5 juil. 2009

Fuite d'information par clé usb


Périphériques de stockage amovibles : une menace réelle pour la sécurité des informations en entreprises. Une tribune d´Alexei Lesnykh, Responsable du Développement International et de la Stratégie Produit de DeviceLock.

À vingt-neuf ans, Daniel Harrington, analyste dans une société internationale de services et d’ingénierie informatique, n’aurait jamais imaginé se retrouver au cœur d’un scandale qui retentirait jusqu’au gouvernement britannique. Fin octobre dernier, une unité de stockage amovible lui appartenant était retrouvée dans un parking public à proximité d’un pub dans la ville anglaise de Cannock. Cette affaire serait passée inaperçue si l’objet en question n’avait été utilisé pour stocker les mots de passe ultra-secrets permettant d’accéder à la base de données de services en ligne du gouvernement britannique...

Lire la suite sur Zataz !

Ou installer le logiciel TRUE CRYPT et chiffré votre clé USB. Par cher est très efficasse...

30 juin 2009

Protection des données en transit !


Il ne se passe pas une seule semaine dans la presse sans que l’on lise que telle société perde des données sensibles. Dans la majorité des cas cela est dû à un vol ou une perte du Laptop ou une clé USB…

Une des solutions pour éviter cela est bien évidement le chiffrement du disque (Comme les technologies de type Full Disk Encryption - FDE).

Une autre solution est de transporter les données sur un disque externe. Dans ce sens, la société Data Locker propose une technologie très intéressante : le disque dur DATA LOCKER TM ENTERPRISE.

Il s’agit d’un "device" externe avec chiffrement hardware AES 256. Pour l’accéder depuis son ordinateur il suffit de rentrer un PIN Code sur le boîtier de celui-ci (up-to 18 digit).

Pour les plus parano ce disque supporte la fonction «Self Destruct»….

Cet équipement est certifié FIPS-140 et offre un mécanisme de défense contre les attaques de type brute force.

Pas très discret comme disque mais très efficace. On attend la même chose avec un lecteur biométrique pour avoir une authentification forte !

16 juin 2009

Cookbook: Facebook et OpenID pour la protection de votre identité numérique



Protection de votre identité numérique sur Facebook

Ce petit Cookbook pour intégrer Facebook avec son OpenID.

Authentification forte avec OpenID: une façon efficace pour diminuer les risques d'une usurpation de votre identité.

En utilisant une technologie d'authentification forte avec un simple certificat digital et OpenID vous diminuer fortement ces risques:

Malware / Vol de votre identifiant facebook
Sniffer
Keylogger
etc.

Bon début avec OpenID.

9 juin 2009

Guide: comment protéger vos identifiants Facebook, Linkedin et Google ?


Usurpation de votre identité: réalité ou fiction ?

Dans la série CookBook, voici un guide qui vous explique comment protéger l'accès à vos réseaux sociaux en sécurisant son couple "username password".

L'idée est de mettre en œuvre la solution SeatBelt de Verisign. Ce logiciel est capable de faire du Secure SSO. Il est basé sur une authentification forte pas certificat numérique X509. Ce certificat peut être stocké soit sur votre ordinateur ou sur un support hadware (Token Cryptographique).

Le protocole utilisé pour l'authentification forte est OpenID. Une fois authentifié de manière forte sur l'IDP de Verisign, il est ensuite possible de se connecter sur ces sites, comme Google, Facebook, Linkedin, etc...

Si vous aussi, vous ne voulez pas que quelqu'un usurpe votre identité cette solution est un 1er pas dans le sens de la sécurité.

Bonne lecture de ce guide

5 juin 2009

COMPROMISING ELECTROMAGNETIC EMANATIONS OF WIRED AND WIRELESS KEYBOARDS

"Émanation compromettantes électromagnétiques des claviers filaires et sans-fil"



Re-publication d'un billet sur une étude de l'EPFL de Sylvain Pasini et Martin Vuagnoux . Possibilité d'écouter à distance les touches du clavier. Une approche pour les espions et hackers... Un des points de la conclusion de Martin est l'utilisation dune technologie l'authentification forte pour éviter le vol de son couple username/password.

Comme par exemple la sécurisation de son domaine Microsoft avec Kerberos et PKINIT (Smartcard Logon) avec une PKI "intra murus".

Utilisation d'un Token Cryptrographique (Smartcard ou USB) ou avec l'utilisation de la biométrie et la technologie Match on Card.

Le site du laboratoire Lasec sur le projet

Texte du projet:

Computer keyboards are often used to transmit sensitive information such as username/password (e.g. to log into computers, to do e-banking money transfer, etc.). A vulnerability on these devices will definitely kill the security of any computer or ATM.

