Sécurité
L’objectif de la session Sécurité est de rassembler des présentations sur différents aspects de l’interaction entre libre et sécurité informatique :
- la sécurité des logiciels libres ;
- les outils libres pour la sécurité ;
- l’impact de l’ouverture des logiciels sur la sécurité en général.
Les grandes thématiques couvertes cette année seront :
- authentification et accès des administrateurs au Système d’Informations
- sécurité Linux (noyau et applications)
- sécurité réseau et corrélation de logs
- SSO et gestion d’identités/habilitations
Cette session est coordonnée par Mathieu Blanc et Christophe Brocas.
Entretien avec Ludovic Poitou (ForgeRock, conférence OpenAM)
Bonjour Ludovic ! Tout d’abord, pourrais tu te présenter pour les futurs visiteurs des RMLL : formation, parcours, centres d’intérêts ?
Bonjour, je m’appelle Ludovic Poitou et je suis chef de produit chez ForgeRock. J’ai une formation universitaire : un Magistère en Informatique et Sciences de l’Ingénieur, obtenu à l’Université de Nice Sophia Antipolis (formation qui existe encore sous l’enseigne Polytech Sophia-Antipolis après s’être appelée ESSI). J’ai commencé ma carrière dans une startup dans le domaine des serveurs de messagerie et d’annuaires, E3X, rachetée par TéléSystèmes puis Sema (maintenant Atos)....
Entretien avec Eric Filiol (conférence Librairie Perseus)
Bonjour Eric. Pour commencer, peux-tu présenter ton parcours professionnel pour les participants aux RMLL qui ne te connaîtraient pas encore ?
Je suis Docteur en mathématiques appliquées et en informatique, ingénieur en cryptologie, et je dirige actuellement le laboratoire de virologie et de cryptologie opérationnelles de l’École Supérieure en Informatique, Électronique et Automatique à Laval, depuis 2008, après 22 ans passés au sein de la Défense (Infanterie/Troupes de Marine), dont la moitié dans le domaine de la sécurité de l’information et de systèmes. Il est spécialisé en cryptologie symétrique,...
Librairie Perseus : les enjeux d’une alternative au chiffrement
Intervenant(s) : Eric Filiol
- Date : Lundi 11 juillet 2011
- Horaire : 14h00
- Durée : 40 minutes
Lieu : Patio - Amphi 6
Résumé
Présentation de la librairie Perseus :
Rappel des aspects techniques (comment ca marche) et bilan des implémentations
Explication sur une base moins technique en quoi Perseus est plus intéressant que la cryptographie
Biographie
Éric Filiol est un chercheur français en sécurité informatique spécialisé dans la cryptologie symétrique et plus particulièrement la cryptanalyse, ainsi qu’en virologie informatique opérationnelle. Il est actuellement direction de la Recherche et des Développements Industriels du Groupe...
Certificats Openssh : gérez les identités dans l’espace et dans le temps
Intervenant(s) : Kevin DENIS
- Date : Lundi 11 juillet 2011
- Horaire : 14h40
- Durée : 40 minutes
Lieu : Patio - Amphi 6
Résumé
ssh est un protocole de communication chiffré permettant à deux machines de communiquer de manière à ce qu’un auditeur placé entre les deux extrémités ne puissent pas connaître les échanges. Les modes de connexion par mot de passe ou clé sont couramment utilisé mais comportent néanmoins des limites dès lors qu’il faut gérer des identités sur un très grand nombre de machines ou dans le temps.
Depuis la version 5.4, openssh propose une certification des clés RSA hôtes et utilisateurs. Cet article vise à démontrer les avantages de cette nouvelle méthode en précisant les apports, aussi bien sur les...
passerelle sshGate : Sécurisez l’administration de vos serveurs
Intervenant(s) : Patrick Guiran
- Date : Lundi 11 juillet 2011
- Horaire : 15h20
- Durée : 40 minutes
Lieu : Patio - Amphi 6
Résumé
Vous découvrirez lors de cette conférence, comment sshGate permet à une entreprise d’améliorer la sécurité l’administration de ses serveurs.
sshGate est un proxy SSH permettant de protéger l’accès SSH aux systèmes distants, en dissimulant les éléments d’authentification aux utilisateurs. Reposant entièrement sur le projet OpenSSH, communautaire et non modifié, cet outil propose une CLI d’administration, la gestion d’ACL, gestion de groupe, ainsi que l’enregistrement des sessions utilisateurs, qui peuvent être rejouées ultérieurement à des fins d’analyse.
Pour la réalisation de sshGate, trois...
