SSTIC 2010

Plus que quelques jours avant le SSTIC 2010 où je ne serai malheureusement pas pour diverses raisons. Mais j'ai pu constater que cette année, le projet de "compte rendu collaboratif" a été relancé (bon, je n'ai toujours pas trouvé le "compte rendu collaboratif" de l'édition 2009 :p), cette fois sous la forme d'une "wave" sur Google Wave.
Comment suivre le SSTIC sans y être, et sans non plus refresh toutes les 2 minutes sur le blog de Sid quoi :)
J'en profite d'ailleurs pour rappeler que je dispose encore d'un certain nombre d'invitations google wave (même si je me doute que les geeks que vous êtes en avez déjà un depuis plusieurs mois), suffit de me mailer.

Challenge SSTIC

Il semblerait même que les diverses solutions du challenge SSTIC aient été mises en ligne (bon ça fait peut-être même quelques jours, mais je n'ai pas pensé à regarder ça ce week-end à vrai dire).
Ca me fera un peu de lecture pour les soirées à venir.

Image du Challenge Securitech

Conformément à ce qui a été dit lors d'une rump session du SSTIC par Benjamin Caillat, une image vmware permettant de re-jouer une bonne partie des épreuves des différents challenges securitech a été mise à disposition via bit torrent (comme quoi, bittorrent ne permet pas QUE le partage des mp3 de johnny ou la filmographie complète de besson). Tout est décrit sur le site. Du coup j'en profite pour rendre ma bande passante chez OVH utile et je seed à une bonne vitesse pour permettre aux prochains téléchargeurs de la récupérer rapidement.

CR SSTIC 09

Contrairement à l'an dernier, je n'ai pas fait de compte rendu de chaque journée le soir même. Cette année j'ai à peine commencé à rédiger un compte rendu, je le mettrai en ligne au fur et à mesure (je pense que ça me fera une bonne activité pour mes trajets dans le métro dans les deux jours à venir).

Mais pour faire court, quelques impressions en vrac:

- La keynote de Pascal Andrei, qui travaille à la sécurité et la sûreté des avions Airbus, et nous a expliqué en quoi ces deux domaines sont différents, en citant des exemples de chacun (instruments de vol et leur fiabilité en cas de problème, cas des gilets de sauvetage avant décollage, le cas de l'isolation des réseaux passagers des réseaux de pilotage (point dont il avait été question à propos du prochain avion de chez Boeing, avec une notice de la FAA))

- La backdoor ACPI qui se déclenche après une succession de branchements/débranchements d'un laptop d'une source d'alimentation électrique m'a bien plue. L'objectif était de démontrer que certains composants d'un ordinateur ne faisant pas partie des architectures de confiance à la TxT d'Intel (comme un BIOS) peuvent quand même piloter (enfin, "influencer") la protection offerte par ces mêmes architectures de sécurité, le tout en modifiant les tables ACPI. Edifiant. On dira même "du grand Loic Duflot".

- La conf sur l'ISO 27001, ça m'a sensiblement éclairé sur certains points. Ca ne va pas révolutionner la sécurité informatique (sinon ça se saurait), et son utilité reste quand même discutable (bien que le speaker nous a dit que la majorité des boites qui se font certifier le font par réel souci de bien gérer les événements de sécurité et les moyens de réponse, et le reste le fait juste pour avoir le label rouge)

- Une présentation de fuzzgrind, outil de fuzzing basé sur la recherche (et la résolution) de contraintes dans un programme (trouver ce qui fait qu'un if() retourne vrai/faux, ou dans quels cas un while() sort par exemple) à l'aide de valgrind (enfin, un module de valgrind, au même titre que le célèbre memcheck, sauf que ce module permet de représenter des conditions sous une forme symbolique) et STP (un solveur de contraintes) et générer des saisies qui peuvent faire que ces contraintes sont résolues. On a eu un exemple sur un crackme, résolu en très peu de temps avec fuzzgrind (bon, en même temps la solution du crackme consistait à sortir une serie de chiffres dont la valeur etait égale à 15). Mais la démo était vraiment convaincante. On a aussi eu un début de démo (mais qui n'a pas pu aboutir faute de temps) d'un fuzzing de "readelf". Le speaker aurait trouvé un problème là dedans avec son fuzzer. Dès que j'aurai plus de temps, je m'y intéresserai.

