#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...NetSecure Day
Au commencement il y avait « l’audit de sécurité » qui était très cadré et très dirigé et donc manquait de vision terrain. Nous sommes ensuite passé au « test d’intrusion », plus réaliste d’une cyberattaque car il permet une plus grande marge de manœuvre pour les consultants tout en permettant l’application des méthodes des pirates. Cependant, le test d’intrusion possède ses limites et face à la généralisation des cyberattaques certains commencent à se demander s’il ne vaudrait pas mieux faire évoluer cette méthodologie…
Le « Red Team » (qui nous vient tout droit d’outre-atlantique) serait-il LA réponse à cette problématique ? L’objectif de ce talk est donc de présenter cette nouvelle méthodologie qui petit à petit commence à faire son bout de chemin sur le vieux continent.
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent CasseNetSecure Day
Depuis quelques années, la tendance est de déployer des APIs afin d’exposer de manière unique son backend face à des plateformes différentes : interfaces web, applications mobiles natives ou bien tout simplement d’autres scripts qui l’exploite. Les standards d’API changent régulièrement , et les technologies sont nombreuses, mais les principes de sécurité et de disponibilité autour de cette architecture de nos systèmes d’informations sont souvent identiques. Et pas toujours prises en compte.
Petit tour d’horizon des techniques et bonnes pratiques afin d’assurer l’authentification, la sécurité et bien sur la disponibilité des API, tout en conservant leur facilité d’utilisation.
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence FeniouNetSecure Day
Décrire le concept d’Intelligence Economique dans tous ses aspects en insistant sur la détection des informations sensibles dans l’entreprise. Indiquer les points de fragilité et les moyens de se protéger. Décrire le dispositif régional d’aide aux entreprises, les outils et les parties prenantes pouvant les épauler.
#NSD16 - rex-audit coté startup - Youen ChénéNetSecure Day
En tant que Startup vous pensez que l’audit de sécurité viendra plus tard. Que nenni ! Votre premier client bancaire vous remettra dans le droit chemin !
Ce talk est un retour d’expérience du coté de l’audité. Comment faire évoluer la culture de l’entreprise sans perdre l’essence d’une startup et tomber dans les pièges des pertes de productivité que vous rencontrez chez les grands comptes dont vous commencez à partager les peines.
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...NetSecure Day
Au commencement il y avait « l’audit de sécurité » qui était très cadré et très dirigé et donc manquait de vision terrain. Nous sommes ensuite passé au « test d’intrusion », plus réaliste d’une cyberattaque car il permet une plus grande marge de manœuvre pour les consultants tout en permettant l’application des méthodes des pirates. Cependant, le test d’intrusion possède ses limites et face à la généralisation des cyberattaques certains commencent à se demander s’il ne vaudrait pas mieux faire évoluer cette méthodologie…
Le « Red Team » (qui nous vient tout droit d’outre-atlantique) serait-il LA réponse à cette problématique ? L’objectif de ce talk est donc de présenter cette nouvelle méthodologie qui petit à petit commence à faire son bout de chemin sur le vieux continent.
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent CasseNetSecure Day
Depuis quelques années, la tendance est de déployer des APIs afin d’exposer de manière unique son backend face à des plateformes différentes : interfaces web, applications mobiles natives ou bien tout simplement d’autres scripts qui l’exploite. Les standards d’API changent régulièrement , et les technologies sont nombreuses, mais les principes de sécurité et de disponibilité autour de cette architecture de nos systèmes d’informations sont souvent identiques. Et pas toujours prises en compte.
Petit tour d’horizon des techniques et bonnes pratiques afin d’assurer l’authentification, la sécurité et bien sur la disponibilité des API, tout en conservant leur facilité d’utilisation.
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence FeniouNetSecure Day
Décrire le concept d’Intelligence Economique dans tous ses aspects en insistant sur la détection des informations sensibles dans l’entreprise. Indiquer les points de fragilité et les moyens de se protéger. Décrire le dispositif régional d’aide aux entreprises, les outils et les parties prenantes pouvant les épauler.
