qui sont posées lors de la création d’un SOC: comment s’assurer que les risques les plus critiques sont bien supervisés et comment s’assurer que les meilleurs scénarios de surveillance sont bien choisis puis mis en oeuvre ? Pas de réponse universelle évidemment mais selon lui les clés du succès seront: la priorisation, l’établissement du lien entre supervision et risque et surtout le rapprochement avec les métiers.