- Mon trollomètre a pas mal bougé pendant la conf de Nicolas Ruff ("Pourquoi la sécurité est un echec ...") mais je m'y attendais. Beaucoup de choses ont été dites, et il fallait qu'elles le soient. Ce talk mériterait un post entier (ou une série de posts entiers) pour en parler. Le top, c'est que tout ça sentait le vécu, et les exemples étaient vraiment géniaux, au point que j'aurais bien aimé en avoir d'autres.
- J'ai été un peu largué pendant la conf sur "le traçage de traitres en multimédia". En gros c'est la présentation d'une variante du watermarking avec une dose de théorie des jeux afin de dire qui est à l'origine d'une fuite du prochain film de luc besson en intégrant des bits par ci par là dans la vidéo, de la manière la moins visible possible, tout en étant un max résistant aux dégradations dues au ré-encodage dans un format différent et de moins bonne qualité. Il y avait des maths d'un niveau tout autre que le mien (n'oubliez pas que j'ai passé un bac Littéraire et que je n'ai quasiment pas fait de maths après le bac (epitech, tout ça))

- Un talk sur les XSS, là aussi, même si c'était assez généraliste, on a eu quelques ouvertures intéressantes (botnet basé sur du xss) et des démos amusantes (la démo du xss sur le site du sstic était pas mal, et le xss sur myspace (qui demande de ne pas utiliser la balise script) aussi). Je ne suis pas pentester, mais c'est un talk comme celui ci que j'attendais pour changer d'avis sur ce type de failles.

- Maitre Raynal nous a montré quelques contournements de la sécurité d'acrobat reader avec des PDF spécialement craftés, avec par exemple un PDF qui exécute un binaire embarqué dans le fichier PDF une fois ouvert. Pas mal. Je m'intéressais à ce type d'attaques depuis un moment (pas forcément PDF, mais aussi les documents office par exemple), je pense que les actes vont bien m'occuper (le truc bien, c'est que les siens sont déjà en ligne pour ceux qui n'ont pas eu l'honneur d'y assister)

- Le talk sur la récupération des frappes claviers (filaires et sans-fils !!) était vraiment génial. Même si le concept est bien vieux (sur cryptome.org on trouve des documents déclassifiés de la NSA (grace au FOIA aux états unis) parlant de ce type d'écoutes et qui datent des années 50 ou 60), c'était captivant. Le speaker a bien réussi à intéresser tout le monde.

Concernant les rump sessions, là aussi je développerai dans les jours à venir, mais j'ai également fait une vidéo d'environ 25 minutes, correspondant aux 25 premières minutes de rumps. La qualité est moyenne, mais on arrive à entendre ce qui est dit, et on distingue quelques trucs au projecteur. La mauvaise nouvelle, c'est que j'ai pas trouvé de truc de compression pour conserver la meme qualité (enfin, si on peut dire ...) d'image et de son. Donc je vous uploaderai le fichier quelque part, qui fait dans les 1,5gb. Si quelqu'un parvient à en faire un fichier plus petit et utile (moi j'ai juste obtenu des fichiers inaudibles comme ça), je suis preneur.

J'ai aussi commencé à uploader une partie de mes photos. Du moins celles qui ne sont pas trop ratées (j'ai voulu éviter d'utiliser le flash, afin de ne pas perturber les speakers, du coup dans un amphi sombre, c'est pas super le résultat). Là aussi je mettrai le lien une fois l'upload terminé (ceux qui me suivent sur twitter ont peut être déjà vu celles que j'ai déjà pu uploader)

Je développerai tout ça au fur et à mesure en ajoutant mes commentaires sur les autres talks de ces trois jours un peu plus tard. De même, j'uploaderai mes photos et vidéos très prochainement et j'agrémenterai cet article de liens, so stay tuned. En attendant, vous pouvez vous rabattre sur le compte rendu fait en quasi direct par Sid. Il faudra aussi que je pense à remplir le sondage.

