De l'autre côté du SSTIC

SSTIC, pour ma part, ce ne fut pas trois jours merveilleux. Non, ça a commencé bien plus tôt, en janvier, à peu prêt, lorsque [Olivier|http://www.irisa.fr/lande/Olivier-Heen/Olivier-Heen.htm] m'a appris que j'incorporai officiellement le comité de programme de cette vénérable association qu'est le STIC (non, je n'ai pas oublié un S. STIC est l'association dont SSTIC est le symposium). En février, donc, je rencontre tout un tas de bonnes gens, dont monsieur [Elvis|http://elvis.tombini.free.fr/] (pas le Elvis, un autre), et je revois quelques connaissances que j'affectionne (hein mout), ce qui permet d'établir le programme que beaucoup ne découvrirons que quelques mois plus tard, exception faîte de la keynote et des conférences invitées. Étant local (se dit d'un résident de Rennes, ville où se déroule le symposium), je propose mon aide pour l'organisation, ayant quelque habitude d'organiser des salons (pour le logiciel libre en général). Ceci étant dit, retour sur Rennes pour mettre un peu tout cela au point. Je m'occuperai du repas des auteurs ainsi que de chercher un lieu pour le Social Event. Le Coq Gadby, bien que d'un standing supérieur à la norme habituel répondra à l'impérieuse nécessité d'offrir à tout un chacun la possibilité d'y participer, sans être trop loin du centre ville. Standing qui, ma foi, aura sûrement un coût sur les inscriptions. Cela nous amène à la semaine dernière. L'après-midi est dédiée à l'aménagement des lieux, la préparation des badges et autres tickets restaurants, la vérification des t-shirts et des actes. C'est d'ailleurs là que je me vois obtenir une partie du Graal, le t-shirt bleu du comité de programme. La classe. Temps utile, s'il en est. S'en suit le repas des auteurs qui se déroula à la brasserie "Au Bureau", nouvellement ouverte à côté du cinéma Gaumont au centre ville. Quelque absence de dernière minute (j'espère que la malade se porte mieux :)) et quelques ajouts (mais je ne ferai pas ma balance). Dans l'ensemble, tout se passe bien, malgré un service un peu lent. La terrasse en fin d'après-midi, complètement ensoleillée fut un réel plus. Il n'y a pas à dire, pouvoir faire connaissance avec les auteurs avant le symposium, c'est un plus.
  • Mercredi 3 juin, 8h. On s'affère à sortir les actes, vérifier les micros, aligner les tee. On est prêt. Enfin, c'est ce que l'on croyait. La foule arrive, on commence la distribution des badges pour s'apercevoir qu'il en manque un certain nombre. L'analyse de la root cause sera double : - toute personne ayant payé par carte bleue pour plusieurs personnes ne verra qu'un badge attribué, celui du porteur, - toute personne ayant payé par bon de commande n'aura pas de badge. Le résultat est là, une distribution qui dure. On travaille déjà sur la gestion de la prochaine session pour que ceci ne se reproduise pas. Ceci aura pour effet de me faire manquer le début de la keynote. Elle sera sans slide, n'ayant pas pu passer la validation des autorités compétentes en interne. C'est Pascal Andreï, d'AirBus qui s'y colle. Il expliquera la différence dans son métier entre la __safety__ qui s'intéresse à la conception de l'avion et la __security__, apparu après 9/11 qui s'intéresse aux actes malveillants. On a donc vu apparaître des pentests dans les avions pour s'assurer de l'étanchéité entre la cabine et les passagers. Les tests doivent être poussés au maximum car l'avion a une durée de vie de 30 ans et une fois construit, il ne restera que trois mois maximum chez le fournisseur. Il nous fera également part des ''sky marshalls'' ou des travaux de recherche sur le comportement. Personnellement, je n'ai que très moyennement accroché à cette keynote, car j'étais assis sur les marches, je n'entendais que la moitié de ce qui était dit et commençait