Mes stats de SSTIC, jour II

__JOUR II__ Il faut être là tôt, on ne badinne pas. La première conf s'inscrit à neuf heure, autour des green datacenter et de leur sécurisation. J'ai commencé avec la ferme intention de prendre beaucoup de notes. Mon papier se résume ainsi :
  • il faut une double alimentation,
  • il faut une double ventilation. Heureusement pour moi, notre speaker a introduit de superbes simulations de fluide (ventilation, aération, écoulement...) dans ses schémas. Travaillant au quotidien dans un datacenter, je n'y ai trouvé aucun intérêt, [encore moins pour la partie sécurité présente dans le titre|http://actes.sstic.org/SSTIC08/Etat_de_l_art_et_nouveaux_enjeux_des_green_data_centers/]. On saluera tout de même l'initiative du comité de programme de vouloir introduire de la sécurité physique dans les topics. Vivement qu'on ait un peu de [lock picking|http://hsc.fr/ressources/presentations/crochetage_2006/index.html.fr]. Après tant d'entrain et le regret de ne pas être resté dormir quelques minutes de plus à la maison, on enchaîne sur la déprotection semi-automatique de binaire. C'est une autre bonne surprise pour moi. Je m'attendais encore à un outil qui promettait monts et merveilles et qui ne verrait jamais le jour sinon dans quelques milieux non autorisés et au final, on voit un travail concret, partant de [metasm|http://actes.sstic.org/SSTIC07/Metasm/] et faisant de jolis graphs, tout comme le ferait IDA. Contrairement à ce dernier, d'ailleurs, l'idée est d'interpréter le code afin d'enlever une part de l'obfuscation volontairement générée (si vrai alors i=1 sinon i=0;). Conf intéressante, je n'ai pas encore lu le papier, mais je pense qu'il y a matière. S'ensuit la pause avec le jus d'orange, les petits pains au chocolat, toussa... Puis la présentation d'ERESI par Anthony Desnos et Sébastien Roy. Première question qui me vient à l'esprit : mais où est Julien Vanegue alors qu'il est invité par le comité pour la présentation ? Absent ou présent, je ne saurai pas dire. Il existe deux types d'analyse : statique et dynamique. ERESI fait les deux, mais on ne nous présentera que la deuxième solution. Ce que j'en ai retenu, c'est que ça embarque du script, des bibliothèques et des API, que c'est dispo sur plusieurs architectures (IA32, Sparc, MIPS) et pour plusieurs environnements (linux, BSD, Solaris). Je suis ressorti de tout cela avec un avis plutôt mitigé. L'outil a l'air bon mais les speakers, sûrement très fort en assembleur ont quelques progrès à faire pour hypnotiser l'audience. Énorme déception de ne pas voir [Fred Raynal|http://miscmag.com] et Éric Filiol se présenter au parloir pour le talk suivant. Ils ont collaboré à l'article, mais c'est le troisième auteur qui parlera. Trop complexe pour moi, dans un état de fatigue avancé, je n'en retiens que les deux exemples de la conf. Après une analyse d'un soft en java à partir de l'outil, un élément essentiel : sur mac, les mots de passe sont en clair dans la mémoire et dans le fichier de mise en veille (et j'obtiens par là de quoi fermer le claquos de tous les mackeus qui me fatiguent avec une soi disant faille openssl dans un paquet Debian). Retour au Résidu Universitaire. Je découvre que le requin, c'est bon. Mais il parait que ce n'est pas éthique. Ce n'est pas grave, ça sera sûrement diététique... On réouvre la séance de l'après-midi avec la sécurité des capteurs. C'est encore une bonne surprise. En général, tout ce qui est puce ne me passionne pas, mais j'avoue encore une fois avoir trouvé un grand intérêt sur cette présentation. Un réseau de capteurs est un ensemble de noeuds, ce qui signifie que tout ce bazar doit communiquer ensemble. S'occuper de sécurité quant on a des ressources illimitées, le problème se trouve dans l'humain. Lorsque l'on est dans du miniature embarqué, il faut alors gérer la consommation d'énergie, l'utilisation mémoire et sa capacité, le cpu, etc. Et là, ça devient tout de suite beaucoup plus complexe ! Par exemple, vous pouvez tout de suite oublier la crypto à clef publique. Ah, beaucoup moins évident comme problème, d'un coup. On se rapproche encore plus de la réalité lorsque l'on sait qu'un pace maker est en quelque part un capteur. Le médecin doit pouvoir communiquer avec l'outil à distance, tout en garantissant la confidentialité et l'intégrité. Imaginez un déni de service sur ce genre d'outil. Encore plus quand Dick Cheney est équipé d'une occurrence de ce bazar et que l'on découvre tout un tas de truc drôle à faire avec. Dès lors, il semble que les chercheurs publient un peu moins publiquement leurs avancées sur la question. Allez savoir pourquoi ! Nous en arrivons à un moment très attendu par le lecteur (l'unique, je parle d'ulysse) et où je me dois de faire attention, car il sera sûrement lu par le speaker, à savoir [Sid|http://sid.rstack.org] himself. Cédric nous propose de partager quelques minutes sur la dépérimétrisation, sujet cher à son