GeekWeek 7

Dans cette optique, GeekWeek est donc l’occasion unique d’investir temps et ressources dans des travaux approfondis de recherche et de développement qui visent l’émergence de solutions favorisant la prévention, l’analyse et l’atténuation des cybermenaces. L’événement permet aux intervenants concernés – équipes d’intervention en cas d’incident critique (EIIC); partenaires responsables de l’infrastructure essentielle (gouvernement, finances, santé, etc.); milieu universitaire; partenaires internationaux de la cybersécurité – de favoriser les modes de collaboration novateurs et de renforcer la posture de cybersécurité globale.

GeekWeek a lieu tous les ans depuis 2014 et a donné lieu à 80 projets ayant mené à des innovations majeures dans divers domaines, notamment l’analyse et la détection des maliciels, la prévention en cybersécurité, le trafic réseau et l’analyse des journaux, pour ne nommer que ceux-là.

Histoire

D’abord organisée par le Centre canadien de réponse aux incidents cybernétiques (qui fait désormais partie du Centre pour la cybersécurité), GeekWeek nous fait prendre conscience de la nécessité de promouvoir la collaboration au sein de la collectivité de la cybersécurité. Les ateliers axés sur la recherche de solutions ont pour vocation de créer un environnement propice à la collaboration sur des projets novateurs en cybersécurité.

Au départ, l’événement s’était fixé des objectifs modestes. Mais la première édition avait tôt fait de retenir l’attention des organismes du fédéral et de l’industrie. Ainsi, trois fois plus de participants que prévu se sont inscrits à ce premier rassemblement du monde de la cybersécurité. Depuis lors, l’événement de trois jours s’est transformé en « happening » tenu sur huit jours. En 2019, 222 intervenants se sont donné rendez-vous. Collectivement, ils ont consacré 18 000 heures à la recherche ainsi qu’au développement et à l’application de nouvelles idées. Ces heures correspondent au temps de travail annuel de neuf employés à plein temps.

L’événement GeekWeek a été un moteur de développement et d’innovation dans les domaines suivants :

• détection des maliciels;
• analyse de pourriels et de journaux de vérification;
• systèmes d’analyse des maliciels s’attaquant aux dispositifs mobiles;
• anti-rançongiciels;
• outils et techniques de détection des cybermenaces;
• technologies et normes s’appliquant à l’échange d’information;
• souveraineté informatique/flux de données géographiques;
• saines pratiques et prévisions en cybersécurité;
• analyse du trafic des réseaux de zombies;
• renforcement des dispositifs de l’IdO;
• évaluation des systèmes de contrôle de l’industrie;
• trousse mobile/ordinateurs portables;
• processus de mise en application;
• analyse automatisée des maliciels.

Pourquoi participer à GeekWeek?

Cette année, GeekWeek se tiendra virtuellement. Les participants à GeekWeek profitent des avantages suivants :

• un environnement unique en son genre, qui rassemble des experts de la cybersécurité prêts à relever les défis qui se posent à l’ensemble de la collectivité;
• un accès à des outils avancés, à quantité de rapports d’analyse ainsi qu’à des millions d’échantillons de pourriels et de maliciels;
• connaissance accrue des ressources et des solutions dont les professionnels de la cybersécurité disposent;
• promotion de nouvelles idées, de solutions novatrices et de la mise en commun d’information pertinente;
• collaboration accrue et intensification des échanges d’information entre les partenaires;
• réseautage avec les experts de la collectivité de la cybersécurité et renforcement des relations avec les professionnels du domaine;
• compréhension accrue des problèmes que les homologues de l’industrie doivent résoudre.

