Le Centre canadien pour la cybersécurité est le fier organisateur de la 6e édition de GeekWeek, qui aura lieu du 14 au 22 novembre 2019 à Bibliothèque et Archives Canada (395, rue Wellington) à Ottawa, Ontario.
Dates limites pour les inscriptions
- Candidats invités : 13 septembre 2019
- Capitaines d'équipe invités : 13 septembre 2019
- Étudiants : 30 septembre 2019
GeekWeek est un atelier annuel organisé par le Centre pour la cybersécurité qui vise à stimuler la collaboration entre le gouvernement du Canada, les partenaires de l’infrastructure essentielle et les chercheurs universitaires dans le but d’aborder les problèmes fondamentaux auxquels font face l’industrie de la cybersécurité. Les participants ont le temps et les ressources nécessaires pour mener des activités intensives de recherche et de développement, pour ensuite planifier et mettre en œuvre leurs propres solutions afin de prévenir, d’analyser ou d’atténuer les cybermenaces.
Ce qui distingue cet atelier d’un marathon de programmation traditionnel est la sélection de ressources qu’on ne trouve nulle part ailleurs. Grâce à des outils avancés et des millions d’échantillons de courriel d’hameçonnage , GeekWeek permet aux participants de tous les secteurs de la cybersécurité de trouver de nouvelles façons de collaborer et d’améliorer le contexte de cybersécurité.
- À propos de GeekWeek
- Étudiants et nouveaux diplômés
- Thèmes de la GeekWeek
- FAQs
- Organisations participantes
L’objectif de la GeekWeek consiste à réunir des joueurs clés du domaine de la cybersécurité dans un cadre novateur et collaboratif; ces derniers doivent unir leurs forces afin de trouver des solutions à des problèmes cruciaux auxquels est confronté l’ensemble de la collectivité. Les participants peuvent choisir le domaine sur lequel ils souhaitent se concentrer parmi les thèmes et les sous thèmes présentés ci-dessous. Les préférences de chacun permettront de former les équipes. Nous encourageons également les participants à suggérer des projets associés à chaque thème et sous thème. Comme nous jugeons importante l’expertise de la collectivité, nous invitons les participants à nous faire part de leurs idées.
Si vous êtes intéressé par un domaine ou un thème en particulier, veuillez indiquer dans votre candidature ou lorsque vous recevez votre courriel d’acceptation le numéro qui est lié au sujet qui vous intéresse, en vous référant à la liste ci-dessous. Chaque sous-thème sera associé à un domaine de cybersécurité, mais n’oubliez pas que la plupart des thèmes toucheront plusieurs domaines, ce qui vous permettra de travailler sur une multitude de sujets. Par exemple, comme il s’agit d’un atelier sur la cybersécurité, un thème axé sur la programmation portera aussi sur les activités d’analyse des données de cybersécurité.
Domaines présentés dans les sous-thèmes :
[N] Réseaux et infrastructures
[P] Programmation et algorithmes avancés
[R] Rétroingénierie
[O] Éléments internes des systèmes d’exploitation
[D] Analyse des données de cybersécurité, et visualisation et exploration de données
Incidences et résultats nationaux
La mise sur pied du Centre canadien pour la cybersécurité met de l’avant l’occasion d’axer des efforts nationaux sur la création de systèmes centralisés permettant aux Canadiens et aux industries canadiennes de fournir et de mettre en commun de l’information afin de renforcer l’écosystème de la cybersécurité au Canada.
1.1 Système national d'adressage par domaines (DNS) [D]
Des problèmes de cybersécurité importants découlent de la mauvaise utilisation du DNS. Tous les jours, un grand nombre de domaines sont enregistrés, souvent pour des raisons illégitimes. Comment pourrions nous créer des processus d’analyse et de mise en commun de l’information qui permettraient de signaler automatiquement les domaines malveillants afin de protéger les citoyens ainsi que les partenaires de l’industrie et du gouvernement contre l’accès involontaire à ces domaines?
