Quelques jours avant...

Je devais me rendre à Washington pour une série de rendez-vous professionnels. Une fois libéré, j'ai pu me ballader un peu sur l'esplanade du Capitole et le lendemain matin dans le Cimetière National d'Arlington, juste avant de prendre l'avion pour Boston. Toutes les photos sont en ligne.

Mercredi 12 mars 2008 - Jour 1

La matinée est consacrée à la récupération des badges et aux discussions autour d'un petit-déjeuner. Après une brève introduction de la part des organisateurs, Tito Jackson, du Massachusetts Office of Business Development, a ouvert les hostilités.

  • Tito Jackson, Massachusetts Office of Business Development IT dpt, est venu nous dire combien c'était important d'avoir ce type de conférences, parce que la sécurité c'est important, parce que l'IT génère plein d'emplois dans la région, et puis qu'avec le MIT tout ça, voilà. Un bon gros blabla politique, sympathique au demeurant.
  • Keynote d'ouverture par Richard Clarke[1], "The Current State of the War on Terrorism and What it Means for Homeland Security and Technology". En fait, il s'est surtout agit d'une critique assez dure de la politique du gouvernement Bush en matière de sécurité informatique : manque de crédits, mauvaise utilisation des ressources, violation des droits civiques, etc. Tout y est passé. C'était un peu dur à suivre, mais globalement, ça ressemblait plus à un fourre-tout qu'à une argumentation bien ficelée. J'ai en particulier noté la référence au dernier spot publicitaire de l'USAF qui place la maîtrise du cyber-espace au même plan que la maîtrise des airs et de l'espace. Ce qui en dit long sur leur politique en matière de lutte informatique offensive...

Ensuite, il a fallu choisir parmi les tracks disponibles. J'ai opté pour la présentation de Veracode qui portait sur l'amélioration de la qualité des logiciels.

  • Matt Moynahan, Veracode : "Your Car Passed Inspection... But What About Your Software?". J'ai été relativement déçu par la présentation, qui ressemblait surtout à un pitch commercial pour Veracode. Après une introduction sur comment les éditeurs gèrent la sécurité de leurs produits, sur la mode "faites-nous confiance", il propose un modèle avec tiers de confiance, entre l'éditeur et l'utilisateur, pour évaluer la qualité du produit. Justement ce que se propose de faire Veracode. Le discours se tient cependant, je n'ai pas non plus complètement perdu mon temps, d'autant que ça m'a permis de taper un brin de causette avec Chris Wysopal, qui bosse précisément là-bas, sur ce sujet.
  • Robert Martin, MITRE : "Having a Defined Target for Software Security Testing". Une bonne présentation du projet CWE, la Common Weaknesses Enumeration database qui vise à classer les types de vulnérabilités pour fournir un référentiel pour tout ce qui est évaluation de sécurité. À creuser.
  • Steve Patton, enquêteur pour un société d'assurances nnon précisée : "Investigation Techniques for Social Networking Sites". Bon talk. Le présentateur explique ses techniques d'exploration des "réseaux sociaux" pour y trouver des éléments permettant d'étayer des dossiers de fraudes à l'assurance. Au delà des techniques qui, bien que ne cassant pas la barraque, sont intéressantes, en particulier pour le côté méthodologie de l'investigateur, c'est surtout les anecdotes qui ont retenu mon attention. Comme ce gars qui publie une photo de sa voiture impeccable trois jours après la date déclarée d'un accident. Ou l'exemple à méditer fourni par un auditeur d'une femme qui se voit perdre la garde de sa fille parce que... elle a posté son score à un purity test sur sa page MySpace... Un présentation qui n'aurait pas déplu à Zythom.
  • Andrew Jaquith, Yankee Group : "Not Dead But Twitching: Anti-Virus Succumbs to the Scourge of Modern Malware". Ou comment démonter les éditeurs d'antivirus... Le discours tourne autour de l'incapacité des éditeurs à analyser des malwares qui apparaissent à un rythme toujours plus important, avec un tendance qui passe de gros vers à fort impact à pleins de petites variantes à faible impact, qui entraine un véritable DoS sur les labos d'analyse. Et donc des délais de publication de signatures importants. Il citera un exemple de ver qui mettra trois semaines à être détecté par 50% des éditeurs... Il y avait un gars de Symantec dans la salle qui n'a apparemment pas trop apprécié le constat, vu le ton des ses questions...
  • James Atkinson, Granite Island Group : "Telephone Defenses Against the Dark Arts". Je n'ai assisté qu'à la seconde partie, et j'ai presque regretté de ne pas avoir tout vu. Ça parlait des techniques d'écoutes téléphoniques sur tout type de téléphone. C'était excellent. Les vidéos du talk sont disponibles en ligne, je vous les conseille.