L’objectif de la GeekWeek consiste à réunir des joueurs clés du domaine de la cybersécurité dans un cadre novateur et collaboratif; ces derniers doivent unir leurs forces afin de trouver des solutions à des problèmes cruciaux auxquels est confronté l’ensemble de la collectivité. Les participants peuvent choisir le domaine sur lequel ils souhaitent se concentrer parmi les thèmes et les sous thèmes présentés ci-dessous. Les préférences de chacun permettront de former les équipes. Nous encourageons également les participants à suggérer des projets associés à chaque thème et sous thème. Comme nous jugeons importante l’expertise de la collectivité, nous invitons les participants à nous faire part de leurs idées.

Si vous êtes intéressé par un domaine ou un thème en particulier, veuillez indiquer dans votre candidature ou lorsque vous recevez votre courriel d’acceptation le numéro qui est lié au sujet qui vous intéresse, en vous référant à la liste ci-dessous. Chaque sous-thème sera associé à un domaine de cybersécurité, mais n’oubliez pas que la plupart des thèmes toucheront plusieurs domaines, ce qui vous permettra de travailler sur une multitude de sujets. Par exemple, comme il s’agit d’un atelier sur la cybersécurité, un thème axé sur la programmation portera aussi sur les activités d’analyse des données de cybersécurité.

Domaines présentés dans les sous-thèmes :

• [N] Réseaux et infrastructures
• [P] Programmation et algorithmes avancés
• [R] Rétro-ingénierie
• [O] Éléments internes des systèmes d’exploitation
• [D] Analyse des données de cybersécurité, et visualisation et exploration de données

1. Système national d’adressage par domaines (DNS) [D]

Le Canada possède maintenant son propre système national d’adressage par domaines (DNS pour National Domain Name System) exploité par l’Autorité canadienne pour les enregistrements Internet (ACEI). Tous les jours, de nombreux domaines sont bloqués afin de protéger en ligne les utilisateurs du Bouclier canadien de l’ACEI. Il ne s’agit toutefois que de la toute première étape. Comment pourrions-nous mettre en place de meilleurs processus d’analyse et d’échange d’information pour améliorer le Bouclier canadien et veiller à ce qu’il assure une protection optimale de nos partenaires des secteurs privé et public, ainsi que les citoyens, contre l’accès non intentionnel à ces domaines malveillants?

2. Posture de cybersécurité [D | N]

Des courriels bien conçus appliquant des techniques d’usurpation d’identité et de piratage psychologique sont essentiels à la réussite des tentatives d’hameçonnage. Les rapports globaux DMARC (de l’anglais Domain‑Based Message Authentication, Reporting and Conformance) font appel aux protocoles Domain Keys Identified Mail (DKIM) et Sender Policy Framework (SPF) pour confirmer la source et la légitimité des courriels. Les systèmes et les protocoles désuets présentent habituellement des vulnérabilités accrues aux cybermenaces. Par exemple, les auteurs de cybermenace peuvent exploiter une ancienne version du protocole SSL pour mener une attaque de l’intercepteur. Au Canada, par exemple, comment pourrions-nous évaluer la posture de sécurité du cyberespace canadien en adoptant des pratiques exemplaires comme DMARC, SPF et HTTP par rapport aux protocoles HTTPS, SPF, DMAC, DNSSEC, TLS, etc.? Quels tableaux de bord pourrions-nous concevoir pour aider les partenaires de l’industrie du Centre pour la cybersécurité à adopter des technologies plus modernes et sécurisées? 

3. Souveraineté informatique [D]

On pourrait penser que les communications transmises entre des points terminaux canadiens n’ont pas à être acheminées en dehors du pays. Or, pour des raisons d’efficience ou de praticabilité, ce n’est pas toujours le cas, ce qui peut poser des risques sur le plan de la sécurité. Le protocole BGP (Border Gateway Protocol) gère les itinéraires que les communications Internet empruntent pour transiter de la source à la destination. En manipulant le protocole BGP, les auteurs de cybermenace peuvent réacheminer les données en leur faveur, puis intercepter ou modifier le trafic. Comment pouvons-nous développer des analyses qui permettraient de détecter tout comportement malveillant et tout changement apporté aux chemins empruntés par le trafic en temps réel? Comment pouvons-nous prévenir le détournement du trafic pour renforcer la protection des communications des Canadiens?

