Quarks in the Shell

Retrouvez toutes les vidéos replay de cette journée de conférence prochainement !

Réservez dès maintenant votre mardi 18 Avril 2023 et retrouvez-nous au Campus Cyber pour le retour de la conférence annuelle de Quarkslab !

L'agenda complet est disponible plus bas ⬇️

📅 Mardi 18 avril 2023

📍 Campus Cyber à la Défense

Nous aurons le plaisir d'accueillir deux intervenants externes

Martin Untersinger

Journaliste au Monde, Martin reviendra en détails sur le logiciel espion Pegasus qui avait beaucoup fait parler de lui en juillet 2021. Il répondra à la question : "Comment enquêter quand notre principal outil de travail, notre smartphone, est potentiellement compromis ?"

Julien Song

Maitre International d’Échecs, Julien fera le lien entre les stratégies d'attaque et de défense dans les échecs et la cyber.

Aperçu du programme

✅ La matinée commencera par l'intervention de Martin Untersinger, journaliste au Monde suivie par les travaux de recherche de QLab sur des sujets bien distincts allant de Pastis, à Google Script, en passant par Messaging Layer Security (MLS) et par le moteur JavaScript et en finissant par Falco.

✅ La journée se poursuivra l'après-midi avec des échanges et des bonnes pratiques autour d'ateliers agrémentés de démos de nos deux logiciels.

Comment protéger vos applications, clés et données contre les attaques statiques et dynamiques ? Comment réduire les risques liés au transfert de fichiers (en analysant les emails et URLs) ?

Les thèmes abordés seront :

La cryptographie en boite blanche,
Prouver la légitimité des objets connectés,
Compilation et obfuscation
Utilité des workflows
Les moteurs d'analyse et les malwares

Inscrivez-vous dès maintenant!

AGENDA DÉTAILLÉ

09h00 - ARRIVÉE
09h25 - INTRODUCTION
9h30 - Pegasus : autopsie d’un scandale
Martin Untersinger

En juillet 2021, 17 médias du monde entier, assistés par Amnesty International, dévoilaient des dizaines de nouveaux cas d'utilisation du logiciel espion Pegasus. Journalistes, avocats, militants... Ces révélations confirmaient le déploiement systématique de cet outil. Ces révélations sont le fruit de six mois d'enquête journalistique assistée d'un travail technique de pointe. Comment mettre la forensic au service du journalisme ? Comment enquêter quand notre principal outil de travail, notre smartphone, est potentiellement compromis ? Près de deux ans après, quels effets ces révélations ont-elles eu sur NSO Group et, plus largement, sur le marché des logiciels espions ?

Travaux de recherche - QLab

10h15 - PASTIS a.k.a comment combiner des approches de tests logiciels hétérogènes
Robin David, Christian Heitmann et Guillaume Valadon

Le fuzzing et l'exécution symbolique sont deux approches de tests logiciels qui ont toutes deux leurs avantages et inconvénients. Plutôt que d'avoir à en choisir une, PASTIS évite ce choix et combine les deux approches au sein du même framework. Le but est de les faire collaborer pour qu'elles tirent profit de leurs avantages respectifs afin d'explorer plus profondément un programme. Cette présentation montrera les différentes expérimentations et benchmarks qui ont été fait pour tester le bien-fondé de cette combinaison et vérifier si l'union des deux techniques fournis de meilleurs résultats que la somme des parties.

10h45 - Google Apps Script : ce talk requiert l'accès à vos mails
Nicolas Kovacs et Sébastien Rolland

Google Apps Script est une plateforme de développement d'applications en ligne permettant d’interagir avec les produits Google Workspace tels que Gmail, Google Sheets, Googles Docs, Google Drive, etc. Bien que le service et les scripts associés soient utilisés de manière légitime pour automatiser des tâches ou ajouter des fonctionnalités aux produits Google Workspace, les scripts peuvent être utilisés dans le cadre de certaines attaques, notamment par hameçonnage, afin d'autoriser un tiers à réaliser des actions dans l'environnement Google de la victime. Dans cette présentation, nous exposerons différents scénarios d'attaques qui peuvent cibler aussi bien les entreprises utilisant Google Workspace que les particuliers.

11h15 - PAUSE CAFÉ

11h30 - Messaging Layer Security : plus on est de fous, plus on chiffre
Angèle Bossuat

Il existe de nombreuses applications de messagerie sécurisée pour les conversations "tête-à-tête" (1-on-1), et certaines d'entre elles offrent même un très bon niveau de sécurité. Une façon simple mais coûteuse d'adapter ce protocole 1-on-1 aux sessions de groupe sans perdre de sécurité consiste à voir un groupe comme plusieurs paires, et à envoyer le message autant de fois qu'il y a de destinataires.

Et s'il existait un meilleur moyen de maintenir la sécurité ET d'être efficace ? C'est la question posée par le groupe de travail Messaging Layer Security (MLS). Dans cette présentation, nous examinerons leur(s) solution(s) et les comparerons aux autres tentatives plus ou moins réussies qui ont été faites, dont certaines sont utilisées aujourd'hui.

