On commence avec [Ari Takanen|http://sid.rstack.org/gallery/?galerie=200906_Rennes&photo=44], CEO de [Codenomicon|http://www.codenomicon.com/] qui a fait le déplacement depuis la Finlande. Étant plus à l'aise en anglais, il interviendra dans la langue de Shakespeare, avec une pseudo aide de google translator sur des slides en pseudo français. Dommage. Par contre, j'ai vraiment beaucoup apprécié cette approche historique et intelligente du fuzzing. Pour une fois, on ne nous montrait pas un énième produit, mais une réflexion posée sur la source et l'intérêt que l'on peut retrouver dans cette matière. Par exemple, Ari présente le fuzzing comme un test de robustesse lors du développement de programmes, ce qui n'est malheureusement pas encore intégré dans les entreprises que je connais. Il définit la matière et son évolution en trois phases : définition de modèle, surveillance (détection de fuite de mémoire, corruption, heap...), automatisation. Dernière remarque, il constate que sur l'étude de l'implémentation de protocoles, on peut étendre les trouvailles à des composantes plus génériques. Par exemple une faille dans FTP peut mener à des erreurs sur tous les protocoles basés sur le texte, des problèmes sur snmp peut mener à des erreurs sur tous les protocoles basés sur ASN-1... On continue avec du fuzzing, j'ai prévenu, c'est la matinée, avec Gabriel Campana. Il présentera un travail sur les contraintes de programme et nous propose un logiciel qui se base sur Valgrind et STP. On switche sur une conf qui propose de parler de la sécurité des architectures fixe/mobile. Pour ma part, je commute à l'accueil, ce sera donc sans moi. Je reviens pour la conférence suivante, sur la sécurité des smartphones, dont j'attends au moins autant que [vanhu|http://vanhu.free.fr/blog] et je n'en retiendrai pas grand chose, car le talk présente des travaux sur Windows CE. Beurk. C'est Teddy Furon, de l'INRIA, détaché chez Thomson. Une conférence invitée qui va dépoter grave. Franchement, si je n'avais eu ne serait-ce que l'idée de contrefaire des films originaux, bien grand mal m'aurait pris. Sachez que les films sont watermarkés (entendez par là une empreinte invisible à l'oeil, mais pas pour l'ordinateur ou le mathématicien). On prend une conférence très pédagogique dans les dents, et on reste sur sa chaise. Moralité, il semble qu'il vaille mieux voler un support physique et le revendre sous le manteau plutôt que de mettre à disposition, mathématiquement, ça sera moins parable ;). On continue cette longue matinée avec Marie Barel, qui comme elle l'avait promis, n'a rien soumis à SSTIC cette année. Non, elle a été invitée. Elle dissertera pendant une demi-heure sur le fait que le vol d'information n'existe pas, articles de lois et jurisprudence à l'appui. Deux choses à retenir, entre autre celle-ci, si un parlementaire passe dans le coin : pour qu'il y ait vol, il faut que la chose ne soit plus là, sous les termes "prendre, enlever, ravir". Je pense que pour "Création et Internet", ça aurait pu éclairer certains parlementaires :-) L'autre chose, c'est qu'il faut aller piocher dans les slides un pointeur vers un guide des bonnes pratiques pour la classification de l'information. Et puis, je me suis pris une belle veste sur ma question avec une réponse en fin de non recevoir. Next time. (oui, je sais, je pose des questions qui dérangent...) Direction le RU, ticket bleu, qui n'a pas son ticket bleu ? Aujourd'hui, je mange avec l'équipe étudiante de Diateam. Je passerai ensuite un peu de temps avec mes copains de Thomson où nous parlerons à la fois de la conférence sur le droit, mais aussi de l'intervention de maître Furon. Allez, on repart pour une après-midi d'enfer, avec la conférence que je ne __veux__ pas louper. C'est l'intervention de maître Ruff. Nous avons beaucoup échangé, lui et moi, lors de la préparation de son article. Je lui avais même filé quelques citations amusantes mais qui n'auront finalement pas trouvé place dans l'affichage final. Ça balance. Du bon gros Ruff comme diront d'[autres|http://sid.rstack.org]. Finalement, on se demande pourquoi on fait ce métier. Ah oui, pour manger. Ou pas. On enchaîne par un titre très long pour une présentation d'Éric Lacombe. J'ai déjà l'impression d'avoir vécu ce moment là. Souvenir résiduel ? J'ai trouvé Éric un poil stressé. Au final, il nous a présenté Hytux qui fait de la supervision via un hyperviseur (qui lui fait de la virtualisation, ne pas confondre !). On finira ce début d'après-midi avec le Projet Sec&SI, un projet qui vise, par cahier des charges, à fournir un système d'exploitation sécurisé. Vous pouvez aller [le consulter|http://secsi.adullact.net]. Les objectifs principaux sont : l'ergonomie, la fonctionnalité, résistant aux agressions et l'adaptabilité. Le CERTA supervise le tout de son oeil bienveillant. Trois équipes industrielles/universitaires tentent leur chance depuis l'année dernière. Ça joue beaucoup autour du containment/virtualisation et de GrSec/SELinux. La troisième participation sera un tantinet... sujette à caution, avec un joli ''failed'' issu du public en fin de