1.2 Lutte contre les courriels d’usurpation d’identité [D | N]
Des courriels bien conçus appliquant des techniques d’usurpation d’identité et de piratage psychologique sont essentiels à la réussite des tentatives d’hameçonnage. Les rapports globaux DMARC (de l’anglais Domain Based Message Authentication, Reporting and Conformance) contiennent de l’information sur la source et la légitimité des courriels grâce aux protocoles Domain Keys Identified Mail (DKIM) et Sender Policy Framework (SPF). Comment pourrions-nous promouvoir l’adoption des protocoles DMARC, SPF et DKIM? Comment pourrions-nous développer des analyses basées sur les données présentées dans les rapports DMARC pour détecter les tentatives d’usurpation d’identité? Comment pourrions-nous tirer profit du renseignement recueilli à l’échelle nationale pour bien comprendre les tendances liées aux campagnes de pourriels et d’hameçonnage, ainsi que les techniques employées dans ce contexte?
1.3 Souveraineté informatique [D]
On pourrait penser que les communications transmises entre des points terminaux canadiens n’ont pas à être acheminées en dehors du pays. Or, pour des raisons d’efficience ou de praticabilité, ce n’est pas toujours le cas, ce qui peut poser des risques sur le plan de la sécurité. Le protocole Border Gateway (BGP) gère les chemins que suivent les communications Internet, de leur source à leur destination. La manipulation du protocole BGP permet aux cyberattaquants de réacheminer des données à leur avantage et ainsi d’intercepter ou de modifier du trafic. Comment pouvons-nous développer des analyses qui permettraient de détecter tout comportement malveillant et tout changement apporté aux chemins empruntés par le trafic en temps réel? Comment pouvons-nous prévenir le détournement du trafic pour renforcer la protection des communications des Canadiens?
1.4 Amélioration de l’infrastructure de cybersécurité [N | P]
Les systèmes et les protocoles désuets présentent habituellement des vulnérabilités accrues aux cybermenaces. Par exemple, des auteurs de cybermenace peuvent exploiter une version désuète du protocole SSL afin de lancer une attaque de l'intercepteur. En nous concentrant sur le Canada, comment pourrions-nous évaluer la mise en place et la configuration d’un écosystème en fonction des pratiques exemplaires en matière de cybersécurité, comme HTTP et HTTPS, SPF, DMARC, DNSSEC, TLS, etc.?
Recherche de cybermenaces
Il est d’une importance capitale de garder une longueur d’avance les cybermenaces qui ne cessent d’évoluer. Il faut donc améliorer et accélérer nos techniques de détection de code malveillant et faire preuve d’une créativité accrue. En favorisant des environnements d’analyse de crédibilité accrue, nous pourrions déjouer d’autres composants malveillants pour qu’ils révèlent leur vraie identité.
2.1 Détection et décodage de maliciels liés à une menace persistante avancée (MPA) [R | P]
Les artéfacts malveillants liés à des MPA sont habituellement dissimulés et bien conçus, et réussissent à contourner et à contrer toute analyse, ce qui complexifie leur détection et leur décodage. En se basant sur des connaissances découlant d’activités de rétroingénierie approfondies menées sur un composant malveillant lié à une MPA, comment pourrions-nous mettre au point des outils permettant de détecter les activités malveillantes menées par ces composants dans des environnements locaux? Comment pourrions nous développer une capacité permettant d’évaluer les espaces IPv4 pour détecter la présence d’implants liés à une MPA?
2.2 Pots de miel [N | P | D]
Les cybermenaces évoluent constamment et les auteurs malveillants ne cessent de trouver des techniques novatrices pour infecter les systèmes. Les pots de miel consistent en des systèmes qui imitent des environnements réels et qui ont pour objectif de berner les auteurs de menace en vue de recueillir du renseignement sur les nouveaux vecteurs d’infection. Pour assurer l’efficacité des pots de miel, leurs responsables doivent connaître les plus récentes techniques d’infection. Comment pourrions-nous tirer parti de nouveaux concepts, comme l’apprentissage machine ou le nuage, ou améliorer les taux de réponse des pots de miel pour recueillir des artéfacts malveillants sophistiqués ou en savoir plus sur les menaces émergentes?
