Aller au contenu | Aller au menu | Aller à la recherche

Mot-clé - SSTIC12

Fil des billets - Fil des commentaires

samedi, juin 9 2012

SSTIC 2012, Day3

9h30 du mat...... déjà plusieurs personnes à attendre dehors quand on arrive, et le remplissage de l'amphi est très très honnête pour un lendemain matin de social event: AmphiVendrediMatin

Source Address Validation Improvements (SAVI)

Bon, entre le sujet et le ton de voix du speaker, on s'en sort bien pour attaquer un vendredi matin..... réveil très progressif d'organisé, même, puisque les orgas prendront soin de lui filer un micro qui fonctionne vers la moitié de la conf (ce qui vaudra un "ah, mais y parlait, le gars" dans la salle pas loin de moi :-) ).

Niveau contenu, c'est ...... bah...... un air de déjà vu, sauf qu'à l'époque c'était sur IPv4, et y'avait un peu moins de mécaniques à gérer......

Utilisation malveillante des suivis de connexions

Ou ça parlerait de comparaison entre le filtrage sous Linux et celui des BSDs

Eric commence en fait par présenter le suivi stateful, version simple, puis version moisie, quand on doit par exemple filtrer proprement du FTP. Quand on connaît, c'est chiant à suivre...... mais je me souviens d'un petit détail: environ 50% de sang frais au SSTIC...... dans cette proportion, combien de gens sont en fait en train d'apprendre (ou de se rappeler) comment ça fonctionne ? Probablement plus que ce que je pourrais croire......

La suite devient carrément plus intéressante: une démo bien faite de passage au travers d'un NAT.... dans le sens pas facile, évidemment: de l'extérieur vers une machine NATée..... le genre de cas de figure ou plein de gens croient qu'ils sont protégés.

On ne le répétera donc jamais assez: le NAT n'est PAS une protection !!!!!

Un autre conseil que je retiendrai: "choisissez bien votre prestataire quand vous déployez un Checkpoint"......

Cerise sur le gâteau: l'outil OpenSVP utilisé pour la démo est releasé en direct à la fin de la conf.

Influence des bonnes pratiques sur les incidents BGP

BGP, c'est en gros un protocole qui permet aux "gros tuyaux du net" de s'échanger leurs routes...... bref, c'est une des briques de base qui permettent à internet de tourner....

Et quand on voit les exemples de foirages de confs BGP ici et la dans le monde, c'est un miracle qu'internet ne soit pas par terre plus souvent !!!!!!

Netusse

Première présentation courte de la session de ce matin, faite par une moulasse un salopard de lâcheur de traître un suisse un boulet qui a failli oublier son sac à l’hôtel ce matin Clem1, un petit gars de chez google.... mais qui ne fait PAS une pres en tant que google: y'a le disclaimer dès le premier slide.

Ca c'est de la près de SSTIC: du backtrace de crash kernel (à moitié masqué, la vuln a été récemment reportée chez FreeBSD mais le fix n'est pas encore public), des explications détaillées sur un écrasage de HEAP, tout ça.....

Le fuzzeur de sockets de Clem1 sera (est ?) dispo sais pas ou (mais bon, une recherche google devrait permettre de trouver......).

Faudra que je pense à me faire dédicacer une photo à l'occasion ;-) Clem1

Vérification de code système par typage statique

Bon, bah voila, on est chauds pour écouter des trucs sur les pointeurs, le stack, tout ca, et c'est reparti !!

La, l'idée est de suivre, dans le code, les pointeurs kernel et les pointeurs userland..... ca a l'air intéressant, mais pas forcément très clair (ou alors c'est moi qui ai pas encore fini de digérer ma salade de fruits d'hier......).

Par contre, une fois de plus, ne faites PAS de démo en live, ca donne juste ca: demoshortpres

Création d'un outil de détection de domaines internet malicieux par analyse statistique et syntaxique

Waw, le titre est presque aussi long que le temps imparti pour cette dernière mini présentation....

Faut reconnaitre, réussir à capter son public quand on parle d'entropies et d'autres trucs mathématiques et probabilistes, ca impose le respect.....
Un des slides choppé à l'arrache (on espère tous qu'il pensera à publier !!!! :-) ): Shannon

Successes (and limitations) of (static) binary analysis

Bon.... en résumé, l'analyse statique, c'est bien, mais ça marche pas vraiment...... voila, voila.....

Pause déjeuner....

Les salauds, si on faisait pas attention, ce midi, on pouvait se retrouver à manger une platrée de carottes......

Le temps pour certains de récupérer un peu avant la dernière ligne droite..... Repos

Miasm: Framework de reverse engineering

La dernière ligne droite démarre vite, Fabrice a l'air d'avoir beaucoup de choses à dire en peu de temps...... voyons la première partie "torchée à mort".....

Bon, ok, il déconnait pas, ça va très vite (une sorte de Robert "Machinegun" Watson, mais avec l'accent du sud, en fait)..... j'ai juste eu le temps de retenir "cocolasticot" la calculatrice, et le fait qu'un truc se serait perdu au cactus ???

