Hack In Paris 2011 : synthèse de l’évènement

2

Deux jours après Hack In Paris à Disneyland Paris, voici un premier article résumant l’évènement.

La conférence sur la sécurité informatique s’est déroulée à l’hôtel New York de DisneyLand Paris. Bravo à Sysdream, l’organisateur de Hack In Paris 2011.

Hack à Paris est organisé comme beaucoup d’autres conférences. Il est basé sur deux jours de formations et deux jours de conférences réalisés par des conférenciers internationaux. Le public quand à lui, était lui aussi d’origines des plus diverses.

La première conférence traitait du Pentesting d’applications iPhone ou iPad (basé sur Apple iOS), réalisée par Flora Bottaccio et Sébastien Andrivet provenant d’une société basée en Suisse : ADVtools. La présentation s’est concentrée sur les applications natives iOS.

Après une pause-café, Jean-Baptiste Aviat a présenté son outil appelé « Skyrack » (ou ROP de masse). ROP signifie « Return Oriented Programming » ou « Programmation Orientée Retour ». Wikipedia explique :

«ROP est une technique d’exploitation informatique de sécurité via laquelle l’attaquant exploite le contrôle de la pile d’appel pour exécuter des instructions machine indirectement et immédiatement avant l’instruction de retour dans les sous-routines dans le code du programme existant, d’une manière similaire à l’exécution d’un interpréteur de code ».

Conférence difficile de suivre pour les non-développeurs ! Une chose est sûre : Jean-Baptiste connaissait son sujet ! Même si vous ne comprenez pas comment fonctionne ROP, le plus important est de savoir comment vous en protéger. L’une des contre-mesures est l’ASLR (« Address Space Layout Randomization ») qui peut être activée dans les applications Windows avec l’outil Microsoft appelé EMET. Outil de Jean-Baptiste qui sera bientôt disponible !

Après la pause déjeuner, a commencé une très bonne présentation sur les fichiers SVG, ou plus précisément, comment les utiliser pour mener des attaques. Ceci a été présenté par Mario Heirerich. Pour reprendre la présentation : tout le monde est-il conscient des risques d’ouvrir des fichiers PDF malicieux ? La même chose peut être effectuée en utilisant les fichiers SVG ! Saviez-vous que ces fichiers sont supportés par défaut dans votre navigateur web ?

Mario a commencé avec une présentation du format SVG (ou « Scalable Vector Graphic ») des fichiers. Fondamentalement, ce sont des fichiers XML avec un lot de fonctionnalités supplémentaires. Les plus intéressantes sont qu’ils peuvent contenir des liens, des scripts et des événements et aussi l’inclusion d’objets arbitraires. Assez pour devenir dangereux ! Ils peuvent contenir une applet, un fichier Flash ou un fichier PDF et sont déployés en utilisant une balise <img>, <object> ou encore <embed>, accessibles directement ou via un fichier CSS. Imaginez un fichier malicieux SVG, téléchargez-le et double-cliquez dessus. Ce fichier a un accès complet à vos fichiers/répertoires !

Mario effectué plusieurs démos et a montré comment manipuler les fichiers SVG malveillants sur les différents navigateurs web. La démo la plus impressionnante a été celui d’un fichier SVG dans une balise <img>. Il contenait un fichier PDF malveillant qui a exécuté Skype et composé un numéro. Incroyable !

Ce que nous pouvons conclure de cette excellente intervention :

  • Les fichiers images ne contiennent pas forcément que des informations graphique !
  • Le format SVG nécessite une attention de la part des chercheurs en sécurité
  • Comment nous protéger contre de telles attaques ? Il existe un outil appelé SVGPurifier développé par Mario.

Ensuite, Alain Zdouemba a parlé des rogues, ces faux programmes antivirus qui font tant la Une ces derniers temps. Il a d’abord donné quelques faits intéressants sur ces programmes pas comme les autres. En voici quelques-uns :

  • Les utilisateurs paniquent quand ils voient des messages tels que « x fichiers infectés détectés, cliquez ici pour les réparer »
  • 9000 URL et 2000 adresses IP distribuant des rogues ont été détectés (labs.snort.org/iplists/ est une liste assez complète)
  • Certains TLD sont principalement utilisés pour distribuer des rogues, comme les .cc

Après l’introduction, la présentation s’est concentrée sur une analyse du malware MacDefender qui a récemment été un sujet brûlant dans l’actualité. Le faux programme de sécurité a mis en œuvre un processus très avancé. Il est intéressant de savoir que l’analyse de la C&C a montré que 75% des victimes sont des citoyens américains et que 27% d’entre eux utilisent une adresse e-mail Yahoo.

La présentation suivante a été réalisée par Tom Keetch. Ce fut la présentation faite lors du BlackHat Europe à Barcelone.

Enfin, la dernière présentation a été réalisée par Gary S. Miliefsky. Il a parlé de « sécurité réseau proactive à travers la gestion des vulnérabilités ». Gary a passé beaucoup de temps sur des choses que tout le monde sait déjà : «Rien n’est sûr». Puis il a passé beaucoup (trop ?) de temps à expliquer ce qu’est le CVE (« Common Vulnerability exposition»). La suite, plus intéressante, présentait des outils comme OVALE (« Open Vulnerability Assessment Language »). Basé sur un fichier de configuration XML énorme, cet outil analyse votre hôte. Il construit une liste des logiciels installés et des vulnérabilités associées si il y en a. Vous pouvez à peu près le comparer au PSI de Secunia. Le fait le plus important donné lors de la présentation : 95% des attaques utilisent des vulnérabilités connues. C’est pourquoi patcher les systèmes et les applications est si important !

Voila pour cet article, il se peut que d’autres suivent, plus ciblés, et avec des photos de l’évènement.

 

Passages basé sur une traduction Française de RootShell.be

2 Commentaires

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.