Aller au contenu | Aller au menu | Aller à la recherche

Mot-clé - SSTIC11

Fil des billets - Fil des commentaires

vendredi, juin 10 2011

SSTIC 2011, Day3

9h30..... lendemain du social event, taux de remplissage de l'amphi estimé à 2/3 alors que la conf vient de commencer.... plutot pas mal, comme score..... surtout quand on voit le remplissage quelques minutes avant le début de la conf:
D3-start

Et ca repart de suite, donc, je sens que la journée va être longue......

RRABBIDS, un système de détection d'intrusion pour les applications Ruby on Rails

Je sais pas si c'est l'heure ou le sujet (ou surement un mélange des deux), mais je n'ai écouté que d'une oreille très très distraite...... mais ca a l'air d'être un truc intéressant pour quelqu'un qui serait intéressé par des "trucs en Ruby on Rails".......

Usages offensifs de XSLT

On enchaine sur des slides à vomir...... littéralement: entre la couleur de fond et les animations de transition entre les slides, j'en ai les crustacés du social event et la bière-saucisson d'après qui me signalent que je n'ai pas encore fini de les digérer.....

Le contenu est intéressant, par contre, alors que ca parle de "XML", terme auquel je suis normalement plus ou moins allergique...... et même si ca reste compliqué d'écouter en faisant bien attention de ne surtout pas regarder les slides, surtout pendant les transitions !

Pause

Et pendant ce temps, certains téléphonent encore......
JP-Tel3

Faille de sécurité ou défaut de sécurité

A peine le temps de se mettre un peu de caféine dans le sang, et ca repart..... pour LA conf juridique de cette année, apparemment, puisqu'elle est faite par un avocat. En l'occurence, le même avocat qui avait fait la pres juridique de l'année dernière, voyons si celle de cette année est aussi passionnante (non, c'est vraiment du premier degré !!!).

Petit rappel sur les obligations légales de protection des données, des risques encourus..... du manque flagrant d'application de ces lois pour l'instant, mais ne désespérez pas: il y aura bien une plainte au pénal qui tombera un jour !

Premier point important: la loi parle manifestement d'une obligation de moyens, et pas de résultat.....

On voit ensuite, sur l'exemple de Sony, les conséquences d'une intrusion.... juridiques, financières, sur l'image de marque, etc......

Normitologie

Non, ca n'est pas une nouvelle maladie contagieuse..... je crois.....
Ca veut dire qu'on doit désormais avoir lu les normes (ISO, ANSSI, circulaires, etc.....), et qu'on ne peut plus se défendre derrière un "j'savais pas".

Certificologie

Pareil, c'est contagieux mais pas viral, il faut de plus en plus se faire certifier..... reste à voir le contenu de la certification, à quoi elle correspond, et si le prestataire éventuel certifié n'a pas pipeauté pour avoir sa certification !


Retenez au moins le conseil final:
Conseils


Encore une année ou, rien que pour la conf juridique, ca valait le détour sur Rennes !!!!

Typologie des attaques contre nos libertés online

Ah, une conf faite par un des principaux militants de la quadrature du net..... j'aurais pu m'en douter en lisant le sujet, en fait.... ou en lisant le nom de l'intervenant, tiens......

Jeremie nous présente donc Internet comme un "bien commun", à l'ensemble des utilisateurs, qui ont donc une charge commune de gestion de ce bien.

J'accroche pas trop..... honnêtement, c'est essentiellement du au fait que je connais déjà le discours et les actions de la quadrature, via FDN surtout.
Mais c'est une bonne chose d'avoir cette conf ici, présentée assez originalement avec des termes d'attaque informatique.

Et les questions posées à la fin de la présentation (surtout en haut à droite de l'amphi, ça doit être une conspiration contre le porte micro pourtant sportif.....) confirment l'intéret global.

