De par l’envergure internationale du CERN, les utilisateurs, plusieurs milliers, sont répartis un peu partout dans le monde, accédant régulièrement à leurs comptes à distance. Depuis un cyber-café, un réseau WiFi non-sécurisé, un institut (ou une université) compromis, …
Pour les attaquants, les occasions de capturer les mots de passe sont nombreuses ! L’intérêt de mots de passe forts devient très limité si ceux-ci peuvent être capturés et réutilisés facilement par des tierces personnes.
L’authentification multi-facteurs permet justement de contrer ceci, en demandant plusieurs éléments aux utilisateurs : typiquement quelque chose qu’ils connaissent (eg. un mot de passe) et quelque chose qu’ils possèdent (eg. un jeton hardware). Même si cette méthode permet de renforcer considérablement l’authentification, la solution parfaite n’existe pas, et l’étude des différents cas d’utilisations qui devront être supportés est donc primordiale.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Remi Mollon
The conference will describe the main concepts of security for embedded and IoT solutions : security vs safety, IT vs OT, main standards, level of security of available operating systems (Linux, Android, etc.), examples of attacks and secure solutions.
Cette session vous permet de découvrir de quelle manière les tablettes de type RT peuvent s’intégrer dans votre système d’information. Grâce à cette session vous pourrez appréhender l’introduction de ce type de plateforme. Le déploiement des applications sur ces plateformes ainsi que son administration.
The conference will describe the main concepts of security for embedded and IoT solutions : security vs safety, IT vs OT, main standards, level of security of available operating systems (Linux, Android, etc.), examples of attacks and secure solutions.
Cette session vous permet de découvrir de quelle manière les tablettes de type RT peuvent s’intégrer dans votre système d’information. Grâce à cette session vous pourrez appréhender l’introduction de ce type de plateforme. Le déploiement des applications sur ces plateformes ainsi que son administration.
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Microsoft
Le support Sécurité pour l'Europe de Microsoft assure le traitement des incidents de sécurité pour ses clients, que ce soit attaques virales ou intrusions proprement dites. Cette présentation, tirée de retours d’expérience de cas réels et assez fréquents, vous immergera dans la réalité des incidents de sécurité, avec les impacts (dont effets de bord), aspects méconnus, et état de la menace actuelle. Bienvenue dans le monde de la cybercriminalité, la réalité dépasserait-elle la fiction ?
Vous connaissiez Windows Mobile ? Vous avez aimé Windows Phone 7, découvrez comment Windows Phone 8 aborde le thème de la sécurité et quels sont les éléments à connaitre pour estimer le périmètre de risques liés à ces usages mobiles.
Speakers : Jugoslav STEVIC (Microsoft France), Thierry Picq (Microsoft France), Jean-Yves Grasset (Microsoft)
Vous connaissiez Windows Mobile ? Vous avez aimé Windows Phone 7, découvrez comment Windows Phone 8 aborde le thème de la sécurité et quels sont les éléments à connaitre pour estimer le périmètre de risques liés à ces usages mobiles.
Speakers : Jugoslav STEVIC (Microsoft France), Thierry Picq (Microsoft France), Jean-Yves Grasset (Microsoft)
Kind of dates back, but it seemed to have disappeared from my slideshare uploads...
These are the slides for the presentation I gave to the Geneva chapter of OWASP in February 2011, following my master's thesis.
Depuis plusieurs mois, les APT font la une de la presse spécialisée en sécurité. Les plus grands noms de l’industrie tombent les uns après les autres et voient leur données compromises et affichées au yeux de tous.
