Salle comble, avec 160 participants, des intervenants venus du monde entier, des conférenciers aussi passionnants que réputés, un éclectisme des thèmes abordés digne d’un Hackito, un rigorisme technique tout universitaire : GreHack, la toute première conférence sécurité organisée dans le cadre de l’Ensimag (http://ensimag.grenoble-inp.fr/) de Grenoble, laisse présager un avenir prometteur. C’est en effet pour l’heure la seule conférence sécurité se déroulant dans le quart sud-est de la France, à à-peine plus d’une heure de route de Lyon et d’Annecy, à portée d’autoroute de la région Paca, autrement dit en prise directe avec la seconde et la troisième plus grande ville de France. Il ne faudra pas rater l’édition 2013, et espérer qu’elle ne souffrira pas de « l’effet Sttic », cette lutte acharnée pour l’obtention d’une place durant la courte demi-journée d’ouverture des réservations.
Pourtant, pour Fabien Duchène, l’un des organisateurs de la manifestation, la partie n’était pas jouée d’avance. « Il fallait tout d’abord inciter des chercheurs à venir, des chercheurs capables d’offrir aux participants des travaux originaux, et non pas de nous ressortir une présentation ayant déjà été inscrite au programme d’une autre manifestation. Il était ensuite nécessaire que ladite recherche offre toutes les garanties de sérieux et de précision qu’une telle manifestation exige… beaucoup n’ont pas passé le filtre du comité de lecture »… l’une d’entre elle a même été annoncée sur le site Web de GreHack puis refusée in-extrémis.
Il faut dire que la barre a été placée assez haut, avec, en « guest star », une analyse de Kostya Kortchinsky (dans une allocution en direct de Seattle) des possibilités d’exploitation des failles Windows depuis les années 2000. Analyse, précisait l’intervenant, qui n’était en aucun cas l’expression officielle de son employeur (Microsoft) mais le résultat de plusieurs années d’analyse et, précisément, de recherche d’exploits. Kortchintsky travaillait récemment encore pour Dave Aittel, fondateur d’Immunity Sec, entreprise spécialisée dans les tests de pénétration. Sans exploit, pas de pentest, sans expert, pas d’exploit.
Plus qu’un passage en revue à la sauce « trustworthy computing », c’était là une dissection des contre-mesures et des multiples améliorations que Microsoft a apporté au fil du temps à son noyau et applications (DEP, ASLR entre autres choses). Discours appuyé par quelques exemples dont la fameuse faille « ani » CVE-2006-4777, le trou Upnp MS07-019/ CVE-2007-1204 ou la faille TCP/IP MS10-009 largement commentée. Largement commentée mais pas franchement largement exploitée. « depuis 2009, il n’y a pas eu d’exploitation remarquable du code Windows » estime Kostya.
Cette présentation « core code » en suivait une autre, plus « infrastructure », celle d’Eric Freyssinet, sur un sujet déjà abordé mais tellement polymorphe et complexe : la typologie des botnet. Les transparents de cet exposé sont disponibles sur les serveurs de GreHack, tout comme ceux de bon nombre d’autres intervenants.
Une typologie nécessaire, car le Botnet, c’est le fourre-tout de la cyberdélinquance, le véhicule (ou plus exactement le réseau) qui favorise la circulation de spam, de virus, d’opérations scareware, de trafics divers, le tout lié à des filières de blanchiment d’argent. Peu d’organismes publics ou indépendants se sont penchés sur ces toiles complexes. Dancho Danchev à l’époque où il était chercheur indépendant, quelques experts de l’Unicri comme Raoul Chiesa, aucun, pourtant, n’a observé une démarche aussi méthodique et complète. A ne pas lire avant de se coucher, on finirait par voir des cybertruands de partout.