"l'assembleur, c'est un peu velu, ça pique aux yeux"...... la moitié de l'amphi doit être (un peu) rassurée :-)

"le but c'est de comprendre ce qu'on fait"..... c'était bien la peine de les rassurer y'a 5 minutes !

Probablement une des présentations qui aura été comprise par le plus bas taux de personnes, mais paradoxalement suivie par tout le monde (sauf un qui dort, apparemment).

je résumerai donc en une citation: "depuis tout à l'heure je suis en train de vous dire que j'ai refait qemu" (à lire très très vite) et une conclusion: si vous avez vaguement compris le sujet, allez voir miasm, et récupérer les slides !

Ou alors c'est pour pouvoir faire du rap à partir d'une bible dont vous êtes le héros ?

Rétroconception et débogage d'un baseband Qualcomm

Cool, il commence par répondre à la question que je me posais: un baseband (apparemment à ne pas prononcer comme "serial killer" et, on vient de me le préciser, à ne pas confondre avec un boys band), donc, c'est "la carte mère d'un téléphone portable".....

Et, comparé à la présentation précédente, on va apparemment avoir tout le temps nécessaire pour suivre..... au final, disons que si la sécurité bas niveau des téléphones vous intéresse, bah allez récupérer ses slides et/ou son papier.....

Protéger et défendre le cyberespace militaire : la démarche nationale

Dernière conférence, par un représentant de l'état major des armées, rien que ça. On peut aussi noter que le SSTIC finit cette année comme il a commencé: par une cravate !

Point de vue intéressant: certaines attaques informatiques sont vues comme de véritables opérations (para?)militaires, organisées, planifiées, lancées sur une longue période.

Autre observation: une attaque a beaucoup plus de chances de réussir si elle repose en partie sur un utilisateur interne du système (conscient ou non de sa participation à l'attaque).

Si le sujet vous tente, lisez les actes les slides.....

A défaut de suivre attentivement la fin de la conférence, j'aurai au moins pu chopper en flag un pourrisseur de bande passante ici: Tennis

Et un fan (de mon blog ou de pokemons ?): Fan

Faut décidément que je pense à faire une prochaine année ma rump sur "c'est bien sympa de blinder vos wifis et de dégainer le chiffrement, les gars, mais moi j'ai un gros téléobjectif, un gros capteur et je suis tous les ans au fond de l'amphi..........."

Va falloir y aller, maintenant.....

Eh oui, le SSTIC 2012, c'est fini, même si certains traînent visiblement un peu avant de partir: Fin

Le temps de faire une dernière photo des orgas qui ont encore fait un travail de fous pour l'édition de cette année: OrgasFin

Et on se fait des bisous, on verse une petite larme, on se promet de s'envoyer des cartes postales mails tweets, et normalement, on se reverra au moins l'année prochaine.

SSTIC 2012, Day2 bis

Une fois n'est pas coutume (mais si ça peut le devenir, c'est ok pour moi), le social event aura mérité son billet dédié.....

Petite halte touristique sur la route

Ah, bah voila, depuis des années que je passe pas loin, je sais enfin à quoi ressemble la devanture du cactus: cactus

Social event, nous voila !!!

Déjà, à l'arrivée, ça déconne pas, contrôle des badges: Badges1 Badges2

Désolé, j'ai pas pu enregistrer le méga effet multimédia qui permettait de savoir que notre badge avait été correctement lu....

Une fois cette formalité passée, on peut aller se ruer sur les premiers amuses gueules dispos: ASAmusesgueules

Et c'est parti pour la soirée:

SE-1 SE-2 SE-3 SE-4

Et bien sur, ça fait aussi du social: JP-Drague1 JP-Drague2

Happy birthday to you, SSTIC !

C'est enfin l'heure de la surprise, et l'équipe d'orga démarre le show: Orga-Show1 Orga-Show2

Pour un anniversaire, logique, on a droit à un gateau: Gateau

Et à quelques discours (ouais, forcément, en images, on se rend moins compte de ce qui a été dit, même pour ceux qui savent lire sur les lèvres): Discours1 Discours2 (rahlala, comment j'ai honte de ma photo, la ..... et il me reste peu de temps pour tenter d'en faire une autre qui lui rende honneur !!!!) Discours3

La surprise, c'est aussi champagne openbar pour le reste de la soirée !!!!! Champagne

C'est à croire que les orgas veulent vraiment faire boire tout le monde, surtout quand on voit les techniques fourbes type "regard presque implorant d'une serveuse sympa et mignonne quand elle vous demande si vous voulez être resservi":
Serveuse

C'est tellement efficace que je me suis même retrouvé à manger une salade de fruits !
Si je suis malade vendredi, ca sera à cause de cette salade de fruits, c'est certain........

SSTIC 2012, Day2

Réveil difficile....

Le matin au SSTIC, c'est pas très fréquent d'avoir tout le monde à l'heure pour la première conf.

Bon, en même temps, cette année, il y a également des travaux sur les routes partout autour du campus, ce qui n'aide pas à arriver à l'heure. Entre ça et la météo pourrie, je me croirais à la maison !