Les APT ne sont pas nouvelles et représentent une intrusion calculée, orchestrée et avec un objectif bien plus ciblé que les attaques classiques. Nous verrons comment le Web et le protocole HTTP prennent une place importante dans la réalisation d’une APT, du début de l’intrusion, en passant par le maintient et l’évolution dans l’infrastructure pour finir par l’extraction des données.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Matthieu Estrade
Les capteurs de l'Internet des Objets, par Jean-Samuel ChenardCleverToday
"Lorsque les capteurs des objets connectés ont récolté des données, ils les renvoient ensuite au réseau Internet, d'où l'appelation 'Internet des Objets'"
Un objet connecté, doté de propriétés et d'API spécifiques, a généralement des capteurs pour mesurer son environnement. Ces capteurs vont alors mesurer différentes conditions (position, température, humidité, hygrométrie, pulsations cardiaques,...) et renvoient les données collectées au réseau Internet. Ainsi, au cours de ce processus, la conception même d'un capteur IoT doit prendre en compte certains éléments indispensables, notamment dans son architecture matérielle (le 'hardware') et les protocoles et technologies permettant à ce capteur de dialoguer avec des serveurs.
Durant ce Lunch & Learn d’environ 1h, Jean-Samuel Chenard, président-fondateur de Motsai, nous a décrit ces éléments de conception, les tendances dans le marché à fort potentiel pour les entreprises spécialisées dans le traitement des données de ces objets connectés, et les critères à considérer lors de la sélection de plates-formes IoT.
Programme:
1. Qu'est-ce qui caractérise une bonne conception de capteur IoT du point de vue matériel et système?
2. Quels sont les critères à considérer pour la sélection d'une plate-forme IoT?
3. Comment structurer la hiérarchie de communication, les technologies intéressantes et les considérations pour le déploiement à grande échelle?
À propos de Jean-Samuel Chenard:
Jean-Samuel Chenard est le président-fondateur de Motsai, compagnie spécialisée dans l'architecture hardware pour les systèmes de télécommunication embarquées et les appareils électroniques portables.
Doctorant en microélectronique de l'Université de McGill, il contribue depuis 15 ans au succès de diverses conceptions allant des routeurs en aérospatiale, à des plate-formes de communication pour véhicules, en passant par des téléphones satellites submersibles et des produits portables intelligents.
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSNBS System
On ne se protège bien que contre ce que l'on connaît... Cette présentation retrace les évolutions de la sécurité informatique, et les nouvelles tendances à venir sur le sujet. Identifiez les points majeurs à surveiller chez vos prestataires !
Florian Badertscher presents on Swisscom's Bug Bounty program. Swisscom started the program after an incident to provide a central point of contact for vulnerability reports and incentives for researchers. The program offers bounties from 150-10,000 CHF depending on risk. It receives around 200 submissions per year, mostly for web vulnerabilities. The program helps Swisscom identify issues and improve security awareness, though coordinating fixes can be challenging.
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Microsoft
Le support Sécurité pour l'Europe de Microsoft assure le traitement des incidents de sécurité pour ses clients, que ce soit attaques virales ou intrusions proprement dites. Cette présentation, tirée de retours d’expérience de cas réels et assez fréquents, vous immergera dans la réalité des incidents de sécurité, avec les impacts (dont effets de bord), aspects méconnus, et état de la menace actuelle. Bienvenue dans le monde de la cybercriminalité, la réalité dépasserait-elle la fiction ?
Vous connaissiez Windows Mobile ? Vous avez aimé Windows Phone 7, découvrez comment Windows Phone 8 aborde le thème de la sécurité et quels sont les éléments à connaitre pour estimer le périmètre de risques liés à ces usages mobiles.
Speakers : Jugoslav STEVIC (Microsoft France), Thierry Picq (Microsoft France), Jean-Yves Grasset (Microsoft)
Vous connaissiez Windows Mobile ? Vous avez aimé Windows Phone 7, découvrez comment Windows Phone 8 aborde le thème de la sécurité et quels sont les éléments à connaitre pour estimer le périmètre de risques liés à ces usages mobiles.
