Séminaire des étudiants et anciens (C4 - Cybersécurité, Confiance numérique, Cocktails et Collations) le 24 octobre 24

Ce séminaire, destiné aux étudiants de Télécom SudParis en cybersécurité et aux anciens élèves, aura lieu à Palaiseau, dans le bâtiment IMT/TP/TSP, en Amphi 2, à partir de 14h. Il sera suivi, à partir de 19h, d'un cocktail dînatoire à l'Entrepôtes 19, près du bâtiment TP/TSP.

Si vous souhaitez présenter une rump (une intervention courte de moins de 5 minutes, pendant la session dédiée en fin d'après-midi), vous pouvez nous envoyer un mail avec le titre de votre rump jusqu'au 24 octobre 14h.

Programme

13h30 : Café
14h00 : Grégory Blanc, Christophe Kiennert et Olivier Levillain - Accueil
14h15 : Marie Tcholakian (Banque de France) - IRMA : Détection automatique de mails malveillants
14h45 : Grégory Blanc (Télécom SudParis) - Learning-based Network Intrusion Detection: Are We There Yet?
15h30 : Ayoub Elaassal (Qonto) - Détruire les idées reçues en matière de Cybersécurité
16h00 : Pause
16h30 : Clément Safon (Thales) - Sécurité des Systèmes d'Exploitation basés sur GNU/Linux : Etat de l'art des technologies AppArmor et SELinux
17h15 : Elouan Gros (Astran) - Implementing Multi-Party Computation for Practical Use
18h00 : Rump Session
19h environ : Cocktail dînatoire à l'Entrepôtes 19 près du bâtiment TP/TSP
- C. Berthier - Quelques mots concernant les alumni
- A. Gicquel - SOCKSQLmap
- C. Parssegny - Les RFC : mais cé quoi ce poulé ?
- R. Di Valentin - Instant Pub Thales Six
- O. Levillain - Proposition de stage sur la reproduction de vulnérabilités logicielles
- K. Gorna - Vulnerability Detection Model for Blockchains Layers 2 Software Clients
- Q. Michaud et N. Peiffer - Stages Cybersécurité et IA / LLM à Thales cortAIx Labs (Palaiseau)

Marie Tcholakian (Banque de France) - IRMA : Détection automatique de mails malveillants

Pour la sécurité de la Banque de France, les utilisateurs de son service mail ont la possibilité de signaler les mais reçus qu’ils trouvent suspects.

En aval, ces signalements sont traités manuellement par des employés du SOC, qui les classent selon différentes catégories (hameçonnage, arnaque, spam, légitime, etc.). Ce traitement est souvent considéré comme chronophage et redondant.

Nous avons voulu expérimenter l'utilisation de modèle d'apprentissage pour prédire la qualification d'un mail. C'est la naissance d'IRMA. Basée sur le grand modèle de langage (LLM) camemBERT et des données d'apprentissage issues de traitements réels du SOC, elle est capable de prédire la catégorisation de nouveaux mails avec un bon taux de confiance.

Grégory Blanc (Télécom SudParis) - Learning-based Network Intrusion Detection: Are We There Yet?

For more than 40 years, intrusion detection systems (IDS) have been developed to produce monitoring reports of potential threats. Because the threat landscape is highly dynamic, signature-based network-based IDS (NIDS) are struggling to cope with the amount of threat data. Machine learning (ML) methods have not only the potential to address this data explosion but also to shift the paradigm to more behavior- and anomaly-based detection. Surprisingly, the maturity of such solutions is not production-ready while ML thrives in other domains such as computer vision or natural language processing. In this talk, we are reviewing the products of ML-based NIDS academic research and provide analysis to why it has not yet fulfilled its promises.

Ayoub Elaassal (Qonto) - Détruire les idées reçues en matière de Cybersécurité

Pour citer un confrère en sécurité : « La sécurité est un échec. » Les entreprises peuvent dépenser des millions de dollars en outils, en recrutement et en un SOC flambant neuf, et pourtant se font pirater plus vite qu’un tour de Space Mountain. Que se passe-t-il ? Je crois que cette dissonance est le résultat d’un mauvais focus et de mauvaises hypothèses. L’équipe de sécurité ne travaille pas sur les bons sujets à la bonne vitesse. Ils n’ont pas la bonne approche et suivent aveuglément les nombreuses fausses idées qui gangrènent cette industrie. Cette présentation va déconstruire certaines des idées reçues les plus répandues.

Biographie : Ayoub El Aassal, de la promotion 2013 de Télécom SudParis (TSP), a commencé sa carrière comme pentester et enquêteur en incidents de cybersécurité, explorant divers environnements techniques, d’AWS aux mainframes. Il a présenté plusieurs vulnérabilités et outils lors de conférences comme DEF CON et Black Hat. Il occupe actuellement le poste de Directeur Cybersécurité à Qonto, une fintech classée au Next 40.

