Le 2 février, j'étais invité par [nono|http://www.eof.eu.org/spip.php?article52] à la troisième journée de conférences de l'ESEC, laboratoire de sécurité de Sogeti. Levée du corps à 5h30 pour prendre le train une heure plus tard. Quelques deux heures plus tard, direction l'étoile pour passer la journée dans le 16è. Je remonte l'avenue Foch et profite de la visite pour regarder les immeubles particuliers. Clairement, je n'ai pas encore les moyens... Après avoir mappé la veille, je trouve sans difficulté les locaux. Prise de badge et direction le sous-sol où l'équipe de [Fred|http://seclabs.org/] attend que les invités remplissent la salle. Jus d'orange, thé et viennoiseries à volonté. Pas de doute, on sait recevoir. Ça a un air de [SSTIC|http://www.sstic.org] connu, étrange. Je retrouve quelques têtes connues dans l'assemblée, ''as usual''. Un œil au programme, l'autre sur les publicités insérées dans la plaquette. Pas de doute, lorsque l'on est habitué à du LaTeX, ça choque. Deux conférences le matin, trois conférences l'après-midi. Au vue de mon billet de train, faudra que j'écourte en fin de journée pour retrouver la campagne. Les conférences, comme je l'apprendrai au cours de la journée, seront agrémentées de longues coupures qui permettent de socialiser. Un peu trop longues à mon goût, j'aurai préféré des présentations un peu plus étoffées et moins de temps pour siroter ;) Rentrons dans le vif du sujet avec Jean-Baptiste Bédrune qui s'attaque à la protection des contenus. Il liste d'abord quelques outils qui permettent de protéger ce sacro saint contenu, comme les DRM, les solutions satellites (DAC, ECM, EMM...), les solutions pour le streaming (TPM+DADVSI+CLUF). Après cette introduction musclée, on attaque le vif du sujet, puisque la journée est placée sous le signe de l'attaque. Il montre donc que la protection avec des clés qui sont stockées sur le poste après le premier visionnage permet de les récupérer à loisir, que l'antidebugging est pour les kiddies, tout comme l'obfuscation algorithmique. Une autre solution consiste à récupérer la source par un enregistrement tiers, avec l'exemple d'un fichier AAC protégé. Il suffit de le passer en MP3 pour perdre cette protection (même si cela n'a pas été évoqué, on pensera à l'enregistrement d'un film par une caméra vidéo, ce qui casse le mécanisme anti-copie, mais pas l'empreinte). Il évoquera enfin l'asymétrie entre la protection (que l'on peut considérer comme __lourde__) et la déprotection (qui est un mécanisme __faible__). Un DRM est une protection de code, ce qu'il assimile à de la sécurité par l'obscurité. Le combat est perdu d'avance, déprotéger est beaucoup plus facile que protéger. C'est Alexandre Gazet qui prendra la suite de Jean-Baptiste, dans la continuité de sa présentation sur les contenus numériques, il parlera du contrôle d'accès pour le contenu payant. Bien sûr, pour nous, ''frenchies'', ça rime avec une date et une chaîne : __1984__ : __canal+__. La suite viendra quelques douze années plus tard avec canalsat, TPS et ABSat. C'est l'emploi de la norme DVB, avec en général l'affranchissement d'une voie de retour. Alexandre présente les deux modes de piratage connus : partage des mots de contrôle (CW ou control word) et/ou le partage des cartes. De ces faits réels, il décide de nous montrer que ce business peut être lucratif en analysant le cas de deux sociétés fictives, créé pour l'occasion (le cas d'étude, pas les sociétés ;)). La première est spécialisée dans la vente de matériel, la deuxième, dans la vente de cartes. C'est une bonne conférence, sympathique. J'y découvre un business que j'ignorais totalement, n'ayant jamais eu que les chaînes nationales à la maison et aucun matériel à portée. Le repas est présenté sous forme de lunch. On est globalement très gâté avec un niveau élevé (œufs de caille en cuisson devant vos yeux, foie gras, fromage de qualité...). Promis, je ne comparerai pas avec un certain restaurant universitaire. L'après-midi reprend avec la présentation pour laquelle je suis venu principalement. En effet, Arnauld a commencé à travailler depuis plusieurs mois sur les réseaux sociaux et c'est un peu