Après un petit préchauffage en règle avec quelques étudiants de Limoges le mardi soir, direction Beaulieu, capitale française de la sécurité pour trois jours. Arrivée matinale afin de ne pas devoir subir la même file d'attente qu'à la poste. C'est payant, à peine cinq minutes pour récupérer le badge, les tickets du resto U, les actes et deux stickers. Je retrouve mes camarades d'[INL|http://www.inl.fr] ainsi que [Christophe Grenier|http://www.cgsecurity.org]. Nous ne nous quitterons plus jusqu'à la fin du SSTIC. Belle tablée d'étudiants, s'il en est. __JOUR I__ SSTIC commence officiellement, avec quelques mots du président, [Philippe Biondi|http://www.secdev.org] qui paraphrase quelque peu sa préface des actes. On [enchaîne|http://actes.sstic.org/SSTIC08/Anatomy_Security_Disasters/] avec un [Marcus Ranum|http://www.ranum.com/] en chair et en os. C'est un grand plaisir pour moi de rencontrer un de ceux que je considère comme un ''père spirituel'' en matière de sécurité informatique. Je m'assieds au fond de mon siège à rabat et m'attend à en prendre plein les oreilles pendant une heure pour une conf... en français. Stupeur. Ranum nous fait l'honneur de parler entièrement dans la langue de molière, avec l'assistance, d'après lui, de Google Translator. Je pense que l'outil a dû faire bien des progrès depuis la dernière fois que je m'en suis servi, parce Marcus n'a pas fait énormément de fautes. Par contre, pas toujours facile de suivre à jeun, un mercredi matin. Ce qu'il faut retenir, en substance, c'est que la plupart des gens préfèrent conserver leur travail, plutôt que d'avoir raison. De manière générale, la sécurité est une matière ingrate, on ne fait que la blâmer pour les pertes, mais on est incapable d'en retirer les bénéfices. En prenant un peu de recul, le sinistre informatique a déjà eu lieu, car on ne définit pas si une attaque sur les infrastructures va survenir, on essaye plutôt de savoir quand cela va arriver. Et tout cela n'est que la conséquence d'une seule et même entreprise : __la mauvaise idée__. En effet, c'est elle qui grandit et que l'on n'a pas su tuer assez tôt. On pourrait symboliser cette catastrophe sous la forme suivante : Naissance de la mauvaise idée => partage de la mauvaise idée par mail (preuve) => mise au courant de la direction => attente de la direction vis à vis de cette idée (ROI) => rencontre de DSI => mise en place de la mauvaise idée. Certaines étapes sont optionnelles, mais le résultat est toujours là, si vous ne tuez pas la mauvaise idée à sa naissance, une fois implémentée, vous aurez à peu près autant de chance que ce qu'est la limite de un sur x, lorsque cette variable tend vers l'infini... On parle de sécurité, mais c'est plus une question de réalité à laquelle il faut revenir. En effet, pourquoi transportez-vous des données confidentielles sur des laptops alors même que vous vous trimballez dans un aéroport ? Il faut revenir sur terre. Les désastres informatiques vont être énormes et notre tâche relève de l'accomplissement de l'impossible. Pour employer la métaphore, on sait que les voyages dans l'espaces sont dangereux, pourtant, on continue encore et toujours la recherche dans ce domaine, tout simplement parce qu'il n'y a pas eu encore de désastres, seuls quelques "catastrophes", si vous me passez l'expression. Internet est à l'image des voyages dans l'espace, c'est un __miracle__ que cela fonctionne. En conclusion, Ranum avancera qu'avec le web, nous étions au bord du gouffre, avec le web 2.0, nous avons réussi à faire un grand pas en avant... Du très bon, comme je le disais. On continue sur [l'intervention|http://actes.sstic.org/SSTIC08/Identification_Exploitation_Failles_Humaines/] de Michel Iwochewitsch qui ne parlera de rien d'autre que de Social Engineering (aïe, pas la tête). Sujet supra sexy, surtout pour moi qui travaille depuis longtemps sur la question. Je n'ai pris que quelques notes car il est indispensable de recourir au support tellement il y a de références à des méthodes et des acronymes. Ce qu'on pouvait tout de même noter c'est qu'il y a deux angles d'attaque ; le ''one shot'' et le ''long terme''. Les cibles sont variées, telle que l'argent, l'intégrité de l'information, la confidentialité, la disponibilité, la nuisance, la valeur d'opposition... Il y a deux modes d'exploitation de l'être humain :

