Le SSTIC, et autres sujets de recherche

090525-ssticPetit message pour vous annoncer que je serai présent au SSTIC, comme à l’accoutumée. J’ai également prévu d’y présenter un petit sujet lors des traditionnelles Rump-sessions… également comme le veut la tradition.

Etre RSSI, cela prend du temps, beaucoup même, et ne permet pas d’être aussi assidu sur les dernières innovations et subtilités en SSI. De nombreux sujets m’intéressent et m’interpellent mais je ne trouve plus le temps d’approfondir. Alors je me mets à en parler autour de moi, surtout du côté de mes collègues et proches qui ont un pied dans l’enseignement / recherche, pour le cas où cela les intéresserait. Alors, voici en vrac plusieurs sujets d’étude potentiellement intéressants du point de vue de la sécurité, sur lesquels je n’ai pas eu le temps d’aller très loin, malheureusement :

VMWARE ESX

J’avais en 2005 mis en œuvre une grosse infrastructure sous VMware ESX, et avais à cette occasion imaginé une implémentation de Vmotion, mais sans SAN. Cela m’avait donné l’opportunité de comprendre quelques mécanismes internes du noyau Linux et de la distribution RedHat fortement modifiée par VMware. Il y avait pas mal de subtilités qui persistent toujours, notamment sur l’implémentation assez spéciale des appels système de fichiers (fseek etc.) sur le filesystem VMFS. De même le décorticage des VMtools semblait intéressant et prometteur, et j’avais commencé à m’y mettre, mais je n’ai pas pu terminer.

Heureusement, Gérald Litzidorf de l’HES Genève a introduit de tels travaux de diplôme cette année, et je vais pouvoir assister à la soutenance prochainement. Il y aura de plus en plus de virtualisation, non seulement sur nos ordinateurs mais également nos réseaux, et même les téléphones, consoles de jeu et autres bestioles… A suivre.

Routeurs CISCO

De même, étant possesseur de quelques routeurs Cisco (dont je n’ai même plus le temps de me servir, désespoir), j’avais il y a plusieurs années commencé à disséquer les rouages de leur système d’exploitation, l’IOS, persuadé que différentes failles y étaient présentes. Mais ce travail de longue haleine aurait nécessité une bonne année, impensable pour moi depuis que j’occupe ma fonction. Et puis de toute manière encore, il y a un an que Sebastian Muniz de Core Security a présenté lors de EuSecWest08 son rootkit pour IOS, qui justement a nécessité l’analyse approfondie de l’IOS. D’autres avaient planché dessus avant, comme Mickael Linn dès 2005, et Gyan Chawdhary et Varrul Uppal en 2008. Tant mieux ! Et les travaux de François Ropert sont très intéressants également.

Depuis, certaines autres plateformes concurrentes font l’objet d’études du même type… mais la tendance est là : on élargit le spectre de la SSI pour y englober les différents firmwares et appliances… Là encore, il faut que l’on s’intéresse à différentes plateformes non liées aux PC, Linux et Mac qui nous sont coutumières. La sécurité passe également par les systèmes embarqués…

Sécurité et radiofréquences

Encore un sujet que je rêve de traiter mais que je ne pourrai pas gérer faute de temps… Le projet GnuRadio et l’avènement de différents circuits électroniques permettant de récupérer les signaux radio et d’en effectuer le décodage de manière aisée et inattendue pour les concepteurs de produits radio, quels qu’ils soient (RFID, téléphonie GSM ou DECT, badges d’accès, etc…) va forcément modifier la donne en matière de sécurité. Le cassage du protocole MiFair, l’inquiétude des gouvernements face à de tels nouveaux terrains de jeu.

De même, la possibilité d’intercepter ET de générer n’importe quel signal à l’aide d’un simple PC, du logiciel adéquat et de quelques circuits peu onéreux alors qu’il fallait autrefois des équipements professionnels (analyseurs de spectre, générateurs de signaux…) dépassant souvent les 10’000 euros pièce change radicalement la manière de penser la sécurité. Déjà de nombreuses applications inédites et géniales commencent à voir le jour. Je vous invite d’ailleurs à cet effet à relire l’excellent billet de Marc Olanié sur mon blog, et surtout à (ré)ssayer un tel récepteur directement via Internet ! Vive le progrès… je ne m’en lasse pas.

