HSC
Cabinet de consultants en sécurité informatique depuis 1989 - Spécialisé sur Unix, Windows, TCP/IP et Internet
Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Ressources > Veille technologique >
Accéder au : Site HSC des formations
Télécharger le catalogue des formations
Recherche :  
English version
   Services   
o Domaines de compétences
o Conseil & Expertise
o Prestations ISO 27001
o Audit & Évaluation
o Tests d'intrusion
o Tests de vulnérabilités (TSAR)
o Analyse Forensique
o Certification ARJEL
o Formations
o E-learning
   Conférences   
o Agenda
o Interventions passées
o Tutoriels
   Ressources   
o Index thématique
o Brèves
o Présentations
o Cours
o Articles
o Outils (téléchargement)
o Veille en vulnérabilité
   Société   
o Hervé Schauer
o Equipe
o Offres d'emploi
o Références
o Historique
o Partenariats
o Associations
   Presse et
 communication
 
 
o Newsletter HSC
o Bulletin juridique HSC
o Revue de presse
o Communiqués de presse
o Publications
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
|>|  
> Accès au contenu HTML Début du rapport  
> Description Compte-rendu de la conférence SANS Network Security 2000, du 15 au 22 octobre 2000 à Monterey en Californie.  
> Contexte & Dates Rapport réalisé pour notre service de veille en actualité .
La différence entre la date de rédaction et la date d'envoi est généralement due aux corrections et relectures par les différentes personnes ayant participé à la conférence.
31 octobre 2000 - Rédaction du compte-rendu
13 novembre 2000 - Envoi aux abonnés de la veille en actualité
15 décembre 2000 - Publication dans Netcost & Security Hebdo n° 50
18 décembre 2000 - Publication sur le site web d'HSC  
> Auteur Stéphane Aubert, Jean-Jacques Bernard, Hervé Schauer (Herve.Schauer@hsc.fr), Gilles Guiot  
> Langue et Nature  
> Résumé &
Table des matières
 
> Documents liés
> Droits d'auteur © 2000, Hervé Schauer Consultants, tous droits réservés.

 

Cette édition de la conférence SANS : System Administration, Networking & Security (http://www.sans.org/) qui s'est déroulée du 15 au 22 octobre 2000 à Monterey en Californie, s'est révélée encore une fois comme un véritable vivier d'idées nouvelles et d'informations de haut niveau sur la sécurité. À noter la faible participation française avec 5 présents seulement, dépassée par les contingents belges et luxembourgeois.

Les cours et les conférences couvraient comme à l'accoutumée une large gamme de sujets, de la sécurité Unix et Windows (NT, 2000) à la détection d'intrusion et les attaques (piratage, dénis de service répartis), en passant par la sécurité des principaux logiciels réseaux : Sendmail, Postfix, Bind, et les routeurs Cisco.

Comme d'habitude, des BoFs (Birds of a Feather Sessions) ont été organisées chaque soir. Tout un chacun est autorisé à proposer une BoF, une salle lui est alors allouée et dés l'arrivée des personnes intéressées, les discussions passionnées peuvent commencer. Cette année encore les BoFs ont été très enrichissantes, avec de nombreuses personnes compétentes discutant passionnément de sujets très pointus, tels que les dénis de service répartis (Distributed Denial of Services), le logiciel de détection d'intrusion Snort ou le logiciel de tests de vulnérabilités Nessus.

L'importance des logiciels libres en sécurité est de plus en plus visible. Lors de la BoF Snort, des australiens ont ainsi présenté comment il assuraient leur détection d'intrusion en combinant Snort et Shadow : Snort peut utiliser la base de règles de Shadow en plus de la sienne. Ainsi Snort devient le logiciel d'écoute (sensor) de Shadow, et Shadow continue à faire les analyses a posteriori.

Le cours du soir sur Snort donné par son auteur Martin Roesh a fait salle comble, ainsi que la BoF sur Nessus organisée par son auteur Renaud Deraison. Il était d'ailleurs intéressant de constater que la grande majorité des personnes influentes en sécurité disposaient d'un ordinateur portable fonctionnant sous un Unix libre, principalement avec OpenBSD ou Linux.

Cependant, à l'instar de Usenix, SANS s'est largement ouvert au monde Windows, avec des sessions de 5 jours entièrement dédiées à la sécurité Windows NT et Windows 2000. Beaucoup de ces cours ont bénéficié d'une nombreuse assistance, car abordables pour le néophyte en sécurité. L'ouverture de SANS vers les personnes nouvelles dans le monde de la sécurité s'est aussi ressentie dans l'aspect volontairement spectaculaire de certains cours tels que "hacking exposed live". Les discussions avec les conférenciers permettent d'envisager un découpage des cours selon différents niveaux : pour experts, de niveau intermédiaire et pour débutants. Cette évolution permettrait de remédier à l'hétérogénéité croissante de l'assistance en termes de connaissances.