Wired and wireless keyboards emit electromagnetic waves, because they contain electronic components. These electromagnetic radiation could reveal sensitive information such as keystrokes. Although Kuhn already tagged keyboards as risky, we did not find any experiment or evidence proving or refuting the practical feasibility to remotely eavesdrop keystrokes, especially on modern keyboards.

To determine if wired and wireless keyboards generate compromising emanations, we measured the electromagnetic radiations emitted when keys are pressed. To analyze compromising radiations, we generally use a receiver tuned on a specific frequency. However, this method may not be optimal: the signal does not contain the maximal entropy since a significant amount of information is lost.

Our approach was to acquire the signal directly from the antenna and to work on the whole captured electromagnetic spectrum.

We found 4 different ways (including the Kuhn attack) to fully or partially recover keystrokes from wired keyboards at a distance up to 20 meters, even through walls. We tested 12 different wired and wireless keyboard models bought between 2001 and 2008 (PS/2, USB and laptop). They are all vulnerable to at least one of our 4 attacks.

We conclude that wired and wireless computer keyboards sold in the stores generate compromising emanations (mainly because of the cost pressures in the design). Hence they are not safe to transmit sensitive information. No doubt that our attacks can be significantly improved, since we used relatively inexpensive equipments.

4 juin 2009

2ème jours SSTIC à Rennes


Bonjour de Rennes,

Deuxième jours. J'ai loupé la 1ere moitié de la conf. Cette conf est en anglais, ce qui est rare au SSTIC. Le sujet est sur le Fuzzing.

FUZZING : LE PASSÉ, LE PRÉSENT ET L’AVENIR par Ari TAKANEN

Les standards de fiabilité et de sécurité en matière de communication nécessitent de faire appel à des nouvelles techniques de test automatisé. Le Fuzzing est une méthode de test « négative ». Il s’agit d’alimenter un programme, un matériel ou un système avec des données d’entrées malformées ou inattendues pour provoquer des défauts critiques, des crashs… Les tests envoyés sur les interfaces externes peuvent contenir des données incorrectes, des erreurs de syntaxe, mais aussi des séquences de messages incorrectes. Dans cette présentation je parlerais des derniers progrès des fuzzers « model-based », en particulier concernant le fuzzing de XML. XML est aujourd’hui omniprésent, aussi bien dans les applications Web que dans des systèmes critiques SCADA et Télécom. Malheureusement, les recherches conduites au CodeLabs montrent que la complexité d’XML engendre de nombreuses erreurs…

Texte officiel du programme SSTIC

FUZZGRIND : UN OUTIL DE FUZZING AUTOMATIQUE par Gabriel CAMPANA (Sogeti ESEC)

Présentation sur fuzzing. L'idée est de tester du logiciel pour trouver des bugs ou vulnérabilités (Bof ou autre). Généralement les outils sont automatique. Il existe passablement de solution comme Autodafé, Flayer, etc...

Le speaker nous démontre un exemple de Fuzzing sur du code source en C puis nous présente sa solution "Fuzzgrind" qui est un outil qui repose sur un plugin spécifique pour Valgrind et STP, outil de résolution de contraintes.

Valgrind analyse le programme et génère un rapport. Nous avons droit à une démo. Impressionnant pour trouver des trous de sécurité...

SÉCURITÉ DES ARCHITECTURES DE CONVERGENCE FIXE-MOBILE par Laurent BUTTI (Orange Labs)

3ème conf ce matin. Le rythme est soutenue et les sujets assez complexe mais très intéressant.

La présentation se concentre sur la convergence des équipements: PDA, Téléphone, MP3, Console de jeux, etc.
Aujourd'hui la plupart de ces "devices" supporte la connectivité réseau (3G, Wifi, etc.). Une tendance est maintenant le UMA. UMA permet d'encapsuler les protocoles 3G sur IP. Cela pose des fortes contraintes de sécurité. UMA support l'authentification par certificat X509, EAP par exemple et le protocole IPSEC. Cela ouvre des portes intéressantes pour les applications du futur.
Encore une fois cela confirme aussi que les équipements mobiles seront un support parfait pour l'authentification forte. Voir mon billet sur ce sujet.

1ere pause pour un café

Sécurité des smartphones par Romain Raboin, Atlab

Présentation sur la sécurité du smartphone Windows mobile (Windows Mobile OS version 6.0).

Marché en forte croissance.

