Mon premier blog - Mot-clé - SSTIC122023-05-26T18:58:31+02:00Vanhuurn:md5:3b49c53442d64edb3d01214122016535DotclearSSTIC 2012, Day3urn:md5:56868c6af8c8584a85f81f162085df242012-06-09T14:34:00+01:002012-06-12T07:30:45+01:00VanhuEn direct de la ou je suisSSTIC12 <p>9h30 du mat...... déjà plusieurs personnes à attendre dehors quand on arrive, et le remplissage de l'amphi est très très honnête pour un lendemain matin de social event:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2969-small.jpg" title="AmphiVendrediMatin"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2969-small_m.jpg" alt="AmphiVendrediMatin" /></a></p>
<h2><a href="https://www.sstic.org/2012/presentation/source_address_validation_improvements_savi/" hreflang="fr">Source Address Validation Improvements (SAVI)</a></h2>
<p>Bon, entre le sujet et le ton de voix du speaker, on s'en sort bien pour attaquer un vendredi matin..... réveil très progressif d'organisé, même, puisque les orgas prendront soin de lui filer un micro qui fonctionne vers la moitié de la conf (ce qui vaudra un "ah, mais y parlait, le gars" dans la salle pas loin de moi :-) ).</p>
<p>Niveau contenu, c'est ...... bah...... un air de déjà vu, sauf qu'à l'époque c'était sur IPv4, et y'avait un peu moins de mécaniques à gérer......</p>
<h2><a href="https://www.sstic.org/2012/presentation/utilisation_malveillante_des_suivis_de_connexions/" hreflang="fr">Utilisation malveillante des suivis de connexions</a></h2>
<p>Ou ça parlerait de comparaison entre le filtrage sous Linux et celui des BSDs <acronym></acronym></p>
<p>Eric commence en fait par présenter le suivi stateful, version simple, puis version moisie, quand on doit par exemple filtrer proprement du FTP. Quand on connaît, c'est chiant à suivre...... mais je me souviens d'un petit détail: environ 50% de sang frais au SSTIC...... dans cette proportion, combien de gens sont en fait en train d'apprendre (ou de se rappeler) comment ça fonctionne ? Probablement plus que ce que je pourrais croire......</p>
<p>La suite devient carrément plus intéressante: une démo bien faite de passage au travers d'un NAT.... dans le sens pas facile, évidemment: de l'extérieur vers une machine NATée..... le genre de cas de figure ou plein de gens croient qu'ils sont protégés.</p>
<p>On ne le répétera donc jamais assez: le NAT n'est PAS une protection !!!!!</p>
<p>Un autre conseil que je retiendrai: "choisissez bien votre prestataire quand vous déployez un Checkpoint"......</p>
<p>Cerise sur le gâteau: l'outil OpenSVP utilisé pour la démo est releasé en direct à la fin de la conf.</p>
<h2><a href="https://www.sstic.org/2012/presentation/influence_des_bonnes_pratiques_sur_les_incidents_bgp/" hreflang="fr">Influence des bonnes pratiques sur les incidents BGP</a></h2>
<p>BGP, c'est en gros un protocole qui permet aux "gros tuyaux du net" de s'échanger leurs routes...... bref, c'est une des briques de base qui permettent à internet de tourner....</p>
<p>Et quand on voit les exemples de foirages de confs BGP ici et la dans le monde, c'est un miracle qu'internet ne soit pas par terre plus souvent !!!!!!</p>
<h2>Netusse</h2>
<p>Première présentation courte de la session de ce matin, faite par <del><a href="https://blog.zeninc.net/blog/index.php?post/2009/02/13/Social-Assiste-par-Internet">une moulasse</a></del> <del>un salopard de lâcheur de traître</del> <del>un suisse</del> <del>un boulet qui a failli oublier son sac à l’hôtel ce matin</del> Clem1, un petit gars de chez google.... mais qui ne fait PAS une pres en tant que google: y'a le disclaimer dès le premier slide.</p>
<p>Ca c'est de la près de SSTIC: du backtrace de crash kernel (à moitié masqué, la vuln a été récemment reportée chez FreeBSD mais le fix n'est pas encore public), des explications détaillées sur un écrasage de HEAP, tout ça.....</p>
<p>Le fuzzeur de sockets de Clem1 sera (est ?) dispo sais pas ou (mais bon, une recherche google devrait permettre de trouver......).</p>
<p>Faudra que je pense à me faire dédicacer une photo à l'occasion ;-)
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_0032984-small.jpg" title="Clem1"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_0032984-small_m.jpg" alt="Clem1" /></a></p>
<h2>Vérification de code système par typage statique</h2>
<p>Bon, bah voila, on est chauds pour écouter des trucs sur les pointeurs, le stack, tout ca, et c'est reparti !!</p>
<p>La, l'idée est de suivre, dans le code, les pointeurs kernel et les pointeurs userland..... ca a l'air intéressant, mais pas forcément très clair (ou alors c'est moi qui ai pas encore fini de digérer ma salade de fruits d'hier......).</p>
<p>Par contre, une fois de plus, ne faites PAS de démo en live, ca donne juste ca:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2988-small.jpg" title="demoshortpres"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2988-small_m.jpg" alt="demoshortpres" /></a></p>
<h2>Création d'un outil de détection de domaines internet malicieux par analyse statistique et syntaxique</h2>
<p>Waw, le titre est presque aussi long que le temps imparti pour cette dernière mini présentation....</p>
<p>Faut reconnaitre, réussir à capter son public quand on parle d'entropies et d'autres trucs mathématiques et probabilistes, ca impose le respect.....<br />
Un des slides choppé à l'arrache (on espère tous qu'il pensera à publier !!!! :-) ):
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2991-small.jpg" title="Shannon"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2991-small_m.jpg" alt="Shannon" /></a></p>
<h2><a href="https://www.sstic.org/2012/presentation/Successes_and_limitations_of_static_binary_analysis/" hreflang="fr">Successes (and limitations) of (static) binary analysis</a></h2>
<p>Bon.... en résumé, l'analyse statique, c'est bien, mais ça marche pas vraiment...... voila, voila.....</p>
<h2>Pause déjeuner....</h2>
<p>Les salauds, si on faisait pas attention, ce midi, on pouvait se retrouver à manger une platrée de carottes......</p>
<p>Le temps pour certains de récupérer un peu avant la dernière ligne droite.....
