Séances passées

Année 2018 – 2019

• Jeudi 20 Juin 2019

  Maciej Korczynski (LIG - Grenoble) Internet-wide Measurements for Cybersecurity: The Case of DNS Zone Poisoning

  Current communication networks are increasingly becoming pervasive, complex, and ever-evolving due to factors like enormous growth in the number of network users, continuous appearance of network applications, increasing amount of data transferred, and diversity of user behavior. Therefore, there is a great need for comprehensive Internet-wide measurements for cybersecurity. Critical facts about the Internet security, such as “Which domain registries are abused by the cybercriminals the most?” or "Which Internet Service Providers do not deploy source IP address filtering, facilitating massive DDoS attacks?" remain poorly quantified.
  In this talk, we will discuss a number of examples of measurement studies of the domain name space. In particular, we will explore an attack against configuration files of poorly maintained name servers allowing, for example, domain hijacking. We refer to this type of attack as to "zone poisoning". The attack is as simple as sending a single RFC compliant DNS dynamic update packet to a misconfigured server. In the simplest version of an attack, a miscreant could replace an existing A or MX DNS resource record in a zone file of a server and point the domain name to an IP address under control of an attacker. We will present the global measurement study of the vulnerability. To assess the potential impact of non-secure dynamic updates, we scanned 290 million domains worldwide and found that among the vulnerable domains are governments, banks and health care providers, demonstrating that the threat impacts important services.
  We have also issued notifications for website owners, DNS service providers, and network operators, suffering from non-secure DNS dynamic updates to assess which mechanisms are more effective at remediating the vulnerability. After the introduction of the General Data Protection Regulation (GDPR) some registration information is, however, no longer displayed in the public WHOIS data. Therefore, we also assessed the effectiveness of alternative communication channels and issued notifications to national CERTs.
  Via our study of the zone poisoning attack and subsequent notifications to affected parties and respective intermediaries, we aimed to improve the security of the global DNS ecosystem and test alternative methods to contact affected parties after the introduction of the GDPR regulation.

• Jeudi 6 Juin 2019

  Lucca Hirschi (INRIA - LORIA) Security and Privacy of 5G AKA vs. Formal Verification

  Mobile communication networks connect much of the world’s population. The security of every user’s calls, SMSs, and mobile data, depends on the guarantees provided by the Authenticated Key Exchange protocols used. For the next-generation network (5G), the 3GPP group has standardized the 5G AKA protocol for this purpose.
  We first discuss a comprehensive formal model and security analysis of 5G AKA (CCS'18). We extract precise requirements from the 3GPP standards defining 5G and we identify missing security goals. Using the security protocol verification tool Tamarin, we conduct a full, systematic, security evaluation of the model with respect to the 5G security goals. Our evaluation automatically identifies the minimal security assumptions required for each security goal and we find that some critical security goals are not met, except under additional assumptions missing from the standard. Finally, we make explicit recommendations with provably secure fixes for the attacks and weaknesses we found.
  We then discuss a privacy vulnerability we manually found on 5G AKA but that also affects the 3G and 4G versions of AKA (PETS'19). Despite the practical relevance of this new attack, no prior automated analyses were able to find it. Even a posteriori, automatically finding the privacy attack and establishing claims about potential fixes are challenging. We discuss why is so and identify some remaining scientific and technical obstacles.

• Lundi 27 Mai 2019

  Diego Aranha (Aarhus University) Return of the Insecure Brazilian Voting Machines

  This talk presents a detailed and up-to-date security analysis of the voting software used in the last Brazilian elections by more than 140 million voters. It is mainly based on results obtained in a restricted hacking challenge organized by the Superior Electoral Court (SEC), the national electoral authority. During the event, multiple serious vulnerabilities (hard-coded cryptographic keys and insufficient integrity checks, among others) were detected in the voting software, which, when combined, compromised the main security properties of the equipment, namely ballot secrecy and software integrity. We trace the history of the vulnerabilities to a previous security analysis, providing some perspective about how the system evolved in the past 7 years. As far as we know, this was the most in-depth compromise of an official large-scale voting system ever performed under such severely restricted conditions. Joint work with Pedro Y. S. Barbosa, Thiago N. C. Cardoso, Caio Lüders and Paulo Matias.
  
  Bio: Diego F. Aranha is an Assistant Professor in the Department of Engineering at Aarhus University. He holds a PhD degree in Computer Science from the University of Campinas and has worked as a visiting PhD student for 1 year at the University of Waterloo. His professional experience is in Cryptography and Computer Security, with a special interest in the efficient implementation of cryptographic algorithms and security analysis of real-world systems. He coordinated two teams of independent researchers capable of detecting and exploring vulnerabilities in the software of the Brazilian voting machines during controlled tests organized by the national electoral authority. He received the Google Latin America Research Award for research on privacy twice, and the MIT TechReview's Innovators Under 35 Brazil Award for his work in electronic voting.

• Jeudi 4 Avril 2019

  Gilles Barthe (MPI (Bochum) and IMDEA (Madrid)) Computer-aided cryptography

  We need cryptography that we can trust. Yet the design, analysis, and implementation of cryptographic libraries is a challenging task, that requires insights across various areas of mathematics and computer science. Computer-aided cryptography is a young research area which uses formal methods for exploring the design space of cryptographic constructions and for delivering zero-defect, side-channel resistant, cryptographic libraries. The talk will give an overview of our work in computer-aided cryptography and discuss some of the challenges and opportunities in cryptography and beyond.

• Jeudi 28 Février 2019

  Aurore Guillevic (INRIA - LORIA) Discrete logarithm computation in finite fields GF(p^k) with NFS variants and consequences in pairing-based cryptography

  Pairings on elliptic curves are involved in signatures, NIZK, and recently in blockchains (ZK-SNARKS). These pairings take as input two points on an elliptic curve E over a finite field, and output a value in an extension of that finite field. Usually for efficiency reasons, this extension degree is a power of 2 and 3 (such as 12,18,24), and moreover the characteristic of the finite field has a special form. The security relies on the hardness of computing discrete logarithms in the group of points of the curve and in the finite field extension.
  In 2013-2016, new variants of the function field sieve and the number field sieve algorithms turned out to be faster in certain finite fields related to pairing-based cryptography. Now small characteristic settings (with GF(2^(4*n)), GF(3^(6*m))) are discarded, and the situation of GF(p^k) where p is prime and k is small (in practice from 2 to 54) is unclear. The asymptotic complexity of the Number Field Sieve algorithm in finite fields GF(p^k) (where p is prime) and its Special and Tower variants is given by an asymptotic formula of the form A^(c+o(1)) where A depends on the finite field size (log p^k), o(1) is unknown, and c is a constant between 1.526 and 2.201 that depends on p, k, and the choice of parameters in the algorithm.
  In this work we improve the approaches of Menezes-Sarkar-Singh and Barbulescu-Duquesne to estimate the cost of a hypothetical implementation of the Special-Tower-NFS in GF(p^k) for small k (k ≤ 24), and update some parameter sizes for pairing-based cryptography.
  This is a joint work with Shashank Singh, IISER Bhopal, India.

• Jeudi 20 Décembre 2018

  Tayssir Touili (LIPN (Laboratoire d'Informatique de Paris Nord)) On static malware detection

  The number of malware is growing extraordinarily fast. A malware may bring serious damage. Thus, it is crucial to have efficient up-to-date virus detectors. A robust malware detection technique needs to check the behavior (not the syntax) of the program without executing it. We show in this talk how using behavior signatures allow to efficiently detect malwares in a completely static way. We applied our techniques to detect several malwares. Our tool was able to detect more than 800 malwares. Several of these malwares could not be detected by well-known anti-viruses such as Avira, Avast, Norton, Kaspersky and McAfee

• Jeudi 15 Novembre 2018

  Corinna Schmitt (Universität der Bundeswehr München) Authentication in IoT Networks

  Today over 35 billion devices are connected with each other building the Internet of Things (IoT). The device diversity ranges from constrained devices (e.g., sensor, Smartwatches) over Tables and Smartphone to resource-rich devices like notebooks and servers. In parallel the stack in IoT shows also diversity and includes usage of many standards and third-party services at the same time from collection point to the application. Manifold data is collected all the time and the users have less knowledge about it, but their awareness of misuse rises.
  Based on this quite complex situation, authentication in IoT networks is important. But which authentication are we speaking of here? In general two opportunities exist: (1) authentication within the deployed network (e.g., between the devices using encryption and handshakes) and (2) authentication from the user side controlling the access. In this talk the focus is placed on the second opportunity, namely user authentication. Most techniques are smartcard based, but the Web-based approach developed within SecureWSN is different: It is based on credentials and automatically handled requests without involvement of third-parties giving data owner full control of access. Thus, first features of the GDPR strengthening ownership are included in SecureWSN.
  