Préparatifs SSTIC

Voilà je suis fin prêt pour le SSTIC. Oui, vu la date c'est pas trop tôt. Enfin l'an dernier j'avais réservé mon hotel deux jours avant le début, et acheté mon billet aller 10 minutes avant le départ du train (je fais toujours ça, je paie plein pot :)).
M'étant acheté un appareil photo à l'occasion de vacances l'an dernier je pourrai enfin immortaliser certains moments avec autre chose que l'appareil photo 1,3mpx de mon téléphone portable, et peut-être même filmer les rump sessions! (l'an dernier, la qualité de la vidéo était vraiment trop mauvaise pour que j'ose la mettre à disposition)
Sinon, le texte de la LOPPSI est enfin disponible. Je l'ai lu sur http://www.loppsi.fr/. Le passage le plus amusant (lulz) se trouve au chapitre V, article 23 (ça fait un peu biblique dit comme ça, genre le Lévitique, Chapitre 19)
Pour finir, le dernier album de Marilyn Manson est sorti. C'est clairement mieux que l'inqualifiable merde qu'il avait osé nous sortir la dernière fois (eh oui, je n'écoute pas que du black metal !)

SSTIC (rump sessions)

Dernier post pour mon pseudo compte-rendu du SSTIC; post qui sera d'ailleurs un peu court, dans la mesure où je ne me rappelle pas de toutes les rump-sessions (il y en a eu une bonne vingtaine), mais en vrac, le SSTIC-Canal Historique nous a présenté son site :), puis on a eu droit à une annonce pour la conférence C&ESAR du CELAR qui aura lieu courant décembre 2008, Cédric Blancher a fait un truc à la nikoteen du SSTIC 2006 avec un faux script shell permettant de faire croire que les signatures DSA utilisées par le site permettant la télédéclaration des revenus étaient faibles (à cause du fameux problème de sécurité causé par un package maintainer debian, enfin n'entrons plus dans les détails), des gens de FT R&D ont présenté un outil de leur conception permettant justement de retrouver une clé de session SSH vulnérable en environ 5 minutes max (!) et accessoirement de déchiffrer des connexions SSH capturées dans des traces pcap, un appel à contribution pour qui possèderait de telles traces des deux dernières années a été lancé :), des gens du CEA (je crois) ont présenté un outil de représentation graphique du traffic réseau (en particulier le traffic offensif, genre port 135, etc) sous forme de cube, même si j'ai pas tout compris, l'ESL (à ne pas confondre avec le LSE, fin du troll) a présenté une nouvelle manière de faire des blind injections sql en utilisant des retardateurs dans les requêtes, le tout permettant de faire une sorte de mini botnet pour ne pas laisser de traces, nikoteen, le fameux, a montré comment, une fois qu'on a une connerie dans la tête, il est difficile de passer à côté, en illustrant ça avec "Still Loving You" de Scorpions (une chance que je connaisse les paroles originales, sinon ça en était fini de moi) et le passage où on *peut* entendre "ce soir j'ai les pieds qui puent" en lieu et place de "[...] so strong that I can't get through" (ceux qui ont déjà écouté Cradle of Filth connaissent le passage où Dani donne l'impression de crier "j'aime le saucisson!" (à la place de "that obsesses the heart") dans le morceau Lustmord and Wargasm de l'album Cruelty and The Beast, vers 1:50), puis une présentation d'un firewall qui fait du filtrage aussi en fonction de la météo, mais ce n'était qu'une couverture pour présenter des bindings à netfilter :), Christophe Grenier nous a parlé de son outil Photorec (dont j'avais déjà pu lire un exemple typique d'utilisation sur le site de Cedric Blancher), Nicolas Ruff a raconté quelques déboires avec des serveurs HP pour utiliser la virtualisation dessus, et comment en lisant juste un listing assembleur dans une doc, il était possible de trouver un mot de passe permettant de l'activer...puis une petite présentation de la gestion des risques dans un datacenter je crois, dans le canton du jura en suisse, un jour d'inondation, un truc assez amusant :) puis j'en oublie plein d'autres je pense, cf commentaires (:p) avec un plugin IDA permettant le repérage de failles applicatives (stack overflows pour le moment). Dommage que ma vidéo de 1h18 de rumps soit d'une qualité assez pourrie. Je pense que ça va me motiver à me prendre un vrai appareil photo, ou un camescope numérique l'an prochain...