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2979-small.jpg" title="Repos"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2979-small_m.jpg" alt="Repos" /></a></p>
<h2><a href="https://www.sstic.org/2012/presentation/miasm_framework_de_reverse_engineering/" hreflang="fr">Miasm: Framework de reverse engineering</a></h2>
<p>La dernière ligne droite démarre vite, Fabrice a l'air d'avoir beaucoup de choses à dire en peu de temps...... voyons la première partie "torchée à mort".....</p>
<p>Bon, ok, il déconnait pas, ça va très vite (une sorte de Robert "Machinegun" Watson, mais avec l'accent du sud, en fait)..... j'ai juste eu le temps de retenir "cocolasticot" la calculatrice, et le fait qu'un truc se serait perdu au cactus ???</p>
<p>"l'assembleur, c'est un peu velu, ça pique aux yeux"...... la moitié de l'amphi doit être (un peu) rassurée :-)</p>
<p>"le but c'est de comprendre ce qu'on fait"..... c'était bien la peine de les rassurer y'a 5 minutes !</p>
<p>Probablement une des présentations qui aura été comprise par le plus bas taux de personnes, mais paradoxalement suivie par tout le monde (sauf un qui dort, apparemment).</p>
<p>je résumerai donc en une citation: "depuis tout à l'heure je suis en train de vous dire que j'ai refait qemu" (à lire très très vite) et une conclusion: si vous avez vaguement compris le sujet, allez voir miasm, et récupérer les slides !</p>
<p>Ou alors c'est pour pouvoir faire du rap à partir d'une bible dont vous êtes le héros ?</p>
<h2><a href="https://www.sstic.org/2012/presentation/rtroconception_et_dbogage_dun_baseband_qualcomm/" hreflang="fr">Rétroconception et débogage d'un baseband Qualcomm</a></h2>
<p>Cool, il commence par répondre à la question que je me posais: un baseband (apparemment à ne pas prononcer comme "serial killer" et, on vient de me le préciser, à ne pas confondre avec un boys band), donc, c'est "la carte mère d'un téléphone portable".....</p>
<p>Et, comparé à la présentation précédente, on va apparemment avoir tout le temps nécessaire pour suivre..... au final, disons que si la sécurité bas niveau des téléphones vous intéresse, bah allez récupérer ses slides et/ou son papier.....</p>
<h2><a href="https://www.sstic.org/2012/presentation/confinvit8/" hreflang="fr">Protéger et défendre le cyberespace militaire : la démarche nationale</a></h2>
<p>Dernière conférence, par un représentant de l'état major des armées, rien que ça. On peut aussi noter que le SSTIC finit cette année comme il a commencé: par une cravate !</p>
<p>Point de vue intéressant: certaines attaques informatiques sont vues comme de véritables opérations (para?)militaires, organisées, planifiées, lancées sur une longue période.</p>
<p>Autre observation: une attaque a beaucoup plus de chances de réussir si elle repose en partie sur un utilisateur interne du système (conscient ou non de sa participation à l'attaque).</p>
<p>Si le sujet vous tente, lisez <del>les actes</del> les slides.....</p>
<p>A défaut de suivre attentivement la fin de la conférence, j'aurai au moins pu chopper en flag un pourrisseur de bande passante ici:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_3005-small.jpg" title="Tennis"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_3005-small_m.jpg" alt="Tennis" /></a></p>
<p>Et un fan (de mon blog ou de pokemons <acronym></acronym>?):
<a href="https://blog.zeninc.net/blog/public/SSTIC12/Fan-small.jpg" title="Fan"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.Fan-small_m.jpg" alt="Fan" /></a></p>
<p>Faut décidément que je pense à faire une prochaine année ma rump sur "c'est bien sympa de blinder vos wifis et de dégainer le chiffrement, les gars, mais moi j'ai un gros téléobjectif, un gros capteur et je suis tous les ans au fond de l'amphi..........."</p>
<h2>Va falloir y aller, maintenant.....</h2>
<p>Eh oui, le SSTIC 2012, c'est fini, même si certains traînent visiblement un peu avant de partir:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_3010-small.jpg" title="Fin"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_3010-small_m.jpg" alt="Fin" /></a></p>
<p>Le temps de faire une dernière photo des orgas qui ont encore fait un travail de fous pour l'édition de cette année:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_3012-small.jpg" title="OrgasFin"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_3012-small_m.jpg" alt="OrgasFin" /></a></p>
<p>Et on se fait des bisous, on verse une petite larme, on se promet de s'envoyer des <del>cartes postales</del> <del>mails</del> tweets, et normalement, on se reverra au moins l'année prochaine.</p>https://blog.zeninc.net/index.php?post/2012/06/08/SSTIC-2012%2C-Day3#comment-formhttps://blog.zeninc.net/index.php?feed/atom/comments/45SSTIC 2012, Day2 bisurn:md5:94144a3e1dc1dc48da9b1ec141a9d39e2012-06-09T14:33:00+01:002012-06-09T14:33:00+01:00VanhuEn direct de la ou je suisSSTIC12 <p>Une fois n'est pas coutume (mais si ça peut le devenir, c'est ok pour moi), le social event aura mérité son billet dédié.....</p>
<h2>Petite halte touristique sur la route</h2>
<p>Ah, bah voila, depuis des années que je passe pas loin, je sais enfin à quoi ressemble la devanture du cactus:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2911-small.jpg" title="cactus"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2911-small_m.jpg" alt="cactus" /></a></p>
<h2>Social event, nous voila !!!</h2>
<p>Déjà, à l'arrivée, ça déconne pas, contrôle des badges:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2918-small.jpg" title="Badges1"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2918-small_m.jpg" alt="Badges1" /></a>
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2920-small.jpg" title="Badges2"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2920-small_m.jpg" alt="Badges2" /></a></p>
<p>Désolé, j'ai pas pu enregistrer le méga effet multimédia qui permettait de savoir que notre badge avait été correctement lu....</p>
<p>Une fois cette formalité passée, on peut aller se ruer sur les premiers amuses gueules dispos:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2915-small.jpg" title="ASAmusesgueules"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2915-small_m.jpg" alt="ASAmusesgueules" /></a></p>
<p>Et c'est parti pour la soirée:</p>
<p><a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2921-small.jpg" title="SE-1"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2921-small_m.jpg" alt="SE-1" /></a>
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2924-small.jpg" title="SE-2"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2924-small_m.jpg" alt="SE-2" /></a>
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2925-small.jpg" title="SE-3"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2925-small_m.jpg" alt="SE-3" /></a>
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2927-small.jpg" title="SE-4"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2927-small_m.jpg" alt="SE-4" /></a></p>
<p>Et bien sur, ça fait aussi du social:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2929-small.jpg" title="JP-Drague1"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2929-small_m.jpg" alt="JP-Drague1" /></a>
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2936-small.jpg" title="JP-Drague2"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2936-small_m.jpg" alt="JP-Drague2" /></a></p>
<h2>Happy birthday to you, SSTIC !</h2>
<p>C'est enfin l'heure de la surprise, et l'équipe d'orga démarre le show:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2939-small.jpg" title="Orga-Show1"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2939-small_m.jpg" alt="Orga-Show1" /></a>
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2940-small.jpg" title="Orga-Show2"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2940-small_m.jpg" alt="Orga-Show2" /></a></p>
<p>Pour un anniversaire, logique, on a droit à un gateau:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2945-small.jpg" title="Gateau"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2945-small_m.jpg" alt="Gateau" /></a></p>
<p>Et à quelques discours (ouais, forcément, en images, on se rend moins compte de ce qui a été dit, même pour ceux qui savent lire sur les lèvres):
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2949-small.jpg" title="Discours1"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2949-small_m.jpg" alt="Discours1" /></a>
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2950-small.jpg" title="Discours2"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2950-small_m.jpg" alt="Discours2" /></a>
(rahlala, comment j'ai honte de ma photo, la ..... et il me reste peu de temps pour tenter d'en faire une autre qui lui rende honneur !!!!)
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2951-small.jpg" title="Discours3"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2951-small_m.jpg" alt="Discours3" /></a></p>
<p>La surprise, c'est aussi champagne openbar pour le reste de la soirée !!!!!