  Bio: Corinna Schmitt holds a Diploma in Bioinformatics (Dipl. Informatik (Bioinformatik)) from the Eberhard-Karls University of Tübingen (Germany) and a Doctor in Computer Science (Dr. rer. nat.) from the Technische Universität München (Germany). She established an efficient data transmission protocol - called TinyIPFIX - with additional features for aggregation, compression, and secure transmission, complementing it with an user-friendly and flexible GUI (CoMaDa).
  From spring 2013 to May 2018 she was employed at the University of Zurich (Switzerland) as "Head of Mobile and Trusted Communications" at the Communication Systems Group (CSG) of Prof. Dr. B. Stiller. Her focus was on constrained networks, security and privacy issues, as well as on Internet of Things related issues. After several years of visiting status at the goup of Prof. Dr. Gabi Dreo-Rodosek at the Universität der Bundeswehr München (Germany) she joint the affiliated Research Institute CODE as researcher and laboratory supervisor. Her research focuses is the same as at the CSG-Group with expands to the application area of military communication and Smart City.
  Her work is documented in more than 30 publications, including 8 book chapters, the RFC 8272 on "TinyIPFIX for Smart Meters in Constrained Networks", and the ITU-T recommendation Y.3013 on "Socio-economic Assessment of Future Networks by Tussle Analysis". She contributes / contributed to several EU projects (e.g., CONCORDIA, AutHoNe, SmartenIT, FLAMINGO, symbIoTe) and different standardization organizations (IETF, ITU, ASUT) until now and continues with these activities and recruits research funds continuously. She is active in ACM and IEEE as TCP member, as well as reviewer for several journals and organizer of conferences.

• Jeudi 11 Octobre 2018

  Bryan Ford (EPFL) Coins, Clubs, and Crowds: Scaling and Decentralization in Next-Generation Blockchains and Cryptocurrencies

  Building secure systems from independent, mutually distrustful parties is an old topic in computer science. But despite its attendant hype and misinformation, today's “blockchain bandwagon” has successfully brought the gospel of decentralization - both a realization of its possibility and an appreciation for its value - to mainstream society. Currently-deployed blockchains, however, are slow, unscalable, weakly consistent, profligate in energy use, and have effectively re-centralized due to market pressures. We will explore ongoing challenges and progress in rethinking blockchain architecture to improve scalability, efficiency, functionality, privacy, and decentralization. We will explore how decentralized building blocks such as collective signatures and scalable distributed randomness enable architecturally modular solutions to challenges such as scalable Byzantine consensus, horizontal sharding, proof-of-stake, and blockchain-managed secrets. Finally, we explore challenges in fairness and democratization in decentralized systems, how “proof-of-personhood” blockchains could enable information forums and anonymous reputation systems resistant to propaganda campaigns, and how democratic cryptocurrencies could offer a permissionless analog of universal basic income.
  
  Bio: Prof. Bryan Ford leads the Decentralized/Distributed Systems (DEDIS) research laboratory at the Swiss Federal Institute of Technology in Lausanne (EPFL). Ford focuses broadly on building secure decentralized systems, touching on topics including private and anonymous communication, scalable decentralized systems, blockchain technology, Internet architecture, and operating systems. Ford earned his B.S. at the University of Utah and his Ph.D. at MIT, then joined the faculty of Yale University where his work received the Jay Lepreau Best Paper Award and grants from NSF, DARPA, and ONR, including the NSF CAREER award. His continuing work receives support from EPFL, the AXA Research Fund, and numerous industry partners. He has served on numerous prestigious advisory boards including on the DARPA Information Science and Technology (ISAT) study group, the Swiss FinTech Innovations (SFTI) advisory board, and the Swiss Blockchain Taskforce.

• Jeudi 27 Septembre 2018

  Clémentine Maurice (CNRS, IRISA) Evolution of microarchitectural attacks

  Hardware is often considered as an abstract layer that behaves correctly, just executing instructions and outputing a result. However, the internal state of the hardware leaks information about the programs that are executing, paving the way for covert or side-channel attacks. In this presentation, we will cover the evolution of microarchitectural attacks. We will first have a look at a historical recap of past attacks and how the field evolved in the last years. We will focus on two recent trends, that are practical attacks (by demonstrating robust covert channels in the cloud) and the increase of the attack surface. We will conclude with the different challenges and open questions that the field is facing.

Année 2017 – 2018

• Mardi 26 Juin 2018 13h00–14h00

  Pierre Parrend (ECAM Strasbourg-Europe) Health Optimisation through 4P Ecosystems: the HOPE suite for medical data security

  HOPE (Health Optimisation through 4P Ecosystems) is a software suite for managing complex patient cohorts in a secure manner. It aims at supporting integration, analysis, exploitation and protection of medical data in distributed ecosystems. HOPE integrates 36 cohorts, from massive ones like Jiva Cohort with 500.000 patients of traditional medicine from India, to tiny cohorts of patients with extremely rare diseases, like Genida cohorts that entail from 2 to 40 people. HOPE provides tools for connecting together patients and medical practitioners (Genida), statistical analysis of medical data (OptimR), security control (Meerkat), and secure distributed data safeguard (RADAR). HOPE is part of the BICS Platform: Bio-statistics, Informatics and Complex Systems, of ICube Laboratory at University of Strasbourg, which aims at providing algorithmic solutions for understanding and steering natural as well as artificial complex systems.

• Mardi 12 Juin 2018 14h00–15h00

  Daniel Augot (Inria Saclay et École polytechnique) Bitcoin, cryptomonnaies, blockchains: la folie, le pourquoi de la folie, et la science

  Le "buzz", "hype", ou tout simplement l'excitation, autour des cryptomonnaies attend des sommets invraisemblables, souvent ridicules. On peut se demander de quoi il retourne. Après, en guise d'introduction, avoir donné des exemples de cette folie Bitcoin (pour rire un peu), je rentrerai dans le cœur des protocoles historiques de blockchain, la preuve de travail, inventée dans le cadre de Bitcoin, ce qui permet de comprendre pourquoi ces protocoles sont considérés comme "décentralisés", une propriété tant vantée dans le monde des cryptomonnaies. On verra ensuite les variantes intuitives qui peuvent assez naturellement se présenter, et que la recherche scientifique a pris le train très en retard, sur un sujet qui semble nouveau, à la rencontre de l'algorithmique distribuée et de la cryptographie. Enfin, je présenterai les questions de recherche qui se posent, avec toutefois une orientation plus cryptographique que distribuée.

• Vendredi 23 Mars 2018 14h00–16h30

  Series of 3 talks by the jury of the PhD defense of Alicia Filipiak

  Valérie Viet Triem Tong (Centrale Supélec, Rennes). 14h00 – 14h45
  Android Malware Analysis
  During this seminar we will present how to combine static and dynamic analysis to automatically execute suspicious code contained by Android applications. More precisely, with a first static analysis we locate suspicious pieces of code and compute all the executions paths that start from an entry point and reach these suspicious pieces code. In a second part we drive the execution of the application on one of these executions paths in order to observe the effect of the malware on the operating system.
   
  Olivier Pereira (Université Catholique de Louvain). 14h45 – 15h30
  STAR-Vote: A Secure, Transparent, Auditable and Reliable Voting System
  STAR-Vote is a voting system that results from a collaboration between a number of academics and Travis County's elections office in Texas. STAR-Vote represents a rare opportunity for a variety of sophisticated technologies, such as end-to-end cryptography and risk limiting audits, to be designed and combined into a new voting system, designed from scratch, with a variety of real-world constraints, such as election-day vote centers that must support thousands of ballot styles and run all day in the event of a power failure. We present and motivate the design of the STAR-Vote system, and the benefits that we expect from it.
  This is based on joint work with Josh Benaloh, Mike Byrne, Philip Kortum, Neal McBurnett, Ron Rivest, Philip Stark, Dan Wallach and the Office of the Travis County Clerk
   
  Cas Cremers (University of Oxford). 15h30 – 16h15
  On Ends-to-Ends Encryption: Asynchronous Group Messaging with Strong Security Guarantees
  In the past few years secure messaging has become mainstream, with over a billion active users of end-to-end encryption protocols through apps such as WhatsApp, Signal, Facebook Messenger, Google Allo, Wire and many more. While these users' two-party communications now enjoy very strong security guarantees, it turns out that many of these apps provide, without notifying the users, a weaker property for group messaging: an adversary who compromises a single group member can intercept communications indefinitely.
  One reason for this discrepancy in security guarantees is that most existing group messaging protocols are fundamentally synchronous, and thus cannot be used in the asynchronous world of mobile communications. In this paper we show that this is not necessary, presenting a design for a tree-based group key exchange protocol in which no two parties ever need to be online at the same time, which we call Asynchronous Ratcheting Tree (ART). ART achieves strong security guarantees, in particular including post-compromise security.
  We give a computational security proof for ART's core design as well as a proof-of-concept implementation, showing that ART scales efficiently even to large groups. Our results show that strong security guarantees for group messaging are achievable even in the modern, asynchronous setting, without resorting to using inefficient point-to-point communications for large groups. By building on standard and well-studied constructions, our hope is that many existing solutions can be applied while still respecting the practical constraints of mobile devices.
  ART is currently being used as the starting point for Messaging Layer Security (MLS), a proposed new IETF standard for secure messaging.
  Based on joint work with Katriel Cohn-Gordon, Luke Garratt, Keving Milner (University of Oxford) and Jon Millican (Facebook), and many others by now.