Speakers : Jugoslav STEVIC (Microsoft France), Thierry Picq (Microsoft France), Jean-Yves Grasset (Microsoft)
Kind of dates back, but it seemed to have disappeared from my slideshare uploads...
These are the slides for the presentation I gave to the Geneva chapter of OWASP in February 2011, following my master's thesis.
Depuis plusieurs mois, les APT font la une de la presse spécialisée en sécurité. Les plus grands noms de l’industrie tombent les uns après les autres et voient leur données compromises et affichées au yeux de tous.
Les APT ne sont pas nouvelles et représentent une intrusion calculée, orchestrée et avec un objectif bien plus ciblé que les attaques classiques. Nous verrons comment le Web et le protocole HTTP prennent une place importante dans la réalisation d’une APT, du début de l’intrusion, en passant par le maintient et l’évolution dans l’infrastructure pour finir par l’extraction des données.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Matthieu Estrade
Les capteurs de l'Internet des Objets, par Jean-Samuel ChenardCleverToday
"Lorsque les capteurs des objets connectés ont récolté des données, ils les renvoient ensuite au réseau Internet, d'où l'appelation 'Internet des Objets'"
Un objet connecté, doté de propriétés et d'API spécifiques, a généralement des capteurs pour mesurer son environnement. Ces capteurs vont alors mesurer différentes conditions (position, température, humidité, hygrométrie, pulsations cardiaques,...) et renvoient les données collectées au réseau Internet. Ainsi, au cours de ce processus, la conception même d'un capteur IoT doit prendre en compte certains éléments indispensables, notamment dans son architecture matérielle (le 'hardware') et les protocoles et technologies permettant à ce capteur de dialoguer avec des serveurs.
Durant ce Lunch & Learn d’environ 1h, Jean-Samuel Chenard, président-fondateur de Motsai, nous a décrit ces éléments de conception, les tendances dans le marché à fort potentiel pour les entreprises spécialisées dans le traitement des données de ces objets connectés, et les critères à considérer lors de la sélection de plates-formes IoT.
Programme:
1. Qu'est-ce qui caractérise une bonne conception de capteur IoT du point de vue matériel et système?
2. Quels sont les critères à considérer pour la sélection d'une plate-forme IoT?
3. Comment structurer la hiérarchie de communication, les technologies intéressantes et les considérations pour le déploiement à grande échelle?
À propos de Jean-Samuel Chenard:
Jean-Samuel Chenard est le président-fondateur de Motsai, compagnie spécialisée dans l'architecture hardware pour les systèmes de télécommunication embarquées et les appareils électroniques portables.
Doctorant en microélectronique de l'Université de McGill, il contribue depuis 15 ans au succès de diverses conceptions allant des routeurs en aérospatiale, à des plate-formes de communication pour véhicules, en passant par des téléphones satellites submersibles et des produits portables intelligents.
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSNBS System
On ne se protège bien que contre ce que l'on connaît... Cette présentation retrace les évolutions de la sécurité informatique, et les nouvelles tendances à venir sur le sujet. Identifiez les points majeurs à surveiller chez vos prestataires !
Florian Badertscher presents on Swisscom's Bug Bounty program. Swisscom started the program after an incident to provide a central point of contact for vulnerability reports and incentives for researchers. The program offers bounties from 150-10,000 CHF depending on risk. It receives around 200 submissions per year, mostly for web vulnerabilities. The program helps Swisscom identify issues and improve security awareness, though coordinating fixes can be challenging.
1) iOS malware is less widespread than Android malware currently, but it still poses risks, especially in enterprise environments.
2) The main infection vectors for iOS devices are spear phishing and exploiting software vulnerabilities, though targeted attacks may use other methods like compromised enterprise certificates or configuration profiles.
3) While the iOS sandbox and code signing provide security, vulnerabilities, private APIs, and jailbreaking can be leveraged by malware to gain privileges and perform malicious actions like keylogging or accessing private data. Regular security updates and user training are recommended for protection.