Système de stockage en ligne de photos avec confidentialité des données personnelles

Techniquement parlant, c'est un système bien foutu: quand on stocke des images sur le cloud, ca permet un bon compromis entre confidentialité des images (mais aussi vidéos et audios) et possibilité pour l'hébergeur d'économiser de l'espace disque en détectant les images identiques ou similaires (sans pouvoir les voir, donc).

En pratique, je reste pas du tout convaincu de l'intéret du truc: soit j'ai mes photos, qui vont avoir au mieux quelques copies (en supposant que mes amis et moi on veuille tous stocker nos images dans les nuages, chez le même hébergeur), soit j'ai des images publiques, et j'ai plus vite fait de garder des liens vers les images, ou simplement de les garder sur mon disque local, si je les perds, je les retéléchargerai sur le net.

Enfin, après cogitation commune, on a trouvé un cas ou plein de gens auraient les mêmes photos mais voudraient qu'on ne sache pas qu'ils les ont: une gigantesque collection de pr0n...... et encore, ces photos la, je suppose qu'on les veut ..... comment dire ..... à portée de main......

Pause déjeuner

Courage, dernier déjeuner au RU !!!!!

Un framework de fuzzing pour cartes à puces: application aux protocoles EMV

Je suis pas super passionné par les trucs sur les cartes à puces, et le fuzzing commence à être assez connu pour ne pas être nouveau.... mais la, justement, l'application aux cartes à puces présente des contraintes particulières, et la façon dont ils ont résolu ca est intéressante.

A réserver cependant à un public qui aime vraiment le sujet......

Sécurité ?

C'est notoirement connu, je suis un grand fan d'Hervé (waaaw, la classe, il a carrément sa page Wikipedia, je suis jaloux !!!).

Et justement, on a droit à une conférence d'Hervé et d'un de ses collaborateurs:
Herve1


Ah non, Hervé fait sa conférence seul, finalement, il avait juste un boy, lui aussi, pour brancher son portable:
Herve2

C'est décidément vraiment bien organisé, le SSTIC, cette année !!!!

Malheureusement, la route vers le retour est longue, je n'ai donc eu le temps que de voir son premier slide, probablement le plus important:
Herve-Slide

This is the end.....

Bah oui, ca finit bien à un moment...... et, pour le retour, sans soucis techniques qui auraient pu assombrir une édition du SSTIC très sympa, comme tous les ans, finalement !

jeudi, juin 9 2011

SSTIC 2011, Day2

Non, le SSTIC, c'est pas la glande, l'amphi est même pas mal rempli pour un 2eme jour à 9h du matin, et c'est reparti !!!!

Attaques DMA peer-to-peer et contremesures

C'est devenu à la mode depuis quelques années d'attaquer "un truc" via le DMA, on avait déjà vu (l'année dernière ?) une attaque d'un PC Windows via le contrôleur firewire (DMA activé par défaut sous Windows).

Du coup, ma mission ce matin: comprendre l'intéret d'attaquer directement un autre périphérique DMA, vu qu'on sait déjà de toutes façons prendre le contrôle de la machine via DMA........

Quelques slides un peu rébarbatifs (surtout pour un matin, faut reconnaitre que, dans l'absolu, c'est pas mal compréhensible vu le sujet de départ) et une démo en vidéo plus tard, j'ai l'explication: les attaques DMA via Firewire sont bien une nouvelle mode, on va en bouffer tous les ans, avec à chaque fois un truc un peu nouveau qui change un peu l'attaque mais au final c'est pareil, on a pris le controle de la machine d'en face....... bon, bah au moins, je suis psychologiquement prévenu pour les prochaines années......