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2952-small.jpg" title="Champagne"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2952-small_m.jpg" alt="Champagne" /></a></p>
<p>C'est à croire que les orgas veulent vraiment faire boire tout le monde, surtout quand on voit les techniques fourbes type "regard presque implorant d'une serveuse sympa et mignonne quand elle vous demande si vous voulez être resservi":<br />
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2965-small.jpg" title="Serveuse"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2965-small_m.jpg" alt="Serveuse" /></a></p>
<p>C'est tellement efficace que je me suis même retrouvé à manger une salade de fruits !<br />
Si je suis malade vendredi, ca sera à cause de cette salade de fruits, c'est certain........</p>https://blog.zeninc.net/index.php?post/2012/06/08/SSTIC-2012%2C-Day2-bis#comment-formhttps://blog.zeninc.net/index.php?feed/atom/comments/9SSTIC 2012, Day2urn:md5:1f99692bc19ff17236d985f1415c972a2012-06-09T14:32:00+01:002012-06-13T08:54:23+01:00VanhuEn direct de la ou je suisSSTIC12 <h2>Réveil difficile....</h2>
<p>Le matin au SSTIC, c'est pas très fréquent d'avoir tout le monde à l'heure pour la première conf.</p>
<p>Bon, en même temps, cette année, il y a également des travaux sur les routes partout autour du campus, ce qui n'aide pas à arriver à l'heure.
Entre ça et la météo pourrie, je me croirais <a href="http://maps.google.fr/maps?q=villeneuve+d%27ascq&hl=fr&sll=46.75984,1.738281&sspn=8.220332,21.643066&hnear=Villeneuve-d%27Ascq,+Nord,+Nord-Pas-de-Calais&t=m&z=13" hreflang="fr">à la maison</a> !</p>
<p>Pour le remplissage de l'amphi, donc, cette année ne déroge pas à la règle:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2624-small.jpg" title="AmphiJeudiMatin"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2624-small_m.jpg" alt="AmphiJeudiMatin" /></a></p>
<h2><a href="https://www.sstic.org/2012/presentation/compromission_application_bancaire_javacard/" hreflang="fr">Compromission d'une application bancaire JavaCard par attaque logicielle</a></h2>
<p>Faut dire aussi, le premier sujet du matin est un classique du genre ici: une conf sur les <a href="http://en.wikipedia.org/wiki/Java_Card" hreflang="en">javacards</a>. Pour ma sœur, et pour ma blonde préférée, non, on ne va pas parler ici des cartes de vœux en java que n'importe qui peut s'envoyer par mail (en faisant la recherche en français pour le lien, j'ai trouvé que ca, pourtant.....), mais de cartes format "carte de crédit" dans lesquelles on fait tourner des applications en java. Et la, bah on veut de la sécurité, alors qu'on a déjà pas beaucoup de place pour faire tourner les machins......</p>
<p>Donc, disais-je, ce genre de sujets est un classique ici: il y a tout à fait sa place, ca parle de sécurité, c'est technique, tout ca, et pourtant, personne ne vous dira clairement que ca le passionne d'écouter...... certains sous-entendront même que bon, pas de chance, pendant cette conf la, ils avaient piscine, tout ca.....</p>
<p>Du coup, en caler une en première conf un matin, je soupçonne quelques personnes de s'être dit "si j'arrive un peu en retard à celle la, c'est pas très grave......."</p>
<p>Pendant que l'amphi se remplit (plutôt bien, faut reconnaître).....
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2630-small.jpg" title="Amphi2"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2630-small_m.jpg" alt="Amphi2" /></a></p>
<p>La conf est finalement assez conforme à ce à quoi je m'attendais: c'est technique, c'est probablement très intéressant pour les gens qui s'intéressent au sujet, et pour les autres, bah on suit vaguement, en se disant "waw, ca à l'air pas mal, faudrait que je regarde le sujet d'un peu plus près un de ces jours", mais on le fera jamais, même un dimanche après midi quand on aura zappé 3 fois l'ensemble des chaînes à la télé pour constater qu'on a le choix entre un épisode de Friends qu'on a déjà vu 0xFFFF fois, Derrick ou un truc de télé réalité (faudra que je regarde un truc de télé-réalité un de ces jours, je suis même pas foutu de citer un exemple)........</p>
<p>La conclusion me fait quand même un peu froid dans le dos: "la carte d'exemple implémente toutes les sécurités de la norme, plus des sécurités complémentaires, mais c'est pas grave, on sait la péter et en faire ce qu'on veut....."</p>
<h2><a href="https://www.sstic.org/2012/presentation/IronHide/" hreflang="fr">IronHide: Plate-forme d'attaques par entrées-sorties</a></h2>
<p>Ah, on parlait de classiques, justement.... celle ci en est un autre: l'attaque par un vecteur matériel.</p>
<p>On a vu il y a quelques années l'attaque par <a href="http://fr.wikipedia.org/wiki/Acc%C3%A8s_direct_%C3%A0_la_m%C3%A9moire" hreflang="fr">canaux DMA</a> (via <a href="http://fr.wikipedia.org/wiki/FireWire" hreflang="fr">Firewire</a>), l'attaque par le <a href="http://fr.wikipedia.org/wiki/Peripheral_Component_Interconnect" hreflang="fr">bus PCI</a>, cette année, c'est par <a href="http://fr.wikipedia.org/wiki/PCI_Express" hreflang="fr">PCI Express</a>, faut bien se moderniser un peu (est-ce que quelqu'un présent au premier SSTIC peut confirmer qu'il y avait bien une attaque par <a href="http://fr.wikipedia.org/wiki/Industry_Standard_Architecture" hreflang="fr">bus ISA</a> présentée cette année la ?).</p>
<p>Autant la première année, on trouve ca bluffant (surtout l'outil d'exploitation mémoire présenté par l'attaquant Firewire), mais au bout d'un certain temps, on finit par juste écouter d'une oreille distraite en se disant à un moment "ah ouais, en pétant la mémoire comma ça aussi, ça fonctionne..... logique......".</p>
<p>Bah voila, via PCI Express aussi, ça fonctionne....... la démo d'attaque directe du contrôleur clavier est marrante, faut reconnaître.</p>
<h2><a href="https://www.sstic.org/2012/presentation/confinvit2/" hreflang="fr">La qualité d'hébergeur en 2012</a></h2>
<p>Sujet qui m'intéresse pas mal à priori, et qui est présenté ce matin par un représentant (ouch, le directeur juridique, qui attaque sans slides....) d'une <a href="http://www.ovh.fr" hreflang="fr">société que je ne peux plus critiquer depuis quelques jours</a>, pour raisons familiales, dirons-nous.....</p>
<p>Décidément, les subtilités juridiques, c'est pas mon truc..... le sujet reste cependant très intéressant, pour toute personne qui peut un jour se retrouver "hébergeur"..... et vu la définition, rien qu'en autorisant les gens à poster des commentaires sur ce blog, apparemment, je suis hébergeur......</p>
<p>Au moins, la conf sans slides, ca permet de faire une vue du fond de salle:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2636-small.jpg" title="AmphiFond"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2636-small_m.jpg" alt="AmphiFond" /></a></p>
<h2>Pause</h2>
<p>Pendant ce temps, il y a des orgas de corvée d'accueil qui bossent dur:<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2648-small.jpg" title="Accueil"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2648-small_m.jpg" alt="Accueil" /></a></p>
<p>Et nous, on peut méditer tranquillement en profitant du jardin "ambiance japonaise"...
