Dans le cadre du FIC 2022, nous vous proposons de nous retrouver le premier jour de cet événement de référence (mardi 07 juin 2022), pour la huitième conférence de ce genre en France, dédiée aux techniques de la réponse aux incidents et de l’investigation numérique. Cette journée permettra aux enquêteurs spécialisés, experts judiciaires, chercheurs du monde académique ou industriel, juristes, spécialistes de la réponse aux incidents ou des CERTs de partager et échanger sur les techniques du moment. L’ambition de cette conférence est de rassembler cette communauté encore disparate autour de présentations techniques ou juridiques de qualité, sélectionnées par notre comité de programme.
- 11:00 – Retour d’expérience sur un Zepplin
- 11:30 – DFIR4vSphere: Investigation numérique sur la solution de virtualisation VMWare vSphere – Lénoard Savina
VMWare vSphere est une solution de virtualisation composée d’hyperviseurs de type 1 (ESXi) et d’une console de gestion centralisée (VCenter). Selon VMWare, en entreprise près de 80% des environnements virtualisées reposent sur cette technologie. En conséquence c’est une cible de choix pour un attaquant. Dans cette présentation nous allons montrer comment utiliser le module PowerShell DFIR4vSphere pour collecter des journaux et artéfacts forensique aussi bien sur les hôtes ESXi que sur la console VCenter. - 12:00 – TAPIR : Un parseur d’artefacts pour la réponse aux incidents – Solal Jacob
Cette présentation est axée sur deux nouveaux outils de réponse aux incidents : TAPIr et bin2json. Ces deux outils sont basés sur une bibliothèque écrite en rust : TAP (Trustable Artifact Parser), qui fournit différents plugins pour l’analyse d’artefacts (NTFS, MTF, regitry, evtx, prefetch, …), et inclue aussi un moteur de recherche avancé pour filtrer les données générées. Lors de la présentation nous passerons en revue l’architecture de la bibliothèque TAP, nous verrons quand et comment utiliser TAPIR et bin2json, et enfin nous ferons une démonstration de ces différents outils. - 12:30 – RETEX Carrefour SOC – Quentin Courtel
Le SOC / CSIRT Carrefour vous propose de presenter un retour d’expérience sur un incident majeur intervenu sur son périmètre en Septembre 2021. - 13:00 – Pause déjeuner
- 14:00 – IOCmite – Quand Suricata rencontre MISP – Eric Leblond
Cette conférence a pour but de présenter différents cas d’usage de l’outil opensource IOCmite. IOCmite permet de créer des datasets d’indicateur de compromission pour permettre la détection en utilisant Suricata, sonde de détection d’intrusion opensource https://github.com/sebdraven/IOCmite - 14:30 – TinyCheck, détection d’implants passive sur smartphones via l’analyse de flux réseau – Félix Aimé
Comment permettre à quiconque de savoir si son smartphone est compromis ? C’est le but de l’outil « TinyCheck ». Développé en premier lieu pour lutter contre le fléau des Stalkerwares, ce projet permet aussi de détecter dans certains cas la présence d’implants plus sophistiqués mis en œuvre par des acteurs malveillants. - 15:00 – Aspects juridiques de la biométrie dans les investigations numériques : Lorsque le corps devient la clef – Ludovic Tirelli
Cette contribution visera à analyser la problématique du recours à la biométrie pour déverrouiller des appareils mobiles, supports de données et dossiers de fichiers dans le cadre d’investigations pénales. Elle se consacrera principalement à des problématiques de de procédure pénale et, en particulier, au conflit existant entre de telles méthodes d’enquête et le principe nemo tenetur se ipsum accusare selon lequel nul n’est tenu de s’auto-incriminer. L’on analysera ainsi si les données biométriques rattachées à un individu sont couverte par l’interdiction de ne pas s’auto-incriminer. - 15:30 – L’utilisation du scambaiting à des fins préventives contre les cyberarnaques : le cas des arnaques aux sentiments – Olivier Beaudet-Labrecque
Le projet porte sur l’intérêt du scambaiting à des fins préventives pour lutter contre les cyberarnaques. Le scambaiting est une technique consistant à appâter des cyberescrocs en se faisant passer pour une victime. - 16:00 – Pause café
- 16:30 – La montée en puissance des Initial Access Brokers (IABs) – quels constats faut-il en tirer ? – Livia Tibirna
Cette présentation reprend les résultats d’une analyse des accès à des systèmes compromis mis en vente sur les espaces d’échanges cybercriminels entre juillet et décembre 2021. - 17:00 – La mutation de l’hébergement « bulletproof » –
Les hébergeurs bulletproofs sont au coeur de la criminalité sur Internet. Bien que ce terme soit souvent utilisé à outrance en désignant des acteurs du cloud ne répondant pas suffisamment vite aux sollicitations, ce terme désigne véritablement des hébergeurs fournissant un service « premium » à ses clients afin de ne pas subir de coupure de service à la suite d’une plainte, de la résilience en cas d’interruption du service ainsi qu’une non-cooperation avec les forces de l’ordre en cas de sollicitation. Ces 5 dernières années, une tendance en matière de service bulletproofs semble se dessiner. L’exploitation directe d’un datacentre, et toutes les contraintes associées, laisse la place à des réseaux de revendeurs de services basés sur l’infrastructure de fournisseurs de cloud tout à fait légitimes. L’objectif de cette présentation est de dresser le tableau de ce nouveau modèle en apportant quelques éléments pour reconnaître ces revendeurs de services bulletproofs. - 17:30 – Investigations sur un système de fichiers atypiques ou comment voyager dans le temps avec un groupe APT – PDF