Séminaire des étudiants et anciens le 19 octobre 23

Ce séminaire, destiné aux étudiants de Télécom SudParis en cybersécurité et aux anciens élèves, aura lieu à Palaiseau, dans le bâtiment IMT/TP/TSP, à partir de 15h. Il sera suivi, à partir de 18h30, d'un cocktail dînatoire à l'Entrepôtes 19, près du bâtiment TP/TSP.

Si vous souhaitez présenter une rump (une intervention courte de moins de 5 minutes, pendant la session dédiée en fin d'après-midi), vous pouvez nous envoyer un mail avec le titre de votre rump jusqu'au 19 octobre 15h.

Programme

14h : Café
15h : Grégory Blanc, Christophe Kiennert et Olivier Levillain - Accueil
15h15 : Clément Parssegny (ANSSI) - Utilisation de l'apprentissage automatique pour la détection de canaux de Command and Control
15h45 : Mathieu Touloucanon (CEA) - Analyse et perçage de packers d'exécutables
16h30 : Pause
17h : François Boutigny (Nokia) - Microservice behavior analysis for telco networks: overview and perspectives
17h45 : Baptiste Polvé (SnowPack) - Au delà des techniques d'anonymisation, enjeux du déploiement des proxies
18h30 : Rump Session
- Christel Berthier - Quelques mots sur les Alumni TSP
- Rémi Di Valentin - Présentation d'offres de stages chez Thales
- Clément Parssegny - Reproduction automatisée d'environnements contrôlés vulérables à une faille logicielle
- Yann Cantais - Sécurisation par contrôle d'accès réseau (NAC)
- Quentin Michaud - Sécurité de l'exécution de workloads distribués et portables sur des appareils distants et contraints situés au far edge
- Olivier Levillain - De l'anticipation dans la préparation d'un événement
19h environ : Cocktail dînatoire à l'Entrepôtes 19 près du bâtiment TP/TSP

Clément Parssegny (ANSSI) - Utilisation de l'apprentissage automatique pour la détection de canaux de Command and Control

Ces dernières décennies, le chiffrement progressif des communications transitant sur les réseaux a contribué à l'amélioration de la confidentialité et de l'intégrité des données des utilisateurs. Cependant, cette évolution a eu un impact important sur les capacités de détection d'attaques. L'utilisation de techniques d'apprentissage automatique sur les métadonnées du trafic réseau sont alors une piste pour analyser le trafic réseau à la recherche de canaux de Command and Control, potentiellement camouflés en trafic bénin.

Clément PARSSEGNY est diplômé de Télécom SudParis et de l'Institut Polytechnique de Paris. Il est actuellement étudiant en thèse en collaboration avec l'équipe SCN du laboratoire SAMOVAR sur l'apport des méthodes de prise d'empreinte à la détection d'intrusion.

Mathieu Touloucanon (CEA) - Analyse et perçage de packers d'exécutables

Les obscurcissements de type packer, notamment les machines virtuelles rendent complexe l’analyse de binaire. En effet, celles-ci permettent de compiler le programme initial dans une architecture virtuelle, puis d’exécuter le programme dans cette architecture à l’aide d’un émulateur contenu dans le programme.

Particulièrement, lorsque des packers sont combinés à d’autres techniques d’obscurcissement, ils peuvent faire perdre un temps précieux dans le cas d’une réponse à incident. Le stage présenté propose d’analyser un packer et de mettre en place les outils nécessaires à la suppression de cette protection dans le framework Miasm.

Matthieu TOULOUCANON est diplômé en 2023 de Télécom SudParis. Ayant suivi la VAP SSR, il a conclu ses études par un stage au CEA.

François Boutigny (Nokia) - Microservice behavior analysis for telco networks: overview and perspectives

The microservice behavior analysis (MBA) team in Nokia Bell Labs is researching means to detect microservice behavior anomalies that could be sign of malicious activities, and investigates this topic with respect to the telco environment. This presentation will provide the audience an overview of our solution and our perspectives.