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2640-small.jpg" title="Drache1"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2640-small_m.jpg" alt="Drache1" /></a>
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2645-small.jpg" title="Drache2"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2645-small_m.jpg" alt="Drache2" /></a></p>
<p>Et les fumeurs peuvent s'entasser à l'abri:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2649-small.jpg" title="Fumeurs1"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2649-small_m.jpg" alt="Fumeurs1" /></a>
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2650-small.jpg" title="Fumeurs2"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2650-small_m.jpg" alt="Fumeurs2" /></a></p>
<h2>Résultat du challenge SSTIC</h2>
<p>Un peu de stats sur le challenge, cette année, il semblerait qu'aucun bourrin n'ait tenté le bruteforce sur les emails (faut vraiment être vicieux pour avoir des idées comme ca..... faudra que je pense à releaser le script sous une licence opensource quelconque un de ces jours......).</p>
<p>Le challenge de cette année était finalement aussi compliqué à créer qu'à attaquer..... c'est déjà ca comme consolation ! Alors que pourtant, il y avait de supers lots à gagner, pour motiver les gens:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2653-small.jpg" title="LotChallenge"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2653-small_m.jpg" alt="LotChallenge" /></a></p>
<p>La solution présentée est assez dense en "et la ca se complique", "la ça devient vicieux", etc..... et l'auteur mérite vraiment sa salve d'applaudissements !</p>
<p>Pour les plus pressés, en attendant la publication des solutions officielles, <a href="http://www.time0ut.org/blog/challenge/challenge-sstic-2012/" hreflang="fr">une autre solution est déjà en ligne</a></p>
<h2>Présentations courtes</h2>
<p>Nouveau format cette année, plus court qu'une présentation normale, mais plus long qu'une rump..... voyons ce que ça donne.</p>
<h3>Elsim + Androguard: détection de bibliothèques ?</h3>
<p>Bon, honnêtement, entre suivre la conf et pouvoir <del>faire mumuse</del> tester un <a href="http://www.dpreview.com/reviews/canon-eos-5d-mark-iii" hreflang="en">5D MkIII</a> sympathiquement prété par <del>l'ANSSI</del> mon voisin, j'ai craqué :-)
(mais non, je ne changerai pas pour l'instant, même si la différence de bruit au déclenchement est impressionnante)</p>
<h3>Dissecting Web attacks using hosted honeypots</h3>
<p>Heureusement qu'il y a des <a href="http://www.n0secure.org/2012/06/sstic-2012-presentation-courtes.html" hreflang="fr">gens sérieux</a> qui blogguent aussi, j'avais même pas eu le temps de recopier le titre de cette présentation jusqu'au bout (et elle n'apparait pas sur le programme du SSTIC, qui dit juste "présentations courtes").</p>
<p>Bon, vu le sujet, et maintenant que vous avez le lien direct n0secure à portée de souris, hein.......... surtout que j'avais pris il y a quelques années déjà la bonne résolution de ne plus jamais parler ici de <a href="http://fr.wikipedia.org/wiki/Honeypot" hreflang="fr">pots de miel</a>........</p>
<h3>Durcissement de programmes C avec SIDAN</h3>
<p>Ah, voila un sujet qui devrait nettement plus accrocher mon attention !</p>
<p><a href="http://www.rennes.supelec.fr/ren/rd/cidre/tools/sidan/" hreflang="en">L'outil en question</a> fait donc une analyse puis une instrumentation d'un programme (en C, donc) pour vérifier des invariants..... dans l'idée de base, ca me fait un peu penser à PaX présenté hier en keynote, ou j'en tire la même conclusion: j'aimerais bien pouvoir dire que ces outils sont inutiles et qu'il "suffit" de programmer correctement, mais dans la vraie vie, ça ne se passe pas comme ça........</p>
<p>Je suis aussi assez curieux de voir si cette instrumentation est efficace sur tout type de code en C.</p>
<p>On finit sur une démo, en live, ces jeunes qui ne se rendent pas compte des risques énormes de ce genre d'exercice..... heureusement que l'équipe d'orga est rodée:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2838-small.jpg" title="PorteMicro"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2838-small_m.jpg" alt="PorteMicro" /></a></p>
<h2><a href="https://www.sstic.org/2012/presentation/contrle_dacces_mandataire_pour_windows_7/" hreflang="fr">Contrôle d’accès mandataire pour Windows 7</a></h2>
<p>Ouais, encore un sujet qui me passionne..... et vu le nombre de gens qui sortent de l'amphi avant le début de cette présentation, je suis pas le seul......</p>
<h2>Pause déjeuner</h2>
<p>En arriver à finir les assiettes des autres au RU, franchement, je commence à me faire flipper, la......</p>
<h2><a href="https://www.sstic.org/2012/presentation/Expert_judiciaire_en_informatique/" hreflang="fr">Expert judiciaire en informatique</a></h2>
<p>A priori, tout le monde attend cette conf avec beaucoup, beaucoup d'impatience......</p>
<p>En cause, en particulier, <a href="http://www.sicw-news.com/2012/06/le-blog-de-zythom-pirate-son-identite.html" hreflang="fr">l'actualité très récente liée à l'auteur de la pres</a> (merci à Ronan pour le billet très détaillé sur le sujet, ca m'évite de devoir le faire :-) ).</p>
<p>En gros, un blogueur très connu, qui gardait bien son anonymat, se serait fait "péter le blog" (comme on dit pas très courtoisement), hier ou ce matin, et son identité réelle a été révélée par l'attaquant, sur le site même (note pour moi même: j'ai bien fait de pas faire un blog anonyme, comme ça au moins, c'est une raison de l'attaquer en moins......). Sauf que, sur le programme du SSTIC (lien du titre), c'est bien indiqué "Par Mem Zythom"..... mais forcément, j'avais pas fait gaffe avant si c'était déjà indiqué comme ça, ou si ça a été modifié à l'arrache, maintenant qu'on sait, de toutes façons.......</p>
<p>Suspense, donc, pendant encore 20 bonnes minutes avant le début !</p>
<p>Bon, bah voila, c'est pas un fake, donc, comme il le dit lui même: il fait maintenant partie du club des défacés anonymes (lu sur twitter: "Si à 50 ans ton blog n'a pas été défacé, c'est que t'as raté ta vie numérique")....</p>
<p>En exclu intergalactique (et après demande à l'intéressé, Ze photo :
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2846-small.jpg" title="Zythom"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2846-small_m.jpg" alt="Zythom" /></a></p>
<p>Après un point sur cette actu, la vraie conf commence..... et faut avouer, il sait donner envie de devenir expert judiciaire !!!