The document discusses issues around the use of indicators of compromise (IOCs) for threat hunting. It notes that highly targeted attacks use many evolving modules and few recipients. While IOCs provide some useful information, attackers often clean up traces and infrastructure is sometimes reused between groups. The document advocates using IOCs in context with behavior patterns and correlating them with internal information rather than solely relying on external feeds. Integrating IOC consumption and prioritizing prevention over hunting is also suggested. Oversharing details could risk revealing intelligence sources and helping attackers improve.
The document discusses the rise of targeted ransomware attacks against corporations. Ransomware has become profitable for attackers, with over $209 million in damages reported in the first quarter of 2016 alone according to the FBI. Attackers are using advanced techniques similar to targeted cyber attacks, infiltrating networks through vulnerabilities, moving laterally within networks, and deploying ransomware strains like SamSam. The attacks are devastating to organizations and highlight the need to keep data safe through backups, updated systems, security software, and preparedness for these types of incidents.
Blockchains are distributed ledgers that use consensus protocols to track ownership or transactions across copies of the ledger maintained by members. A blockchain uses a consensus protocol like proof-of-work to agree on changes and additions to the distributed ledger. Membership in blockchains can be open to anyone, like in Bitcoin, or restricted to a fixed group. While blockchains provide advantages like distributed trust, achieving scalability is challenging due to the need for consensus among all members on every change.
Introducing Man in the Contacts attack to trick encrypted messaging appsCyber Security Alliance
The document describes a "Man In The Contacts" (MITC) attack that could trick encrypted messaging apps by modifying contact information on a target device. The attack involves installing an app that can read, modify, and create contacts, allowing an attacker to change contact details like phone numbers and display names. This could allow creating fake conversations that appear to be with the original contact. The attack was demonstrated to work on WhatsApp, Telegram and Signal, with varying levels of risk depending on how each app handles and displays contact information. Vendors were notified of the issue but responses have been limited, with Signal being most responsive in acknowledging the risk.
The document discusses defining what constitutes an "exploit" in computer security. It begins by noting that while exploits are a central concept, there is no agreed upon definition. It then examines two potential implementations of a simple intended finite state machine (IFSM) for storing passwords and secrets - a flat array implementation and a linked list implementation. It demonstrates how an attacker could exploit the linked list implementation under a chosen-bitflip-once attacker model by corrupting a single bit of memory to rearrange the linked list and retrieve a secret without knowing the correct password. The document aims to introduce a theoretical framework for reasoning about exploits and differentiating between provably exploitable and unexploitable code.
This document summarizes iOS patch analysis techniques. It discusses how iOS rootfs was encrypted prior to iOS 10, but is now unencrypted, making analysis easier. It also describes extracting specific frameworks from iOS update files and using the tool Diaphora to find code differences between updates and identify vulnerabilities. The document advocates collaborating through tools like Slack and GitHub to analyze iOS updates.
Default accounts are commonly exploited to gain unauthorized access to SAP systems. The presentation identifies several new default accounts in SAP Solution Manager with the password "init1234" that can be used to retrieve passwords, execute operating system commands, and fully compromise associated SAP systems. It provides examples of how these accounts can be exploited and advises customers to use available tools to detect and remediate exposed default accounts.
The document discusses reverse engineering the firmware of Swisscom's Centro Grande modems. It identifies several vulnerabilities found, including a command overflow issue that allows complete control of the device by exceeding the input buffer, and multiple buffer overflow issues that can be exploited to execute code remotely by crafting specially formatted XML files. Details are provided on the exploitation techniques and timeline of coordination with Swisscom to address the vulnerabilities.
The document discusses Universal 2nd Factor (U2F) and Universal Authentication Framework (UAF) protocols developed by the FIDO Alliance to enable strong, passwordless authentication. It provides an overview of the FIDO Alliance and its goal of developing open authentication standards. It then describes the U2F protocol, which provides a second factor of authentication, and the UAF protocol, which enables passwordless authentication. It also summarizes the U2F registration and authentication flows and how U2F prevents man-in-the-middle attacks.