Clément Safon (Thales) - Sécurité des Systèmes d'Exploitation basés sur GNU/Linux : Etat de l'art des technologies AppArmor et SELinux

Sur la base de l'expérience et des compétences techniques acquises lors du stage de fin d’études, cet exposé explore le durcissement des systèmes d’exploitation en étudiant AppArmor et SELinux. Après une introduction aux principes fondamentaux du durcissement des OS sous GNU/Linux, nous mettrons l’accent sur ces deux solutions de sécurité. Nous détaillerons le fonctionnement de ces deux Linux Security Modules (LSM), en abordant leurs concepts clés, leurs applications et divers cas d’usage. Enfin, nous pourrons approfondir certains mécanismes avancés afin d'illustrer des scénarios d’utilisation plus complexes et d’évaluer les forces et limites de ces technologies en environnement opérationnel.

Biographie : Clément Safon est diplômé de Télécom SudParis (VAP SSR - promo. 2024) et vient de débuter sa carrière chez Thales où il s'attelle au durcissement de systèmes d’exploitation GNU/Linux dans la continuité de son stage. Ce domaine l'intéresse particulièrement par son approche rigoureuse, ainsi que pour la compréhension fine des mécanismes d’attaque et des stratégies de défense en profondeur que cela requiert.

Elouan Gros (Astran) - Implementing Multi-Party Computation for Practical Use

Secure Multi-Party Computing, or MPC for short, is a field of cryptography concerned with devising means for groups of individuals to jointly evaluate functions over private inputs they wish to keep secret from each other. It is a powerful and versatile tool that may be used to implement arbitrary primitives from AES encryption to privacy-preserving machine learning. Despite its qualities, MPC mostly remains a theoretical tool, seeing very little use in practice. In this talk I present the results of my internship, in which I attempted to prove that MPC is viable for industrial use.

Séminaire des étudiants et anciens le 19 octobre 23

Ce séminaire, destiné aux étudiants de Télécom SudParis en cybersécurité et aux anciens élèves, aura lieu à Palaiseau, dans le bâtiment IMT/TP/TSP, à partir de 15h. Il sera suivi, à partir de 18h30, d'un cocktail dînatoire à l'Entrepôtes 19, près du bâtiment TP/TSP.

Programme

14h : Café
15h : Grégory Blanc, Christophe Kiennert et Olivier Levillain - Accueil
15h15 : Clément Parssegny (ANSSI) - Utilisation de l'apprentissage automatique pour la détection de canaux de Command and Control
15h45 : Mathieu Touloucanon (CEA) - Analyse et perçage de packers d'exécutables
16h30 : Pause
17h : François Boutigny (Nokia) - Microservice behavior analysis for telco networks: overview and perspectives
17h45 : Baptiste Polvé (SnowPack) - Au delà des techniques d'anonymisation, enjeux du déploiement des proxies
18h30 : Rump Session
- Christel Berthier - Quelques mots sur les Alumni TSP
- Rémi Di Valentin - Présentation d'offres de stages chez Thales
- Clément Parssegny - Reproduction automatisée d'environnements contrôlés vulérables à une faille logicielle
- Yann Cantais - Sécurisation par contrôle d'accès réseau (NAC)
- Quentin Michaud - Sécurité de l'exécution de workloads distribués et portables sur des appareils distants et contraints situés au far edge
- Olivier Levillain - De l'anticipation dans la préparation d'un événement
19h environ : Cocktail dînatoire à l'Entrepôtes 19 près du bâtiment TP/TSP

Clément Parssegny (ANSSI) - Utilisation de l'apprentissage automatique pour la détection de canaux de Command and Control

Ces dernières décennies, le chiffrement progressif des communications transitant sur les réseaux a contribué à l'amélioration de la confidentialité et de l'intégrité des données des utilisateurs. Cependant, cette évolution a eu un impact important sur les capacités de détection d'attaques. L'utilisation de techniques d'apprentissage automatique sur les métadonnées du trafic réseau sont alors une piste pour analyser le trafic réseau à la recherche de canaux de Command and Control, potentiellement camouflés en trafic bénin.

Clément PARSSEGNY est diplômé de Télécom SudParis et de l'Institut Polytechnique de Paris. Il est actuellement étudiant en thèse en collaboration avec l'équipe SCN du laboratoire SAMOVAR sur l'apport des méthodes de prise d'empreinte à la détection d'intrusion.

