| Conférences

Pour cette édition 2018, les organisateurs du SSTIC (Symposium sur la sécurité des technologies de l’information et des communications) ont déplacé l’événement vers le couvent des Jacobins, un nouveau lieu pour pouvoir accueillir les 800 participants. Le CERT-OPMD y était présent cette année et vous propose un résumé des conférences qui nous auront marquées.

Tout d’abord quelques chiffres intéressants de cette édition du SSTIC :

  • Environ 800 participants
  • 4 présentations invitées par le SSTIC : Halvar Flake (Reverse Engineering), Daniel Jeffery (Let’s Encrypt), Jason Donenfeld (Wireguard), Patrick Pailloux (DGSE)
  • 14 talks
  • 11 présentations d’outils
  • 26 rumps
  • 3 jours de conférences sans pluie (pourtant la Bretagne ^^)

PREMIER JOUR

Subverting your server through its BMC: the HPE iLO4 case – Alexandre Gazet, Fabien Perigaud and Joffrey Czarny

Cette présentation avait pour sujet la sécurité des serveurs HP iLO. Les auteurs ont trouvé un premier exploit permettant de récupérer des informations en mémoire sur le système managé par l’iLO ainsi que d’y écrire du code arbitrairement pour obtenir un shell via netcat. Il y a quelques buffer overflow dont un dans le header Connection qui permet d’écraser une variable permettant de bypasser l’authentification et d’accéder à l’API REST du iLO. Même si HP a fait un bon travail pour corriger le problème, Alexandre Gazet et Fabien Périgaud ont expliqué comment le processus de mise à jour du firmware ne parvient pas à valider la signature et peut être utilisé à des fins malveillantes.
A partir de ces informations les auteurs ont travaillé sur le firmware iLO pour patcher le bootloader et ensuite patcher le noyau pour finalement insérer une backdoor sur le firmware de iLO. Pour les détails techniques de l’attaque nous vous invitons à visionner la conférence qui était de qualité.
Les orateurs ont publié un ensemble d’outils pour vérifier votre interface iLO mais la recommandation reste la même : patcher et ne pas déployer les interfaces iLO dans la nature.

Signaux parasites compromettants

Retour du déjeuner concocté par les organisateurs du SSTIC. C’est Emmanuel Duponchelle et Pierre-Michel Ricordel qui abordent les « Risques associés aux signaux parasites compromettants : le cas des câbles DVI et HDMI ». Leur recherche s’est concentrée sur le problème TEMPEST avec les câbles vidéo. Avec l’aide d’un dongle, d’un radiologiciel (SDR dans le cas présent) et d’une antenne pour capter les signaux, l’orateur a réussi à intercepter le signal de son propre laptop de présentation et afficher ce qu’il se passait dessus. Après une ovation générale, ils ont expliqué comment fonctionnent les signaux vidéos et quels sont les standards VGA, DVI et HDMI. Le signal parasite est généré lorsque l’intensité du signal change, et par conséquent à chaque pixel ça émet une onde radio.

Plus la variation de potentiel est rapide, plus le rayonnement est fort. En VGA, le signal n’est pas très rapide, donc les fronts sont plus mou, et le rayonnement est plus faible. En DVI, la fréquence est rapide, et les changement de fronts forts, de ce fait le rayonnement est plus fort, et il ne reste plus que le blindage pour vous sauver. Le blindage des câbles doit être complet, cependant la qualité des câbles est très variable. Dans l’ensemble les constructeurs fournissent des câbles qui offrent un blindage correct puisqu’ils respectent les normes. Retenons qu’il faut privilégier le VGA ou le DisplayPort au HDMI ou au DVI afin de se protéger des attaques type TEMPEST

Escape room pour la sensibilisation à la sécurité informatique

Erwan Béguin, étudiant en informatique à l’INSA (Institut National des Sciences Appliquées de Toulouse), est venu présenter son projet d’escape room qu’il a développé à son école. Le principe de cette escape room est de sensibiliser les élèves à la sécurité informatique, en passant par différentes attaques de social-engineering que l’on retrouve couramment.

Deux scénarios sont proposés, l’un visant à sécuriser un environnement de travail, et à trouver l’attaquant à l’origine de l’attaque ; l’autre réunit en trois participants dont l’objectif est de voler des documents à une entreprise fictive. Une vidéo « best-of » de cette expérience a été diffusée en fin de présentation, ce qui permet de voir les réactions des étudiants pendant le challenge.