On m'a également dit beaucoup de bien du talk de Rich Mogull (Securosis) et Christopher Hoff (Unysis) intitulé "Disruptive Innovation and the Future of Security". Il y ont parlé des technos à la mode et des tendances qui apparaissent. Dont la dépérimétrisation...

La journée s'est achevée par une réception pour les speakers au dernier étage de l'hôtel, sous forme de cocktail, petits fours et buffet. Très sympa, ça m'a permis de discuter avec pleins de gens.

Jeudi 13 mars 2008 - Jour 2

La seconde journée s'est ouverte sur une fantastique keynote de Dan Geer...

  • Keynote par Dan Geer : "Cybersecurity in a New Digital Age". C'était formidable. C'était tellement riche qu'il est difficile de résumer le contenu en quelques lignes. D'autant qu'une vidéo est en ligne, ainsi que le texte de l'intervention. Help yourself.
  • Rich Mogull: "Understanding and Preventing Data Breaches, The Real World Edition". Bof...
  • David Dittrich, université de Washington et Bruce Dang, Microsoft : "Understanding Emerging Threats: The case of Nugache". Présentation intéressante sur le botnet Nugache. La partie sur la structure était particulièrement intéressante. Ça m'a beaucoup rappelé le fonctionnement de Skype, mais encore plus décentralisé, sans aucune limitation dans la capacité des nœuds à servir de relais et du réseau à créer de la redondance.
  • Ensuite, c'était mon tour : "Deperimeterisation - Dream or Nightmare for Network Security?". C'était un premier jet de ce que je vais présenter au SSTIC. Et l'occasion d'inaugurer un nouveau template pour Beamer[2]...
  • Keynote par Steven Levy qui est revenu sur la naissance de l'esprit hacker et son évolution. Pas mal de références au MIT, forcément.
  • Gary Sevounts, Symantec : "Critical Infrastructure Protection: SCADA in the Internet World". Un exposé sur la sécurité des système SCADA. Ou plutôt sur leur absence de sécurité. Sans aller jusqu'à la centrale nucléaire qui explose comme dans Matrix Reloaded, il y a manifestement de quoi provoquer des blackouts sérieux. Inquiétant...
  • Jeff Richard et Rob Cheyne, Safelight Security Advisors : "Banking on Education: A case study on security training programs". Un talk sur la formation des utilisateurs à la sécurité. J'ai craqué avant la fin...

La soirée s'est prolongée au restaurant, un indien tout ce qu'il y a de plus classique, donc excellent, dans Cambridge, puis dans différents bars. Sympa.

Vendredi 14 mars 2008 - Jour 3

Première présentation sur la sécurité du GSM...