• Lundi 19 Février 2018 13h30–14h30

  Peter Schwabe (Radboud University, Nijmegen) The transition to post-quantum cryptography

  In 1994, Shor presented an algorithm that is able to efficiently break all cryptographic key-agreement protocols, public-key encryption, and digital signatures that are in wide use today. The catch with this algorithm is that it requires a large universal quantum computer to run and up until today, no such computer exists. However, massive amounts of money are being invested into building such a computer, and is seems quite plausible that these efforts will succeed within the next 2 or 3 decades.
  This "quantum threat" for today's cryptography means that we will have to transition cryptography to so-called post-quantum cryptography, i.e., primitives that resist attacks also by large quantum computers. This need has been recognized also by the US National Institute for Standards and Technologies (NIST), who started a multi-year program to identify suitable candidate algorithms and eventually standardize those. In the first part of my talk I will give a bit of an overview of the space of proposals in this project.
  In the second part of the talk I will raise the question whether transitioning to post-quantum cryptography should be using post-quantum primitives as drop-in replacements for the primitives that are currently in use. I will give several examples that show why this is at best sub-optimal and that we should start re-thinking cryptographic protocols and systems today, to achieve much better performance and security for post-quantum crypto.

• Mardi 5 Décembre 2017 13h30–14h30

  Deepak Garg (MPI Saarbrücken) Qapla: Policy compliance for database-backed systems

  Many database-backed systems store confidential data that is accessed on behalf of users with different privileges. Policies governing access are often fine-grained, being specific to users, time, accessed columns and rows, values in the database (e.g., user roles), and operators used in queries (e.g., aggregators, group by, and join). Today, applications are often relied upon to issue policy compliant queries or filter the results of non-compliant queries, which is vulnerable to application errors. Qapla provides an alternate approach to policy enforcement that neither depends on application correctness, nor on specialized database support. In Qapla, policies are specific to rows and columns and may additionally refer to the querier's identity and time. They are specified in SQL, and stored in the database itself. The talk will cover the design of Qapla, a prototype implementation and its application to the HotCRP conference management system.

• Mardi 21 Novembre 2017 13h30–14h30

  Jean-Louis Lanet (Inria Rennes) How Secure Containers in a Secure Element are Secure?

  Retrieving assets inside a secure element is a challenging task. The most attractive assets are the cryptographic keys stored into the Non Volatile Memory (NVM) area but also the algorithms executed. Thus, the condentiality of binary code embedded in that device in the Read Only Memory (ROM) must be protected. In some of the secure elements, a part of the instruction set is unknown and dynamically translated during the loading phase. We present a new approach for reversing a binary program when the Instruction Set Architecture (ISA) is partially unknown. Then, we discover many of the native functions that bypass several security checks accessing directly the resources leading to retrieve in plain text the assets. We demonstrate the ability to use them at the Java level to retrieve sensitive assets whatever the protections are like the firewall. Then, we suggest several possibilities to mitigate these attacks.

• 23-25 Octobre 2017

  Véronique Cortier — Krishna Gummadi — Florian Kerschbaum FPS 2017 Keynote Talks

  Le 10th International Symposium on Foundations & Practice of Security (FPS 2017) aura lieu au LORIA. Les exposés invités sont:
  Lundi 23 octobre, 9h30: Véronique Cortier (CNRS, Loria): Electronic voting: how logic can help.
  Mardi 24 octobre, 9h30: Krishna Gummadi (MPI Saarbrücken): Privacy and Fairness Concerns with PII-based Targeted Advertising on Social Media.
  Mercredi 25 octobre, 9h30: Florian Kerschbaum (University of Waterloo, Canada): Building Secure Applications Using Intel’s SGX. Les résumés sont disponibles sur le site de FPS 2017.

• Vendredi 15 Septembre 2017 10h30–11h30

  David Basin, ETH Zurich Verified Secure Routing: The Verified Scion Project

  Cet exposé fait partie du Colloquium du LORIA.

Année 2016 – 2017

• Mardi 25 Avril 2017 10h30–11h30

  N. Asokan, Aalto University and University of Helsinki Securing cloud-assisted services

  All kinds of previously local services are being moved to a cloud setting. While this is justified by the scalability and efficiency benefits of cloud-based services, it also raises new security and privacy challenges. Solving them by naive application of standard security/privacy techniques can conflict with other functional requirements. In this talk, I will outline some cloud-assisted services and the apparent conflicts that arise while trying to secure these services. Taking the case of cloud-assisted malware scanning as an example scenario, I will discuss the privacy concerns that arise and how we can address them effectively.

• Mardi 11 Avril 2017 13h30–14h30

  Axel Legay, Inria Rennes Modelling Attack-Defense Trees using Timed Automata

  Performing a thorough security risk assessment of an organisation has always been challenging, but with the increased reliance on outsourced and off-site third-party services, i.e., ``cloud services'', combined with internal (legacy) IT-infrastructure and -services, it has become a very difficult and time-consuming task. One of the traditional tools available to ease the burden of performing a security risk assessment and structure security analyses in general is attack trees, a tree-based formalism inspired by fault trees, a well-known formalism used in safety engineering. In this talk we study an extension of traditional attack trees, called attack-defense trees, in which not only the attacker's actions are modelled, but also the defensive actions taken by the attacked party. In this work we use the attack-defense tree as a goal an attacker wants to achieve, and separate the behaviour of the attacker and defender from the attack-defense-tree. We give a fully stochastic timed semantics for the behaviour of the attacker by introducing attacker profiles that choose actions probabilistically and execute these according to a probability density. Lastly, the stochastic semantics provides success probabilitites for individual actions. Furthermore, we show how to introduce costs of attacker actions. Finally, we show how to automatically encode it all with a network of timed automata, an encoding that enables us to apply state-of-the-art model checking tools and techniques to perform fully automated quantitative and qualitative analyses of the modelled system.

• Jeudi 23 Mars 2017 13h30–14h30

  Nicolas Anciaux, Inria Saclay A new Approach for the Secure Personal Cloud

  In the current Web model, individuals delegate the management of their data to online applications, each storing and exploiting the data into their own Web data silo. No concrete guarantee is offered to the individual regarding the usage and dissemination of their personal information, which often lack of transparency and depend on the underlying business models. An economical and political consensus emerges today to reestablish the control of the individuals on their data and improve trust. The current centralized approach seems by essence incapable of closing the gap. The PETRUS team addresses this issue through the paradigm of the ``Personal Cloud'', where individuals manage their digital life on a personal platform under control. Our research investigates secure architectures for the personal cloud, new adminstration and data sharing models, secure data management techniques based on secure hardware and societal questions around data privacy from a multi-disciplinary angle.

• Mardi 7 Février 2017 13h30–14h30

  Aurélien Francillon, Eurecom A systemization of fraud in telephony networks, illustrated by a study of Over-The-Top Bypass

  Telephone networks form the oldest large scale network that has grown to touch over 7 billion people. Telephony is now merging many complex technologies and because numerous services enabled by these technologies can be monetized, telephony attracts a lot of fraud. This talk aims to systematically explore the fraud in telephony networks, by differentiating between the root causes, the vulnerabilities, the exploitation techniques, the fraud types and finally the way fraud benefits to the fraudsters. As a concrete example, we will present the Over-The-Top (OTT) bypass fraud, where the regular international phone calls (originated from PSTN or cellular networks) are hijacked and terminated over a smartphone application, instead of being terminated over the normal telecom infrastructure. We will evaluate the possible techniques to detect and measure this fraud and analyze its real impact on a small European country through a case study.

• Mardi 24 Janvier 2017 13h30–14h30

  Marie-Laure Potet, Verimag Sécurité des applications : quels outils ? quelles techniques ?