Brève présentation des 4 systèmes du marché:

  1. Symbian OS (représente environ 42% du marché)
  2. Iphone OS (13%)
  3. Windows Mobile OS (27%)
  4. RIM Blackberry OS (15%)
Romain fait un bref survol sur la sécurité des 4 OS. Il explique ensuite les menaces:

Vol de données
Géo-Localisation
Malware de type espions, Rootkit, Trojan
Vulnérabilité connue (CVE)
Vol de SMS, MMS (On trouve même des logiciels officiel de type "Keylogger"....)
Bof
etc.

La fin de la présentation nous montre un exploit sur Windows Mobile.

En conclusion (selon mon avis) Blackberry reste encore la meilleure approche en termes de sécurité. Pour le moment....

Je pense que l'Iphone va très rapidement évoluer sur ce terrain. Il y a déjà un client IPSEC pour l'Iphone.

Cool: un petit soft pour espionner sa femme.... :-)
Merci les USA ! spyware commercial disponible sur l'ensemble de ces plate-formes, FlexiSPY.

A suivre...

LE TRAÇAGE DE TRAÎTRES EN MULTIMEDIA par Teddy FURON INRIA - Thomson.

Pour faire face au piratage sur Internet de ses contenus, l'industrie de l' "entertainment" a promulgué un ensemble de mesures techniques de protection, plus connues sous le nom de DRM. Limitant l'accès des contenus dûment achetés, les DRM ont créé une énorme frustration chez les utilisateurs et sont devenus très controversés. Le traçage des traîtres fait partie des techniques alternatives moins intrusives en développement à l'heure actuelle. L'objectif est de s'attaquer à la source de la redistribution illégale en identifiant qui possédait à l'origine les contenus. La présentation a pour but de décrire le problème du traçage de traîtres, d'en établir un rapide historique (de Magaret Thatcher au disque Blu-Ray) et de décrire de manière simple les principes soutenant les solutions actuelles. Les ingrédients de base seront les suivants : une pincée de théorie des codes, un peu de statistique et beaucoup de tatouage numérique.

Source pour ce chapitre : le site du SSTIC
Ou le site de SID.

Une fois de plus cela confirme fortement la mouvance vers le DRM et l'utilisation de la technologie PKI.

Super présentation.

LE VOL D'INFORMATIONS N'EXISTE PAS... par Marie BAREL Orange Consulting Services.

Une super présentation juridique comme quoi, au sens de la loi, le vol de l'information n'existe pas. L'information n'est pas considéré comme un bien matériel...

Mais les choses sont entrain de changer. Il y a une jurisprudence en 1998. Un petit pas en avant.

Plus d'info du SSTIC:

Face à la crise, l’intelligence économique est une stratégie à développer et la maîtrise de l’information une nécessité impérieuse. Alors que, contrairement aux idées reçues, le vol d’informations n’est pas reconnu par le code pénal français, il convient de comprendre comment le droit protège le patrimoine informationnel de l’entreprise. Or, sauf le cas particulier de certaines données (données à caractère personnel, données couvertes par le secret, …) pour lesquelles le législateur a organisé une protection légale, il incombe en définitive aux responsables de mettre en œuvre au sein de l’entreprise des solutions, réponses contractuelles ou normatives, susceptibles de répondre efficacement à la problématique de la protection de l’information.

Pause de midi. On a faim...

POURQUOI LA SÉCURITÉ EST UN ÉCHEC (ET COMMENT Y REMÉDIER) par Nicolas RUFF (EADS)

Une présentation très sympa de Nicolas Ruff qui part du constat que les solutions techniques de sécurisation ne sont pas forcément très efficace. Un speech très pragmatique et beaucoup de retour d'expérience. Bravo Nicolas.

Exemple pratique sur les mots de passe Windows. Conclusion qui me plaît beaucoup. Ne plus utiliser les mots de passe.

Donc Smartcard Logon est une bonne approche.

Bientôt il y aura les slides sur le site du SSTIC (les actes)

Fin des conférences.

Ce soir Social Event SSTIC

Un autre point de vue sur le SSTIC Day1 Day2 par Cédric Blancher (SID) et son super Blog SID

3 juin 2009

Jour 1 au SSTIC à Rennes


Un peu de changement sur mon Blog cette semaine. Je suis au SSTIC à Rennes. C'est une super conférence sur la sécurité du système d'information. C'est un peu le Blackhat Français, mais moins commerciale. On est arrivé hier soir de Nantes en passant par Baule pour voir la mer.

Comme d'habitude, il y a 45 min de queue pour avoir le badge pour entrer dans l'amphi.... Et comme d'hab, j'essaye de trouver du 220 Volt pour mon laptop. Opération réussi ! Très important.