#NSD16 - rex-audit coté startup - Youen ChénéNetSecure Day
En tant que Startup vous pensez que l’audit de sécurité viendra plus tard. Que nenni ! Votre premier client bancaire vous remettra dans le droit chemin !
Ce talk est un retour d’expérience du coté de l’audité. Comment faire évoluer la culture de l’entreprise sans perdre l’essence d’une startup et tomber dans les pièges des pertes de productivité que vous rencontrez chez les grands comptes dont vous commencez à partager les peines.
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...NetSecure Day
Le dirigeant est responsable de la sécurité informatique de son entreprise.
Quelles mesures les entreprises doivent-elles prendre pour être en règle ?
Comment le dirigeant peut-il se protéger ? Comment limiter les risques pour l’entreprise ?
Le cyber risque, un risque à assurer – L’assurance responsabilité civile dédiée à la cybersécurité.
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...NetSecure Day
Certificate Transparency vise à renforcer la sécurité des certificats émis par des autorités de certification, notamment ceux utilisés par HTTPS. Initié par Google, ce mécanisme est désormais standardisé par l’IETF. Son objectif est de faciliter la détection de certificats frauduleux ou invalides. Pour cela, les certificats sont enregistrés dans des journaux en ajout seul (append-only) et consultables par tous. Cette conférence présente Certificate Transparency d’un point de vue théorique, dans un premier temps. Ensuite un focus est fait sur son implémentation et son utilisation dans la pratique.
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)NetSecure Day
Cette présentation va nous montrer comment la communauté de hackers white hat a adapté son environnement pas toujours compréhensif avec sa démarche de remontée de vulnérabilités. Les différentes communautés de sécurité et open source autour du globe ont su adapter ou développer leurs outils à leur savoir-faire. Et inventer de nouveaux concepts tels que le Bug Bounty qui de nos jours fait beaucoup parler de lui tant pour son efficacité, que pour les relations qu’il crée entre les organisations et ces communautés.
Le Bug Bounty est, en quelque sorte, une réponse adaptée à toutes ces personnes ou organisations qui durant des années n’ont pas su fournir une réponse appropriée et un cadre non punitif à ces individus souhaitant simplement exprimer leurs talents de hackers en servant l’intérêt général, et ce, depuis les débuts du Hacking. C’est avec cette foi, mais sans loi que le Bug Bounty hunter est né. Grâce à l’émergence des plateformes qui offrent un cadre aux entreprises et aux hackers, le Bug Bounty a su se rendre accessible aux contraintes d’une approche organisationnelle qui sera évoquée lors de cette présentation.
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...NetSecure Day
Un grand nombre d’objets connectés utilisent la technologie Bluetooth Low Energy afin d’offrir une connectivité avec des smartphones. Afin d’évaluer la sécurité de ces derniers, il est nécessaire de pouvoir étudier les communications entre ces smartphones et leurs applications associées et les objets connectés, de façon fiable et pratique.
Jusqu’à peu de temps, la seule solution consistait à « sniffer » les communications à l’aide de matériel dédié, mais c’était laborieux et relativement aléatoire. Une alternative possible consiste à réaliser une interception active, avec une approche de l’homme du milieu, ou « man in the middle », mais cette approche était impossible à réaliser faute d’outil adéquat.
Cette présentation rappellera les bases du protocole Bluetooth Low Energy, les raisons des échecs rencontrés lors de l’utilisation de sniffers relativement populaires, pour enfin présenter le framework d’interception BtleJuice, permettant de mettre en œuvre une interception active reposant sur une approche man-in-the-middle. Des démonstrations live seront effectuées afin de démontrer l’efficacité et les possibilités offertes par cet outil, en les mettant en œuvre sur différents objets connectés.
