Le pôle sécurité s’est rendu à l’édition 2018 du Forum International de la Cybersécurité (FIC) qui s’est déroulé à Lille le 23 et 24 janvier au Grand Palais.

Après une keynote autour de l’utopie ou non de la cyber-résilience avec le monde d’aujourd’hui et de demain (IoT, intelligence artificielle…), nous avons pu suivre toute une série de conférences plus ou moins techniques.

Début des hostilités : sécurisation des accès avec BOMGAR

À 11h, Mario Massard  de la société BOMGAR est venu nous parler de la solution pour la gestion des accès distants.
La problématique dans la gestion des accès à distance est historique et vouée à se développer; selon Mario, il est important de ne pas savoir si une faille va avoir lieu, mais quand elle va avoir lieu. De plus, malheureusement trop de confiance est accordée aux prestataires/utilisateurs.
Au niveau des sources des failles, nous avons :

1. les accès distants (PMAD prise en main à distance, VPN…)
2. les mots de passe faibles.

Après une présentation du contexte, du paysage actuel des menaces et les défis associés, Mario nous a présenté sa méthodologie basée sur 6 étapes avec comme objectifs de sécuriser la connexion et protéger les identifiants :

1.  Sécuriser les accès des prestataires : pas de compte sur l’Active Directory interne, authentification forte sur plateforme dédiée puis utilisation d’une machine qu’on met à sa disposition ensuite via l’interface Web
2. Sécuriser les accès des salaries : visibilité et traçabilité de tout ce qui peut se passer (injection de sessions directement depuis l’interface Web, invitation et partage)
3. Stocker les mots de passe en toute sécurité : utilisation d’un coffre-fort
4. Alterner les identifiants privilégiés de façon aléatoire
5. Protéger les comptes de service
6. Renforcer la sécurité app-to-app.

Une démonstration fut présentée au fur et à mesure de la présentation des différentes étapes. La conclusion : les clients ont globalement gagné en productivité (application disponible également sur mobile) et les VPN ont été supprimés.

Security by Design

À 11h30, un sujet pas nouveau, mais qui revient avec l’IoT et le contexte réglementaire : la “Security by Design”.
Après un tour de table pour la présentation des différents speakers, nous avons abordé Meltdown et Spectre : finalement, tout est concerné par une vulnérabilité (le matériel, le logiciel… et évidemment l’humain), on ne peut donc pas présager de ce qui va se passer : considérer qu’on est infaillibles est une véritable utopie (concept de “0-trust”).
Il est nécessaire d’avoir des briques logicielles pour essayer de contrer ces attaques et de les détecter ; l’idéal est d’adopter une posture de “0-trust” : rien n’est ouvert. Un des speakers travaillant chez VMware nous a parlé de VMware AppDefense : tout est fermé, apprentissage des flux par l’application légitime puis ouverture de ces flux seulement. La solution de Google BeyondCorp a également été présentée.
La conclusion de cette présentation est la nécessité d’adopter le principe de défendabilité : en associant les bonnes personnes avec les bons moyens/outils en suivant les bons processus, on peut, par des événements, des analyses de risques, préparer des réponses adaptées.

Information Warfare

Après un déjeuner rapide et efficace, nous avons assisté à une MasterClass autour de la guerre de l’information présentée par Jeff Moss.
Cette MasterClass, très théorique, a commencé avec la notion de cyber : beaucoup de cyber* : beaucoup d’orthographe, beaucoup de débats… Finalement, qu’est-ce que cyber signifie? Chacun peut avoir sa définition, le cyberespace est par exemple un monde beaucoup plus complet que le seul réseau Internet.
Mr Moss présente deux façons pour “avoir le cyberpouvoir” :

1. Hard : pirater les serveurs racines DNS, faire du chantage à haut niveau dans une organisation, pirater des votes
2. Soft : la coercition, jouer sur les opinions politiques et les croyances des personnes, répandre de fausses rumeurs…

Globalement et quelle que soit la méthode choisie, cela tournera autour de la technique et du psychologique.

“Tout va bien dans mon SI?”

Certilience nous a ensuite proposé une démonstration technique pour faire suite aux audits menés pendant une année afin de donner les bonnes pratiques permettant de garantir la sécurité de son SI en gardant le contrôle permanent de son état de santé.
La sécurité n’a pas de prix, mais elle a un coût ; concernant les IPS/IDS/Antivirus/Firewall, on en retrouve dans quasiment toutes les sociétés, mais mal configurés… Beaucoup de règles du style “Allow from any to any” par défaut avec en commentaires (temporaire, tests…).
77 secondes : temps moyen entre le lancement d’une campagne et la récupération du premier identifiant. Pour un auditeur, la commande uptime est très révélatrice puisqu’un uptime trop long signifie souvent que la machine est rarement mise à jour. Autre écueil : les logs sont souvent générés, mais ne sont pas analysés.
Les pentesters n’échouent pas trop : en effet, au bout d’un certain temps, la sécurité est mise de côté et les fix non réalisés. Le constat est sans appel : après l’audit, tout n’est pas corrigé et on laisse aller.
Les grandes étapes pour garantir la santé de son SI :

• Sensibiliser et former les utilisateurs : campagne de phishing, vérification des connexions et des versions sur les postes
• Protéger les accès au SI : firewall, antivirus, TLS, mots de passe forts (et suppression des mots de passe par défaut), domaine (nettoyage des comptes inutilisés), durcissement des configurations, mises à jour des logiciels
• Gestion des mises à jour
• Contrôle régulier : vérification des services exposés, de l’intégrité des configurations FW, pot de miel pour détecter des comportements suspects.

