Update : manifestement, il y a un point qu'il est nécessaire de préciser. Je critique le contenu de la présentation, et non la manière dont il a été délivré, et en particulier pas le speaker. Les deux sont certes liés, mais pas complètement. Au-delà de la prestation de la personne qui les présente, ces slides développent un contenu et un argumentaire que je critique ici.


J'ai donc trouvé cette présentation particulièrement mauvaise. Elle n'avait, à mon avis, pas sa place au SSTIC, pour de multiples raisons que je vous propose d'approfondir.

La première raison tient au petit historique de la "sélection" de cette présentation. Petit rewind. Alors que la plupart des sujets ont fait l'objet d'une soumission évaluée et sélectionnée par le Comité de Programme, ce n'était pas le cas de celle-ci. En fait, il s'agissait d'une "conférence invitée", c'est à dire un speaker que le Comité de Programme a sollicité pour traiter un sujet bien particulier. Sauf que dans le cas présent, comme on me l'apprendra durant l'intervention, ce qui a été présenté ne correspondait pas à ce qui avait été convenu. Non seulement, le speaker invité s'est fait remplacer par un collègue, mais le sujet qui était prévu s'est lui aussi vu remplacé dans le même temps.

Inviter une conférencier est une grande marque de confiance. Ça ne se fait pas à la légère. Les speakers[1] le comprennent et mettent un point d'honneur, oserais-je dire, à mériter cette marque de confiance. Pappy mentionnait par exemple la longue préparation d'Halvar pour son talk sur l'analyse de binaires en 2005, et c'en est un excellent exemple. Il se trouve que la même année, nous étions, Pierre Bétouin, Nicolas Fischbach et moi, invités pour parler de sécurité réseau. Je ne pense pas que nous ayions abusé de la confiance du comité, même si nous avions visé un résultat plus ambitieux que ce que nous avons pu présenter. Plus récemment, Pascal Andrei, pour son ouverture du SSTIC 2009, s'est activement renseigné sur ce qu'était le SSTIC, qui on y trouvait, de quoi on y parlait, etc. pour fournir une présentation à la hauteur. Ce qu'il a fait.

Dans le cas présent, le contenu qui a été délivré lors de la conférence dont nous parlons ne s'inscrivait pas dans ce genre de démarche. On a profité, sinon abusé, de la confiance accordée pour faire passer une présentation qui, je trouve, ressemble fort à une présentation commerciale. Une présentation dont le contenu technique n'a pas décollé des paquerettes[2] se trouvait accompagnée d'un argumentaire limite fallacieux[3]. Et puisqu'on me parle de manque de respect, je crois qu'on en a un très joli exemple ici... De manque de respect. Envers le Comité de Programme d'abord, envers les autres speakers ensuite, et envers les participants enfin.


Côté contenu, l'inutile argumentaire sur la fragilité de PHP n'en finissait pas de se perdre. Ça commençait avec un parallèle entre les moteurs l'avion et les applications web, puis ça embrayait avec l'attribution de la panne électrique qui a "éteint" la quasi-totalité du Brésil en 2007 à la compromission d'un serveur web. Un relan de l'émission 60min de CBS, connue pour sa rigueur journalistique, dont les affirmations sur le sujet fin 2009 ont été démenties par le gouvernement brésilien. Quand bien même il y aurait effectivement eu piratage, la responsabilité du serveur web en question est très peu probable : le screenshot fourni à l'appui a été réalisé... deux ans plus tard par... Robert Graham pour DarkReading...

Sur le plan technique, considérant le temps accordé à la présentation, nous avons surtout eu droit à cette longue et pénible démonstration des faiblesses de PHP. Oui certes, PHP est un langage pas terrible, et le dire aurait probablement suffit. D'autant que ça aurait permis de passer directement à la description d'OPA. Mais non, il a fallu se farcir "les failles web pour les nuls". Sujet qui a largement été traité par le passé au SSTIC. On pensera en particulier à l'excellente présentation sur les XSS donnée l'an dernier et celle sur les CSRF en 2007. CSRF sur lesquels le speaker est passé rapidement parce que c'est somme toute "un peu subtil" comme truc... On notera que la présentation ignorait complètement l'existence d'un certain nombre de protections, comme les "prepared statements" contre les injections SQL, ou de frameworks comme Zend qui proposent des fonctionnalités de sécurité[4]. Certes pas une panacée, mais intellectuellement, c'est plus honnête de les mentionner.

Bref, tout ça pour dire que si le but était de présenter OPA, autant nous épargner le bullshit. Parce que globalement, c'est là que ça aurait pu devenir intéressant... Mais c'est aussi là que ça s'est arrêté, faute de temps. Et un tel arrêt qui aurait dû frustrer l'auditoire comme c'est le cas après un bon talk coupé prématurément, a été globalement ressenti comme une véritable libération.


En définitive, cette présentation était avant tout mauvaise parce que son contenu était mauvais, autant au niveau de l'argumentaire que du contenu technique. Et sans un malheureux concours de circonstance, jamais un talk de cet acabit ne serait passé à travers le comité de programme. Et c'est la combinaison des deux qui m'a poussé, à chaud, à me lever pour applaudir la présentation. Pas pour me moquer du speaker, mais pour lui signifier tout le bien que je pensais du torchon qu'il venait de nous délivrer. Certains ont préféré discuter, générant un brouhaha assez impressionnant, d'autres ont quitté la salle ou penché pour l'ignorance. Chacun son truc...

Maintenant, je vais m'adresser à ceux des jeunes auxquels fait référence Pappy qui me lisent. Ceux qui ont du contenu à soumettre en conférence ou en article, mais qui sont effrayés par les retours qu'ils lisent à droite ou à gauche. Et je leur dirai ceci : lancez-vous !

D'abord, les avis exprimés plus ou moins durement sur quatre ou cinq blogs en vue ne constituent que quatre ou cinq avis individuels, sûrement pas l'avis général. Ce dernier ne peut être entrevu qu'après la lecture d'un nombre conséquent d'autres retours. C'est précisément pour ça que je pointe sur autant de compte-rendus que possible, pour que le lecteur puisse avoir différents sons de cloche. Ensuite, votre travail va être relu avant d'être sélectionné et/ou publié. C'est une étape qui vous donnera un feedback[5] qui s'accompagne souvent de suggestions d'améliorations de la part des relecteurs. La relecture des article pour MISC en est un très bon exemple je trouve. Enfin, si Pappy vous dit que c'est bon, ben c'est bon quoi :)


Pour conclure, je ne regrette pas d'avoir exprimé un avis très négatif sur cette intervention. Je comprends cependant que mes lecteurs aient pu se méprendre sur mon retour et mon comportement, aussi je leur présente mes excuses et j'espère que cette mise au point clarifiera les choses. Mais je reste sur mes positions. Cette présentation était mauvaise de part son contenu. Mais si elle méritait de se faire bâcher, c'est surtout à cause du contexte qui l'a amenée là. Ne serait-ce que par considération pour tous ceux qui ont soumis mais n'ont pas été retenus.

Car s'il est déjà frustrant de se voir son travail refusé, ça l'est encore plus quand on voit des papiers médiocres retenus à la place. Et ce n'est pas à toi, Pappy, que je vais l'apprendre ;)


Maintenant que c'est dit, on va pouvoir arrêter de parler du SSTIC et passer à autre chose.

Notes

[1] La plupart en tout cas...

[2] Il m'est cependant arrivé de voir des présentations commerciales techniquement valables.

[3] Tous les argumentaires commerciaux ne sont pas forcément fallacieux.

[4] Dont du typage.

[5] Parfois un peu rude parfois, je le concède...