Pour le remplissage de l'amphi, donc, cette année ne déroge pas à la règle: AmphiJeudiMatin

Compromission d'une application bancaire JavaCard par attaque logicielle

Faut dire aussi, le premier sujet du matin est un classique du genre ici: une conf sur les javacards. Pour ma sœur, et pour ma blonde préférée, non, on ne va pas parler ici des cartes de vœux en java que n'importe qui peut s'envoyer par mail (en faisant la recherche en français pour le lien, j'ai trouvé que ca, pourtant.....), mais de cartes format "carte de crédit" dans lesquelles on fait tourner des applications en java. Et la, bah on veut de la sécurité, alors qu'on a déjà pas beaucoup de place pour faire tourner les machins......

Donc, disais-je, ce genre de sujets est un classique ici: il y a tout à fait sa place, ca parle de sécurité, c'est technique, tout ca, et pourtant, personne ne vous dira clairement que ca le passionne d'écouter...... certains sous-entendront même que bon, pas de chance, pendant cette conf la, ils avaient piscine, tout ca.....

Du coup, en caler une en première conf un matin, je soupçonne quelques personnes de s'être dit "si j'arrive un peu en retard à celle la, c'est pas très grave......."

Pendant que l'amphi se remplit (plutôt bien, faut reconnaître)..... Amphi2

La conf est finalement assez conforme à ce à quoi je m'attendais: c'est technique, c'est probablement très intéressant pour les gens qui s'intéressent au sujet, et pour les autres, bah on suit vaguement, en se disant "waw, ca à l'air pas mal, faudrait que je regarde le sujet d'un peu plus près un de ces jours", mais on le fera jamais, même un dimanche après midi quand on aura zappé 3 fois l'ensemble des chaînes à la télé pour constater qu'on a le choix entre un épisode de Friends qu'on a déjà vu 0xFFFF fois, Derrick ou un truc de télé réalité (faudra que je regarde un truc de télé-réalité un de ces jours, je suis même pas foutu de citer un exemple)........

La conclusion me fait quand même un peu froid dans le dos: "la carte d'exemple implémente toutes les sécurités de la norme, plus des sécurités complémentaires, mais c'est pas grave, on sait la péter et en faire ce qu'on veut....."

IronHide: Plate-forme d'attaques par entrées-sorties

Ah, on parlait de classiques, justement.... celle ci en est un autre: l'attaque par un vecteur matériel.

On a vu il y a quelques années l'attaque par canaux DMA (via Firewire), l'attaque par le bus PCI, cette année, c'est par PCI Express, faut bien se moderniser un peu (est-ce que quelqu'un présent au premier SSTIC peut confirmer qu'il y avait bien une attaque par bus ISA présentée cette année la ?).

Autant la première année, on trouve ca bluffant (surtout l'outil d'exploitation mémoire présenté par l'attaquant Firewire), mais au bout d'un certain temps, on finit par juste écouter d'une oreille distraite en se disant à un moment "ah ouais, en pétant la mémoire comma ça aussi, ça fonctionne..... logique......".

Bah voila, via PCI Express aussi, ça fonctionne....... la démo d'attaque directe du contrôleur clavier est marrante, faut reconnaître.

La qualité d'hébergeur en 2012

Sujet qui m'intéresse pas mal à priori, et qui est présenté ce matin par un représentant (ouch, le directeur juridique, qui attaque sans slides....) d'une société que je ne peux plus critiquer depuis quelques jours, pour raisons familiales, dirons-nous.....

Décidément, les subtilités juridiques, c'est pas mon truc..... le sujet reste cependant très intéressant, pour toute personne qui peut un jour se retrouver "hébergeur"..... et vu la définition, rien qu'en autorisant les gens à poster des commentaires sur ce blog, apparemment, je suis hébergeur......

Au moins, la conf sans slides, ca permet de faire une vue du fond de salle: AmphiFond

Pause

Pendant ce temps, il y a des orgas de corvée d'accueil qui bossent dur:Accueil

Et nous, on peut méditer tranquillement en profitant du jardin "ambiance japonaise"... Drache1 Drache2

Et les fumeurs peuvent s'entasser à l'abri: Fumeurs1 Fumeurs2

Résultat du challenge SSTIC

Un peu de stats sur le challenge, cette année, il semblerait qu'aucun bourrin n'ait tenté le bruteforce sur les emails (faut vraiment être vicieux pour avoir des idées comme ca..... faudra que je pense à releaser le script sous une licence opensource quelconque un de ces jours......).

Le challenge de cette année était finalement aussi compliqué à créer qu'à attaquer..... c'est déjà ca comme consolation ! Alors que pourtant, il y avait de supers lots à gagner, pour motiver les gens: LotChallenge

La solution présentée est assez dense en "et la ca se complique", "la ça devient vicieux", etc..... et l'auteur mérite vraiment sa salve d'applaudissements !

Pour les plus pressés, en attendant la publication des solutions officielles, une autre solution est déjà en ligne

Présentations courtes

Nouveau format cette année, plus court qu'une présentation normale, mais plus long qu'une rump..... voyons ce que ça donne.

Elsim + Androguard: détection de bibliothèques ?