Sticky fingers and KBC custom shop

Au départ, le sujet pourrait m'intéresser pour récupérer l'accès au BIOS de mon portable, sur lequel j'ai mis un mot de passe super balaise quand je l'ai reçu (le portable, pas le mot de passe), mais que j'ai complètement oublié depuis (le mot de passe, pas le portable).....
Qui n'a jamais perdu son mot de passe de BIOS ? à part ma soeur, bien sur, qui a un mac et pas la moindre idée de ce qu'est un "BIOS", bien que j'ai espoir sur le fait qu'elle aie une vague notion de ce qu'est un "mot de passe".....

En plus, y'a des dessins marrants sur les slides de cette présentation :-)
clowntronco


Ca enchaine quand même sur des graphes Metasm, sur du code machine et d'autres joyeusetés du genre..... pas sur que tout le monde dans la salle suive dans le détail..... et ca n'a pas forcément grand chose à voir avec le café qui attend dehors, donc qui n'est pas encore dans nos veines...........
Bang


Joueur..... ca reste le qualificatif principal que je retiendrai à propos d'Alexandre, qui s'est quand même amusé à flasher le contrôleur clavier de son portable (oui, toujours pour récupérer son mot de passe BIOS).... le genre de truc ou il faut pas trop se louper quand même !!!!!

Tout ca pour une utilité flagrante, de l'aveu même de l'orateur:
arien

Pause

Pendant ce temps, certains téléphonent encore.....
JP-Tel2

Ramooflax - das pre-boot übervisor

Stéphane nous explique pourquoi/comment lui et ses collègues se sont retrouvés à écrire un hyperviseur from scratch, qui permette d'étudier un OS avec une interaction minimale (pas de code spécifique dans le guest, etc....).

Et manifestement, c'est pas simple, entre autres grâce à nos amis de chez Intel ("c'est une bande de nazes", dixit Stéphane) et de chez AMD, qui aiment bien compliquer les choses...... J'aurai entre autres découvert le mode irréel des processeurs X86 (bah oui, au bon vieux temps des démomakers et de mes premiers essais en ASM, j'étais encore sur Amiga, moi.....), et pas mal d'autres mécaniques intéressantes ..... et compliquées à contourner/émuler.

Heureusement qu'on a eu la pause café avant, même avec ca j'ai encore un doute sur le taux de gens dans la salle qui comprennent vraiment.......

Stéphane présente ensuite Ramooflax, comment ils ont solutionné les problèmes sus-cités, quelles options et fonctionnalités ils ont pu implémenter, etc.....

Fraichement mis à dispo sur le net (pas trouvé d'info sur la licence, mais vu que c'est sur github, ca doit être opensource), pour ceux qui voudraient faire mumuse avec un truc qui a l'air très, très sympa, malgré un discutable choix de départ qui impose le comptage précis d'espaces dans le code source.......

Résultats du challenge SSTIC

Comme tous les ans (enfin, depuis au moins 2 ans, de mémoire de google), quelques mois avant le SSTIC, on nous fournit un truc (une ROM d'android, une image de disquette bootable qui contient une énigme de pirates, ou cette année, une vidéo), et des gens vont la maltraiter pour en extraire une adresse mail à laquelle répondre "moi, moi, j'ai trouvé, j'ai gagné quoi ".
Voyons ce qu'on trouvé cette année les esprits retors.... je parle aussi de ceux qui ont trouvé, pas seulement de ceux qui ont conçu le challenge........

J'ai bien fait de ne pas gaspiller le peu de neurones qu'il me reste sur le challenge de cette année: ca commence par parler de vidéos Mpeg4 pour enchainer sur une attaque SQL....

Attacking and fixing PKCS#11 security tokens with Tookan

Bon, c'est parti pour une conf qui va douloureusement me rappeler que je ne suis qu'un utilisateur de crypto, qui a renoncé il y a très longtemps à se plonger dans les détails techniques et mathématiques.......

Mais au moins, les logos sont jolis :-)

Conclusion: les tokens PKCS#11, c'est quelques centaines de dollars pour un truc qui permet de lire les clés privées, normalement justement protégées et illisibles en dehors du token.....
Autant acheter une clé USB standard, c'est moins cher......

