Il semble donc que ce que beaucoup considèrent comme la mecque de la sécurité informatique n'ait pas comblé les attentes des auditeurs cette année. Est-ce surprenant ? Pas vraiment. Bien que n'ayant jamais assisté à une BlackHat[1], je ne peux guère comparer aux opus précédents ni à d'autres évènements. Cependant, on remarque depuis quelques temps qu'un paquet de sujets commencent à revenir régulièrement, y compris au sein des mêmes conférences, et BlackHat n'échappe à la règle. Aurait-on épuisé la vache à lait ?

C'est la question que se pose Bruno. Pourtant, comme beaucoup, il remarque que de nombreux de sujets restent à explorer. Et ce n'est pas étonnant. Simple question d'opportunité. Au fur et à mesure que les secrets des logiciels et équipements de masse commencent à se faire de plus en plus rares et pointus, il est de plus que nécessaire d'aller chercher plus loin, sur des sujets moins communs, des objets moins répandus, voire marginaux, et donc plus difficiles d'accès. On pensera à l'informatique embarquée[2], à certains composants matériels, à des systèmes métier, etc. Difficiles d'accès parce que plus rares, parce que plus chers, parce que parfoit restreints et surtout parce que pas forcément entre les bonnes mains.

En effet, dans ces domaines d'activité, les trouvailles relèvent souvent d'heureuses rencontres et de concours de circonstances fortuits. Car avoir accès au matériel ne veut pas dire avoir les compétences pour l'étudier, ni avoir les équipements nécessaires[3] pour le faire. Il s'agit donc que les bonnes personnes se posent la même question en même temps, se rencontrent, s'entendent et travaillent ensembles, ce qui peut parfois tenir de l'alignement de planètes. Pour autant, l'expérience montre que de telles singularités se produisent, et plus souvent qu'on serait tenté de le croire.

La conséquence sur les conférences de sécurité va à mon avis être une réduction drastique du nombre de conférences organisées sur la planète. Finie l'époque où ça fleurissait de partout. On va, je pense, assister à un écrémage massif du milieu qui a déjà montré le bout de son nez. On continuera à trouver des conférences commerciales à destination de nos chers RSSI et autres décideurs, lesquelles se portent apparemment bien, ce dont personne ne s'étonne. On continuera également à trouver des évènements plus communautaires à petit budget, lesquels dépendent surtout de la bonne volonté et de l'efficacité de quelques bénévoles. Entre les deux, seuls les évènements les plus visibles s'en sortiront. À condition de mettre le main sur les bons sujets...

Philippe Richard se hasarde à quelques pronostiques en lançant les noms de Cansecwest, SSTIC, Hack in the Box, Hack.lu ou encore Deepsec. On s'étonnera d'ailleurs de trouver le nom de cette dernière dont c'est la première mouture, même si comme je l'écrivais précedemment, le programme laisse présager quelque chose de très intéressant. Je ne m'y aventurerai cependant pas, pour deux raisons. La première est que certaines conférences continueront à vivre en dépis de leur niveau, juste parce qu'elles sont célèbres. C'est typiquement le cas de BlackHat. D'autres rencontres peuvent exploser parce qu'elles vont arriver au bon endroit ou au bon moment, ou les deux, ou taper un sujet de niche. Ce fut le cas du SSTIC et de la Recon, dont j'espère que les organisateurs relèveront avec succès le défi qu'ils se sont eux-mêmes lancés pour la version 2008.

Le cas de Recon est d'ailleurs intéressant à plus d'un titre et montre bien la fragilité d'une conférence, même renommée. Sur un contient au calendrier plutôt chargé, Recon s'impose dans le monde du reverse engineering après deux succès indéniables en 2005 et 2006. Il est d'ailleurs amusant de remarquer que ce beaucoup ont considéré comme une conférence dédiée à ce domaine ne l'était pas au départ. Ben non, Recon ne veut pas dire "Reverse Engineering Conference", mais ce n'est pas grave. Les speakers se bousculent avec des sujets souvent remarquables. Pourtant, la Recon 2007 n'aura pas lieu, faute de combattants parmi les organisateurs, accaparés par d'autres activités. Comme quoi, parfois, ça ne tient pas à grand chose, et surtout pas au niveau de la conférence...

Ceci étant, je vais quand même ajouter quelques noms à surveiller en 2008, soit parce que ce sont des valeurs sûres, soit parce qu'elles ont du potentiel, soit parce que je les aime bien : Shmoocon, SecurityOpus, Syscan, BCS, Pacsec, Recon. Je vous laisse le soin de mettre chacune dans la catégorie qui va bien...


Pour revenir sur les gens qui ont du mal à comprendre ce qu'il écoutent ou lisent, vous pouvez jeter un coup d'œil à ce nouvel article de Lisa Vaas sur eWeek. Sujet: Immunity Debugger et la démo qui en a été faite à BlackHat. Forcément, les conneries étaient suffisamment conséquentes pour qu'elles ont été corrigées entre temps, mais franchement, ça valait le détour de voir la journaliste annoncer qu'ils lachaient un outil de détection et d'exploitation automatique de heap overflows...


Et histoire de ne pas finir sur une mauvaise note, il faut quand même mentionner la remise des Pwnie Awards dont les heureux gagnants sont :

Joli palmarès je trouve ;)

Notes

[1] Question de priorités...

[2] Je ne parle pas de routeurs Wi-Fi là, je parle de ce qu'on va trouver dans un satellite, une voiture, etc.

[3] Souvent honéreux.

[4] Que d'aucuns qualifieront d'inutilisables dans la vraie vie, ce qui n'est pas loin d'être faux ;)