8:45AM - 9:00AM | Mots d'ouverture 9:00AM - 9:30AM | Benoit Dupont La recherche en cybersécurité doit-elle s'intéresser davantage à la criminologie (et vice-versa) ? 9:30AM – 10:00AM | Evan Grant Contournement de l'authentification sur plus de 20 routeurs Arcadyan et rootage de certains routeurs Buffalo : Une description de ma première expérience de piratage d'un routeur 10:00AM – 10:30AM | Yuan Stevens & ; Stephanie Tran Vous avez vu quelque chose, vous avez dit quelque chose ? Comment le Canada coordonne la divulgation des vulnérabilités 10:30AM – 10:45AM | Pause 10:45AM – 11:15AM | Olivier Michaud Extraction automatique du contenu des forums de Criminal Underground 11:15AM – 11 :45AM | Gabrielle Botbol Résoudre les vulnérabilités de la sécurité web grâce au pentesting 11:45AM – 12:15PM | Bruno Philippe & Yoan Schinck De la fiction à la réalité, une rétrospective de nos expériences en tant qu'équipe de réponse aux incidents 12:15PM – 1:15PM | Déjeuner servi dans la salle de conférence 1:15PM – 1:45PM | François Labrèche Renseignement sémantique sur les menaces à partir de discussions souterraines sur l'information scientifique et technique : une approche fondée sur l'apprentissage automatique 1:45PM – 2:15PM | Andréanne Bergeron Lumière sur la figure sombre de la cybercriminalité : Surveillance des délinquants en ligne au moyen d'une plate-forme de renseignement à source ouverte 2:15PM – 2:45PM | David Shipley Les programmes anti-hameçonnage sont-ils vraiment efficaces ? 2:45PM – 3:00PM | Pause 3:00PM – 3:30PM | Michael Joyce Plus qu'une simple sensibilisation : Éduquer pour motiver à la cybersécurité 3:30PM – 4:00PM | Philippe Arteau Introduction à la contrebande de requêtes 4:00PM – 4:30PM | Marc-Étienne Léveillé La recherche à l'échelle : Un an de balayage de l'Internet 4:30PM – 7:00PM | Cocktail
La “cybercriminalité” est un concept général utilisé par les criminologues pour désigner les infractions traditionnelles qui sont renforcées par l’utilisation des technologies en réseau (c’est-à-dire les infractions cybernétiques) et les nouvelles formes de criminalité qui n’existeraient pas sans les technologies en réseau (c’est-à-dire les infractions cyberdépendantes). La cybersécurité est également un concept très large et un domaine de pratique très diversifié. Pour les informaticiens, le terme “cybersécurité” fait généralement référence aux politiques, processus et pratiques mis en œuvre pour protéger les données, les réseaux et les systèmes contre tout accès non autorisé. La cybersécurité est utilisée dans des contextes infranationaux, nationaux et transnationaux pour désigner un éventail de plus en plus large de menaces. De plus en plus, la cybercriminalité est présentée comme une menace pour la cybersécurité, ce qui explique pourquoi les institutions nationales de sécurité s’impliquent progressivement dans les activités de contrôle et de prévention de la cybercriminalité. Cette présentation soutient que les domaines de la cybercriminologie et de la cybersécurité, qui sont actuellement séparés, ont grand besoin d’un plus grand engagement et d’une fertilisation croisée. Je m’appuie sur les concepts de “haute” et “basse” police (Brodeur, 2010) pour suggérer qu’il serait utile de considérer la “criminalité” et la “sécurité” sur le même continuum. Ce continuum comprend la cybercriminalité à une extrémité et la cybersécurité à l’autre, la criminalité relevant davantage du domaine de la “basse” police tandis que la sécurité, telle qu’elle est conceptualisée dans le contexte de projets spécifiques de cybersécurité, relève de la responsabilité des institutions de “haute” police. Cette approche unifiée m’aide à explorer la relation floue entre la cybercriminalité et la cybersécurité et à appeler à des alliances plus fructueuses entre les chercheurs en cybercriminalité et en cybersécurité. La présentation se déroule donc comme suit. Tout d’abord, j’examine plus en profondeur les origines des domaines de la cybercriminologie et de la cybersécurité. Cela nous permet non seulement d’expliquer plus en détail les divergences entre ces domaines cybernétiques, mais aussi de donner un aperçu de la manière dont ces différences peuvent être mieux gérées. Ensuite, je concentre le reste de ma présentation sur les dynamiques relationnelles qui relient les domaines de la cybercriminalité et de la cybersécurité, y compris les cyberdommages et les acteurs responsables de la prévention et du contrôle de ces dommages. En utilisant les concepts de “haute” et de “basse” police développés par Brodeur, je dessine un continuum entre la criminalité et la sécurité et j’observe qu’au milieu de ce continuum il y a une convergence, où la criminalité et la sécurité se rejoignent. Un nombre croissant de problèmes de cybersécurité occupent ce territoire, ce qui a des implications significatives pour le domaine cybernétique dans son ensemble. Je conclus ce document en réfléchissant à ces points de convergence et en suggérant des pistes de recherche pour l’avenir dans ce domaine.