Bon, honnêtement, entre suivre la conf et pouvoir faire mumuse tester un 5D MkIII sympathiquement prété par l'ANSSI mon voisin, j'ai craqué :-) (mais non, je ne changerai pas pour l'instant, même si la différence de bruit au déclenchement est impressionnante)

Dissecting Web attacks using hosted honeypots

Heureusement qu'il y a des gens sérieux qui blogguent aussi, j'avais même pas eu le temps de recopier le titre de cette présentation jusqu'au bout (et elle n'apparait pas sur le programme du SSTIC, qui dit juste "présentations courtes").

Bon, vu le sujet, et maintenant que vous avez le lien direct n0secure à portée de souris, hein.......... surtout que j'avais pris il y a quelques années déjà la bonne résolution de ne plus jamais parler ici de pots de miel........

Durcissement de programmes C avec SIDAN

Ah, voila un sujet qui devrait nettement plus accrocher mon attention !

L'outil en question fait donc une analyse puis une instrumentation d'un programme (en C, donc) pour vérifier des invariants..... dans l'idée de base, ca me fait un peu penser à PaX présenté hier en keynote, ou j'en tire la même conclusion: j'aimerais bien pouvoir dire que ces outils sont inutiles et qu'il "suffit" de programmer correctement, mais dans la vraie vie, ça ne se passe pas comme ça........

Je suis aussi assez curieux de voir si cette instrumentation est efficace sur tout type de code en C.

On finit sur une démo, en live, ces jeunes qui ne se rendent pas compte des risques énormes de ce genre d'exercice..... heureusement que l'équipe d'orga est rodée: PorteMicro

Contrôle d’accès mandataire pour Windows 7

Ouais, encore un sujet qui me passionne..... et vu le nombre de gens qui sortent de l'amphi avant le début de cette présentation, je suis pas le seul......

Pause déjeuner

En arriver à finir les assiettes des autres au RU, franchement, je commence à me faire flipper, la......

Expert judiciaire en informatique

A priori, tout le monde attend cette conf avec beaucoup, beaucoup d'impatience......

En cause, en particulier, l'actualité très récente liée à l'auteur de la pres (merci à Ronan pour le billet très détaillé sur le sujet, ca m'évite de devoir le faire :-) ).

En gros, un blogueur très connu, qui gardait bien son anonymat, se serait fait "péter le blog" (comme on dit pas très courtoisement), hier ou ce matin, et son identité réelle a été révélée par l'attaquant, sur le site même (note pour moi même: j'ai bien fait de pas faire un blog anonyme, comme ça au moins, c'est une raison de l'attaquer en moins......). Sauf que, sur le programme du SSTIC (lien du titre), c'est bien indiqué "Par Mem Zythom"..... mais forcément, j'avais pas fait gaffe avant si c'était déjà indiqué comme ça, ou si ça a été modifié à l'arrache, maintenant qu'on sait, de toutes façons.......

Suspense, donc, pendant encore 20 bonnes minutes avant le début !

Bon, bah voila, c'est pas un fake, donc, comme il le dit lui même: il fait maintenant partie du club des défacés anonymes (lu sur twitter: "Si à 50 ans ton blog n'a pas été défacé, c'est que t'as raté ta vie numérique")....

En exclu intergalactique (et après demande à l'intéressé, Ze photo : Zythom

Après un point sur cette actu, la vraie conf commence..... et faut avouer, il sait donner envie de devenir expert judiciaire !!! ExpertJudiciaire

Pour les statistiques: ca y est, on aura parlé de Photorec cette année.

Partie intéressante, et je m'étais souvent posé la question: la technique de sécurité la plus "balaise" qu'il a du contourner dans son activité, c'est un truc chiffré avec TrueCrypt, et encore, y'avait le mot de passe correspondant qui trainait sur un fichier du disque......
Autant dire que des gars vicieux capables de concevoir un challenge SSTIC seraient tranquilles pendant des années s'ils voulaient planquer des trucs (ou alors faudrait déclarer les challengers comme experts judiciaires ?).

En conclusion, un métier une activité complémentaire qui a l'air très intéressante, mais aussi pas mal éprouvante selon les dossiers qu'on doit traiter, et pour laquelle on rencontre des problèmes très variés, y compris l'épineux problème de la déclaration de ses revenus d'expert judiciaire pour les impôts !!

Forensics iOS

Je vous ai déjà parlé de mon allergie notoire aux pommes ? non ? on y reviendra dans le billet sur le social event, alors.......

Pendant ce temps, y'a un pauvre gars devant moi qui perd la moitié de son écran à chaque fois que je fais une photo: ecrannoir

Les rumps

Comme tous les ans, c'est un moment fort du SSTIC, et ça se pousse au portillon pour venir rumper comme des oufs: rumpers

En regardant de plus près, on notera que, d'une personne à l'autre, la concentration n'est pas la même: rumpers2

Comme tous les ans, la règle est simple: 3 minutes 30, cette année, pas une seconde de plus (les applaudissements du public seront la pour couper la présentation), un poil de rab est raccordé au cas ou un rumper toucherait le saint graal (non, rien à voir avec un pot de miel !): un public médusé qui le laisse continuer au dela du temps limite.