Kerberos
Intervenant(s) : Nicolas Grenèche
- Date : Lundi 11 juillet 2011
- Horaire : 16h20
- Durée : 40 minutes
Lieu : Patio - Amphi 6
Résumé
Le besoin d’une architecture basée sur Kerberos a émergé de la contrainte d’authentifier les traces internet des utilisateurs du réseau. En effet Kerberos est le seul protocole d’authentification système (et web) proposant une fonction de SSO et communément déployé des les systèmes massivement utilisés par notre communauté (Windows, Linux et MacOS). L’idée est de centraliser l’authentification au CRI en laissant la gestion des utilisateurs aux composantes. Une telle optique permet de révoquer l’authentification système à une personne tout en laissant son correspondant local gérer les informations...
Introduction à la cryptographie
Intervenant(s) : Xavier Belanger
- Date : Mardi 12 juillet 2011
- Horaire : 11h20
- Durée : 40 minutes
Lieu : Patio - Amphi 6
Résumé
Cette présentation explique les bases de la cryptographie (historique, mécanismes de cryptographie symétrique et asymétrique) et ses utilisations en particulier pour la correspondance électronique.
Biographie
Xavier Belanger est un membre actif de la Guilde (Guilde des Utilisateurs d’Informatique Libre du Dauphiné) [http://www.guilde.asso.fr]
administrateur système et réseau
utilisateur de GNU/Linux Slackware depuis 1999
GnuPG : vers un chiffrement point à point enfin simplifié
Intervenant(s) : Marcus Brinkmann
- Date : Mardi 12 juillet 2011
- Horaire : 14h00
- Durée : 40 minutes
Lieu : Patio - Amphi 6
Thèmes transversaux :
En anglais
Le chiffrement des courriels de bout en bout est encore ignoré par la quasi totalité des utilisateurs. Les courriels restent en clair dans les boîtes aux lettres des fournisseurs de messagerie sur Internet, où elles sont fréquemment collectées par des attaquants. Cela entraîne une aggravation des attaques que l’on subit du fait de la sensibilité des données ainsi collectées. Nous proposons une nouvelle infrastructure simplifiée pour protéger les messageries, compatible avec OpenPGP et S/MIME et qui repose sur un modèle de confiance facile d’utilisation et ne reposant sur aucune centralisation.
Marcus...
syslog-ng : corrélation de logs et au-delà
Intervenant(s) : Marton Illes
- Date : Mardi 12 juillet 2011
- Horaire : 14h40
- Durée : 40 minutes
Lieu : Patio - Amphi 6
Thèmes transversaux :
En anglais
Résumé
Cette présentation fournira une introduction au log, à la gestion d’événements, à Syslog-NG et à ses récents développements dans le domaine de la corrélation de logs. Pendant la présentation, nous essaierons de montrer comment Syslog-ng peut être utilisé pour corréler de simples messages syslog avec des événements normalisés, les rendre aisément consultable, pour créer simplement des rapports et déclencher des alertes sur des événements de sécurité.
Nous voulons donner quelques pistes sur comment des outils open source peuvent être utilisés pour créer un système de gestions de logs efficace et une...
Suricata : repensez les IDS/IPS
Intervenant(s) : Eric Leblond
- Date : Mardi 12 juillet 2011
- Horaire : 15h20
- Durée : 40 minutes
Lieu : Patio - Amphi 6
Thèmes transversaux :
En anglais
Résumé
Suricata est un IDS/IPS développé par l’Open Information Security Foundation (OISF) qui est une association à but non lucratif qui a été fondée pour porter le projet. Suricata est un IDS/IPS de la même famille que Snort. Il analyse le traffic réseau en comparant les paquets à un ensemble de signatures qui cherchent des motifs ressemblant à des attaques. Suricata a été développé depuis zéro et à partir de 2007 par l’OISF. La version 1.0 de Suricata est sortie le 1er juillet 2010. L’architecture de Suricata est multithread et les tests ont montrés que le passage à l’échelle sur les systèmes multi CPU...
Gestion des vulnérabilités avec OpenVAS 4
Intervenant(s) : Henri Doreau
- Date : Mardi 12 juillet 2011
- Horaire : 16h20
- Durée : 40 minutes
Lieu : Patio - Amphi 6
Thèmes transversaux :
En anglais
Résumé
OpenVAS (pour Open Vulnerability Assessment System) est une plateforme libre de détection et gestion des vulnérabilités. La version 4, publiée en Mars 2011, apporte plusieurs améliorations majeures.
La conférence sera menée en deux temps : - Tout d’abord une présentation d’OpenVAS 4, son architecture et son écosystème.
- Ensuite l’utilisation d’OpenVAS 4 pour la surveillance des vulnérabilités et le contrôle des menaces sur le réseau.
Enfin, les perspectives et objectifs du projet à court et moyen terme seront évoqués.
Biographie
Henri Doreau est étudiant en réseaux et télécommunications à...
open-udc : implémentation et usage.