  L'analyse du code pour chercher des vulnérabilités ou évaluer leur robustesse vis-à-vis d'attaques pose des problèmes différents de la vérification ou la recherche de bugs pour la sûreté. Dans un premier temps nous illustrerons ceci à travers des exemples et montrerons les outils adaptés pour ces analyses.
  Un premier type d'analyse de vulnérabilités sera illustré par l'approche Gueb développée dans le cadre du projet ANR BinSec permettant de détecter les use-after-free, vulnérabilités qui nécessitent une modélisation adaptée de l'allcation dynamique. Nous nous intéresserons ensuite à l'analyse de la robustesse de code contre l'injection de fautes qui nécessitent de représenter les modèles de fautes et de proposer des critères d'évaluation. Nous présenterons FISCC, la première collection publique de code durci contre l'injection de fautes. Ces derniers travaux sont développés dans le cadre du projet DGA-ANR Sertif.

• Mardi 6 Décembre 2016 13h30–14h30

  Marine Minier, LORIA Some results on security in Wireless Sensor Networks (WSNs)

  After a short introduction on security issues in WSNs, we will present two research results. The first one, published in 2008, is a distributed solution based on neighbor links consistency to detect wormhole attacks in a WSN.
  The second one is a dedicated library of lightweight block ciphers targeting a 16-bit micro controller (the popular MSP430 which is present in many washing-machines or refrigerators). We will present several performance results for those block ciphers.

• Mardi 15 Novembre 2016 13h30–14h30

  Viktor Fischer, Université Jean Monnet (Saint-Etienne) New directions in random number generation for cryptography

  The main objective of the talk is to show recent advances in random number generator (RNG) design and evaluation. Starting with the analysis of the contemporary RNG design, we will further present RNG design strategies adopted in the Hubert Curien laboratory. Finally, we will critically compare strategies of RNG evaluation and testing in Europe and United States.

Année 2015 – 2016

• Jeudi 30 Juin 2016 13h30–14h30

  Hervé Debar, Télécom SudParis Vers une approche quantitative pour la réponse aux attaques

  Le domaine de la sécurité informatique s'est intéressé, depuis le début des années 80 et jusqu'à aujourd'hui, au problème de la détection des attaques informatiques, dite «détection d'intrusions». Le volume d'alertes généré par les sondes de détection d'intrusion a, au début des années 2000, nécessité la mise en place de plates-formes SIEM et ouvert le champ de la corrélation d'alertes. L'idée de la corrélation d'alertes était de regrouper les alertes entre elles et de les contextualiser pour permettre à un opérateur de sécurité de formuler un diagnostic et de réagir de manière pertinente. Il s'avère que ces mécanismes de corrélation sont aujourd'hui insuffisants pour assurer un traitement humain de tous les phénomènes d'attaques. Il devient donc nécessaire d'automatiser plus avant la réponse à certaines attaques. Dans cette présentation, nous aborderons le problème du choix de contre-mesures en réponse à une détection (alerte levée par une sonde) en proposant un modèle quantitatif permettant de choisir une contre-mesure (ou un ensemble de) pour répondre à une combinaison d'attaques.

• Jeudi 28 Avril 2016 13h30–14h30

  Jean-Jacques Quisquater, Université Catholique de Louvain 40 ans de cryptographie à clé publique ? Une histoire bien fort secrète !

  Pour nous "tous", la cryptographie à clé publique, ce sont les certificats, https, TLS, Diffie-Hellman, Merkle ?, RSA. Pas vraiment. Il y a 40 ans, une révolution s'est produite dans la protection de nos communications, la cryptographie s'est répandue, de façon sans doute irréversible. Vu le caractère sensible de ce genre de protection, ce fut longtemps l'apanage exclusif des États et des militaires, et il est donc normal de se demander si tout cela n'était pas connu avant, sans que la société civile n'en profite. Nous raconterons donc cette histoire, avec des faits étonnants, rendus publics très récemment grâce notamment à la célébration du centenaire de la naissance d'Alan Turing. Oui, Alan Turing a pressenti l'idée, c'est lui le premier à avoir utilisé le terme, très contradictoire en fait, de clé publique. Oui, l'idée a été imaginée durant la guerre 39-45, et portée par John Kennedy (1963) et, plus fort encore, créée pratiquement par Michael Rabin (vers 1965, sans doute) et plus surprenant, si possible, avant, par un français, le nom sera donné, vers 1960. Des occasions manquées ? Un manque de vision ? Une censure ? Qui sait. Nous savions tous que les anglais, Ellis, Cockx, Williamson avaient anticipé ces idées mais ils n'étaient pas du tout seuls. Surprise !

• Jeudi 17 Mars 2016 13h30–14h30

  Pierre Karpman, Inria Collisions explicites pour la fonction de compression de SHA-1

  Il y a dix ans, Wang et al. publièrent la première attaque théorique sur la fonction de hachage SHA-1 en montrant comment obtenir des collisions pour un coût d'environ 2^69 appels à la fonction au lieu des 2^80 requis par une attaque générique (W2005). Ces travaux ont eu un impact considérable sur la recherche sur SHA-1 en particulier et sur les fonctions de hachage en général. Cependant, malgré plusieurs améliorations qui ont fait baisser le coût estimé de la meilleure attaque à 2^61 (Stevens, 2013), aucune collision n'a encore été publiquement calculée et beaucoup de travaux se sont concentrés sur l'attaque de versions réduites.

  Dans cet exposé nous présenterons des améliorations récentes de l'état de l'art sur trois points : 1) nous montrons comment monter des attaques sur la fonction de compression de SHA-1 plutôt que sur la fonction de hachage complète; 2) nous avons explicitement calculé une collision pour la fonction de compression complète de SHA-1, pour un coût moyen estimé de 2^57 (ainsi que pour une version réduite à 76/80 tours pour un coût moyen de 2^50); 3) la recherche de collision a été implémentée sur cartes graphiques et a permis de démontrer l'intérêt de ce type de plateforme pour le calcul d'attaques de cryptographie symétrique (Karpman et al., 2015), (Stevens et al., 2016).

  (Travaux communs avec Marc Stevens et Thomas Peyrin.)

• Jeudi 3 Mars 2016 13h30–14h30

  Gildas Avoine, Irisa Compromis temps-mémoire cryptanalytiques appliqués aux distributions non-uniformes

  Les compromis temps-mémoire cryptanalytiques ont été introduits par Martin Hellman en 1980 afin de réaliser des recherches exhaustives de clefs. Une avancée majeure a été présentée à Crypto 2003 par Philippe Oechslin, avec les tables arc-en-ciel qui améliorent significativement le travail original de Hellman. Après l'introduction des compromis temps-mémoire cryptanalytiques, nous présenterons durant cet exposé une technique pour améliorer l'efficacité des compromis lorsque l'on considère une distribution non-uniforme des secrets, par exemple pour casser des mots de passe.

• Mardi 2 Février 2016 13h30–14h30

  Nadim Kobeissi, Inria Real world cryptography: making results matter

  The scientific cryptography community produces a wealth of research papers each year. But with the rise of terminology and even conferences focusing on "real world" cryptography, it seems that even terms such as "practical" cryptographic results have become out-of-touch with what affects the users and engineers of secure systems.

  In this talk, I will discuss my pre-INRIA work on producing secure encryption systems accessible to a general audience. I then shift to discussing how our INRIA research group produces cryptographic results that go beyond theoretical attacks to make the contributions directly relevant to general practitioners in computer engineering. How can we help engineers and scientists better verify their protocol implementations? Secure their web applications from the get-go? Write code in languages built to protect it from failure? After an overview of other PROSECCO projects, I will present my own work on programming languages tailored for implementing cryptographic protocols, and that allow regular engineers to automatically generate human-readable, automatically verifiable models of their implementations.

• Mardi 5 Janvier 2016 13h30–14h30

  Pascal Malterre, CEA Miasm, un outil de rétro-conception

  Miasm est un framework open source de rétro-conception créé en 2006. Il embarque son langage intermédiaire ce qui permet de traduire un code en assembleur natif dans une représentation intermédiaire facilement exploitable. Cette représentation est d'ailleurs utilisée par d'autres modules, comme un moteur d'émulation symbolique, un solveur de contraintes, un analyseur de dépendances ou même un jitter permettant l'étude de malwares. Bien que sa prise en main ne soit pas de tout repos, nous nous efforcerons à travers quelques démonstrations de rendre son utilisation virale.

• Mardi 15 Décembre 2015 13h30–14h30

  Olivier Levillain, ANSSI Regards critiques sur SSL/TLS

  SSL/TLS est une des principales briques de sécurité utilisées sur Internet. Conçu initialement pour protéger les connexions HTTP et permettre les transactions bancaires sur Internet, le protocole est devenu en 20 ans la couche de sécurité universelle pour toute sorte de protocoles (POP, IMAP, SMTP, LDAP, etc.), pour la montée de VPN sécurisé ou pour gérer l'authentification WiFi (EAP TLS).