REX sur NotPetya

Nous avons pu avoir un retour d’expérience de Wavestone avec Gérome Billois et sur la gestion de crise ainsi que les bons réflexes à avoir.

1. Définir une gouvernance et une politique claire sur les crises et leur gestion
2. Réagir vite et avec les bonnes personnes pour limiter les effets
3. Sauvegarde ce qui peut l’être
4. Patcher et reconstruire
5. Apprendre : être capable de réagir vite, d’automatiser les reconstructions.

Vision 2020

Dernier talk de la journée sur la vision 2020 de la sécurité informatique présenté par Renaud Bidou de Trend Micro. Nous avons débuté avec un petit historique :

• 1988 : Morris worm, un buffer overflow non patché dans le daemon fingerd 
• 2001 : Code Red (directory traversal dans IIS)
• 2017 : Wannacry (heap overflow dans SMBv1).

Le point commun dans tout ça : il y a toujours l’exploitation d’une vulnérabilité.
En 2020, il est évident qu’il y aura encore d’autres erreurs (toujours des bugs et l’absence de correctifs) ; également, on trouvera toujours des hackers, et les surfaces d’attaques seront de plus en plus grandes.
Les modèles de régression, de classification et tout ce qui touche aux réseaux de neurones ne sont pas des disciplines nouvelles. Cependant, nous sommes maintenant capables de les implémenter et de les exploiter matériellement et logiquement.
Concernant les équipes, on risque de manquer d’expertise en 2020 : en effet, un expert dans tous les domaines de la sécurité informatique, ça n’existe pas.
Conclusion : il faudra créer les bonnes équipes avec les bons experts dans l’optique de résoudre la fameuse équation de concilier l’IoT, les conteneurs, les serveurs legacy tout en arrivant à garder une visibilité globale…  Il faudra rendre la sécurité intelligente, l’IA devrait nous y aider… 🙂

Pratiquer la sécurité agile avec le red teaming et le Bug Bounty

Nous avons également assisté à un retour d’expérience animé par Jean-Marc Gremy et présenté par Olivier Guerrier, Ely De Travieso et Pierre A. Damas.
M. De Travieso, PDG de la société BugBountyZone a expliqué le concept du Bug Bounty et la plateforme que propose BugBountyZone :
Un système de plateforme dédié où des professionnels de la sécurité réalisent un audit de sécurité sur un support dans le but de mettre en avant les vulnérabilités trouvées en échange d’une rémunération.
Pierre A. Damas, chef de secteur au sein de la Commission européenne donne un retour d’expérience sur le choix de la Commission européenne de passer par ce système de Bug Bounty pour tester la sécurité des logiciels qu’ils utilisent.
Elle a donc lancé un appel d’offres en juin 2017, qui a été remporté par la société américaine HackerOne pour réaliser une première PoC (Proof of Concept) sur l’application VLC (application de lecture de fichiers multimédia) avec pas moins de 100 000 hackers éthiques mobilisés.
La table ronde soulève également les problématiques liées au souci de bienveillance pendant les Bugs Bounty. Que faire si dans le lot de chercheurs certains sont mal intentionnés ? La réponse apportée à cette question sera simplement de partir du principe qu’un hacker malveillant n’ait pas besoin d’attendre le Bug Bounty pour s’attaquer au système ou au logiciel ciblé…

DevOps : peut-on concilier sécurité et rapidité ?

L’ajout des principes de sécurité dans un contexte DevOps peut être un vrai casse-tête. Cette table ronde composée de Jean-Baptiste Aviat (SQREEN), Arnaud Cassagne (NEWLODE), Henri Favreau (BOUYGUES TÉLÉCOM), Laurent Petroque (F5 NETWORKS), Stéphane Cagnon (ARCAD SOFTWARE) revenait sur les différentes problématiques de sécurité dans la transition DevOps de ces différentes entreprises.
Le DevOps permet notamment aux développeurs d’applications de déployer plus rapidement leur projet et ainsi gagner en productivité. L’intégration continue peut donc être la source du déploiement d’une faille de sécurité si celle-ci n’est pas maîtrisée.
Il est donc important de prévoir des environnements de déploiement bien séparés et de mettre en place des workflows d’approbation pour les environnements les plus à risques (la production par exemple).
L’intégration continue peut également être un très bon moyen d’intégrer des tests de sécurité au sein des projets de manière automatique.
La machine ayant des droits de déploiement doit être très robuste puisque la prise de contrôle de celle-ci donnerait d’énormes possibilités à un attaquant.

Conclusion

Bravo à tous les organisateurs de ce FIC 2018 puisqu’organiser un tel événement ne doit pas être de tout repos. Nous avons déjà hâte d’y retourner l’année prochaine et de continuer nos discussions sur les stands ainsi que suivre les conférences (qui nous l’espérons seront plus techniques) ! 🙂