Mercredi 30 août - Jour 1

Premier jour marqué par la découverte amusée du stand Microsoft avec ses "hôtesses" un peu particulières. Les mauvaises langues ne se sont pas privé de lancer que ces armures sont à l'image de la sécurité de leurs produits : c'est beau, mais en dessous, c'est rien que du carton. En outre, je n'ai pas pu assiter à toutes les interventions...

  • Ouverture des hostilités par Tony Chor de Microsoft sur Internet Explorer 7 et Vista. C'était sympa, même si MS, IE, Vista et tout ça ne sont pas ma tasse de thé. Ça montre qu'il y a quand même des gens qui phosphorent sur les problèmes de sécurité du côté de Redmond.
  • Suivait Jesse Burns de iSec Partners sur le fuzzing des IPC Win32. Très à la mode ces temps-ci le fuzzing... C'est vrai que quand on voit les résultats, y'a de quoi s'y mettre. L'accent était mis ici sur l'escalade de privilège. Très intéressant.
  • Paul Boehm nous a fait un excellent speach sur l'écriture de code sécurisé, présentant méthodes, techniques et outils disponibles pour le programmeur. Contenu dense, qui aurait été parfait dans un article, mais pas en allemand de préférence ;)
  • Meder Kydyraliev a présenté les travaux qu'il conduit avec Fyodor Yarochkin sur des méthodes de sécurisation d'applications web. Sécurisation n'est cependant pas vraiment le mot, s'agissant plus de résistance aux attaques en utilisant de la détection, des honeytokens, etc. L'ensemble ressemble alors plus à un gros sac à pièges pour détecter rapidement et banir les attaquants. C'est très grossier comme description et pas représentatif de l'ensemble, mais c'est l'idée principale.
  • Enfin, une table ronde à laquelle je participais sur l'éthique du hacker[1] (au sens noble du terme). Ça s'est bien déroulé, et plutôt calmement malgré des prises de position assez tranchées. Le débat est en effet resté assez centré sur les conditions du dialogue entre les différents protagonistes avec une notion de respect sur laquelle les gens semblent globalement d'accord. Sinon, on a évidemment abordé le marché des failles, la mafia, les services d'alerte anticipée aux abonnées, les relations avec les éditeurs, la responsabilité des éditeurs, la guerre numérique, etc. Pas mal de réaction dans l'assemblée, dialogue instructif.

Jeudi 31 août - Jour 2

  • Philippe ouvrait la journée avec la sécurité de SCTP et de ses déploiement dans les réseaux d'opérateurs SS7. Excellente présentation que je ne me risquerai pas à résumer pour ne pas la défigurer.
  • Ensuite moi, sur les réseaux Wi-Fi ouvertes, type mesh-networks et hotspots. Vous pouvez télécharger mes slides dans la section qui va bien. Je vais mettre en ligne la v0.4.0 de Wifitap probablement la semaine prochaine, j'ai encore un petit bug à identifier clairement.
  • Jim Geovedi et Raditya Iryandi nous on proposé un talk excellent sur la sécurité des accès broadband satellitaires VSAT. Au programme, analyse du système et mise en pratique, avec récupération des flux de données à partir d'une (grosse) parabole. En gros, pour résumer l'idée, tout circule en clair. On se place en sortie de parabole, on accéde tranquillement à tous les flux transitant par le satellite en question (data, vidéo, voix, etc.). Niveau de sécurité : voisin de zéro. Sacré boulot agrémenté d'une vidéo qui devrait bientôt être en ligne (j'espère).
  • Le Dr. Onno W. Purbo nous a gratifié d'une magnifique présentation du hacking (toujours au sens noble du terme) en Indonésie avec pas mal d'exemples de projets. En particulier, le développement d'un réseau communautaire offrant de la voix sur IP aujourd'hui pleinement fonctionel et dont les membres négocient aujourd'hui avec le gouvernement et certains opérateurs des passerelles vers le réseau téléphonique classique et des numéros à distribuer à leurs adhérents.
  • Ralph Logan nous a entretenu des derniers avancement du Honeynet Project avec en particulier un projet répondant au doux nom de CHARM qui consiste grosso modo à truffer son infrastructure de honeytokens pour chopper les employés déviant vers le côté obscur. Pas mal.

Conclusion

Excellente conférence qui attire pas mal de monde, tant dans les cercles techniques que business. Juste dommage qu'il n'y ait pas quelque chose pour amener les deux monde à se rencontrer et se confronter. Une ou deux tables rondes communes auraient pu aller dans ce sens cependant.

Mes photos sont en ligne.

Les slides des conférences ont été mis en ligne.

Notes

[1] (Un)ethical Hacking... where is the line?