Surtout parce que mes élèves me l'ont demandé, je retranscris ici quelques moments de la journée de conférences que l'OSSIR organise chaque année. Une journée à Paris. Pour cette édition, nous avions sept conférences et une table ronde. Le thème de la journée était __les nouveaux visages de l'insécurité informatique__. Au menu, des gens de tous horizons, des rencontres sympathiques et des thèmes alléchants. Première astuce : devenir adhérent. En effet, adhérer à l'association coûte 45 euros. Vous ne repartez pas avec un dvd bonus, mais vous assistez à l'assemblée générale, avez le droit de vote et ça vous permet de ne payer l'entrée à la JSSI à hauteur de 15 euros (75 pour les non adhérents). Et comme dit un membre : adhérer à l'OSSIR et aller à la JSSI, ça me coûte moins cher que d'aller à la JSSI toute seule, et en plus, le repas est offert. Bon, d'accord, présenté comme cela, ça fait un peu rat, mais en cette belle période prolifique en dépressions (bancaires ou mentales), ça fait du bien de s'imaginer qu'on ait le maître du monde. Une bonne session, ça se commence tôt. Prévoyez d'être là vers 8h40. Pour les provinciaux, je vous incite à trouver à loger à Paris la veille, ça permet d'arriver sereinement et surtout d'être frais dans ses basckets. Prévoyez du côté de la Santé, mais pas la peine de maltraiter quelqu'un pour y passer une nuit. Privilégiez les amis ou hôtel (j'en profite pour remercier [mes hôtes|http://bouh.soolbox.com] d'une nuit : It waz Ubba wonderful, fanx!). Pour être sûr que vous êtes bien inscrit, assurez-vous d'avoir reçu un mail du trésorier de l'association. Cette année, on a commencé les hostilités avec François Paget qui a fait la démonstration que dans la réalité virtuelle, on peut reproduire l'ensemble des malwares que l'on connaît dans la vie réelle, tout comme des vers ou des virus, ou encore effectuer du fishing. Je conseille la lecture des travaux, surtout si vous avez déjà traîné sur seconde life, ça vous incitera à ne plus parler à personne. C'est ensuite une rencontre inattendue. Stéphane Koch, qui est arrivé à la bourre (si, si, je balance et j'assume) nous a fait un retour assez soutenu sur les enjeux de l'e-réputation. Je sais qu'il a enregistré sa conférence. Je ne sais pas si elle sera en ligne, mais je vous conseille de vous intéresser au monsieur et à ses travaux. Comme toujours, dès que ça touche la relation humaine et les relations sociales, ça me transcende. Il m'a presque convaincu de m'ouvrir un compte facebook pour surveiller les âneries que les autres pourraient dire ou publier sur moi. D'ailleurs, ça m'a donné une idée de travaux rapide et efficace. La suite, très vite... ou ça restera confidentiel. Éric Barbry était notre juriste cette année. Toutes les bonnes conférences ont un juriste. Pas de juriste, fuyez, c'est une mauvaise conférence. Le nôtre est issu du cabinet Bensoussan, cabinet bien connu du milieu. Et là, j'ai bondi deux ou trois fois de mon siège. Parce que déjà "Internet et Création" n'est pas une loi, cher maître, mais un projet de loi. Et pour moi, ça change beaucoup de choses. Monsieur Barbry fait parti du comité de l'OSSIR qui a rédigé un rapport sur les logs, rapport que l'on espère bientôt voir apparaître dans les bacs d'ailleurs. En tous cas, récupérez les slides dès que vous le pourrez, parce que vous allez découvrir que la loi française ne sait pas définir ce que sont des logs, et là, c'est drôle. Bon, ça n'empêchera personne de vous accuser de [n'importe quoi|http://www.numerama.com/magazine/12389-Orange-va-porter-plainte-contre-Free-pour-diffamation.html]. D'ailleurs, il citera entre autre une [documentation intéressante|http://www.cnil.fr/fileadmin/documents/La_CNIL/publications/CNIL_GuideTravail.pdf] de la CNIL que je vous invite à consulter, entre autre les feuillets 5 et 6. Allez, un petit paragraphe plein de mots clés pour les psycho-rigides qui me lisent, les autres, vous pouvez aller directement au paragraphe suivant :

Tout le monde est FAI

Si vous êtes hébergeur, vous avez un devoir légal de filtrage de la pédo pornographie et des jeux de hasard ([L335-12 du CPI|http://www.jurizine.net/index.php/2006/08/20/45-articles-l-335-1-a-l-335-12-cpi-dispositions-penales])

Que la vie privée résiduelle ne doit pas remplacer votre travail ([Jurisprudence Franck.L/Entreprise Martin|http://www.legalis.net/jurisprudence-decision.php3?id_article=2390]), pas plus que le fait d'écrire (185 mails) à votre maman (en un mois) \[Si quelqu'un à la bonne ref...\]

Il est illégal d'exporter des données à caractère personnel hors de l'Union Européenne (Arnaud, si tu me lis et que tu as la ref...)