l'accomplissement de tout cet acharnement. On commence d'ailleurs magnifiquement par Fred qui nous fait patienter et chauffe la scène en précisant que si jamais la démo ne fonctionne pas, ce sera à cause du __chat__. En effet, quelques informations plus tard, on apprend qu'un des serveurs pour la démo est le PC d'un des conférenciers, hébergé chez lui et que son chat reboot de manière régulière le pc ou tout au moins, s'amuse avec le clavier. La présentation s'ouvre sur un panorama des réseaux sociaux, en rappelant que c'est un effet localisé. En effet, si Orkut est le premier réseau social au Brésil, ce n'est pas le cas ailleurs. En France, c'est Viadéo et LinkedIn qui tiennent le haut du pavé pour la partie pro et facebook pour les particuliers. Une petite statistique, ça ne fait jamais de mal : aux États-Unis, 54% des entreprises bloquent les réseaux sociaux pour des questions de productivité. On passe sur le fond de l'étude. On s'intéresse à LinkedIn et facebook. Un premier test sur la collecte directe et indirecte est effectué. Les deux comportements des moteurs s'opposent. Facebook rend les informations privées inaccessibles (son créateur s'en repent aujourd'hui), mais laisse l'ensemble des contacts accessible. Chez linkedIn, on a accès au profil, pas forcément à ses contacts. Il faut alors passer par les groupes pour trouver des cohérences. La démonstration est effectuée sur la personne de Fred, innocente victime "__Head of IT security R&D at Sogeti/CapGemini & Chief__". Oui, ça pète. On passe à facebook qui va en prendre pour son grade. On nous évoque la possibilité de traitement automatisé des données, malgré les restrictions sur le javascript, la présence des e-mails dans des images et des captchas, tout se passe très bien. On est rassuré, c'est pas demain que nos données seront à l'abri. On passe à la partie la plus inquiétante. Les applis tiers. En effet, celles-ci ne sont ni hébergées, ni vraiment validées par facebook. En effet, elles sont tiers, mais complètement. Hébergées sur des serveurs distants. Autant dire que vous pourriez mettre la nasa en orbite. La démonstration est flagrante. Un utilisateur ouvre sa page, lance l'application ("où qu'il est le mignon petit chat tout kawaï") et le puppet master prend la main sur son poste via le canal de contrôle, tout en ayant utilisé une faille du navigateur. C'est simple, c'est propre, c'est beau. Amis utilisateurs qui lisez ce blog (là, ça fait pas très crédible, j'admets), n'utilisez __aucune__ application tiers sur facebook. Je termine ma journée par la conférence attendue de Damien Aumaître. Son exposé portera sur la protection physique du poste utilisateur. Pour cela, il y a plusieurs moyens : récupérer le mot de passe, installer un trojan, installer des fichiers compromettants (clears... quoi ?), utiliser une clé U3, usage d'un keylogger (jolie vidéo au passage, Jack Bauer n'a qu'à bien se tenir !), on terminera cette longue liste par le dernier jouet de sieur Aumaître : l'amélioration présentée à SSTIC'09 par monsieur Devine en attaquant le bus DMA. Plutôt que d'utiliser de longues phrases, ça se résume en quelques mots : dévérouillage d'un pc sous windows seven 64 bits en insérant une carte PCMCIA pendant dix secondes puis en tapant n'importe quel mot de passe dans la mire de saisie. Pouf, on est __system__. C'est toujours aussi magique. Voilà, c'est l'heure du train et j'ai un excellent Pratchett à finir (the fifth elephant). Ce fut plaisant, bien que les pauses soient un peu longues et qu'une ou deux conférences auraient été appréciées, je dois dire que je reconnais là la patte d'un des créateurs de SSTIC et que j'apprécie. À l'heure où un certain labo va disparaître, il est réjouissant de voir que d'autres pètent la forme et font avancer notre matière avec des retours intéressants. À noter également que l'aspect offensif apparaît de plus en plus (le blog de la sécurité offensive, la conférence hackito ergo sum...) et qu'il se pourrait que ce changement de comportement prouve une certaine maturité parmi les acteurs en lice. Merci à Arnauld pour l'invitation et à Fred de ne pas m'avoir envoyé les vigiles à l'entrée :p