SSTIC Jour 3 (le dernier !)

* Bon, je vais maintenant tenter de résumer le jour 3 du SSTIC, qui a commencé par un talk que je n'ai pas suivi dans son intégralité (le social event cause de gros dégats), qui avait cependant l'air très intéressant, dont la thématique tournait autour des environnements graphiques à distance (ou comment faire en sorte que 7 utilisateurs simultanés puissent utiliser une seule machine via le réseau en simultané de manière graphique sans trop se nuire en raison des ressources, et le tout, de manière sécurisée). Un article qui méritera que j'y jette un oeil plus poussé dès que j'aurai un peu de temps (temps que j'aurais si je ne prenais pas la peine d'écrire un compte rendu un peu fade comparé à d'autres :))
* Ensuite, Yom a présenté le fonctionnement du botnet de Storm; botnet décrit d'un point de vue purement fonctionnel, le reverse des binaires (plus de 500, avis aux amateurs de reverse (enfin j'ai discuté avec certains gens l'ayant déjà reversé pendant ce SSTIC, donc j'imagine que personne n'en apprendra plus rien)) ainsi que ses techniques de dissimulation n'étant pas abordés ici: juste les techniques utilisées pour que le "commandant" du botnet communique avec les pc zombies (sachant qu'il était également très facile de prendre le contrôle de tout ou partie de ce botnet de manière relativement simple). Bref, talk là aussi très intéressant.
* Avant la pause, c'est GomoR qui nous a présenté son outil d'OS fingerprinting SinFP, en nous expliquant en quoi les outils tels que nmap & co ne sont pas forcément fiables dans certains cas (machine derrière un NAT par exemple, dont les en-têtes sont modifiés), et en apportant une solution intéressante à ce problème. Là aussi, une présentation intéressante au final, alors que je pensais que cela ne serait pas intéressant au début.
* Juste après la pause, c'est un gendarme de l'IRCGN qui nous a fait une présentation de leur labo de forensics dans le cadre de crimes touchant de près ou de loin à l'informatique (rarement du pwnage de serveur (chiffre noir, entreprises qui n'osent pas porter plainte), plutôt les tristement célèbres affaires de pédopornographie). Il se trouve que ce dimanche, en revenant d'Aix-en-Provence, j'ai lu dans le TGV un pdf sur les recommandations faites aux enquêteurs lors du prélèvement de matériel informatique (que ça soit pc, imprimantes, pda, etc). J'ai même appris qu'ils étaient capables, lorsqu'une machine est allumée, de l'embarquer encore en marche (vital pour le prélèvement d'indices pour éviter leur perte en mémoire) sans avoir à la débrancher. Le pire c'est que j'arrive à peine à imaginer comment :-). Ensuite, quelques recommandations pour les gens qui dirigent les entreprises où quelqu'un serait suspecté, du style éviter de propager la nouvelle inutilement à toute l'entreprise, surtout dans des cas de pédophilie, dans la mesure où même si la personne est innocente, une réputation est vite faite et peut engendrer des problèmes graves (perte d'emploi, famille, suicide, ...), dans ces cas là il vaut mieux parler de problèmes moins graves, comme suspecter un traffic de mp3, beaucoup plus répandu et moins enclin à faire une sale réputation. Bref, là encore une conférence super intéréssante. Lorsque j'étais à l'Epitech, j'avais déjà pu constater l'intérêt de l'IRCGN dans l'informatique (utilisation de l'informatique pour traitement du signal (par exemple il y a un bracage, un enregistrement sonore est examiné, il y a une sirène d'alarme, et par derrière on entend de types hurler; en isolant certains sons, on arrive à peu près à entendre ce qu'ils racontent, et il se trouvent qu'ils s'appellent par des prénoms))
