VULNÉRABILITÉ DES POSTES CLIENTS
par Gaël  DELALLEAU (Ernst & Young) , Renaud  FEIL (Ernst & Young)
Résumé
L'efficacité des protections couramment mises en oeuvre pour sécuriser les postes clients (antivirus, pare-feu, proxy Web) est souvent surestimée. Ces protections souffrent de limitations intrinsèques qui laissent la porte ouverte à certains types d'attaques. Nous montrons ainsi à travers des exemples concrets qu'un attaquant pourrait identifier de façon précise la version d'une application cliente afin de lancer une attaque ciblée, en contournant le filtrage antivirus. Nous démontrons également qu'une application Web accessible uniquement depuis le réseau interne et nécessitant une authentification peut être attaquée depuis Internet à partir d'une simple page Web visionnée dans le navigateur d'un poste client. Nous prévoyons enfin que des outils permettant d'automatiser l'identification et l'attaque des postes clients vont se développer. Nous présentons un "framework" de démonstration montrant la possibilité d'attaques automatisées auto-adaptables ciblant les postes de travail, ainsi que les parades permettant de protéger le système d'information face aux attaques présentées.
Biographie
Gaël Delalleau est Auditeur Senior au sein du département Technology and Security Risk Services du cabinet Ernst & Young. Expert en audit de sécurité applicatif et tests d'intrusion, il a dirigé de nombreuses missions et formations dans ces domaines. Gaël a déjà présenté par le passé les résultats de recherches techniques innovantes sur la Sécurité des Systèmes d'Informations lors de conférences internationales comme CanSecWest, I-4, SSTIC. Gaël Delalleau est ingénieur diplômé de l'Ecole Polytechnique.
Biographie
Renaud Feil est auditeur sécurité au sein du département Technology and Security Risk Services du cabinet Ernst & Young. Ses recherches récentes ont porté sur la sécurité des postes clients. Il est diplômé du mastère SSIR de l'ENST.

Icon  Name                                                                Size  
[PARENTDIR] Parent Directory - [   ] SSTIC06-article-Delalleau_Feil-Vulnerabilite_des_postes_clients.pdf 1.0M [   ] SSTIC06-Delalleau_Feil-Vulnerabilite_des_postes_clients.ppt 775K [   ] SSTIC06-Delalleau_Feil-Vulnerabilite_des_postes_clients.pdf 352K