Digital Forensic & Incident Response Imprimante Lexmark

Synacktiv recherche un·e stagiaire (F/H) en sécurité informatique, pour une durée de 6 mois, capable de participer à l’extension de son arsenal. Le·a stagiaire sera également amené·e à prendre part à des missions de réponse aux incidents, afin d’acquérir une meilleure vision du métier et de la manière dont le sujet pourrait en pratique être utile dans le cadre de ces missions.

Dans le cadre d’une investigation numérique, le CSIRT Synacktiv est amené à analyser des imprimantes connectées au réseau des entreprises. Ces équipements peuvent être utilisés pour réaliser une opération malveillante : ils sont d’autant plus intéressants pour un attaquant qu’ils sont souvent peu supervisés ou ne disposent pas de mécanisme de sécurité avancé (type EDR). Par ailleurs, ces équipements sont plus complexes à analyser du fait qu’ils disposent d’un système d’exploitation spécifique et embarquent des fonctionnalités communicantes (serveur de fichiers, transmission de messages électroniques, etc.) dont le fonctionnement interne n’est pas toujours documenté. L’objectif de ce stage est de mener une étude sur une ou plusieurs imprimantes afin d’identifier des méthodes d’acquisition de la donnée, les journaux d’intérêt ainsi que des artefacts forensics (des fichiers dont le contenu permet indirectement de tracer une activité). On se placera notamment dans le cas d’une investigation suite à une intrusion informatique : la recherche des moyens de compromission initiale et des moyens de persistance sera tout particulièrement analysée.

En mettant à profit les connaissances acquises, le·a stagiaire sera amené·e à produire une méthodologie d’analyse, réaliser des signatures d’identification d’activité (yara/ioc) et développer des scripts/codes de collecte, voire d’analyse.

Synacktiv dispose d’une expertise avancée et reconnue en matière d’analyse matérielle – cette expertise est toute particulière pour les imprimantes (https://www.synacktiv.com/publications/the-printer-goes-brrrrr.html) : la mise en application des travaux déjà réalisée sera nécessaire en particulier pour comprendre plus précisément le fonctionnement de l’imprimante (internals) et mener une étude des moyens hardware d’acquisition des données (mémoire / système de fichiers). Ainsi le·a stagiaire sera amené·e à travailler avec le pôle rétroconception de Synacktiv.

Une étude des logiciels parfois poussés sur le poste de travail (Windows, Linux ou MacOS) pourra également être envisagée selon l’avancement du stage et les choix méthodologiques. En première intention, les imprimantes Lexmark seront privilégiées pour ce stage en raison de leur plus grande capacité d’auditabilité. Enfin, à l'issue du stage, l'intéressé·e sera encouragé·e à publier une série d'articles sur les résultats obtenus.

Ce stage peut déboucher sur un CDI d'expert sécurité dans le pôle réponse à incident de Synacktiv.