• RRABBIDS, un système de détection d'intrusion pour les applications Ruby on Rails, par Éric Totel, Loic Le Henaff et Romaric Ludinard (Supélec). On commence par des généralités sur les IDS, en particulier les comportementaux puisque c'est de domaine que vise l'outil présenté. Il est développé en Ruby, vise les applications Web développées sur Ruby on Rails et a pu être testé sur un système de vente en ligne de test, donc particulièrement vulnérable à tous les classiques du genre. Un SQL Injection for dummies sert d'exemple pratique pour illustrer le fonctionnement interne de RRABBIDS. Conclusion et démo. Bonne présentation... Pour de la sécu web ;)
  • Usages offensifs de XSLT, par Nicolas Gregoire (Agarri). Présentation[1] sur l'exploitation des fonctionnalités potentiellement dangereuses sur divers moteurs XSLT exposées à travers des applications de plus haut niveau. La première partie s'attache à décrire ce qu'est XLST, la seconde à décrire l'approche avec l'étude des différents moteur : identification des fonctionnalités disponibles qui serviront pour fingerprinter les moteurs, développement de PoCs minimalistes, identification de chemins de déclenchement du moteur XSLT et test des applications. On termine par des exemples de vulnérabilités permettant d'accéder aux fonctions XSLT dangereuses, avec pleins pleins pleins d'application touchées : services web, smartphones, lecteurs RSS, applications Gnome, PHP5, Java... En gros pleins d'applications qui transforment du XML. Quelques recommandations en guise de conclusion... BTW, le W3C recommande de ne pas utiliser XSLT ;) Une très bonne présentation qui rappelle à quel point les gens utilisent des outils dangereux sans rien (vouloir) y panner...
  • Faille de sécurité ou défaut de sécurité, par Éric Barbry (Alain Bensoussan Avocats). Rappel sur le cadre légal autour du traitement des données personnelles, à savoir les articles 34 et 35 du code pénal condamnant le défaut de sécurité d'un côté, et les 226-22 et 226-13 condamnant la divulgation de données personnelles, et sur son application, ou plutôt son absence d'application. La présentation porte sur les implications juridiques[2] de l'exploitation d'une faille pour le gestionnaire de la plate-forme, l'attaquant et la victime selon le contexte. Les choses qui viennent, avec l'obligation de notification en cas de divulgation[3], et le bullshit total que constitue l'exception accordée si on présente un plan de réaction validé par la CNIL, l'apparition de normes et autres bonnes pratiques qui ne permettent plus de s'en tirer sous prétexte qu'on n'était pas informé et enfin les certifications, accréditations, agréments et autres labels qui sont censés rassurer le donneur d'ordre. Conclusion avec des perspectives sur ce qu'il faudra faire à l'avenir pour se prémunir. Comme l'an dernier, la présentation est vivante et trollesque à souhait. Je n'ai pas l'impression que les questions posées trouvent réponse, satisfaisante en tout cas, mais elles ont l'intérêt d'avoir été posées...
  • Typologie des attaques contre nos libertés online, par Jérémie Zimmermann (La Quadrature du Net). Partant d'une définition des libertés online comme le droit à accéder et publier tout contenu sans intermédiaire et sans restriction qui en font un bien commun que nous devons tous protéger, il résume les attaques comme la simple mise en place de restriction dans l'accès aux données par différents acteurs sous divers prétextes. S'en suit une énumération de ces atteintes, en fonction des acteurs, de la charge[4] et des vecteurs pour l'amener. Conclusion sur quelques exemples d'actions possibles à la portée du citoyen. Présentation sans slide, soutenue par un discours bien construit, utilisant le vocabulaire sécurité[5] et une dose homéopathique d'exagération et de mauvaise foi, et son lot de quenelles à destination d'HADOPI[6] et d'Orange. Gros show pendant la longue séance de questions. Parfait pour un trolldi. J'aime ;)
  • Système de stockage-en-ligne de photos avec confidentialité des données personnelles, par Luis Montalvo et Frédéric Lefebvre (Technicolor). Opposition de deux problématiques : la volonté de l'utilisateur de voir ses photos chiffrées pour garantir leur confidentialité et celle de l'hébergeur de détecter les doublons pour économiser de l'espace. Le système propose une solution à ce problème reposant sur du chiffrement convergent qui chiffre un fichier avec son propre condensat, ce qui implique que deux images identiques auront le même chiffré. Ceci permet à l'hébergeur de détecter les doublons parfaits, mais ne permet pas la recherche de contenus similaires. Ce dernier problème est résolu à l'aide de fonction d'empreintes visuelles plutôt que des hashes. Discussion sur la détection des faux-positifs et l'invertibilité des fonctions. C'est conceptuellement intéressant, mais d'une part, ça ne résout pas tous les problèmes de confidentialité[7]. D'autre part, j'ai quand même l'impression que le besoin de détection des doublons reste limitée à des applications précises, mais sûrement pas au stockage d'images comme on peut l'entendre quand on parle de Flickr ou Picasa Web.
  • Un framework de fuzzing pour cartes à puce: application aux protocoles EMV, par Julien Lancia (SERMA Technologies). Un fuzzer pour les protocoles EMV est présenté. Il est basé sur un Sulley avec un modèle de génération de tests adapté, une couche réseau remplacée par un système de communication adapté aux cartes à puce et une vérification de l'état de la cible basée sur une comparaison des résultats avec ceux renvoyés par une implémentation de référence en Python. Démos et résultats sur une douzaine de produits de marchés. Très bonne présentation.
  • Conférence de clôture, par Hervé Schauer (HSC). Sujet ambitieux qui vise à nous expliquer ce qu'est la sécurité en général, et repositionner la SSI dans ce cadre plus large. Ça commence par des considération très philosophique sur la sécurité, et le contrat social qu'elle implique souvent, la liberté et l'opposition des deux, et la nécessaire primauté de la seconde sur la première quand on ne peut pas concilier les deux. Suivent des considérations sur le droit et la force, ce qui devrait être et ce qui est. On saute du coq à l'âne pour revenir à la SSI avec une rétrospective sur vingt-cinq ans d'expérience, ainsi que le "sentiment de sur-place" et l'amertume qui l'accompagnent. On passe à des valeurs à cultiver comme l'amour du travail bien fait[8] et la transparence. Conclusion sur la nécessité de trouver un équilibre entre liberté et sécurité, et le rôle incontournable de l'État. Plein de bonnes choses, de la hauteur et pas d'ISO27k, et zéro langue de bois sur les réponses au questions du public, donc très bien. Mais je reste un tout petit peu sur ma faim quand même, principalement sur la transition, mais c'est un détail... Pour le plaisir de râler :P

Petite allocution de clôture, et c'est fini pour cette année. EOT.


Les autres compte-rendus (dont j'ai connaissance) disponibles en ligne :

Notes

[1] Je ne sais pas ce que vous en pensez, mais perso, je ne suis pas super fan des animations Prezi, mais ça n'a rien à voir avec la soirée d'hier en ce qui me concerne par contre :)

[2] Mais pas que...

[3] Article 38 du projet d'ordonnance du Paquet Télécom.

[4] I.e. comment se matérialise l'atteinte.

[5] Charge, vecteur, etc.

[6] Malgré que l'auteur ne veuille pas, je cite, "frapper un homme à terre" ;)

[7] Typiquement traçage des uploads/consultations.

[8] JP.Coffe mode engaged!!!