* Juste avant d'aller à la soupe, on a eu droit à un bel exemple de l'utilisation du firewire pour un accès à la mémoire physique de la machine, en partant du constat que MS Windows, par défaut, interdit l'accès DMA pour tous les outils Firewire, sauf pour les IPod afin de gagner un peu en performance. L'idée étant alors de se faire passer pour un ipod. 3 démos pour illustrer tout ça, pour la lecture de données en mémoire, l'écriture de données (une variable qui par défaut est à 14 pour le login sous windows, permettant de spécifier que le login manager doit chercher le hash LM ou NTLM, qui une fois passé à 04 dit de ne pas chercher de hash, faisant que si on tape n'importe quoi comme mot de passe, on est loggué sur le système), et un accès en exécution (la démo consistant à faire exécuter un cmd.exe avant d'être loggué...cmd.exe exécuté en tant que SYSTEM !! permettant donc l'exécution d'un explorer.exe). Bref, une démo très amusante sur un sujet assez intéressant.
* Juste après la bouffe, c'est Florent Chabaud de la DCSSI qui nous a fait un talk sur le pourquoi du comment en France, au niveau gouvernemental, rien n'est vraiment pris comme décision utile dans le domaine de la sécurité informatique, malgré le fait que nous disposons de compétences assez pointues dans certains domaines (crypto, méthodes formelles (exemple de METEOR sur la ligne 14, et je crois du projet ASTREE mais je n'en suis plus certain)). Niveau retard décisionnel, un exemple a été donné pour les clés DSA du gouvernement, le projet a débuté au début des années 2000 (je dirais 2002) et les clés ont été publiées au journal officiel 5 ans plus tard, alors que les critères de sécurité ont changé en 5 ans. D'ailleurs, il y aura un passage à un système basé sur les courbes elliptiques d'ici 2 ou 3 ans (travaillant moi même depuis peu sur des technologies basées là dessus, ça fait plaisir de voir que les gens y voient un intérêt). Un talk intéressant quoi. Le speaker ayant en plus mis des lunettes noires le faisant passer pour un homme en noir (c'était également le seul en trois jours à parler en costard-cravate)).
* Le dernier talk de la journée (et du SSTIC 2008) quant à lui, expliquait comment, sans avoir de grandes grandes compétences en analyse de binaires, il était possible d'examiner un malware sans toutesfois participer à un pourrissage de l'internet multimédia interactif (par exemple en faisant tourner le malware dans une machine virtuelle sur un réseau privé n'ayant aucun accès à internet, avec une pseudo passerelle qui répond pour chaque ip (afin que l'ip réelle ne soit jamais vraiment contactée). Une démo sur un fichier office contenant des exploits connus a été faite également, mais je n'ai pas tout suivi, avec l'outil hachoir je crois bien (ah ah, si je ne me rappelle déjà plus de ça ...). Bref, un talk là aussi intéressant pour les "débutants" en analyse de malware (que ça soient des particuliers s'y intéressant, ou des entreprises qui n'ont pas les moyens de se payer des reversers :))
Puis ce fût la clôture du SSTIC cuvée 2008, direction le Surcouf devant la gare sncf de Rennes avec des gens de l'EPITECH Security Laboratory puis un train vers Paris à 18h05. J'espère pouvoir prendre mes places à temps l'an prochain! Peut-être même avec une conf' si je trouve le soutien adéquat (sinon ça sera juste une rump) En attendant, je vais envisager de finir de répondre au sondage.