2.3 Recherche inversée [R | P]
Même pour le spécialiste en rétroingénierie le plus chevronné, il s’avère difficile de produire la règle YARA parfaite pour détecter un composant malveillant. Grâce à la recherche inversée, les analystes peuvent évaluer la qualité de leurs signatures de fichier à grande échelle. Des outils comme BigGrep permettent de rechercher d’anciens composants malveillants qui auraient déclenché une signature en particulier en indexant une grande quantité de fichiers binaires. Comment pourrions-nous optimiser la vitesse, la taille et les résultats des outils de recherche inversée afin d’accroître nos capacités de collecte de renseignement sur les cybermenaces.
2.4 Pourriels [D | P]
L’analyse de pourriels transmis par des réseaux de zombies et leur stockage dans une base de données permettent l’extraction manuelle d’indicateurs de compromission . Comment pourrions-nous développer des techniques de détection et d’extraction d’informations pertinentes et exploitables provenant de milliards de pourriels en temps réel? Comment pourrions-nous mettre en œuvre des analyses pour détecter les campagnes de pourriels?
Analyses automatisées des cybermenaces
Lorsque des artéfacts sont recueillis, une analyse comportementale approfondie peut avoir lieu. Grâce aux environnements sans système d’exploitation et aux bacs à sable de dispositifs mobiles ou d’Internet des objets (IdO), il nous est possible d’étudier ces récentes menaces.
3.1 Analyse de la mémoire [O | P]
Les configurations intégrées dans les artéfacts de maliciels représentent une source d’informations exploitables à utiliser dans le cadre d’analyses futures. Par exemple, la configuration de nombreuses familles de maliciels présente les adresses de leurs serveurs de commande et de contrôle. Comment pourrions-nous tirer profit de l’information de configuration qui est accessible lors de l’exécution, afin d’obtenir des données analytiques précieuses sur l’état du système? Comment ce processus pourrait-il être structuré dans un cadre qui permettrait l’automatisation et la mise à l’échelle (p. ex. à l’aide d’outils comme CAPE ou malscan)?
3.2 Environnement sans système d'exploitation [O | R | P]
Les auteurs de maliciels investissent du temps et des efforts dans la mise au point de techniques de contournement et de mécanismes visant à contrer les activités inversées afin de détecter les environnements d’analyse. Pour éviter une détection par machine virtuelle, une solution très efficace consiste à recourir à une machine physique (machine sans système d’exploitation), mais cette méthode comporte des faiblesses. Comment une machine peut-elle être rapidement remise à l’état où elle était avant l’exécution d’un maliciel ? Est-il possible de créer un environnement d’analyse sans système d’exploitation pour les menaces émergentes qui ciblent les dispositifs mobiles et d’Internet des objets.
3.3 Amélioration des émulateurs de réseau [N | P]
Il n’est pas toujours possible de laisser les communications de maliciel utiliser Internet dans le cadre d’analyses dynamiques. Bien qu’Inetsim soit un émulateur Internet qui permettrait de régler ce problème, il a été développé il y a plus d’une décennie et ne tire pas parti des capacités dont jouissent les technologies les plus récentes. Comment pourrions-nous créer un nouveau modèle de simulation Internet amélioré pour les outils d’analyse dynamique de maliciels en isolement (pas seulement la simulation des services, mais aussi le contenu)? Comment pourrions-nous aussi simuler les systèmes de contrôle industriel et les interactions des utilisateurs?
Contexte et cyberstabilité
Lorsque l’on tente d’évaluer la posture de cyberstabilité d’une organisation ou d’un environnement, des critères permettent de prévoir les tendances, et l’information recueillie peut donner un portrait complet de la cyberstabilité d’un écosystème, comme le cyberespace canadien.
