26 février 2024

CoRIIN 2023 – Conférence sur la réponse aux incidents & l’investigation numérique 2023

Dans le cadre du FIC 2023, nous vous proposons de nous retrouver le premier jour de cet événement de référence (mercredi 05 avril 2023), pour la neuvième conférence de ce genre en France, dédiée aux techniques de la réponse aux incidents et de l’investigation numérique. Cette journée permettra aux enquêteurs spécialisés, experts judiciaires, chercheurs du monde académique ou industriel, juristes, spécialistes de la réponse aux incidents ou des CERTs de partager et échanger sur les techniques du moment. L’ambition de cette conférence est de rassembler cette communauté encore disparate autour de présentations techniques ou juridiques de qualité, sélectionnées par notre comité de programme.

Cette année 5 partenaires ont choisi de nous soutenir pour permettre à plus de 400 participants de se rencontrer et d’échanger. Rencontrez-les à CoRIIN et dans leurs stands au FIC.

Pour suivre l’actualité de CoRIIN suivez-nous sur le #Fédivers @co@riin.fr.

11:00 Infostealers : investiguer la menace cybercriminelle dans son écosystème
Depuis plusieurs années, la menace des information stealers, plus communément appelés infostealers, touche de plus en plus de particuliers et d’entreprises. Cette évolution s’explique notamment par la popularisation de cette menace au sein de l’écosystème cybercriminel russophone, et la professionnalisation des activités associées – deux phénomènes qui seront approfondis dans la présentation.
Livia Tibirna
Pierre Le Bourhis
Quentin Bourgue
PDF
11:45 Plongée au cœur de réseaux organisés de scammers français
Cette présentation porte sur une courte étude des places de marché proposant tous les services nécessaires au lancement de campagnes de phishing importantes, ciblant les intérêts et clients de services de l’État français et de grandes entreprises.
Thomas Damonneville PDF
12:15 ANSSI – Présentation de la mise à jour du référentiel PRIS (prestataire de réponses aux incidents)
L’ANSSI a publié en 2017 le référentiel d’exigences applicables à un prestataire de réponse aux incidents de sécurité (PRIS). Ce référentiel a vocation à permettre la qualification (au titre du décret n°2015-350 du 27 mars 2015) de prestataire de confiance PRIS. Il permet au commanditaire d’une prestation de disposer de garanties sur les compétences du prestataire et de son personnel, sur la qualité des prestations de réponse aux incidents de sécurité réalisées à sa capacité à adopter une approche globale de l’incident de sécurité, une démarche d’analyse adaptée et sur la protection des informations sensibles dont le prestataire aura connaissance au cours de la prestation. Ce référentiel permet notamment de qualifier les prestataires susceptibles d’intervenir, pour le traitement des incidents de sécurité, au profit des secteurs d’importance vitale concernés par l’application des règles de sécurité prévues au titre de la loi de programmation militaire. Il peut également être utilisé, à titre de bonnes pratiques, en dehors de tout contexte réglementaire.Des travaux de mise à jour de ce référentiel ont été lancés par l’ANSSI en 2022. La présentation sera axée sur les orientations de mise à jour du référentiel, le niveau de détail sera consolidé selon l’avancement de ce chantier d’ici avril 2023.
Anais Ratanavanh
Rémi Bouju
PDF
12:45 Pause déjeuner
13:45 Ukraine – Retour d’expérience de réponses à incidents
Cette session sera l’occasion de partager les éléments vus par un éditeur de sécurité sur place en Ukraine depuis le début de la crise, les techniques et les outils utilisés par les attaquants.
Nous en profiterons pour présenter l’organisation d’une réponse à incidents en temps de guerre, ces challenges , ces difficultés et le quotidien.
David Grout
14:15 Améliorer les capacités réponses aux campagnes informationnelles en adaptant les outils de la CTI
Le service de vigilance et de protection contre les ingérences numériques étrangères (VIGINUM) a pour mission de détecter et caractériser les opérations et campagnes d’ingérence numérique étrangère. Apparues principalement lors des périodes électorales pour chercher à influencer le vote de certaines catégories de citoyens, cette menace informationnelle s’immisce désormais dans tous les champs du débat public numérique, exploitant tout fait d’actualité ou événements sociaux marquants.
Pouvant mettre en œuvre des modes opératoires différents, ces actions à finalité malveillante se traduisent principalement par des comportements inauthentiques visant à amplifier la diffusion de contenus manifestement inexacts ou trompeurs dans le but d’atteindre nos intérêts fondamentaux.
La multiplication de ces campagnes et leurs effets potentiels sur notre fonctionnement démocratique et plus largement notre société conduit de nombreuses organisations à élaborer des schémas analytiques permettant de décrire le comportement de ces acteurs et leurs objectifs de campagne.
L’exploitation récente de Disarm et sa formalisation encore en évolution permettent de l’utiliser comme un « bac à sable » : que ce soit pour définir un état de la menace, pour une aide à l’investigation ou pour partager de manière standardisée de l’information entre partenaires. Enfin, au-delà des bénéfices immédiats pour l’analyse, ces chantiers soulèvent des questions méthodologiques et techniques propices aux échanges et partages pour avancer de manière collective dans la lutte contre les campagnes informationnelles.
Anaïs Meunier PDF
14:45 Souvenirs d’un voyage au pays des brouteurs : Etude exploratoire de la cybercriminalité en Côte d’Ivoire
Cette présentation portera sur les résultats d’une étude de terrain exploratoire sur la cybercriminalité en Côte d’Ivoire. L’équipe de recherche de l’Institut de lutte contre la criminalité économique a séjourné à Abidjan durant deux mois à l’automne 2022. De nombreux entretiens ont pu être menés avec des cybercriminels et avec les différentes autorités en charge de la lutte contre la cybercriminalité et contre le blanchiment des flux financiers illicites associés.

