Interventions invitées
Analyste stratégique en cybermenaces, Coline Chavane fait partie de l'équipe de détection et de recherche de menaces de Sekoia.io. Elle se concentre sur les menaces étatiques et l'analyse géopolitique. Elle a travaillé auparavant à l'Agence nationale de sécurité des systèmes d'information (ANSSI) et chez Thales.
Amaury-Jacques Garçon est un ingénieur en cybersécurité travaillant chez Sekoia.io comme analyste technique en Threat Intelligence se concentrant sur l'investigation des menaces étatiques. Fort d'une expérience professionnelle dans l'investigation open source, il a travaillé pour le ministère français des Armées.
Les élections de 2024 dans le collimateur : cybermenaces et opérations d'influence
2024 est une année électorale pour un certain nombre de pays, dont les États-Unis, l'UE, la Moldavie et l'Inde. Sur la base du rapport « Guarding Democracy: Assessing Cyber Threats to 2024 Worldwide Elections » de Sekoia Threat Intelligence & Research (TDR), cette présentation fournira une analyse et un retour d'expérience sur les cybermenaces ciblant ou ayant ciblé les processus électoraux de cette année. Nous nous concentrerons en particulier sur les campagnes d'influence affectant les élections et approfondirons notre enquête sur le groupe DoppelGänger.
Elisa Chiapponi est chercheuse en sécurité au sein de Global Security Operations d'Amadeus (France). En 2023, elle a obtenu son doctorat en cryptographie et sécurité de l’Université Sorbonne (France) avec une thèse intitulée "Detecting and Mitigating the New Generation of Scraping Bots" réalisée au sein du département de sécurité numérique d'EURECOM (France). Au printemps 2022 et 2023, elle a été chercheuse invitée au Resilient Computing and Cybersecurity Center (RC3) de l'université King Abdullah University of Science and Technology (Arabie saoudite). En 2024, elle a reçu le prix Microsoft Partners Woman Role Model dans la catégorie Jeune talent. En 2023, elle a obtenu la deuxième place au Cyber Woman Researcher European Award du CEFCYS. Ses domaines d'intérêt et d'expertise sont la sécurité des réseaux et des applications, la mérologie Internet, la lutte contre les robots Internet et l'identification des proxys.
Contrer les proxys IP résidentiels : techniques de détection et approndissement stratégique
Les proxys IP résidentiels (RESIP) permettent de transmettre des requêtes par proxy via de vastes réseaux d'appareils résidentiels utilisés simultanément par des utilisateurs authentiques. Ces proxys sont attrayants pour les acteurs malveillants en raison de leurs avantages dans les campagnes automatisées, notamment l'accès à des IP résidentielles réputées et à des services intégrés comme la résolution automatisée de CAPTCHA. Dans cet exposé, nous présenterons différents types d'attaques qui exploitent ces proxys et présenterons de nouvelles méthodes pour détecter et empêcher leur activité côté serveur. Nous présenterons les résultats positifs de l'application de ces techniques dans des environnements semi-contrôlés et réels. De plus, nous offrirons de nouvelles perspectives sur le fonctionnement interne et le modus operandi des RESIP, dérivées de nos collectes de données.
Mike Eftimakis possède une vaste expérience dans l'industrie électronique avec 30 ans d'expérience dans des postes techniques et commerciaux de direction. Il innove avec des entreprises comme VLSI Technology, NewLogic ou Arm. Il est désormais vice-président de la stratégie et de l'écosystème chez Codasip, où il pilote la vision à long terme et sa mise en œuvre au quotidien. En parallèle, il est Directeur Fondateur de l'Alliance CHERI.
La CHERI Alliance
Le coût mondial des cyberattaques atteint aujourd’hui environ 10 000 milliards de dollars par an. Les problèmes de sécurité liés à gestion de la mémoire restent la principale source de problèmes de cybersécurité et ont constamment représenté environ 70 % des vulnérabilités au cours des 20 dernières années. En conséquence, il existe un intérêt fort et croissant pour CHERI (Capability Hardware Enhanced RISC Instructions), une technologie qui atténue par conception les vulnérabilités de sécurité liées la mémoire. Elle fournit des fonctionnalités de sécurité au niveau du matériel qui peuvent être exploitées par le logiciel pour fournir une sécurité plus robuste. Elle a été développée par l’Université de Cambridge et d’autres laboratoires de recherche, et après 14 ans d’amélioration et de réglage, elle est maintenant prête à être intégrée aux produits. Cependant, amener l’industrie à adopter une nouvelle technologie de sécurité nécessitant un nouveau matériel n’est pas une chose qui se fera sans un effort proactif et coordonné. C’est l’objectif de la CHERI Alliance, une organisation à but non lucratif créée pour accélérer l’adoption de la technologie. Cette intervention invitée donne un aperçu de la technologie CHERI : les avantages qu’elle offre, un aperçu de son fonctionnement et les contraintes associées à son intégration. Elle présente également la CHERI Alliance : ses objectifs, ses moyens et sa feuille de route.