4. Se préparer à un avenir sans fil [D]

Des téléphones cellulaires aux appareils électroménagers, de plus en plus d’appareils sont connectés sans fil à Internet, et nous pouvoir nous attendre à ce que cette tendance se poursuive à plein régime lorsque la 5G prendra de l’essor. L’augmentation de la connectivité sans fil s’accompagne toutefois d’un nombre croissant de menaces envers la cybersécurité des téléphones cellulaires, comme l’usurpation de carte SIM et les menaces visant les autres dispositifs sans fil. Les données des télécommunications offrent de précieuses informations sur les menaces qui ciblent les dispositifs mobiles. Comment pourrions-nous analyser les données de réseaux sans fil, comme celles du système de signalisation n^o 7 (SS7), pour mieux comprendre la mobilité et, plus particulièrement, les menaces liées à la 4G/LTE ou à la 5G?   Comment pourrions-nous créer des processus et des systèmes afin d’améliorer la prévention contre les menaces posées par le sans-fil et de protéger plus efficacement les Canadiens ?

5. Détection et décodage de maliciels liés à une menace persistante avancée (MPA) [R | P] 

Les artéfacts malveillants liés à des MPA sont habituellement dissimulés et bien conçus, et réussissent à contourner et à contrer toute analyse, ce qui complexifie leur détection et leur décodage. En nous basant sur des connaissances découlant d’activités de rétro-ingénierie approfondies menées sur un composant malveillant lié à une MPA, comment pourrions-nous mettre au point des outils permettant de détecter les activités malveillantes menées par ces composants dans des environnements locaux? Comment pourrions‑nous développer une capacité permettant d’évaluer les espaces IPv4 pour détecter la présence d’implants liés à une MPA?

6. Pots de miel/Amélioration des émulateurs de réseau [N | P | D]

Les cybermenaces évoluent constamment et les auteurs malveillants ne cessent de trouver des techniques novatrices pour infecter les systèmes. Il est possible de contourner le problème en mettant en place des pots de miel. Ces derniers consistent en des systèmes qui imitent des environnements réels et qui ont pour objectif de berner les auteurs de menace en vue de recueillir du renseignement sur les nouveaux vecteurs d’infection. Pour assurer l’efficacité des pots de miel, leurs responsables doivent connaître les plus récentes techniques d’infection. De plus, un émulateur de réseau utilisé pour procéder à l’analyse dynamique des maliciels est également un type de pot de miel. Il n’est pas toujours possible de laisser les communications de maliciel utiliser Internet dans le cadre d’analyses dynamiques. Bien qu’Inetsim soit un émulateur de réseau qui permettrait de régler ce problème, il a été développé il y a plus d’une décennie et ne tire pas parti des capacités dont jouissent les technologies les plus récentes. Comment pourrions-nous créer un nouveau modèle de simulation Internet amélioré pour les outils d’analyse dynamique de maliciels en isolement (pas seulement la simulation des services, mais aussi le contenu)? Comment pourrions-nous aussi simuler les systèmes de contrôle industriel et les interactions des utilisateurs? Pourrions-nous construire un système qu’il servirait à la fois d’émulateur de réseau et de pot de miel? Comment pourrions-nous tirer parti de nouveaux concepts, comme l’apprentissage machine ou le nuage, ou améliorer les taux de réponse des pots de miel et de l’émulateur de réseau pour recueillir des artéfacts malveillants sophistiqués ou en savoir plus sur les menaces émergentes?