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2847-small.jpg" title="ExpertJudiciaire"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2847-small_m.jpg" alt="ExpertJudiciaire" /></a></p>
<p>Pour les statistiques: ca y est, on aura parlé de <a href="http://www.cgsecurity.org/wiki/PhotoRec" hreflang="en">Photorec</a> cette année.</p>
<p>Partie intéressante, et je m'étais souvent posé la question: la technique de sécurité la plus "balaise" qu'il a du contourner dans son activité, c'est un truc chiffré avec <a href="http://www.truecrypt.org" hreflang="fr">TrueCrypt</a>, et encore, y'avait le mot de passe correspondant qui trainait sur un fichier du disque......<br />
Autant dire que des gars vicieux capables de concevoir un challenge SSTIC seraient tranquilles pendant des années s'ils voulaient planquer des trucs (ou alors faudrait déclarer les challengers comme experts judiciaires ?).</p>
<p>En conclusion, <del>un métier</del> une activité complémentaire qui a l'air très intéressante, mais aussi pas mal éprouvante selon les dossiers qu'on doit traiter, et pour laquelle on rencontre des problèmes très variés, y compris l'épineux problème de la déclaration de ses revenus d'expert judiciaire pour les impôts !!</p>
<h2><a href="https://www.sstic.org/2012/presentation/forensicsios/" hreflang="fr">Forensics iOS</a></h2>
<p>Je vous ai déjà parlé de mon allergie notoire aux pommes ? non ? on y reviendra dans le billet sur le social event, alors.......</p>
<p>Pendant ce temps, y'a un pauvre gars devant moi qui perd la moitié de son écran à chaque fois que je fais une photo:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2851-small.jpg" title="ecrannoir"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2851-small_m.jpg" alt="ecrannoir" /></a></p>
<h2>Les rumps</h2>
<p>Comme tous les ans, c'est un moment fort du SSTIC, et ça se pousse au portillon pour venir rumper comme des oufs:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2852-small.jpg" title="rumpers"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2852-small_m.jpg" alt="rumpers" /></a></p>
<p>En regardant de plus près, on notera que, d'une personne à l'autre, la concentration n'est pas la même:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2853-small.jpg" title="rumpers2"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2853-small_m.jpg" alt="rumpers2" /></a></p>
<p>Comme tous les ans, la règle est simple: 3 minutes 30, cette année, pas une seconde de plus (les applaudissements du public seront la pour couper la présentation), un poil de rab est raccordé au cas ou un rumper toucherait le saint graal (non, rien à voir avec un pot de miel !): un public médusé qui le laisse continuer au dela du temps limite.</p>
<p>Mais revoyons la scène au ralenti (en espérant qu'ils soient bien passés dans l'ordre annoncé, ou en espérant que je me rende compte d'une inversion, ce qui n'est pas gagné d'avance....):</p>
<h3>Logo SSTIC</h3>
<p>Bah.... on a échappé à des trucs....... originaux.......</p>
<h3>Fingerprinting de navigateurs webs</h3>
<p>Erwan avait présenté l'année dernier un toolkit pour faire mumuse avec du XSS. Depuis, il s'est rendu compte que, en fonction du comportement d'un navigateur par rapport à quelques tests, on pouvait facilement l'identifier, voire le classifier.
L'idée a l'air intéressante, quoique j'ai pas bien compris l'intéret des graphes à la fin.</p>
<p>Par contre, le style rappeur, c'est original:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2858-small.jpg" title="ErwanRap"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2858-small_m.jpg" alt="ErwanRap" /></a></p>
<h3>DNS finger</h3>
<p>Euh.... j'ai rien compris à l'intéret du truc présenté..... par contre, il a pas précisé si c'était certifié <a href="http://fr.wikipedia.org/wiki/ISO/CEI_27001" hreflang="fr">ISO 27001</a>.......</p>
<p><strong>Edit</strong><br />
Depuis mon retour du SSTIC, j'ai été sympathiquement contacté par Florian (l'auteur de la rump), qui m'a envoyé le papier de la rump en question.<br />
La première information que j'en ai déduit, c'est qu'il y a donc de vrais gens qui lisent ce blog..... il va donc falloir que je commence à faire attention à ce que j'écris !<br />
Ou alors je mettrai un plus gros disclaimer au début des billets "live blogging"....... ouais, je vais faire ça, en fait......</p>
<p>Sinon, en lisant l'abstract (ouais, je fais mon gars super occupé qui n'a le temps de lire que les abstracts :-) ), je comprends un peu mieux le "pourquoi" du truc.</p>
<p>Si j'étais le genre de gars à faire des raccourcis à 2 balles (et encore, c'est parce que j'ai pas la monnaie sur moi), je reprendrais un résumé fait par une personne que je ne nommerai pas qui a dit un truc genre "c'est LDAP over DNS".</p>
<p>Il se trouve que je suis effectivement le genre de gars à faire des raccourcis à 2 balles, mais présentement, j'ai choppé une info dans l'abstract qui a attiré mon attention: une partie de la mécanique sert à générer / utiliser des clés de chiffrement/signature utilisateurs, typiquement pour ses mails, sans avoir à sortir l'artillerie lourde d'une <a href="http://fr.wikipedia.org/wiki/Infrastructure_%C3%A0_cl%C3%A9s_publiques" hreflang="fr">PKI</a>.</p>
<p>Et autant ma sœur ou ma blonde préférée peuvent compter sur leur informaticien de service pour monter une PKi et leur signer leur certificat (enfin, une fois que j'aurai réussi à les convaincre que ça sert à quelque chose, forcément....), autant pour le voisin de la grand tante du cousin par Germain de la <a href="http://fr.wikipedia.org/wiki/Mar%C3%A2tre" hreflang="fr">marâtre</a> de tata Lucette, je vais pas forcément faire l'effort (d'autant plus que, en y réfléchissant bien, je n'ai pas de tata Lucette, de toutes façons.....).<br />
Conclusion: bah va falloir que je trouve du temps pour lire l'article........</p>
<p>Entre temps, <a href="http://www.hsc.fr/ressources/presentations/sstic12_rump_dnsfinger/DnsFingerSSTICRump2012.pdf" hreflang="fr">les slides</a> et <a href="http://www.hsc.fr/ressources/presentations/sstic12_rump_dnsfinger/authfinger.pdf" hreflang="fr">le papier court</a> sont en ligne.</p>
<h3>botnets.fr</h3>
<h3>Fuzzing de wireshark</h3>
<p>Wireshark est ZE outil utilisé par plein de monde pour observer ce qui se passe sur les réseaux (analyser un problème, etc....). Il sait décoder une quantité monstrueuse de protocoles..... ca représente beaucoup de lignes de code.... donc des bugs potentiels, forcément.</p>
<p>Comme les données arrivent en direct du réseau, et que wireshark tourne souvent avec des privilèges élevés (pour pouvoir écouter tout le réseau, justement), c'est une cible de choix pour une attaque, et c'est donc intéressant de chercher ces éventuels bugs pour les corriger.</p>
<p>En résumé, on voit les choix de fuzzing du rumper, qui lui ont permis de trouver plusieurs crashes.</p>
<h3>Un outil de décompilation de bytecode python</h3>
<p>Y'a des gens qui ont posé des questions, j'en déduis que c'était intéressant pour quelqu'un que ça dérange pas de passer son temps à compter les espaces pour débbuguer.......</p>
<h3>Reverse engineering d'une ROM GBA</h3>