This document discusses building a strong authentication server for less than $100 using a Raspberry Pi. It provides step-by-step instructions for setting up a Raspberry Pi with the multiOTP open source authentication software. This allows creating a two-factor authentication device for network login that supports standards like TOTP and HOTP for less than $100 total cost.
The document discusses an offline brute force attack method against the WiFi Protected Setup (WPS) protocol. It explains that many wireless access points and routers use weak pseudo-random number generators with small states that can be recovered, allowing an attacker to determine the nonces used in the WPS handshake and then brute force the PIN offline. It provides details on how the attack would work by recovering the PRNG state from the initial message and then determining the PIN. Vendors are shown to have weak responses or lack of acknowledgment of the issue, which affects many chipset and product brands that use a common reference implementation.
This document discusses software obfuscation techniques using C++ metaprogramming. It presents several implementations of string obfuscation using templates to encrypt strings at compile-time. It also discusses obfuscating function calls using finite state machines generated with metaprogramming. Debugger detection is added to fight dynamic analysis. The techniques aim to make reverse engineering and static/dynamic analysis more difficult without changing program semantics.
JavaScript controls our lives – we use it to zoom in and out of a map, to automatically schedule doctor appointments and toplay online games. But have we ever properly considered thesecurity state of this scripting language? Before dismissing the (in)security posture of JavaScript on the grounds of a client-side problem, consider the impact ofJavaScript vulnerability exploitation to the enterprise: from stealing serverside data to infecting users with malware. Hackers are beginning to recognize this new playground and are quicklyadding JavaScript exploitation tools to their Web attack arsenal.
This document discusses techniques for bypassing security products on Windows systems by manipulating process and registry notification callbacks. It shows how the Mimikatz tool can be used to find and modify these callbacks to prevent security products from receiving important notifications. Specifically, it demonstrates patching a callback routine to do nothing, and notes unlinking callbacks from the notification list is also possible but requires more work. The conclusion is this approach allows killing any security tool while making it appear still active from a monitoring perspective.
The document discusses Operation Emmental, a cybercrime operation targeting online banking in Switzerland and Austria. It describes the attacker's infrastructure, including DNS servers, command and control servers, hosting servers, and Android and Windows malware. It lists domains involved and notes they were registered by Oleg Makarov. The document examines the legitimate domains impersonated by the malware and the SSL certificate issued to the command and control server hosting banking credentials stolen by the malware.
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...OCTO Technology
par Claude Camus (Coach agile d'organisation @OCTO Technology) et Gilles Masy (Organizational Coach @OCTO Technology)
Les équipes infrastructure, sécurité, production, ou cloud, doivent consacrer du temps à la modernisation de leurs outils (automatisation, cloud, etc) et de leurs pratiques (DevOps, SRE, etc). Dans le même temps, elles doivent répondre à une avalanche croissante de demandes, tout en maintenant un niveau de qualité de service optimal.
Habitué des environnements développeurs, les transformations agiles négligent les particularités des équipes OPS. Lors de ce comptoir, nous vous partagerons notre proposition de valeur de l'agilité@OPS, qui embarquera vos équipes OPS en Classe Business (Agility), et leur fera dire : "nous ne reviendrons pas en arrière".
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO Technology
En cette année 2024 qui s’annonce sous le signe de la complexité, avec :
- L’explosion de la Gen AI
-Un contexte socio-économique sous tensions
- De forts enjeux sur le Sustainable et la régulation IT
- Une archipélisation des lieux de travail post-Covid
Découvrez les Tech trends incontournables pour délivrer vos produits stratégiques.