4.1 Outils d’évaluation [D | P]
Compte tenu des nombreuses cybermenaces malveillantes qui émergent chaque jour, il est difficile d’extraire de l’information précieuse permettant d’avoir un portrait complet de la situation en temps réel, et ce, malgré la grande quantité de données brutes. Comment pourrions-nous faire la synthèse automatique des renseignements exploitables découlant des nombreuses sources de données afin de créer et d’améliorer les outils d’évaluation de la cyberstabilité? Comment pourrions-nous automatiser le formatage de cette information pour qu’elle soit communiquée à différents destinataires?
4.2 Surveillance communautaire en cybersécurité [P]
Il est parfois difficile de valider avec exactitude la malveillance d’un indicateur et d’évaluer les effets secondaires négatifs possibles liés au blocage du trafic en conséquence. Lors d’un événement organisé par le Centre pour la cybersécurité, une initiative a été créée en collaboration avec des entreprises de télécommunications canadiennes afin d’adopter une méthode dans le cadre de laquelle différentes organisations peuvent communiquer de l’information utile concernant le trafic réseau à d’autres organisations partenaires au moyen de MISP. Pourrions-nous démocratiser l’établissement de la qualité et de la pertinence d’un indicateur au moyen d’un système de vote par les membres? Comment pourrions nous mettre en place un système renforçant une telle communauté? De quelle façon ces connaissances pourraient-elles servir à enrichir un DNS national?
4.3 Infrastructures malveillantes et recherche de menaces [P | R]
Les cybermenaces sont infinies et il peut être difficile de reconnaître automatiquement les infrastructures malveillantes et les tentatives d’hameçonnage parmi d’énormes quantités de données. Pour ce faire, on peut entre autres changer une section du chemin d’une URL par un autre chemin que l’on sait associé à une infrastructure malveillante. Comment pourrions-nous faire la synthèse des données afin de déterminer des formules permettant d’établir des règles grâce auxquelles on pourrait trouver des données additionnelles ou valoriser les données existantes? Comment pourrions nous déterminer que les formules liées aux règles sont correctes? Comment pourrions-nous automatiquement détecter les données et les infrastructures malveillantes recueillies et les attribuer à des auteurs de menace?
4.4 Surveillance et analyse du nuage [D]
De plus en plus de services gouvernementaux sont maintenant offerts sur le nuage Microsoft Azure et il est donc essentiel que le Centre pour la cybersécurité comprenne de quelle façon les utilisateurs peuvent sécuriser et surveiller leurs locations infonuagiques de même que l’infrastructure physique connexe. Microsoft Azure permet à ses clients d’obtenir des journaux afin qu’ils surveillent leurs activités et leurs ressources infonuagiques. Comment pourrions-nous créer un cadre afin d’extraire, d’analyser et de visualiser les journaux infonuagiques pour obtenir de l’information exploitable? Comment pourrions-nous obtenir un ensemble de bonnes pratiques grâce aux utilisateurs du nuage Microsoft Azure et collaborer avec les fournisseurs de services infonuagiques pour qu’ils améliorent leurs services?
Cyberopérations
Même s’il est difficile de mettre en commun de l’information tout en respectant les limites des différents mandats des autres intervenants, la collaboration étroite avec les partenaires de l’industrie et du gouvernement de même qu’avec les organismes chargés de l’application de la loi se révèle essentielle dans la lutte contre le cybercrime. Les partenaires de l’industrie collaborent étroitement avec les organismes chargés de l’application de la loi pour monter des dossiers contre des auteurs malveillants et veiller à l’augmentation des coûts associés aux activités des auteurs malveillants. Il pourrait être avantageux de mener des recherches sur certaines menaces au moyen de compétences de recherche particulières (p. ex. se concentrer sur un cas de maliciel précis ou un cas lié à un auteur de menace malveillant particulier).
5.1 Mappage de l’infrastructure [R | D]
La mise au point d’une intervention efficace pour contrer les méfaits des auteurs malveillants commence par la compréhension des infrastructures malveillantes dont ils se servent. Comment pourrions-nous centraliser les indicateurs de compromission des partenaires de l’industrie et du gouvernement ainsi que des organismes chargés de l’application de la loi, et les optimiser de sorte qu’ils puissent déterminer l’architecture des infrastructures malveillantes?