Wookey : USB devices strike back

Projet très intéressant qui est proposé et présenté par une équipe de l’ANSSI autour de la conception d’une clé USB sécurisée chiffrante, capable de répondre à une menace de type BadUSB. De surcroît peu onéreuse et open source. Le projet est ambitieux et le travail fourni est impressionnant, cependant le concept est très complexe et n’est pas prêt à être utilisé par la plupart des gens…

Dump de flash sur circuit imprimé

Emma Benoit présente le résultat d’un pentest qu’elle a réalisé en compagnie de Guillaume Heiles et Philippe Teuwen sur un appareil embarqué : « Attaque d’une puce flash série : étude de cas d’une boîte noire ». L’appareil en question avait une puce flash sur le circuit imprimé qui devait contenir des données intéressantes. Pour dumper la flash, l’orateur a décidé de fabriquer son propre adaptateur, pour ensuite ressouder la flash dessus, pour enfin en profiter. Sur une flash au format BGA, il n’y avait que 8 pin sur les 24 qui étaient utilisées. La suite consistait à la conception du PCB avec kicad.

Deux méthodes sont évoquées, la méthode chimique qui consiste à utiliser du toner, et du perclo ; la seconde est d’utiliser une CNC pour découper les pistes directement dans le cuivre pour ensuite ajouter une pâte isolante, et on peut l’utiliser. Toutes les étapes ont été décrites et finalement les données ont été extraites de la flash.

DEUXIÈME JOUR

YaDiff

YaDiff est un outil qui permet de propager des symboles entre les sessions d’analyse. L’idée de l’outil est venue en réponse à un gros problème d’analyse des logiciels malveillants : il s’agit d’un travail répétitif. L’idée est qu’une fois l’analyse d’un malware terminée, les symboles sont exportés et peuvent être réutilisés dans d’autres analyses (dans IDA). C’est un outil intéressant si vous effectuez de la rétro-ingénierie en tant qu’activité principale.

Pour mettre en place ce système, les orateurs ont développés deux algorithmes, un classique et l’autre basé sur du machine learning qui nécessite un apprentissage.
Pour celui-ci, les fonctions sont regroupées par leur nom, et pour chaque groupe de fonction, l’algorithme d’apprentissage prend deux fonctions « similaires » et une troisième fonction qui diffère des deux précédentes, qui seront intégrées au réseau de neurones.

Sandbagility

Le second outil présenté était Sandbagility. C’est un outil qui se base lui-même sur un autre outil, Winbagility qui avait déjà présenté au SSTIC. Après une brève introduction aux différentes méthodes d’analyse des logiciels malveillants (statique, dynamique, dans une SandBox,…), les auteurs ont expliqué leur approche. L’idée est d’interagir avec une SandBox Windows sans qu’un agent y soit installé, mais plutôt avec l’hyperviseur. Le résultat de leurs recherches est un cadre, écrit en Python. Il implémente un protocole appelé « Fast Debugging Protocol ». Ils ont réalisé des démonstrations et montré combien il est facile d’extraire des informations du malware mais aussi d’interagir avec le bac à sable. L’une des démos était basée sur le ransomware Wannacry. Attention, ce n’est pas une nouvelle SandBox. De plus, le système Windows invité doit encore être affiné pour éviter une détection facile des machines virtuelles.

Conception du Challenge SSTIC

De notre point de vue, le défi était assez complexe (comme d’habitude ?) et comprenait de nombreux problèmes basés sur la cryptographie. Le scénario se voulait réaliste, avec notamment l’analyse d’un exploit Firefox, du reverse WASM, un malware à analyser et un C&C à exploiter pour terminer.

Rump Session

Les rumps sont des mini-présentations chronométrées emblématiques au SSTIC.Cette année nous comptons 24 rumps validées sur 39 soumissions, et comme chaque année le rumps sont limitées à 4 minutes, le contrôle du temps est géré par le jury ou par les applaudissements du public. Ci-dessous vous trouverez les résumés succincts des rumps.