Mais revoyons la scène au ralenti (en espérant qu'ils soient bien passés dans l'ordre annoncé, ou en espérant que je me rende compte d'une inversion, ce qui n'est pas gagné d'avance....):

Logo SSTIC

Bah.... on a échappé à des trucs....... originaux.......

Fingerprinting de navigateurs webs

Erwan avait présenté l'année dernier un toolkit pour faire mumuse avec du XSS. Depuis, il s'est rendu compte que, en fonction du comportement d'un navigateur par rapport à quelques tests, on pouvait facilement l'identifier, voire le classifier. L'idée a l'air intéressante, quoique j'ai pas bien compris l'intéret des graphes à la fin.

Par contre, le style rappeur, c'est original: ErwanRap

DNS finger

Euh.... j'ai rien compris à l'intéret du truc présenté..... par contre, il a pas précisé si c'était certifié ISO 27001.......

Edit
Depuis mon retour du SSTIC, j'ai été sympathiquement contacté par Florian (l'auteur de la rump), qui m'a envoyé le papier de la rump en question.
La première information que j'en ai déduit, c'est qu'il y a donc de vrais gens qui lisent ce blog..... il va donc falloir que je commence à faire attention à ce que j'écris !
Ou alors je mettrai un plus gros disclaimer au début des billets "live blogging"....... ouais, je vais faire ça, en fait......

Sinon, en lisant l'abstract (ouais, je fais mon gars super occupé qui n'a le temps de lire que les abstracts :-) ), je comprends un peu mieux le "pourquoi" du truc.

Si j'étais le genre de gars à faire des raccourcis à 2 balles (et encore, c'est parce que j'ai pas la monnaie sur moi), je reprendrais un résumé fait par une personne que je ne nommerai pas qui a dit un truc genre "c'est LDAP over DNS".

Il se trouve que je suis effectivement le genre de gars à faire des raccourcis à 2 balles, mais présentement, j'ai choppé une info dans l'abstract qui a attiré mon attention: une partie de la mécanique sert à générer / utiliser des clés de chiffrement/signature utilisateurs, typiquement pour ses mails, sans avoir à sortir l'artillerie lourde d'une PKI.

Et autant ma sœur ou ma blonde préférée peuvent compter sur leur informaticien de service pour monter une PKi et leur signer leur certificat (enfin, une fois que j'aurai réussi à les convaincre que ça sert à quelque chose, forcément....), autant pour le voisin de la grand tante du cousin par Germain de la marâtre de tata Lucette, je vais pas forcément faire l'effort (d'autant plus que, en y réfléchissant bien, je n'ai pas de tata Lucette, de toutes façons.....).
Conclusion: bah va falloir que je trouve du temps pour lire l'article........

Entre temps, les slides et le papier court sont en ligne.

botnets.fr

Fuzzing de wireshark

Wireshark est ZE outil utilisé par plein de monde pour observer ce qui se passe sur les réseaux (analyser un problème, etc....). Il sait décoder une quantité monstrueuse de protocoles..... ca représente beaucoup de lignes de code.... donc des bugs potentiels, forcément.

Comme les données arrivent en direct du réseau, et que wireshark tourne souvent avec des privilèges élevés (pour pouvoir écouter tout le réseau, justement), c'est une cible de choix pour une attaque, et c'est donc intéressant de chercher ces éventuels bugs pour les corriger.

En résumé, on voit les choix de fuzzing du rumper, qui lui ont permis de trouver plusieurs crashes.

Un outil de décompilation de bytecode python

Y'a des gens qui ont posé des questions, j'en déduis que c'était intéressant pour quelqu'un que ça dérange pas de passer son temps à compter les espaces pour débbuguer.......

Reverse engineering d'une ROM GBA

Enfin des gens qui bossent sur des trucs utiles, qui vont limite changer la face du monde. Je n'ai pas de mots pour le décrire, le plus simple est de vos montrer le résultat lors d'une partie en live de Pokemon: PokePappy

XMCO Wolfy

Euh.... me souviens plus..... mais ils ont releasé une version spéciale SSTIC !

Hynesim 2.1

Coupé un peu vite par les applaudissements du public, ça fait quelques années qu'on voit les évolutions de cette appli, qui a l'air assez puissante pour déployer des réseaux de tests en masse.

.htaccess, miasm et sécurité web

Ou comment un gars a repéré, complètement par hasard, que le serveur du SSTIC a laissé trainer pendant environ 15 jours un .htaccess qui laissait l'accès à toutes les confs soumises et pas acceptées des années précédentes, et aux version beta des près de cette année.

On notera la réaction très rapide des admins SSTIC, qui ont corrigé le problème en moins d'1h après l'envoi de l'information.

Détail d'une opération

J'ai déjà pas compris ce que c'était "l'opération", alors de la à vous expliquer les détails.....

