Résumé : Issu de la promotion 98 de Supelec, section Systèmes Informatiques, Nicolas Ruff se définit avant tout lui même comme un autodidacte en matière de sécurité informatique, ce domaine relativement sensible étant resté longtemps confidentiel avant "l'explosion" d'internet en 1998 et faisait depuis face à la frilosité des écoles. -
Lire l'article
Issu de la promotion 98 de Supelec, section Systèmes Informatiques, Nicolas Ruff se définit avant tout lui même comme un autodidacte en matière de sécurité informatique, ce domaine relativement sensible étant resté longtemps confidentiel avant "l'explosion" d'internet en 1998 et faisait depuis face à la frilosité des écoles. Il rentre en l'an 2000 dans la société EdelWeb ou il sera dès le début affecté à la mise à jour des bases de connaissances sur la sécurité des systèmes Windows suite à la sortie de Windows 2000. Ses domaines de compétences se sont depuis élargis vers sur des sujets connexes comme la politique de sécurité des réseaux bureautiques, la lutte antivirale, les tests d'intrusion internes, la sécurité Windows XP & Windows 2003, Exchange, SQL Server. Nicolas Ruff est actuellement co-animateur du groupe SWNT (OSSIR) au même titre que Jean Olive (Edelweb) et Michel Miqueu (CNES).
Quelles sont les origines de l'OSSIR ?
L'OSSIR est une association qui regroupe les utilisateurs intéressés par la sécurité des systèmes d'information et des réseaux. Les membres animent deux groupes de travail : Sécurité Unix et Réseaux depuis 1987, et Sécurité Windows depuis 1997, qui permettent des échanges et présentations techniques de solutions et d'expériences en sécurité.
Pouvez nous en présenter les différentes structures ?
L'OSSIR a de multiples facettes, le groupe SUR (Sécurité Unix et Réseaux), le groupe SWNT (Sécurité Windows NT), le groupe RESIST à Toulouse, la JSSI (Journée de la Sécurité des Systèmes d'Informations), La base de connaissances OSWIN. La JSSI est organisée annuellement au mois de mai, des listes de discussions sont également mises en place (1500 inscrits nominatifs pour SUR et 500 pour SWNT).
Quel est le profil des membres de l'OSSIR ?
Les membres viennent de tous horizons : consultants, universitaires, administrateurs réseau, RSSI. Leur point commun est un intérêt pour la sécurité informatique et un solide bagage technique. L'inscription à l'OSSIR est nécessairement nominative, ce qui permet de savoir à qui on a affaire et instaure une certaine confiance au sein de l'association.
Quels en sont les objectifs et les actions ?
Les objectifs sont de permettre un échange sur des thèmes d'actualité, voir notamment la réunion du mois de juin sur la LEN, autour d'intervenants extérieurs, de partager des retours d'expérience entre adhérents et finalement d'assister à des présentations techniques de produits, l'OSSIR insiste auprès des éditeurs pour obtenir des intervenants à fort bagage technique.
Pour cela, les 3 groupes de travail (SUR, SWNT et RESIST) organisent des réunions mensuelles d'une demi-journée avec entre un, deux ou trois intervenants. Les deux premiers groupes se réunissent sur Paris, tandis que le troisième se réunit à Toulouse (RESIST).
Enfin l'OSSIR organise annuellement la JSSI, une journée exclusivement consacrée à la sécurité des systèmes d'information autour de conférenciers invités.
En quoi consistent vos fonctions au sein de l'OSSIR ?
Mes fonctions consistent à organiser les réunions mensuelles (salles, intervenants, logistique). Je suis de plus webmaster de la partie SWNT du site et de la base OSWIN.
Quelles sont les motivations qui poussent des professionnels comme vous et vos collègues à prendre en charge un groupe comme sur le SWNT dans votre cas ou les différentes instances de l'OSSIR ?
Pour un consultant, les deux motivations essentielles sont la visibilité dans le domaine de la sécurité, et les retours d'expérience des participants aux réunions.
A quelle périodicité animez vous ces réunions ?
