VisuelJSSI2012

JEUDI 25 OCTOBRE 2012

de 9 h à 17 h
à l'INSA de Rouen
Saint-Étienne-du-Rouvray

Resume des interventions

Intervenants

Résumés

Pierre Bienaimé

S'attaquer à un challenge de sécurité est un moyen ludique et efficace d'assimiler de nouvelles connaissances techniques. Pour arriver jusqu'à la solution, il va falloir comprendre des concepts que nous n'avions jusqu'à présent jamais eu l'occasion ou le courage d'approfondir. Face à certains problèmes complexes, il est fréquent de n'avoir aucune idée de la réponse ni des façons de la trouver. En prenant l'exemple du challenge SSTIC 2011, nous évoquerons quelques astuces et méthodes qui permettent de se débloquer de ce genre de situation. Le but étant de donner envie à chacun de tenter sa chance lors des prochains challenges de sécurité qui se présenteront à eux.

Personnel de la DCRI

 L'intervention portera sur:

  • Présentation de la Direction Centrale du Renseignement Intérieur (DCRI) et de ses missions
  • Le contexte des atteintes aux patrimoines économiques en France
  • Les risques de fuites d'informations confidentielles liés à l'utilisation de l'outil informatique par l'utilisateur
  • Les parades à adopter

Mikaël Smaha

Assurer la sécurité d'un organisme, ce n'est pas uniquement mettre en place des mesures de sécurité. C'est également prendre en compte votre budget, votre personnel et les stratégies de la direction pour établir une sécurité cohérente dans un milieu hétérogène. Face à ce problème complexe, la gestion de risques vous donnera les clefs pour y voir plus clair et faire les bons choix.

Renaud Dubourguais

 Les grands projets de développements J2EE utilisent désormais de manière quasi-systématique des frameworks de développement (Struts, Seam, Spring, etc.). Leurs apports sont nombreux :

  • une grande flexibilité grâce à l'utilisation du modèle MVC largement éprouvé;
  • la facilité et la rapidité des développements grâce l'intégration de ces frameworks dans les environnements de développement les plus usités (Eclipse, Netbeans, etc.) ;
  • l'intégration de mécanismes de sécurité classiques permettant de lutter efficacement contre les attaques les plus fréquentes (protection contre les injections SQL, XSS, CSRF, etc.).

Néanmoins, peut-on réellement leur faire confiance à tout de point de vue ? Cette intervention aura pour but de montrer l'importance de rester vigilant vis-à-vis de ces frameworks. Régulièrement sujets à des vulnérabilités, ils peuvent également mettre à mal la sécurité de vos applications.

L'ensemble de l'intervention sera ponctué d'exemples d'exploitation de plusieurs CVE récents sur les frameworks classiques (Struts, Seam, etc.).

Guillaume Daleux

Les alertes levées aujourd'hui par les systèmes de détection d'intrusion ne permettent pas une analyse forensique fiable et rapide. Il est alors important de se concentrer sur la configuration du système de détection d'intrusion mais aussi d'ajouter de nouveaux outils permettant d'augmenter la précision des résultats d'analyse. Après une revue de configuration générale d'un système de détection d'intrusion, nous verrons quels outils permettent d'ajouter du contexte à l'alerte pour différencier une vraie attaque d'un faux positif en contexte d'analyse. C'est ainsi que nous présenterons l'intérêt d'utiliser des outils de détection d'actifs, de détection flux, d'inspection en profondeur ainsi qu'un corrélateur d'informations.

Rado Andriatsimandefitra

Une intrusion sur un système se traduit par un ensemble de flux d'information. En observant les différents flux d'information s'opérant au sein d'un système nous pouvons ainsi détecter ceux violant une politique de sécurité (ex. accès illégal du carnet de contacts). Enck et al. ont, dans un travail récent, montré par cette approche que plus de 2/3 des applications les plus populaires de l'Android market faisaient fuir les données sensibles du téléphone. Dans cet exposé, nous présenterons donc comment utiliser un outil de détection d'intrusion faisant du suivi de flux (Blare) pour détecter et diagnostiquer des attaques sur Android. 

Alain Bidaud et Cédric Houssier

La réalisation d'un datacenter vise à créer une infrastructure physique permettant de sécuriser les matériels ou les services informatiques hébergés. La présentation abordera, au travers de 2 réalisations récentes en Haute-Normandie, les éléments techniques suivants:

  • Sécurité environnementale
  • Sécurité électrique
  • Sécurité incendie
  • Sécurité physique
  • Climatisation
  • Supervision et exploitation