coeur, d'autant plus que ça l'oppose sur beaucoup de point au Jéricho Forum ([looser|http://www.opengroup.org/jericho/]) et à leur idée de supprimer le pare-feu, qui est un des outils préféré de sieur Blancher. C'est un plaidoyer sur la forme avant tout, puisque le JF se sert du buzz pour toucher les décideurs sans avoir de véritable argumentaire cohérent. Néanmoins, Cédric n'écarte pas la question du débat qui peut être intéressante sur le fond. La sécurité doit-elle résider dans des couches basses, hautes ou les données doivent-elles être sécurisées, où qu'elles se trouvent. Ma question à Sid a été de savoir comment démonter le buzz face aux décideurs. Sa réponse converge à ce que j'en savais déjà : la démonstration de la cohérence de nos architectures et de l'absurdité des propositions du JF. Je suis un poil resté sur ma faim, connaissant la position initial de Cédric, ainsi que les dire du JF, j'aurai bien aimé que notre speaker enfonce plus avant le clou et passe une partie de sa présentation sur des idées, même saugrenues, c'eut été sympathique. M'enfin, en une demi-heure, le temps est aussi compté, ce que je comprends largement. On termine les conférences officielles avec Marie Barel, nouvellement bretonne, qui, pour changer, fera une présentation juridique sur le cauchemard juridique qu'est un pentest. Pour résumé le propos : contrat, contrat, contrat. Ah oui, autre chose. Si vous n'avez pas de juriste, vous n'existez pas. Vous verrez, on s'habitue à force ;) Un grand moment attendu par beaucoup de monde : les rumps. Une Rump session, pour ceux qui ne connaissent pas encore le principe, c'est un talk court, sur un sujet intéressant ou pas, technique ou pas, qui s'enchaîne jusqu'à épuisement des speakers. Pour le cru 2008, c'est 22 rumps qui sont présentées. Voici l'intégralité (ou pas) :
  • [Olivier Heen|http://www.irisa.fr/lande/Olivier-Heen/Olivier-Heen.htm] se coltine le rôle d'ouvreur avec l'annonce de C&esar du 2 au 4 décembre prochain.
  • Pappy et Nico enchaînent avec le [SSTIC canal historique|http://www.sstic-canalhistorique.org/] et un e-mail à ne pas manquer (langue de pute)
  • Ce qui aurait pu être une conf et qui s'est transformé en rump (ou pas) par Tyop? et un copain sur les CSRF, ou comment faire un DoS à partir de cette méthode
  • NF3D, par Éric Leblond, où le [Netfilter Hero|http://www.guitarherogame.fr/] du parefeu
  • Ludovic Mé présente une nouvelle section à supélec. Ils cherchent des stages et des sujets. Je suis intéressé pour intervenir, si quelqu'un me lit :)
  • Guillaume Vissia nous présente un plug-in IDA, nommé Muff'in qui ne sera pas publié (oh my god, 0-days are real ?)
  • Une présentation d'un simulateur de réseau immersif nommé Hybrid Network System (hynesym) par le CELAR, peut être à croiser avec Einar
  • EAP par Gabriel Campana (?) qui a fait pas mal de recherche de vulnérabilité sur les AAA
  • Sid et un joli fake sur un certificat ssl des impôts de Bordeaux, suite à la soit disant vulnérabilité GNU/Debian ;)
  • Exefilter && blind FTP sont maintenant des logiciels libres
  • Cracker, un crypto packer par Benjamin Caillat qui permet de faire une archive chiffrée avec une clef jetable
  • Monseigneur [Christophe Grenier et les avancées de photorec|http://www.cgsecurity.org]
  • Pierre "Pollux" Chifflier (INL) avec Weatherwall, où comment inviter Évelyne Dheliat pour présenter votre sécurité pare-feu
  • Votre serviteur proposant un état de l'art de la [documentation de scapy|http://trac.secdev.org/scapydoc-com] ainsi que les projets d'évolution
  • Bruno Kerouanton cherche quelqu'un à recruter en Suisse, si vous êtes intéressés. Il nous a montré à quoi servait un site de PRA lorsque, comme lui, votre ville est totalement inondée :)
  • Stéphane Siacco nous a présenté succinctement un [socle de sécurité|http://www.ossir.org/bretagne/supports/2008/20080214-soc_ossirb.ppt]
  • Un hack du cerveau par Nikoteen, l'ancien hacker du SMTP de l'Élysée (Ce soir j'ai les pieds qui puent, d'après Scorpion, le groupe de Rock)
  • Une visualisation cubique de flux, très impressionnant dans le résultat immédiat que l'on peut en tirer
  • Un test de QI (euh, me souviens plus de cette rump !) Deux rumps à suivre qui deviendront probablement des conférences :
  • Daniel (mad flamby) Reynaud et Philippe Beaucamps mettent en avant de grosses faiblesses de sécurité de firefox (à suivre de très près)
  • Maître Es Ruff avec HP m'a tuer où la formidable équipe que forme HP et AMD (virtualisation, mot de passe et outils...) et pour finir :
  • la spirale infernale, à propos de la faille openssl GNU/Debian supposée (auto suggestion). C'est presque la fin de la journée, il faut déjà se rendre au Social Event, qui aura lieu comme l'année dernière au centre de Rennes, ce qui est une très bonne idée. N'ayant plus de dernier métro, je rentre à la maison à pied, ça me permet de digérer le programme de la journée. Le troisième jour, très vite.