Traditionnellement les réunions se tiennent au rythme de une par mois, sauf au mois de mai pour cause de JSSI, et au mois d'août. En général le groupe SWNT se réunit le deuxième lundi de chaque mois et le groupe SUR le lendemain.
Y a t'il un lieu attitré ?
Les salles nous sont prêtées gracieusement par les membres de l'association, il n'y a donc pas de lieu "attitré". Pour des raisons de transport, les réunions des groupes SWNT et SUR se tiennent dans des locaux desservis par le métro, bien qu'exceptionnellement il nous soit arrivé d'être accueilli sur le campus de Microsoft aux Ulis.
Combien de personnes peuvent être accueillies ?
Les amphithéâtres qui nous sont proposés dépassent souvent les 200 places, tandis que le nombre de participants varie en général entre 20 et 40 personnes.
Que pensez vous des statistiques de fréquentations de ces réunions ?
Le groupe SWNT a été créé en 1997, avec des hauts et des bas en fonction de l'intérêt des participants et de la qualité des intervenants. Il est pleinement opérationnel depuis 2001.
L'entrée a vos conférences est elle systématiquement gratuite et libre d'accès ?
Oui, sauf lorsque le site proposé est soumis à des contraintes légales (plan VigiPirate, site sensible) auquel cas les participants sont invités à se pré inscrire par mail. Par ailleurs on notera que les intervenants ne sont pas rémunérés et que les salles sont prêtées gracieusement, ce qui limite les coûts d'organisation.
A noter que la participation aux réunions et aux listes de diffusion n'est pas subordonnée à une inscription à l'OSSIR, bien que vivement recommandée. Les cotisations sont délibérément peu onéreuses : 45 euros pour une personne physique et 410 euros pour une personne morale (ouvre le droit à 10 adhésions nominatives) en 2004.
Existe t'il des thèmes récurrents ?
Chaque groupe possède sa spécialité, mais il n'existe pas à proprement parler de thème récurrent. En fonction de l'actualité et de l'intérêt des participants, certains thèmes peuvent être prolongés sur plusieurs réunions (Patch Management, Honeypots).
Quelle est la méthode à suivre pour une personne souhaitant intervenir lors de vos conférences ?
Il lui suffit de prendre contact avec un animateur, tous les détails se trouvent sur le site Web. En général toute présentation objective et d'un niveau technique suffisant est acceptée.
Pour les personnes qui ne peuvent pas se déplacer, mettez vous à disposition des comptes rendus de toutes vos conférences ?
Le site Web de l'association regroupe les jeux de transparents présentés, les données complémentaires soumises par les intervenants (ex. code source), et des compte-rendus. Ces derniers sont automatiquement envoyés par email aux adhérents de l'association. De plus les travaux du groupe sont archivés dans la base de connaissances OSWIN.
Sur quels critères sont choisis le contenu des conférences ?
Les retours d'expérience proposés par les adhérents sont prioritaires, ainsi que les soumissions spontanées. A défaut, les adhérents peuvent suggérer la présentation d'un produit pour lequel ils ont des contacts chez l'éditeur, ou demander aux animateurs d'organiser la présentation d'un produit particulier.
Est-il possible d'être informé périodiquement de ces réunions ?
Les réunions sont annoncées 15 jours auparavant sur le site Web de l'association, et par email sur les listes de diffusion de l'association. Par ailleurs le planning prévisionnel des réunions est fixé à l'année, ce qui permet de s'y retrouver même si la liste des intervenants est connue au dernier moment.
Pouvez vous nous parler de la prochaine réunion ?
La prochaine réunion du groupe SWNT se tiendra le lundi 5 juillet 2004 à 14h, le lieu n'étant pas encore connu. Nous attendons un retour d'expérience de M.Duvernet sur l'efficacité des produits antivirus face aux menaces actuelles, il sera également proposé une analyse des nouvelles techniques d'attaques identifiées sur Internet.
Pierre Betouin, organisateur du Challenge Securitech, est intervenu lors de votre dernière réunion le 7 juin, comment avez vous connu ce concours de sécurité informatique ?