Benoît Dupont est titulaire de la Chaire de recherche du Canada en cybersécurité et de la Chaire de recherche pour la prévention de la cybercriminalité (www.prevention-cybercrime.ca). Il est professeur de criminologie à l’Université de Montréal et directeur scientifique du Réseau de cybersécurité intelligente (SERENE-RISC), qu’il a fondé en 2014. Benoît Dupont Il siège également en tant qu’observateur représentant la communauté des chercheurs au conseil d’administration du Canadian Cyber Threat Exchange (CCTX). Il est membre du Conseil consultatif sur la cybercriminalité de CATAAlliance. Ses recherches actuelles portent sur la gouvernance de la sécurité et l’utilisation d’initiatives en réseau pour améliorer la sécurité en ligne et hors ligne, la coévolution de la criminalité et de la technologie, et en particulier l’organisation sociale des pirates informatiques malveillants, ainsi que la comparaison et l’évaluation internationales de politiques de cybersécurité efficaces et efficientes. Il a publié de nombreux articles dans ces domaines. En 2021, il a travaillé avec des étudiants en criminologie pour développer et lancer une clinique de cyberfraude en ligne afin de fournir aux victimes de la cybercriminalité le soutien et les informations dont elles ont besoin.
Dans cet exposé, j’expliquerai comment j’ai rooté mon premier routeur et comment, lors de la divulgation de ces vulnérabilités, j’ai découvert que l’un des problèmes était beaucoup plus répandu que je ne le pensais et qu’il affectait plus de 20 appareils provenant de 20 fournisseurs et de fournisseurs d’accès à l’internet (FAI) dans 11 pays. Inspiré par le travail de mes collègues, je me suis intéressé à la recherche d’un routeur et j’ai décidé d’acheter ce qui était, à l’époque, l’un des modèles les plus vendus sur Amazon Japon. Dans cet exposé, j’expliquerai comment obtenir un shell root sur les modèles de routeurs Buffalo WSR-2533 via leur interface UART et comment utiliser ce shell pour examiner de plus près le serveur http qui exécute l’interface graphique web. J’utiliserai Ghidra pour analyser le binaire httpd et trouver un chemin traversant qui pourrait conduire à un contournement de l’authentification, qui est finalement devenu CVE-2021-20090 et a affecté beaucoup d’autres appareils. Nous examinerons les étranges jetons XSRF que l’interface web utilise pour valider les requêtes et nous verrons qu’ils ressemblent à un défi de type “Capture the Flag”. Nous examinerons également la dernière vulnérabilité découverte dans les routeurs Buffalo (CVE-2021-20091) : une vulnérabilité d’injection de fichier de configuration qui conduit à un shell telnet root sur l’appareil. En outre, je parlerai du processus de découverte de nombreux autres dispositifs affectés et de la divulgation qui s’en est suivie, de la manière dont les dispositifs supplémentaires ont été découverts à l’aide d’outils tels que Shodan et BinaryEdge, et de la manière dont nous avons tiré parti de l’aide du centre de coordination du CERT pendant la divulgation. Enfin, j’expliquerai brièvement comment un bogue comme le CVE-2021-20090 n’aurait pas dû pouvoir exister pendant plus d’une décennie dans autant de dispositifs d’autant de grandes entreprises qu’il l’a fait, et pourquoi les vendeurs de routeurs grand public, et en particulier les FAI, doivent mieux tester la sécurité des dispositifs qu’ils fournissent à leurs clients.
Evan est basé à Halifax, en Nouvelle-Écosse, et travaille avec l’équipe de recherche Zero-Day chez Tenable. Il a travaillé dans la Réserve des Forces canadiennes pendant 8 ans en tant qu’opérateur de transmissions, tout en suivant des études d’ingénierie électrique à l’Université Dalhousie. Il a débuté dans le domaine de l’infosécurité en travaillant avec la Réserve des Forces canadiennes en tant que membre de l’équipe bleue des FC chargée d’évaluer les vulnérabilités. Chez Tenable, Evan a travaillé et géré l’équipe de détection des vulnérabilités en Amérique du Nord, écrivant des plugins pour Nessus et d’autres produits Tenable, avant de rejoindre l’équipe de recherche Zero-Day. Ses recherches portent sur tout ce qui touche au “cloud”, Microsoft Teams et Microsoft Power Platform, et plus récemment sur les appareils IoT et les routeurs et modems grand public. En dehors du travail, Evan aime faire de l’escalade et s’il a le temps à Montréal, il sera probablement chez Allez Up ou Bloc Shop, réalisant qu’il s’est beaucoup affaibli pendant la pandémie.
