Ce séminaire, destiné aux étudiants de Télécom SudParis en
cybersécurité et aux anciens élèves, aura lieu à Palaiseau, dans le
bâtiment IMT/TP/TSP, à partir de 15h. Il sera suivi, à partir de
18h30, d'un cocktail dînatoire à l'Entrepôtes 19, près du bâtiment
TP/TSP.
Programme
- 14h : Café
- 15h : Grégory Blanc, Christophe Kiennert et Olivier Levillain - Accueil
- 15h15 : Clément Parssegny (ANSSI) - Utilisation de l'apprentissage automatique pour la détection de canaux de Command and Control
- 15h45 : Mathieu Touloucanon (CEA) - Analyse et perçage de packers d'exécutables
- 16h30 : Pause
- 17h : François Boutigny (Nokia) - Microservice behavior analysis for telco networks: overview and perspectives
- 17h45 : Baptiste Polvé (SnowPack) - Au delà des techniques d'anonymisation, enjeux du déploiement des proxies
- 18h30 : Rump Session
- 19h environ : Cocktail dînatoire à l'Entrepôtes 19 près du bâtiment TP/TSP
Clément Parssegny (ANSSI) - Utilisation de l'apprentissage automatique pour la détection de canaux de Command and Control
Ces dernières décennies, le chiffrement progressif des communications
transitant sur les réseaux a contribué à l'amélioration de la
confidentialité et de l'intégrité des données des
utilisateurs. Cependant, cette évolution a eu un impact important sur
les capacités de détection d'attaques. L'utilisation de techniques
d'apprentissage automatique sur les métadonnées du trafic réseau sont
alors une piste pour analyser le trafic réseau à la recherche de
canaux de Command and Control, potentiellement camouflés en trafic
bénin.
Clément PARSSEGNY est diplômé de Télécom SudParis et de l'Institut
Polytechnique de Paris. Il est actuellement étudiant en thèse en
collaboration avec l'équipe SCN du laboratoire SAMOVAR sur l'apport
des méthodes de prise d'empreinte à la détection d'intrusion.
Mathieu Touloucanon (CEA) - Analyse et perçage de packers d'exécutables
Les obscurcissements de type packer, notamment les machines
virtuelles rendent complexe l’analyse de binaire. En effet, celles-ci
permettent de compiler le programme initial dans une architecture
virtuelle, puis d’exécuter le programme dans cette architecture à
l’aide d’un émulateur contenu dans le programme.
Particulièrement, lorsque des packers sont combinés à d’autres
techniques d’obscurcissement, ils peuvent faire perdre un temps
précieux dans le cas d’une réponse à incident. Le stage présenté
propose d’analyser un packer et de mettre en place les outils
nécessaires à la suppression de cette protection dans le framework
Miasm.
Matthieu TOULOUCANON est diplômé en 2023 de Télécom SudParis. Ayant
suivi la VAP SSR, il a conclu ses études par un stage au CEA.
François Boutigny (Nokia) - Microservice behavior analysis for telco networks: overview and perspectives
The microservice behavior analysis (MBA) team in Nokia Bell Labs is researching means to detect microservice behavior anomalies that could be sign of malicious activities, and investigates this topic with respect to the telco environment. This presentation will provide the audience an overview of our solution and our perspectives.
The telco industry is shifting to a cloud-native architecture where network functions become stateless, containerized microservices communicating through a service-based interface. Effort has be made in 5G for the core network and is likely to be expanded in 6G to the radio access network. However the domain of software security remains elusive and the multiplicity of software components and their complex dependencies opens the telco industry to new threats. A new security model is needed that assumes breaches to be inevitable, so we need to constantly monitor software components and look for anomalous or malicious activity.
Our approach consists of building a baseline of the good behavior of a software component, and then monitor the software component's behavior in operation to look for and detect deviations to its baseline. We model the behavior based on the internal state of the software component and its interactions with the operating system. Our solution can be integrated seamlessly into the CI/CD pipeline of a telco vendor as well as into a cloud-based monitoring system of a communication service provider.
François BOUTIGNY est diplômé en 2015 de Télécom SudParis. Il a
ensuite réalisé une thèse CIFRE au sein des Nokia Bell Labs,
conjointement avec Télécom SudParis, qu'il a défendu en décembre
2019. Il est depuis ingénieur de recherche au sein du même
laboratoire, et s'intéresse à la sécurité des microservices.
Baptiste Polvé (SnowPack) - Au delà des techniques d'anonymisation, enjeux du déploiement des proxies
Les techniques communes d'anonymisation: VPN, TOR, I2P, Nym ou même
Snowpack sont toutes basées sur l'utilisation des proxies. Si au
premier abord, il paraît très simple de répliquer les modèles et de
déployer son propre réseau de proxy, il existe de nombreuses
contraintes pour les opérer et les maintenir face à de nombreuses
menaces (censure, captchas, blacklist, etc.). Cette présentation
propose donc de revenir rapidement sur les technologies
d'anonymisation puis de prendre un angle menace vs solution avec
le point de vue du réseau de proxies , supporté par un retour
d'expérience lié au déploiement du réseau Snowpack.
Baptiste POLVÉ, co-fondateur et directeur technique de la société
Snowpack, est ingénieur Telecom SudParis 2018 et expert en sécurité
des systèmes d’information (ESSI) certifié par l’ANSSI. Baptiste a
précédemment travaillé au CEA List en tant que chercheur sur la
sécurité des réseaux et des protocoles ainsi que sur les systèmes de
détection et de réponse aux cyberattaques. Il était responsable du
développement du système de détection d’intrusions du LSC (Sigmo-IDS),
de plusieurs projets européens et industriels, et est co-auteur de
brevets et publications scientifiques.