La protection de l’information

Difficile travail que celui du responsable des données… Avec le Grid, le SOA, les réseaux sociaux et tout le tralala relatif à ce que j’appelle la « mondialisation du SI », on commence à se demander si on a bien fait de mettre ses données à tel ou tel endroit… En fait, on ne sait plus vraiment qui est le responsable en cas de perte, de rachat, d’altération… et ce malgré tout ce qui est dit, écrit ou signé via contrats en bonne et due forme, ou acté via contrats d’utilisation validés unilatéralement par le simple clic d’un bouton… J’avais également commencé à plancher sur la sécurité des réseaux sociaux il y a 2 ans je crois, l’étude pourtant poussée sur Naymz en était restée au stade des résultats et je n’avais pas formalisé… Quelque chose est prévu mais je dois trouver le temps.

Je suis certain qu’il y a un énorme besoin de faire des travaux de recherche sur le domaine. Certes, c’est un tantinet moins technique que le piratage des signaux TNT, mais c’est intéressant car les décideurs (bref, ceux qui ont les sous…) n’en sont pas encore conscients (des soucis) et on pourrait bien aller droit à la catastrophe si par malheur tout passe par Google et que ce dernier plante, par exemple

Les autres sujets intéressants

Il y en a plein, et souvent non techniques stricto sensu. De la sociologie de la sécurité à la « Security Economics » (ou bien alors « Economy on Security? » qui est aussi intéressant mais différent), en passant par le facteur humain et l’histoire… Je reste persuadé qu’il y a encore de nombreux secteurs relevant du domaine des sciences inexactes qui peuvent s’interfacer avec le domaine de la Sécurité des Systèmes d’Information pour comprendre ce qui va nous arriver… Après tout, c’est toujours l’Homme qui est au centre de tous ces soucis !

**Postface sans rapport… ou presque

**

Lors de la dernière conférence NetFocus, grâce aux bons conseils glanés lors d’une conversation, j’ai acheté les 2 premiers tomes de la trilogie Millenium, en anglais. J’ai dévoré le premier en quelques jours, et ai bien avancé sur le second… Sympathique et intéressantes références à la sécurité, même si cela manque cruellement de détails techniques. Mais bon je ne vais pas me plaindre, pour une fois qu’un polar parle de sécurité informatique !

Comments

Comment by Yann on 2009-05-27 07:49:47 +0200

Je suis aussi, comme chaque année, invité la prochaine défense des travaux de diplômes, mais malheureusement je ne pourrais être présent cette année.

Je dis malheureusement, car tout ce qui touche à la virtualisation m’intéresse tout spécialement, car je connais bien les produits VMware pour y avoir travailler avec durant de nombreuses années.

J’attends donc avec impatience le rapport de Gérald afin d’occuper mes soirées perdues au milieu de nulle part (ou presque) 🙂

Comment by Bruno Kerouanton on 2009-05-27 08:19:19 +0200

La virtualisation est toujours un sujet passionnant, mais ayant moi-même bien manipulé ESX je confirme qu’il y a du potentiel, ainsi que des enjeux sécuritaires à creuser.

Quant au SSTIC, j’aurai une pensée pour tous celles et ceux qui n’auront pas pu s’y inscrire pour différentes raisons, promis.

Comment by Nico on 2009-06-01 18:43:29 +0200

Pour les routeurs Cisco tu oublies la « rockstar », FX. Ici http://cir.recurity.com/wiki/ et ici

http://www.phenoelit-us.org/fr/news.html

Nico.

Comment by Jérémy on 2009-06-05 21:22:00 +0200

Bonsoir,

De retour dans le train, j’en profite pour te donner le lien pour la série Ghost in the shell SAC:

http://fr.wikipedia.org/wiki/Ghost_in_the_Shell_-_Stand_alone_complex

Si tu aimes les animes, le cyber, shirow, c’est à ne pas rater!

Pour le dessin du tee-shirt, c’est le « signe » du hacker le rieur. Si je trouve un extrait, je te ferai parvenir un lien.

Bon WE.

Jérémy

Comment by Sylvain Maret on 2009-06-07 23:37:19 +0200

Hello à tous,

Merci pour cette édition du SSTIC.

Une pensé pour Yan.