Mardi 24 avril - Jour 1

Après une courte allocution de Phil Kernick, chairman de la première journée, débutait la première intervention sur... la sécurité de la VoIP. Petite conférence, premier speaker hors-sujet...

  • Voice over IP Security Threat, why enterprises should be worried, par Aloysius Cheang, PIPC Consulting et président du SIG²[1]. Un contenu manifestement hors-sujet mais bien traité. Pas de 0day, pas de nouvelle attaque de la mort, mais un bonne aperçu des problèmes de sécurité posés par la VoIP en entreprise, en plein dans ce qu'attendaient les quelques spectateurs.
  • Wireless Security Breach, response and prevention, par Neeraj Sahni, CNA Financial. C'est toujours intéressant d'avoir des visions différentes d'un même problème. Ici, la vision du financier sur la sécurité Wi-Fi : risques vs. coûts. Risques financiers et légaux contre coûts de déploiement et d'exploitation. Excellent.
  • Wireless Security, the enterprise way, par Phil Kernick, CQR Consulting. Un talk rondement mené: les vulnérabilités du WEP d'abord, comparaison de deux campagnes de wardriving à Adelaides en 2004 et 2006, trois mois de honeypot Wi-Fi et les standards qui marchent. Une excellente prêche pour 802.1x et WPA2. Les points que j'ai trouvés intéressants :
    • l'étude de 2004 donne 44% de réseaux ouverts, 56% de réseaux WEP et donc pas de WPA ni de WPA2 ;
    • l'étude de 2006 donne 14% de réseaux ouverts, 32% de réseaux WEP, 54% de réseaux WPA et 0% de WPA2 ;
    • il semblerait donc que les gens en WEP en 2004 soient passés en WPA, alors que les autres sont restés dans les mesures inutiles ;
    • les trois honeypots Wi-Fi ont subi des connexions dès la première semaine, ont vu 134 connexions et une demie-douzaine de tentatives d'intrusion sur des hôtes du réseau.
  • Privacy in Wireless Networks, keeping your private data private, par Michael Boman, Standard Charter Bank et membre du SIG². Michael a fait une présentation intéressante sur les risques de fuite d'information liés à l'utilisation des réseaux Wi-Fi. Il a présenté les solutions classiques: SSL, VPN, TOR. Présentation sans prétention, mais bien étayée par le mainteneur de Proxy.11a.nu et SecurityTinker.
  • Latest Developments in Wireless Security, par Matthew Gast, Trapeze Networks. Matthew est une tronche en Wi-Fi : il a écrit 802.11 Wireless Networks, the definitive guide chez O'Reilly et sévit dans quelques groupes de travail 802.11. Dans une présentation parfois à la limite de la pub, il nous a quand même fournit pas mal d'informations sur les architectures de sécurité Wi-Fi, les IDS Wi-Fi[2] et 802.11w, à savoir la protection du management traffic. Info intéressante, 802.11w n'incluera pas TKIP, lequel est donc voué à la disparition à long terme. Vive donc WPA2 en AES.
  • Designing a Secure Wireless Field Application, par Peter Jackson, John Sands Ltd. Forcément présenté avec une référence au réalisateur néo-zélandais homonyme, Peter nous a décrit le déploiement dans son entreprise d'une solution de PDA sans-fil dans un contexte relativement intéressant. Protection des données, du device et des liens de communication, vaste programme. Excellente étude de cas.
  • Hacking Technics and Prevention par Steve Lam, BT INS. J'avoue que la présentation m'a déçu. Ça partait relativement bien sur la disparition du bon vieux périmètre et puis ça a commencé à déraper avec la mentalité du hacker, des techniques d'intrusion manifestement pas très bien maîtrisées[3] et d'un seul coup, on se retrouve dans les applications Web... Et puis les mesures de protection: WPA2, patch management, VPN et... architectures Web. Il devait avoir des cliparts à caser absolument, parce que perso, le rapport entre l'intégrité d'une application Web et le Wi-Fi, j'ai du mal. À moins qu'on pose des DMZ wireless chez BT INS. Pourquoi pas ?...
  • Current Legal Issues Affecting Wireless Security, par Bryan Tan, Keystone Law Corporation. Très intéressant: encore une vision différente de la sécurité Wi-Fi. Pleins de choses ont été dites que je n'ai pas en tête, mais il lui semble tout à fait possible de poursuivre quelqu'un dont l'accès ouvert a servi de point de départ à une intrusion comme complice. Involontaire, certes, mais ayant fourni les moyens de l'intrusion. De même, la personne poursuivie pourrait se retourner contre le fabricant du matériel pour défaut d'information quant à la bonne sécurisation de son accès. Intéressant, n'est-ce pas ?

