Lundi 19 mars - 1er jour

La conférence commence doucement à 9h30 du matin par la récupération des badges et un bon[1] café à l'américaine... C'est à dire pas bon, justement... Mais bon, ça permet de regrouper pas mal de gens autour d'un même endroit et de commencer à discuter un peu. À 10h, les hostilités sont ouvertes.

  • Ouverture avec une keynote de Richard Thieme sur la notion d'identité dans le cyber-espace. Richard est quelqu'un de spécial, avec une vision très particulière d'Internet. Particulière, mais tellement vraie. Pas de slides, pas de technique, juste une série d'observations et de réflexions limite philosophiques qui posent des questions tout à fait pertinentes sur notre relation avec le réseau. Je vous conseille son livre, Islands in the Clickstream, que je suis en train de dévorer.
  • Ensuite, c'est Michael Sutton qui nous faisait une présentation sur le fuzzing d'applications web. Je l'avais déjà vu à la dernière Recon, toujours sur le fuzzing. Il spécialise donc son approche, avec des idées intéressantes, en particulier sur la recherche d'applications potentiellement vulnérables via Google. À la différence du Google Hacking qui s'applique à trouver des applications très spécifiques dont on sait déjà qu'elles sont vulnérables, son outil cherche des signes de vulnérabilités dans des applications et en vérifie ensuite la présence par fuzzing. L'efficacité est édifiante : la simple recherche d'URL contenant id=1 lui donne plus de 10% de sites vulnérables à une injection SQL...
  • À la suite d'un problème de disponibilité d'un speaker, c'est Jonathan Taylor qui nous a présenté le troisième sujet, avec une version mise à jour du talk qu'il avait donné sur la sécurité périmétrique à InterZoneWest en octobre dernier. Le titre résume bien l'ensemble de la présentation : "Trust Zones Architecture: Breaking the cycle of Bubble-gum and Duct Tape Safeguards".
  • Enfin, Stefano Zanero a disserté sur la difficulté de mesurer et comparer l'efficacité des IDS : définition des métriques, applicabilités aux différentes stratégies, etc. Une excellente approche du sujet. Vivement la publication des slides.

Et là, c'est parti pour quelques tournées sponsorisées par Microsoft dans un pub voisin, suivi par un diner dans un restaurant japonais pas terrible et horriblement cher.


Mardi 20 mars - Jour 2

  • La journée commence avec Kartik Trivedi sur la sécurité du Web 2.0. Présentation qui me conforte dans l'idée simple que le Web 2.0 n'est pas le bon technologique qu'on veut bien annoncer. Juste un savant mélange de technologies bien connues permettant de renouveler la fameuse "user experience"... Les failles n'ont donc pas de quoi fouetter un chat. Ce qui est plus intéressant, c'est la façon dont elle réapparaissent dans les applications et la manière dont elles s'imbriquent. J'ai beaucoup aimé l'injection XML, probablement pour l'avoir déjà pratiquée dans une autre vie. Comme quoi, le Web 2.0 n'invente pas grand chose...
  • Ensuite, encore du web avec Sahba Kazerooni. Une présentation sur les faiblesses des architectures N-tiers fort didactique, et en particulier sur les techniques permettant de toucher directement le backend. À lire comme introduction aux concepts.
  • Après le repas, c'est un Justin Troutman pressé qui nous présentait le concept de cryptovirus. Pressé parce que tout intéressante et technique qu'ait pu être la présentation, elle était pliée en trente minutes chrono en main, au lieu des soixantes attendues. Plus habitués aux conférences scientifiques, Justin s'est vraiment focalisé sur des points très spécifiques. C'est dommage, vu qu'on n'avait pas, comme au SSTIC, d'article plus complet à lire avant pour remettre le discours dans son contexte.
  • Du coup, il restait plein de temps à votre hôte pour faire sa énième présentation sur la sécurité Wi-Fi, à coups de petites questions qui ont fait leur effet. S'en est suivie une discussion de presque trente minutes avec l'audience.