SSTIC Quiz

Les organisateurs du SSTIC ont repris le principe du Burger Quizz mais à leur façon. Le CO remercie dans un premier temps les soumissionnaires sans qui il n’y aurait pas de SSTIC. Nous apprécions la transparence des organisateurs du SSTIC sur le budget alloué pour l’évènement, avec notamment une grosse part du budget (70%) pour le traiteur, le reste dans la location de la salle majoritairement. Un petite retour d’expérience sur l’organisation du nettoyage des toilettes a été fait et nous pouvons constater qu’il faut 19 échanges pour décider de la fréquence de nettoyage. Et puis nous avons enchainé sur les questions comme dans le Burger Quizz, qui permettent aux organisateurs de prendre la température sur le ressenti des participants par rapport au SSTIC.

Comment louper sa réponse à un CFP

On sent l’expérience vécue plus d’une fois pour Damien Cauquil qui nous montre les différentes façons de rater une réponse à un CFP. Il y a par exemple” louper la deadline”, “teaser au lieu de proposer”, “être une quiche en Latex”. Mais les exemples cités qui m’ont le plus marqués sont :” Louper le mail d’acceptation puis l’e-mail de rejet pour ne pas avoir répondu assez vite”, ou bien “ne pas répondre à un CFP”.

sshpki.py

Un outil de gestion de pki de clefs SSH, c’est possible, mais avec ssh-keygen ce n’est pas aisé et peu pratique. De ce fait on génère une clé qui sera la CA, et après on signe les clefs des utilisateurs sans avoir à mettre à jour les authorized_keys. Les clés dépendent d’un profil qui peut limiter leur usage dans le temps. On peut aussi gérer la révocation de clés. github ->sshpki

Coffee plz

Comment avoir du café gratuitement à son travail? Même quand un dispositif de badges mifare classic est mis en place ? Et bien les orateurs ont utilisé mfoc pour dumper la clé, lire le contenu, etc… Avec quand même 3 zones sur 4 qui sont chiffrées! En allant sur le site du constructeur on récupère via un directory listing les outils de développement, et les listings clients avec leur n° de badges. Le firmware de la clef tourne sur un cortex m0, et l’algo crypto est xtea en 16 tournes. Seul l’UID est variable, le reste est fixe, ce qui permet par bruteforce de récupérer l’intégralité des données du badge. Le badge a en fait un backup, sur une des zones et la maj sur l’autre. Alors le café reste « gratuit » puisqu’il est possible d’indiquer le montant que l’on souhaite.

C’est la fin de la deuxième journée de conférences, direction le Social Event qui avait lieu dans le couvent Jacobins. Un endroit magnifique pour recevoir l’ensemble des participants et pour faire de nouvelles rencontres.
C’est un réveil post-social-event difficile mais prêt pour le dernier jour du SSTIC qui nous attend.

TROISIÈME JOUR

DNS Single point of failure

Florian Maury a ensuite présenté « DNS Single Point of Failure Detection using Transitive Availability Dependency Analysis ». Tout le monde a une relation d’amour/haine avec DNS. Mais l’orateur rappelle : “Pas de DNS, pas d’Internet”. Florian Maury est revenu sur le principe de base du DNS et aussi sur un point faible : le point unique d’échec qui peut rendre vos services inaccessibles sur Internet.

Il a écrit un outil qui, basé sur les requêtes DNS, vous montre si un domaine est vulnérable à un ou plusieurs points de défaillance. Dans la deuxième partie de l’exposé, Florian Maury a présenté les résultats d’une recherche qu’il a effectuée sur 4M de domaines (+ la liste Alexa top). Devinez quoi ? Il y a beaucoup de domaines qui souffrent d’au moins un SpoF.

Keynote de clôture du SSTIC

Enfin, le discours de clôture a été présenté par Patrick Pailloux, directeur technique de la DGSE (« Direction Générale de la Sécurité Extérieure »). Excellent orateur qui a présenté les objectifs « Cyber » des services secrets français. C’était aussi une bonne occasion de répéter qu’ils sont toujours à la recherche de personnes compétentes en matière de sécurité.

En conclusion nous pouvons féliciter les organisateurs du SSTIC pour cette édition 2018 qui a rencontré un franc succès auprès des participants. Nous remercions chaleureusement les speakers pour la qualité de leurs talks tout au long de ces trois jours, et nous espérons pouvoir revenir l’année prochaine pour l’édition 2019 du SSTIC.

@Thibault Serret