De l'autre côté du SSTIC -- fin

Dernier billet de clôture pour cette édition de --le--SSTIC'09. Ce qu'il faut savoir, c'est que la dernière journée est en général un peu plus calme. Un certain nombre des participants sont rentrés dans leur chaumière afin d'assurer du ''buziness critical''. Et pourtant, cette journée de vendredi 2009, en plus d'être pleinement ensoleillée fut réellement riche. On commence (tôt) par un Pierre Gardenant, issus du cru local (mais pas le comité réseau des universités, hein), qui nous présente ses travaux sur XSS. Alors tout le monde râle sur les XSS, mais c'est tout de même l'une des plus grosses vulnérabilités affichée par l'OWASP. Ben tiens. Évidemment, et pourquoi cela ? Parce que le web est le ''logiciel'' le plus répandu au monde, même devant les systèmes. Oui, je conviens qu'il faille un système pour aller sur le net, mais il n'y a qu'un Internet alors qu'il y a quelques systèmes. Bref. Beaucoup de failles, entre autre sur les réseaux sociaux. Il terminera avec une démonstration sur le site du SSTIC lui-même. Preuve que le cordonnier a toujours un problème à se chausser :) On continuera avec Fred Raynal, Pappy pour les intimes, qui fait son grand retour sur les planches. Il annonce d'emblée que les gentils dictateurs du chronomètre peuvent se le coller derrière l'oreille. Il continuera l'exposé qu'il a commencé à PacSec sur le format PDF, ses implémentations et les attaques intrinsèques. Longtemps considéré comme sûr, l'activation du javascript pose de graves problèmes comme le démontrera Fréd pendant plus d'une demi-heure. Riche d'enseignement, à lire absolument. Macaron, une étude en java, sera l'occasion pour moi d'aller tenir la pause café ;) On enchaîne la deuxième partie de matinée avec une conférence que j'attends avec hâte, cela pour plusieurs raisons. C'est un article qui me tient à coeur, dont le fond est intéressant, c'est un copain qui le présente, j'ai déjà eu une longue conférence sur le sujet à l'OSSIRB (l'OSSIRB, c'est bon, mangez-en. C'est aussi un pré-incubateur pour toutes les conférences du coin, avis aux amateurs ;)). Guillaume nous a donc préparé une présentation aux petits oignons. Il présente IpMorph, à l'aide d'un diaporama réalisé sous powerpoint, à faire blêmir les meilleurs chefs de projets. Des animations dans tous les sens, de la couleur et ça a du sens ! Le bémol sera le stress vocal du conférencier, qui personnellement ne me gênera aucunement. IpMorph, c'est de la mystification de prise d'empreinte, pour ceux que ça intéresse, je conseille vivement d'aller jeter un oeil, sinon les deux. S'en suit la seule conférence étudiante du SSTIC, kolumbo, un outil d'analyse depuis l'espace noyau. Rien de bien nouveau, mais il est intéressant de constater que SSTIC encourage encore et toujours les étudiants à présenter des articles. La dernière conférence de la matinée animée par Antoine Joux sera mathématique ou ne sera pas. Et effectivement, nous avons pris, pour le plus grand plaisir de tout le monde, beaucoup de math en peu de temps. Le thème portait sur l'usage des GPUs pour le cassage des algorithmes, entre autre de hashage. Je dois avouer que j'en ai pris plein les mirettes, me rappelant avec tendresse mes cours de recherche opérationnelle, mais me suis dit qu'il n'était pas bon, un vendredi matin, de vouloir m'achever avec si peu d'empathie. J'espère pouvoir prendre le temps de lire les actes sur cette partie. Dernier repas au RU pour cette session. Profitons-en, demain, je dors. On reprendra cette dernière session avec Martin Vuagnoux, venu de Suisse, nous parler des émanations compromettantes électromagnétiques des claviers filaires. Martin est issu du monde de la cryptographie et ne savait pas trop à quoi s'attendre en venant à SSTIC, il espérait au moins être à la hauteur pour sa présentation. Ma foi, le pari fut plus que gagné puisque c'est sûrement la conférence qui aura eu le plus de succès. On a fait face à un speaker didactique, calé dans sa matière, bourré d'humour et avec une présentation aux petits oignons. La vidéo des exploits de Martin et de son collègue sur la captation et l'interprétation des signaux électriques issus des claviers a déjà fait le tour du web, mais je suis vraiment content d'avoir pu assister à la présentation en live. On achève les talks avec Dominique Chandéris qui apportera un énorme pavé de réflexions pour l'année. Quelques unes en vrac : > Si les citoyens ne défendent pas la cité, qui la défendra ? > L'humain, le maillon fort > La sécurité, c'est soutenir la défense humaine > Allez voter J'en profiterai pour poser une question de fond sur Hadopi ;) Voilà, SSTIC, c'est fini. Vraiment ? Non, car il faut ranger l'amphi, défaire les prises, les câbles, les affiches, prendre les photos officielles, charger les cartons dans les voitures, rendre les clés. Aller prendre l'apéro, puis faire le repas de débriefing. Cette année, nous sommes allés à l'auberge du Chat Pitre où nous avons fait le point sur cette année et avons déjà commencé les préparatifs pour l'année prochaine, avec une bonne nouvelle pour moi, je fais maintenant parti du cercle des initiés du comité d'organisation. \o. J'allais oublier, pendant le repas, nous avons eu une gentille chanteuse qui est venue nous interpréter quelques airs de harpe avec une interprétation très jazz, que j'ai fortement appréciée. Pour découvrir l'artiste, allez voir son profil myspace : [Laura Livwen|http://www.myspace.com/lauralivwen] À l'année prochaine, pour SSTIC'0A. __EDIT__ : un grand merci à mon relecteur anonyme :)