à ressentir la fatigue de la soirée précédente et de la migraine naissante, faisant sûrement suite aux inscriptions. Je décide de m'éclipser pour la conférence suivante, afin de me reposer un peu et de prendre la relève de --la garde-- l'accueil. Je ne pourrai pas assister à la conf suivante qui avait l'air forte intéressante (data tainting for malware analysis par le CERT Lexsi). Je retournerai en salle pour suivre la présentation sur la désobfuscation de binaires. Travail impressionnant réalisé par les petits gars de pappy. On a un metasm qui fait de la simplification de binaires, mais qui est également capable de traduire de l'assembleur en langage C. Direction le Restaurant Universitaire pour ce premier repas bien mérité. Une petite anecdote à ce propos. Le groupe d'organisateurs ferme les lieux et part en dernier en s'assurant que tout est ok. En arrivant au RU, une queue de quelque 330 personnes est formée et elle prendra du temps à se résorber. Les GO devant impérativement revenir pour ouvrir la salle et s'assurer que tout va bien, ils passent devant tout le monde, en distribuant des tickets de RU aux têtes en l'air qui auraient oubliés les leurs. C'est dans la même optique que les rouges (couleur de reconnaissance des tee) resteront assez groupés, afin de débriefer au fur et à mesure. N'y voyez pas là de sectarisme. Pour ma part, je mangeais en général avec le groupe avant de faire un tour dans la salle pour m'asseoir discuter avec quelques connaissances et amis. Le jeudi, j'ai d'ailleurs déjeuné avec des étudiants de l'ENIB travaillant pour Diateam. L'après-midi s'enchaînera avec Marc Dacier et son cheval de bataille préféré, les pots de miel. Je m'éclipserai avant la fin pour aller poser en [guest star dans l'album de sid|http://sid.rstack.org/gallery/?galerie=200906_Rennes&photo=18]. Je manquerai de fait la conférence de Loïc Duflot, devant me résoudre à entendre les exclamations et les applaudissements à travers les portes. Le résumé de l'exploit : "en débranchant et rebranchant quatre fois de suite l'alimentation de son laptop, il devient root". Impressive. Pour ceux qui souhaitent plus de renseignements, il faudra se reporter aux actes. De ce que j'en ai discuté avec lui, il avait chargé au préalable un module dans l'initrd. Enfin, nul doute, techniquement, ça arrache. La suite sera amenée par maître Devine qui compromettra un windows en insérant une carte d'architecture pci dans son laptop alors que celui-ci est locké. Le résultat ne se fait pas attendre et l'effet est garanti. En moins de 10 secondes, vous êtes administrateur. La classe. Pas beaucoup de solution pour parer à tout cela, si ce n'est peut être repasser sous Solaris 2 (spéciale dédicace pour Francis). Nous terminerons la journée par une conférence que j'attends avec impatience pour l'avoir soufflée au comité : ISO 27001. J'avais rencontré Alexandre quelques mois plus tôt lors d'un dîner avec Hervé Schauer à Rennes. J'ai été plus que content de la proposition. La 27001 peut avoir, en soi, quelque chose d'aussi intéressant qu'une course d'escargot. C'est long. Là, Alexandre a eu l'ingéniosité d'aller au-delà du PDCA et de nous faire un vrai retour. Il tire sur la réalité. Il y a deux genres de sociétés qui souhaitent faire de la 27K1 : - celles qui souhaitent simplement être en conformité et qui ne feront aucune avancée en matière de sécurité de leur SI - celles qui n'ont pas attendu la certification pour s'intéresser de prêt à leurs process. La certification n'a pas inventé la roue (mais suit le chemin). Appréciable, vraiment, merci. La première journée se clôt par un apéro dînatoire sympathique. Je file les consignes pour rentrer à la maison à mes invités, et je taille la route à la recherche de mon lit, la migraine aura finalement raison de moi ce soir là.