Je vais essayer de faire une petite synthèse de la conf en direct. Ceci représente un point de vue plutôt sous l'angle de la sécurisation des identités numériques (Authentification Forte)

Il y a aussi le Blog de SID qui commente le SSTIC 2009 en live ou presque.... (beaucoup plus complet)

Keynote d'ouverture par Pascal Andrei, Airbus.

Il nous parle de sûreté, safety dans le jargon, et de sécurité, la différence entre ces deux concepts, comment ils interagissent voire se contredisent, etc. De l'organisation de la sûreté et de la sécurité. Et surtout, pour en revenir à ce qui intéresse énormément, du développement, de l'intégration et de la sécurisation des moyens de communication et de l'informatique de bord, toujours plus riche, et de leurs interactions avec l'environnement de l'avion.

Extrait du Blog de SID

Pas mal de référence à l'identification des personnes, notamment la biométrie...

Et un hommage au victime du crash du Vol Airbus.

Évaluation de l'injection de code malicieux dans une Java Card par Jean-Louis Lanet, Institut de recherche XLIM - Université de Limoges

Début de la 2ème session. Un sujet cool...

Démonstration d'une attaque sur une carte à puce Java. 1er étape: récupération du fichier Cap. Ensuite écriture dans la mémoire de la carte. Injection de micro code dans la carte (like a BoF): le Trojan.... Le résultat est de casser le PIN Code de la carte. Voilà pourquoi la technologie Match on Card Biométrique est, d'après moi, plus sure ! En conclusion cette attaque est très complexe, donc pas trop de panique...

Un sujet un peu trop complexe pour moi !

Data "tainting" pour l'analyse de logiciels malveillants (Bankers) par Florent Marceau, CERT LEXSI.

Un talk sur les malwares bancaires. Soit les Bankers. Explosion des trojans bancaires en 2009. De plus en plus complexe et efficace... voir indétectable.
Le risque est principalement pour les systèmes eBanking peu sécurisés. Je pense au site sans technologie de lutte contre le Man in the Browser (Authentification Forte et signature des transactions)

Encore une fois cela nous montres que les menaces sont vraiment présentes pour les applications eBanking. Cela me rappelle une démo du SSTIC 2008.

Désobfuscation automatique de binaire par Alexandre Gazet et Yoann Guillot, SOGETI ESEC.

Un sujet assez technique pour moi. Tout ce passe en assembleur... Je vous laisse voir le billet de SID

Pause pour manger !

Le point d'un WOMBAT sur les attaques Internet par
Marc Dacier, Symantec.

Speak sur le projet WOMBAT par Symantec. Rare pour le SSTIC une présentation par un éditeur.... Le but de ce projet est de collecter des informations World Wide sur les malwares mais aussi d'apprendre le comportement de ceux-ci. Un peu comme le concept de Honeypot mais nouvelle génération: le SGNET.

SGNET: a worldwide deployable frameworkto support the analysis of malware threat models

Une fois les données collectées, l'idée est de les modéliser pour mieux les comprendre afin d'identifier la source ou un mode opératoire commun. Le résultat semble très prometteur.

Le but est d'être pro actif.
Leur philosophie est « connais ton ennemi » en référence à l'Art de la guerre.

Très bonne présentation


Un projet à suivre....

L'informatique de confiance
par Loïc Duflot, DCSSI

Une démo de folie ! Passer en root (sur linux) en débranchant 2 à 3 fois l'alimentation de son laptop. Ça part fort....

L'idée de base de segmenter le "socle de confiance" des applications -une sorte de firewall - Comme par exemple le BIOS, l'OS (Kernel) et le matériel (USB, CDROM, Alimentation, etc.). L'approche ressemble fortement a l'approche TPM ou
Intel TxT

Dans le cadre de ce projet, il y a eu un développement d'un System Management Mode (SMM) pour amener plus de confiance sur la machine. Très beau projet. Super technique

Plus d'information: présentation au C
ansecwest 2009 et Joanna Rutkowska

Compromission physique par le bus PCI" par Christophe Devine et Guillaume Vissian, Thales

Une démo impressionnante. Compromission d'un WinLogon via une PC Card. Un sujet un peu complexe pour moi. Mais dans le même style que la présentation de Loïc Duflot, DCSSI

Une contre mesure: mettre de la colle sur les bus PCI.......

Cinq questions sur la vraie utilité de l'ISO 27001" par Alexandre Fernandez-Toro, HSC

Une super présentation. Très pragmatique et beaucoup de retour d'expérience. Il y aura bientôt les slides sur le site du SSTIC. Bravo cela sent le vécu.

Plus d'info chez SID


Bonne soirée. Il reste encore une conf mais plus d'énergie pour le Blog.

A demain, il est temps de préparer la soirée. Bon repas avec fruits de mer.