Le Canada est en retard sur ses pairs et ses alliés lorsqu’il s’agit de faciliter la divulgation des vulnérabilités de ses systèmes. Selon nos recherches, les deux tiers des pays membres du G20 proposent des processus de divulgation distincts et clairs pour les vulnérabilités impliquant des systèmes gouvernementaux, et nombre d’entre eux clarifient le processus de divulgation et les attentes des chercheurs en sécurité en matière de communication et d’activités acceptables. Nos travaux mettent en évidence la nécessité d’une plus grande transparence et d’une réglementation explicite dans l’approche actuelle du Canada en matière de divulgation des vulnérabilités au niveau fédéral. Contrairement à ses pairs du monde entier, le Canada n’a pas encore adopté un processus distinct et public de divulgation coordonnée des vulnérabilités (DCV) pour ses systèmes gouvernementaux. Les chercheurs en sécurité ne disposent donc d’aucune voie directe ou transparente pour divulguer de manière responsable une vulnérabilité de sécurité découverte dans les systèmes informatiques utilisés par le gouvernement fédéral du Canada, ce qui peut entraîner la non-divulgation, la divulgation publique avant correction ou l’utilisation des vulnérabilités de sécurité par des attaquants d’une manière qui pourrait mettre en péril la sécurité des systèmes informatiques du Canada et des personnes qu’ils desservent. En outre, il n’existe au Canada aucun cadre juridique ou politique concernant la recherche en matière de sécurité et la divulgation de vulnérabilités effectuées de bonne foi, c’est-à-dire avec l’intention et de manière à réparer la vulnérabilité tout en causant un préjudice minimal. En l’absence d’un tel cadre, la découverte et la divulgation de vulnérabilités peuvent engager la responsabilité d’un chercheur en sécurité en vertu des lois fédérales, y compris la législation pénale et la législation sur les droits d’auteur, ce qui a pour effet de refroidir la recherche en matière de sécurité au Canada. Cet exposé présente les moyens dont disposent les chercheurs en sécurité pour divulguer les vulnérabilités et les risques auxquels ils doivent faire attention en termes de responsabilité dans le cadre de la législation canadienne actuelle. Outre les meilleures pratiques, nous examinerons comment d’autres pays ouvrent la voie en proposant une politique globale et des solutions pragmatiques pour la divulgation des vulnérabilités externes, et comment le Canada peut s’inspirer de ces modèles. Nous identifierons également les cadres politiques canadiens nécessaires pour exploiter les efforts des chercheurs en sécurité qui trouvent et divulguent les failles de sécurité dans les logiciels du gouvernement fédéral canadien, les applications web, et potentiellement le matériel, les véhicules, les dispositifs IoT et les infrastructures critiques avant que les adversaires ne le fassent.
Stephanie Tran est une chercheuse et une analyste politique qui étudie les questions de politique publique et de droits de l’homme liées aux technologies numériques. Outre Cybersecure Policy Exchange, Stephanie a contribué à la recherche et à l’analyse des politiques au Citizen Lab, à Amnesty International Canada, au Bureau de la coordination des affaires humanitaires des Nations Unies (OCHA), au Laboratoire d’inclusion numérique d’Affaires mondiales Canada, et plus encore. Ses contributions à la recherche comprennent “See Something, Say Something : Coordinating the Disclosure of Security Vulnerabilities in Canada” (Cybersecure Policy Exchange 2021), “Private Messages, Public Harms : Disinformation and Online Harms on Private Messaging Platforms in Canada” (Cybersecure Policy Exchange 2021), “Unmasked : COVID-KAYA and the Exposure of Healthcare Worker Data in the Philippines” (Citizen Lab 2020), et “Unmasked II : An Analysis of Indonesia and the Philippines’ Government-launched COVID-19 Apps” (Citizen Lab 2020). Elle est programmatrice informatique de formation, ayant obtenu un diplôme en programmation informatique au Seneca College. Elle est également titulaire d’un double diplôme : un master en politiques publiques (volet numérique, nouvelles technologies et politiques d’affaires publiques) de Sciences Po Paris et un master en affaires mondiales de l’université de Toronto. Elle a obtenu une licence à l’université de Toronto, avec une spécialisation en paix, conflit et justice.
Yuan (“You-anne”) Stevens est une experte juridique et politique qui se concentre sur la sécurité de l’information et les droits de protection des données. Elle œuvre pour un monde où les acteurs puissants – et les systèmes qu’ils construisent – sont tenus de rendre des comptes au public, en particulier lorsqu’il s’agit de personnes vulnérables ou marginalisées. Elle apporte des années d’expérience internationale à son rôle au Ryerson Leadership Lab en tant que responsable des politiques sur la technologie, la cybersécurité et la démocratie, ayant examiné les impacts de la technologie sur les populations vulnérables au Canada, aux États-Unis et en Allemagne. Engagée dans l’accès public aux connaissances juridiques et techniques, Yuan a écrit pour des médias populaires tels que le Toronto Star et l’Ottawa Citizen et a été citée dans des articles de presse pour des publications à travers le Canada, telles que Global News, CTV News et la CBC. Mme Yuan est chercheuse affiliée au Data & Society Research Institute et au Centre for Media, Technology & Democracy de l’Université McGill. Elle a précédemment travaillé au Berkman Klein Center for Internet & Society de l’université Harvard pendant ses études de droit à l’université McGill. Elle mène des recherches sur l’intelligence artificielle depuis 2017 et approfondit actuellement ses connaissances sur les lois canadiennes en matière de piratage informatique et sur la technologie blockchain en tant que candidate à la maîtrise en droit à la Faculté de droit de l’Université d’Ottawa, sous la direction de Florian Martin-Bariteau. Lorsqu’elle n’examine pas le rôle de la technologie dans la création de futurs dystopiques au Canada et à l’étranger, vous pouvez la trouver en train de jardiner sur son balcon, de démonter le matériel de sa maison ou de prendre des nouvelles des membres (âgés) de sa famille à Terre-Neuve.