Une première journée fort instructive donc. Dommage que nos organisateurs préfèrent laisser leurs évènements dans l'ombre parce que cette conférence mériterait plus de visibilité.


Mercredi 25 avril - Jour 2

Le chairman de la journée est Erik Laykin, du FBI. Son petit speech d'introduction lui permet d'attaquer sa propre présentation qui va légèrement durer...

  • Defining and Combating Identity Theft, par Erik Laykin, FBI et Navigant Consulting. Encore une hors-sujet, mais brillament présenté. Erik connait sa matière qu'il va nous exposer pendant quatre-vingts dix minutes au lieu de quarante-cinq prévues... Et forcément, c'est moi qui suivait.
  • Wi-Fi Security, valuable lessons learnt in the last 8 years par votre hôte, EADS Innovation Works. J'ai tenté de montrer qu'en huit ans de sécurité Wi-Fi, les choses n'ont pas franchement progressé comme elles auraient dû. Cette présentation est à mettre en parallèle avec mon récent billet sur le WEP qui s'accroche.
  • Protecting Wireless Privacy and Security, issues and challenges, par Chan Kin Chong, JP Morgan Chase Bank et vice-président du SIG². Une piqure de rappel des éléments présentés la veille.
  • Securing Mobile Workers in Wireless Hotspots, par Pradeep Kalra, Yes Bank. Une présentation des méthodes de protection des utilisateurs mobiles de cette banque, ainsi que d'un accès offert aux clients dans les agences via... un portail captif. Forcément, j'ai posé une question sur la possibilité de passer cet accès en WPA/WPA2 dans la mesure où les clients disposent déjà d'un login/password. D'abord intéressé, le speaker finira par me répondre en privé que si c'est relativement à mettre en place, la banque refuse d'investir dans la hotline forcément nécessaire puisque le nombre d'utilisateurs pour lesquels ça ne marchera pas est loin d'être négligeable. Il marque un point là...
  • Ensuring Business Continuity Through Real-Time Secure Networking Solution, par Abby Tang, Juniper Networks. Je ne sais pas vous, mais quand je lis un titre comme ça, avec autant de buzzwords, je le sens mal. Et puis il n'y avait pas vraiment eu de talk bien commercial jusque là. Alors ce que j'en ai pensé... Franchement... Pourri. Non seulement, c'était une vieille plug de chez plug, mais en plus, elle passait son temps à taper sur Cisco, sans pour autant en citer le nom, comme si les produits Juniper n'étaient pas suffisament performant pour qu'on puisse les vendre sans enfoncer grossièrement la concurrence[4] d'une part, et à aligner les conneries d'autre part. Mon morceau préféré a été "802.1x est une technologie qui empêche les attaques de type Man-In-The-Middle". Je n'ai pas pu m'empêcher de faire mon JP. Coffe et demander comment. Comment diable est-ce que 802.1x parvient à empêcher les MITM chez Juniper ? Réponse: grâce au chiffrement. Arf. Parce que chez Juinper, on chiffre sur du filaire en peer to peer après 802.1x ? Silence. Ou encore ce client qui serait parvenu à avoir 6000 employés en VPN-SSL simultané sur le même accès suite à la fermeture d'un bâtiment. Si je ne doute pas qu'on puisse absorber la charge en ayant des appliances en parallèle, je suis sceptique sur le provisionnement des moyens, en particulier la bande passante. En fait, ça résume l'intervention. Un gros mélange de tout et de rien, des approximations, des affirmations sans aucun fondement et du grand n'importe quoi pour nous dire que Juniper, c'est mieux que Cisco.
  • Attacking Wireless Networks, par Phil Kernick, CQR Consulting. Présentation des méthodes d'attaque contre les réseaux 802.11. Ludique, en particulier le passage sur ce restaurant dont les trois APs sont sur le mur extérieur, câble ethernet accessible. Et le fait des exemples de brouilleurs 2.4GHz à moins de 500USD...
  • Getting an Organisation Mobile for Beginner Users, par Peter Jackson, John Sands Ltd. Le retour du Peter pour les aspects humains du déploiement de leur solution de PDA sans-fil. Les end-users sont le facteur limitant. Pas de surprise donc. Intéressant, mais sans plus.
  • Point and Click Attacks, how today anyone can be a successful attacker par Chris Gatford, Pure Hacking Ltd. Ce talk était très bien. Sans prétention certes, mais vraiment très bien. Une bonne présentation des outils disponibles et démonstration de la facilité avec laquelle on les utilise. On commence avec le Penetration Testing Framework, section Wireless qui contient Wifitap[5] ! Ensuite, on passe au warscootering pour enchaîner avec une démo excellente de Kismac. Cette outil d'attaque Wi-Fi pour Mac est une tuerie. Il fait tout: wardriving, dé-auth, injection, WEP et WPA1/2 PSK cracking... Enfin, une vidéo de l'Ipod of Death, un grand moment de social engineering et finalement de Metasploit et ses plugins pour client. Pas mal du tout comme dernière présentation.