<p>Enfin des gens qui bossent sur des trucs utiles, qui vont limite changer la face du monde. Je n'ai pas de mots pour le décrire, le plus simple est de vos montrer le résultat lors d'une partie en live de Pokemon:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2872-small.jpg" title="PokePappy"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2872-small_m.jpg" alt="PokePappy" /></a></p>
<h3>XMCO Wolfy</h3>
<p>Euh.... me souviens plus..... mais ils ont releasé une version spéciale SSTIC !</p>
<h3>Hynesim 2.1</h3>
<p>Coupé un peu vite par les applaudissements du public, ça fait quelques années qu'on voit les évolutions de cette appli, qui a l'air assez puissante pour déployer des réseaux de tests en masse.</p>
<h3>.htaccess, miasm et sécurité web</h3>
<p>Ou comment un gars a repéré, complètement par hasard, que le serveur du SSTIC a laissé trainer pendant environ 15 jours un .htaccess qui laissait l'accès à toutes les confs soumises et pas acceptées des années précédentes, et aux version beta des près de cette année.</p>
<p>On notera la réaction très rapide des admins SSTIC, qui ont corrigé le problème en moins d'1h après l'envoi de l'information.</p>
<h3>Détail d'une opération</h3>
<p>J'ai déjà pas compris ce que c'était "l'opération", alors de la à vous expliquer les détails.....</p>
<h3>Scapy pipes</h3>
<p>Phil nous présente une nouveauté de scapy présente depuis au moins 1 ans dans la version publiée, mais qui était apparemment passée innaperçu: un containeur qui permet de connecter des entrées et des sorties.... ca a l'air de rien comme ca, mais si je vous dis que Phil a tout simplement explosé le temps qui lui était imparti, avec un public silencieux qui voulait voir la suite, vous pourrez en tirer la conclusion évidente: allez voir, en plus y'a une documentation nickel ! ;-)</p>
<p>Et pour ceux qui se poseraient la question, Phil qui fait une démo sur un truc de pipes, ça ressemble à ça:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_0032883-small.jpg" title="PhilPipes"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_0032883-small_m.jpg" alt="PhilPipes" /></a></p>
<h3>Android 0 Day hunting</h3>
<p>Ou comment google laisse traîner des fonctions genre:</p>
<pre>int check_machin(args){
/* TODO */
return 1;
}</pre>
<p>qui permettent de passer n'importe quoi à des fonctions privilégiées.</p>
<h3>grehack</h3>
<p>Annonce d'une conf en fin d'année, à Grenoble, ville qui a l'air d'avoir des <a href="http://fr.wikipedia.org/wiki/Katsuni" hreflang="fr">arguments qui méritent l'attention</a>.......<br />
Notez qu'on ne nous a pas formellement confirmé qu'elle serait présente à la conférence...... mais ça parlait aussi de bières (ils ont de la vraie bière, à Grenoble <acronym></acronym>).</p>
<p>Ah, et il est encore temps de soumettre ...... des sujets pour cette conf....</p>
<h3>Ca recrute aussi à Rennes.....</h3>
<p>Voila, voila.....</p>
<h3>RMLL 2012</h3>
<p>Bon, voila, les <a href="http://2012.rmll.info/" hreflang="fr">RMLLs</a> ont lieu cette année à Genève, mais ils n'auront pas Katsuni, eux......</p>
<h3>LibreOffHips</h3>
<p>Nouvelle version du pare-feu officiellement validé par l'Hadopi..... ca rox des ours !</p>
<h3>OpenSource forensics avec dff</h3>
<p>Un outil bluffant pour aller chercher de la data. Une interface, des outils de recherche bien faits, déjà pas mal de formats de fichiers supportés..... <a href="http://www.digital-forensic.org/" hreflang="en">allez voir</a>, et contribuez !!!!</p>
<p>On notera aussi les choix vestimentaires d'un des auteurs.... décidément, les rumps sont chaudes, cette année !!!!
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_2899-small.jpg" title="DorcelTShirt"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_2899-small_m.jpg" alt="DorcelTShirt" /></a></p>
<h3>Struts</h3>
<h3>Executer du javascript dans un PDF</h3>
<p>Exécuter un truc dans un PDF, en soi, c'est pas folichon, ni très nouveau.
La, y'a quand même un aspect technique intéressant: le code est embarqué en tant qu'image JPEG, et avoir une vraie image JPEG (ok, moche) qui est aussi interprétable en tant que code javascript, ca c'est marrant :-)</p>
<h3>Attaque par relais sur smartcard</h3>
<p>En gros, l'idée est d'émuler une carte de crédit, et pour être (un peu) plus discrets, on utilise un relai wifi et un dispositif embarqué.... à la photo, j'ai du mal à croire qu'un commerçant lambda n'aura aucun soupçon, mais bon, par rapport aux lasers que les rumpeurs utilisent d'habitude pour faire leurs malversations sur des cartes de crédit, je veux bien croire qu'il y déjà du mieux !</p>
<h3>Criterium attack</h3>
<p>Ou comment hacker un <a href="http://fr.wikipedia.org/wiki/Code_QR" hreflang="fr">QR Code</a> avec un crayon noir et du typex. Plutôt fun, comme idée, et en plus ca fonctionne (enfin, avec un delta de résultat assez léger, je suis curieux de savoir jusqu'ou on peut aller..... ca dépend probablement du niveau de l'attaquant quand il était en grande section de maternelle, en fait.....).</p>https://blog.zeninc.net/index.php?post/2012/06/07/SSTIC-2012%2C-Day2#comment-formhttps://blog.zeninc.net/index.php?feed/atom/comments/48SSTIC 2012, Day1urn:md5:fbe40595a7139af184868c87c253c6e92012-06-09T14:31:00+01:002012-06-10T20:21:14+01:00VanhuEn direct de la ou je suisSSTIC12 <h2>Réveil difficile...</h2>
<p>Dura vita, sed vita.......</p>
<p>Déjà pas mal de monde à l'inscription:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_0032577-small.jpg" title="Arrivee"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_0032577-small_m.jpg" alt="Arrivee" /></a></p>
<p>Nous découvrons rapidement les nouvelles tendances de la mode, cette année. Pour les orgas, c'est...... comment dire...... jaune, y'a pas d'autre mot:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_0032599-small.jpg" title="Orgas-Jaune"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_0032599-small_m.jpg" alt="Orgas-Jaune" /></a>
On notera que certains l'assument plus que d'autres, et qu'il y a même eu une tentative curieuse de croisement avec un Tshirt "normal", pour un résultat d'un vert douteux également.</p>
<p>Vous aurez donc brillamment déduit que pour nous, cette année, c'est bleu:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_0032579-small.jpg" title="tshirt-bleu"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_0032579-small_m.jpg" alt="tshirt-bleu" /></a>
Petite déception de ma part, contrairement aux années précédentes, y'a pas un grand dessin "sécurité" classe et original dans le dos, juste une grosse croix.....</p>
<h2><a href="https://www.sstic.org/2012/presentation/Keynote_2012/" hreflang="fr">20 Years of PaX</a></h2>
<p>Non, on a pas fait tout ce chemin pour parler des noces de porcelaine de quelqu'un (fallait bien que je fasse une blague pourrie, celle la est la moins pire.... vraiment, croyez moi sur parole), mais pour parler de <a href="http://pax.grsecurity.net/" hreflang="en">PaX</a>, en gros un ensemble de patches pour améliorer la sécurité du noyau Linux, et pour rendre plus difficile (impossible ?) l'exploitation de bugs.</p>
<p>Par rapport à pas mal de keynotes d'années précédentes, ça attaque quand même assez rêche, par une présentation en anglais sur ce sujet pointu. Et en cravate, en plus (photo supprimée à la demande (très courtoise) de l'équipe de PaX.... dommage, il faisait partie de ceux qui ont fait l'effort de poser quand j'ai pris la photo !).</p>