The telco industry is shifting to a cloud-native architecture where network functions become stateless, containerized microservices communicating through a service-based interface. Effort has be made in 5G for the core network and is likely to be expanded in 6G to the radio access network. However the domain of software security remains elusive and the multiplicity of software components and their complex dependencies opens the telco industry to new threats. A new security model is needed that assumes breaches to be inevitable, so we need to constantly monitor software components and look for anomalous or malicious activity.

Our approach consists of building a baseline of the good behavior of a software component, and then monitor the software component's behavior in operation to look for and detect deviations to its baseline. We model the behavior based on the internal state of the software component and its interactions with the operating system. Our solution can be integrated seamlessly into the CI/CD pipeline of a telco vendor as well as into a cloud-based monitoring system of a communication service provider.

François BOUTIGNY est diplômé en 2015 de Télécom SudParis. Il a ensuite réalisé une thèse CIFRE au sein des Nokia Bell Labs, conjointement avec Télécom SudParis, qu'il a défendu en décembre 2019. Il est depuis ingénieur de recherche au sein du même laboratoire, et s'intéresse à la sécurité des microservices.

Baptiste Polvé (SnowPack) - Au delà des techniques d'anonymisation, enjeux du déploiement des proxies

Les techniques communes d'anonymisation: VPN, TOR, I2P, Nym ou même Snowpack sont toutes basées sur l'utilisation des proxies. Si au premier abord, il paraît très simple de répliquer les modèles et de déployer son propre réseau de proxy, il existe de nombreuses contraintes pour les opérer et les maintenir face à de nombreuses menaces (censure, captchas, blacklist, etc.). Cette présentation propose donc de revenir rapidement sur les technologies d'anonymisation puis de prendre un angle menace vs solution avec le point de vue du réseau de proxies , supporté par un retour d'expérience lié au déploiement du réseau Snowpack.

Baptiste POLVÉ, co-fondateur et directeur technique de la société Snowpack, est ingénieur Telecom SudParis 2018 et expert en sécurité des systèmes d’information (ESSI) certifié par l’ANSSI. Baptiste a précédemment travaillé au CEA List en tant que chercheur sur la sécurité des réseaux et des protocoles ainsi que sur les systèmes de détection et de réponse aux cyberattaques. Il était responsable du développement du système de détection d’intrusions du LSC (Sigmo-IDS), de plusieurs projets européens et industriels, et est co-auteur de brevets et publications scientifiques.

Rump Sessions

TODO - TODO
TODO - TODO
TODO - TODO
TODO - TODO
TODO - TODO

Séminaire des étudiants et anciens le 11 octobre 22

Ce séminaire, destiné aux étudiants de Télécom SudParis en cybersécurité et aux anciens élèves, aura lieu à Palaiseau, dans le bâtiment IMT/TP/TSP, à partir de 13h30. Le séminaire aura lieu en Amphi 5. Il sera suivi, à partir de 18h30, d'un cocktail dînatoire à l'Entrepôtes 19, près du bâtiment TP/TSP.

Programme

13h30 : Café
14h : Grégory Blanc, Christophe Kiennert et Olivier Levillain - Accueil
14h15 : Constance Chou (Thales) - Web Application Firewall : enjeux, fonctionnement et étude
14h45 : Martin Spiering, Matthieu Touloucanon et Quentin Michaud (HackademINT) - 404 CTF
15h15 : Ministère de l'Intérieur - Analyse de flux chiffré en entreprise pour la détection d'incident de sécurité
15h45 : Pause
16h30 : Amré Abouali (Cybershen) - Ancien RSSI & Entrepreneur
17h : Olivier Levillain (TSP) - Influence de la qualité des spécifications sur la sécurité logicielle
17h30 : Rump Session
18h30 : Cocktail dînatoire à l'Entrepôtes 19 près du bâtiment TP/TSP

Constance Chou - Web Application Firewall : enjeux, fonctionnement et étude

Après une présentation de la technologie des Web Application Firewalls (ou pare-feu applicatifs), et de leurs enjeux, Mme Chou discutera des différents types de solutions WAF et des critères classiques d'évaluation de leurs performances. Cette présentation présentera les intérêts et limitations d'une telle solution, ainsi que l'écosystème dans lequel cette technologie s'inscrit.

