Ouverture du bal avec Franck Capello, de l'INRIA, sur les systèmes "peer to peer" avec un bel état des lieux et quelques pistes sur les tendances. On notera en particulier toute les discussions sur le "firewall punching", ou l'art de contourner les dispositifs de filtrage pour établir des liens directs entre hôtes à priori non joignables (i.e. derrière un NAT), et sur la fourniture de service en ligne avec l'exemple de Google (Gmail, Gcalendar, etc.).

Enchaînement sur la VoIP côté opérateur avec Nicolas Fischbach de Colt, toujours autant en forme sur un de ses sujets de prédilection.

VoIP toujours avec le déploiement d'une infrastructure de voix à l'École Polytechnique par Loic Pasquiet. Une longue description, parfois un peu ennuyeuse il faut bien l'avouer, de la gestion du projet, de la phase de design à la mise en œuvre, en passant par le maquettage et les benchmarks. Intéressant cependant pour tous ceux qui veulent franchir la pas.

La matinée s'est terminée sur une table ronde à laquelle je remplaçais mon supérieur en convalescence. On a discuté de l'intégration de nouveaux outils de communications, avec en thèmes récurrents le Blackberry et Skype. L'échange de point de vue et de questions s'est montré feutré, et j'avoue avoir rongé mon frein pour garder mon calme devant certaines énormités qui ont été lachées...

Digestion sur l'exposé de Jean-Luc Parouty du CNRS sur la gestion de la mobilité et des accès VPN. On remarquera l'utilisation massive de solutions à base de SSL, par soucis de simplicité par rapport à IPSEC par exemple, avec en tête OpenVPN. Il a également présenté un toolkit sur clé USB destiné à fournir les outils de base sur n'importe quel poste, typiquement cybercafé. Ça n'évite pas les keyloggers, mais c'est déjà pas mal, à mettre en parallèle avec des outils type Blackdog.

Nicolas Ruff, collègue au centre de recherche EADS, a présenté des possibles utilisations détournées et/ou malicieuses des outils P2P, comme les DoS via clients interposés ou encore la constitution de botnets en utilisant l'API de communication de Skype.

Éric Detoisien nous alors présenté le travail qu'il a réalisé avec Aurélien Bordes sur les API crypto de Windows et leur détournement. Récupération de clés privées, détournement de connexion, récupération de contenu en clair, il y en a eu pour tous les goûts. Clair, efficace, percutant. J'adore.

La journée s'est terminée sur une présentation du Capitaine Nicolas Duvinage et d'un de ses collègues sur l'intégration des nouvelles technologies[1] au sein de la Gendarmerie Nationale dans son ensemble (réseaux de communication, outils, tablet PC mobiles, etc.) d'une part et sur les moyens de d'enquête du laboratoire informatique de l'IRGCN d'autre part. J'ai tout particulièrement apprécié la seconde partie sur les moyens de recherche et la démonstration de leur terminal PC mobile communicant (avec support Bluetooth).

Cette journée a montré plusieurs tendances :

  • Si on ne fournit pas aux utilisateurs certains services qu'ils attendent, ils iront les chercher ailleurs. Ainsi, s'ils n'ont pas de webmail, il forwarderont leur mail sur Yahoo ou Gmail. S'ils veulent un Blackberry, ils en prendront eux chez un opérateur et dupliqueront leur courrier électronique vers l'adresse associée.
  • Les outils P2P sont de plus en plus puissants et efficace en terme de contournement de firewall. En parallèle, les fonctionnalités qu'ils intègrent permettent de les utiliser à des fins malicieuses[2].
  • Concernant la VoIP, les contraintes de qualité de service[3] sont tellement forte que le déploiement de moyens de sécurité (firewalling, chiffrement) se révèle difficile. Dès lors, le rempart principal est la segmentation entre le réseau de voix et le réseau de données. Encore faut-il pouvoir l'assurer...
  • Enfin, concernant la table ronde, je ne me ferai jamais à la capacité de certains à sortir des conneries monstrueuses à propos du Blackberry avec un sérieux et un aplomb qui ont bien failli me faire passer pour un affabulateur, tellement les résultats de nos études étaient en opposition. Heureusement, un auditeur que je remercie au passage a eu la bonne idée de demander sur quoi reposaient ces études. Simple étude de documents d'architecture glanés à droite et à gauche d'un côté contre étude approfondie à base d'éléments concrets de l'autre. Ouf. Man, you saved my day ;)

Je ne dis pas que la Blackberry est un outil secure, sans faille et dépourvu de backdoor. Personne n'est parfait, on peu louper des choses et le monde de l'informatique étant ce qu'il est, on ne peut être sûr de rien. Mais d'ici à avancer des contre-vérités scandaleuses, contredites par l'expérience et la simple (ou presque) observation des faits, il y a un monde. Il est intéressant d'ailleurs de constater qu'on peut voir le même genre de délire à propos de Skype, mais dans une moindre mesure du fait des publications disponibles sur le sujet.

Notes

[1] À base de logiciel libre

[2] L'API Skype en est un excellent exemple

[3] Garantie d'une gigue maximum en particulier