Ma petite parcelle d'Internet...

Pour le Best Server-Side Bug, on le choix entre la vulnérabilité IGMP dans le noyau Windows, le stack overflow DCERPC dans le noyau NetWare exposé aar Nicolas Pouvesle à Recon, l'exécution de code distante dans ClamAV et enfin le heap overflow sur les backup MS-SQL 2005. J'aurais tendance à voter pour la présentation de Nicolas Pouvesle sur ce stack overflow NetWare. Pas parce que ça touche plein de monde, mais surtout parce que techniquement, ça déchire un peu. Remarquez, l'exploit est également un grand moment, pas de doute. Mais je ne sais pas, NetWare, ce n'est probablement pas aussi hype, mais la rareté a du bon parfois. Et en plus, c'est 100% frenchie ;)

Dans la catégorie Best Client-Side Bug, on va trouver pleins de failles dans les gestionnaires d'URI, Slirpie et le DNS rebinding, la Carpet Bomb sur Safari, la faille DefineSceneAndFrameLabelData dans Flash et le client QuickTime, juste lui, parce qu'objectivement, il le mérite bien. J'aime bien le DNS rebinding en fait. Les gestionnaires d'URI aussi. Pour le client Quicktime, ça serait plus une Epic FAIL, voire un Lifetime Achievement sarcastique. Ma préférence ira à la faille Flash. Rapport à l'exploitation qu'a réussie Mark Dowd.

Pour le Mass 0wnage, le nominés sont la vulnérabilité IGMP du noyau Windows encore une fois, le gestionnaire de blog WordPress pour son nombre impressionnant de vulnérabilités^[1], le générateur de nombres aléatoires chez Debian, un XSS massif sur Earthlink, Comcast and Verizon, et enfin quelques 500000 sites vulnérables aux injections SQL. Bon alors déjà, comme je l'ai dit avant, les failles web, je jette. Par principe. Les injections SQL, ok ça en fait beaucoup. Les XSS, encore plus. WordPress, c'est un peu comme Quicktime, ça aurait plus ça place dans Most Epic FAIL. Juste par principe. La vulnérabilité IGMP, elle roxe, mais elle semble carrément difficile à exploiter. Il va donc nous rester le bug Debian. Par défaut, ce sera celui-là, et surtout parce que je pense qu'on a mieux dans Most Epic FAIL.

Pour la catégorie Most Innovative Research, il y a du beau monde. Vraiment. D'abord, l'exploitation de la machine virtuelle ActionScript, technique qui sert pour mon Best Client Side Bug préféré, puis Splitting Gemini, ou comment prendre le contrôle total d'un cœur. Suivent les fameuses attaques Cold Boot sur la mémoire, un depacker de VM en OCaml et enfin une nouvelle technique d'exploitation de heap overflow. J'avoue que là, mon cœur balance entre Splitting Gemini et Heaps About Heaps. Et bien qu'ayant assisté à la présentation de la seconde à Syscan Singapour^[2] il y a peu, je voterai quand même pour la première, parce qu'en plus d'être intéressant, l'idée est originale.

Ah, une de mes deux catégories préférées : la Lamest Vendor Reponse. Parce qu'à chaque fois, c'est du grand art. Et c'est d'autant plus difficile à départager. Cette année, nous avons la certification Hacker Safe de McAfee qui se retrouve apposée sur des sites vulnérables à des XSS. Réponse de McAfee : on ne peut pas corrompre un site web avec une XSS. Ce n'est pasl'avis de mon browser... Ensuite, la récente polémique autour des dires de Linus Torvalds sur la politique de publication des failles de sécurité dans le noyau. Puis la réponse de Wonderware, éditeur de logiciels SCADA^[3] à une découverte de Core : comment on compile du code Python ? Enfin, NXP qui attaque les gens qui ont cassé MiFare, les RFID à la sécurité... discutable... McAfee a certes fait très fort. Linus Torvalds ne dépareille pas non plus avec sa mauvaise foi. Mais franchement, je crois que la palme revient à NXP pour le cumul des genres : système vulnérable, et pas n'importe comment, mauvaise foi à toute épreuve et contre-attaque ridicule.

Vient ensuite la catégorie Most Overhyped Bug, avec évidemment la faille DNS de l'ami Kaminsky, le contournement d'authentification sur les boxes BT Home Hub et le 0day Flash découvert par Symantec qui en fait avait un mois. Pour moi, aucun doute, c'est la faille DNS. Même si elle est effectivement à la hauteur de ce qu'on en dit, elle ne valait pas tout ce battage, et en particulier les bons gros trolls qui ont suivi. Et puis bon, les deux autres, je dois avouer qu'elles n'ont pas franchement pris l'ampleur de la première.

Catégorie Best Song, avec un carton plein, encore une fois. Packin' The K! par K & Key pour Kaspersky Labs, The Data Song (Get Me LiveSecurity) par Scott Pinzon pour WatchGuard, Clockwork de Dr. Raid et enfin ces paroles intitulées Symantec Song par Doc Deazy. Si j'attends la critique de notre mélomane préféré, j'avoue avoir un petit faible, dans le registre du ridicule, pour Packin' The K!...

Autre catégorie que j'apprécie tout particulièrement, Most Epic FAIL. Des nominations qui rappellent de bons souvenirs (ou pas) pour cette nouvelle catégorie avec d'abord Todd Davis, CEO d'une boîte de protection de données personnelles, qui publie son numéro de sécu pour montrer combien il a confiance dans ses produit et... se fait voler son identité. Évidemment. Autre évidence, le générateut de nombres aléatoires chez Debian. Forcément. Et enfin, plus surprenant, Windows Vista, en ce que le dernier né de chez Microsoft prouverait que la sécurité ne fait pas vendre. Moi je vote pour Todd Davis. Faire le flan, c'est bien, mais alors quand ça passe pas, ça la fout mal. Quant à Vista, je pense que c'est quand même à côté de la plaque. Vista n'est pas juste un XP sécurisé. C'est pleins d'autres trucs. Et ce sont surtout ces autres trucs qui ne font pas vendre. En particulier le côté gourmant en ressources...

Dernière catégorie, le Lifetime Achievement Award, reconnaissance pour le travail d'une vie, avec quatre nominés qui sont Oded Horowitz, Tim Newsham, Dan Geer et John McDonald. Dan Geer. Sans hésitation.

Maintenant, il ne reste plus qu'à attendre la cérémonie de remise des prix qui se aura lieu pendant la Black Hat US 2008. Un peu comme pour la faille DNS...