Retour sur l'édition 0x10 du SSTIC

Sécurité de l'information
Retour sur l'édition 0x10 du SSTIC

Depuis plus de 10 ans, Advens répond présent au Symposium sur la sécurité des technologies de l’information et des communications (SSTIC) organisé à Rennes.

Cette conférence incontournable pour notre équipe d’auditeurs, a réuni 800 participants aux profils techniques du 13 au 15 juin 2018. Cet évènement est l’un des plus importants en France et accessible à tous gratuitement depuis le live.

Cette année, nous avons eu le privilège d’assister à un changement majeur dans l’organisation en passant de l’amphithéâtre de l’université de Rennes au couvent des jacobins. Cette réorganisation était attendue depuis plusieurs années, car la capacité d’accueil de l’université ne permettait pas de recevoir l’ensemble de l’audience. L’achat des billets était déjà un vrai challenge, l’intégralité des places étant vendue en moins de 10 minutes.


Amphithéâtre du Centre des Congrès de Rennes Métropole

Les conférences du SSTIC sont principalement techniques sur des travaux de recherche ou des retours d’expériences ; les disciplines reines restant le reverse engineering et l'exploitation de binaires.

La keynote d’Halvar Flake est revenue sur ce point en exprimant ses interrogations sur l'avenir de la communauté reverse. Comme il nous l'a fait remarquer, de nombreux outils existent, certains sont très évolués à l'image d'IDA et pourtant aucun ne remplit totalement les besoins des ingénieurs. Ces derniers préfèrent alors multiplier les outils souvent développés uniquement pour répondre à un besoin précis, qualifié de "scripts jetables" par le conférencier.

Cette réflexion fut également partagée par de nombreux orateurs confrontés eux aussi à des problématiques précises nécessitant le développement d'un outil pour répondre à leur besoin.

Le SSTIC n'est cependant pas une conférence de développeur et toutes les présentations n'avaient pas pour sujet la création d'un nouvel outil. À titre d’exemple, le chercheur en sécurité Yvan Genuera est revenu sur des vulnérabilités affectant l’ERP SAP lors de la conférence "ça sent le SAP’in !". Celui-ci a préféré réutiliser et améliorer des outils déjà existants pour découvrir de nouvelles CVE.

Des sujets plus hardwares furent également évoqués, notamment par Emmanuel Duponchelle et Pierre-Michel Ricordel. Il était ici question du rayonnement des ondes dans les câbles DVI et HDMI, et des risques liés à l'utilisation de câbles à mauvais blindage dans des environnements à risques. Une démonstration montrant la récupération d'un flux vidéo en live a également été proposée.


Interception à distance du flux vidéo

Le deuxième jour, nous avons pu assister à une conférence sur les containers Docker dans un environnement Windows. Ce sujet à la mode depuis quelques années est encore techniquement assez peu connu, la majorité des utilisateurs se limitant à la boite noire "magique" qu'est un container.

Contrairement à ce que peuvent penser certains, cette boite noire n'est pas une solution de sécurité. Des méthodes d'élévations de privilèges au sein même d'un container existent, sous certaines conditions, comme nous l'ont montré Julien Raeis et Matthieu Buffet.

La thématique incontournable des objets connectés a également été abordée. L’essor de ces objets amène à la problématique suivante : sont-ils correctement sécurisés ? Malheureusement, nous constatons au quotidien que la sécurité tant matérielle que logicielle est facilement contournable, voire inexistante.

Deux présentations ont mis en avant ce manque de sécurité, prenant l’exemple d’une serrure Bluetooth et d’une prise connectée.

David Cauquil nous a notamment présenté une méthodologie à suivre pour évaluer la sécurité d’un objet connecté. En l’utilisant sur une serrure connectée, il a démontré qu’un attaquant pouvait l’ouvrir ou la fermer à sa convenance sans avoir l’application légitime.

De même concernant la prise connectée, où le mot de passe Wifi du propriétaire peut facilement être récupéré depuis une attaque Man-In-The-Middle ou directement via la prise (pratique lorsque la prise change de propriétaire).

 
Prise électrique connectée

L’un des moments les plus attendus de la conférence est la session des Rumps, permettant à toute personne motivée de présenter sur un temps limité de 4 minutes un sujet de son choix. La particularité de ces présentations est que le public peut décider d’interrompre la conférence ou de laisser quelques minutes supplémentaires au présentateur.

Nous retiendrons notamment le retour d’expérience de Thibaud Binétruy au sein d’une Blueteam. Celui-ci est revenu sur plusieurs erreurs grossières commises par les équipes de Redteam et qui ont permis à son équipe d’anticiper l’attaque.

À titre d’exemple, son équipe a pu anticiper la préparation d’une campagne de phishing par une société de conseil en détectant l’achat d’un nom de domaine frauduleux :


Retour d'expérience Blueteam pendant les rumps

 La conférence du SSTIC est toujours précédée par la réalisation d’un challenge technique. Ce dernier très réputé et attendu chaque année a été résolu en 5 jours par David Bérard. Le gagnant de la catégorie "qualité de résolution" nous a ainsi présenté son write up, qu'il conclut en nous avouant ne pas avoir pu s'arrêter et avoir tenté de récupérer un mot de passe root du serveur.

Enfin, le social évent nous a permis de rencontrer et d'échanger avec différents acteurs de la sécurité, auditeurs, chercheurs, ou encore membres d'institutions comme l'ANSSI ou la DGA.


Social event organisé au couvent des Jacobins

Nous avons ainsi particulièrement apprécié cette nouvelle édition du SSTIC : le couvent des jacobins se prête parfaitement à ce type d’événement. La conférence passe un nouveau cap en termes d’organisation et celle-ci fut un succès.

Notre seul regret reste l’absence de workshops (de plus en plus fréquent sur les autres conférences) permettant aux participants de se former en condition réelle sur des sujets techniques.

A noter que l’intégralité des conférences peut être visionnée depuis le site officiel du SSTIC

Notre équipe, Audit, Advens