Avec l’avènement de nouveaux canaux de communication tirant parti des technologies d’anonymat et des crypto-monnaies, l’underground criminel s’est considérablement développé au cours des 10 à 20 dernières années. Les acteurs malveillants de cet underground utilisent des marchés illicites et des forums de discussion pour communiquer et échanger des techniques et des outils de plus en plus avancés pour extorquer, voler des identités et des données. De nombreuses plateformes de faclitation sont hébergées sur le réseau Tor, un canal de communication qui fait partie du dark web. En raison de l’anonymat que procure le réseau Tor, il est de plus en plus difficile pour les forces de l’ordre et les institutions touchées par ces attaques de se protéger. Selon une étude réalisée par le groupe CyberEdge, 86 % des entreprises de plus de 500 employés ont été victimes d’une cyberattaque réussie en 2020. En outre, 60 % des publicités non liées à la drogue pour des biens et services illicites publiées sur le dark web ont été jugées susceptibles d’avoir un impact sur une entreprise (Guccione , 2021). La surveillance de la clandestinité criminelle aide les victimes potentielles à détecter les attaques passées et futures et à mettre en place des réponses plus efficaces. En d’autres termes, elle aide les victimes à élaborer une stratégie proactive pour mieux faire face aux menaces actuelles. Afin d’automatiser le processus de surveillance du réseau criminel clandestin, des technologies issues du domaine de l’exploration et de la récupération de données sur le web ont été proposées. L’exploration du web fait référence au processus de navigation automatique sur le web à l’aide d’un robot pour indexer son contenu. Le “web scraping”, quant à lui, est l’ensemble des techniques utilisées pour extraire le contenu d’une page HTML. Ces technologies reposent généralement sur des configurations manuelles, ce qui augmente encore les coûts d’exploitation. Dans cette conférence, nous proposons une méthode pour automatiser la collecte de données des forums dans le milieu criminel clandestin. Plus précisément, cette présentation se concentre sur les pages contenant des sujets de forum, à partir desquelles le titre, l’auteur et la date de publication de chaque entrée seront extraits. La méthode proposée permet de transformer une page HTML afin de réaliser un “sequence labeling”, une technique dans le domaine du traitement du langage naturel. Elle fonctionne non seulement sur les forums utilisés lors de l’entraînement, mais peut également être généralisée à d’autres forums inconnus.
Olivier est actuellement étudiant à la maîtrise en génie logiciel avec concentration en intelligence artificielle à l’École de technologie supérieure (ETS). Ses réalisations lui ont permis d’entreprendre cette maîtrise lors de sa dernière année de baccalauréat en génie logiciel à la même école. Fier représentant du Québec à la Compétition canadienne de génie en 2020, Olivier s’est distingué en remportant la bourse d’excellence de l’École de technologie supérieure afin de poursuivre ses études aux cycles supérieurs. Son intérêt pour l’intelligence artificielle l’a amené à travailler avec Flare Systems, maintenant partenaire de ses recherches. Au cours de ses études de premier cycle, Olivier s’est particulièrement impliqué dans le Lan ETS Club en plus de s’occuper de l’animation des cours de laboratoire. Vous pouvez lire des articles sur Olivier sur Medium, l’écouter sur Youtube et le suivre sur Linkedin.
Se lancer dans la cybersécurité peut s’avérer très difficile. Dans cette session, je présenterai comment j’ai créé un programme d’apprentissage ouvert pour devenir pentester. Ce programme, basé sur un concept d’éducation scientifique appelé “Apprenance”, m’a permis d’être embauché comme pentester. La cybersécurité n’est pas seulement une question de compétences techniques, c’est aussi une question de savoir-être. Au cours de la conférence, les questions suivantes seront abordées : Qu’est-ce qu’un hacker ? Qu’est-ce que le pentesting ? Quels sont les différents types de pentest ? Quelles sont les compétences indispensables pour être un pentester (y compris les compétences non techniques) ? Comment pentester une cible de A à Z ? Après avoir établi une base fondamentale, une plongée plus profonde dans le pentesting web avec l’injection SQL, le Cross Site Scripting, le Directory Traversal et comment les exploiter, y compris une démo vidéo, aura lieu. Les participants découvriront la réalité de la vie d’un pentester à travers des exemples anonymes tirés de mon expérience personnelle dans des contextes réels. Ils quitteront la session avec des ressources concrètes et des conseils utiles pour la pratique. Ils apprendront également comment percer dans le domaine de la cybersécurité et comment s’entraîner pour affiner leurs compétences en matière de pentesting.
L’année dernière a été marquée par un certain nombre d’attaques importantes de ransomware dans tous les secteurs d’activité. Sur la base de notre expérience en tant que membre d’une équipe de réponse aux incidents, nous nous appuierons sur plusieurs cas sur lesquels nous avons travaillé pour identifier les tendances que nous avons observées dans les méthodes utilisées par les attaquants pour infiltrer les entreprises et exfiltrer les données, ainsi que les conséquences de ces infiltrations. Nous répondrons plus spécifiquement aux questions suivantes : quels sont les vecteurs d’attaque utilisés par les attaquants ? Comment les attaquants se déplacent-ils à l’intérieur d’un réseau, et pendant combien de temps ? Comment les attaquants exfiltrent-ils les données ? Quels sont les impacts de ces attaques sur les activités de production à court terme ? Comment pouvons-nous construire une infrastructure plus sûre ? Nous discuterons également des particularités des tâches de l’équipe de réponse aux incidents, des compétences requises, ainsi que des relations que nous avons dû établir avec d’autres équipes de sécurité telles que les analystes SOC et les pentesters. Nous aborderons ensuite notre mission, qui s’articule autour de quatre piliers : la préparation, la détection et l’analyse, l’endiguement / l’éradication / la récupération et la gestion post-incident.