  Depuis 2011, le monde SSL/TLS a été secoué par de nombreuses publications : des failles structurelles ont été découvertes, des attaques cryptographiques réputées inapplicables ont été implémentées, de nombreuses erreurs d'implémentations ont été publiées, et le modèle de confiance WebPKI a montré ses limites.

  Dans cette présentation, je donnerai un aperçu de ces problèmes qui affectent SSL/TLS.

• Mardi 1 Décembre 2015 13h30–14h30

  Emmanuel Thomé, Inria The Logjam attack

  We investigate the security of Diffie-Hellman key exchange as used in popular Internet protocols and find it to be less secure than widely believed. With the number field sieve algorithm, computing a single discrete log in prime fields is more difficult than factoring an RSA modulus of the same size. However, an adversary who performs a large precomputation for a prime p can then quickly calculate arbitrary discrete logs in groups modulo that prime, amortizing the cost over all targets that share this parameter. The algorithm can be tuned to reduce individual log costs even further. Although this fact is well known among mathematical cryptographers, it seems to have been lost among practitioners deploying cryptosystems. Using these observations, we implement a new attack on TLS in which a man-in-the-middle can downgrade a connection to 512-bit export-grade cryptography. In the 1024-bit case, we estimate that discrete log computations are plausible given nation-state resources, and a close reading of published NSA leaks shows that the agency’s attacks on VPNs are consistent with having achieved such a break.

  Joint work with David Adrian, Karthikeyan Bhargavan, Zakir Durumeric, Pierrick Gaudry, Matthew Green, J. Alex Halderman, Nadia Heninger, Drew Springall, Emmanuel Thomé, Luke Valenta, Benjamin VanderSloot, Eric Wustrow, Santiago Zanella-Béguelin, Paul Zimmermann

• Mardi 17 Novembre 2015 13h30–14h30

  Kostas Chatzikokolakis, LIX, Inria Geo-indistinguishability: A Principled Approach to Location Privacy

  In this talk I will present our ongoing project aimed at protecting the privacy of the user when dealing with location-based services. The starting point of our approach is the principle of geo-indistinguishability, a formal notion of privacy that protects the user's exact location, while allowing approximate information – typically needed to obtain a certain desired service – to be released.

  I will give a quick overview of our results in this area: a generic efficient mechanism to sanitize locations with reasonable utility; a custom-built mechanism for a limited set of locations but providing optimal utility; a method to limit the privacy degradation in case of repeated use of the mechanism; a technique to construct elastic metrics for location privacy taking into account the semantics of each location.

  Finally, I will present Location Guard, a web browser extension that provides location privacy when using the HTML5 geolocation API. The extension, available for both desktop (Chrome, Firefox, Opera) and mobile (Firefox) browsers, has reached considerable popularity since its release, with more than 55k active users.

• Mardi 3 Novembre 2015 13h30–14h30

  Maxime Clementz, PWC Ethical Hacking : découverte d'une activité fascinante, exigeante et valorisante aux dimensions techniques, économiques et sociales

  L'ethical hacker, qu'il ou elle mette en pratique ses compétences à titre personnel ou professionnel, est évidemment associé à la notion du « Hacker ». Lui-même dépeint au cinéma et dans les médias comme un individu sombre et mystérieux dont le rôle consiste au mieux à taper frénétiquement sur un clavier, au pire à obtenir le fameux « Access Granted » vert. Nous verrons que le port de la cagoule n'est pas la seule différence entre fiction et réalité : en clientèle, je porte une cravate ! Dans cet exposé, nous dévoilerons les techniques et méthodes de ces experts en sécurité informatique, mais nous nous intéresserons aussi aux aspects économiques et sociaux autour de l' « Ethical Hacking ». Qu'elle prenne la forme d'un métier ou d'un loisir, cette activité exige un état d'esprit très particulier. Nous introduirons finalement différentes problématiques rencontrées couramment, qu'elles soient juridiques, morales ou technologiques

• Mardi 20 Octobre 2015 13h30–14h30

  Éric Freyssinet, Pôle judiciaire de la gendarmerie nationale : Botnets: de l'observation au démantèlement

Année 2014 – 2015

• Jeudi 2 juillet 2015 13h30–14h30

  Christian Grothoff, INRIA Rennes : The GNU Name System

  In this talk, I will present the design of the GNU Name System (GNS), a fully decentralized and censorship-resistant name system. GNS uses cryptography to provide a privacy-enhancing alternative to DNS and existing public key infrastructures (such as X.509 certificate authorities), while giving users the desirable property of memorable names. The design of GNS incorporates the possibility of integration and coexistence with DNS. GNS builds on ideas from the Simple Distributed Security Infrastructure (SDSI), addressing a central issue with the decentralized mapping of secure identifiers to memorable names: namely the impossibility of providing a global, secure and memorable mapping without a trusted authority. GNS uses the transitivity in the SDSI design to replace the trusted root with secure delegation of authority, thus making petnames useful to other users, while operating under the strong adversary model represented by authoritarian state actors.

  Christian Grothoff is leading the Décentralisé team at Inria Rennes. He maintains GNUnet, a network designed with the goal to provide privacy and security without the need for trusted third parties. He earned his PhD in computer science from UCLA, an M.S. in computer science from Purdue University, and a Diplom in mathematics from the University of Wuppertal.

• Jeudi 21 mai 2015 13h30–14h30

  Nora Cuppens, Télécom Bretagne : Système d'aide à la décision pour contrer des attaques coordonnées et simultanées

  Avec la croissance des systèmes d'informations critiques en taille et en complexité et la sophistication des attaques récentes, la communauté scientifique se doit de proposer des systèmes de réponses aux attaques intelligents et automatisés. Dans cet exposé, nous présentons une réflexion et travaux menés conjointement par Télécom Bretagne et ALU pour aider à la modélisation et la conception de tels systèmes.

• Jeudi 7 mai 2015 13h30–14h30

  Cédric Lauradoux, INRIA Grenoble : Google Safe Browsing: Security and Privacy

  Google Safe Browsing est un service de Google qui permet d'empêcher les internautes d'accéder à des contenus malicieux. Ce service a des milliards d'utilisateurs directs et indirects et vous en êtes certainement des utilisateurs sans même le savoir.
  Dans cet exposé, nous verrons quel travail a fait Google avec ce service: nous montrerons comment attaquer ce service et s'il est possible de transformer ce service en un système de traçage.

• Jeudi 9 avril 2015 13h30–14h30

  Bertrand Wallrich, INRIA, LORIA : Laboratoire de Haute Sécurité : Héberger des données sensibles