Photos SSTIC'08

Bon, avant de m'attaquer à une partie du résumé des rump sessions, du social event (aaaah le social event) et le 3e jour du SSTIC, j'en ai profité pour uploader mes quelques photos. Bon, à un 2600 (halala ces meets de h4x0rz) il a été dit que les gens qui allaient au SSTIC (et ceux qui bossent dans des sociétés qui font dans la défense, ce qui est un peu (un peu) mon cas) roulaient en BM et tuaient des enfants. Du coup, je roule en BM ce qui fait que j'ai pas les moyens pour m'acheter un appareil photo potable, (ou simplement correct, qui se cotise ?) vous m'excuserez donc la piètre qualité des photos :((((
Vous lez trouverez sur mon album google picasa (je les mettrai sur moulinette[.]org plus tard je pense)

SSTIC Jour 2 (sans les rumps)

Le social-event ayant eu raison de moi (je n'allais pas me mettre à résumer la journée passée à 1H du matin après un social event), je vais m'atteler au résumé des deux derniers jours de SSTIC le lendemain de sa clôture.
Le premier talk du second jour, bon je l'ai à peine suivi (un peu à tort, la sécurité physique et l'urbanisme informatique c'est toujours intéressant), il portait sur les data-centers, leur sécurité (physique), comment ils sont conçus, leur consommation électrique, leur refroidissement, leur organisation (au sens comment les baies sont installées pour une climatisation efficace), et pourquoi il a fallu changer un peu tout ça quand on a commencé à utiliser des serveurs un peu plus petits en taille.
Ensuite, un talk très intéressant de reverse engineering, expliquant comment avec metasm il était possible de simplifier certaines étapes de reversing habituellement chiantes à contourner (une sorte de false disassembly, et l'ajout de code inutile voire même redondant (le cas typique de deux fonctions identiques, l'une d'entre elles étant appellées si un rand() renvoie un nombre pair, la seconde étant appellée si le nombre est impair, qui font perdre du temps lorsqu'on reverse un binaire ainsi obscurci) , avec deux challenges de reverse résolus avec cet outil pour illustrer.
Seb Roy et Anthony Desnos ont ensuite présenté le framework de reverse ERESI, long long long travail (travaux ? car il s'agit d'un merge entre elfsh commencé par Julien Vanegue en 2001 à l'epitech, et Kernsh commencé à peu près à la même époque par Samuel Dralet et Nicolas Brito, mort, puis repris très récemment par Anthony Desnos) qui a depuis énormément évolué et compte des dizaines de contributeurs. Bon c'était une présentation d'un outil sympa, suivie d'une démo, mais les fonctionnalités sont bien plus importantes.
Juste avant la bouffe, il y a eu un talk sur les attaques cryptographiques sans nécéssairement s'appeller la NSA, ni forcément être un Bruce Schneier (enfin si, un peu), en partant du principe que généralement, les failles en crypto viennent dans l'implémentation (ou alors de libs tierces qui ont été modifiées à la sauvage hein, tant qu'on y est). Donc on nous a aussi présenté un ptit tool pour accélérer un peu la recherche de fonctions de crypto dans des binaires avec IDA. Bon, tout cela m'a un peu rappellé un article de kostya kortchinsky dans un ancien MISC (d'il y a 3 ou 4 ans) en deux parties sous forme de mini challenge sur une faille dans le rng de Java pour des clés DSA. Bref, talk très intéressant, dont il faudra que je lise les actes une fois mon retour terminé (oui, quand on rentre chez soi, on aimerait bien lire les actes, mais on se rend compte qu'on a plus rien à bouffer et que la douche fuit, donc on fait un compte rendu du SSTIC avant d'aller faire des courses et faire du bricolage)
D'ailleurs, en parlant de bouffe, ça a été le dernier talk de la matinée. Après ça, nous avons eu droit à un talk sur la sécurité des réseaux de capteurs, bon là encore, digestion oblige, je n'ai pas tout tout suivi, juste vite fait le passage sur les pacemaker dont il a été question récemment (bon je retrouve plus le paper d'origine, mais j'imagine que les gens qui me lisent l'avaient fait), et donc se posait la question de la sécurisation de ces appareils qui sont donc reprogrammables à distance, notamment de leur accès par un médecin en cas d'urgence, etc. Bon ensuite y'a eu un truc sur les capteurs genre la détection de l'invasion d'un pays par des chars, mais j'ai pas tout suivi, je pense que je me rabattai sur les slides ou l'article.
Ensuite, Cedric Blancher a parlé de la dépérimétrisation, et de pourquoi c'est pas bien (en gros, chaque entité du réseau est responsable de sa propre sécurité, tout ça tout ça). Le tout avec des gens qui le soir rentrent chez eux du boulot avec leur laptop qu'ils refilent à leur gamin qui va choper toutes les saloperies possibles, et le brave employé revient le lendemain au boulot avec son laptop uber infecté. Bref.
Puis pour cloturer les talks, avant les rump sessions, Marie Barel a exposé quelques ennuis qui peuvent arriver lors de pen-tests, pourquoi c'est pas cool du point de vue juridique si ça arrive, et surtout qui est responsable (donc: comment s'en sortir). Talk intéressant quand on est pentester (enfin société de pentest) ou client qui veut se faire tester (et aussi les autres gens que ça intéresserait)
Je m'attaquerai à un bref résumé de quelques rumps par la suite, genre plus tard, idem pour le jour 3.

