Séminaire des étudiants et anciens le 19 octobre 23

Ce séminaire, destiné aux étudiants de Télécom SudParis en cybersécurité et aux anciens élèves, aura lieu à Palaiseau, dans le bâtiment IMT/TP/TSP, à partir de 15h. Il sera suivi, à partir de 18h30, d'un cocktail dînatoire à l'Entrepôtes 19, près du bâtiment TP/TSP.

Programme

  • 14h : Café
  • 15h : Grégory Blanc, Christophe Kiennert et Olivier Levillain - Accueil
  • 15h15 : Clément Parssegny (ANSSI) - Utilisation de l'apprentissage automatique pour la détection de canaux de Command and Control
  • 15h45 : Mathieu Touloucanon (CEA) - Analyse et perçage de packers d'exécutables
  • 16h30 : Pause
  • 17h : François Boutigny (Nokia) - Microservice behavior analysis for telco networks: overview and perspectives
  • 17h45 : Baptiste Polvé (SnowPack) - Au delà des techniques d'anonymisation, enjeux du déploiement des proxies
  • 18h30 : Rump Session
  • 19h environ : Cocktail dînatoire à l'Entrepôtes 19 près du bâtiment TP/TSP

Clément Parssegny (ANSSI) - Utilisation de l'apprentissage automatique pour la détection de canaux de Command and Control

Ces dernières décennies, le chiffrement progressif des communications transitant sur les réseaux a contribué à l'amélioration de la confidentialité et de l'intégrité des données des utilisateurs. Cependant, cette évolution a eu un impact important sur les capacités de détection d'attaques. L'utilisation de techniques d'apprentissage automatique sur les métadonnées du trafic réseau sont alors une piste pour analyser le trafic réseau à la recherche de canaux de Command and Control, potentiellement camouflés en trafic bénin.

Clément PARSSEGNY est diplômé de Télécom SudParis et de l'Institut Polytechnique de Paris. Il est actuellement étudiant en thèse en collaboration avec l'équipe SCN du laboratoire SAMOVAR sur l'apport des méthodes de prise d'empreinte à la détection d'intrusion.

Mathieu Touloucanon (CEA) - Analyse et perçage de packers d'exécutables

Les obscurcissements de type packer, notamment les machines virtuelles rendent complexe l’analyse de binaire. En effet, celles-ci permettent de compiler le programme initial dans une architecture virtuelle, puis d’exécuter le programme dans cette architecture à l’aide d’un émulateur contenu dans le programme.

Particulièrement, lorsque des packers sont combinés à d’autres techniques d’obscurcissement, ils peuvent faire perdre un temps précieux dans le cas d’une réponse à incident. Le stage présenté propose d’analyser un packer et de mettre en place les outils nécessaires à la suppression de cette protection dans le framework Miasm.

Matthieu TOULOUCANON est diplômé en 2023 de Télécom SudParis. Ayant suivi la VAP SSR, il a conclu ses études par un stage au CEA.

François Boutigny (Nokia) - Microservice behavior analysis for telco networks: overview and perspectives

The microservice behavior analysis (MBA) team in Nokia Bell Labs is researching means to detect microservice behavior anomalies that could be sign of malicious activities, and investigates this topic with respect to the telco environment. This presentation will provide the audience an overview of our solution and our perspectives.

The telco industry is shifting to a cloud-native architecture where network functions become stateless, containerized microservices communicating through a service-based interface. Effort has be made in 5G for the core network and is likely to be expanded in 6G to the radio access network. However the domain of software security remains elusive and the multiplicity of software components and their complex dependencies opens the telco industry to new threats. A new security model is needed that assumes breaches to be inevitable, so we need to constantly monitor software components and look for anomalous or malicious activity.

Our approach consists of building a baseline of the good behavior of a software component, and then monitor the software component's behavior in operation to look for and detect deviations to its baseline. We model the behavior based on the internal state of the software component and its interactions with the operating system. Our solution can be integrated seamlessly into the CI/CD pipeline of a telco vendor as well as into a cloud-based monitoring system of a communication service provider.

François BOUTIGNY est diplômé en 2015 de Télécom SudParis. Il a ensuite réalisé une thèse CIFRE au sein des Nokia Bell Labs, conjointement avec Télécom SudParis, qu'il a défendu en décembre 2019. Il est depuis ingénieur de recherche au sein du même laboratoire, et s'intéresse à la sécurité des microservices.

Baptiste Polvé (SnowPack) - Au delà des techniques d'anonymisation, enjeux du déploiement des proxies

Les techniques communes d'anonymisation: VPN, TOR, I2P, Nym ou même Snowpack sont toutes basées sur l'utilisation des proxies. Si au premier abord, il paraît très simple de répliquer les modèles et de déployer son propre réseau de proxy, il existe de nombreuses contraintes pour les opérer et les maintenir face à de nombreuses menaces (censure, captchas, blacklist, etc.). Cette présentation propose donc de revenir rapidement sur les technologies d'anonymisation puis de prendre un angle menace vs solution avec le point de vue du réseau de proxies , supporté par un retour d'expérience lié au déploiement du réseau Snowpack.

Baptiste POLVÉ, co-fondateur et directeur technique de la société Snowpack, est ingénieur Telecom SudParis 2018 et expert en sécurité des systèmes d’information (ESSI) certifié par l’ANSSI. Baptiste a précédemment travaillé au CEA List en tant que chercheur sur la sécurité des réseaux et des protocoles ainsi que sur les systèmes de détection et de réponse aux cyberattaques. Il était responsable du développement du système de détection d’intrusions du LSC (Sigmo-IDS), de plusieurs projets européens et industriels, et est co-auteur de brevets et publications scientifiques.