Mathieu Touloucanon (CEA) - Analyse et perçage de packers d'exécutables

Les obscurcissements de type packer, notamment les machines virtuelles rendent complexe l’analyse de binaire. En effet, celles-ci permettent de compiler le programme initial dans une architecture virtuelle, puis d’exécuter le programme dans cette architecture à l’aide d’un émulateur contenu dans le programme.

Particulièrement, lorsque des packers sont combinés à d’autres techniques d’obscurcissement, ils peuvent faire perdre un temps précieux dans le cas d’une réponse à incident. Le stage présenté propose d’analyser un packer et de mettre en place les outils nécessaires à la suppression de cette protection dans le framework Miasm.

Matthieu TOULOUCANON est diplômé en 2023 de Télécom SudParis. Ayant suivi la VAP SSR, il a conclu ses études par un stage au CEA.

François Boutigny (Nokia) - Microservice behavior analysis for telco networks: overview and perspectives

The microservice behavior analysis (MBA) team in Nokia Bell Labs is researching means to detect microservice behavior anomalies that could be sign of malicious activities, and investigates this topic with respect to the telco environment. This presentation will provide the audience an overview of our solution and our perspectives.

The telco industry is shifting to a cloud-native architecture where network functions become stateless, containerized microservices communicating through a service-based interface. Effort has be made in 5G for the core network and is likely to be expanded in 6G to the radio access network. However the domain of software security remains elusive and the multiplicity of software components and their complex dependencies opens the telco industry to new threats. A new security model is needed that assumes breaches to be inevitable, so we need to constantly monitor software components and look for anomalous or malicious activity.

Our approach consists of building a baseline of the good behavior of a software component, and then monitor the software component's behavior in operation to look for and detect deviations to its baseline. We model the behavior based on the internal state of the software component and its interactions with the operating system. Our solution can be integrated seamlessly into the CI/CD pipeline of a telco vendor as well as into a cloud-based monitoring system of a communication service provider.

François BOUTIGNY est diplômé en 2015 de Télécom SudParis. Il a ensuite réalisé une thèse CIFRE au sein des Nokia Bell Labs, conjointement avec Télécom SudParis, qu'il a défendu en décembre 2019. Il est depuis ingénieur de recherche au sein du même laboratoire, et s'intéresse à la sécurité des microservices.

Baptiste Polvé (SnowPack) - Au delà des techniques d'anonymisation, enjeux du déploiement des proxies

Les techniques communes d'anonymisation: VPN, TOR, I2P, Nym ou même Snowpack sont toutes basées sur l'utilisation des proxies. Si au premier abord, il paraît très simple de répliquer les modèles et de déployer son propre réseau de proxy, il existe de nombreuses contraintes pour les opérer et les maintenir face à de nombreuses menaces (censure, captchas, blacklist, etc.). Cette présentation propose donc de revenir rapidement sur les technologies d'anonymisation puis de prendre un angle menace vs solution avec le point de vue du réseau de proxies , supporté par un retour d'expérience lié au déploiement du réseau Snowpack.

Baptiste POLVÉ, co-fondateur et directeur technique de la société Snowpack, est ingénieur Telecom SudParis 2018 et expert en sécurité des systèmes d’information (ESSI) certifié par l’ANSSI. Baptiste a précédemment travaillé au CEA List en tant que chercheur sur la sécurité des réseaux et des protocoles ainsi que sur les systèmes de détection et de réponse aux cyberattaques. Il était responsable du développement du système de détection d’intrusions du LSC (Sigmo-IDS), de plusieurs projets européens et industriels, et est co-auteur de brevets et publications scientifiques.

Séminaire des étudiants et anciens le 11 octobre 22

Ce séminaire, destiné aux étudiants de Télécom SudParis en cybersécurité et aux anciens élèves, aura lieu à Palaiseau, dans le bâtiment IMT/TP/TSP, à partir de 13h30. Le séminaire aura lieu en Amphi 5. Il sera suivi, à partir de 18h30, d'un cocktail dînatoire à l'Entrepôtes 19, près du bâtiment TP/TSP.

Programme

13h30 : Café
14h : Grégory Blanc, Christophe Kiennert et Olivier Levillain - Accueil
14h15 : Constance Chou (Thales) - Web Application Firewall : enjeux, fonctionnement et étude
14h45 : Martin Spiering, Matthieu Touloucanon et Quentin Michaud (HackademINT) - 404 CTF
15h15 : Ministère de l'Intérieur - Analyse de flux chiffré en entreprise pour la détection d'incident de sécurité
15h45 : Pause
16h30 : Amré Abouali (Cybershen) - Ancien RSSI & Entrepreneur
17h : Olivier Levillain (TSP) - Influence de la qualité des spécifications sur la sécurité logicielle
17h30 : Rump Session
18h30 : Cocktail dînatoire à l'Entrepôtes 19 près du bâtiment TP/TSP

Constance Chou - Web Application Firewall : enjeux, fonctionnement et étude

Après une présentation de la technologie des Web Application Firewalls (ou pare-feu applicatifs), et de leurs enjeux, Mme Chou discutera des différents types de solutions WAF et des critères classiques d'évaluation de leurs performances. Cette présentation présentera les intérêts et limitations d'une telle solution, ainsi que l'écosystème dans lequel cette technologie s'inscrit.

