HSC
Cabinet de consultants en sécurité informatique depuis 1989 - Spécialisé sur Unix, Windows, TCP/IP et Internet
Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Ressources > Veille technologique >
Accéder au : Site HSC des formations
Télécharger le catalogue des formations
Recherche :  
English version
   Services   
o Domaines de compétences
o Conseil & Expertise
o Prestations ISO 27001
o Audit & Évaluation
o Tests d'intrusion
o Tests de vulnérabilités (TSAR)
o Analyse Forensique
o Certification ARJEL
o Formations
o E-learning
   Conférences   
o Agenda
o Interventions passées
o Tutoriels
   Ressources   
o Index thématique
o Brèves
o Présentations
o Cours
o Articles
o Outils (téléchargement)
o Veille en vulnérabilité
   Société   
o Hervé Schauer
o Equipe
o Offres d'emploi
o Références
o Historique
o Partenariats
o Associations
   Presse et
 communication
 
 
o Newsletter HSC
o Bulletin juridique HSC
o Revue de presse
o Communiqués de presse
o Publications
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
|>|  
> Accès au contenu HTML Début du rapport  
> Description Compte-rendu de la conférence du FIRST qui s'est déroulée à Toulouse du 17 au 22 juin 2001. Le FIRST est l'association qui réunie les CSIRT : Computer Security Incidents Response Teams, souvent appelés aussi CERT. Voir http://www.first.org/conference/2001/.  
> Contexte & Dates Rapport réalisé pour notre service de veille en actualité .
La différence entre la date de rédaction et la date d'envoi est généralement due aux corrections et relectures par les différentes personnes ayant participé à la conférence.
23 juin 2001 - Rédaction du compte-rendu
30 juillet 2001 - Envoi aux abonnés de la veille en actualité
24 janvier 2002 - Publication sur le site web d'HSC  
> Auteur Hervé Schauer (Herve.Schauer@hsc.fr) 
> Langue et Nature  
> Résumé &
Table des matières
 
> Documents liés
> Droits d'auteur © 2001-2002, Hervé Schauer Consultants, tous droits réservés.

 

Les deux premiers jours sont consacrés aux tutoriels. Au FIRST ceux-ci s'adressent aux débutants, et donnent les bases des techniques d'enquête après incident : les corrélations, les outils disponibles, l'investigation forensique, la gestion du temps car il faut prendre garde aux fuseaux horaires ; et l'organisation de la sécurité, avec un débat entre un NOC et un SOC distincts ou mélangés, sans qu'une solution puisse être privilégiée à une autre.

Le mardi consacre la session Hot-Topics, qui a permis d'aborder de nombreux sujets, notamment les problèmes de sécurité dans les mécanismes de migration d'IPv4 vers IPv6, le respect de la vie privée lors des journalisations et enquêtes sur Internet, les listes électroniques chiffrées et la sécurité dans les réseaux IP sur GPRS (téléphonie mobile). La liste de ces sessions et les UTR des présentations sont accessibles sur http://www.hsc.fr/ressources/presentations/hts/.

Les BOF sont concentrées le même jour. Un des sujets abordés a été les tests de vulnérabilités automatiques par Internet. La technique classique de scans séquentiels des vulnérabilités utilisée par Intranode avec Nessus a été opposée à celle de Verisec (service Intexxia), qui modélise les vulnérabilités dans des arbres de tests tels que suggérés par Bruce Schneier, afin d'offrir une vue macroscopique. Bien que la technique soit différente, le résultat final pour le client reste identique. Un autre sujet abordé dans les BOF est la sécurité ou l'insécurité des réseaux Ethernet sans fil. Les informations entendues sur les problèmes avec les réseaux Ethernet sans fils demandent à être confirmés.

La conférence elle-même a été longuement introduite par Henri Serres (SGDN/DCSSI), qui a rappelé que le chiffrement est totalement libre en France quelle que soit la taille de la clé et a félicité le travail des CERT. Puis Danny De Temmerman (Commission Européenne) a présenté la vision européenne de la sécurité, même si celle-ci a encore beaucoup de chemin à faire pour exister. En réponse à la question "Quand y aura-t-il une directive imposant la qualité aux logiciels et la responsabilité de l'éditeur en cas de faille de sécurité ?", Danny De Temmerman a rappelé que la commission laissait faire la loi du marché, et Henri Serres a cité le rapport Thierry Carcenac et recommandé de suivre son conseil d'utiliser les logiciels Open-Source.

Jimmy Ardvisson de Telia a proposé un extrait de son tutoriel sur la mise en place et l'organisation d'un CSIRT. Il a formalisé les processus, et sa technique est implémentée chez Telia, IKEA et Swedish National Bank, et en cours d'implémentation à la sécurité sociale suédoise. Je n'ai pas été regardé le tutoriel mais la présentation était excellente et semblait directement exploitable. (URLs en annexe).

