NorthSec 2019 : Outils et connaissances au profit des experts… ou des criminels! | WeLiveSecurity

NorthSec 2019 : Outils et connaissances au profit des experts… ou des criminels!

La raison d'être des grands événements en cybersécurité est de partager les connaissances au sein de la communauté des experts.

La raison d’être des grands événements en cybersécurité est de partager les connaissances au sein de la communauté des experts.

Des experts de la cybersécurité de partout à travers le monde participent aux dernières heures de l’édition 2019 de l’événement Montréalais NorthSec. Alors que nous nous sommes précédemment penchés sur certaines des présentations touchant les enjeux sociaux et éthiques, revenons dans cette deuxième partie de notre couverture de l’événement sur quelques-unes des présentations plus techniques auxquelles les participants ont pu assister.

Le chercheur en sécurité Joan Calvet, a exposé l’importance d’un désassembleur natif et les défis qui se présentent au développement d’un tel outil. Celui-ci permet de représenter toutes les façons dont un programme pourrait s’exécuter. Les désassembleurs sont donc essentiels au travail des chercheurs en cybersécurité, notamment en rétro-ingénierie. En effet, ils permettent des analyses avancées telles que la décompilation, en plus de faciliter et d’accélérer des analyses plus élémentaires.

Depuis plusieurs années, l’expert de PNF Sofware se consacre au développement d’un outil complet de rétro-ingénierie JEB, comprenant entre autres un désassembleur. Cette tâche peut sembler anodine au premier abord, mais implique plusieurs défis. Après tout, un simple algorithme récursif, avec des instructions claires, devrait parvenir à désassembler un binaire; ne pourrait-on pas reproduire le même résultat avec un logiciel entier?

La question est bien plus complexe qu’il y parait. En effet, un tel algorithme reposerait sur de multiples hypothèses plus ou moins conscientes (notamment, sur les appels, les flux de contrôle de routine et de contrôle, sur la signification de l’ensemble des lignes de code, etc.). Chacune de ces hypothèses, si elle n’est pas avérée, peut influencer le résultat du désassemblage du code.  Voilà ce qui rend le travail de créer des outils de désassemblage plus perfectionnés aussi complexe qu’essentiel.

Un autre aspect essentiel du travail des experts en sécurité de tous les horizons est bien entendu de s’informer de l’ensemble des types de menaces, afin de permettre à l’ensemble des utilisateurs de mieux s’en prémunir. L’un de ses types d’attaque est l’attaque par camouflage du cache Web. C’est sur ce type d’attaque que s’est concentré le consultant en sécurité Louis Dion-Marcil dans le cadre de sa présentation.

Si depuis la première publication au sujet de ce type d’attaque par Omer Gill en 2017, plusieurs publications et présentations ont été présentées, M. Dion-Marcil croit que l’ampleur de la menace continue d’être minimisée tant par les développeurs Web que par certains acteurs de l’industrie de la cybersécurité.

Ce stratagème peut par exemple permettre aux acteurs malveillants d’avoir accès aux informations de connexion des utilisateurs ou des administrateurs et ce, même si un attribut no_cache identifie les données correspondantes comme étant sensible (par exemple, en ajoutant a.jpg à la fin, transformant en apparence les données comme statiques plutôt que dynamique).

L’expert (qui évolue aussi comme pentesteur) a montré plusieurs exemples d’utilisation où il a lui-même utilisé cette technique malveillante pour démontrer à divers organisations les limites de leurs propres systèmes de sécurité. Évidemment, il invite le reste de la profession à faire preuve de précaution, pour s’assurer notamment d’éviter de mettre à risque les informations des usagers lors des tests.

Parmi les méfaits qui peuvent être accomplis par cette technique, on compte notamment le vol de cookie sans Javascript, les SSRF (Server-side request forgery) et l’exécution de code à distance. Un des moyens de protéger les sites Web de ce type d’attaque est l’encodage proactif des entités HTML.

Évidemment, il est impossible de faire une revue exhaustive d’un événement tel que NorthSec, encore moins de lister toutes les recherches et menaces qui émergent en cybersécurité. Notre monde est en constante évolution, et chercheurs, développeurs, utilisateurs finaux et cybercriminels continuent de développer leurs connaissances et d’adapter leurs façons de faire en temps réel. Nous vous invitons d’ailleurs à vous inscrire à notre infolettre pour demeurer au fait des dernières nouvelles de l’industrie.

Alors que les équipes mobilisent toute leur énergie et leur savoir-faire pour obtenir un maximum de points au CTF (« capture-the-flag ») avant d’attendre les résultats de cette compétition, nous vous présenterons plus tard aujourd’hui une entrevue exclusive avec Pierre-David Oriol, Président de NorthSec 2019.

Discussion