<p>J'aimerais bien conclure un truc genre "ces outils, c'est le mal, la vraie solution c'est de coder propre pour ne pas avoir de bugs à exploiter"........ Mais bon, je suis lucide, j'espère juste qu'il n'y a pas trop de développeurs qui se diront "bah, y'a des protections ailleurs, on s'en fout de coder propre, du coup".</p>
<h2>Pendant ce temps, dans les couloirs.....</h2>
<p>Parfois, dans les conférences, c'est pas dans les présentations qu'on voit les trucs les plus hallucinants, mais dans les couloirs. Ce matin, j'ai assisté à un truc que je n'aurais jamais imaginé (garanti sans trucages !!!!):
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_0032586-small.jpg" title="HB-flotte"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_0032586-small_m.jpg" alt="HB-flotte" /></a></p>
<h2><a href="https://www.sstic.org/2012/presentation/ssl_tls_soa_recos" hreflang="fr">SSL/TLS: état des lieux et recommandations</a></h2>
<p>Tiens, une conférence d'un gars de l'<a href="http://www.ssi.gouv.fr/" hreflang="fr">ANSSI</a>...</p>
<p>Premier rappel: les anciennes versions de SSL ont des failles de sécurité connues..... dans la vraie vie, utilisez au moins TLSv1.1 (ca devrait être le cas pour n'importe quel client ou serveur relativement récent).</p>
<p>C'est marrant, si je fais abstraction des mots "SSL" et "TLS", ca ressemble finalement assez aux problèmes qu'on rencontre avec IPsec..... mauvais algos de crypto, mauvaises configuration, comment bien gérer ses autorités de certification, les listes de révocation, etc.......</p>
<p>A un (gros) détail près: l'utilisateur lambda (outre le fait qu'il n'y comprend rien, évidemment) ne maitrise (?) que son client web, et l'administrateur ne maitrise que la configuration de son serveur....</p>
<p>Ah, et je viens de découvrir l'existence d'un <a href="http://www.openinfosecfoundation.org/" hreflang="en">moteur d'IPS Opensource "Next Generation"</a>, faudra que j'y jette un coup d'oeil au calme un de ces jours.</p>
<h2><a href="https://www.sstic.org/2012/presentation/netzob_un_outil_pour_la_retro-conception_de_protocoles_de_communication/" hreflang="fr">Netzob : un outil pour la rétro-conception de protocoles de communication</a></h2>
<p>Pendant qu'on apprend qu'il n'y a plus de papier (quand je vous dit que le SSTIC est une épreuve de survie.......), ca va rétroconcevoir des protocoles de communication, donc......</p>
<p>Ok, je comprends pas trop l'usage du mot "conception", il s'agirait plus d'outils d'aide pour comprendre (voire reverse-engenirer (oui, ca doit pas s'écrire comme ca, moi aussi j'ai le droit de mettre quelques fautes, et mon correcteur automatique propose "reverse-engerber", ca doit pas être ça)) un protocole existant, et/ou pour le modéliser.
C'est vrai que, présenté comme ca, le rétro-engeneering d'un protocole, ca a pas l'air simple:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_0032595-small.jpg" title="retroEng"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_0032595-small_m.jpg" alt="retroEng" /></a></p>
<p>Note: si quelqu'un peut m'expliquer l'intéret de l'URL encodée en base64 en bas des slides, qui point vers un <a href="http://goo.gl/i8Z7P" hreflang="en">lien goo.gl</a>, qui pointe lui même vers un compte suspendu sur <a href="http://sarssi-conf.org" hreflang="en">sarssi-conf.org</a> (ou alors je me suis loutré en recopiant le base64 ? apparemment ça serait ca, mais comme j'ai vu 3 "bonne URL" différentes.....)</p>
<p>Une démo (en vidéo, ils ont pas pris de risques, c'est bien :-) ) plus tard, l'outil est vraiment sympa, quand on a (dans l'exemple) une capture réseau et qu'on veut comprendre le protocole IPv4...... bon, ok, l'exemple de la démo est pas super pertinent, mais au moins ca permet à tout le monde (?) de suivre et de vérifier ce que l'<a href="http://www.netzob.org/" hreflang="en">outil</a> fonctionne, et il a l'air vraiment très sympa !</p>
<h2><a href="https://www.sstic.org/2012/presentation/securite_rdp/" hreflang="fr">Sécurité de RDP</a></h2>
<p>Pour mes lectrices qui se demanderaient ce qu'est RDP, c'est en très très résumé un <a href="http://fr.wikipedia.org/wiki/Remote_Desktop_Protocol" hreflang="fr">truc pour se connecter à distance à un bureau Windows</a>.</p>
<p>Et pour les gens qui veulent entrer dans ce genre de comptages mesquins, c'est une présentation faite par des gars de l'ANSSI.... 3, apparemment faut au moins ça vu le protocole (et ça a l'air dangereux, en plus !!!):
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_0032596-small.jpg" title="Pres-RDP"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_0032596-small_m.jpg" alt="Pres-RDP" /></a></p>
<p>Présentation (très très) rapide du protocole par Arnaud, et... euh ..... ok, ca a l'air simple et bien organisé, comme machin........</p>
<p>Coté sécurité, c'est aussi un vrai bonheur...... je retiens en particulier une <a href="http://fr.wikipedia.org/wiki/Cryptographie_asym%C3%A9trique" hreflang="fr">clé privée</a> en dur dans une DLL, et carrément documentée par Microsoft........</p>
<h2>Pause déjeuner</h2>
<p>C'est terrible..... au fil des ans, je crois que je commence à me faire au fait de manger au RU ici.......</p>
<p>Le temps pour Fred de lancer un concours, et ça repart !</p>
<h2><a href="https://www.sstic.org/2012/presentation/winrt/" hreflang="fr">WinRT</a></h2>
<p>WinRT, c'est en gros "le truc de base derrière les applications de la nouvelle interface Metro du prochain Windows".... autant dire que mon attention lors de cette conf est quasi absolue.......</p>
<p>Par contre, un speaker qui prend le temps de faire le beau gosse pour la photo, c'est bien :-)
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_0032602-small.jpg" title="preswinrt"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_0032602-small_m.jpg" alt="preswinrt" /></a></p>
<h2><a href="https://www.sstic.org/2012/presentation/linformation_capital_immatriel_de_lentreprise/" hreflang="fr">L'information, capital immatériel de l'entreprise</a></h2>
<p>C'est probablement pas très sympa à dire, mais j'ai trouvé cette conférence pas très intéressante......</p>
<p>En y réfléchissant un peu, je me dis que je suis probablement surtout déçu par rapport au niveau des confs "juridiques" des dernières années, qui avaient mis la barre très très haut en terme de qualité de présentation.</p>
<p>Je retiendrai quand même que, d'un point de vue juridique, il y a parfois une grosse différence entre "donnée" et "information", et que, en droit francais, le secret des affaires n'existe pas.</p>
<h2><a href="https://www.sstic.org/2012/presentation/audit_ace_active_directory/" hreflang="fr">Audit des permissions en environnement Active Directory</a></h2>
<p>(note: ANSII++)</p>
<p>Vu le sujet, j'ai hésité à rester. Lors de la première partie, ou on a eu le droit à de grandes explications sur l'organisation interne d'un AD, j'ai vraiment du prendre sur moi pour ne pas m'enfuir en courant.</p>