7. Pourriels/Hameçonnage/Hameçonnage par message texte [D | P]

Il est possible d’extraire manuellement les indicateurs de compromission en analysant les pourriels envoyés par des réseaux de zombies, ainsi que les adresses URL employées dans le cadre des campagnes d’hameçonnage et d’hameçonnage par message texte. Comment pourrions-nous développer des techniques de détection et d’extraction automatiques d’informations pertinentes et exploitables provenant de milliards de pourriels et de nouveaux domaines en temps réel? Par ailleurs, comment pourrions-nous mettre en œuvre des analyses pour détecter les campagnes de pourriels, d’hameçonnage et d’hameçonnage par message texte?

8. Analyse de la mémoire [O | P]

Les configurations intégrées dans les artéfacts de maliciels représentent une source importante d’informations qu’il est possible d’utiliser dans le cadre des analyses subséquentes. Par exemple, la configuration de nombreuses familles de maliciels présente les adresses de leurs serveurs de commande et de contrôle. Comment pourrions-nous tirer profit de l’information de configuration qui est accessible lors de l’exécution, afin d’obtenir des données analytiques précieuses sur l’état du système? Comment ce processus pourrait-il être structuré dans un cadre qui permettrait l’automatisation et la mise à l’échelle (p. ex. à l’aide d’outils comme CAPE ou malscan)?

9. Surveillance communautaire en cybersécurité [P]

Il est parfois difficile de valider avec exactitude la malveillance d’un indicateur et d’évaluer les effets secondaires négatifs possibles liés au blocage du trafic connexe. Lors d’un événement organisé par le Centre pour la cybersécurité, une initiative a été créée en collaboration avec des entreprises de télécommunications canadiennes afin d’adopter une méthode dans le cadre de laquelle différentes organisations peuvent communiquer de l’information utile concernant le trafic réseau à d’autres organisations partenaires au moyen de MISP. Pourrions-nous démocratiser l’établissement de la qualité et de la pertinence d’un indicateur au moyen d’un système de vote par les membres? Comment pourrions‑nous mettre en place un système pour renforcer une telle communauté? De quelle façon ces connaissances pourraient-elles servir à enrichir un DNS national?

10. Infrastructures malveillantes et recherche de menaces [P | R]

Les cybermenaces sont infinies et il peut être difficile de reconnaître automatiquement les infrastructures malveillantes et les tentatives d’hameçonnage parmi d’énormes quantités de données. Pour ce faire, on peut entre autres changer une section du chemin d’une URL par un autre chemin que l’on sait associé à une infrastructure malveillante. Comment pourrions-nous faire la synthèse des données afin de déterminer des formules permettant d’établir des règles grâce auxquelles on pourrait trouver des données additionnelles ou valoriser les données existantes? Comment pourrions‑nous déterminer que les formules liées aux règles sont correctes? Comment pourrions-nous automatiquement détecter les données et les infrastructures malveillantes recueillies et les attribuer à des auteurs de menace?

11. Surveillance et analyse du nuage [D]

De plus en plus de services gouvernementaux sont maintenant offerts sur le nuage Microsoft Azure et il est donc essentiel que le Centre pour la cybersécurité comprenne de quelle façon les utilisateurs peuvent sécuriser et surveiller leurs locations infonuagiques et l’infrastructure physique connexe. Microsoft Azure permet à ses clients d’obtenir des journaux afin qu’ils surveillent leurs activités et leurs ressources infonuagiques. Comment pourrions-nous créer un cadre afin d’extraire, d’analyser et de visualiser les journaux infonuagiques pour obtenir de l’information exploitable? Comment pourrions-nous obtenir un ensemble de bonnes pratiques grâce aux utilisateurs du nuage Microsoft Azure et collaborer avec les fournisseurs de services infonuagiques pour qu’ils améliorent leurs services?

12. Mappage de l’infrastructure [R | D]

La mise au point d’une intervention efficace pour contrer les méfaits des auteurs malveillants commence par une bonne compréhension des infrastructures malveillantes dont ils se servent. Comment pourrions-nous centraliser les indicateurs de compromission des partenaires de l’industrie et du gouvernement ainsi que des organismes chargés de l’application de la loi, et les optimiser de sorte qu’ils puissent déterminer l’architecture des infrastructures malveillantes? 