Pause déjeuner.....

Comme d'habitude, un délicieux déjeuner fourni par le RU........ on s'en remettra...

Et pendant ce temps, il se passe aussi des trucs très torrides au SSTIC....
Hot

mais aussi de sympathiques ateliers de tours de magie, faits par des gens du voyage, à en juger par les chaussures du prestidigitateur.......
FredCarte

Peut-on eteindre l'internet ?

On va tous mourir !!!
Peut-être même avant fin 2012, c'est terrible: 2012

Enfin, au moins, Internet va s'effondrer, dans quelques mois au plus tard.... c'est sur, c'est annoncé depuis au moins 10 ans, ca va donc très certainement plus tarder, maintenant !

Imaginez un monde sans facebook, sans youtube..... sans accès à mon blog, même !!!

Nous allons tenter de conquérir le monde, Minus !!!!

Nous voyons donc comment pourrait faire un génie du mal (ou un groupe de génies du mal), équipés d'un monocle, d'un porte cigare, d'un chat moche (oublié par l'orateur, mais très important), d'un bunker souterrain (ou du garage des parents, selon le budget) ? qu'il soit chinois, russe (on recycle encore les vieux méchants, la.....) ou de n'importe ou ailleurs.

l'attaque physique

Avec une pelleteuse, un bateau de pêche ou juste une mémé georgienne et une pelle, on peut faire des dégats, l'actualité récente l'a prouvé. Mais on ne coupe pas tout, loin de la... Ok, on ne peut plus passer ses commandes sur carrefour market de l'après midi, ca peut même perturber pas mal de choses jusqu'à assez loin, mais c'est une fin du monde un peu cheap.....

Et puis une attaque physique, c'est cher et compliqué.....

Le zero day

Ca doit bien pouvoir se trouver, une (nouvelle) faille dans IOS (celui de Cisco, pas celui à la pomme), mais ca reste pas simple: plusieurs types de routeurs, plusieurs versions, ne pas couper trop tot (sinon on ne peut plus accéder aux autres routeurs qu'on veut corrompre...), etc....

Le DDoS

Très utile pour planter france.fr (non, je ne m'abaisserai pas à faire un hyperlien ici.....), on cherche à TOUT planter.... il faut donc trouver un point central, qui suffit à tout casser....

Facebook est un bon candidat si on demande au quidam moyen, qui a éventuellement une vague notion que "autre chose que facebook" existe, mais n'a jamais été vraiment vérifier....

La racine DNS est également un très bon candidat, en partant du principe que les gens ne se souviennent pas des adresses IP de tous les serveurs du monde (et après on dit qu'IPv6 c'est mieux ? ah ! laissez moi rire !!!!).

Le coup de téléphone au patron de l'opérateur

Technique vérifiée également ces derniers temps, très efficace quand on est dictateurleader charismatique de certains pays, mais ne fonctionne la encore qu'à un niveau national, et juste le temps que des trouble fête ne mettent en place un accès underground.....

Super gentil au secours d'internet....

Nous avons maintenant droit au point de vue du défenseur, avec une liste des possibilités de défense.....

C'est pourtant simple: redonder les cables (vraiment, sans les passer dans la même tranchée.....), faire des programmes sans bugs, tout ca.....

Et que les utilisateurs (oui, vous, parfaitement !!!) arrêtent de demander tout le temps plein de nouvelles fonctionnalités dans les programmes: c'est souvent dans les implémentations de ces nouvelles fonctionnalités qu'il y a le plus gros taux de bugs, donc de failles.....

Vous l'aurez sans doute compris vu la quantité de propos que j'ai (plus ou moins) reproduit: j'ai adoré cette conf, intéressante, ludique et drôle à la fois.