SSTIC jour 1

Pendant que certains deux rangs devant moi, pour avoir l'exclusivité de la conf', blogguent en quasi-direct pour faire leur compte rendu, se déroulait...la conf! Bon je vais pas faire de compte rendu détaillé justement, juste balancer à peu près en vrac mes impressions sur ce premier jour qui ma foi, a été fort intéressant. La keynote de Marcus Ranum, bien que dans un français très hésitant (il est américain) mais comportant néanmoins quelques notes d'humour pour commencer, pour un ptit jeune comme moi qui connais vaaaaguement le milieu de la sécu depuis une ptite dizaine d'année, est instructive sur l'échec des "politiques" de sécurité depuis toujours, parce que finalement personne n'y croit ou tout le monde s'en fout, et ce brave Marcus d'ajouter qu'il y a déjà 20 ans il disait qu'on fonçait droit dans le mur, tout le monde le montrait du doigt en faisant "hahaha", et maintenant il le dit toujours, on ne ricanne plus, mais on ne change toujours rien.
A suivi ensuite un excellent talk tournant autour de l'utilisation du social engineering dans des cas de pentests, ou de véritables pwnages d'entreprises. Etant fasciné par le renseignement humain en général, j'avais déjà lu un peu de documentation à ce sujet auparavant (Le renseignement humain de Gérard Desmaretz, le Petit traité de manipulation à l'usage des honnêtes gens (énoncé pendant ce talk), ...) avec quelques détails sur le profil même des usagers de ces techniques, pour différencier le pro, le hacker du dimanche, ... bon, il aurait été amusant de parler des techniques d'obtention de mots de passe telles que la promesse de chocolat au téléphone :)
Puis il y a eu un talk sur les attaques de cartes à puce à distance (le même genre de bouzin qu'on a dans nos belles cartes navigo quoi) que je n'ai pas trop suivi, cela m'a rappellé un truc lu sur le blog de Trifinite ces derniers jours et releasé pendant EUSecWest fin mai, qui a d'ailleurs été évoqué à la fin. Mais mes connaissances en électronique étant ce qu'elles sont, cela ne m'a pas plus attiré que ça.
Bon y'a eu ensuite la petite bouffe au resto-u, avec un ptit verre de rosé sucré, pas mauvais, puis une bouteille de piquette :) et on est repartis pour une après midi de folie vers 14h30...David Naccache nous a présenté ce que l'on a tous pensé être un talk sur les forensics sur téléphone mobile, avec une présentation rapide du cadre légal, quelques techniques pour accéder aux données de la SIM, etc etc...soudain, c'est le drame: il nous a parlé d'un truc qui s'apparente à un covert channel sur la température. Enfin un truc totalement hallucinant, vraiment excellent, en gros, en jouant sur des variations de température, pouvoir faire passer un message, le tout avec un thermobug pour capter ça. Enfin, purement génial. Si quelqu'un a saisi comment il est passé des forensics gsm à ça, ça m'intéresse d'ailleurs.