Après plus de 20 ans dans l’administration de systèmes Unix et Linux et la conception d’architectures techniques (dont la mise en œuvre de plusieurs projets de consolidation en environnements virtualisés), Bruno s’est réorienté dans la sécurité informatique. Ses diverses expériences professionnelles dans plusieurs secteurs (bancaire, manufacturier et services) lui donnent une vision plus large qui lui permet de mieux comprendre les problématiques de chaque client. Après plusieurs mandats dans la conception de règles de monitoring et l’implémentation d’outils de monitoring de type SIEM, Bruno travaille actuellement dans une équipe de réponse à incident et d’analyse numérique où il est confronté quotidiennement à différents types d’attaques informatiques, dont les attaques par ransomware. Passionné par l’analyse des malwares, Bruno contribue également à l’amélioration de la posture de sécurité des clients en travaillant notamment avec les membres de l’équipe pour définir des plans de réponse aux incidents de sécurité.
Yoan Schinck est consultant senior en cyber-réponse chez KPMG-Egyde, avec un accent sur la criminalistique numérique, la réponse aux incidents et les opérations SOC. Il a commencé sa carrière en tant que technicien de support, au cours de laquelle il a développé sa capacité à dépanner, à enquêter et à corréler les événements. Après quelques années, il est passé au domaine de la sécurité de l’information en tant qu’administrateur de la sécurité pour une grande entreprise québécoise, où il a obtenu ses diplômes GCIH et GCFE. Il a ensuite rejoint KPMG-Egyde pour participer au développement de leur SOC. Pendant qu’il était dans le SOC, il a participé et contribué à de nombreuses missions de réponse aux incidents, où il a mis à profit ses compétences en matière de chasse aux menaces et d’investigation. En conséquence, il a rejoint l’équipe de réponse aux incidents, où il met quotidiennement ses compétences et ses connaissances à profit. Lorsqu’il ne passe pas tout son temps sur une réponse à incident, il passe son temps à peaufiner les différentes solutions EDR des clients de KPMG-Egyde, et à donner des formations (en interne et aux clients) sur les EDR et la chasse aux menaces.
Dans le domaine de la cybersécurité, des nouvelles concernant de nouvelles vulnérabilités apparaissent continuellement chaque jour par le biais d’un éventail de sources diverses, qu’il s’agisse de réseaux d’information, de réseaux sociaux, de blogs, d’avis de sécurité, etc. Ces informations relèvent du renseignement de source ouverte (OSINT). Cependant, toutes les vulnérabilités ne suscitent pas le même intérêt et ne font pas l’objet des mêmes discussions. Ainsi, un aspect intéressant de la hiérarchisation des vulnérabilités consiste à examiner quels types de vulnérabilités sont actuellement en vogue dans ces sources OSINT et sur le dark web, afin d’établir les types de vulnérabilités qu’un attaquant pourrait privilégier. Par exemple, si les discussions dans les sources publiques et les réseaux clandestins mentionnent plus souvent que d’habitude des attaques XSS reflétées sur certains frameworks, d’autres attaquants lisant ces discussions pourraient être tentés d’attaquer d’autres vulnérabilités XSS similaires, ou de trouver des points d’inflexion similaires dans d’autres frameworks. Les attaquants, tout comme les experts en cybersécurité, sont très influencés par les tendances des méthodes d’exploitation. Dans cet exposé, nous présenterons une approche qui identifie les modèles ou les tendances qui sous-tendent les discussions en ligne. C’est ce que nous cherchons à modéliser afin de généraliser les vulnérabilités susceptibles de recevoir plus d’attention de la part des attaquants, indépendamment des mentions directes de la vulnérabilité (par exemple, son numéro CVE) dans les discussions en ligne. L’objectif est d’identifier les concepts sous-jacents associés aux discussions en ligne sur la cybersécurité, afin d’évaluer l’importance des vulnérabilités existantes. Pour extraire ces informations, une approche en langage naturel est employée, qui fait appel à l’apprentissage automatique, et plus particulièrement à la modélisation des sujets. Nous commencerons par expliquer comment fonctionne la modélisation des sujets, en particulier la LDA, et pourquoi il s’agit d’une méthode intéressante pour extraire des informations des sources OSINT et des forums clandestins. Nous verrons ensuite comment les données relatives aux vulnérabilités peuvent être classées automatiquement à l’aide de thèmes et comment elles peuvent être mises en correspondance avec les discussions en ligne afin d’identifier les cibles potentielles des acteurs malveillants, en construisant un modèle qui trouve des vulnérabilités dont les concepts sont similaires à ceux des vulnérabilités actuellement en vogue dans les discussions en ligne. Nous présenterons les tendances identifiées par notre approche à différents moments, ainsi que l’impact des événements importants dans le monde de l’infosec. Plus précisément, nous montrerons comment les tendances changent après la publication de vulnérabilités hautement critiques, et comment ces tendances évoluent dans le temps et restent pertinentes par rapport aux événements actuels.
