Comme promis, un premier billet pour vous donner mon ressenti sur l’édition 2012 de Hack in Paris. Suivront plusieurs autres articles consacrés aux formations (Malware reverse engineering et iOS attack and defense) et aux deux jours de conférences par mes amis Thomas Chopitea (@tomchop_) et Anastasia Rumyantseva (@anastayseea).
Donc jeudi 21 juin, réveil très matinal puis direction Marne – La Vallée pour Disneyland Paris et le centre de convention de l’Hôtel New York ! Globalement, j’ai passé une bonne journée, riche en conférences intéressantes. Certaines m’ont vraiment plu, d’autres un peu moins. Moi qui ai plutôt l’habitude des conférences franco-françaises, ça change et ça fait du bien de suivre des conférences en anglais et par des intervenants internationaux reconnus.
Keynote : Where are we and where are we going?
La journée commence par une keynote du célèbre Miko Hypponen (@mikko), Chief Research Officer chez F-Secure. Une conférence assez générale mais qui revient sur toutes les tendances du moment en matière de sécurité informatique. De la sécurité des iPhone à Flame en passant par Stuxnet et les ransomwares. A retenir :
- Google Chrome, le navigateur le plus sécurisé selon lui. Et selon les statistiques données par les exploit kits des cybercriminels
- Les cyber attaques sont menées par 3 catégories d’acteurs :
- Les criminels
- Les hacktivistes (qui peuvent, selon lui, basculer vers la catégorie « criminels » quand ils commencent à monétiser leurs actions)
- Les gouvernements (Stuxnet, Flame…)
- Les leaks sur le programme « Olympic Games » aka Stuxnet qui auraient été motivées par l’approche des élections présidentielles américaines…
La phrase de cette keynote :
“@mikko: Nuclear physics lots it’s innocence in 1945. Computer science lost it’s innocence in 2009.#stuxnet”< great talk at #HIP2012
— Jérôme Léonard (@_JLeonard) Juin 21, 2012
Talk 1 : “What are the new means for cybercriminals to bypass and evade your defenses?”
La deuxième intervention de la matinée ne m’a pas franchement convaincu. Klaus Majewski de Stonesoft (également sponsor de l’évènement) est revenu sur les AET (Advanced Evasion Techniques), concept intéressant mais tellement marketing… comme son intervention qui s’est rapidement transformée en simple discours marketing vantant des produits de sa société et qui s’est terminée sur une démo #failed (et tellement prévisible). A oublier…
Notified the vendor so they can change the passwords I’ve never seen someone show so much internal info for a demo! 🙁 #HiP2012 #Fail
— Jayson E. Street (@jaysonstreet) Juin 21, 2012
Talk 2 : « Human Hacking«
La troisième conférence traitait du Social Engineering : “In my mind, SE is the biggest issue today!“. Chris Hadnagy, auteur du livre « Social Engineering: the art of human hacking » (dont je conseille fortmement la lecture), nous a donné une très bonne présentation sur le sujet, accompagnée de nombreux exemples concrets et de statistiques intéressantes (notamment sur les mots de passe – à lire sur http://no.spam.ee/~tonu/passwords.html). Rien de neuf néanmoins mais la qualité du speaker, son expérience et son sens de l’humour ont permis de ne pas s’ennuyer et de passer un bon moment.
RT @xme: Social Engineers LIKE Facebook 😉 #HiP2012 <- because Facebook is social engineering 😛
— Tomasz Miklas (@tomaszmiklas) Juin 21, 2012
No need to break firewalls and IDS if you know your victim security question 😉 #HiP2012
— Xavier Mertens (@xme) Juin 21, 2012
Déjeuner
L’occasion de goûter au burger du Steakhouse de Disneyland. Merci à @tomchop_ et @anastayseea pour ce bon moment !
Q/A : Computer Network Defense
Changement de dernière minute, une conférence a été annulée et remplacée par une session de questions/réponses avec Winn Schwartau, Jayson Street et Chris Hagnady.. Une reprise tranquille après un bon déjeuner. Plusieurs thèmes ont été évoqués dont le BYOD et le Cloud Computing (de grands classiques des conférences sécurité).
RT @thomasbl_: « every time some1 says ‘cloud’, god will kill a baby » < not just a bay, also a smalll kitty! :p < And a sales guy? 🙂#HiP2012
— Xavier Mertens (@xme) Juin 21, 2012
Talk 3 : “HTML5 Something Wicked This Way Comes »
Une conférence très intéressante sur les problèmes de sécurité liés à HTML5 et notamment du « filejacking » avec Chrome qui permet de récupérer des fichiers sur l’ordinateur de la victime. Krzysztof Kotowicz a su se montrer très dynamique et ses scénarios d’attaques exploitant les failles de HTML5 sont assez impressionnants (et plein d’humour).
Talk 4 : « Results of a security assessment of the Internet protocol version 6 (IPv6) »
Fernando Gont nous a malheureusement fait la plus soporifique des interventions de la journée. IPv6 est un thème intéressant mais là on a eu le droit à un énième résumé des caractéristiques de ce protocole. L’aspect sécurité n’a été abordé qu’en fin d’intervention (alors que je commençais honnêtement à me lasser…).
Le dernier mot pour @anastayseea :
A kind of déjà vu on #hip2012 Fernando Gont’s talk on #IPv6 Security … #HES2012
— Anastasia R. (@anastayseea) Juin 21, 2012
To remember from this talk: « Deploying #IPv6 networks without proper training is insane! » #HiP2012
— Xavier Mertens (@xme) Juin 21, 2012
Talk 5 : « Weapons of Max Destruction V4 »
Jorge Sebastiao est revenu sur Stuxnet. Rien de nouveau mais un bon rappel des éléments maintenant assez bien connus sur cette cyber arme américaine.
Talk 6 : « PostScript: Danger Ahead! »
Une autre conférence originale (à l’image de l’exposé sur HTML5) qui traitait de PostScript, un langage informatique notamment exploité par Adobe. Un vieux langage avec de nombreuses failles de sécurité à exploiter sur les ordinateurs et surtout sur les imprimantes multi-fonctions. Très intéressant.
Conclusion de la journée
Mon impression sur cette journée de Hack in Paris 2012 est très positive. La série de conférences a été très riche et très intéressante grâce à des intervenants de qualité.
Certaines étaient bien sûr moins captivantes que d’autres mais dans l’ensemble j’ai toujours appris quelque chose et c’est l’essentiel ! Merci aux organisateurs et à Laëticia Berché pour l’invitation ! Malheureusement je n’ai pas pu assister à la deuxième journée de conférences mais @tomchop_s’est chargé d’en faire un compte-rendu complet (accompagné par celui de sa formation sur le reverse engineering) et @anastayseea nous a fait un retour sur la formation sur iOS. Les billets seront publiés vendredi ! #soonPour plus d’informations sur ce #Day1 : http://blog.rootshell.be/2012/06/21/hack-in-paris-2012-wrap-up-day-1/