Et comme ça nous manquait, on passait prendre un verre dans un endroit mi-bar, mi-gallerie d'art, mi-disco appelé 111 Minna Gallery. Vous me direz, ça fait trois moitiés. Certes. Mais ça dépend de la taille des moitiés et du temps que vous y avez passé. Ensuite, diner chez Mel's et enfin, une séance de cinéma IMAX pour voir 300, film fort divertissant d'ailleurs...


Mercredi 21 mars - Jour 3

  • Window Snyder ouvrait le bal avec un speech sur Comment que la sécurité c'est super important chez Mozilla et Comment qu'ils y font super gaffe dans Firefox 2. C'est globalement très enrichissant de se faire présenter la gestion de la sécurité chez Mozilla, deux ans à peine après nous avoir présenté la même chose, mais vu de chez Microsoft. Je suis taquin, mais c'était vraiment pas mal.
  • Venaient ensuite Luis Miras et Matt Hargett qui nous ont présenté des méthodes d'analyse de binaires. C'était super intéressant, dommage que les slides ne soient pas encore en ligne...
  • La dernière après-midi s'ouvrait sur la sécurité de la VoIP par Shawn Merdinger. Présentation sans prétention de résultats obtenus sur divers téléphones et autres équipements qui font un peu froid dans le dos, genre le port ouvert sur l'interface de debug d'un téléphone WiFi, sans aucune authentification bien sûr, ou encore cet autre combiné qui, lorsqu'on l'appelle via SIP depuis un autre combiné bien particulier... s'éteint à la 3e sonnerie. Si c'est pas du DoS ça !?
  • Rick Wesson concluait la conférence avec une excellente présentation sur les botnets. Après la classique introduction des idées de base, il a déroulé les découvertes qu'il avait faite en accédant à la page web de C&C d'un botnet de taille relativement modeste, environ huit-cent zombies. Seulement. Les résultats sont cependant édifiants : emails par centaines de milliers, login/password par dizaines de milliers, des cartes de crédit en nombre comparable, etc. Le tout sur XP avec un version très particulière d'IE, résultat manifeste d'un seul exploit packagé sur un bot de keylogging, chez des résidentiels certes, mais aussi dans de grosses entreprises, genre Fortune 100. Multipliez ça par le nombre de botnets que vous estimez en activité, puis un nombre moyen de bots par botnet que quelques milliers, puis par un facteur cent ou mille parce que vous êtes encore loin de la réalité, et le résultat se passe de commentaire...

La conférence s'achevait sur un petit discours de notre hôte, Richard Lindberg, qui a bien mérité ses applaudissements. En soirée, Philippe Lagadec, en formation dans la région, me rejoignait pour une ballade nocturne qui devait nous conduire au Gloden Gate Bridge, puis jusqu'au port et chez Scoma's.


Autres points de vue...

Quelques billets qui relatent eux aussi cette conférence :

Et...


Et San Francisco dans tout ça ?

Plusieurs personnes m'avaient dit que San Francisco était la plus européenne des villes américaines. J'avoue que je n'ai pas pu y passer assez de temps pour réellement ressentir cela, mais il est clair que la ville laisse une impression de familiarité, assez proche de ce que j'ai gardé de Montréal, bien au delà de la simple architecture victorienne des maisons alentours. Je n'ai finalement guère eu que le jeudi matin avant de décoller pour me ballader en dehors des abords de l'hôtel, qui comprenaient cependant un sympathique parc et le musée d'art moderne de la ville. J'ai donc profité de cette matinée pour, en bon touriste de base, aller arpenter le Golden Gate Bridge. L'ouvrage, construit à la fin des années 30, est clairement impressionnant, mais dans un autre registre que le Pont de Normandie. Là, c'est le côté massif qui s'impose. En tout cas, à part à l'atterrissage le dimanche, je n'ai pas vu un poil de brouillard. Un peu de pluie, certes, mais beaucoup de soleil, ce qui m'a permis de ramener des photos tout à fait potables.