La communication autour de ce concours a été très forte, et j'en ai eu des échos par plusieurs sources : les campagnes d'affichage, le mailing sur Internet et le magazine MISC (sponsor du concours). J'avais regardé l'édition 2003 par curiosité et n'ayant pu y participer, j'espérais que ce concours serait renouvelé en 2004.
Y avez vous participé ?
Oui, je me suis classé 6ème en échouant à une seule épreuve. Mais comme seulement 2 participants ont validé le niveau en question, l'honneur est sauf !
Je dois dire que ce concours a eu un certain succès dans mon entourage professionnel et que de nombreux collègues s'y sont intéressés. Le travail en groupe a permis de réunir toutes les compétences nécessaires à la résolution du concours, qui était beaucoup plus ambitieux cette année que l'année dernière !
Quelles sont vos impressions face à ce type de concours basés sur la sécurité ?
Malgré l'image négative que peuvent avoir ces "concours de piratage", je pense à titre personnel qu'il faut les prendre comme des jeux intellectuels au même titre que les mots croisés.
Même si les compétences requises pour résoudre les énigmes pourraient également être mises à profit à des fins moins avouables, l'expérience prouve que les intrus déterminés utilisent des moyens beaucoup plus simples pour pénétrer les réseaux, à commencer par obtenir le mot de passe d'un utilisateur, trop souvent trivial !
En ces temps de criminalisations des chercheurs en sécurité informatique (cf. LCEN), il serait peut-être plus judicieux de mettre les utilisateurs et les éditeurs de logiciels en face de leurs responsabilités, plutôt que de rendre la sécurité informatique encore plus mystérieuse par une forme de prohibition.
En résumé, je dirais que la beauté intellectuelle des épreuves de SecuriTech n'a rien à voir avec la sécurité au quotidien, qui consiste bien souvent à empêcher les utilisateurs de cliquer sur les pièces jointes et à gérer leurs nombreux mots de passe ...
Que pensez vous du niveau de difficulté de ce challenge ?
Je pense que le niveau de difficulté était bien dosé, car le nombre important d'épreuves (20) et la possibilité de les valider dans n'importe quel ordre permettaient à chacun d'y trouver son compte. Si certaines épreuves étaient triviales (ex. chiffrement de César), d'autres demandaient des compétences très pointues, et l'ensemble demandait un panel de compétences vraiment complet !
Je me permettrai d'émettre quelques réserves sur le système de notation toutefois, car la notation de certains niveaux était éloignée de leur difficulté réelle, et le système des points négatifs très pénalisant pour ceux qui 'joue le jeu' en ne s'inscrivant que sous une seule identité.
En tout cas je n'hésite pas à dire : bravo, et à l'année prochaine !
Nicolas Ruff , merçi pour votre collaboration.
- Article suivant : Failles WMF : état des lieux. Deux nouvelles failles !
- Article précédent : Nicolas BRULEZ, (Armadillo) Les participants bloqués sur les obfuscations et les layers de cryptages
- Article suivant dans la catégorie Interviews : Renaud Bidou (Deny All) : « Notre technologie de Scoring List détecte 100% des XSS, 100% des injections HTML et 98% des injections SQL »
- Article précédent dans la catégorie Interviews : Nicolas BRULEZ, (Armadillo) Les participants bloqués sur les obfuscations et les layers de cryptages
| Mini-Tagwall des articles publiés sur SecuObs : | |
| |
sécurité, exploit, windows, attaque, outil, microsoft, réseau, audit, metasploit, vulnérabilité, système, virus, internet, usbsploit, données, source, linux, protocol, présentation, scanne, réseaux, scanner, bluetooth, conférence, reverse, shell, meterpreter, vista, rootkit, détection, mobile, security, malicieux, engineering, téléphone, paquet, trames, https, noyau, utilisant, intel, wishmaster, google, sysun, libre |
| Mini-Tagwall de l'annuaire video : | |
| |
curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio |
| Mini-Tagwall des articles de la revue de presse : | |
| |
security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité |
| Mini-Tagwall des Tweets de la revue Twitter : | |
| |
security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack |
