Conférence sur la Réponse aux Incidents & l'Investigation Numérique 2023

5 avril 2023, Lille

CoRIIN2023-FondDeSalle[1]

#CoRIIN2023

Neuvième édition de #CoRIIN, conférence dédiée aux techniques de la réponse aux incidents et de l’investigation numérique, cette journée permettra aux enquêteurs spécialisés, experts judiciaires, chercheurs du monde académique ou industriel, juristes, spécialistes de la réponse aux incidents ou des CERTs de partager et échanger sur les techniques du moment.

Le programme

L’ambition de cette conférence est de rassembler cette communauté encore disparate autour de présentations techniques ou juridiques de qualité, sélectionnées par notre comité de programme.

the-climate-reality-project-Hb6uWq0i4MI-unsplash-1200x800-1
10:00

Accueil

Un accueil café est organisé à partir de 10h, après le contrôle des billets.

11:00

Infostealers : investiguer la menace cybercriminelle dans son écosystème

Livia Tibirna, Pierre Le Bourhis et Quentin Bourgue

Depuis plusieurs années, la menace des information stealers, plus communément appelés infostealers, touche de plus en plus de particuliers et d’entreprises. Cette évolution s’explique notamment par la popularisation de cette menace au sein de l’écosystème cybercriminel russophone, et la professionnalisation des activités associées – deux phénomènes qui seront approfondis dans la présentation.

11:45

Plongée au cœur de réseaux organisés de scammers français

Thomas Damonneville

Cette présentation porte sur une courte étude des places de marché proposant tous les services nécessaires au lancement de campagnes de phishing importantes, ciblant les intérêts et clients de services de l’État français et de grandes entreprises.

12:15

ANSSI – Présentation de la mise à jour du référentiel PRIS (prestataire de réponses aux incidents)

Anais Ratanavanh et Rémi Bouju

L’ANSSI a publié en 2017 le référentiel d’exigences applicables à un prestataire de réponse aux incidents de sécurité (PRIS). Ce référentiel a vocation à permettre la qualification (au titre du décret n°2015-350 du 27 mars 2015) de prestataire de confiance PRIS. Il permet au commanditaire d’une prestation de disposer de garanties sur les compétences du prestataire et de son personnel, sur la qualité des prestations de réponse aux incidents de sécurité réalisées à sa capacité à adopter une approche globale de l’incident de sécurité, une démarche d’analyse adaptée et sur la protection des informations sensibles dont le prestataire aura connaissance au cours de la prestation. Ce référentiel permet notamment de qualifier les prestataires susceptibles d’intervenir, pour le traitement des incidents de sécurité, au profit des secteurs d’importance vitale concernés par l’application des règles de sécurité prévues au titre de la loi de programmation militaire. Il peut également être utilisé, à titre de bonnes pratiques, en dehors de tout contexte réglementaire.Des travaux de mise à jour de ce référentiel ont été lancés par l’ANSSI en 2022. La présentation sera axée sur les orientations de mise à jour du référentiel, le niveau de détail sera consolidé selon l’avancement de ce chantier d’ici avril 2023.

12:45

Déjeuner

13:45

Ukraine – Retour d’expérience de réponses à incidents

David Grout

Cette session sera l’occasion de partager les éléments vus par un éditeur de sécurité sur place en Ukraine depuis le début de la crise, les techniques et les outils utilisés par les attaquants.
Nous en profiterons pour présenter l’organisation d’une réponse à incidents en temps de guerre, ces challenges , ces difficultés et le quotidien.

14:15

Améliorer les capacités réponses aux campagnes informationnelles en adaptant les outils de la CTI

Anaïs Meunier

Le service de vigilance et de protection contre les ingérences numériques étrangères (VIGINUM) a pour mission de détecter et caractériser les opérations et campagnes d’ingérence numérique étrangère. Apparues principalement lors des périodes électorales pour chercher à influencer le vote de certaines catégories de citoyens, cette menace informationnelle s’immisce désormais dans tous les champs du débat public numérique, exploitant tout fait d’actualité ou événements sociaux marquants.
Pouvant mettre en œuvre des modes opératoires différents, ces actions à finalité malveillante se traduisent principalement par des comportements inauthentiques visant à amplifier la diffusion de contenus manifestement inexacts ou trompeurs dans le but d’atteindre nos intérêts fondamentaux.
La multiplication de ces campagnes et leurs effets potentiels sur notre fonctionnement démocratique et plus largement notre société conduit de nombreuses organisations à élaborer des schémas analytiques permettant de décrire le comportement de ces acteurs et leurs objectifs de campagne.
L’exploitation récente de Disarm et sa formalisation encore en évolution permettent de l’utiliser comme un « bac à sable » : que ce soit pour définir un état de la menace, pour une aide à l’investigation ou pour partager de manière standardisée de l’information entre partenaires. Enfin, au-delà des bénéfices immédiats pour l’analyse, ces chantiers soulèvent des questions méthodologiques et techniques propices aux échanges et partages pour avancer de manière collective dans la lutte contre les campagnes informationnelles.

14:45

Souvenirs d’un voyage au pays des brouteurs : Etude exploratoire de la cybercriminalité en Côte d’Ivoire

Olivier Beaudet-Labrecque et Renaud Zbinden
Cette présentation portera sur les résultats d’une étude de terrain exploratoire sur la cybercriminalité en Côte d’Ivoire. L’équipe de recherche de l’Institut de lutte contre la criminalité économique a séjourné à Abidjan durant deux mois à l’automne 2022. De nombreux entretiens ont pu être menés avec des cybercriminels et avec les différentes autorités en charge de la lutte contre la cybercriminalité et contre le blanchiment des flux financiers illicites associés.

  • L’état de la cybercriminalité en Côte d’Ivoire
  • Moyens de lutte contre la cybercriminalité
  • Cadre légal de lutte contre la cybercriminalité
  • Cybercriminels ivoirienne
  • Perspectives futures
15:15

Forensic analysis on ADCS environment

Arnaud l’Hutereau et Gregory Guillermin

The following questions are discussed: ADCS mechanisms: how does it work, how is it structured?
How can vulnerability and misconfiguration occur and lead to a privilege escalation? Which forensic artifacts can be leveraged? Focus on logging, which event is generated by action? Can we go fast by automating the search for compromise?
We will focus on enrollment process, where vulnerability and misconfigurations exist and are documented from an offensive point of view.

15:45

Pause café

16:15

AD Canaries: Un canari sorti du chapeau

Quentin Arnould
16:45

Au feu! Les réseaux sociaux plus rapide que les pompiers

Antoine Desbiolles, Inès Labidi et Steve Brodbeck
17:15

Biome, la nouvelle pépite pour les smartphones et les ordinateurs Apple

Jean-Philippe Noat

Dans cette présentation, nous découvrirons ce qui semble devoir être une source de journaux extrêmement intéressante à compter de iOS 16 et permettra d’approfondir vos investigations en matière de terminaux mobiles.
Les possibilités du Biome semblent devoir être étendues. Toutes les recherches et découvertes concernent également MacOS 13.

17:45

Is Ironman Bulletproof? A non-MCU story

Thibaut Séret

Dans cette présentation, nous allons présenter et détailler l’activité d’un des bulletproof hoster les plus anciens dans le domaine du cybercrime, actif a minima depuis 2009.
Nous discuterons rapidement sur les débuts de l’acteur derrière cette activité en 2009, revenir sur les années importantes et l’évolution de l’activité cybercriminelle liée a ce bulletproof hoster. À la base, utilisé pour héberger des sites de phishing ou des shops de carte de crédit, a, en 2022-2023, devenir l’hébergeur favori des groupes d’APTs, de certains ransomware, hacktivistes, et même d’autre bulletproof hosters.
L’infrastructure sera mise en lumière, et avec toutes les relations trouvées concernant d’autres acteurs.
Nous souhaitons également amener un esprit de collaboration concernant ce bulletproof hoster, mais également les autres que nous suivons.

Le FIC

#CoRIIN2023 est organisée dans le cadre du FIC, Forum international de la cybersécurité, qui se déroule à Lille du 5 au 7 avril 2023.

Notre conférence se tient dans l'Amphithéâtre Pasteur de Lille Grand Palais.

Inscriptions

L'inscription est obligatoire et une participation aux frais est demandée, permettant de financer la location de la salle, le déjeuner et les pauses café.

Les partenaires de #CoRIIN2023

Platine

Argent

Bronze

Google-Tagline_rgb_OneColorGrey-on-Light
Logo-groupe-la-poste-2021
logoLEXFO-CMJN
ALGOSECURE-LOGO-VERT
MSAB_Logo_Blue_Plate