démo. Gageons que ces trois projets avanceront, mais la question reste entière : pour quoi faire ? Le moment tant attendu s'annonce enfin : les rumps. J'en ai 24 annoncées, 23 au compteur. # [Olivier|http://www.irisa.fr/celtique/Olivier-Heen/Olivier-Heen.htm] fait un rappel sur C&esar et distribue les quelques actes qu'il lui reste. Il appelle notamment à la soumission de l'audience (pour les papiers, pas comme esclave, hein...) # Les micros espions, par maître Devine. C'est facile à faire, ça coûte moins de dix euros. J'apprendrai qu'on peut facilement placer un micro dans une multi-prise (et que c'est même recommandé). Pas de démo, c'est illégal. # Projet IMA, par Y. Hamon : une gestion des identités et des habilitations # La communication pendant une crise, par mon [RSSI Suisse|http://bruno.kerouanton.net/blog/] préféré. J'ai noté quatre axes majeurs à creuser : objectif, tactique, cible, profilage. # Un défi d'autopsie par Christophe Grenier, issu du DCFL (le défi, pas...). Une bonne analyse de Christophe qui est un habitué de ce genre de tâche. Voir sur son site pour quelques exemples. Ce défi permet en fait de recruter des compétences. Bizarrement, d'ailleurs, les vainqueurs ne peuvent être que nord américains ;) # DESIIR, un papier d'EDF sur une liaison physique sécurisée entre deux équipements # Reconet, par Michel Dubois. Un outil qui fait de l'évaluation de SMSI et du test d'intrusion. Ne pas hésiter à jeter un oeil. # Hb nous montre une Xpath Injection. Je dois avouer que je n'ai pas compris le principe (ou que je n'ai pas vu la nouveauté). Il faut que je gratte. # Philippe Lagadec vient nous parler de cyber défense au sein de l'OTAN. # Yves le Provost, de chez HSC, montre une intrusion via un téléphone portable en utilisant une réécriture de Nikto et Wfuzz sur mobile. # Aurélien Bordes présente CredSSP, un outil qui permet de récupérer les credentials sous windows. Toujours aussi impressionnant. # Julien Sterckman parlera d'obfuscation LaTeX. Non, je n'en dirai pas plus, je suis de mauvaise foi. (Comment montrer qu'on arrive à insérer /etc/passwd alors que c'est world readeable ;)) # Guillaume Valadon présente une rump sur le suivi des pédophile sur E-mule ; trop court, trop sérieux. Venez assister à la conférence complète à l'[OSSIR Bretagne|http://www.ossir.org/bretagne/cr/20090616.shtml] # [Phil|http://secdev.org] viendra nous faire part des nouveautés de Scapy. Il y a une doc. Non, je l'ai déjà faite l'année dernière celle-là. À ce propos, ça n'avance pas vite, mais vous trouverez tout de même quelques tutoriaux (je vous laisse chercher l'adresse en bon prince que je suis). Il nous montrera également un moteur à état pour TCP (je suppose qu'il est applicable aux autres protocoles). # On poursuit avec messieurs Tricaud & Bodor qui sont bien décidés à ne pas accepter une rump de 4 minutes. Pour ce faire, ils vont passionner le public avec un éthylo SSTIC. Un montage électronique USB qui, relié à un module PAM, vous autorise ou non à vous authentifier sur votre bécane. Accessoirement, ça permet également de jouer à pong ! Ils me grilleront pas loin d'un quart d'heure, sous les applaudissements du public. # Laurent Licours refait du Xpath Injection (voir mon commentaire précédant...), mais cette fois, je vois qu'il faut que je lise misc ;) Il nous montre aussi de la cartographie wifi avec kismet et démontre que les mathématiques, ça sert. # Benjamin Caillat, qui est plus vieux que moi, annonce la disponibilité d'une image vmware de securitech, avec les soluces. C'est plutôt une bonne chose. # DTMF, utilisé par les services audio tel, pour faire du hack à distance. # Cédric Halbronn effectue quelques attaques sur Windows Mobile 6 (ne tirez pas sur l'ambulance) # Vanhu concrétise son sérieux délire et propose de virer tous les __should__ et __should not__ des RFCs. Il en a marre des implémentations foireuses des constructeurs, et combien je le comprends ! (Mais quand même...). Il ne répondra pas à ma question sur la modification de la 1149. # [Arno|http://www.eof.eu.org/spip.php?article52] nous présentera comment tricher sur les jeux en ligne en bypassant les interfaces par des robots. J'ai semble t-il raté le point de sa conf. Dommage. En discutant plus tard, il s'est en fait limité pour respecter l'éSSTIC et n'a pas voulu présenter sa solution de destruction des business models des jeux de ce type. Re-dommage :) # Une présentation intéressante de Jean-Baptiste Bédrune sur les box wifi et la génération aléatoires des passphrases WPA\[2\]. Fin de journée, fin de rump, JB lâchera le nom d'un des constructeurs sans le vouloir ;-) # Nefitera, framework de pentest. À suivre. On clôt et on se dirige vers le Coq. Je savoure ce moment en prenant soin de m'assurer que tout se passe pour le mieux, autant pour l'établissement qui nous reçoit que pour les 370 personnes qui seront présentent. Au menu : huîtres, foie gras sur canapé, fruits de mer, poisson fris, tartelette, tiramisu et vin à volonté. Bilan final : un mort, un blessé. Si quelqu'un d'épitech me lit, je veux bien savoir si tous vos élèves sont rentrés en un seul morceau :-D