Le CRU a une [bonne politique|http://www.cru.fr/_media/activites/securite/gestiondesjournaux.pdf] pour les logs. S'en est suivi la table ronde animée par Hervé Schauer. Je n'ai pas pris beaucoup de notes car il est toujours délicat d'avoir une table ronde équilibrée avec un beau débat et un public présent. Cependant, quelques points intéressants. Nous sommes actuellement à l'âge d'or de la sécurité et nous ne nous en rendons que peu compte. Il y a beaucoup de données volatiles et beaucoup de données perdu. Que peut-on faire contre cela ? Vous trouverez ici une [illustration intéressante de ce support volatile|http://www.monsieurlam.com/2009/03/23/la-memoire-dans-la-peau/]. Il a également été fait question de la jeune génération constitué de la portion allant de 16 à 22 ans. Ces gens là sont presque nés avec un téléphone mobile à l'oreille et la caméra au bout du doigt. Il est fréquent de trouver des vidéos de tout et n'importe quoi, comme des jeunes qui filment le matraquage en règle d'un adulte ou encore la vidéo d'un prof en colère filmé à son insu et souvent hors contexte. Et bien, ces mêmes jeunes là laissent leur portable en mode vidéo pendant que vous tapez le mot de passe de contrôle parental. Prenez gare mes amis, l'époque du changement de clavier à la volée est venu. Enfin, pour les parents qui tapent à deux doigts. Vînt enfin l'heure tant attendue du repas. Je traîne en salle de conférence parce que je souhaite absolument discuter avec Stéphane Koch. Certains diront que j'ai fait mon cinéma, mais d'autres penseront que c'est un moment de débat intéressant. Moi, j'ai apprécié, surtout d'avoir des points de vue de personnes intelligentes et réfléchies. Débats sur le vote électronique, Internet et création, la politique, les jeunes, Albanel, la politique, la sécurité, les artistes, la politique, la sécurité, les réseaux sociaux. Fallait pas m'inviter. L'après-midi sera plus technique. On commence par maître ès Ruff qui fait un état de l'art de la virtualisation, en ayant pompé la plupart de ses définitions sur Wikipedia. Rien de révolutionnaire, mais pas mal de petits points à voir et à fouiner dès que les diapos seront en ligne. Toujours des anecdotes sympathique et un personnage immense (mais tout de même, les définitions prisent dans wikipedia, pas universalis :p). S'en suit une conférence sur les __Software as a service__ plus communément appelés SaaS. Je n'ai pas apprécié du tout, mais ça n'a rien à voir avec l'intervenant ou le contenu de la présentation. Je n'aime pas les SaaS, je suis contre l'externalisation, alors là, c'est le pompon. Il en faut, me glisse ce cher président de l'OSSIR. Je dois être trop jeune pour comprendre. Quand j'aurai des poils au menton, ça ira mieux. En attendant, je m'assieds et je me tais. (ITIL, c'est le mal.) On terminera la journée avec deux interventions. La première sur les rootkits navigateurs. Rien de bien neuf pour moi sur la partie firefox, j'avais bossé avec danyboy sur la présentation à mozilla, on retrouvait exactement les même concepts. J'ai incité les auteurs à tirer les oreilles à Mozilla. À force de le dire, on va peut être se faire entendre. La gestion des modules dans mozilla firefox : __It's not a feature, it's a bug!__ La partie sur Internet Explorer ne m'a pas intéressé, je pense que vous vous en doutez. Une réaction intéressante d'un de mes collègues de l'OSSIR : mais avec quel navigateur libre et sécurisé peut-on alors surfer ? La question reste ouverte, si vous avez des propositions, les commentaires sont à vous. Moi, j'affectionne links et w3m. Pour clore cette journée, une présentation qui aurait plu à une bonne partie de mes élèves qui ont passé une partie de leur temps sur la signature numérique et la création d'un HIDS : les fonctions de hachage, un domaine à la mode. Petit rappel sur ce que c'est, à quoi ça sert. Comment est mort md5, une fois... deux fois... trois fois, adjugé vendu. Pourquoi le SHA n'est il pas mieux loti et l'état du concours du NIST pour remplacer MD5. C'était tout simplement passionnant. Fin de la journée, un peu de rangement, serrage de paluches et à l'année prochaine. Le train me ramène vers Rennes, et Pratchett m'accompagne tout au long des deux heures de rang. Ce poste est dédié à Philippe qui' m'a demandé un retour sur ma journée à Paris.