Les sujets techniques abordés concernaient souvent le piratage informatique, avec des explications de plus en plus précises sur les techniques utilisées et sur les outils mis en place. Lors de la BoF sur les dénis de service répartis (DDoS), il a été vu que les outils mis en place sur des serveurs piratés et sont de plus en plus difficiles à détecter. Ces piratages préoccupent de plus en plus d'administrateurs. Il a été constaté que les programmes fonctionnant sur des machines piratées au départ en vue de faire de DDoS, sont de plus en plus utilisés pour effectuer des tâches distribuées, comme le cassage de mot de passe ou pour jouer le rôle de serveurs d'applications, et moins pour des DDoS. Les piratent envoient à ces machines piratées des programmes à exécuter. D'après les témoiniages lors de la BoF, certains pirates semblent contrôler plus de 3000 machines.

Les différentes expériences des participants ont relevé les nouveautés suivantes :

  • Parmis les outils rencontrés le plus souvent FuckThemAll arrive désormais en seconde position et Mixter vient en 3ieme position
  • Il devient difficile de remonter de relais en relais car les outils de DDoS chiffrent de plus en plus leur communications entre eux
  • Les adresses IP ne sont plus en ascii mais en binaire prètent à être mises dans un paquet IP, et sont donc plus difficiles à repérées.
  • Des canaux IRCs privés sont utilisés pour envoyer des commandes des machines maitres aux esclaves. Le traffic va donc vers un canal IRC, ce qui est difficile à détecter.

    Pour ouvrir la conférence, le comité de programme de SANS a fait intervenir le département américain de la justice. Les représentants du DoJ ont de nouveau rappelé que le piratage reste illégal, et que le comportement actuel vis-à-vis des pirates : les encenser, les embaucher en tant que consultants en sécurité, était dangereux pour l'éducation des plus jeunes, qui par ailleurs, n'assimilent que trop rarement l'attaque d'une machine aux conséquences sur son propriétaire. Parallèlement, le DoJ a fait état de la réorganisation toute récente du FBI et de différents services américains, qui participe d'une volonté de voir tout incident de sécurité communiqué aux services de traques. Le numéro de téléphone à contacter était d'ailleurs annoncé lors de la présentation. Cette intervention du DoJ a par ailleurs relancé une polémique passionnée concernant la publication intégrale (full-disclosure) : faut il ou non continuer à publier les méthodes d'exploitation des failles de sécurité ?

    Le CIS (Center for Internet Security) a obtenu un succès certain auprès des participants à SANS. Cette organisation américaine à but non lucratif a pour ambition de définir une méthode permettant de qualifier la sécurité d'une entreprise ou d'une entité. Cette méthode devrait servir à mesurer la sécurité de prestataires ou de partenaires pour s'assurer par exemple que lorsqu'un partenaire est relié à un réseau d'entreprise via un VPN alors il correspond à un certain niveau de sécurité et possède telle ou telle note selon les critères du CIS. Les travaux s'inspirent au départ du travail réalisé par VISA pour vérifier la sécurité des 21 000 organisation qui bénéficient du logo de VISA. Une première version de la méthode est prévue pour mi-2001, et des logiciels automatiques de vérification de la conformité seront aussi développés.

    Plusieurs organismes et entreprises américaines font déjà partie du CIS comme : ATT, Axent, le CERT du DoD, l'ISACA, ISS, Merrill Lynch, la NASA, le Naval Surface Warfare Center, Stanford University, SANS, Stanford University, Virginia Tech University, et bien sûr Visa. Les organisations qui souhaitent participer sont invitées à envoyer un message à . La participation est payantei : $20000 pour les consultants jusqu'au 31 Décembre 2000, $25000 après.

    Une présentation qui a comme à l'accoutumée a remporté un franc succès est celle de Alan Paller (organisateur de SANS), qui a présenté les recettes permettant de réussir une présentation technique dans ses moindres détails.

    Enfin, pour la première fois dans l'histoire de SANS, le concours d'intrusion IDnet, a été remporté par un non-américain : Stéphane Aubert du cabinet Hervé Schauer Consultants. Voir le communiqué de presse d'HSC . Stéphane Aubert a obtenu un shell interactif sur le serveur WWW Microsoft IIS 5 sous WNT, sans être détecté par les logiciels de détection d'intrusion. Dans le même temps personne n'a pu intruser les serveurs WWW sous Unix.

  • Dernière modification le 22 octobre 2002 à 16:32:12 CET - webmaster@hsc.fr
    Mentions légales - Informations sur ce serveur - © 1989-2013 Hervé Schauer Consultants