Bon, ensuite, talk de Matthieu Blanc sur les outils de pentest automatiques; donc forcément tout le monde pense à Metasploit, Canvas et Core Inpact, bref les 3 plus connus. Le sujet tournait autour de leur détection et leur mise en échec, voire même contre attaque; tout cela m'a rappellé de très loin un article dans un vieux MISC expliquant comment il était possible de feinter un SK qui tente une connexion avec un vieux trojan (je ne me rappelle plus, ça devait être netbus) qui était totalement déformé quand il se recevait des données particulières, avec faux serveur en perl pour illustrer. Intéressant, mais c'était plus un comparatif avec une présentation d'un outil de détection qu'autre chose.
A suivi un talk que je n'ai pas totalement suivi mais qui avait l'air très intéressant, sur les bugs et backdoors dans les cpu, avec quelques instructions qui, quand utilisées d'une manière précise, permettent de faire des choses amusantes, comme le changement du securelevel sous bsd, etc (enfin ça c'était la démo, qui tournait dans un xen émulé dans un bochs en fait)
L'analyse du malware dans la conf qui a suivi, qui interceptait les données bancaires de clients, était super instructive, et apportait un certain éclairage sur certains mécanismes du business qui s'est développé dans la "cybercriminalité" qui rapporte plus que le traffic de prostiputes ou de drogue. L'analyse en elle même expliquait comment des mecs parfaitement professionnels entretenaient une sorte de "botnet" (notez les " ") qui leur permettait, grace au RBN etc etc de s'enrichir, comment les banques (même en france) étaient quand même relativement larguées contre ces gens qui trouvent toujours un moyen d'exploiter la niaiserie de l'utilisateur lambda qu'on laisse circuler sur internet (banques qui à priori s'en foutent), et comment les FAI n'ont pas vraiment de possibilités de réaction sans ouvrir la porte à des dérives telles que le filtrage de l'internet multimédia interactif. Bref une très bonne analyse.
Puis là ... là ... bah, le clou de la journée je crois. Un ptit groupe de gens du CELAR venu présenter leur debugger multi OS, multi plateformes, etc etc super modulaire. En fait j'en suis un peu resté sans voix? Et je suis pas le seul. Un bien bel exemple du "bah on avait besoin de ça ça ça et ça, tel outil en faisait une partie mais il n'existe plus, celui ci ne convenait pas entièrement, et lui non plus ... donc on a codé le notre quand on avait un peu de temps libre". Le tout pour un résultat à couper le souffle. Puis les speakers avaient eux aussi un bon sens de l'humour, comme par exemple, en parlant de la doc de leur SDK (un des seuls trucs publics de cet outil), "bah pour la doc...heu bah le .h c'est de la doc" :)
Ensuite, cocktail où on a bu vite fait un truc puis rentrage à l'hotel avec quelques connaissances de l'epitech logés à la même enseigne.
Bref, une fort bien bonne première journée.

EDIT: bon en fait, pour le coup du covert channel over température du cpu, le rapport avec les analyses forensics, c'est que tout doit être fait dans un environnement totalement "hermétique" (cage de faraday coulée dans du béton armé etc etc), et du coup à priori, si les ondes electromagnétiques ne passent pas, il faut se méfier des variations de température, voilà voilà (j'ai pigé ça en lisant les actes)