Scapy pipes

Phil nous présente une nouveauté de scapy présente depuis au moins 1 ans dans la version publiée, mais qui était apparemment passée innaperçu: un containeur qui permet de connecter des entrées et des sorties.... ca a l'air de rien comme ca, mais si je vous dis que Phil a tout simplement explosé le temps qui lui était imparti, avec un public silencieux qui voulait voir la suite, vous pourrez en tirer la conclusion évidente: allez voir, en plus y'a une documentation nickel ! ;-)

Et pour ceux qui se poseraient la question, Phil qui fait une démo sur un truc de pipes, ça ressemble à ça: PhilPipes

Android 0 Day hunting

Ou comment google laisse traîner des fonctions genre:

int check_machin(args){
   /* TODO */
   return 1;
}

qui permettent de passer n'importe quoi à des fonctions privilégiées.

grehack

Annonce d'une conf en fin d'année, à Grenoble, ville qui a l'air d'avoir des arguments qui méritent l'attention.......
Notez qu'on ne nous a pas formellement confirmé qu'elle serait présente à la conférence...... mais ça parlait aussi de bières (ils ont de la vraie bière, à Grenoble ).

Ah, et il est encore temps de soumettre ...... des sujets pour cette conf....

Ca recrute aussi à Rennes.....

Voila, voila.....

RMLL 2012

Bon, voila, les RMLLs ont lieu cette année à Genève, mais ils n'auront pas Katsuni, eux......

LibreOffHips

Nouvelle version du pare-feu officiellement validé par l'Hadopi..... ca rox des ours !

OpenSource forensics avec dff

Un outil bluffant pour aller chercher de la data. Une interface, des outils de recherche bien faits, déjà pas mal de formats de fichiers supportés..... allez voir, et contribuez !!!!

On notera aussi les choix vestimentaires d'un des auteurs.... décidément, les rumps sont chaudes, cette année !!!! DorcelTShirt

Struts

Executer du javascript dans un PDF

Exécuter un truc dans un PDF, en soi, c'est pas folichon, ni très nouveau. La, y'a quand même un aspect technique intéressant: le code est embarqué en tant qu'image JPEG, et avoir une vraie image JPEG (ok, moche) qui est aussi interprétable en tant que code javascript, ca c'est marrant :-)

Attaque par relais sur smartcard

En gros, l'idée est d'émuler une carte de crédit, et pour être (un peu) plus discrets, on utilise un relai wifi et un dispositif embarqué.... à la photo, j'ai du mal à croire qu'un commerçant lambda n'aura aucun soupçon, mais bon, par rapport aux lasers que les rumpeurs utilisent d'habitude pour faire leurs malversations sur des cartes de crédit, je veux bien croire qu'il y déjà du mieux !

Criterium attack

Ou comment hacker un QR Code avec un crayon noir et du typex. Plutôt fun, comme idée, et en plus ca fonctionne (enfin, avec un delta de résultat assez léger, je suis curieux de savoir jusqu'ou on peut aller..... ca dépend probablement du niveau de l'attaquant quand il était en grande section de maternelle, en fait.....).

SSTIC 2012, Day1

Réveil difficile...

Dura vita, sed vita.......

Déjà pas mal de monde à l'inscription: Arrivee

Nous découvrons rapidement les nouvelles tendances de la mode, cette année. Pour les orgas, c'est...... comment dire...... jaune, y'a pas d'autre mot: Orgas-Jaune On notera que certains l'assument plus que d'autres, et qu'il y a même eu une tentative curieuse de croisement avec un Tshirt "normal", pour un résultat d'un vert douteux également.

Vous aurez donc brillamment déduit que pour nous, cette année, c'est bleu: tshirt-bleu Petite déception de ma part, contrairement aux années précédentes, y'a pas un grand dessin "sécurité" classe et original dans le dos, juste une grosse croix.....

20 Years of PaX

Non, on a pas fait tout ce chemin pour parler des noces de porcelaine de quelqu'un (fallait bien que je fasse une blague pourrie, celle la est la moins pire.... vraiment, croyez moi sur parole), mais pour parler de PaX, en gros un ensemble de patches pour améliorer la sécurité du noyau Linux, et pour rendre plus difficile (impossible ?) l'exploitation de bugs.

Par rapport à pas mal de keynotes d'années précédentes, ça attaque quand même assez rêche, par une présentation en anglais sur ce sujet pointu. Et en cravate, en plus (photo supprimée à la demande (très courtoise) de l'équipe de PaX.... dommage, il faisait partie de ceux qui ont fait l'effort de poser quand j'ai pris la photo !).

J'aimerais bien conclure un truc genre "ces outils, c'est le mal, la vraie solution c'est de coder propre pour ne pas avoir de bugs à exploiter"........ Mais bon, je suis lucide, j'espère juste qu'il n'y a pas trop de développeurs qui se diront "bah, y'a des protections ailleurs, on s'en fout de coder propre, du coup".

Pendant ce temps, dans les couloirs.....

Parfois, dans les conférences, c'est pas dans les présentations qu'on voit les trucs les plus hallucinants, mais dans les couloirs. Ce matin, j'ai assisté à un truc que je n'aurais jamais imaginé (garanti sans trucages !!!!): HB-flotte

SSL/TLS: état des lieux et recommandations

Tiens, une conférence d'un gars de l'ANSSI...

Premier rappel: les anciennes versions de SSL ont des failles de sécurité connues..... dans la vraie vie, utilisez au moins TLSv1.1 (ca devrait être le cas pour n'importe quel client ou serveur relativement récent).