exploiter une faille pour obtenir un effet,

utiliser un outil afin de mieux appréhender l'autre. Il y a des boutons universels qui nous font tous chavirer. La phrase à retenir semble être que > Pour les russes, le cerveau est comme un système d'information sans pare-feu. Je n'attendais vraiment rien du [talk de gemalto|http://actes.sstic.org/SSTIC08/Activation_Cartes_Puce_Sans_Contact_Insu_Porteur/] étant habitué à leurs obscures déviances cryptographique. J'ai donc été plus qu'agréablement surpris de faire face à une conf qui a su me passionner. On y parle de carte sans contact, mais également la capacité de créer des tunnels pour se servir de votre carte pour acheter des tickets de métro, ouvrir votre voiture, etc. Une vidéo devrait figurer dans les actes, elle n'a pas eu le temps d'être jouée pendant la conf, ''trop de pression''. L'heure du repas, direction le RU. Je sais de manière sûre que ce n'est pas ce que je regrette de ma période de travail à l'université, encore aujourd'hui. Rendez-moi le resto de supélec ;-) [David Naccache s'est fendu d'un papier en anglais pour une conférence en français|http://actes.sstic.org/SSTIC08/Law_Enforcement_Forensics_Mobile_Communications/]. Ça aurait dû me mettre la puce à l'oreille. Je n'ai rien n'appris, rien vu d'innovant, si ce n'est que de réussir à placer un HS pendant plus de vingt minutes sur des thermo bugs, dont je serai réellement curieux de voir l'application dans le monde réel. Un covert channel par la chaleur, je suis sûr que vous voyez, vous aussi, la correspondance directe avec l'expertise judiciaire des téléphones mobiles. Pour ma part, ça ne m'a pas frappé ! C'est [moutane|http://moutane.rstack.org/] qui se coltinera l'avant-pause de l'après-midi avec une comparaison entre les outils phares du marché d'analyse de faille : CORE IMPACT, Immunity CANVAS et Metasploit Framework. Rien de bien nouveau, mais ça permet de refaire un point sur l'état de l'art. Il évoquera quelques contre mesure face à ces outils : la mise à jour des systèmes (qui a dit le saint graal en prod ?), les I\[P|D\]S, le confinement par des pots de miel (on sent l'enseignement Oudot ;)) et la contre attaque, quoi que celle-ci ne soit pas très légale en France. Après la pause, et non, je ne parlerai ni des litres de jus d'orange, ni de la centaine de pains au chocolat (mini quand même), c'est Loïc Duflot qui entame cette dernière partie avec les [bogues sur les processeurs|http://actes.sstic.org/SSTIC08/Bogues_Piegeages_Processeurs_Consequences_Securite/]. Pas beaucoup de notes, je vous renvoie aux actes. On continue avec [l'autopsie d'un banker|http://actes.sstic.org/SSTIC08/Autopsie_Observations_Banker/], de son doux nom Anserin. Étude forte intéressante qui vient compléter la présentation de [Franck Veysset à l'OSSIR Bretagne|http://www.ossir.org/bretagne/cr/20080408.shtml], ainsi que celle qui viendra deux jours plus tard de Guillaume Arcas. Conférence intéressante, sujet passionnant. Il semble pourtant que le même sujet avait été proposé deux années auparavant, sans avoir été accepté. Serait-ce que tout cela devient moins sensible ? On en retient une chose importante en tous cas. Tout le monde est d'accord, les anti-virus en tant que tels sont inutiles. Il en résulte deux questions : comment se passer de cette industrie et quelle réponse positive apporter pour faire avancer le schmilblick. La dernière conférence marquera le début du cycle YaFD (Yet another Fucking Debugger). Un [taf intéressant|http://actes.sstic.org/SSTIC08/GenDbg_Debogueur_Generique/] de la part de l'équipe du CELAR, mais qui n'est pas publié et où la documentation réside dans le .h. Toute similitude avec un outil en python serait complètement fortuite. La première journée s'achève sur un petit buffet bien sympathique, avant de rentrer à la maison, manger un bout, puis sortir arpenter les --bars-- rues de Rennes à la recherche de participants. __IMPORTANT__ :

les actes, vous l'aurez compris, sont en ligne depuis ce soir (wahoo)

ma [rump sur scapy|http://jp.gaulier.info/conf/doc_scapy.pdf] est disponible

[Quelques photos|http://jp.gaulier.info/photos/sstic08/], mais mon appareil et mon emplacement n'allaient pas pour choper les speakers. Je me suis donc contenté de quelques pauses et/ou situations voisines ;) [Vers le jour II|http://jp.gaulier.info/blog/index.php/2008/06/10/264-mes-stats-de-sstic-jour-ii] - [Vers le jour III|]