CoRIIN 2022 - Conférence sur la réponse aux incidents et l'investigation numérique 2022

Europe/Paris
Salle Jeanne de Flandres (Lille)

Salle Jeanne de Flandres

Lille

FIC - Grand Palais - Inscription obligatoire au FIC pour accéder à la salle de la conférence
Eric Freyssinet (CECyF)
Description

Dans le cadre du FIC 2022, nous vous proposons de nous retrouver le premier jour de cet événement de référence (mardi 07 juin 2022), pour la huitième conférence de ce genre en France, dédiée aux techniques de la réponse aux incidents et de l’investigation numérique. Cette journée permettra aux enquêteurs spécialisés, experts judiciaires, chercheurs du monde académique ou industriel, juristes, spécialistes de la réponse aux incidents ou des CERTs de partager et échanger sur les techniques du moment. L’ambition de cette conférence est de rassembler cette communauté encore disparate autour de présentations techniques ou juridiques de qualité, sélectionnées par notre comité de programme.

    • 10:00 AM
      Enregistrement et accueil café
    • 1
      Retour d'expérience sur un Zepplin
      Speaker: David Quesada
    • 2
      DFIR4vSphere: Investigation numérique sur la solution de virtualisation VMWare vSphere

      VMWare vSphere est une solution de virtualisation composée d’hyperviseurs de type 1 (ESXi) et d’une console de gestion centralisée (VCenter). Selon VMWare, en entreprise près de 80% des environnements virtualisées reposent sur cette technologie. En conséquence c’est une cible de choix pour un attaquant. Dans cette présentation nous allons montrer comment utiliser le module PowerShell DFIR4vSphere pour collecter des journaux et artéfacts forensique aussi bien sur les hôtes ESXi que sur la console VCenter.

      Speaker: Léonard Savina (ANSSI)
    • 3
      TAPIR : Un parseur d'artefacts pour la réponse aux incidents

      Cette présentation est axée sur deux nouveaux outils de réponse aux incidents : TAPIr et bin2json.
      Ces deux outils sont basés sur une bibliothèque écrite en rust : TAP (Trustable Artifact Parser), qui fournit différents plugins pour l'analyse d'artefacts (NTFS, MTF, regitry, evtx, prefetch, ...), et inclue aussi un moteur de recherche avancé pour filtrer les données générées.
      Lors de la présentation nous passerons en revue l'architecture de la bibliothèque TAP, nous verrons quand et comment utiliser TAPIR et bin2json, et enfin nous ferons une démonstration de ces différents outils.

      Speaker: Solal Jacob
    • 4
      RETEX Carrefour SOC

      Bonjour,

      Le SOC / CSIRT Carrefour vous propose de presenter un retour d'expérience sur un incident majeur intervenu sur son périmètre en Septembre 2021.

      Speakers: Quentin Courtel (Carrefour), Thierry Guignard (Carrefour)
    • 1:00 PM
      Déjeuner
    • 5
      IOCmite - Quand Suricata rencontre MISP

      Cette conférence a pour but de présenter différents cas d'usage de l'outil opensource IOCmite.

      IOCmite permet de créer des datasets d'indicateur de compromission pour permettre la détection en utilisant Suricata, sonde de détection d'intrusion opensource

      https://github.com/sebdraven/IOCmite

      Speakers: Eric Leblond (Stamus Network), Sebastien Larinier (ESIEA)
    • 6
      TinyCheck, détection d'implants passive sur smartphones via l'analyse de flux réseau.

      Comment permettre à quiconque de savoir si son smartphone est compromis ? C’est le but de l’outil « TinyCheck ». Développé en premier lieu pour lutter contre le fléau des Stalkerwares, ce projet permet aussi de détecter dans certains cas la présence d’implants plus sophistiqués mis en œuvre par des acteurs malveillants.

      Speaker: Felix Aime
    • 7
      Aspects juridiques de la biométrie dans les investigations numériques : Lorsque le corps devient la clef

      Cette contribution visera à analyser la problématique du recours à la biométrie pour déverrouiller des appareils mobiles, supports de données et dossiers de fichiers dans le cadre d'investigations pénales. Elle se consacrera principalement à des problématiques de de procédure pénale et, en particulier, au conflit existant entre de telles méthodes d'enquête et le principe nemo tenetur se ipsum accusare selon lequel nul n'est tenu de s'auto-incriminer. L'on analysera ainsi si les données biométriques rattachées à un individu sont couverte par l'interdiction de ne pas s'auto-incriminer. Voir la table des matières provisoires dans le fichier joint.

      Speakers: Renaud Zbinden, Dr Ludovic Tirelli (ILCE)
    • 8
      L’utilisation du scambaiting à des fins préventives contre les cyberarnaques : le cas des arnaques aux sentiments

      Le projet porte sur l’intérêt du scambaiting à des fins préventives pour lutter contre les cyberarnaques. Le scambaiting est une technique consistant à appâter des cyberescrocs en se faisant passer pour une victime.

      Speakers: Olivier Beaudet-Labrecque (Institut de lutte contre la criminalité économique), Renaud Zbinden (Institut de lutte contre la criminalité économique)
    • 4:00 PM
      Pause café
    • 9
      La montée en puissance des Initial Access Brokers (IABs) - quels constats faut-il en tirer ?

      Cette présentation reprend les résultats d'une analyse des accès à des systèmes compromis mis en vente sur les espaces d'échanges cybercriminels entre juillet et décembre 2021.

      Speaker: Livia Tibirna
    • 10
      La mutation de l'hébergement "bulletproof"

      Les hébergeurs bulletproofs sont au coeur de la criminalité sur Internet. Bien que ce terme soit souvent utilisé à outrance en désignant des acteurs du cloud ne répondant pas suffisamment vite aux sollicitations, ce terme désigne véritablement des hébergeurs fournissant un service "premium" à ses clients afin de ne pas subir de coupure de service à la suite d'une plainte, de la résilience en cas d'interruption du service ainsi qu'une non-cooperation avec les forces de l'ordre en cas de sollicitation.
      Ces 5 dernières années, une tendance en matière de service bulletproofs semble se dessiner. L'exploitation directe d'un datacentre, et toutes les contraintes associées, laisse la place à des réseaux de revendeurs de services basés sur l'infrastructure de fournisseurs de cloud tout à fait légitimes. L'objectif de cette présentation est de dresser le tableau de ce nouveau modèle en apportant quelques éléments pour reconnaître ces revendeurs de services bulletproofs.

      Speaker: Sébastien MERIOT
    • 11
      Investigations sur un système de fichiers atypiques ou comment voyager dans le temps avec un groupe APT
      Speaker: Ministère de l'intérieur (Ministère de l'intérieur)