Enfin, des contre-mesures adaptées seront évoquées afin de limiter ce type d’attaque et d’améliorer la sécurité des objets connectés utilisant ce protocole de communication.
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan NitotNetSecure Day
L’informatique a envahi nos vies, au point qu’il est difficile d’envisager de vivre normalement sans Google ni Facebook ni smartphone aujourd’hui. Pourtant, nous savons depuis les révélations d’Edward Snowden que la centralisation de nos données personnelles rend économiquement possible la surveillance de masse. Pouvons-nous inventer un futur informatique nous permettra d’être libres en ayant la maîtrise de nos données ? A quoi ressemblerait un tel futur ?
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...NetSecure Day
Le protocole TLS est une des solutions les plus répandues pour la protection des flux réseau, assurant la confidentialité et l’intégrité d’échanges de données applicatives. Depuis l’apparition de son prédécesseur SSL en 1995, TLS a été adopté par de nombreux acteurs de l’Internet pour sécuriser le trafic lié aux sites web et à la messagerie électronique. Les déploiements apportant le plus d’assurance en matière de sécurité dépendent de l’ajustement de plusieurs paramètres du protocole en fonction du contexte de communication.
La présentation propose un tour d’horizon des bonnes pratiques TLS, récemment déclinées dans le guide de « Recommandations de sécurité relatives à TLS » publié par l’ANSSI. Cet état de l’art est accompagné d’observations sur l’écosystème HTTPS, réalisées dans le cadre de l’observatoire de la résilience de l’Internet français.
#NSD16 - Et si on parlait d'authentification forte - Nicolas GlonduNetSecure Day
L’authentification par simple identifiant et mot de passe est insuffisante pour protéger un compte utilisateur. Les campagnes de phishing pullulent sur le net et cela fait quelques années que l’on voit régulièrement dans l’actualité que les bases données de grandes entreprises ont fuité.
Face à cette insuffisance, il existe toutefois un procédé qui n’est pas réservé aux géants du net : l’authentification forte.
Dans cette conférence, je ferai un tour d’horizon de ce qu’est l’authentification forte et de différentes implémentations existantes.
Lancement de l'événement #NSD14 en présence de :
Me. Mélanie MAMMERI, Conseillère Régionale déléguée à l'accompagnement des entreprises et au numérique.
M. Fanch DANIEL, Responsable ORETIC et Conseiller en Technologies de l'Information et de la Communication à la CCI Normandie.
M. Clément MICHEL, Président et Co-Fondateur de l'association NetSecure Day
Plus d'informations à l'adresse suivante : http://www.netsecure-day.fr/nsd14-lancement-evenement
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...NetSecure Day
Le dirigeant est responsable de la sécurité informatique de son entreprise.
Quelles mesures les entreprises doivent-elles prendre pour être en règle ?
Comment le dirigeant peut-il se protéger ? Comment limiter les risques pour l’entreprise ?
Le cyber risque, un risque à assurer – L’assurance responsabilité civile dédiée à la cybersécurité.
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...NetSecure Day
Certificate Transparency vise à renforcer la sécurité des certificats émis par des autorités de certification, notamment ceux utilisés par HTTPS. Initié par Google, ce mécanisme est désormais standardisé par l’IETF. Son objectif est de faciliter la détection de certificats frauduleux ou invalides. Pour cela, les certificats sont enregistrés dans des journaux en ajout seul (append-only) et consultables par tous. Cette conférence présente Certificate Transparency d’un point de vue théorique, dans un premier temps. Ensuite un focus est fait sur son implémentation et son utilisation dans la pratique.
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)NetSecure Day
Cette présentation va nous montrer comment la communauté de hackers white hat a adapté son environnement pas toujours compréhensif avec sa démarche de remontée de vulnérabilités. Les différentes communautés de sécurité et open source autour du globe ont su adapter ou développer leurs outils à leur savoir-faire. Et inventer de nouveaux concepts tels que le Bug Bounty qui de nos jours fait beaucoup parler de lui tant pour son efficacité, que pour les relations qu’il crée entre les organisations et ces communautés.