13. Mise en œuvre de la recherche de composants malveillants [R | D]

La recherche opérationnelle diffère de la recherche d’indicateurs de compromission habituelle. Elle vise particulièrement le renseignement exploitable permettant de monter un dossier contre un auteur malveillant responsable d’un composant. Comment pourrions-nous rechercher efficacement des composants (en nous basant sur l’analyse de l’hôte, l’analyse de surface, la rétro-ingénierie, etc.) pour déterminer la composition interne d’une cybermenace? 

14. Attribution des menaces aux auteurs [R | D]

Pour pouvoir prendre des mesures contre les auteurs malveillants, il faut monter un dossier solide et étayé par des éléments de preuve admissibles qui permettent d’identifier clairement le ou les individus responsables de la cybermenace. Comment pourrions-nous identifier certains individus responsables des attaques grâce à la recherche d’indicateurs de compromission et des surnoms des auteurs?

15. Collecte et analyse de données interorganisationnelles [D]

Un problème important concernant la recherche collaborative interorganisationnelle découle du fait qu’il est difficile de trouver une méthode mutuelle pour mettre en commun, stocker, normaliser et visualiser les données. Comment pourrions-nous utiliser la grande quantité d’informations concernant l’infrastructure malveillante, le maliciel et l’attribution des menaces aux auteurs? Comment pourrions-nous tirer profit des activités menées par d’autres équipes participant à la GeekWeek pour produire un résultat exploitable?

16. Suivez l’argent [P | D]

Les cryptomonnaies sont souvent la méthode privilégiée par les auteurs de menace pour ce qui est de recevoir des paiements de leurs victimes. Comment pourrions-nous exploiter la chaîne de bloc et collecter de l’information clé sur cet écosystème? Comment pourrions-nous utiliser ces données pour suivre la trace des auteurs de menace ou regrouper les cybermenaces? Comment pourrions-nous trouver un moyen reproductible et durable de mesurer les coûts et les revenus des auteurs de menace, ainsi que l’économie de la cybermenace?

17. Contribution aux outils de la collectivité [P]

Les outils et les services de source ouverte mis au point par la collectivité de la cybersécurité sont essentiels à l’amélioration de l’accessibilité à la cybersécurité; ils renforcent donc nos capacités d’intervention contre les cybermenaces. Par exemple, comment pourrions-nous unir nos forces en vue d’améliorer les services et les outils de la collectivité, comme MISP, Malpedia ou Ghidra, et connecter un nombre accru de personnes à ces services? Comment pourrions-nous contribuer aux outils de source ouverte au moyen de code pouvant avantager toute la collectivité de la cybersécurité?

18. Analyse génétique avancée des maliciels [R | P |D]

La « recherche d’informations » est une nouvelle technique de rétro-ingénierie et d’analyse des maliciels qui décompose de nouveaux maliciels inconnus en composantes connues, en se basant sur des données existantes. Les outils en place, comme Intezer, se fondent sur des codes correspondant exactement à des algorithmes et ne permettent pas de récupérer l’information qui diffère légèrement des codes originaux. Comment pourrions-nous développer un système de recherche d’informations pouvant trouver des correspondances inexactes tout en s’adaptant à différentes architectures d’UCT? Comment pourrions‑nous nous servir d’outils déjà en place, comme Kam1n0 et Ghidra, pour concevoir un système souple et adaptable?

19. Regroupement de maliciels avancé [P]

De nouveaux maliciels sont détectés tous les jours, mais la majorité des découvertes représentent des variantes de maliciels déjà existants. Comment pouvons-nous automatiquement regrouper ces variantes en fonction de leurs comportements, puis les classer dans la famille connexe? Comment pouvons-nous extraire des signatures et des indicateurs de compromission partageables à partir d’un groupe de maliciels similaires?