  La plateforme LHS (Laboratoire de haute sécurité en informatique) concerne la sécurité des systèmes informatiques. Elle a été mise en place en 2008-2009 sur des fonds FEDER (Conseil Régional Lorraine - Communauté Urbaine du Grand Nancy - DRRT - Inria) afin de bâtir une infrastructure de recherche dans le domaine de la sécurité informatique.
  En terme de recherche, les problèmes abordés dans ce cadre concernent surtout l'étude et la prévention d'attaques malveillantes, les garanties en terme de confidentialité, authenticité et intégrité des données lors de transactions électroniques, dans des réseaux, protocoles et services distribués, la gestion des certificats et des révocations, la prévention contre les attaques informatiques et les virus.
  Le LHS est également une plateforme d'hébergement de données sensibles pour la recherche, de par ses équipements de protections, tant physiques que logique. En effet, il a pour vocation à contenir des données sensibles et à permettre des expériences (comme des audits de sécurité) dans un contexte sûr. Ceci signifie à la fois de maîtriser le risque informatique en cas par exemple du déploiement expérimental d'une attaque, mais aussi de maîtriser le risque humain. D'autre part, le LHS se voudrait une sorte de plateforme de démonstration de sécurité physique des systèmes d'information. Le LHS est constitué de pièces présentant un niveau de sécurité supérieur à celui du bâtiment qui l'héberge (INRIA Nancy - Grand Est). Cette présentation abordera deux exemples de réalisation (en cours) pour la protection des données sensibles.
  1- Hébergement de données sensibles : Le séquestre de convention secrètes.
  Le besoin de confidentialité sur des données numériques est un fait et est intrinsèquement lié à la valeur de ces données, ou à l'impact de leur divulgation. Le chiffrement semble être une solution presque idéale pour la protection des données : L'utilisateur et lui seul a la clef permettant d'accéder aux données. Elles restent intelligibles tant qu'elles ne sont pas « ouverte » par l'utilisateur. Ainsi, il se prémunit à la fois contre le vol des équipements, et contre des administrateurs malveillants (internes et externes dans des cas de sous traitance). Le chiffrement ne sera pas détaillé. Il sera juste exprimé en terme d'une contrainte importante : Sans systèmes de secours, la perte de la clef entraîne la perte définitive des données.
  Elles restent présentes, mais non déchiffrables, sous les yeux de l'utilisateur et de l'administrateur, tout deux impuissants.
  Dès lors que le chiffrement s'effectue dans un contexte professionnel, l'employeur est propriétaire des données1 (chiffrées). En cas de décès, rupture brusque de contrat, maladie, ou tout autre cas pour lesquels l'utilisateur ne peut pas ou ne veux pas fournir sa phrase de passe, l'employeur doit pouvoir avoir accès à ses données.
  Nous proposons une solution informatique permettant cet accès, indépendamment du système de chiffrement, quel que soit leur support (certificat, passphrase, code PIN, ...). De la même manière que l'on placerait son mot de passe sur un bout de papier qu'on placerait dans un coffre fort, le but est de placer ces données éminemment sensibles, dans un endroit tout aussi sécurisé. Cettte présentation expliquera le fonctionnement du séquestre.
  2- Hébergement de données sensibles : Les coffres forts numériques.
  A l'heure du stockage dans le Cloud, d'hébergements dit sécurisé, la problématique d'une équipe travaillant de manière collaborative sur des données sensibles reste une difficulté. Dans notre environnement scientifique de recherche, elle reste d'actualité. Peut-on proposer des solutions pour une équipe (de recherche) de travailler sur des données sensibles, de manière générique ?
  De plus, toutes les solutions gardent une faille majeure humaine : L'équipe doit faire confiance aux hébergeurs. Ces derniers ont accès physique aux machines, et donc ont accès aux données.
  Dans ce contexte, nous travaillons à une solution générique permettant le travail collaboratif, appelé coffres-forts numériques, pour un travail et stockage « dans le cloud », avec une relative confiance dans les administrateurs et les hébergeurs.

• Jeudi 12 mars 2015 13h30–14h30

  Kenny Paterson, Information Security Group, Royal Holloway, University of London : Attacks Only Get Better: Password Recovery Attacks Against RC4 in TLS

  Despite recent high-profile attacks on the RC4 algorithm in TLS, its usage is still running at about 30% of all TLS traffic. This is attributable to the lack of practicality of the existing attacks, the desire to support legacy implementations, and resistance to change. We provide new attacks against RC4 in TLS that are focussed on recovering user passwords, still the pre-eminent means of user authentication on the Web today. Our attacks rely on similar statistical analysis to the existing attacks, but exploit specific features of the password setting to produce attacks that are much closer to being practical. We report on extensive simulations that illustrate this. We also report on two proof of concept implementations of the attacks for specific application layer protocols, namely BasicAuth and IMAP. Our work validates the truism that attacks only get better with time.

  (Joint work with Christina Garman and Thyla van der Merwe)

• Jeudi 26 février 2015 13h30–14h30

  Karthik Bhargavan, INRIA : Breaking and Fixing Compound Authentication over TLS

  We present a new class of attacks against applications that rely on the TLS Internet Standard for securing their communications. In contrast with recent attacks that rely on implementation errors, our attacks follow from the unexpected composition of standard features of the protocol: session resumption followed by client authentication during renegotiation. More generally, such attacks apply to many compound authentication protocols, such as EAP in IKEv2 or SASL over TLS, that bind application-level authentication to a transport-level authenticated channel in order to obtain strong composite authentication under weak trust assumptions. We propose short-term application-level mitigations, and we propose protocol-level changes to strengthen the standard and its users against such attacks. We show how to find such attacks and evaluate their countermeasures using symbolic protocols analysis in ProVerif.

• Mardi 10 février 2015 13h30–14h30

  Jean-Philippe Aumasson, Kudelski Security : Password hashing

  Passwords are hashed everywhere: operating systems, smartphones, web services, disk encryption tools, SSH private keys, etc. Hashing passwords mitigates the impact of a compromised database by forcing attackers to bruteforce passwords. Bruteforce is easier when the hash function is not "salted", fast to evaluate, and easy to implement as multiple parallel instances on GPUs or multi-core systems. However existing solutions are not satisfactory, and the huge majority of systems rely on weak hashes (eg. leaks from Sony, LinkedIn, or more recently Evernote). After a brief introduction of the problem and previous solution attempts, this talk presents a roadmap towards new improved hashing methods. First, we'll enumerate the technical challenges for software and security engineers as well as cryptographers and attackers, discussion questions like: why, counter-intuitively, parallelism is desirable? How can complexity theory benefit password hashing? How to define a metric that encompasses performance on GPUs and ASICs? Should hashing be performed by the client, server, or both? What about DoS induced by slow hashing? etc. Then we'll describe the initiative that motivated this talk: the Password Hashing Competition (PHC), a project similar to the pure-cryptography competitions AES, eSTREAM, or SHA-3, but focused on the password hashing problem: the PHC gathers the leading experts from the password cracking scene as well as cryptographers and software engineers from academia, industry, as well as NIST, to develop the hashing methods of the future.

• Mardi 3 février 2015 13h30–14h30

  Georges Bossert, Amossys et Supelec : Exploitation de la sémantique pour la rétro-conception de protocoles de communication

  Cette présentation propose une approche pratique pour la rétro-conception automatisée de protocoles de communication non-documentés. Les travaux existants dans ce domaine ne permettent qu'un apprentissage incomplet des spécifications ou exigent trop de stimulation de l'implémentation du protocole cible avec le risque d'être vaincu par des techniques de contre-inférence. Les travaux présentés répondent à ces problématiques en s'appuyant sur la sémantique du protocole cible pour améliorer la qualité, la rapidité et la furtivité du processus d'inférence. Une présentation de cette approche appliquée à la rétro-conception des deux principaux aspects de la définition d'un protocole à savoir l'inférence de sa syntaxe et de sa grammaire sera proposée. Une présentation des derniers travaux sur l'outil open-source Netzob qui implémente ces contributions sera également réalisée.

• Mardi 20 janvier 2015 13h30–14h30

  Nicolas Fischbach, COLT : La sécurité chez un opérateur en 2015

  L'orateur propose un tour d'horizon sur l'évolution de la sécurité interne et externe dans le domaine des télécoms (Internet, données, voix), des centres d'hébergement et des environnements qui permettent de délivrer et d'opérer ces services. La présentation couvrira différents domaines comme par exemple la détection et la réponse aux dénis de services (DDoS), l'évolution du chiffrement du trafic réseau ainsi que les aspects gouvernances et audits (ISO27001). L'évolution des technologies dans le domaine des télécoms et du "cloud", comme par exemple le "software-defined" (par exemple SDN et NFV) seront abordés ainsi que l'aspect gestion de l'innovation.

• Mardi 13 janvier 2015 13h30–14h30

  Graham Steel, Cryptosense : Cryptographic APIs

  Programming using cryptographic APIs has become a core competence in software development. But how secure are the standard APIs, in particular in the light of recent revelations regarding activities of some national security agencies in weakening cryptographic standards? In this talk we will first look at some of the cryptographic standards whose security is the subject of speculation and try to separate rumour from fact. Then we'll examine some of most widely encountered crypto APIs, evaluating them on two important axes: facilities for flexible, secure key management and provision of modern cryptographic primitives. We'll look at strategies for using cryptographic APIs securely and testing the security of third party cryptographic equipment.

• Mardi 16 décembre 2014 13h30–14h30

  Eric Leblond, Stamus Networks : Suricata et la détection d'intrusion

  En 2003, l'institut Gartner a décreté que les Intrusion Detection System étaient morts. En 2008 naissait Suricata, un nouveau projet d'IDS réseau open source. En 2013, la loi de programmation militaire va imposer l'utilisation de sondes de détection aux opérateurs d'importance vitale. Comment expliquer et comprendre ce retournement ? Cet exposé vous propose de tenter de voir comment Suricata et son écosystème répondent tant aux nouvelles menaces qu'au nouveaux usages des différentes communautés de la sécurité informatique.

• Mardi 2 décembre 2014 13h30–14h30

  Philippe Biondi, Airbus Group Innovations : REbus

  REbus est un bus de communication destiné à faire interagir des outils d'analyse et de manipulation de programmes binaires, mais d'autres utilisations sont également possibles. Nous verrons les besoins qui ont poussé à la création de ce projet, les choix architecturaux qui ont été faits et quelques applications possibles. Nous finirons sur quelques exemples de code et des démonstrations.

• Mardi 4 novembre novembre 2014 13h30–14h30

  Éric Jaeger, ANSSI, CFSSI : Langages de développement et sécurité : Mind your languages!