C'est marrant, si je fais abstraction des mots "SSL" et "TLS", ca ressemble finalement assez aux problèmes qu'on rencontre avec IPsec..... mauvais algos de crypto, mauvaises configuration, comment bien gérer ses autorités de certification, les listes de révocation, etc.......

A un (gros) détail près: l'utilisateur lambda (outre le fait qu'il n'y comprend rien, évidemment) ne maitrise (?) que son client web, et l'administrateur ne maitrise que la configuration de son serveur....

Ah, et je viens de découvrir l'existence d'un moteur d'IPS Opensource "Next Generation", faudra que j'y jette un coup d'oeil au calme un de ces jours.

Netzob : un outil pour la rétro-conception de protocoles de communication

Pendant qu'on apprend qu'il n'y a plus de papier (quand je vous dit que le SSTIC est une épreuve de survie.......), ca va rétroconcevoir des protocoles de communication, donc......

Ok, je comprends pas trop l'usage du mot "conception", il s'agirait plus d'outils d'aide pour comprendre (voire reverse-engenirer (oui, ca doit pas s'écrire comme ca, moi aussi j'ai le droit de mettre quelques fautes, et mon correcteur automatique propose "reverse-engerber", ca doit pas être ça)) un protocole existant, et/ou pour le modéliser. C'est vrai que, présenté comme ca, le rétro-engeneering d'un protocole, ca a pas l'air simple: retroEng

Note: si quelqu'un peut m'expliquer l'intéret de l'URL encodée en base64 en bas des slides, qui point vers un lien goo.gl, qui pointe lui même vers un compte suspendu sur sarssi-conf.org (ou alors je me suis loutré en recopiant le base64 ? apparemment ça serait ca, mais comme j'ai vu 3 "bonne URL" différentes.....)

Une démo (en vidéo, ils ont pas pris de risques, c'est bien :-) ) plus tard, l'outil est vraiment sympa, quand on a (dans l'exemple) une capture réseau et qu'on veut comprendre le protocole IPv4...... bon, ok, l'exemple de la démo est pas super pertinent, mais au moins ca permet à tout le monde (?) de suivre et de vérifier ce que l'outil fonctionne, et il a l'air vraiment très sympa !

Sécurité de RDP

Pour mes lectrices qui se demanderaient ce qu'est RDP, c'est en très très résumé un truc pour se connecter à distance à un bureau Windows.

Et pour les gens qui veulent entrer dans ce genre de comptages mesquins, c'est une présentation faite par des gars de l'ANSSI.... 3, apparemment faut au moins ça vu le protocole (et ça a l'air dangereux, en plus !!!): Pres-RDP

Présentation (très très) rapide du protocole par Arnaud, et... euh ..... ok, ca a l'air simple et bien organisé, comme machin........

Coté sécurité, c'est aussi un vrai bonheur...... je retiens en particulier une clé privée en dur dans une DLL, et carrément documentée par Microsoft........

Pause déjeuner

C'est terrible..... au fil des ans, je crois que je commence à me faire au fait de manger au RU ici.......

Le temps pour Fred de lancer un concours, et ça repart !

WinRT

WinRT, c'est en gros "le truc de base derrière les applications de la nouvelle interface Metro du prochain Windows".... autant dire que mon attention lors de cette conf est quasi absolue.......

Par contre, un speaker qui prend le temps de faire le beau gosse pour la photo, c'est bien :-) preswinrt

L'information, capital immatériel de l'entreprise

C'est probablement pas très sympa à dire, mais j'ai trouvé cette conférence pas très intéressante......

En y réfléchissant un peu, je me dis que je suis probablement surtout déçu par rapport au niveau des confs "juridiques" des dernières années, qui avaient mis la barre très très haut en terme de qualité de présentation.

Je retiendrai quand même que, d'un point de vue juridique, il y a parfois une grosse différence entre "donnée" et "information", et que, en droit francais, le secret des affaires n'existe pas.

Audit des permissions en environnement Active Directory

(note: ANSII++)

Vu le sujet, j'ai hésité à rester. Lors de la première partie, ou on a eu le droit à de grandes explications sur l'organisation interne d'un AD, j'ai vraiment du prendre sur moi pour ne pas m'enfuir en courant.

Ensuite, les auteurs sont arrivés sur le cas de figure d'une intrusion: on réinstalle à peu près tout..... sauf une grosse base de ce genre... Or, en mettant les valeurs "qui vont bien", ca suffit largement pour se donner des accès ultérieurs, par exemple.

Or, il n'y a pas d'outil standard pour auditer une base AD à grande échelle (les joies de l'interface graphique qui gère entrée par entrée quand on a un annuaire à plusieurs milliers voire millions d'entrées.......), donc les auteurs ont fait leur outil maison d'audit à grande échelle.

Bah, mis à part le fait que faudrait que je commence par installer un AD pour commencer à réfléchir à envisager de m'en servir, ca avait l'air puissant, leur machin !!!

Windows 8 et la sécurité : un aperçu des nouvelles fonctionnalités

Super, encore un sujet original et qui va me passionner...... mais bon, c'est finalement assez logique d'avoir ce sujet ici, et à part moi, ca doit probablement intéresser pas mal de gens......