François Labrèche est un scientifique de données chez Secureworks, qui se concentre sur l’application d’approches d’apprentissage automatique aux problèmes de recherche liés aux vulnérabilités de sécurité et à la chasse aux menaces. Il se concentre sur l’utilisation de l’apprentissage automatique, plus particulièrement le traitement du langage naturel, pour améliorer la hiérarchisation des vulnérabilités, dans le contexte de la gestion des vulnérabilités et de la remédiation. Il étudie l’utilisation de sources OSINT et du dark web pour évaluer l’importance des vulnérabilités nouvellement publiées. Il est titulaire d’un doctorat de l’École polytechnique de Montréal et a publié des articles de recherche sur la détection des spams, l’analyse des logiciels malveillants et l’apprentissage automatique appliqué à la cybersécurité. Il a fait des présentations à l’University College London et à l’École polytechnique de Montréal, et a publié des articles dans des conférences telles que l’ACM Conference on Computer and Communications Security (CCS). De plus, il fait partie de l’administration de NorthSec, en tant que vice-président aux finances, et participe à l’organisation de MontréalHack, un atelier mensuel sur la sécurité informatique à Montréal.
De nombreux cybercrimes ne sont pas signalés à la police (par exemple, Tcherni et al., 2016), ce qui accentue l’aspect sombre de la criminalité (Biderman et Reiss, 1967). Pour mettre en lumière une partie de la figure noire de la criminalité, nous avons développé un outil permettant de recueillir des informations sur les délinquants en ligne dans le monde entier. DrugRoutes.com est une plateforme de renseignements à source ouverte sur les transactions de drogues illicites sur le darkweb. Cette plateforme est unique pour deux raisons principales. Premièrement, elle utilise les déclarations des acheteurs et des revendeurs de drogues illicites pour mesurer le taux de réussite des transactions transnationales de drogues illicites. Deuxièmement, toutes les déclarations sont rendues publiques et peuvent être analysées par n’importe qui, simplement en visitant le site web. L’objectif de cette présentation est de discuter de l’utilité d’être créatif lorsqu’il s’agit de recueillir des informations sur la cybercriminalité. Plus précisément, notre but est de passer en revue les étapes que nous avons suivies pour concevoir, mettre en œuvre, lancer et gérer cette plateforme au fil des ans. Nous partagerons nos expériences en matière de gestion de la plateforme, avec tous les défis associés à la collecte d’ensembles de données provenant de la foule. La volonté des utilisateurs de Darkweb de participer à ce type d’étude sera discutée, car il est possible d’estimer le niveau de participants non coopératifs grâce à la quantité de spam reçue par le biais des rapports personnels. En outre, la présentation exposera brièvement certains résultats obtenus grâce aux données collectées avec DrugRoutes. Cet outil nous a permis de surveiller les perturbations du marché du darkweb pendant la pandémie de COVID-19. Nos résultats suggèrent que le service postal, la principale option de livraison pour l’expédition de drogues illicites en ligne, a été affecté par la pandémie. Nos résultats suggèrent également que le nombre de transactions infructueuses est plus élevé chez les vendeurs résidant dans les pays les plus touchés par la pandémie. Les transactions autodéclarées et autres contenus générés par les utilisateurs nous fournissent des informations presque en temps réel sur les délinquants en ligne de toutes sortes. Dans cette présentation, nous décrirons les avantages et les limites de l’utilisation de ces données pour mieux comprendre la cybercriminalité, et nous fournirons un cadre permettant à d’autres de reproduire notre méthodologie pour d’autres types de cybercriminalité.
Andréanne Bergeron est candidate au doctorat à l’École de criminologie de l’Université de Montréal et titulaire de la prestigieuse bourse Vanier. Sa thèse porte sur les interactions dynamiques lors de l’interrogatoire policier de délinquants sexuels en ligne. Elle explore et explique la coopération et les relations de pouvoir entre les policiers et les suspects. Andréanne s’est également spécialisée dans d’autres types de cybercriminalité puisqu’elle travaille comme coordinatrice du projet de recherche sur le crime organisé transnational du Darkweb and Anonymity Research Center. Elle est impliquée dans sa communauté en tant que responsable du séminaire académique des étudiants de l’école de criminologie. Andréanne a participé à l’organisation de conférences régionales et internationales en tant que présidente de l’Atelier annuel de recherche sur les enquêtes policières (CREP) et en tant que membre du comité organisateur de la conférence annuelle de The Society and Criminal Psychology et du Groupe de recherche sur l’analyse et le développement de sources ouvertes (GARDESO). Elle enseigne actuellement la cybercriminalité à l’Université de Montréal.
Les programmes anti-hameçonnage sont-ils vraiment efficaces ? Cet exposé explore les millions de courriels d’hameçonnage envoyés à des centaines d’organisations et la manière dont ces efforts façonnent le comportement humain. David Shipley présentera les résultats globaux de millions de simulations d’hameçonnage. Il montrera comment ces simulations, intégrées dans les efforts de sensibilisation à la sécurité, ont démontré un changement de comportement et une réduction des risques pour les organisations. M. Shipley apportera des éclaircissements sur les points suivants:
– Comment mesurer le succès : la trinité métrique de l’hameçonnage : Le taux de clic, de rapport et d’ignorance ;
– Pourquoi les campagnes mensuelles automatisées et aléatoires génèrent les résultats les plus précis ;
– Pourquoi les programmes de lutte contre l’hameçonnage n’ont pas pour but d’obtenir des taux de clics nuls ;
– Les leçons que l’on peut tirer de la pandémie en matière de réduction des risques.