Architecture DNS sécurisée

En écoutant à moitié (j'avoue, c'est pas le genre de sujet qui m'emballe le plus), j'en retiens que DNSSec c'est en cours depuis longtemps, mais c'est pas forcément méga top pour autant.....
Ah, au temps pour moi, le slide de conclusion dit quand même que DNSSec c'est lourd mais bien, au moins tant qu'on est pas sur le dernier lien (entre le client et son relais DNS).

Ah, ca parle d'une alternative (sur le dernier lien seulement) au DNS à base de LDAP, c'est surement une bonne idée :-D

Ah, et en faisant une analyse sténographique très poussée, j'en arrive à la conclusion que l'ANSSI recrute: ANSSIRecrute

Les rumps !!!!!

Ah, enfin ZE raison de venir ici tous les ans, les rumps.... le meilleur du pire, l'inverse, et encore d'autres trucs. Dump du programme à l'arrache:
RumpsList

Comme d'hab, temps très limité par présentation, peu/pas de sélection dès que ca rentre à peu près dans le sujet, et probablement des surprises......
Et cette année c'est encore plus moderne, on a un gros compte à rebours visible juste devant les rumpers !!!!
Même si, curieusement, il n'est pas déclenché lors de la première rump, celle des orgas.......
RumpOrga

Ah, et comme d'hab, j'ai privilégié les photos et l'écoute en direct, et je vais maintenant devoir faire un effort de mémoire surhumain pour tenter de remplir au moins un peu chaque rump (non, je n'irai pas honteusement pomper sur les blogs des autres, même si certains me devraient bien ca vu la patience avec laquelle je leur ai fourni la lumière nécessaire à leurs photos pendant les rumps.......).

Faire un SSTIC

C'est le comité d'orga qui le demande: soumettez !!!!
Soumettez

Système de billetterie SSTIC

Ou comment nos badges sont gérés, entre le QR Code, la signature des données, l'infra d'accueil du premier jour, tout ca......

XSS

XSS, vous aurez donc deviné que j'ai pas trop suivi le contenu, par contre bon point au rumpeur, qui a la sympathie de poser correctement pour les photographes:
Pose

Digital forensics XML

Un format de truc à machin pour faire le chose...... l'important, c'est de retenir que c'est un format pris en charge par PhotoRec !

IWKBULKS

Derrière un acronyme difficile à digérer, une utilisation de fonctionnalités windows pour faire un keylogger USB..... je crois.....

Glubby: huge real time graph layout on GPU

Euh..... une démo OpenGL ??

De l'analyse de risque à l'audit technique, ou (plutot) l'inverse

Tentative de présentation du fonctionnement d'un service de l'Education Nationale..... mais 4 minutes par rump, c'est 4 minutes.......

Réferentiel prestataires d'audit de confiance

Euh...... l'ANSSI recrute ? Ah, et fait de la doc, aussi......

AirScan

Un détecteur de réseaux Wifi sympa, fait exprès pour la Nintendo DS (et DSi). Un des avantages: le chipset Wifi de la console ne filtre pas selon la qualité du signal, donc on voit beaucoup de réseaux !

Mots de passe

Ou comment quand même casser quand on a pas un PC de gamer, parceque 1500€ c'est un joli budget rue St Michel ..... Quelques stats intéressantes sur une base de mots de passe (américaine, essentiellement) diffusée récemment.

Visualisation et sécurité

J'ai pas trop suivi l'intéret de fond, mais ca fait de jolies oeuvres d'art néo moderne: Graph1 Graph2

Pas vu..... pris !

Histoire rapide d'un audit qui commence par "c'est la secrétaire la coupable", pour finir par "c'est l'admin sys, en fait"...... y'a plus de moralité........

JavaCard 2.2.2

Euh.........

Charges utiles pour le return-oriented programming

Cette rump a existé si j'en crois ma liste de photos.... par contre, d'après ma vielle cervelle, c'est une autre histoire........