Après rapide vérification de la bio, le speaker est un représentant de Microsoft France, donc inutile d'attendre le moment ou on pourrait entendre "et la on peut contourner le truc à machin"...... bref, aucun intéret pour moi, d'autant plus que j'ai vraiment l'impression d'être devant un discours de vendeur: déroulement d'un cas de figure, peu/pas de détails sur comment ca fonctionne vraiment (UEFI et TPM sont magiques, ils protègent de tout.....), aucune réflexion sur "et comment on pourrait tenter de contourner ce nouveau système" (ou alors j'avais déjà décroché ?)......

Bref, vivement les questions, et la pres suivante !

10 ans de SSTIC

Par Fred Raynal, Nicolas Fischbach, Philippe Biondi...... bah ouais, forcément, n'importe qui ne peut pas se permettre de faire ce genre de récapitulatif historique..... eux, ils le peuvent: ancetres

Fred nous explique comment l'idée est arrivée au début des années 2000 (en résumé, une soirée trop arrosée), et compare SSTIC avec les autres conférences existantes à l'époque.

Nico prend le relai pour comparer ce qui se fait aujourd'hui.

L'équipe enchaîne sur plein de stats, durée de vente des billets par année, poids du président, et le top 5 de ceux qui ont fait des présentations ici.

Viennent ensuite les remerciements, en particulier pour Vero (au cas ou certains n'auraient pas entendu Fred le dire), puis la liste des epic fails (il y a eu un coma éthylique en 2010 ? et il n'y en avait jamais eu avant ?).

Fin de la première journée

Ca finit par un cocktail (en retard à cause du débordement de la dernière pres, mais on leur pardonne volontiers), et pour moi, par une petite crêpe (bah oui, on est en Bretagne, c'est limite obligé) pour ensuite rentrer m'écrouler.....

Au pire, demain, je dirai à Renaud que je l'ai attendu au Cactus..........

SSTIC 2012, Day0

Nettoyage rapide des quelques commentaires spams qui atterrissent ici de temps en temps, relecture rapide des années précédentes pour se souvenir comment ca fonctionne, et c'est reparti pour 4 jours intenses: le ANSSSTIC 2012 est arrivé !

Méthode habituelle: 1 billet par jour, en commençant par l'arrivée la veille au soir, des mises à jour de billets dans tous les sens à faire fumer les lecteurs de flux RSS, un tag pour les billets de l'année, des photos rajoutées plus ou moins au fur et à mesure, et Sid est dans la salle, son portable allumé, donc pour un suivi sérieux et pertinent des confs, c'est à priori par la, voire aussi sur n0secure, avec plus de détails, et des fotes en prime :-)

Ah, et bien sur, les outils modernes, channels #SSTIC, #anSSTIC et #trollSSTIC...... Faudra vraiment que je prenne un jour le temps de trouver un client correct pour ce machin...... ou pas......

Dernière respiration calme, et voila, ce billet est publié (mais va quand même être remodifié dans tous les sens ces jours ci), c'est parti !

On Ze road again......

Comme depuis quelques années, on est venus en voiture..... Après avoir un peu tiqué en apprenant qu'on aurait une Citroen C4 (j'ai de vieux souvenirs douloureux d'une édition des RMLLs en Citroen C2 Vert pomme......), finalement, ca s'est plutôt bien passé (pas de crevaison, pas de reboot de train pour nous, tout ca......).

Arrivés sur Rennes vers 19h, récupération d'un traitre transfuge CENSURE pote qui est parti apprendre à parler l'allemand suisse, petite bière en terrasse, et repas au désormais traditionnel Wok de Rennes, ou j'avais cette année pris la précaution de réserver (note pour les prochaines années: les numéros de tel de leurs 2 restaurants sont inversés sur le net). Même s'ils ont eu la mauvaise idée de remplacer les serveuses de l'année dernière par des serveurs, le repas était excellent, comme chaque année (oui, on y va quand même surtout parce que c'est bon !).

Petite soirée tranquille avant les confs

Depuis plusieurs années, j'ai pris l'habitude de faire une soirée tranquille et pas tard le premier soir, histoire de garder des forces (on rajeunit pas.......).

Donc, après le repas, direction la rue St Michel (la rue de la soif, quoi), pour retourner à la très bonne trouvaille de l'année dernière: le bar qui sert 18 bières pression (dont kwak, chimay, karmeliet triple, etc.....), et qui a des saucissons en prime (ouais, j'ai pas pris de dessert au restau......).

Le temps de siroter une petite bière tranquille, et et c'est l"heure pour les gens raisonnables de rentrer à l'hôtel....

Quand tout à coup, un inconnu vous offre un shooter

Quand c'est un inconnu, encore, ça se gère bien.....

Quand c'est un pote de SSTIC (oui, y'a les amis, les amis facebook, les potes de bar, etc.... et il y a donc les potes SSTIC), bah on traine 5 minutes, tout ça..... le temps qu'un autre arrive, on repasse une tournée, tout ca.......

Et avant de s'en rendre compte, on s'est fait chopper par une brèche dans le continuum spatio-temporel, pour arriver à l'hotel vers 2h du mat........ ça va être dur, cette année, je le sens........