Le Bug Bounty est, en quelque sorte, une réponse adaptée à toutes ces personnes ou organisations qui durant des années n’ont pas su fournir une réponse appropriée et un cadre non punitif à ces individus souhaitant simplement exprimer leurs talents de hackers en servant l’intérêt général, et ce, depuis les débuts du Hacking. C’est avec cette foi, mais sans loi que le Bug Bounty hunter est né. Grâce à l’émergence des plateformes qui offrent un cadre aux entreprises et aux hackers, le Bug Bounty a su se rendre accessible aux contraintes d’une approche organisationnelle qui sera évoquée lors de cette présentation.
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...NetSecure Day
Un grand nombre d’objets connectés utilisent la technologie Bluetooth Low Energy afin d’offrir une connectivité avec des smartphones. Afin d’évaluer la sécurité de ces derniers, il est nécessaire de pouvoir étudier les communications entre ces smartphones et leurs applications associées et les objets connectés, de façon fiable et pratique.
Jusqu’à peu de temps, la seule solution consistait à « sniffer » les communications à l’aide de matériel dédié, mais c’était laborieux et relativement aléatoire. Une alternative possible consiste à réaliser une interception active, avec une approche de l’homme du milieu, ou « man in the middle », mais cette approche était impossible à réaliser faute d’outil adéquat.
Cette présentation rappellera les bases du protocole Bluetooth Low Energy, les raisons des échecs rencontrés lors de l’utilisation de sniffers relativement populaires, pour enfin présenter le framework d’interception BtleJuice, permettant de mettre en œuvre une interception active reposant sur une approche man-in-the-middle. Des démonstrations live seront effectuées afin de démontrer l’efficacité et les possibilités offertes par cet outil, en les mettant en œuvre sur différents objets connectés.
Enfin, des contre-mesures adaptées seront évoquées afin de limiter ce type d’attaque et d’améliorer la sécurité des objets connectés utilisant ce protocole de communication.
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan NitotNetSecure Day
L’informatique a envahi nos vies, au point qu’il est difficile d’envisager de vivre normalement sans Google ni Facebook ni smartphone aujourd’hui. Pourtant, nous savons depuis les révélations d’Edward Snowden que la centralisation de nos données personnelles rend économiquement possible la surveillance de masse. Pouvons-nous inventer un futur informatique nous permettra d’être libres en ayant la maîtrise de nos données ? A quoi ressemblerait un tel futur ?
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...NetSecure Day
Le protocole TLS est une des solutions les plus répandues pour la protection des flux réseau, assurant la confidentialité et l’intégrité d’échanges de données applicatives. Depuis l’apparition de son prédécesseur SSL en 1995, TLS a été adopté par de nombreux acteurs de l’Internet pour sécuriser le trafic lié aux sites web et à la messagerie électronique. Les déploiements apportant le plus d’assurance en matière de sécurité dépendent de l’ajustement de plusieurs paramètres du protocole en fonction du contexte de communication.
La présentation propose un tour d’horizon des bonnes pratiques TLS, récemment déclinées dans le guide de « Recommandations de sécurité relatives à TLS » publié par l’ANSSI. Cet état de l’art est accompagné d’observations sur l’écosystème HTTPS, réalisées dans le cadre de l’observatoire de la résilience de l’Internet français.
#NSD16 - Et si on parlait d'authentification forte - Nicolas GlonduNetSecure Day
L’authentification par simple identifiant et mot de passe est insuffisante pour protéger un compte utilisateur. Les campagnes de phishing pullulent sur le net et cela fait quelques années que l’on voit régulièrement dans l’actualité que les bases données de grandes entreprises ont fuité.
Face à cette insuffisance, il existe toutefois un procédé qui n’est pas réservé aux géants du net : l’authentification forte.
