Archive for the 'Français' Category

Workshop final du projet Obfuscator

Nov 16 2012 Published by under Français,Hacking,HEIG-VD,Research

J’ai le plaisir d’organiser le workshop de clôture du projet HES-SO/RCSO “Obfuscator”, mené conjointement par l’HEIG-VD et l’EIA-FR entre 2010 et 2012. Ce projet avait pour but d’explorer le domaine de l’obfuscation logicielle à des fins de protection contre le reverse-engineering et autres menaces. Les résultats de nos recherches seront présentés, et nous évoquerons quelques perspectives futures.

Le workshop aura lieu lundi 3 décembre 2012, dès 16h30, salle E03 à l’HEIG-VD, route de Cheseaux 1, à Yverdon-les-Bains.

 

Agenda:

  • 16h30-17h00: Mot de bienvenue, présentation du contexte
  • 17h00-17h45: Obfuscation logicielle avec LLVM
  • 17h45-18h00: Pause
  • 18h00-18h45: Protection de binaires ARM
  • 18h45-19h00: Perspectives et conclusion

Ce workshop sera suivi d’un apéro. Pour des questions de logistique, merci de bien vouloir confirmer votre présence d’ici le 28 novembre 2012 par e-mail et n’hésitez pas à faire circuler cette invitation !

Pascal Junod (HEIG-VD) et Jean-Roland Schuler (EIA-FR)

 

One response so far

Vol de Données Confidentielles au SRC

Oct 01 2012 Published by under Cryptography,Français,Hacking

Ces derniers temps, les vols de données informatiques confidentielles ont souvent fait les grands titres des médias helvétiques, principalement dans le contexte du vol de données bancaires. La semaine passée, c’est le Service de Renseignement de la Confédération qui a confessé qu’un de ses employés, apparemment un informaticien ayant des fonctions d’administrateur système, avait été arrêté juste avant qu’il ne soit en position de vendre au plus offrant des montagnes de données ayant trait au secret-défense helvétique.

Ironie du sort, c’est en voulant ouvrir un compte à numéro dans la filiale bernoise (!) d’une banque helvétique (!!) que l’employé malhonnête s’est fait remarquer, puis dénoncer aux services compétents. Les mécanismes de détection de cas de blanchiment d’argent de cette banque semblent donc avoir été efficaces, au moins dans ce cas-là.

Cela me donne l’opportunité de commenter certains aspects avec l’œil du spécialiste en sécurité informatique.

[caveat emptor]: je ne possède évidemment pas plus d’information sur cette affaire que ce qui a paru dans les médias ces derniers jours. J’ai également remarqué que les explications données dans la Sonntagszeitung de ce dimanche et dans le Matin Dimanche comportaient quelques différences. Je pars donc du principe que les informations publiques reflètent la réalité.

Source des Données et Contrôle d’Accès

La Sonntagszeitung mentionne que l’employé était responsable du système de stockage sur lesquels les analystes du SRC stockent leurs rapports et les informations annexes, en plus d’avoir accès à un réseau de partage d’information sécurisé avec d’autres services de renseignements étrangers:

Er war zuständig für die Datenspeicher, auf denen die Mitarbeiter Informationen zur Bedrohungslage der Schweiz und ihre Analysen speichern. [...] Er hatte auch Zugriff auf das speziell gesicherte Netzwerk, über das ausländische Geheimdienste wie der deutsche BND oder die amerikanische CIA ihre Informationen senden.

Les informations mémorisées dans ce système de stockage ont clairement une valeur inestimable. Ce système de stockage n’a cependant pas été la cible de l’employé. Peut-être ne possédait-il pas tous les droits d’accès nécessaires, l’information étant chiffrée. Peut-être ce système de stockage était-il bien protégé et surveillé. On ne le sera probablement jamais. D’après la Sonntagszeitung, l’employé a plutôt copié le contenu du serveur de messagerie, plus d’autres données annexes devant lui permettre d’accéder aux informations sensibles chez lui:

In seinem Büro im dritten Stock des Nachrichtendienstes kopiert der Informatiker zunächst den gesamten Mailserver des NDB innerhalb des speziell gesicherten internen SILAN-Netzes. Damit gelangt er auch an Mails des militärischen Nachrichtendienstes (Mil ND) und der Führungs- und Unterstützungsbasis der Armee (FUB). [...]

Mit den Mails gelangt er an unzählige Anhänge: vertrauliche Berichte an den Bundesrat, geheime Berichte ausländischer Polizei- und Nachrichtendienste über Terroristen, Waffenhändler und laufende nachrichtendienstliche Operationen. Das Mail-System ist gegen aussen abgeschottet, deshalb ist es nicht verschlüsselt. Im internen Mail-Verkehr spiegeln sich mehrere Jahre Schweizer Geheimdienstarbeit. Neben dem Mail-Server kopiert er auch das Verzeichnis seiner Abteilung und Zugangsinformationen und Passwörter – damit er das Material zu Hause überhaupt sichten kann.

Comme l’indique très bien l’article, le trésor se trouve dans les pièces attachées: comme dans toute organisation, les employés du SRC utilisent leur messagerie pour échanger sur leurs rapports, les discuter, les affiner, bref, travailler.