20. Regroupement d’infrastructures malveillantes avancées [P]

Les infrastructures malveillantes changent constamment et des efforts importants sont déployés pour dissimuler leur affiliation. De même, de nouveaux sites d’hameçonnage qui se font passer pour des sites d’entreprises sont créés chaque jour et comportent toujours de petites différences pour contourner les mécanismes de détection automatique. Comment pourrions-nous tirer profit de l’apprentissage machine et des algorithmes de reconnaissance d’image afin de regrouper automatiquement des infrastructures et des sites Web malveillants, et de les attribuer à des auteurs malveillants?

21. Validation des infrastructures de cybermenace [P]

Comme les auteurs malveillants changent et déplacent leurs infrastructures pour éviter leur détection, nous devons constamment vérifier la validité de nos données. Comment pourrions-nous développer un système qui naviguerait régulièrement sur Internet afin de valider l’information sur les infrastructures malveillantes et veiller à leur validité?

22. Extractions de connaissances automatisées (ou l’accent sur les graphiques!) [P]

Une histoire de cybermenace commence habituellement par quelques indicateurs. L’analyste concerné établit manuellement les relations avec d’autres sources d’information pour compléter l’histoire et obtenir un portrait complet. Comment pourrions-nous automatiser ce processus? Comment pourrions‑nous automatiser la création de graphiques d’indicateurs qui permettraient à l’analyste de voir toute l’histoire en évitant le côté manuel du processus?

23. Recherche inversée [R | P]

Même pour le spécialiste en rétro-ingénierie le plus chevronné, il s’avère difficile de produire la règle YARA parfaite pour détecter un composant malveillant. Grâce à la recherche inversée, les analystes peuvent évaluer la qualité de leurs signatures de fichier à grande échelle. Des outils comme BigGrep permettent de rechercher d’anciens composants malveillants qui auraient déclenché une signature en particulier en indexant une grande quantité de fichiers binaires. Comment pourrions-nous optimiser la vitesse, la taille et les résultats des outils de recherche inversée afin d’accroître nos capacités de collecte de renseignement sur les cybermenaces.

24. Signalement des maliciels [P]

Lorsque l’on cherche à obtenir de l’aide concernant des cyberactivités malveillantes, il est difficile de trouver l’entité à laquelle s’adresser. Le signalement de cyberévénements gagnerait en facilité et en convivialité si l’on choisissait une seule personne-ressource. Comment pourrions-nous créer un système automatisé et centralisé qui permettrait de classer tous les rapports entrants sur les maliciels, les pourriels et les activités d’hameçonnage selon leurs points d’origine et de les acheminer aux autorités responsables?

25. Bacs à sable avancés [P | O]

Les environnements virtuels sont bien équipés pour analyser les maliciels sur les systèmes d’exploitation communs (p. ex. Windows). Cependant, les auteurs malveillants cherchent toujours à perfectionner leurs mécanismes de détection contre les bacs à sable, ce qui complexifie les analyses dans les environnements virtuels. Le nombre de maliciels ciblant les autres systèmes d’exploitation est également à la hausse. Par conséquent, les bacs à sable doivent s’adapter à ces nouveaux types d’échantillons. Comment pourrions-nous améliorer les outils employés par les bacs à sable pour éviter leur détection et recueillir d’autres indicateurs de compromission? Comment pourrions-nous virtualiser plusieurs dispositifs de l’IdO aux fins d’analyse des maliciels? Dans le cadre de ce projet, nous nous servirons de Docker.

Foire aux questions (FAQs)

Les organisations mentionnées ci-dessous ne représentent qu’une fraction des organisations qui participeront à GeekWeek 7. Le Centre pour la cybersécurité souhaite remercier toutes les organisations participantes. La cybersécurité est un travail d’équipe, et il serait impossible de tenir ce type d’événement sans l’aide de tous les participants.