Dans cette conférence, je ferai un tour d’horizon de ce qu’est l’authentification forte et de différentes implémentations existantes.
Lancement de l'événement #NSD14 en présence de :
Me. Mélanie MAMMERI, Conseillère Régionale déléguée à l'accompagnement des entreprises et au numérique.
M. Fanch DANIEL, Responsable ORETIC et Conseiller en Technologies de l'Information et de la Communication à la CCI Normandie.
M. Clément MICHEL, Président et Co-Fondateur de l'association NetSecure Day
Plus d'informations à l'adresse suivante : http://www.netsecure-day.fr/nsd14-lancement-evenement
1. Les défis de l'expert judiciaire
(en informatique)
Par Zythom
Expert judiciaire et blogueur
Les défis de l'expert judiciaire - 10 décembre 2015
2. Plan
● Qu'est-ce qu'un expert judiciaire ?
● Les défis
● Conclusion, bibliographie et questions
Les défis de l'expert judiciaire - 10 décembre 2015
3. Qu'est-ce qu'un expert judiciaire ?
● Ce n'est pas une profession
● Le mot « expert » est trompeur
● C'est un professionnel intéressant les magistrats
●« Les experts judiciaires sont des professionnels habilités chargés de donner
aux juges un avis technique sur des faits afin d’apporter des éclaircissements
sur une affaire. »
● C'est une personne inscrite sur une liste (un annuaire)
● Comment devient-on expert judiciaire ?
Les défis de l'expert judiciaire - 10 décembre 2015
4. Défi n°1 : comprendre la justice
Les défis de l'expert judiciaire - 10 décembre 2015
5. Défi n°1 : comprendre la justice
● L'organisation de la justice
●Judiciaire, Administrative
●Pénal, Civil, Prudhomme...
● Les tribunaux (TI, TGI, CA, TA, CAA…)
● Le rôle de l'expert (judiciaire, privé).
Les défis de l'expert judiciaire - 10 décembre 2015
6. Exemples
● La pédopornographie (instruction)
● L'informatisation ratée d'une entreprise
(commerce)
● Le particulier mécontent (civil)
● Le litige contre l’État (administrative)
● L'assistance auprès d'une partie (privée).
Les défis de l'expert judiciaire - 10 décembre 2015
7. Le serment
« Je jure, d'apporter mon concours à la
Justice, d'accomplir ma mission, de faire
mon rapport, et de donner mon avis en
mon honneur et en ma conscience »
Les défis de l'expert judiciaire - 10 décembre 2015
8. Les problèmes rencontrés
● Les experts judiciaires face aux experts
● Un expert judiciaire n'est pas un justicier
● Les experts judiciaires « carte de visite »
● Les missions mal rédigées
● La déclaration d'impôts
● Le paiement des expertises.
Les défis de l'expert judiciaire - 10 décembre 2015
9. Défi n°2 : maîtriser l'inforensique
Les défis de l'expert judiciaire - 10 décembre 2015
10. Défi n°2 : maîtriser l'inforensique
● The Sleuth Kit (TSK) et Autopsy – gratuit
● Encase Forensic Edition – 3000 €
● Forensic Toolkit (FTK) – 2500 €
● DEFT Linux – boot cd gratuit
● Kali Linux – boot cd gratuit
● Ophcrack – gratuit (Rainbow tables)
● Mimikatz de Gentil Kiwi
● Live View – gratuit (sourceforge)
● Photorec / TestDisk – gratuit / numismateware.
Les défis de l'expert judiciaire - 10 décembre 2015
11. Tous les domaines matériels
● Les types de supports
DVD, bandes, disques durs, etc.
● Les différents formats
SATA, SSD, hybrides, SCSI, SAS, etc.
● Les différents systèmes de fichiers
FAT, NTFS, ExtN, HSF(+), etc.
● Les différents type de mémoires vives et OS.