12h00 - Méthodologie d'exploitation de moteurs Javascript
Emmanuel Genier et Adam Taguirov

De nos jours les navigateurs sont très utilisés dans les tâches de tous les jours (naviguer sur internet, lire des mails, pdf, vidéos etc.) et sont déployés sur un grand nombre de systèmes à travers le monde (ordinateurs, télévisions, consoles de jeu, téléphones…). Le moteur JavaScript de ces navigateurs est particulièrement sollicité puisqu’il est souvent embarqué en l’état, par exemple dans le domaine des objets connectés ou les voitures.

C’est pourquoi ce moteur est une cible très intéressante à analyser puisqu’une vulnérabilité à ce niveau-là permettrait d’une part de compromettre le navigateur dans son ensemble mais également d'autres systèmes dans lesquels celui-ci est embarqué.

Nous allons ici nous concentrer sur les moteurs V8 (utilisé notamment dans Chrome) et JSC (utilisé notamment dans Safari) et présenter les méthodes d’exploitation génériques pour ces versions en passant par :

Présentation de la disposition en mémoire des différents objets JavaScript
Présentation des primitives d’exploitation génériques basiques sur les deux moteurs JS (addrof, fakeobj)
Transition depuis les primitives basiques vers des primitives avancées (arbitrary read/write)
Transition vers un exemple d’exploitation de code classique pour le moteur v8

Ensuite, nous détaillerons davantage la partie iOS avec WebKit/JSC, en présentant les différentes mitigations de sécurité implémentée par Apple et certaines possibilités de contournement afin d’expliquer comment, aujourd’hui, une exploitation de navigateur Safari pourrait se dérouler.

12h30 - Recherche de vulnérabilités sur des cibles complexes : focus sur Falco
Laurent Laubin et Victor Houal

Pour automatiser l'audit de code source d'un programme il existe deux familles d'approches, l'analyse statique et l'analyse dynamique. Ces approches complémentaires ont connu de nombreux développements ces dernières années et demandent des compétences différentes. Dans cette présentation nous présenterons nos travaux réalisés sur l'IDS opensource Falco, quelques difficultés rencontrées et comment nous avons pu les contourner.

Sommaire :

le nerf de la guerre : la surface d'attaque
analyse statique, les outils modernes
analyse dynamique, fuzzing sur une cible présente à la fois en mode kernel et en mode user

13h00 - PAUSE DÉJEUNER

Sécurité IoT et protection logicielle - QShield

14h15 - Un jeu de funambules : la cryptographie en boîte blanche et ses compromis
Matthieu Daumas

Les outils de cryptographie en boite blanche sont devenus des éléments clés de la sécurité dans le monde du mobile. Mais finalement qu'est-ce qu'un bon outil de cryptographie en boite blanche ? Suffit-il de dire que l'on fait de la cryptographie en boite blanche ou peut-on apporter des garanties de robustesse et de sécurité ? Au travers de cette présentation vous découvrirez les fondements de la cryptographie en boite blanche, ses limites et les garde-fous présents dans l'industrie pour vous (r)assurer sur la solidité des différentes solutions existantes.

14h45 - The Internet of (my) Things : prouver la légitimité de vos objets connectés
Rémy Salim

Les données collectées par les objets connectés sont à la base de décisions stratégiques et au cœur des business model du secteur. Mais comment s'assurer que ces données sont légitimes ? Comment garantir qu'elles ne soient pas altérées, ne proviennent pas d'un clone ou ne soit pas usurpées ? Découvrez comment QShield permet de mesurer la légitimé d'un objet connecté et de détecter la présence d'un adversaire dans votre flotte.

15h15 - Compilation et Obfuscation : prouver ou vérifier, telle est la question
Béatrice Creusillet

"Quelle garantie apportez-vous que mon application obfusquée est équivalente ?" Cette question de la confiance en nos outils est au cœur de vos préoccupations lorsque vous nous contactez pour la protection de vos programmes. Dans cette présentation, nous amènerons des éléments de réponse, et nous vous présenterons les mesures que nous prenons afin d'assurer la confiance en nos protections et le maintien de la sémantique de vos programmes.

15h45 - PAUSE CAFÉ

Détection de malwares - QFlow

16h00 - Les workflows, vos analystes de poche !
Marion Guthmuller

En s'appuyant sur les différentes pratiques du domaine et les cas d'usage rencontrés par nos utilisateurs, QFlow définit aujourd'hui des workflows pour vous simplifier la vie. Ceux-ci embarquent l'intelligence d'analyses à étapes multiples dans des recettes clefs-en-main, permettant à vos opérateurs d'être plus autonomes et à vos analystes d'être plus performants. En exemple, l'analyse d'un email malicieux, de l'email lui-même jusqu'aux détails de sa mystérieuse pièce-jointe.

16h30 - Pêche aux documents malicieux : améliorations au fil de l'OLE
Ferdinand Bellissime

Estimant que chaque outil a ses faiblesses, une bonne analyse s'appuie sur un ensemble de moteurs. Mais pouvons-nous découvrir ces faiblesses ? Et pourrions-nous, de là, construire l'élément sur mesure qui saura passer au travers des mailles du filet ? Et, dans notre lancée, de cette expérience, compléter nos outils d'analyse pour, une étape à la fois, améliorer notre filet ?

17h30 - CONCLUSION