  • Frank Rieger, CryptoPhone : "Current and future security issues in mobile devices and networks". Sympathique talk sur l'état de l'art de la sécurité des téléphones mobiles. Vision très pessimiste, normal pour un fabricant de téléphones chiffrant. Mais énormément d'informations.
  • Raffael Marty, Splunk : "All the Data That's Fit to Visualize". Raffy nous a fait un présentation intéressante sur la visualisation. Il commence par nous montrer une vidéo d'affreuses représentations auxquelles on ne comprend rien. Il passe ensuite à une analyse des illustrations du New York Times. Enfin, il en applique les principes à quelques exemples. C'était pas mal, beaucoup de bon sens et d'intelligence, ça m'a fait penser à l'article de Renaud Bidou dans MISC 34. La vidéo est en ligne.
  • Rick Wesson, Support Intelligence : "Bots, the Global Infection Rate". Le titre est le même qu'une présentation qu'il avait donnée à SecurityOpus, mais il m'avait assuré que c'était différent. Et c'était le cas. Partant de données[3] comme les classes d'adresses allouées, les classes routées ou encore les sources de bots ou de clicks de bannières[4], il parvient à diverses représentations du net en terme de compromission probable. Avec un taux final estimé de 40%. Et l'Europe fait peur à voir...

La conférence se terminait sur un panel avec les gens de L0pht qui répondaient aux questions de Michael Fitzgerald. Drôle. J'ai en particulier bien aimé la réponse de Mudge à la question de savoir quelle serait le temps qu'il faudrait aujourd'hui pour faire tomber le net, par rapport aux 15 minutes annoncées devant le sénat américain en 1998 : un peu plus de deux heures.

Ensuite, fin de conférence à fêter oblige, nous sommes allés diner dans un restaurant mexicain dans le centre de Boston, puis finir la soirée dans deux bars paraît-il branchés.

Samedi 15 mars 2008 - Jour +1

Comme le prix des billets d'avion s'écroule littéralement quand vous passez une nuit de samedi à dimanche à destination, et un petit peu aussi pour cause de Saint Patrick, j'ai passé le week-end sur place. Le samedi après-midi a été l'occasion de se ballader dans Boston. C'est une très belle ville.

Le soir, nous sommes aller diner au Vlora, un restaurant méditerranéen qui mérite le détour. La carte est excellente, et on ne se fait pas prier pour commander et finir un ou plusieurs vins, selon l'humeur. Les plats mériteraient d'être un peu plus relevés cependant. Ensuite, sortie dans quelques pubs dont le Cuffs, un pub installé au sous-sol de l'ancien QG de la police de Boston, puis un, je cite, "véritable pub à l'esprit irlandais". Ah. En fait, le problème avec Boston, par rapport à des villes plus festives comme Rennes[5], c'est qu'à deux heures de matin, tout ferme. Sauf les pizzerias...

Dimanche 16 mars 2008 - Jour +2

Ero Carrera et moi sommes allés faire un tour à la parade de la Saint Patrick, à South Boston. Excellent. Petit déjeuner irlandais, parade, retour à l'hôtel et direction l'aéroport pour retourner à la maison.


Au final, ce fut une excellente conférence. À renouveler l'an prochain.

Si vous voulez suivre ce qui s'est passé et ce va se passer, il y a le blog de la conférence. Ceux qui recherchent l'essence même du blogging, en plein dans le hype Web 3.0, il y a le feed Twitter. Enfin, le canal Source Boston 2008 sur Blip.tv qui devrait accueillir toutes les vidéos. Parce qu'en fait, toutes les interventions ont été filmées et gravées au fur et à mesure sur DVD. Mais bon, quarante DVDs, non seulement ça prend de la place dans la valise, mais à dix dollars pièce ça revient cher. Même avec le cours de l'Euro...

Étrangement[6], la conférence a suscité pas mal de réactions. Dont un billet qui pose une question grave :

Est-ce que Source Boston peut nous sauver des conférences chiantes ?

Réponse personnelle : oui. Réponse de l'auteur : probablement oui vu ses réactions suivantes. Voici une liste de billets, articles, réactions, problablement pas exhaustive, qui vont globalement dans le même sens :

Et mes photos sont en ligne, comme d'habitude...


Et pendant que je termine ces lignes, il neige à Paris...

Notes

[1] Lisez la suite de la vidéo précédente, il est juste après.

[2] Et donner du grain à moudre à Nono à son retour d'hibernation.

[3] Et de représentations comme celles-ci ou celles-là.

[4] Dont on sait qu'une écrasante majorité est frauduleuse...

[5] Exemple complètement fortuit...

[6] Comparé à d'autres conférences.