Bases Hacking
La base de la sécurité informatique
Présentation
Je m'appelle François GOICHON et suis actuellement étudiant en dernière année à l'INSA (Institut National des Sciences Appliquées) de Lyon, dans le département informatique. Je suis également titulaire d'un master recherche en Réseaux, Télécommunications et Services, délivré par l'université Lyon I.
Mes connaissances dans le domaine de la sécurité informatique découlent essentiellement d'un important travail personnel de recherche et d'expérimentation conforté par la solide formation généraliste dispensée à l'INSA.
Etant depuis longtemps passionné par la sécurité informatique et ses enjeux, j'ai naturellement construit ce site, dans lequel j'essaye d'exposer le plus pédagogiquement possible ce que je pense être les bases nécessaires à la sécurité informatique, tout en gardant une vision technique relativement avancée. Je développe aussi de façon périodique de faux blogs de développement (actuellement, BrowserWar-Dev) afin de sensibiliser les étudiants à la sécurité dans le développement et de fournir une épreuve un peu plus avancée pour ceux ayant des connaissances dans le domaine.
De plus, je suis l'initiateur et le chef de projet de l'IDS (Intrusion Detection System) Herkeios, pour Linux, dont le but est de détecter et de combattre les principales vulnérabilités ou failles que l'on peut trouver sur un ordinateur personnel comme sur un serveur professionnel (exploitation de buffer overflows et stack smashing, injection de shellcodes en mémoire, propagation virale, backdoors, détournement des flux réseaux, etc..). Le combat se fait en aval, c'est-à-dire en tant que dernier rempart après les antivirus et autres firewall, dont le but est de canaliser la communication à certaines entrées et d'y faire les contrôles d'identité. Mon but ici est de détecter et d'empêcher le point final de l'intrusion (gain des droits d'accès, détournement d'informations) et ce qu'on appelle "comportement anormal" du système. Le projet dans son intégralité est disponible à l'adresse http://herkeios.bases-hacking.org/.
J'ai également effectué une mission de recherche en sécurité informatique, à savoir la conception et le développement d'un système de cryptage de base de données, de gestion d'accès distribué et de sélection de ces données, integré à un SGBD Open-Source (SQLite), auprès du Laboratoire d'InfoRmatique en Image et Systèmes d'information, CNRS. Ceci m'a réellement permis de consolider et mettre en pratique mes connaissances dans le domaine de la cryptographie. Toujours dans la recherche, j'ai effectué un stage de 8 mois dans lequel j'ai étudié les vulnérabilités liées aux interaction de code Java, comme il peut y en avoir sur les serveurs d'application J2EE ou au sein de plateformes à composants orientés services comme OSGi. J'ai été amené à développer un outil, STOP, de détection statique de ces vulnérabilités.
Enfin mon expérience la plus forte en situations réelles aura été une mission d'analyste sécurité de 4 mois au sein de la jeune entreprise Certilience au cours de laquelle j'ai notamment eu à prendre part à des audits Web, à la surveillance fonctionnelle et intrusive de systèmes ou encore à l'administration d'infrastructures de sécurité et de produits professionels (firewalls, concentrateurs VPN, etc..) que je n'avais jamais pu manier avant.
Pour de plus amples informations sur mon expérience et mes connaissances, je vous invite à consulter mon CV ou à me contacter.
Mes connaissances dans le domaine de la sécurité informatique découlent essentiellement d'un important travail personnel de recherche et d'expérimentation conforté par la solide formation généraliste dispensée à l'INSA.
Etant depuis longtemps passionné par la sécurité informatique et ses enjeux, j'ai naturellement construit ce site, dans lequel j'essaye d'exposer le plus pédagogiquement possible ce que je pense être les bases nécessaires à la sécurité informatique, tout en gardant une vision technique relativement avancée. Je développe aussi de façon périodique de faux blogs de développement (actuellement, BrowserWar-Dev) afin de sensibiliser les étudiants à la sécurité dans le développement et de fournir une épreuve un peu plus avancée pour ceux ayant des connaissances dans le domaine.
De plus, je suis l'initiateur et le chef de projet de l'IDS (Intrusion Detection System) Herkeios, pour Linux, dont le but est de détecter et de combattre les principales vulnérabilités ou failles que l'on peut trouver sur un ordinateur personnel comme sur un serveur professionnel (exploitation de buffer overflows et stack smashing, injection de shellcodes en mémoire, propagation virale, backdoors, détournement des flux réseaux, etc..). Le combat se fait en aval, c'est-à-dire en tant que dernier rempart après les antivirus et autres firewall, dont le but est de canaliser la communication à certaines entrées et d'y faire les contrôles d'identité. Mon but ici est de détecter et d'empêcher le point final de l'intrusion (gain des droits d'accès, détournement d'informations) et ce qu'on appelle "comportement anormal" du système. Le projet dans son intégralité est disponible à l'adresse http://herkeios.bases-hacking.org/.
J'ai également effectué une mission de recherche en sécurité informatique, à savoir la conception et le développement d'un système de cryptage de base de données, de gestion d'accès distribué et de sélection de ces données, integré à un SGBD Open-Source (SQLite), auprès du Laboratoire d'InfoRmatique en Image et Systèmes d'information, CNRS. Ceci m'a réellement permis de consolider et mettre en pratique mes connaissances dans le domaine de la cryptographie. Toujours dans la recherche, j'ai effectué un stage de 8 mois dans lequel j'ai étudié les vulnérabilités liées aux interaction de code Java, comme il peut y en avoir sur les serveurs d'application J2EE ou au sein de plateformes à composants orientés services comme OSGi. J'ai été amené à développer un outil, STOP, de détection statique de ces vulnérabilités.
Enfin mon expérience la plus forte en situations réelles aura été une mission d'analyste sécurité de 4 mois au sein de la jeune entreprise Certilience au cours de laquelle j'ai notamment eu à prendre part à des audits Web, à la surveillance fonctionnelle et intrusive de systèmes ou encore à l'administration d'infrastructures de sécurité et de produits professionels (firewalls, concentrateurs VPN, etc..) que je n'avais jamais pu manier avant.
Pour de plus amples informations sur mon expérience et mes connaissances, je vous invite à consulter mon CV ou à me contacter.
François GOICHON