<p>Ensuite, les auteurs sont arrivés sur le cas de figure d'une intrusion: on réinstalle à peu près tout..... sauf une grosse base de ce genre... Or, en mettant les valeurs "qui vont bien", ca suffit largement pour se donner des accès ultérieurs, par exemple.</p>
<p>Or, il n'y a pas d'outil standard pour auditer une base AD à grande échelle (les joies de l'interface graphique qui gère entrée par entrée quand on a un annuaire à plusieurs milliers voire millions d'entrées.......), donc les auteurs ont fait leur outil maison d'audit à grande échelle.</p>
<p>Bah, mis à part le fait que faudrait que je commence par installer un AD pour commencer à réfléchir à envisager de m'en servir, ca avait l'air puissant, leur machin !!!</p>
<h2><a href="https://www.sstic.org/2012/presentation/confinvit_ourghanlian/" hreflang="fr">Windows 8 et la sécurité : un aperçu des nouvelles fonctionnalités</a></h2>
<p>Super, encore un sujet original et qui va me passionner...... mais bon, c'est finalement assez logique d'avoir ce sujet ici, et à part moi, ca doit probablement intéresser pas mal de gens......</p>
<p>Après rapide vérification de la bio, le speaker est un représentant de Microsoft France, donc inutile d'attendre le moment ou on pourrait entendre "et la on peut contourner le truc à machin"...... bref, aucun intéret pour moi, d'autant plus que j'ai vraiment l'impression d'être devant un discours de vendeur: déroulement d'un cas de figure, peu/pas de détails sur comment ca fonctionne vraiment (UEFI et TPM sont magiques, ils protègent de tout.....), aucune réflexion sur "et comment on pourrait tenter de contourner ce nouveau système" (ou alors j'avais déjà décroché ?)......</p>
<p>Bref, vivement les questions, et la pres suivante !</p>
<h2><a href="https://www.sstic.org/2012/presentation/confinvit5/" hreflang="fr">10 ans de SSTIC</a></h2>
<p>Par Fred Raynal, Nicolas Fischbach, Philippe Biondi...... bah ouais, forcément, n'importe qui ne peut pas se permettre de faire ce genre de récapitulatif historique..... eux, ils le peuvent:
<a href="https://blog.zeninc.net/blog/public/SSTIC12/IMG_0032614-small.jpg" title="ancetres"><img src="https://blog.zeninc.net/blog/public/SSTIC12/.IMG_0032614-small_m.jpg" alt="ancetres" /></a></p>
<p>Fred nous explique comment l'idée est arrivée au début des années 2000 (en résumé, une soirée trop arrosée), et compare SSTIC avec les autres conférences existantes à l'époque.</p>
<p>Nico prend le relai pour comparer ce qui se fait aujourd'hui.</p>
<p>L'équipe enchaîne sur plein de stats, durée de vente des billets par année, poids du président, et le top 5 de ceux qui ont fait des présentations ici.</p>
<p>Viennent ensuite les remerciements, en particulier pour Vero (au cas ou certains n'auraient pas entendu Fred le dire), puis la liste des epic fails (il y a eu un coma éthylique en 2010 ? et il n'y en avait jamais eu avant ?).</p>
<h2>Fin de la première journée</h2>
<p>Ca finit par un cocktail (en retard à cause du débordement de la dernière pres, mais on leur pardonne volontiers), et pour moi, par une petite crêpe (bah oui, on est en Bretagne, c'est limite obligé) pour ensuite rentrer m'écrouler.....</p>
<p>Au pire, demain, je dirai à Renaud que je l'ai attendu au <a href="http://www.cafe-cactus.fr/" hreflang="fr">Cactus</a>..........</p>https://blog.zeninc.net/index.php?post/2012/06/06/SSTIC-2012%2C-Day1#comment-formhttps://blog.zeninc.net/index.php?feed/atom/comments/43SSTIC 2012, Day0urn:md5:498072b405ede33686b2cc4d7eff2fd32012-06-09T14:30:00+01:002012-06-09T14:30:00+01:00VanhuEn direct de la ou je suisSSTIC12 <p>Nettoyage rapide des quelques commentaires spams qui atterrissent ici de temps en temps, relecture rapide des années précédentes pour se souvenir comment ca fonctionne, et c'est reparti pour 4 jours intenses: le <del>ANS</del>SSTIC 2012 est arrivé !</p>
<p>Méthode habituelle: 1 billet par jour, en commençant par l'arrivée la veille au soir, des mises à jour de billets dans tous les sens à faire fumer les lecteurs de flux RSS, un tag pour les billets de l'année, des photos rajoutées plus ou moins au fur et à mesure, et Sid est dans la salle, son portable allumé, donc pour un suivi sérieux et pertinent des confs, c'est à priori <a href="http://sid.rstack.org/blog/index.php/544-premier-jour-du-10e-sstic-en-live-ou-pas" hreflang="fr">par la</a>, voire aussi sur <a href="http://www.n0secure.org/search/label/SSTIC%202012" hreflang="fr">n0secure</a>, avec plus de détails, et des fotes en prime :-)</p>
<p>Ah, et bien sur, les <a href="http://www.twitter.com" hreflang="en">outils modernes</a>, channels #SSTIC, #anSSTIC et #trollSSTIC...... Faudra vraiment que je prenne un jour le temps de trouver un client correct pour ce machin...... ou pas......</p>
<p>Dernière respiration calme, et voila, ce billet est publié (mais va quand même être remodifié dans tous les sens ces jours ci), c'est parti !</p>
<h2>On Ze road again......</h2>
<p>Comme depuis quelques années, on est venus en voiture..... Après avoir un peu tiqué en apprenant qu'on aurait une Citroen C4 (j'ai de vieux souvenirs douloureux d'une édition des RMLLs en Citroen C2 Vert pomme......), finalement, ca s'est plutôt bien passé (pas de crevaison, pas de reboot de train pour nous, tout ca......).</p>
<p>Arrivés sur Rennes vers 19h, récupération d'un <del>traitre</del> <del>transfuge</del> <del>CENSURE</del> pote qui est <a href="http://www.google.com/about/jobs/locations/zurich/" hreflang="en">parti apprendre à parler l'allemand suisse</a>, petite bière en terrasse, et repas au désormais traditionnel Wok de Rennes, ou j'avais cette année pris la précaution de réserver (note pour les prochaines années: les numéros de tel de leurs 2 restaurants sont inversés sur le net). Même s'ils ont eu la mauvaise idée de remplacer les serveuses de l'année dernière par des serveurs, le repas était excellent, comme chaque année (oui, on y va quand même surtout parce que c'est bon !).</p>
<h2>Petite soirée tranquille avant les confs</h2>
<p>Depuis plusieurs années, j'ai pris l'habitude de faire une soirée tranquille et pas tard le premier soir, histoire de garder des forces (on rajeunit pas.......).</p>
<p>Donc, après le repas, direction la rue St Michel (la rue de la soif, quoi), pour retourner à la très bonne trouvaille de l'année dernière: le bar qui sert 18 bières pression (dont kwak, chimay, karmeliet triple, etc.....), et qui a des saucissons en prime (ouais, j'ai pas pris de dessert au restau......).</p>
<p>Le temps de siroter une petite bière tranquille, et et c'est l"heure pour les gens raisonnables de rentrer à l'hôtel....</p>
<h2>Quand tout à coup, un inconnu vous offre un shooter</h2>
<p>Quand c'est un inconnu, encore, ça se gère bien.....</p>
<p>Quand c'est un pote de SSTIC (oui, y'a les amis, les amis facebook, les potes de bar, etc.... et il y a donc les potes SSTIC), bah on traine 5 minutes, tout ça..... le temps qu'un autre arrive, on repasse une tournée, tout ca.......</p>
<p>Et avant de s'en rendre compte, on s'est fait chopper par une brèche dans le continuum spatio-temporel, pour arriver à l'hotel vers 2h du mat........ ça va être dur, cette année, je le sens........</p>https://blog.zeninc.net/index.php?post/2012/06/06/SSTIC-2012%2C-Day0#comment-formhttps://blog.zeninc.net/index.php?feed/atom/comments/30