Constance Chou est diplômée de Télécom SudParis (promotion 2021). Elle a suivi la VAP SSR et a reçu le titre ESSI de l'ANSSI. Elle a également obtenu le Prix Jeunes National André Blanc‐Lapierre, attribué par la Société de l'électricité, de l'électronique et des technologies de l'information et de la communication pour son stage de fin d’études effectué chez Thales SIX GTS France et intitulé : « Étude et intégration de pare-feu applicatifs ».

Lien vers les planches

Martin Spiering, Matthieu Touloucanon et Quentin Michaud (HackademINT) - 404 CTF

Plusieurs membres du club HackademINT présenteront leur retour sur l'organisation du 404 CTF, une compétition de sécurité qui s'est déroulée au printemps 2022, et qui était organisée par Télécom SudParis, en partenariat avec la DGSE et OVHcloud.

Martin Spiering présentera la mise en place de l'infra (kubernetes, rancher, docker...) en abordant les sécurités réseaux et les attaques (notamment bruteforce) subies pendant la compétition, ainsi que les mesures appliquées.

Matthieu Touloucanon insistera ensuite sur la sécurité système des Docker utilisés, notamment pour les challenges de la catégorie pwn (mais pas seulement), avec les bonnes pratiques Docker à suivre et l'utilisation de nsjail.

Enfin, Quentin Michaud présentera l'interface utilisée pour gérer la validation des challenges (CTFd), avec les modifications effectuées pour l'adapter à l'infrastructure du 404 CTF et supprimer un bug concernant s3. Ce sera l'occasion de discuter des avantages et inconvénients de l'open source qui découle de cette expérience.

MM. Spiering, Touloucanon et Michaud sont étudiants en 3e année à Télécom SudParis (promo 2023), actuellement en VAP SSR.

Lien vers les planches

Ministère de l'Intérieur - Analyse de flux chiffré en entreprise pour la détection d'incident de sécurité

Les communications en clair sur Internet et dans les environnements à hautes exigences de sécurité sont vouées à disparaître. L'adoption massive ces dernières années de l'utilisation par défaut des protocoles de chiffrement est en passe de devenir une quasi-exclusivité.

D'un autre point de vue, le chiffrement des flux constitue cependant un obstacle à la détection de comportements malveillants sur les systèmes d'information.

Après un rappel du fonctionnement de TLS, trois approches permettant l'analyse de flux chiffré seront présentées. Les enjeux et limitations seront discutés pour chacune des approches.

Amré Abouali (Cybershen) - Ancien RSSI & Entrepreneur

Amré Abouali est diplômé de Télécom SudParis (promotion 2017). Il a suivi la VAP SSR et a reçu le titre ESSI de l'ANSSI. Après avoir occupé deux postes de RSSI dans des environnements sensibles liés à la santé, il est aujourd'hui indépendant et entrepreneur dans le monde de la cybersécurité.

Olivier Levillain (TSP) - Influence de la qualité des spécifications sur la sécurité logicielle

Les systèmes d'information que nous utilisons quotidiennement sont d'une grande complexité. Ils reposent en particulier sur l'implémentation de protocoles réseau et sur l'interprétation de documents aux formats variés. Cette présentation traitera des spécifications décrivant ces protocoles et ces formats.

En particulier, il sera question de la manière dont ils sont spécifiés et des conséquences de cette manière sur la sécurité de leurs implémentations. Les exemples utilisés seront Mini-PNG, un format d'images utilisé dans un module d'enseignement en programmation, mais également le format PDF et le protocole TLS.

Olivier Levillain est maître de conférences en cybersécurité à Télécom SudParis.

Lien vers les planches

Rump Sessions

Constance Chou - Développement en cycle en V et IVVQ
Rémi Di Valentin et Yadi Huang - Offres IVVQ Cyber Thales
Ministère de l'Intérieur - Présentation d'une offre de stage de développement d'outil de sécurité pour le traitement de fichiers
Grégory Blanc et Olivier Levillain - Séminaire CoaP (Cybersecurity on a Plate / la cybersécurité sur un plateau)
Florian Martin - BlueTeam vs SMB
Romain Cherré - Filtrage et DNS : RPZ et XDP
Mathieu Degré - Introduction aux réseaux euclidiens (lattices)

Séminaire SCN

Billet dans la catégorie Anciens