  • L’état de la cybercriminalité en Côte d’Ivoire
  • Moyens de lutte contre la cybercriminalité
  • Cadre légal de lutte contre la cybercriminalité
  • Cybercriminels ivoirienne
  • Perspectives futures
Olivier Beaudet-Labrecque
Renaud Zbinden
PDF
15:15 Forensic analysis on ADCS environment
The following questions are discussed: ADCS mechanisms: how does it work, how is it structured?
How can vulnerability and misconfiguration occur and lead to a privilege escalation? Which forensic artifacts can be leveraged? Focus on logging, which event is generated by action? Can we go fast by automating the search for compromise?
We will focus on enrollment process, where vulnerability and misconfigurations exist and are documented from an offensive point of view.
Arnaud l’Hutereau
Gregory Guillermin
15:45 Pause café
16:15 AD Canaries: Un canari sorti du chapeau Quentin Arnould PDF
16:45 Au feu! Les réseaux sociaux plus rapide que les pompiers Antoine Desbiolles
Inès Labidi
Steve Brodbeck
PDF
17:15 Biome, la nouvelle pépite pour les smartphones et les ordinateurs Apple
Dans cette présentation, nous découvrirons ce qui semble devoir être une source de journaux extrêmement intéressante à compter de iOS 16 et permettra d’approfondir vos investigations en matière de terminaux mobiles.
Les possibilités du Biome semblent devoir être étendues. Toutes les recherches et découvertes concernent également MacOS 13.
Jean-Philippe Noat PDF
17:45 Is Ironman Bulletproof? A non-MCU story
Dans cette présentation, nous allons présenter et détailler l’activité d’un des bulletproof hoster les plus anciens dans le domaine du cybercrime, actif a minima depuis 2009.
Nous discuterons rapidement sur les débuts de l’acteur derrière cette activité en 2009, revenir sur les années importantes et l’évolution de l’activité cybercriminelle liée a ce bulletproof hoster. À la base, utilisé pour héberger des sites de phishing ou des shops de carte de crédit, a, en 2022-2023, devenir l’hébergeur favori des groupes d’APTs, de certains ransomware, hacktivistes, et même d’autre bulletproof hosters.
L’infrastructure sera mise en lumière, et avec toutes les relations trouvées concernant d’autres acteurs.
Nous souhaitons également amener un esprit de collaboration concernant ce bulletproof hoster, mais également les autres que nous suivons.
Thibaut Seret

Les partenaires suivants soutiennent #CoRIIN2023 et nous les en remercions:

Platine

Depuis 2004, Mandiant s’impose comme le partenaire de confiance des entreprises soucieuses de leur sécurité. Aujourd’hui, l’expertise et la Threat Intelligence leader de Mandiant sous-tendent des solutions dynamiques qui aident les organisations à développer des programmes plus efficaces et à instaurer une plus grande confiance dans leurs cyberdéfenses. Mandiant fait maintenant partie de Google Cloud.

Stand FIC : G8


Argent

Le groupe La Poste possède près de 17 000 points de présence postale en France. Il est également présent dans 63 pays sur 5 continents … Sa proximité s’incarne au quotidien par les 160 professions exercées par ses 238 000 collaborateurs, dont 22,7% à l’international.

Sa filiale Docaposte est présente sur le FIC : D45


 

LEXFO est un cabinet indépendant d’audits et d’expertises techniques en sécurité des systèmes d’information dont la vocation est d’aider ses clients dans la protection de leur patrimoine informationnel par une approche offensive. La diversité de l’expertise technique, la rigueur et la réactivité de nos experts définissent l’identité de LEXFO.

Stand FIC : C5


Bronze

Créé en 2008, AlgoSecure est un cabinet conseil français indépendant spécialisé en cybersécurité. AlgoSecure accompagne les entreprises et les organismes publics dans la sécurisation de leurs systèmes d’information : – Évaluer (pentests, audits Red Team… ) ; – Conseiller et Sécuriser (accompagnement RGPD et ISO27001…) ; – Sensibiliser et Former ; – Réagir en cas d’incidents de sécurité (surveillance et détection, intervention, Forensic…). AlgoSecure est reconnu par ses clients : • Pour sa forte expertise technique • La qualité de ses livrables et sa pédagogie, • Ses conseils impartiaux vis-à-vis des constructeurs et éditeurs). AlgoSecure est qualifié PASSI sur toutes les portées et certifié ISO27001.

Stand FIC : F32-8


 

Description : MSAB is a global leader in digital forensic technology for mobile device examination and analysis. The organization’s focus is on delivering high-quality digital forensic solutions with supporting professional services to ensure reliable forensic evidence. With a wide range of products, among which the powerful XRY, XAMN, and XEC, MSAB empowers organizations, speeds operations, and contributes to efficient investigations.

Stand FIC : F11