La phrase qui me plaît le plus est mise en évidence ci-dessus: la messagerie n’était pas chiffrée, étant donné qu’elle est isolée de l’extérieur. Le lien de cause à effet est donné par le journaliste, mais je devine qu’il ne doit pas être loin de la vérité. Cette constatation est à mettre en lumière avec le fait bien connu dans le monde de la sécurité informatique que deux tiers à trois quarts des attaques sont perpétrées par des insiders.

Dans le but de protéger un système IT, il est possible de mettre en œuvre un certain nombre de mesures techniques visant à se protéger contre les attaques internes, principalement envers les employés disposant de droits étendus sur les systèmes qu’ils administrent: chiffrement des données, que cela soit au niveau système de fichiers, des entrées d’une base de données ou de la messagerie, par exemple, ou encore partage de secret k-out-of-n, etc.

Cependant, il est également bien connu que ces mesures techniques ne peuvent pas résoudre tous les problèmes de sécurité, ceci étant d’autant plus vrai si l’on souhaite que les utilisateurs soient capables de travailler dans des conditions acceptables tout en respectant un budget raisonnable.

Monitoring et Mécanismes d’Alerte, ou: Quis custodiet ipsos custodes?

Une composante essentielle de toute stratégie de sécurité visant à se protéger contre des attaques internes est le monitoring et la remontée d’alertes. Partant du principe que la sécurité à 100% n’existe pas, on souhaitera au moins détecter le plus rapidement possible une intrusion ou une fuite de données, dans le but d’y mettre fin et d’en réduire les impacts le plus rapidement possible.

Une condition nécessaire pour qu’un système de surveillance fasse correctement son boulot est qu’il soit administré indépendamment, bref qu’une séparation des rôles soit implémentée. La Sonntagszeitung mentionne que l’employé connaissait la façon de ne pas réveiller ce système d’alerte, tandis que le Matin Dimanche nous apprend «qu’au moins un script [de surveillance ?] a été modifié».

Sécurité Physique

Une autre composante de la sécurité générale d’un système IT est sa sécurité physique. S’il est possible de voler physiquement des disques durs contenant des informations confidentielles simplement en entrant dans une salle de calcul, toutes les mesures mentionnées ci-dessous sont vouées à l’échec. Apparemment, cet employé avait la possibilité, peut-être même la permission d’entrer et de sortir avec des disques durs externes dans son sac à dos, ce qui suggère que les procédures en relation avec la sécurité physique de ces données confidentielles laissent pour le moins à désirer.

Gestion des Ressources Humaines

Finalement, on touche au nœud de l’affaire: cet employé était manifestement un employé «à problèmes»: absentéisme fréquent et prolongé, soupçon de mobbing par les collègues et son chef, etc.

Une certaine confiance dans ses employés est inévitable au fonctionnement de toute organisation, et cela a souvent été relevé par les (ex-)dirigeants du SRC. Néanmoins, une mauvaise gestion des ressources humaines peut facilement accélérer, voir encourager un employé aigri à commettre l’irréparable. A posteriori, cela semble révéler un dysfonctionnement majeur entre les personnes responsables de la gestion des ressources humaines et celles responsables de la sécurité des données.

En conclusion

L’enquête parlementaire livrera probablement ses conclusions d’ici quelques mois, et les responsabilités vis-à-vis de ce fiasco devront être définies. Je ne serais pas surpris que soient mentionnées les coupes budgétaires récurrentes et autres manques de moyens à disposition du SRC pour mener à bien sa mission, l’argent restant encore et toujours le nerf de la guerre.

Le côté positif de cette affaire est la (relative) transparence avec laquelle le SRC a communiqué sur cette triste affaire: cela aura au moins le mérite de sensibiliser encore un peu plus, s’il en était besoin, les entreprises et les administrations suisses quant à la problématique du vol de données en particulier, et de la sécurité informatique en général.

 

No responses yet

Poste de Professeur en Sécurité de l’Information à l’HEIG-VD

Aug 14 2012 Published by under Français,HEIG-VD

Pour pallier le départ de notre collègue Christian Buchs, et suite à l’échec de la première campagne de recrutement de ce printemps, un poste de professeur en sécurité de l’information est ouvert à la Haute École d’Ingénierie et de Gestion du Canton de Vaud (HEIG-VD) à Yverdon-les-Bains. Le délai d’envoi des documents usuels est fixé au 16 septembre 2012.

Ce nouveau professeur sera intégré à l’institut IICT, et complètera l’équipe formée par Sylvain Pasini et moi-même. En plus de décrocher et de gérer des projets de recherche, il participera à l’enseignement aux niveaux bachelor et master, notamment dans le cadre de notre nouvelle formation bachelor en sécurité de l’information, unique en Suisse.

Si vous possédez de l’expérience industrielle et académique dans le domaine de la sécurité de l’information, que vous aimez enseigner, que le monde de la recherche appliquée vous excite, que travailler dans un établissement en pleine croissance vous tente et que la qualité de vie helvétique vous titille, n’hésitez pas à saisir cette opportunité unique et/ou à me contacter pour en savoir plus sur la vie à l’HEIG-VD !

No responses yet

Next »