En tant que PDG et cofondateur de Beauceron Security, David Shipley est motivé par l’idée d’aider les gens à maîtriser la technologie. Au cours de sa carrière, David est passé d’officier des Forces armées canadiennes à journaliste, puis à spécialiste du marketing. Il s’est finalement retrouvé dans la cybersécurité après avoir dirigé l’équipe de réponse aux incidents lorsque l’université pour laquelle il travaillait a été piratée en 2012. David s’exprime souvent sur la scène internationale au sujet de la sensibilisation à la cybersécurité, et l’un de ses thèmes favoris est l’importance de revenir à l’origine du mot “cyber”. Sa passion le pousse à sensibiliser les gens aux risques liés à la cybersécurité, mais aussi à leur faire prendre suffisamment conscience de leur rôle dans la cybersécurité pour qu’ils changent de comportement.
L’importance du facteur humain et de la sensibilisation du public à la cybersécurité est de plus en plus reconnue par l’industrie. Au cours de la dernière décennie en particulier, les entreprises ont mis l’accent sur les programmes d’éducation, de formation et de sensibilisation à la cybersécurité (SETA). Toutefois, malgré l’intensification des efforts, les attaques réussies exploitant le facteur humain semblent augmenter d’une manière ou d’une autre. Compte tenu du statu quo actuel, il est clair qu’il faut innover si l’on veut que les programmes d’éducation, de formation et de sensibilisation à la cybersécurité atteignent leur objectif, à savoir équiper efficacement le facteur humain pour qu’il puisse jouer son rôle dans la cybersécurité. Nous présentons la mise en œuvre d’une nouvelle méthodologie pour la conception d’un programme de formation et de sensibilisation à la sécurité qui s’appuie sur la théorie de la motivation et de la psychologie. Cette approche s’inspire de la théorie de la motivation de protection et de la théorie de l’apprentissage social pour établir un ensemble de lignes directrices pour l’élaboration de programmes de formation et de sensibilisation à la sécurité. Elle reflète l’accent pédagogique mis sur la motivation du comportement plutôt que sur la sensibilisation et présente une amélioration potentielle par rapport aux approches traditionnelles. Cette méthode de conception a été mise en œuvre dans le cadre de l’élaboration d’un cours en ligne massivement ouvert destiné au secteur de l’enseignement post-secondaire. Ce secteur représente un point de pression potentiel pour la cybersécurité au niveau mondial, car il est à la fois la cible de menaces persistantes avancées, difficile à défendre en raison de l’importance des bases d’utilisateurs et du manque relatif de ressources en matière de cybersécurité. Par conséquent, ce secteur a grandement besoin d’outils SETA efficaces. Ce programme a été développé en collaboration avec l’Université de Montréal, le Centre canadien de cybersécurité, le RISIUQ, le Bureau intervention en matière de harcèlement (BIMH), le Centre antifraude du Canada et la communauté des pirates informatiques de Montréal. Il offre un niveau de base d’éducation à la cybersécurité en trois heures, permettant aux étudiants, au personnel et aux chercheurs de s’engager dans la cybersécurité dans un contexte universitaire. Cette présentation ne se contentera pas d’exposer la méthodologie et de donner un aperçu de sa mise en œuvre dans un produit réel, mais partagera également l’expérience de la réalisation d’une approche innovante dans le cadre d’un projet de collaboration intersectorielle. Nous discuterons également de l’importance de fournir des alternatives gratuites et de qualité aux produits commerciaux de cybersécurité.
Michael Joyce est codirecteur exécutif de l’initiative canadienne SERENE-RISC (Smart Cybersecurity Network – Réseau Intégré sur la Cybersécurité), un réseau national de chercheurs et de praticiens qui a mis au point des innovations telles que cybersec101.ca, The Cybersecurity Digest, secrev.org et Konnect. Il possède près d’une décennie d’expérience dans l’élaboration et la gestion de programmes nationaux et internationaux de mobilisation des connaissances sur la cybercriminalité et la cybersécurité. Pendant son temps libre, il prépare un doctorat en criminologie à l’Université de Montréal dans le laboratoire de prévention de la cybercriminalité. Il est également l’animateur du podcast cybercrimeology.com.
Les équilibreurs de charge et les proxys, tels que HAProxy, Varnish, Squid et Nginx, jouent un rôle crucial dans la performance des sites web, et ils ont tous implémenté différents analyseurs de protocole HTTP. La contrebande de requêtes HTTP (HTTP Request Smuggling – HRS) est une attaque qui exploite les incohérences entre l’interprétation de la fin des requêtes par les analyseurs de requêtes HTTP. Ce qui peut être considéré comme la fin d’une requête pour votre équilibreur de charge peut ne pas être considéré comme tel par votre serveur web. Dans cette présentation, nous verrons comment un attaquant peut abuser de plusieurs configurations vulnérables. La contrebande de requêtes HTTP (HRS) permet de multiples vecteurs d’attaque, y compris l’empoisonnement du cache, le détournement d’informations d’identification, le contournement du filtrage d’URL, l’open-redirect et le XSS persistant. Pour chacun de ces vecteurs, une charge utile sera présentée et expliquée en profondeur. De plus, une démonstration en direct sera faite pour voir la vulnérabilité en action. Outre l’exploitation, nous montrerons comment les développeurs et les administrateurs système peuvent détecter de telles configurations défectueuses à l’aide d’outils automatisés. À la fin de cet exposé, les passionnés de sécurité de tous niveaux disposeront de bases solides pour atténuer la contrebande de requêtes, une vulnérabilité qui a beaucoup évolué au cours des 15 dernières années.