En tout bon guide qui se respecte, trois restaurants qui m'ont laissé un bon souvenir :

  • Espetus, un restaurant de grillades brésilien sur Market Street qui sert à volonté d'excellentes viandes rôties à même la broche. Paradoxalement, c'est un lieu qui semble également ravir les végétariens avec un délicieux buffet de crudités, salades et autres préparations à base de légumes. La carte des vins ne laisse pas non plus indifférent.
  • Mel's Drive-In, petite chaîne de restaurants typiquement américains, dont un a servi de décor au célèbre American Graffiti[2]. Décor style Happy Days, serveurs habillés comme à l'époque, jukebox pour tout le monde, hamburgers à tous les étages et autres plats tout aussi bons pour le cholestérol sont au menu. À voir. Pour la culture.
  • Scoma's, essayé sur les conseils Nico, est un restaurant de poisson au bout d'une jeté sur le port. La carte est longue comme le bras. J'y ai dégusté une spécialité de sauté, le Shellfish Sauté Sec que je vous recommande chaudement. Le restaurant n'est clairement pas bon marché, mais ça vaut le détour.


À Vera Cruz...

Sinon, pendant ce temps, sur notre belle planète, la société TJX se faisait voler 45,7 millions de numéro de carte de crédit, via sa filiale TK Maxx. Certains ont presque pitié pour eux. Moi pas...

D'autres s'émeuvent du fait que les méchants utilisent des moyens de communication chiffrés pour s'échanger des informations, comme si le pirate moyen se devait d'être un neuneu. Rappelons que la vente de ces informations est un business relativement lucratif[3] et que, comme tout business, il se protège avec les moyens adéquats lorsqu'il est menacé. Bref, de temps en temps, il faut sortir voir à quoi ressemble la vraie vie dehors...

Dans un autre registre, pas mal de bloggers seront heureux d'apprendre que Petite Anglaise a gagné aux prud'hommes contre son ex-employeur. Un an de salaire plus les frais d'avocat, ainsi que le remboursement des indemnités de chômage versées par les ASSEDIC, voilà qui ne manquera pas de relancer le débat sur les relations entre les bloggers et leurs employeurs...

Enfin, il semblerait que l'industrie spatiale russe en veuille à nos avions...


Near future...

Sinon, je m'envole la semaine prochaine pour une rapide redécouverte de Dakar à l'occasion des troisièmes Journées sur la Sécurité des Systèmes d’Information et des Communications, ou JSSIC, avec comme autres compères Franck Veysset et Yves Deswarte. J'y ferai une nouvelle présentation sur la sécurité Wi-Fi. Le programme a l'air relativement intéressant[4], avec en particulier une intervention sur le vote électronique dont le contenu, et donc l'orentation, n'est malheureusement pas encore disponible...

Fin mai, ce sera le tour de la JSSI de l'OSSIR où, comme je le précisais précédemment, je ferai une présentation sur les blogs. Je ne m'étendrai pas sur la technique. La sécurité des applications web, bien que follement amusante, est un domaine que je préfère laisser à ceux qui en parlent nettement mieux que moi. Je préfère m'intéresser aux implications en terme de gestion de l'information tout simplement. Du haut niveau quoi. Histoire de changer. Ça doit être mon côté wannabe manager qui commence à s'exprimer...

Sinon, mi-avril, c'est direction Vancouver pour Cansecwest/core07 après quelques jours de vraies vacances à descendre les domaines skiables de Whistler et Blackcomb. Ensuite, un petit dojo Wi-Fi et la conférence...

Notes

[1] ?!...

[2] Il a été détruit depuis, mais chuuut, faut pas le dire...

[3] Vous savez, l'étude du FBI, le cybercrime paie plus que la drogue...

[4] Je sais, il n'est pas en ligne...