Intervenant(s) : Glenn ROLLAND, Jean-Jacques Brucker, Stéphane Laborde
- Date : Mercredi 13 juillet 2011
- Horaire : 11h20
- Durée : 40 minutes
Lieu : Patio - Amphi 6
Résumé
Voici les mécanismes sur lesquels open-udc implementation :
- les units open-udc (la monnaie) - l’authentification (la manière dont est utilisé gpg) - le réseau open-udc - les autres implémentations nécessaires pour réaliser des transactions en utilisant plusieurs autres moyens (web, email, xmpp, offline)
Biographie
Glenn ROLLAND, Jean-Jacques Brucker : ingénieurs, développeurs, libristes et linuxiens depuis très longtemps.
Stéphane Laborde : ingénieur, et c’est grâce à son blog http://creationmonetaire.info que l’idée est venue de lancer ce...
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemples
Intervenant(s) : Clément Oudot
- Date : Mercredi 13 juillet 2011
- Horaire : 14h00
- Durée : 40 minutes
Lieu : Patio - Amphi 6
Résumé
Avec la multiplication des applications Web, la question de l’authentification à ces applications est devenue primordiale. Pour simplifier la vie de l’utilisateur, le concept de SSO (Single Sign On) a été inventé. Dans ce domaine, plusieurs protocoles et standards existent, comme CAS, OpenID, Liberty Alliance, Shibboleth ou SAML. Quelles sont les différences ? Comment utiliser ces protocoles dans les applications ? Cette conférence tentera de répondre à ces questions en présentant des cas concrets d’implémentation.
Biographie
Clément Oudot est le leader des projets LemonLDAP ::NG (WebSSO) et...
Sécurité des applications Web avec OpenAM
Intervenant(s) : Ludovic Poitou
- Date : Mercredi 13 juillet 2011
- Horaire : 14h40
- Durée : 40 minutes
Lieu : Patio - Amphi 6
Résumé
Quand elles déploient un projet de gestion d’identités et des droits d’accès, les entreprises ont des besoins d’intégration de ces solutions au sein de nombreuses applications en provenance de multiples fournisseurs ou utilisant des technologies diverses. Malheureusement, aujourd’hui, plus de 30% des applications web sont incompatibles avec les solutions de gestion d’accès web du marché. Le projet OpenAM mené par ForgeRock, une société open source, fournit désormais une solution open source pour permettre un déploiement facilité des projets de gestion des droits d’accès Web : la Passerelle...
Perspectives de la gestion d’identité par les technologies Web
Intervenant(s) : Mikaël Ates, Benjamin Dauvergne
- Date : Mercredi 13 juillet 2011
- Horaire : 15h20
- Durée : 40 minutes
Lieu : Patio - Amphi 6
Résumé
Cette présentation vise à lancer une discussion autour des perspectives de la gestion d’identité par les technologies Web. Pour cela, elle s’articule en cinq parties couvrant les enjeux, les architectures, les protocoles et des exemples de projets et l’implémentations, notamment Authentic2 et Identity-Hub.
Biographie
Mikaël Ates, ingénieur de recherche au sein de la société Entr’ouvert, participe aux projets Authentic2, Identity-Hub, Lasso, Veridic et Cryptic. Il coordonne le groupe OSSIWG (Open Source Software Initiative Work Group) au sein de la Kantara Initiative. Benjamin Dauvergne,...
Etat des lieux des systèmes de protection contre les buffers overflow sous Linux
Intervenant(s) : Paul Rascagneres
- Date : Mercredi 13 juillet 2011
- Horaire : 16h20
- Durée : 40 minutes
Lieu : Patio - Amphi 6
Résumé
Conférence sur l’état des lieux des méthodes existantes en 2011 pour se protéger des attaques de types buffer overflow. Ce type de bug permet d’exécuter du code arbitraire sur l’OS. Il existe des systèmes pour empêcher ou compliquer l’exploitation de ces bugs.
La conférence commencera par l’explication d’un buffer overflow jusqu’aux différentes méthodes de protections (stack no-exec, ASLR, SSP, ...) et de contournement.
Des connaissances en C et en ASM/GDB peuvent aider la compréhension de cette conférence.
Biographie
Paul Rascagneres est consultant et chercheur en sécurité informatique depuis...
Méthode de propagation des malwares dans le logiciel libre
Intervenant(s) : Dominique BLEUS
- Date : Mercredi 13 juillet 2011
- Horaire : 17h00
- Durée : 40 minutes
Lieu : Patio - Amphi 6
Résumé
Le nombre croissant des utilisateurs de logiciels libres attire les créateurs de malwares.
Pourquoi ? comment ? avec quelles conséquences ? quelles sont les protections en place ? Voilà quelques questions parmi d’autre que cette conférence va aborder et tenter de répondre.
Biographie
Dominique BLEUS s’intéresse à la sécurité de l’information et la compréhension des méthodes de contournement depuis une dizaine d’année.