Recherche de numéro de CB

Euh... un photorec orienté numéros de cartes bleues en clair sur les disques, en très très résumé.....

NMAP Killer

ou comment mettre un scan NMAP en vrac en ralentissant les paquets en userland...... un vrai IPS qui fait détecteur de scan de ports et qui blackliste l'IP, je suppose que ca fonctionnerait aussi...... je dis ca, je dis rien......

Orchids IDS

Un projet qui a l'air sympa, sauf que la partie NIDS n'a été qu'évoquée, et que tous les exemples étaient orientés HIDS..... à creuser......

Victorinux Secure Pro

Comment vendre super cher une clé USB avec token de lecture d'empreinte digitale bateau, mais avec une bonne équipe marketing pour vous dire que c'est du chiffrement méga fort, que le lecteur d'empreinte vérifie votre pression sanguine, et qu'il y a même un système d'auto destruction en cas de tentative d'attaque du machin.....

Ils sont forts, parfois, au marketing.......

Réponse sur incident

Grandalf graph drawing

Et forcément, parceque les slides en pratique ne se sont pas déroulées comme annoncées sur ma photo d'au dessus, j'ai loupé des trucs, je crois....... et j'espère ne pas en avoir inversé.

SSTIC 2011, Day1

Thoughts on Client System Security

Ca commence fort.... enfin, ca commence en anglais, déjà..... vérification rapide, on est bien à Rennes, le taux de barbus n'est pas assez élevé pour trahir une brèche dans le continuum spatio-temporel qui m'aurait embarqué direct à l'EuroBSDCon de cette année, donc ca doit être normal....

Postulat de départ: si votre station de travail est compromise, c'est grave, puisqu'elle est l'interface parfaite non seulement pour espionner tout ce que vous faites, mais aussi pour éventuellement se faire passer pour vous (quoique certains ont mis au point des algorithmes très complexes à bases de fautes d'orthographe pour rendre la contrefaçon facile à détecter......).

Joanna (oui, ca fait style de présenter les orateurs par leur prénom, même quand on ne les connaissait pas encore hier soir) nous présente donc différents modèles d'isolation des applications, pour ..... bah pour limiter la casse dans le cas ou une application serait compromise (oui, ca arrive encore de nos jours d'avoir des bugs et des vulnérabilités dans les programmes, c'est dingue, non ?).

Mais bon, tout ca, c'est du passé, maintenant, non ? Je veux dire: à part quelques dinosaures néphophobes, tout le monde est passé au 100% cloud, et il suffit juste de lancer plusieurs firefox différents pour chaque application ! Ou alors on m'aurait menti ?

Finalement, l'idée est plus de présenter différents modèles d'isolation, pour ..... montrer que c'est probablement impossible ..... en tout cas pas dans un environnement "moderne", ou on (vous savez bien ..... eux ..... les ...... utilisateurs.....) veut pouvoir faire du copier/coller d'une appli à une autre, pouvoir cliquer partout pour lancer des trucs qui font des machins en interaction avec les choses, etc.......

Joanna nous présente aussi Qubes, un truc qui utilise Xen pour isoler les machins.......

BitLocker

Note pour ma soeur: non, je n'ai pas profité de la pause pour me barrer et rejoindre un salon de l'érotisme, on est toujours en train de parler d'informatique.

On parle donc de BitLocker, un truc qui chiffre toutes les données sur les disques, sous Windows.....

Grand suspense pendant les slides d'explication du fonctionnement du machin: est-ce qu'il est la juste pour nous l'expliquer, pour nous dire que c'est bien, ou juste pour montrer comment on casse ce chiffrement via un salt faible, un hook quelconque ou quelques autres bouts de code ASM ???

Bah ca attaque..... et c'est des attaques très évoluées à base entre autres de scripts VBS et de scénario "evil maid", très en vogue ces temps ci...... enfin, ca attaquouille, quoi, le truc semble quand même assez résistant tant qu'on a pas le password admin.....
Et au moins, une démo sans risque d'effet démo, avec du coup des effets visuels pour bien nous montrer ou qu'on doit regarder parceque c'est la que c'est important....