  Il existe de nombreux langages informatiques, et les débats concernant leurs avantages et inconvénients respectifs sont nombreux, mais peu considèrent la question du développement d'applications sécurisées, c'est-à-dire robustes contre les actions d'agents malveillants. C'est l'optique abordée dans cette présentation, qui rebondit sur de nombreuses illustrations dans différents langages afin de pouvoir cerner ce que seraient les bonnes propriétés d'un langage vis-à-vis de la sécurité, mais aussi des recommandations de codage pertinentes ou encore des outils pertinents pour le développement et l'évaluation d'applications de sécurité.

• Mardi 21 octobre 2014 13h30–14h30

  Pierre-Michel Ricordel, ANSSI : Sécurité des cartes sans contact.

  L'orateur présentera un large panorama des technologies dites RFID, en expliquant où elles sont utilisées, comment elles marchent, et quelles contraintes physiques, technologiques, et industrielles impactent leur sécurité

Année 2013 – 2014

• Jeudi 19 juin 2014 13h30–14h30

  Pascal Urien, Telecom-ParisTech, cofondateur de la société EtherTrust : Cloud of Secure Elements (CoSE), une technologie émergente de virtualisation de la sécurité

  Dans cet exposé nous présentons une technologie de virtualisation de la sécurité, le Cloud of Secure Elements (CoSE). Un Secure Element est un microcontrôleur sécurisé muni d'interfaces de communication telles que ISO7816, SPI, I2C, NFC. Il est l'héritier du concept de cartes à puce inventé en France au début des années 80. Nous distinguons trois âges, l'âge du masque où un chip est gravé pour un service particulier, l'âge des applications où une machine virtuelle JAVA embarquée permet la séparation entre système d'exploitation et service, et enfin l'âge du sans contact ou NFC (Near Field Communication) qui permet la virtualisation du composant physique via une interface radio. Deux tendances technologiques convergent vers la création d'un cloud de sécurité, sorte de "Cryptography As a Service". D'une part les systèmes d'exploitation mobiles supportent une interface NFC, et depuis fin 2013 une émulation logicielle de Secure Elements (Host Card Emulation - HCE, Android KitKat), d'autre part les machines virtuelles des data centers sont confrontées à des attaques par canaux cachés ou un manque de confiance (cf. l'affaire Edward Snowden) qui impliquent l'usage de composants sécurisés externes, par exemple le Virtual HSM de Amazon (AWS) déployé courant 2013. En février 2014 le consortium EMVCO (qui comprend des acteurs industriels tels que VISA et MASTERCARD) a rédigé une spécification d'architecture dite de «tokenisation» réalisant des opérations de paiement à l'aide d'interface HCE et d'infrastructures hébergées dans le Cloud. Le Cloud of Secure Elements, comprend cinq composants un kiosque NFC (pour les services de proximité), un mobile ou un terminal informatique, un serveur de Secure Elements (physique, tels que des SIM-SERVERs ou logique, tels que Hardware Secure Module - HSM), une console d'administration pour la gestion du cycle de vie des services, et de manière optionnelle un Secure Element assurant une sécurité forte entre le mobile terminal et le serveur de Secure Elements. Nous détaillons deux types de plateformes (et leurs prototypes) l'une dédiée aux services de proximité NFC (paiement, contrôle d'accès, transport) et l'autre à la sécurisation du Cloud Computing.

• Jeudi 5 juin 2014 13h30–14h30

  Jérôme François, LORIA : Improving Security through Software Defined Networking: Opportunities and Challenges

  Software Defined Networking is a recent paradigm that proposes to decouple the data plane (traffic forwarding) from the control plane (decision about traffic forwarding). Many universities and industrials have shown their interests toward such a technology which enhances flexibility in networking and where the OpenFlow protocol is one solution to enable communication between forwarding devices and the controller. While the initial goal of such a protocol was to test new routing algorithms through programming switches, it rapidly obtains a large success to enable other network task like load balancing, multi-path forwarding, accounting, etc. In addition, security topics have been also investigated. In particular, monitoring network can be achieved by installing rules on switches in order to measure statistics about certain flows. Redirecting suspect traffic to a specific location for being analysed, through a sandbox for instance, is also possible or instantiate firewall rules is another option to prevent unauthorized access. Therefore, this seminar will show how SDN, and more specifically OpenFlow, can be used to accomplish some security-related tasks but also what are the potential issues and bottlenecks of adopting such an approach without being cautious.

• Jeudi 22 mai 2014 13h30–14h30

  Thomas Voegtlin, Electrum Technologies : Security models of lightweight Bitcoin clients

  Bitcoin is a peer-to-peer cryptographic currency introduced in 2009. The Bitcoin protocol solves the problem of decentralized consensus by using a public ledger of all transactions, called the Blockchain. Each block contains a set of validated transactions, and a new block is added to the blockchain every 10 minutes. To achieve consensus, Bitcoin nodes trust the chain that was the most difficult to generate (proof-of-work). Full nodes of the network must download the entire blockchain and verify all the transactions. However, this download and verification work is resource intensive and not needed for casual use. In order to alleviate this problem, various models of lightweight clients have been proposed: Simple Payment Verification, Bloom filters, specialized nodes indexing the blockchain. I will review these models and discuss their security and privacy features.

• Jeudi 24 avril 2014 13h30–14h30

  Mathieu Cunche, CITI : Impact du Wi-Fi sur notre vie privée

  La technologie Wi-Fi est devenue omniprésente : de plus en plus d'objets sont équipés d'une interface Wi-Fi et le nombre de réseaux Wi-Fi ne cesse d'augmenter. Malgré les mécanismes de sécurité qui lui sont intégrés, la technologie Wi-Fi représente une menace pour la vie privée de ses utilisateurs. En effet, les terminaux équipés d'une interface Wi-Fi diffusent en clair des informations personnelles. Avec des outils grand public il est ainsi possible de collecter des informations telles que: le nom d'un individu, son historique de déplacement, l'existence de liens sociaux entre individus ... Les signaux Wi-Fi émis par nos terminaux portables peuvent également être utilisés pour tracer nos déplacements dans le monde physique, ouvrant la voie à un traçage global des individus à des fins commerciales ou de surveillance. Cette présentation sera l'occasion de discuter aussi bien des détails techniques à la source de ces fuites d'information que des applications qui en découlent et de leurs implications sur la vie privée des individus.

• Jeudi 10 avril 2014 13h30–14h30

  Sébastien Bardin, CEA : Binary-level Program Analysis

  Standard program analysis techniques (e.g. static analysis, model checking, proofs) traditionally work on high-level source code, typically (subsets of) C or Java. Working at the binary level, i.e. directly from the executable file, has long been considered to be too complex. However, binary-level program analysis shows several significant advantages over source-code analysis: source code is not required (useful for mobile code or COTS-embedding programs), and there is no "compilation gap" between the artifact analyzed and the code really executed. In this talk, I will present some past and on-going work led at CEA over binary-level program analysis. I will mainly cover three topics: binary-code modeling, test data generation from executable files through dynamic symbolic execution and safe binary-level recovery of the Control-Flow Graph of a program. Finally, I will briefly discuss a few future works centered around binary-level security planned in the ANR BINSEC project (2013-2017).

• Jeudi 27 mars 2014 13h30–14h30

  Gwendall Legrand, CNIL : La CNIL et la protection des données personnelles

  L'objectif de la présentation sera de présenter le rôle et les missions de la CNIL ainsi que les règles à suivre par les entreprises pour respecter la législation française et européenne sur la protection des données à caractère personnel. Nous présenterons plus spécifiquement l'action de la CNIL dans le domaine de la sécurité et certaines questions liées à l'usage des nouvelles technologies (puces sans contact, services offerts par les géants internet , applications sur smartphones, vote électronique...)

• Jeudi 27 février 2014 13h30–14h30

  Pierrick Gaudry, LORIA : 2013, la folle année du logarithme discret

  Le problème du logarithme discret qui intéresse les théoriciens des nombres depuis plus d'un siècle est surtout célèbre car sa difficulté présumée est le fondement de la sécurité de nombreux systèmes cryptographiques largement déployés (signature DSA, chiffrement ElGamal, mise en accord de clef de Diffie-Hellman).

  Après une vingtaine d'années où les progrès sur le sujet ont plus ou moins suivi les progrès effectués en factorisation d'entiers (un autre problème difficile très apprécié des cryptographes), l'année 2013 a été très riche en nouvelles découvertes. Des sauts de complexité ont été effectués, et certaines instances, considérées auparavant comme insolubles, ont été cassées en quelques centaines d'heures de calcul.