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
1. Authentification Multi-Facteurs
Retour d'experience
Rémi MOLLON
Analyste en Sécurité Informatique
CERN
Application Security Forum
Western Switzerland
27 octobre 2011 - HEIGVD Yverdon-les-Bains
http://appsec-forum.ch
2. Présentation personnelle
• Grilles Informatiques (projet EGEE)
– Développement et intégration application
bio-informatiques
– Développeur « Data Management »
– Membre équipe sécurité opérationnelle
• Équipe Sécurité Informatique du CERN
– Responsable infrastructure
– Sécurité opérationnelle
– Développement logiciel
– Audits internes
Application Security Forum - Western Switzerland - 2011 2
3. Agenda
• L'Authentification au CERN
• Authentification par mot de passe
• Authentification multi-facteurs et les
différents facteurs
• Les choix du CERN
Application Security Forum - Western Switzerland - 2011 3
4. CERN
• Organisation Européenne pour la
Recherche Nucléaire
– Coopération internationale entre
laboratoires et instituts
– Caractère purement scientifique et
fondamental
Application Security Forum - Western Switzerland - 2011 4
5. Les Nationalités
Application Security Forum - Western Switzerland - 2011 5
6. Les Utilisateurs
• Le CERN
– 20 états membres
– Nombreux états non-membres et contacts
scientifiques
• Les utilisateurs
– Des centaines d’universités à travers le monde
– Élèves, étudiants, professeurs, techniciens,
ingénieurs, physiciens, …
– Forte croissance des nouveaux comptes
Application Security Forum - Western Switzerland - 2011 6
7. Milieu Académique
• Réseaux très ouverts
– Collaborations étroites entre instituts
– Nombreux protocoles « maison »
– Utilisation des « Grilles »
• Ordinateurs gérés par les utilisateurs
– Mauvaise configuration
– Mises à jour manquantes
– Aucun contrôle
Application Security Forum - Western Switzerland - 2011 7
8. « Single Sign On »
• Portail unique d'authentification
– Microsoft ADFS / Shibboleth
– Pour les applications (web)
– Mot de passe, Certificats X509
– Interface WS/SOAP
• Autorisations et E-Groups
– Solution « maison » CERN
– Synchronisation avec AD/LDAP
– Contrôle d’accès fins si besoin
Application Security Forum - Western Switzerland - 2011 8
9. Les Menaces
• Réutilisation des mots de passe
• « Brute forcing » de mots de passe
• Vols de mots de passe
– « Social Engineering » / Phishing
• Vols d'appareils
– Stockage non-sécurisé
• Chevaux de troie, « key loggers »
• Attaque « Man in the middle »
Application Security Forum - Western Switzerland - 2011 9
10. Les Limites
• Négligences de certains utilisateurs
• Croissance du nombre d'attaques
• Vol de mots de passe 1er vecteur de
propagation d'attaques dans le
milieu académique
Application Security Forum - Western Switzerland - 2011 10
11. Les Solutions
• Ne plus utiliser d'appareils
informatiques
• « Super » utilisateurs uniquement
– Retenir de nombreux mots de passe
complexes
– Ne plus être vulnérable au « Social
Engineering »
• Autre méthode d'authentification...
Application Security Forum - Western Switzerland - 2011 11
12. Authentification
Multi-Facteurs
• Plusieurs facteurs
– Quelque chose que l'on sait
• Mot de passe
• Code pin
– Quelque chose que l'on a
• Certificat X509
• Carte a puce
• Clé hardware
• Génération « One Time Password »
• ...
– ...
