Le retour de Thomas (@tomchop) sur les conférences de Hack in Paris 2012 (jeudi et vendredi)
21 Juin
Mikko Hypponen, de la société F-Secure, nous a peint un panorama digne d’un film de science fiction. De la cybercriminalité “banale”, jusqu’à une forme de cyberguerre, en passant par l’activisme en ligne, Internet est sans doute devenu le terrain de jeu d’aujourd’hui. Les malwares gouvernementaux n’en sont que le début : Stuxnet il y a quelque temps, Duqu, ou encore Flame plus récemment, ne sont, d’après Mikko, que le “sommet de l’iceberg”. En vue de donner des frissons à toute l’audience, Mikko dresse une analogie entre Internet et le nucléaire : ce dernier a perdu son innocence en 1945. Internet en 2011 avec Stuxnet.
Suite à cette keynote qui nous a bien mis dans l’ambiance, Klaus Majewski de la société Stonesoft nous a présenté leur dernière trouvaille : les Advanced Evasion Techniques ou AET. Réelle menace ou invention de Stonesoft pour augmenter ses ventes? La question se pose, d’autant plus que AET ressemble de près à APT, acronyme placardé dans tous les médias, et autrement menaçant… Cependant, la démonstration de Klaus fait son effet : des attaques habituellement bloquées par les divers dispositifs de sécurité passent tranquillement en employant une de ces techniques, qui s’attaquent à implémentation des protocoles de toutes les couches : fragmentation de paquets, changement de codage (de little endian vers big endian)… Un concept intéressant : plus une intégration dans un framework comme Metasploit, les développeurs comptent lancer un « proxy AET » : un proxy qui prendra un certain payload et qui le répliquera en utilisant toutes les combinaisons AET spécifiées. Voilà de quoi mettre l’eau à la bouche à plus d’un pentesteur…
Ange Albertini a fait une excellente présentation sur ses travaux de recherches concernant le format PE (Portable Executable) de Windows. Après avoir présenté son site web (qui pourrait s’avérer très utile aux reverse engineers : p101.corkami.com pour les débutants, ou encore pe.corkami.com pour ses travaux plus avancés), il plonge rapidement dans la technique en détaillant comment les headers du PE peuvent être manipulés afin de créer des exécutables valides (qui s’exécutent) mais dont le header PE ne correspond à rien de standard…
SCADA security :
Amol Sarawate revient sur les derniers incidents relatifs aux dispositifs SCADA, et analyse la cause de leur manque flagrant de sécurité. Il observe que la durée de vie de tels dispositifs est beaucoup plus grande que celle de l’informatique grand public : ce qui rend les mises à jour beaucoup plus complexes, car le matériel doit toujours pouvoir fournir des interfaces compatibles avec les ordinateurs qui les contrôlent. L’exemple qu’il choisit pour illustrer le manque de versatilité des dispositifs SCADA est édifiant : « certains industriels n’ont jamais rebooté leurs dispositifs SCADA par peur qu’ils ne se rallument pas« . Cela montre à quel point l’industrie adopte la posture de « on y touche pas tant que ça marche – même si ça fait 20 ans que ça tourne« . En somme, c’est un secteur qui n’a jamais eu besoin de se préoccuper de la sécurité car ses dispositifs n’étaient pas connectés à internet. Mais, maintenant qu’ils le sont, ils se trouvent avec quelques décennies de retard en matière de sécurité.
XML
Nicolas Grégoire nous expose ses travaux en matière d’exploitation du langages XML. Vecteur d’attaque souvent ignoré, le langage XML, et surtout ses langages de traitement (comme XSLT) peuvent devenir très dangereux s’ils sont utilisés à mauvais escient. Ainsi, Nicolas montre comment il est possible d’exécuter des commandes (ou lire des fichiers, établir des connexions réseau…) en fournissant un document XML spécial à un document XSLT hébergé sur le serveur cible. Les vecteurs d’attaque XML sont multiples, et il est d’autant plus important d’en comprendre les enjeux que ce langage devient de plus en plus populaire.
Securing the Internet :
Cette conférence a sûrement été la plus inspirante de toutes celles de Hack in Paris 2012. Jayson Street, vieux loup de la sécurité s’acharne à expliquer sa vision du vrai métier d’expert en sécurité informatique ; non sans critiquer la vision que beaucoup de personnes pourraient avoir. Par exemple, lorsqu’il s’agit de l’éducation des utilisateurs, Jayson insiste que le réflexe de dire « quel idiot, il a cliqué sur la pièce jointe » devrait devenir « quels idiots nous sommes, nous n’avons pas réussi à éduquer correctement nos employés ou collaborateurs« . Il expose aussi sa vision sur l’industrie de la SSI. Il l’a divise en 3 catégories : les industriels (les entreprises, leurs RSSI, etc.), la communauté (chercheurs, amateurs, pentesteurs, hackers), et finalement ce qu’il appelle la « scène infosec » : les « grands » blogueurs, chercheurs, twittos… Qui, selon lui, sont totalement déconnectés de la partie « industrie » ou de la réalité du secteur. Son message est clair: la communauté est là pour faire le lien, et même si elle est pas gigantesque, elle est indispensable au bon fonctionnement de l’écosystème. Ainsi, il s’adresse au public en nous suppliant de partager nos projets, nos idées de recherche, et nos ambitions. « Si votre thèse a déjà été faite, publiez la quand même : la communauté pourra bénéficier d’un nouveau regard sur le sujet. Faites des blogs, partagez vos coups de gueule sur twitter... ». Un message d’échange, de partage et d’apprentissage que la communauté devrait s’empresser d’assimiler.
C’est sur ces belles paroles et ce message d’espoir que se concluent les conférences de Hack in Paris. Merci a Nicolas Caproni de m’avoir donné la chance de pouvoir y assister, à Guillaume Vassault-Houliere davoir accepté ma présence dans les lieux, et à toute l’équipe de Sysdream qui se sont bien demenés pour mettre en place ce bel événement. Merci à tous !
Thomas Chopitea