Silverlight ou comment surfer à travers .NET

Rien qu'au sujet, je sens que je vais être hyper concentré.....

C'est ca aussi les conférences de ce genre: on peut faire une conférence qui intéresse mille personnes, mais pas forcément mille conférences qui intéressent une personne......
Bref, 100% des conférences n'intéresseront pas 100% du public.....

Donc voila, .NET et Silverlight c'est tout moisi et on fait plein de trucs vilains avec ca ...... voila voila......

Tout ca pendant que de dangereux hackers tentent de pirater mon portable en faisant croire qu'ils sont au téléphone non stop depuis ce matin et qu'ils ont besoin de recharger sur ma prise USB..... même pas crédible:
JP-tel

XSSF: Démontrer le danger des XSS

Au départ, le sujet m'emballe pas beaucoup plus que le précédent....... mais un gars qui présente "un framework pour rendre les attaques XSS beaucoup plus faciles" ne doit pas être fondamentalement mauvais:
XSS1

Et en prime, les slides sont sympas:
XSS2

Petit rappel cependant aux futurs orateurs: l'effet démo existe, on en a encore la preuve ce matin :-)

Pause déjeuner

Sponsorisée par le RU, comme tous les ans.... honnetement, je m'attendais à pire......

En plus, cette année, c'est bien foutu, y'a des Boys pour porter les sacs lourds:
Paolo-Boy

Rainbow tables probabilistes

Ca fait 2 minutes que je cherche un jeu de mots pourri genre "je vais probablement pas suivre", mais même pour ca je suis pas super inspiré, en fait..... surement l'effet digestion.

Et puis bon, vu la page d'intro des slides, on va jouer à sortir d'un labyrinthe, ca peut être sympa...

Bon, en résumé, Markov a vraiment bossé sur plein de trucs qui servent, et salez...... vos hashes de mots de passe, je veux dire.....

Ah, et arretez d'utiliser "passw0rd", "toto42" ou "Soleil" comme mot de passe, ca sera déjà pas mal.....

Memory eye

Ah, voila, on est apparemment partis sur une des traditionnelles confs de reverse engineering (euh, excusez moi, rétro-ingénierie en bon français dans le texte), ou ca parle de heap, de stack, de chunks, de threads, tout ca....
Et on devrait en toute logique avoir quelques slides d'ASM, c'est toujours sympa à lire l'après midi....

Ah bah non, finalement, on a droit à une démo haute technologie, qui tourne avec une carte graphique dernier cri, de Dwarf Fortress......

Ouf, ca finit quand même par un truc ou on voit des eax, eip, une liste de chunks, tout ca...... bah tout ca pour avoir un nain qui a le poil brillant sans se fouler......

Ok...... ca reste la première démo de lancer de nain en hexa, ca a le mérite de l'originalité !

Attaque d'implémentations cryptographiques par canaux cachés

"Canaux cachés", ici, c'est carrément ce qu'on peut lire via un oscilloscope, rien que ca.....

Donc, après une petite étude à l'oscilloscope d'un circuit éléctonique en train de chiffrer un truc, et explication d'un truc mathématique ou j'ai rien compris ..... bah .... j'ai rien compris, justement ..... et vu le bruit de fond dans l'amphi, je dois pas être le seul !

C'est dommage, si on avait réussi à comprendre ce que dit ... on va l'appeler "l'orateur" quand même..... bah ca aurait peut être été intéressant.......

Sécurité du système Android

Aaaaaahhhhhhh, la, on va avoir droit à une conf intéressante, c'est du garanti, puisqu'elle est faite par le désormais célébrissimmmmme (au moins au SSTIC) Nicolas Ruff.
Nicolas commence par une (très rapide) présentation de l'android, avant d'enchainer sur son opinion du langage le plus utilisé sur android: Java (indice, ca parle de poubelle, à un moment.....).