Philippe est un chercheur en sécurité travaillant pour GoSecure. Ses recherches portent sur la sécurité des applications Web. Il a travaillé dans le domaine du pentesting, de l’examen de codes sécurisés et du développement de logiciels. Il est l’auteur de l’outil d’analyse statique Java OWASP Find Security Bugs (FSB), largement utilisé. Il a également contribué à l’outil d’analyse statique pour .NET appelé Security Code Scan. Il a développé de nombreux plugins pour les outils proxy Burp et ZAP : Retire.js, Reissue Request Scripter, CSP Auditor et bien d’autres. Philippe a présenté plusieurs conférences, notamment Black Hat Arsenal, SecTor, AppSec USA, ATLSecCon, NorthSec et 44CON.
Lors de nos recherches sur les logiciels malveillants, nous trouvons souvent des moyens d’identifier à distance si un système est compromis, en particulier lorsqu’il s’agit de menaces côté serveur. Pour ce faire, il faut procéder à une rétro-ingénierie approfondie du protocole réseau des logiciels malveillants afin de comprendre comment déclencher correctement un comportement ou une réponse qui pourrait être utilisé comme empreinte digitale. La recherche de systèmes compromis à l’aide d’une empreinte digitale sur un réseau local est relativement facile, mais l’analyse de l’ensemble de l’internet IPv4 pose ses propres problèmes. Auparavant, nous travaillions avec des tiers tels que Shodan ou Censys pour effectuer des analyses pour nous. Bien que ces scanners Internet populaires aient eu la gentillesse de nous aider dans nos recherches, nous avons réalisé que nous ne pouvions pas toujours monopoliser leurs ressources. Cette présentation commencera par montrer comment nous avons construit notre propre scanner internet à partir de zéro et comment nous avons surmonté les difficultés liées à la réalisation de tels scans. Ensuite, nous présenterons des cas où nos analyses ont révélé des aiguilles dans une botte de foin en se basant sur des logiciels malveillants en circulation que nous avons analysés. Enfin, nous donnerons des conseils à tous ceux qui souhaitent effectuer des analyses à grande échelle. Étant donné que nos empreintes digitales peuvent nécessiter l’exécution d’une forme de poignée de main, il n’existe pas de solutions toutes faites à nos problèmes. Nous utilisons des scanners internes personnalisés basés sur les logiciels libres existants zmap et zgrab2. Le post-traitement des résultats est également un défi étant donné la quantité massive de données qu’il génère. Néanmoins, des outils existants tels que jq peuvent nous aider à trouver les résultats intéressants que nous recherchons. Nos analyses ont permis de trouver des victimes de familles de logiciels malveillants telles que Kobalos, PortReuse, ModDir et plusieurs portes dérobées IIS. Ces résultats nous ont permis de notifier les victimes et de recueillir des informations importantes sur chacune de ces menaces. Tout d’abord, nous avons pu identifier les victimes et déterminer si les attaques étaient opportunistes ou si elles se limitaient à un petit nombre de cibles. Deuxièmement, lorsque nous envoyons des notifications, nous pouvons demander des détails supplémentaires tels que la manière dont le système a été compromis ou la manière dont il a été utilisé par les auteurs de l’attaque. Ces détails peuvent enrichir notre recherche et fournir de meilleurs indicateurs de compromission à d’autres victimes potentielles. L’analyse de l’internet permet également de découvrir les infrastructures utilisées comme serveurs C&C dans le cadre d’opérations de lutte contre les logiciels malveillants. Il est courant que les opérateurs de logiciels malveillants déploient plusieurs serveurs utilisés comme C&C de manière similaire, peut-être parce qu’ils utilisent des scripts. Nous montrerons comment nous avons exploité cette possibilité pour découvrir d’autres serveurs utilisés dans des campagnes de logiciels malveillants. Il existe un certain nombre d’appareils bizarres connectés à l’internet, qui produisent parfois de faux positifs. Nous parlerons de ces dispositifs (et nous en rirons ou nous nous inquiéterons) et nous montrerons quelques pièges à éviter lors de la création d’empreintes digitales et de l’analyse des résultats.
Marc-Etienne est chercheur en logiciels malveillants chez ESET depuis 2012. Il se spécialise dans les logiciels malveillants qui s’attaquent à des plateformes inhabituelles, qu’il s’agisse de matériel fruité ou de logiciels provenant d’oiseaux du pôle sud. Marc-Etienne a concentré ses recherches sur la rétro-ingénierie des logiciels malveillants côté serveur afin de découvrir leur fonctionnement interne et leur stratégie d’exploitation. Ses recherches ont abouti à la publication du livre blanc Operation Windigo qui a remporté le prix Péter Szőr du Virus Bulletin pour le meilleur article de recherche en 2014. En dehors de son travail, Marc-Etienne aime jouer avec ses deux enfants et concevoir des défis pour la compétition NorthSec CTF. Il a également été coorganisateur de l’événement mensuel MontréalHack. Il a fait des présentations à de nombreuses conférences, dont RSAC, FIRST, 44con, CARO et Linuxcon Europe. Lorsqu’il n’est pas l’un des organisateurs, il adore participer à des compétitions CTF comme un gentleman fêtard. En dehors du cyberespace, Marc-Etienne joue de la clarinette et lit des bandes dessinées. Il tweete sporadiquement à @marc_etienne_.