  Dans cet exposé nous reviendrons sur les avancées de 2013 sur la résolution du problème du logarithme discret, en insistant sur le contexte et la portée des découvertes. Nous tenterons ensuite l'exercice difficile de jouer à Madame Irma pour deviner ce qui se passera dans les prochaines années.

• Jeudi 13 février 2014 13h30–14h30

  Sylvain Ruhault, ENS et Oppida : Security Analysis of Pseudo-Random Number Generators with Input: /dev/random is not Robust

  A pseudo-random number generator (PRNG) is a deterministic algorithm that produces numbers whose distribution is indistinguishable from uniform. A formal security model for PRNGs with input was proposed in 2005 by Barak and Halevi (BH). This model involves an internal state that is refreshed with a (potentially biased) external random source, and a cryptographic function that outputs random numbers from the continually internal state. In this work we extend the BH model to also include a new security property capturing how it should accumulate the entropy of the input data into the internal state after state compromise. This property states that a good PRNG should be able to eventually recover from compromise even if the entropy is injected into the system at a very slow pace, and expresses the real-life expected behavior of existing PRNG designs. Unfortunately, we show that neither the model nor the specific PRNG construction proposed by Barak and Halevi meet this new property, despite meeting a weaker robustness notion introduced by BH. From a practical side, we also give a precise assessment of the security of the two Linux PRNGs, /dev/random and /dev/urandom. In particular, we show several attacks proving that these PRNGs are not robust according to our definition, and do not accumulate entropy properly. These attacks are due to the vulnerabilities of the entropy estimator and the internal mixing function of the Linux PRNGs. These attacks against the Linux PRNG show that it does not satisfy the "robustness" notion of security, but it remains unclear if these attacks lead to actual exploitable vulnerabilities in practice. Finally, we propose a simple and very efficient PRNG construction that is provably robust in our new and stronger adversarial model. We therefore recommend to use this construction whenever a PRNG with input is used for cryptography.

  (joint work with Yevgeniy Dodis and David Pointcheval and Damien Vergnaud and Daniel Wichs)

• Mardi 28 janvier 2014 13h30–14h30

  Aline Gouget, Gemalto : Passeport électronique et protection de l'identité numérique : deux cas d'étude très différents, des protocoles cryptographiques qui peuvent se ressembler et de nouveaux protocoles cryptographiques à définir

  Dans la couverture d'un passeport électronique, un composant électronique « sans-contact » est utilisé notamment pour stocker dans sa mémoire les données d'état civil qui sont inscrites sur la première page du passeport. Dans cet exposé, nous décrirons les propriétés de sécurité qui sont recherchées par l'ajout de ce composant électronique, et nous présenterons les principaux protocoles cryptographiques qui sont utilisés pour garantir ces propriétés de sécurité. Puis, nous décrirons avec plus de détails le protocole Supplemental Access Control. Nous présenterons les choix de conception qui ont été faits ainsi que les analyses de sécurité qui ont été fournies. Enfin, nous quitterons le cas très spécifique du passeport électronique pour analyser la problématique de la sécurisation de services sur Internet. Nous discuterons en particulier de l'utilisation d'un objet quelconque muni d'un composant électronique « sans-contact » afin de contribuer à la protection de l'identité numérique.

• Mardi 14 janvier 2014 13h30–14h30

  Raphaël Rigo, ANSSI : Sécuriser un grand parc Active Directory ?

  Renforcer la sécurité d'un grand parc AD semble impossible : vieilles applications nécessitant Java, contrôles Active X, Pass-the-Hash, etc. Après avoir détaillé quelques-unes des problématiques courantes, nous verrons quelques mesures relativement simples qui permettent de renforcer significativement la sécurité du SI et de faciliter la détection des attaques.

• Mardi 17 décembre 2013 13h30–14h30

  Olivier Heen, Technicolor : Some topics about security in the cloud

  Cloud computing and cloud storage gained momentum in many domains. The speaker will give a possible view of cloud computing security for filmmaking, stressing the importance of the security model as well as other parameters (network, costs). Considering specific security models he will introduce two topics: the first one is a recent work on the security of virtualized GPUs, the second one is a prospective view of TLS side-channel attacks in cloud environments.

• Mardi 3 décembre 2013 13h30–14h30

  Frédéric Raynal, QuarksLAB : Cyber-attaques : du mythe à la réalité

  « Cyber-attaques », « cyber-guerre », ces mots font régulièrement les titres des journaux et on a parfois bien du mal à faire la part entre les fantasmes et la réalité technique et sociale. Dans cet exposé, nous reviendrons sur quelques termes à la mode et tenterons de les démystifier en revenant sur l'historique des « cyber-attaques ». Nous verrons ensuite quels sont les acteurs : de l'arnaqueur aux terroristes en passant par les gouvernements. Nous reviendrons brièvement sur le célèbre Stuxnet, premier « virus » ciblant des infrastructures critiques, et détaillerons une attaque de spear phishing.

  Les supports seront en anglais mais la présentation sera faite en français.

• Mardi 26 novembre 2013 13h30–14h30

  Stéphanie Lacour, CNRS-CECOJI : Que cherchent ensemble des juristes et des informaticiens ?

  À la fin des années 1990, soucieux de voir se développer le commerce électronique et de sécuriser les transactions qu'il impliquait, le législateur français s'est penché sur la nécessité de faire évoluer le droit civil de la preuve et a, pour ce faire, revisité plusieurs de ses notions fondamentales, dont celle d'écrit. L'écrit sur support électronique, fruit de cette évolution juridique, est, depuis lors, selon l'article 1316-3 du Code Civil, doté de « la même force probante que l'écrit sur support papier ». L'interprétation qu'il convient de donner à ce régime juridique est pourtant loin d'être évidente et, lorsque l'on cherche à comprendre ce qui, dans la pratique contractuelle tout comme dans la technologie numérique sera, en réalité, admis à titre de preuve, on butte rapidement sur le sens équivoque d'un certain nombre de concepts qui lui ont été associés par le législateur et qui relèvent tout à la fois de l'informatique et du droit. L'intérêt d'une recherche interdisciplinaire associant juristes et informaticiens est, dès lors, établi. Ce sont quelques-uns des résultats d'une recherche de ce type, entreprise entre 2004 et 2008, que je présenterai dans un premier temps.

• Mardi 19 novembre 2013 13h30–14h30

  Alexandre Dulaunoy, CERT-LU, en visio-conférence de Metz : The void — an interesting place for network security monitoring

  The Internet void is an interesting place. In normal condition, the Internet void is empty and we should not see anything. But if you take the time to look deeply into "black-hole" monitoring dataset, you might find and identify surprising results from badly configured systems to effects of unknown attacks along with various unexplained events. This talk will introduce you to a journey into the noise of Internet network monitoring.

  Les supports seront en anglais mais la présentation sera faite en français. Une description plus détaillée de l'intervention est disponible sur la page de l'orateur.

• Mardi 5 novembre 2013 13h30–14h30 Amphi du LORIA

  Vincent Strubel, ANSSI : Cloisonnement logiciel et application à la sécurisation d'un système d'exploitation

  Les systèmes d'exploitation, y compris ceux mis en oeuvre sur les postes des utilisateurs finaux, constituent un élément critique dans quasiment toutes les architectures de sécurité. Malheureusement, sécuriser un système d'exploitation dit « riche » est une tâche extrêmement ardue, du fait de la taille et de la complexité de ces systèmes. L'exposé présentera les grands principes d'une approche pragmatique pour sécuriser des systèmes d'exploitation de type Linux, en s'appuyant sur des mécanismes existants de durcissement (grsecurity/PaX, chaîne de compilation durcie) et de cloisonnement (cointainers ou virtualisation légère), afin de réaliser une isolation stricte des contextes d'exécution et de mettre en œuvre des approches de séparation de privilèges pour les programmes les plus exposés.

• Mardi 8 octobre 2013 13h30–14h30

  Cédric Blancher, EADS-IW : De la pertinence de la recherche en sécurité informatique dans un grand groupe industriel

  En 2004, EADS s'est doté au sein de son centre de recherche d'un petit laboratoire de sécurité informatique. Initialement basée à Suresnes, cette équipe d'une dizaine de chercheurs avait alors, entre autres particularités, celle de travailler pour un groupe dont le cœur métier n'est pas l'informatique. Dans cette présentation, Cédric Blancher se propose de décrire la pertinence de ces activités de R&D — de l'étude du Blackberry à l'analyse de Skype, en passant par la certification de l'Airbus A380, IPv6 et le développement d'outils libres — comment elles s'inscrivent dans l'environnement du groupe EADS, leur évolution avec le temps et la manière dont elles prétendent répondre aux besoins immédiats et à venir de leurs métiers.