Vous êtes présentement sur le site d'une ancienne édition de GeekWeek. Cliquez ici pour accéder à l'édition 2020.

Projets

Équipe 1 : Exploration de données

Projet 1.1 : Analyse du trafic HTTP

Les premiers réseaux de zombies utilisaient le service de bavardage Internet (IRC) pour communiquer avec les serveurs de commandement et de contrôle (C2). Depuis, de nombreux protocoles différents ont été utilisés par les réseaux de zombies et d’autres types de logiciels malveillants (téléchargeurs aval, logiciels rançonneurs, chevaux de Troie à distance, etc.) pour communiquer. Certains protocoles sont entièrement personnalisés et utilisent des moyens cryptographiques hautement perfectionnés, alors que d’autres sont plus sournois et se font passer pour des protocoles HTTP ordinaires. Dans le présent projet, les participants utiliseront des techniques d’apprentissage automatique pour élaborer des outils visant à détecter les logiciels malveillants avec un protocole HTTP.

Projet 1.2 : Analyses d’hameçonnage et d’adresses URL

Les participants à ce projet utiliseront des technologies de données massives pour explorer une grande quantité de pourriels comme source d’adresse URL pouvant mener à des trousses d’exploitation, analyser les courriels hameçons contenant des pièces jointes dangereuses et élaborer des expressions régulières pouvant servir à bloquer la livraison de maliciel. À cet effet, les participants analyseront les en-têtes de courriel, les infrastructures et les indicateurs de compromission afin de développer des méthodes de prévention. Ce projet vise à faire connaître les techniques de contre mesure.

Projet 1.3 : Exploration de données dans les registres

L’analyse et l’ingestion d’une grande quantité de journaux divers en vue de les analyser pour prendre des décisions éclairées sur les actions requises peuvent comporter plusieurs défis. Les participants à ce projet travailleront ensemble pour développer des outils et des techniques pour explorer les registres, les analyser, identifier les enjeux, et passer à l’action.

Équipe 2 : Rétroingénierie

Projet 2.1 : Maliciels mobiles

Les participants à ce projet procéderont à l’analyse statique et dynamique automatisée d’applications Android malveillantes. L’analyse dynamique consiste à exécuter une application potentiellement malveillante dans un environnement contrôlé. L’analyse statique, normalement moins lourde que l’analyse dynamique, consiste à disséquer le contenu de l’application. De façon plus spécifique, les participants analyseront en profondeur les maliciels qui utilise le protocole SSL et tenteront d’examiner le contenu des communications chiffrées dans le but de mieux comprendre comment et pourquoi les applications Android malveillantes utilisent le protocole SSL.

Projet 2.2 : Trousses d’exploitation/logiciels rançonneurs

2016 est l’année des logiciels rançonneurs. Au cours des deux dernières années, ces logiciels sont devenus la menace à laquelle les entreprises et les individus sont la plus communément confrontés. En particulier, les trousses d’exploitation, avec les téléchargeurs et les attachements de courriel, demeurent l’un des vecteurs d’infection les plus communément utilisés pour compromettre des ordinateurs avec des logiciels rançonneurs. La nature invisible de la menace que posent les trousses d’exploitation, qui sont utilisées pour livrer de façon silencieuse et efficace du maliciel sur la station de travail des victimes, appelle à des efforts de défense vigilants. Les participants à ce projet vont développer des techniques pour identifier et reconnaître les trousses d’exploitation afin de mieux comprendre la menace qu’elles représentent et mieux cibler les efforts de remédiation de mises-à-jour pour combattre ces menaces.

Projet 2.3 : Automatisation physique

Les auteurs de maliciels investissent temps et efforts dans l’élaboration de techniques d’évasion et d’anti-rétroingénierie afin de détecter l’environnement d’analyse, qui comprend souvent une machine virtuelle sur laquelle un maliciel est installé en vue d’étudier son comportement. La meilleure façon d’éviter qu’une machine virtuelle soit détectée est simplement d’utiliser plutôt une machine physique. Avec cette approche, le défi est de rapidement restaurer l’ordinateur dans son état original d’avant l’exécution du maliciel. Les participants à ce projet utiliseront du logiciel libre pour bâtir et déployer des systèmes cibles physiques capables de retourner à l’état initial rapidement et automatiquement après y avoir exécuté le maliciel. Ce système permettra d’effectuer des analyses de masse automatisées avec peu de détection par le sujet de l’analyse.