5.2 Mise en œuvre de la recherche de composants malveillants [R | D]
La recherche opérationnelle diffère de la recherche d’indicateurs de compromission habituelle. Elle vise particulièrement le renseignement exploitable permettant de monter un dossier contre un auteur malveillant responsable d’un composant. Comment pourrions-nous rechercher efficacement des composants (en se basant sur l’analyse de l’hôte, l’analyse de surface, la rétroingénierie, etc.) pour déterminer la composition interne de la cybermenace?
5.3 Attribution des menaces aux auteurs [R | D]
Pour pouvoir prendre des mesures contre les auteurs malveillants, il faut monter un dossier solide, étayé par des éléments de preuve admissibles qui identifient clairement l’individu ou les individus responsables de la cybermenace. Comment pourrions-nous identifier certains individus responsables des attaques grâce à la recherche d’indicateurs de compromission et des surnoms des auteurs?
5.4 Collecte et analyse de données interorganisationnelles [D]
Un problème important concernant la recherche collaborative interorganisationnelle découle du fait qu’il est difficile de trouver une méthode mutuelle pour mettre en commun, stocker, normaliser et visualiser les données. Comment pourrions-nous nous servir du vaste ensemble de données sur l’infrastructure malveillante, le maliciel et l’attribution de la menace à l’auteur malveillant? Comment pourrions-nous tirer profit des activités menées par d’autres équipes participant à la GeekWeek pour produire un résultat exploitable?
Renforcement de la collectivité de la cybersécurité
L’ensemble de la collectivité de la cybersécurité, au Canada et à l’étranger, vit les mêmes difficultés. En connectant les systèmes et en en apprenant plus sur d’autres organisations, nous pouvons éviter de partir de zéro et tirer parti de l’ensemble des outils de la collectivité afin d’améliorer l’efficacité des mesures de cyberdéfense.
6.1 Mise en commun d’informations [D | P]
Des outils automatiques effectuent des recherches sur Internet et détectent des sites Web d’hameçonnage de justificatifs d’identité, des panneaux de contrôle de maliciels, etc. Grâce à la mise en commun de ces outils, les partenaires peuvent protéger leurs marques et leurs réseaux. Comment pourrions-nous évaluer les indicateurs de compromission recueillis par des systèmes automatisés et les communiquer en temps réel aux partenaires? Comment pourrions-nous collaborer avec les autorités responsables pour faciliter les interventions contre ces cybermenaces vérifiées?
6.2 Signalement des maliciels [P]
Lorsque l’on cherche à obtenir de l’aide concernant des cyberactivités malveillantes, il est difficile de trouver l’entité à laquelle s’adresser. Le signalement de cyberévénements gagnerait en facilité et en convivialité si l’on choisissait une seule personne-ressource. Comment pourrions-nous créer un système automatisé et centralisé qui permettrait de classer tous les rapports entrants sur les maliciels, les pourriels et les activités d’hameçonnage selon leurs points d’origine et de les acheminer aux autorités responsables?
6.3 Contribution aux outils de la collectivité [P]
Les outils et les services de source ouverte mis au point par la collectivité de la cybersécurité sont essentiels à l’amélioration de l’accessibilité à la cybersécurité; ils renforcent donc nos capacités d’intervention contre les cybermenaces. Par exemple, comment pourrions-nous unir nos forces en vue d’améliorer les services et les outils de la collectivité, comme MISP Malpedia Ghidra, et connecter un nombre accru de personnes à ces services? Comment pourrions-nous contribuer aux outils de source ouverte au moyen de code pouvant avantager toute la collectivité de la cybersécurité?
Recherche et développement
Certains sujets de recherche sont complexes et ne seront pas terminés dans le cadre d’un événement, voire même de nombreux événements. Toutefois, ils peuvent changer l’avenir de la cybersécurité pour le mieux. La GeekWeek constitue aussi une occasion d’investir dans l’avenir et permet aux participants de consacrer du temps à des projets de recherche en se basant sur l’expertise, les outils et les ensembles de données offerts lors de l’événement. Il va sans dire que la GeekWeek encourage tous les participants à proposer des idées novatrices.