Les défis de l'expert judiciaire - 10 décembre 2015
12. Défi n°3 : la sécurité informatique
Les défis de l'expert judiciaire - 10 décembre 2015
13. Défi n°3 : la sécurité informatique
● La sécurité informatique en tant qu'obstacle à l'expertise
judiciaire
●- les suspects donnent-ils facilement leur clef ?
●- les outils de contournement (ophcrack, dd)
●- exemple de TrueCrypt, GostCrypt, VeraCrypt
● Mac OS avec compte utilisateur chiffré
(hibernation)
● PABX piraté (mode conférence)
● Société Générale – affaire Kerviel.
Les défis de l'expert judiciaire - 10 décembre 2015
14. Défi n°4 : rester dans la course
Les défis de l'expert judiciaire - 10 décembre 2015
15. Défi n°4 : rester dans la course
● Technique
antivirus/malware/spyware…
chiffrement, stéganographie…
connecteurs, bloqueurs, salle blanche…
● Juridique : lois, jurisprudence...
● État de l'art : investigations, informatisation...
Les défis de l'expert judiciaire - 10 décembre 2015
16. Défi n°5 : se maîtriser
Les défis de l'expert judiciaire - 10 décembre 2015
17. Défi n°5 : se maîtriser
● Sensibilités (pédopornographie, tortures…)
● Opinions (Hadopi, Snowden… avis technique)
● Gestion des réunions de crise
● Provocations des parties (dires agressifs...)
● Phobie administrative
● Ne pas juger, donner un avis objectif.
Les défis de l'expert judiciaire - 10 décembre 2015
18. Défi n°6 : maîtriser sa parole
Les défis de l'expert judiciaire - 10 décembre 2015
19. Défi n°6 : maîtriser sa parole
● Secret de l'instruction
● Respect des données confidentielles
● Publicité restreinte
● Tenir un blog.
Les défis de l'expert judiciaire - 10 décembre 2015
20. Bibliographie
« Comment ne pas endormir son auditoire en 30 secondes : La communication
orale avec diaporama » de Jean-Marc Aimonetti
« L'expert et l'expertise judiciaire en France : Théorie, pratique, formation » de
Gérard Rousseau, Patrick de Fontbressin et Jean-Paul Costa
« L'expertise judiciaire en informatique de gestion » de JM Breton et E. Piégay
« Droit de l'informatique et des réseaux » 2 tomes, Lamy
« Éléments de droit pour informaticiens » de Guy Boulaye
« Dans la peau d'un informaticien expert judiciaire » de Zythom, 6 tomes, gratuits
et bien sûr http://zythom.blogspot.com :-)
Les défis de l'expert judiciaire - 10 décembre 2015
22. Conclusion
● La justice est un univers passionnant
● Challenge technique de l'inconnu
● Management de réunions de crise très formateur
● Force à découvrir d'autres aspects de l'informatique
(état de l'art, préjudices)
● Force à réfléchir sur ses propres pratiques
● L'appel du devoir.
Les défis de l'expert judiciaire - 10 décembre 2015
23. Les défis de l'expert judiciaire - 10 décembre 2015
24. FAQ
● La justice manque-t-elle d'experts judiciaires ?
● Une majorité d'experts judiciaires sont-ils des
experts ou des charlatans ?
● Les experts judiciaires forment-ils une caste ?
● Faut-il être dans les petits papiers des
magistrats pour devenir expert judiciaire ?
Les défis de l'expert judiciaire - 10 décembre 2015
25. FAQ suite
● L'expert judiciaire dort-il bien la nuit ?
Pédopornographie / tortures / prudhommes /
perquisitions / participation à des condamnations /
Hadopi / vie privée
Les défis de l'expert judiciaire - 10 décembre 2015
26. FAQ suite
● L'expert judiciaire face aux acteurs de la justice (ami
ou ennemi ?)
- la police/gendarmerie et leurs experts
- les magistrats
- les avocats
- les huissiers
- les victimes
- les coupables
Les défis de l'expert judiciaire - 10 décembre 2015