Équipe 3 : Connaissances sur la cybersécurité et échange de renseignements

Projet 3.1 : Base de données sur les auteurs de cybermenace

Les logiciels libres contiennent une mine d’information sur les auteurs de cybermenaces (auteurs, campagnes, indicateurs de compromission, etc.). Les participants à ce projet écriront du code pour obtenir cette information et la mettre en corrélation avec l’information disponible dans les cybersystèmes du Centre canadien de réponse aux incidents cybernétiques (CCRIC). Prenez quelques renseignements recueillis par des humains et recoupez les avec une quantité massive de renseignements recueillis par des ordinateurs, vous obtiendrez une représentation plus précise des parties moins recommandables de l’Internet. Les participants ne vont pas uniquement analyser les cybermenaces, mais aussi trouver des moyens de s’en protéger. À cette fin, ils élaboreront aussi un cadre de travail pour faciliter l’échange de renseignements.

Projet 3.2 : Échange de renseignements

Les participants à ce projet étudieront les capacités de différentes technologies utilisées dans le milieu pour communiquer des indicateurs de compromission. Plus précisément, certains participants se concentreront sur la plateforme d’échange d’information sur les logiciels malveillants MISP, alors que d’autres travailleront avec les mécanismes STIX/TAXII. Différentes normes, différents bassins d’utilisateurs, un objectif commun : échanger des indicateurs de compromission de manière bidirectionnelle à la vitesse des ordinateurs afin de se défendre contre les cybermenaces. Même si nous devenons tous meilleurs pour recueillir des renseignements utiles, et sommes prêts à les échanger, le partage efficace d’information en temps opportun demeure un défi.

Projet 3.3 : MalSpider

Un robot Web est un programme qui suit automatiquement tous les liens d’un site Web afin d’en créer une carte complète. Unissez un robot Web avec une base de données de logiciels malveillants et vous obtenez MalSpider, un outil pour trouver les logiciels malveillants ou les vulnérabilités sur les sites Web. Les participants à ce projet utiliseront une API REST pour accéder aux bases de données du CCRIC avec MalSpider et d’autres projets d’intégration, y compris l’intégration avec les systèmes de gestion des informations et des événements de sécurité.

Équipe 4 : Cyberposture

Projet 4.1 : Découverte automatisée

Alors que la cybersécurité devient de plus en plus connue, contrôler l’accès à l’information devient une partie importante de nos efforts visant à assurer la sécurité des organisations. Ce projet vise à établir les bases d'un project collaboratif qui permettra au milieu de la cybersécurité de détecter et rechercher des fuites de renseignements de manière proactive. Les renseignements divulgués sont souvent publiés par des services accessibles au public, bien que non localisables, qui composent le « Web invisible ». Le projet explorera et testera des outils qui détectent l’information sensible qui circule librement sur ces services.

Projet 4.2 : Carte de la cyber souveraineté

On pourrait s’attendre à ce que les communications intra-Canada n’aient pas besoin de circuler à l’extérieur du pays. Toutefois, pour des raisons d’efficacité ou d’autres raisons pratiques, ce n’est pas toujours le cas. Cependant, tenter de connaître la quantité de trafic Internet canadien qui sort du pays entre la source et la destination est un défi considérable. Les participants à ce projet vont définir un cadre de travail pour calculer le pourcentage de trafic qui circule par des voies non canadiennes pour la communication intra-Canada et mesurer l’autonomie de l’Internet du Canada dans un mode de fonctionnement normal.

Projet 4.3 : Cybersanté

Comment se porte le cyberespace canadien? Sommes-nous bien préparés en comparaison aux autres pays? Est-ce que notre situation s’améliore ou s’aggrave? Les participants à ce projet fusionneront l’information des bases de données du CCRIC avec les métadonnées recueillies auprès d’autres sources libres et privées dans le but de rendre l’information consultable et de produire des rapports selon différents points de vue : régions, organisations, secteurs de l’industrie, etc. Les participants élaboreront des tableaux de bord consultables et filtrables, ainsi que des calendriers pour représenter l’évolution de la cybersanté du Canada.