7.1 Analyse génétique avancée des maliciels [R | P |D]
La « recherche d’informations » est une nouvelle technique de rétroingénierie et d’analyse des maliciels qui décompose de nouveaux maliciels inconnus en composantes connues, en se basant sur des données existantes. Les outils en place, comme Intezer, se fondent sur des codes correspondant exactement à des algorithmes et ne permettent pas de récupérer l’information qui diffère légèrement des codes originaux. Comment pourrions-nous développer un système de recherche d’informations pouvant trouver des correspondances inexactes tout en s’adaptant à différentes architectures CPU? Comment pourrions nous nous servir d’outils déjà en place, comme Kam1n0 et Ghidra, pour concevoir un système souple et adaptable?
7.2 Regroupement de maliciels avancé [P]
De nouveaux maliciels sont détectés tous les jours, mais la majorité des découvertes représentent des variantes de maliciels déjà existants. Comment pouvons-nous automatiquement regrouper ces variantes en fonction de leurs comportements, puis les classer dans la famille connexe? Comment pouvons-nous extraire des signatures et des indicateurs de compromission partageables à partir d’un groupe de maliciels similaires?
7.3 Regroupement d’infrastructures malveillantes avancées [P]
Les infrastructures malveillantes changent constamment et des efforts importants sont déployés pour dissimuler leur affiliation. De même, de nouveaux sites d’hameçonnage qui se font passer pour des sites d’entreprises sont créés chaque jour et comportent toujours de petites différences pour contourner les mécanismes de détection automatique. Comment pourrions-nous tirer profit de l’apprentissage machine et des algorithmes de reconnaissance d’image afin de regrouper automatiquement des infrastructures et des sites Web malveillants, et de les attribuer à des auteurs malveillants?
7.4 Bacs à sable avancés [P | O]
Les environnements virtuels sont bien équipés pour analyser les maliciels sur les systèmes d’exploitation communs (Windows). Cependant, les auteurs malveillants cherchent toujours à perfectionner leurs mécanismes de détection contre les bacs à sable, ce qui complexifie les analyses dans les environnements virtuels. De plus, le nombre de maliciels ciblant d’autres systèmes d’exploitation ne cesse de croître et il faut adapter les bacs à sable à ces nouveaux types de composants. Comment pourrions-nous améliorer les outils employés par les bacs à sable pour éviter leur détection et recueillir d’autres indicateurs de compromission? Comment pourrions-nous virtualiser plusieurs dispositifs IdO aux fins d’analyse de maliciels? Dans le cadre de ce projet, nous nous servirons de Docker.
7.5 Validation des analyses [P]
Comme les auteurs malveillants changent et déplacent leurs infrastructures pour éviter leur détection, nous devons constamment vérifier la validité de nos données. Comment pourrions-nous développer un système qui naviguerait régulièrement sur Internet afin de valider l’information sur les infrastructures malveillantes et veiller à leur validité?
7.6 Diffusion en continu [P]
Pour l’instant, il convient d’analyser les cybermenaces par lots, à intervalles réguliers. Toutefois, les outils comme Kafka permettent dorénavant de les analyser en continu. Comment pourrions-nous créer un langage et des règles pour analyser les données en temps réel? Comment pourrions-nous adapter les outils et les systèmes en place en fonction des technologies de diffusion en continu?
7.7 Extractions de connaissances automatisées (ou l’accent sur les graphiques!) [P]
Une histoire de cybermenace commence habituellement par quelques indicateurs. L’analyste concerné doit alors manuellement établir des relations avec d’autres sources d’information pour compléter l’histoire et obtenir un portrait complet. Comment pourrions-nous automatiser ce processus? Comment pourrions nous automatiser la création de graphiques d’indicateurs qui permettraient à l’analyste de voir toute l’histoire en évitant le côté manuel du processus?
Pour en savoir plus
Pour de plus amples renseignements sur GeekWeek, prière de communiquer avec le Centre pour la cybersécurité.