Application Security Forum - Western Switzerland - 2011 12
13. Authentification
Multi-Facteurs (2)
• Facteur dynamique
– Ne doit pas être mémorisé
• Résistance aux attaques
– Pas de « sniffing » possible
– Limite fortement la propagation
• Processus d'authentification plus long
– « Single Sign On » recommandé
Application Security Forum - Western Switzerland - 2011 13
14. Certificat X509
• Stockage a la charge de l'utilisateur
– Besoin de support de stockage pour être
utilise sur plusieurs machines
• Protection doit être assurée par
l'utilisateur
– Souvent stocker de manière non-securisée
pour une utilisation plus facile
• Chiffrement asymétrique
– Clés de plus en plus longues
– Besoin de puissance de calcul
Application Security Forum - Western Switzerland - 2011 14
15. Cartes à puce
• Combinées a un code PIN
• Très utilisées dans le milieu bancaire
– Sécurité déjà éprouvée
• Besoin de lecteur
– Périphérique à avoir sur soi
– Problème de driver en
fonction du système
Application Security Forum - Western Switzerland - 2011 15
16. Cartes à puce (2)
• Différentes puces
– Mémoire
– Micro-processeur
• Stockage sécurisé de certificat X509
• Clé secrète ne peut pas être extraite
– Génération de la clé sur la carte
Application Security Forum - Western Switzerland - 2011 16
17. « One Time Password »
• Mot de passe à usage unique
• Plusieurs algorithmes
– HOTP : HMAC-based OTP
– TOTP : Time-based OTP
– Plusieurs protocoles propriétaires
• Souvent utilisés sur des appareils
mobiles
Application Security Forum - Western Switzerland - 2011 17
18. Authentification Mobile
• Envoi de code par SMS
– Mot de passe à usage unique
– Compatible avec tous les mobiles
– Coût d'envoi
• Appel téléphonique
• Applications smartphones
– QR code
– Connexion internet nécessaire
Application Security Forum - Western Switzerland - 2011 18
19. Clés Hardware
• De nombreux produits sur le marché
• Dépendance auprès de la compagnie
• « Boîte noire »
– Algorithme secret
– Niveau de sécurité dur à évaluer
– Quelques problèmes dans le passé
– Produits marketing
Application Security Forum - Western Switzerland - 2011 19
20. Yubikeys
• Reconnues comme un clavier USB
– Pas besoin de driver
– Besoin d'un port USB
• Plusieurs modes
– « Yubikey »
– HOTP, TOTP
– Mot de passe statique
• Pas de batterie
– Pas d'horloge interne
Application Security Forum - Western Switzerland - 2011 20
21. Yubikeys (2)
Dirk Merkel, Linux Journal
Application Security Forum - Western Switzerland - 2011 21
22. Biométrie
• Identification en fonction de
caractéristiques biologiques
– Empreinte digitale
– Rétine
– Reconnaissance faciale
• Très controversée
– Changement impossible
si compromis
Application Security Forum - Western Switzerland - 2011 22
23. Authentification
Simple-Facteur
• Utilisation de facteurs secondaires
– Remplacement du mot de passe
– Simplicité et rapidité pour l'utilisateur
• Utilisation détournée
– Facteurs faibles si utilisés seuls
– Attaques facilitées (vols, pertes)
Application Security Forum - Western Switzerland - 2011 23
24. Mais alors... Lequel ?
• Pas de solution parfaite
• Utilisateurs avec des besoins
différents
• Plusieurs facteurs proposés
– Choix du côté des utilisateurs
– Couvrir tous (ou presque) les cas
d'utilisation
Application Security Forum - Western Switzerland - 2011 24
25. Les Choix du CERN
• Encore en étude...
• Cartes à puce
– Intégration avec les cartes CERN
• Authentification mobile
– SMS
– Application OTP pour les smartphones
• Yubikeys
Application Security Forum - Western Switzerland - 2011 25
26. Portail de test
Application Security Forum - Western Switzerland - 2011 26
27. Conclusion
• Mots de passe souvent exposés et/ou
mal utilisés
– Multiplication des comptes
• Besoin d'authentification forte pour
des services critiques
– Authentification multi-facteurs
• Fédération d'Identité
– OpenID, Shibboleth
Application Security Forum - Western Switzerland - 2011 27