Conférence sur la Réponse aux Incidents & l'Investigation Numérique 2022

7 juin 2022, Lille

CoRIIN2023-FondDeSalle[1]

#CoRIIN2022

Huitième édition de #CoRIIN, conférence dédiée aux techniques de la réponse aux incidents et de l’investigation numérique, cette journée permettra aux enquêteurs spécialisés, experts judiciaires, chercheurs du monde académique ou industriel, juristes, spécialistes de la réponse aux incidents ou des CERTs de partager et échanger sur les techniques du moment.

Le programme

L’ambition de cette conférence est de rassembler cette communauté encore disparate autour de présentations techniques ou juridiques de qualité, sélectionnées par notre comité de programme.

the-climate-reality-project-Hb6uWq0i4MI-unsplash-1200x800-1
10:00

Accueil

Un accueil café est organisé à partir de 10h, après le contrôle des billets.

11:00

Retour d’expérience sur un Zepplin

11:30

DFIR4vSphere: Investigation numérique sur la solution de virtualisation VMWare vSphere

Lénoard Savina

VMWare vSphere est une solution de virtualisation composée d’hyperviseurs de type 1 (ESXi) et d’une console de gestion centralisée (VCenter). Selon VMWare, en entreprise près de 80% des environnements virtualisées reposent sur cette technologie. En conséquence c’est une cible de choix pour un attaquant. Dans cette présentation nous allons montrer comment utiliser le module PowerShell DFIR4vSphere pour collecter des journaux et artéfacts forensique aussi bien sur les hôtes ESXi que sur la console VCenter.

12:00

TAPIR : Un parseur d’artefacts pour la réponse aux incidents

Solal Jacob

Cette présentation est axée sur deux nouveaux outils de réponse aux incidents : TAPIr et bin2json. Ces deux outils sont basés sur une bibliothèque écrite en rust : TAP (Trustable Artifact Parser), qui fournit différents plugins pour l’analyse d’artefacts (NTFS, MTF, regitry, evtx, prefetch, …), et inclue aussi un moteur de recherche avancé pour filtrer les données générées. Lors de la présentation nous passerons en revue l’architecture de la bibliothèque TAP, nous verrons quand et comment utiliser TAPIR et bin2json, et enfin nous ferons une démonstration de ces différents outils.

12:30

RETEX Carrefour SOC

Quentin Courtel

Le SOC / CSIRT Carrefour vous propose de presenter un retour d’expérience sur un incident majeur intervenu sur son périmètre en Septembre 2021.

13:00

Déjeuner

14:00

IOCmite – Quand Suricata rencontre MISP

Éric Leblond

Cette conférence a pour but de présenter différents cas d’usage de l’outil opensource IOCmite. IOCmite permet de créer des datasets d’indicateur de compromission pour permettre la détection en utilisant Suricata, sonde de détection d’intrusion opensource

14:30

TinyCheck, détection d’implants passive sur smartphones via l’analyse de flux réseau

Félix Aimé

Comment permettre à quiconque de savoir si son smartphone est compromis ? C’est le but de l’outil « TinyCheck ». Développé en premier lieu pour lutter contre le fléau des Stalkerwares, ce projet permet aussi de détecter dans certains cas la présence d’implants plus sophistiqués mis en œuvre par des acteurs malveillants.

15:00

Aspects juridiques de la biométrie dans les investigations numériques : Lorsque le corps devient la clef

Ludovic Tirelli

Cette contribution visera à analyser la problématique du recours à la biométrie pour déverrouiller des appareils mobiles, supports de données et dossiers de fichiers dans le cadre d’investigations pénales. Elle se consacrera principalement à des problématiques de de procédure pénale et, en particulier, au conflit existant entre de telles méthodes d’enquête et le principe nemo tenetur se ipsum accusare selon lequel nul n’est tenu de s’auto-incriminer. L’on analysera ainsi si les données biométriques rattachées à un individu sont couverte par l’interdiction de ne pas s’auto-incriminer.

15:30

L’utilisation du scambaiting à des fins préventives contre les cyberarnaques : le cas des arnaques aux sentiments

Olivier Beaudet-Labrecque

Le projet porte sur l’intérêt du scambaiting à des fins préventives pour lutter contre les cyberarnaques. Le scambaiting est une technique consistant à appâter des cyberescrocs en se faisant passer pour une victime.

16:00

Pause café

16:30

La montée en puissance des Initial Access Brokers (IABs) – quels constats faut-il en tirer ?

Livia Tibirna

Cette présentation reprend les résultats d’une analyse des accès à des systèmes compromis mis en vente sur les espaces d’échanges cybercriminels entre juillet et décembre 2021.

17:00

La mutation de l’hébergement « bulletproof »

Les hébergeurs bulletproofs sont au coeur de la criminalité sur Internet. Bien que ce terme soit souvent utilisé à outrance en désignant des acteurs du cloud ne répondant pas suffisamment vite aux sollicitations, ce terme désigne véritablement des hébergeurs fournissant un service « premium » à ses clients afin de ne pas subir de coupure de service à la suite d’une plainte, de la résilience en cas d’interruption du service ainsi qu’une non-cooperation avec les forces de l’ordre en cas de sollicitation. Ces 5 dernières années, une tendance en matière de service bulletproofs semble se dessiner. L’exploitation directe d’un datacentre, et toutes les contraintes associées, laisse la place à des réseaux de revendeurs de services basés sur l’infrastructure de fournisseurs de cloud tout à fait légitimes. L’objectif de cette présentation est de dresser le tableau de ce nouveau modèle en apportant quelques éléments pour reconnaître ces revendeurs de services bulletproofs.

17:30

Investigations sur un système de fichiers atypiques ou comment voyager dans le temps avec un groupe APT

VMWare vSphere est une solution de virtualisation composée d’hyperviseurs de type 1 (ESXi) et d’une console de gestion centralisée (VCenter). Selon VMWare, en entreprise près de 80% des environnements virtualisées reposent sur cette technologie. En conséquence c’est une cible de choix pour un attaquant. Dans cette présentation nous allons montrer comment utiliser le module PowerShell DFIR4vSphere pour collecter des journaux et artéfacts forensique aussi bien sur les hôtes ESXi que sur la console VCenter.

18:00

Mot de la fin

Le FIC

#CoRIIN2022 est organisée dans le cadre du FIC, Forum international de la cybersécurité, qui se déroule à Lille du 7 au 9 juin 2022.

Notre conférence se tient dans l'espace Jeanne de Flandres, au dernier étage de Lille Grand Palais.

Inscription

L'inscription est obligatoire et une participation aux frais est demandée, permettant de financer la location de la salle, le déjeuner et les pauses café.