Jeudi 26 avril - Workshop

La conférence était encadrée de deux jours de workshops, le lundi et le jeudi. J'ai donné le mien le jeudi après-midi. Embarking on a Journey through Wi-Fi Security History, evolution of Wi-Fi security through years..., ou comment trouver une autre manière de présenter la sécurité Wi-Fi en trois heures. L'audience était contente de la présentation, je n'ai donc pas failli à ma tâche.


Finalement, la conférence était très bien, et même très bonne. Ce n'était pas une conférence technique du tout, très orientée décideur/manager. Pour autant, ça fait du bien de voir un peu comment les gens voient la vie en dehors des cercles technico-techniciens. C'est relativement enrichissant, particulièrement quand ça a du sens.


Pendant ce temps...

Et bien pendant ce temps, j'en ai profité pour tourner dans Singapour, visiter notre antenne là-bas, voir les gens de SyScan, où je devrais donner un training de deux jours les 3 et 4 juillet prochains, et, ô surprise, croiser Halvar que je n'avais pas revu depuis le SSTIC 2005. Au milieu de discussions plus débiles les unes que les autres, nous nous sommes essayé à lister les vingt raisons pour lesquelles le monde de la sécurité en vaut encore la peine. Halvar en est une, aucun doute là-dessus.

Côté sorties, on a fait un tour à la Prima Tower, un restaurant qui tourne en haut d'une tour sur le port. Excellent. Cher, mais excellent. Sinon, je vous conseille les spécialités locales à déguster dans les Hawker Centers : chilly crab, pepper crab, drunken prawns ou encore chicken rice. Pour les sorties, le quartier de Clarke Quay offre pas mal de possibilités. Une ancienne centrale électrique reconvertie en un club dont le nom m'échappe à côté de la Prima Tower est sympa également. Enfin, les plages sur l'est de l'île regorgent de restaurants et troquets sympathiques avec une vue imprenable sur... les porte-containers qui attendent au large. Sympa non ? ;)

Sinon, je me suis acheté "The Children of Húrin (Narn i Chîn Húrin)" de JRR. Tolkien, sorti le 17 avril dernier, et constaté non sans surprise que mon billet était référencé dans le Nouvel Obs en ligne, probablement en raison de ma première place dans Google sur Narn i Chîn Húrin, devant Wikipédia... J'ai également ramené une maigre douzaine de photos. La dernière a été prise spécialement pour remercier Arnaud de son support indéfectible devant la tapis à bagages...


Sinon, j'ai vu que le MOMBY avait quand même été productif, et que pendant que la blogosphère explose en critique de l'affrontement dess deux finalistes en prime-time, le mois de mai se veut MOAxB, à savoir le mois de faille ActiveX. On n'arrête pas le progrès...

Notes

[1] Prononcez Seeg Square.

[2] Et pas des IDS sur du Wi-Fi...

[3] Encore un qui récupère 85000 trames en moins de 10 secondes, va vraiment falloir penser à breveter...

[4] Sur des arguments relativement fallacieux, voire faux.

[5] \o/