Quelques minutes plus tard, on retient que les applis android sont pas forcément mieux que celles facebook, et que le modèle de sécurité est ...... disons flexible.....

Sans parler des shells root et autres joyeusetés en clair proposées en standard sur les firmwares de certains constructeurs ou fournisseurs......

Avec un peu de chance, mon (très vieux) nokia 3110 traine encore dans un carton à la cave...........

Second soir, entre réconfort et....... euh ........

Ca perturbe un peu la tradition, mais on a quand même pu aller manger ce soir au Wok de Rennes, comme ca je ne suis pas trop perturbé quand même dans mes petites habitudes...... Ca, c'était le coté "réconfort".......

Ensuite, comme la tradition le veut également, nous sommes allés dans la "rue de la soif", ou nous avons fait un superbe échec critique en choix de bar, surtout comparé à hier.....

Au programme, donc, dégustation de Super Bock, de Malouine ou de Breizh cola....... comme on dit avec style, "on boit pas ca n'importe ou"..... et c'est pas plus mal comme ca...... malouine

SSTIC 2011, Day0

Vanhu is back, physically and ..... physically.....

Cool, mon blog fonctionne toujours !

Eh oui, cher ami lecteur (cette formulation au singulier est censée être une figure de style pour parler de façon plus intimiste à chaque lecteur, et pas du tout suggérer le fait que je n'aie plus qu'UN lecteur sur ce blog.....), comme tous les ans, c'est le SSTIC, et une bonne occasion pour moi de dépoussiérer ce blog.....

Ah, et accessoirement de faire exploser les stats de visites, pour ceux qui mettraient des liens vers ce blog comme les années précédentes, j'ai mis un tag dédié.

Et donc, conformément à ma tradition de live blogging (toujours à prononcer un peu comme "serial killer"), y'aura un billet par jour, à commencer par le "day 0", celui de notre arrivée sur place, des photos, généralement mises à la bourre, des rééditions de billets dans tous les sens à en faire fondre les lecteurs de flux RSS, des explications rien que pour ma soeur, des commentaires hyper subjectifs sur les présentations (zut, Sid n'arrive sur Rennes que mercredi soir, je peux même pas vous dire d'aller sur son blog pour des commentaires sérieux sur les confs du premier jour.....), tout ca.....

The A-Team

Ouaip, cette année, on est venus en nombre (enfin, 5), dans une ....euh .... un .... un truc.... qui tenait plus du van de l'agence tous risques que de l'audi A3:
camion

Et, au cas ou ca aurait pas été assez drole comme ca de manoeuvrer ce machin, on a aussi eu droit à l'exercice sympathique du pneu crevé en plein sur l'autoroute, qui me permet au moins de savoir désormais répondre à la fameuse énigme de "combien faut-il d'ingénieurs en informatique pour changer un pneu": 5, ca suffit largement, dont celui qui tient le parapluie, celui qui lit la doc pour comprendre ou trouver la roue de secours, celui qui va poser le triange de sécurité loin, tout ca:
FredPneu

Premier soir, entre déception et réconfort.....

Déception, d'abord..... notre désormais traditionnel mardi soir au Wok de Rennes n'a pas été possible, fallait réserver...... mon désarroi a été terrible, comme vous pouvez vous en douter !

Mais bon, on a quand même eu une note d'espoir en trouvant un endroit civilisé rue St Anne: un bar à bières, avec de vraies bières (comprendre Kwak (dans un vrai verre à kwak (ouh, je recommence à bloguer en Lisp, moi.....)), karmeliet triple, Chimay, troll, etc....), et du saucisson !!!

Bref, de quoi me réconforter un peu avant d'attaquer ces trois jours intenses: bieresetsaucisson