Marko, Laakso de l'Université d'Oulu a testé la sécurité des 7 passerelles HTTP-HTML / WAP existantes. Toutes avaient des débordements de buffer. Certaines ont planté à la moitié des tests. Quatre fournisseurs ont corrigé, un a corrigé mais pas correctement, et un a fait à de son initiative un avis de sécurité. Un bon exemple de l'absence de prise en compte dans la sécurité dans les développements d'applications.

La fonction Netflow des routeurs Cisco, permettant de journaliser le trafic, a été citée comme fondamentale par plusieurs interventions. David Harmelin de Dante l'a utilisée pour produire des statistiques sur les attaques en déni de service avec ses propres scripts. Il existe sur le marché des outils commerciaux pour configurer la fonction de journalisation des routeurs/commutateurs, et d'autres pour analyser les journaux produits.

Rob Thomas (Cymru) suggère d'appeler les IDS par leur vrai nom : IADS pour "Intrusion Attempt Detection Systems" et j'aurais tendance à adhérer à cette proposition qui est beaucoup plus juste qu'IDS, car ces logiciels ne cherchent qu'à recenser les tentatives d'intrusion et non pas les intrusions avérées.

Takfumi Onabuta, IPA (Information Technology Promotion Agency), Japon a implémenté un petit contrôle d'accès obligatoire dans un noyau Linux 2.2, afin de protéger un IADS local d'être victime de la compromission de la machine. Son logiciel sera disponible le 16 juillet sur http://www.ipa.go.jp/STC/IDA/.

Jeff Kristof de l'Université DePaul à Chicago a rappelé qu'il n'y a pas besoin d'être compétent pour être CERT et membre du FIRST, sur la base de leur expérience personnelle.(http://networks.depaul.edu/security/).

Plusieurs discussions ont porté sur le modèle économique des CERT, y compris un panel à la tribune. D'un côté certains croient aux CERT privés comme PriceWaterHouseCoopers ou British Telecom (BT SBS : Secure Business Service) qui offrent un service de CERT. En France de nombreuses sociétés offrent des services de type CERT, mais seul Alcatel CIT (anciennement Alcatel TITN Answare) a adhéré au FIRST pour son service CERT-IST, qui est l'hôte de la conférence à Toulouse.

La conférence se déroulant en France, il y a eu plusieurs présentations françaises, généralement d'un excellent niveau :

  • Stéphane Aubert (HSC) a présenté les vulnérabilitées d'IP dans les réseaux GPRS
  • Jean-Jacques Bernard (HSC) a montré que les intrusions dans IPv6 seront possibles comme dans IPv4
  • Philippe Bourcier (Cyberabuse) utilise son serveur IRC pour détecter et dénoncer des pirates
  • Philippe Bourgeois (Alcatel) a rapporté son expérience d'analyse de disques de machines victimes d'intrusions
  • Yves Deswartes (LAAS-CNRS) a montré les atteintes à la vie privée dans l'évolution actuelle de la sécurité réseau
  • Olivier Salaun (Comité Réseaux des Universités) a présenté l'implémentation de S/MIME dans Sympa. Cela donne le seul gestionnaire de liste, permettant de gérer des listes où les messages entre participants sont signés et chiffrés, ce qui est particulièrement utile pour des personnes gérant des incidents de sécurité
  • Isabelle Tisserand (XP Conseil) a insisté sur le facteur humain, sans toutefois donner de méthodologie ou de solution
  • Franck Veysset (Intranode) a introduit la reconnaissance de système d'exploitation par la pile TCP/IP

Comme les participants le disaient eux-mêmes, la conférence du FIRST est surtout utile pour les contacts. Le contenu est décevant : plusieurs présentations étaient éloignées du sujet où préféraient le look acteur de cinéma (cf Rob Thomas) au détriment du contenu. Les personnes connues comme Wietse Venema se sentent obligées de faire une présentation et cela fait plaisir à l'assemblée. Il n'y a malheureusement aucun compte-rendu d'attaques réelles, ni d'exemple concret de défense face à une attaque. Les investigations forensiques étaient citées dans toutes les interventions, mais sans aucun exemple concret durant toute la semaine.

L'organisation était parfaite, et le dîner de gala était somptueux : les foies gras à volonté et le Gaillac restent le point culminant de la semaine et laisseront un excellent souvenir de Toulouse à tous les participants.

Vocabulaire :

Pour en savoir plus :

Dernière modification le 7 novembre 2007 à 15:48:34 CET - webmaster@hsc.fr
Mentions légales - Informations sur ce serveur - © 1989-2013 Hervé Schauer Consultants