Constance Chou est diplômée de Télécom SudParis (promotion 2021). Elle a suivi la VAP SSR et a reçu le titre ESSI de l'ANSSI. Elle a également obtenu le Prix Jeunes National André Blanc‐Lapierre, attribué par la Société de l'électricité, de l'électronique et des technologies de l'information et de la communication pour son stage de fin d’études effectué chez Thales SIX GTS France et intitulé : « Étude et intégration de pare-feu applicatifs ».

Lien vers les planches

Martin Spiering, Matthieu Touloucanon et Quentin Michaud (HackademINT) - 404 CTF

Plusieurs membres du club HackademINT présenteront leur retour sur l'organisation du 404 CTF, une compétition de sécurité qui s'est déroulée au printemps 2022, et qui était organisée par Télécom SudParis, en partenariat avec la DGSE et OVHcloud.

Martin Spiering présentera la mise en place de l'infra (kubernetes, rancher, docker...) en abordant les sécurités réseaux et les attaques (notamment bruteforce) subies pendant la compétition, ainsi que les mesures appliquées.

Matthieu Touloucanon insistera ensuite sur la sécurité système des Docker utilisés, notamment pour les challenges de la catégorie pwn (mais pas seulement), avec les bonnes pratiques Docker à suivre et l'utilisation de nsjail.

Enfin, Quentin Michaud présentera l'interface utilisée pour gérer la validation des challenges (CTFd), avec les modifications effectuées pour l'adapter à l'infrastructure du 404 CTF et supprimer un bug concernant s3. Ce sera l'occasion de discuter des avantages et inconvénients de l'open source qui découle de cette expérience.

MM. Spiering, Touloucanon et Michaud sont étudiants en 3e année à Télécom SudParis (promo 2023), actuellement en VAP SSR.

Lien vers les planches

Ministère de l'Intérieur - Analyse de flux chiffré en entreprise pour la détection d'incident de sécurité

Les communications en clair sur Internet et dans les environnements à hautes exigences de sécurité sont vouées à disparaître. L'adoption massive ces dernières années de l'utilisation par défaut des protocoles de chiffrement est en passe de devenir une quasi-exclusivité.

D'un autre point de vue, le chiffrement des flux constitue cependant un obstacle à la détection de comportements malveillants sur les systèmes d'information.

Après un rappel du fonctionnement de TLS, trois approches permettant l'analyse de flux chiffré seront présentées. Les enjeux et limitations seront discutés pour chacune des approches.

Amré Abouali (Cybershen) - Ancien RSSI & Entrepreneur

Amré Abouali est diplômé de Télécom SudParis (promotion 2017). Il a suivi la VAP SSR et a reçu le titre ESSI de l'ANSSI. Après avoir occupé deux postes de RSSI dans des environnements sensibles liés à la santé, il est aujourd'hui indépendant et entrepreneur dans le monde de la cybersécurité.

Olivier Levillain (TSP) - Influence de la qualité des spécifications sur la sécurité logicielle

Les systèmes d'information que nous utilisons quotidiennement sont d'une grande complexité. Ils reposent en particulier sur l'implémentation de protocoles réseau et sur l'interprétation de documents aux formats variés. Cette présentation traitera des spécifications décrivant ces protocoles et ces formats.

En particulier, il sera question de la manière dont ils sont spécifiés et des conséquences de cette manière sur la sécurité de leurs implémentations. Les exemples utilisés seront Mini-PNG, un format d'images utilisé dans un module d'enseignement en programmation, mais également le format PDF et le protocole TLS.

Olivier Levillain est maître de conférences en cybersécurité à Télécom SudParis.

Lien vers les planches

Rump Sessions

Constance Chou - Développement en cycle en V et IVVQ
Rémi Di Valentin et Yadi Huang - Offres IVVQ Cyber Thales
Ministère de l'Intérieur - Présentation d'une offre de stage de développement d'outil de sécurité pour le traitement de fichiers
Grégory Blanc et Olivier Levillain - Séminaire CoaP (Cybersecurity on a Plate / la cybersécurité sur un plateau)
Florian Martin - BlueTeam vs SMB
Romain Cherré - Filtrage et DNS : RPZ et XDP
Mathieu Degré - Introduction aux réseaux euclidiens (lattices)

Séminaire SCN

Billet dans la catégorie Anciens