Sébastien Brillet
Expert cybersécurité DGA France
Expert cybersécurité DGA France
Après une expérience dans la R&D industrielle (Mistubishi, Renesas, …) et académique (Inria), Sébastien Brillet rejoint la DGA en 2015. Il se concentre sur l’architecture interne de l’OS Windows, mais également sur les mécanismes mises en place au démarrage des PC.
Implants, bootkits et protection de démarrage
Les logiciels bas niveaux (Firmware) se retrouvent en nombre important sur les ordinateurs actuels. Ils démarrent très souvent avant le processeur sur lequel tournera le système d’exploitation et l’ensemble des logiciels applicatifs. Le but de cette présentation est de se focaliser sur le firmware de démarrage (UEFI) qui est régulièrement ciblé par des attaques, nous présenterons un certain nombre de menaces réelles et les contremesures qui ont été mises en place pour essayer de s’en prémunir.
Philippe Teuwen (@doegox) est Responsable R&D chez Quarkslab, naviguant joyeusement à la frontière entre la sécurité matérielle et logicielle. Il a permis l’émergence de nouvelles attaques vectorielles et d’outils open source, tels que l'adaptation des techniques de canaux auxiliaires à la cryptographie whitebox, des attaques par arrachement d'EEPROM contournant diverses fonctionnalités de sécurité RFID, etc. Il fait partie de l'équipe éditoriale du International Journal of PoC||GTFO et adore organiser des compétitions de Hardware CTF.
MIFARE Classic : exposer la variante du nonce chiffré statique... et quelques portes dérobées matérielles
Cette intervention présente nos dernières recherches sur une carte compatible MIFARE Classic de nouvelle génération, fabriquée par Shanghai Fudan Microelectronics, conçue pour résister à toutes les attaques connues ne nécessitant que la carte. Nous avons découvert plusieurs vulnérabilités critiques, y compris une porte dérobée matérielle qui permet une authentification non autorisée des clés et le craquage des clés utilisateurs en quelques minutes. Nos découvertes révèlent qu'une clé de porte dérobée commune est partagée entre toutes les cartes FM11RF08S, compromettant entièrement leur sécurité. Ces découvertes troublantes ne s'arrêtent pas là, puisque nous avons également identifié des portes dérobées similaires dans d'autres cartes Fudan et des cartes anciennes, soulevant ainsi d'autres questions.
Thomas Roche est co-fondateur et expert en sécurité chez NinjaLab (ninjalab.io). Ses intérêts de recherche couvrent tous les aspects de la cryptographie, avec un accent particulier sur les questions d'implémentation. Ces dernières années, il s'est consacré à la recherche de vulnérabilités par canaux auxiliaires dans les puces les plus sécurisées du marché. Après avoir obtenu un doctorat en mathématiques appliquées à l'Université de Grenoble et un court postdoctorat à l'Université Paris 8 et chez Oberthur Technologies (aujourd'hui IDEMIA), Thomas a travaillé quatre ans à l'ANSSI (Agence nationale de la sécurité des systèmes d'information) et deux ans chez APPLE avant de fonder NinjaLab avec Victor Lomné en 2017.
EUCLEAK : Analyse par canaux auxiliaires des éléments sécurisés Infineon, application aux Yubikeys série 5
Cette intervention met en lumière une vulnérabilité par canaux auxiliaires dans la bibliothèque cryptographique d’Infineon Technologies, l’un des plus grands fabricants d’éléments sécurisés. Cette vulnérabilité, restée inaperçue pendant 14 ans et à travers environ 80 évaluations de certification de haut niveau selon les Critères Communs, est due à une inversion modulaire non constante dans le temps. De plus, elle s’avère exploitable en pratique sur des clés de sécurité FIDO 2FA largement répandues : la série Yubikey 5. Les détails techniques complets de ce travail ont été rendus publics le 3 septembre 2024 (https://ninjalab.io/eucleak/). Nous examinerons ces détails ainsi que ce qu’ils révèlent sur l’état actuel des éléments sécurisés et des certifications de sécurité.
Bertrand Le Gorgeu est adjoint au chef de la division industrie et technologie de l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information. Auparavant, il était responsable du programme pour les Jeux Olympiques au sein de l'agence. Pendant 4 ans, il a coordonné les ressources internes et externes de l'agence pour sécuriser un écosystème composé de plus de 500 entités. Durant les Jeux, il faisait partie du centre stratégique des opérations de l'agence.
Préparer et organiser un grand événement sportif sous l'angle cyber : l'ANSSI et les Jeux Olympiques de Paris 2024
Cette présentation se concentrera sur la préparation de l'ANSSI aux Jeux Olympiques de Paris 2024, en abordant les grandes étapes depuis 2018 et l'approche de l'agence pour sécuriser un tel événement majeur. Elle traitera également de la mobilisation d’un écosystème diversifié, comprenant les sites de compétition, les organisateurs d'événements et les acteurs du secteur privé, pour améliorer la maturité et la préparation cyber. Enfin, un aperçu des incidents survenus pendant les Jeux sera présenté, avec un partage des leçons apprises pour renforcer les stratégies de cybersécurité futures.