2 juillet 2013, Rendez-vous à l’Intercontinental Paris Avenue Marceau

Nouveaux usages et protection du S.I. : Mobilité, BYOD, Réseaux Sociaux, AppMarkets …

Panorama des menaces, conseils et solutions pour sécuriser un SI ouvert

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Un thème récurrent qui a encore toute sa place face à l’ouverture du SI. La tendance à la consumérisation, au Bring Your Own Device, au BYO ID dorénavant, l’utilisation intensive des réseaux sociaux dans le business, l’ouverture du SI aux partenaires et fournisseurs sont autant de nouvelles préoccupations en termes de sécurité pour la DSI. Quels risques ? Quelles menaces ? Comment se défendre ? Etat de l’art des vulnérabilités potentielles et conseils et solutions.

Exceptionnellement afin de fêter la trêve estivale, à l’issue de cette matinée, autour d’un verre de champagne nous procéderons à un tirage au sort avec à la clé le Nouvel ipad et d’autres tablettes sous Android à gagner.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question des changements d’habitude sociétales qui ont permis de faire entrer dans le système d’information les réseaux sociaux, la consumérisation des équipements et ce, en plus de la mobilité des employés quand ils ne travaillent pas de chez eux … Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 – Vulnérabilités et risques des SI Modernes, Guillaume LAUDIERE, Consultant sécurité Lexsi
• 9H20 – Expertise terrain par Olivier Morel, Ilex
• 9H40 – Conseils, guide et expertise, Patrick Marache du Pôle Sécurité Solucom « Conseils, guide et expertises sur l’identité numérique et le BYOID »
• 10H00 – Expertise terrain, point de vue de Philippe Langlois, Immunapp, spinoff de P1 Security pour le mobile.
• 10H20 – Retour Terrain : deux experts de CEIS décrivent les impacts d’un SI ouvert aux partenaires
• 10H40 – Minute Juridique : les impacts juridiques du SI moderne, comment adhérer au BYOD, utilisation des réseaux sociaux, par Maîtres Olivier Itéanu et Garance Mathias
• 11H00 – PAUSE Networking
• 11H20 – Hack en direct d’un device dans la salle (tablette, smartphone), étape par étape : par Cyril Solomon, expert sécurité, cabinet HSC Consulting. Attaque d’une tablette sous Android : dans un premier temps, la présentation montrera comment il est possible de réaliser une attaque par exhaustivité sur un tablette ayant une protection par mots de passe ou par un code d’accès à 4 chiffres, le tout au travers d’une carte programmable. Par la suite, une présentation d’une application préalablement vérolé et les actions possibles une fois celle-ci présente sur l’équipement.

• 11H40 – Panel sur « Risques et Sécurisation des SI modernes» avec François Coupez, Cabinet Caprioli et associés qui abordera la partie juridique, présentation d’une étude sur les nouveaux usages par Yves Tapia, Avanade, Thierry Chiofalo, RSSI Bolloré Logistics membre du Clusif qui parlera de son expérience terrain, Médéric Leborgne, Directeur Technique de RIM nous parlera de l’ouverture de la plateforme d’administration du Blackberry à toutes les tablettes et PDAs du marché. Animé par un analyste ou un journaliste IT
• 12H25 – Tirage au sort de Tablettes (Nouvel Ipad, tablette Android et Blackberry Playbook) autour d’un verre de champagne
• 13H 00– Clôture de la conférence

L’étiage des trous entre les « mois pairs » et les « mois impairs » a tendance à s’estomper chez Microsoft, avec, pour le mois de juin, le colmatage de 23 CVE, notamment dans I.E. et quelques produits de la gamme Office (dont certains sont activement exploités).

Parallèlement, Adobe n’annonce la correction d’un seul trou, le CVE-2013-3343 affectant différentes version de Flash Player et Air.

Nos confrères de l’Express sont légèrement angoissés par l’annonce d’un « trou » coronal à la surface du soleil. Et de nous décrire un futur proche sinon apocalyptique, du moins fortement perturbé d’un point de vue électromagnétique : pannes de GSM et de GPS (surveillons nos ados qui pourraient se trouver à la limite du nervousse brèkdone), ou pire encore, d’aurores boréales (un classique des films catastrophes digne des pluies de grenouilles dans l’Egypte ancienne).

Dans la vraie vie, la Nasa (et bon nombre d’astronomes amateurs et professionnels) ont pu constater effectivement de faibles éruptions solaires début juin, éjections plus timides que celles constatées le mois précédent. La présence de facules de tailles plus ou moins importantes est tout à fait normale et s’inscrit dans le cycle d’activité solaire de 11 ans, dit « cycle de Wolf ». Et celui que nous traversons est l’un des plus faibles qui soit depuis pratiquement un siècle. Si les acharnés du Texto et les compulsifs du « faites demi-tour dès que possible » risquent peut-être de subire une légère interruption de service (très peu probable d’ailleurs), les amateurs de transmissions longues distances et les amoureux de la polarisation « couche ionosphérique E et F » vivront un trop bref instant de bonheur. Et parmi eux, tous ceux qui se lancent dans les recherches de vulnérabilité du monde sans-fil dans le domaine « sub-GHz ». Quand le soleil se réveille, le radiohacker s’émerveille …

Il y a 3 mois, le « call for paper »de la NoSuchCon semblait tellement mégalomaniaque, en annonçant une « real badass 0%bullshit hacking conf ». Mais il fallait se rendre à l’évidence : la première édition de la NSC envoyait du lourd. Et l’on entendait parfois dans les couloirs de l’Espace Niemeyer « c’était sacrément intéressant, mais j’ai un peu décroché quand il a commencé à plonger dans le code ». Fort heureusement, avant chaque conférence, les organisateurs fournissaient, intervention après intervention, les fichiers des transparents de chaque conférence, évitant à beaucoup de sérieux torticolis, strabismes fulgurants et conjonctivite galopante (la notion de taux de contraste du codeur solitaire en train de rédiger ses Powerpoint est parfois différente de celle de l’homme de la rue).

De ces « badass hackers », on ne peut manquer de mentionner l’un des rares Français présents sur scène, Nicolas Grégoire (Agarri) qui abandonnait momentanément son terrain de jeu favori, XML, et expliquait comment pratiquer avec dévotion la religion d’un fuzzing intelligent. D’un fuzzing ciblé devrait-on dire. Car au lieu de frapper un peu à l’aveuglette dans toutes les directions « Nicob » conseille de viser les parties sensibles communes à un nombre de plus en plus croissant d’applications Windows en général (et Microsoft en particulier), notamment la famille Office, les navigateurs et plusieurs outils de visualisation de fichiers de formats divers. Le centre névralgique en question étant le moteur XSLT (EXtensible Stylesheet Language), langage de transformation XML (on n’en sort pas). En visant directement ce moteur, le résultat du fuzzing s’affranchit des lenteurs liées à l’aspect graphique des applications.

Le titre même de la présentation de Mateusz « j00ru » Jurczyk résumait l’efficacité de ses travaux : comment circonvenir le noyau Windows en deux instructions. Le discours s’adresse franchement aux habitués de la navigation kernel et aux spécialistes de la gestion mémoire. Pour les personnes « normales », on peut résumer la chose ainsi : des overflow exploitables sont possibles, même avec les noyaux modernes et leurs mécanismes d’adressage aléatoire. Notons au passage que J00ru était le premier orateur technique intervenant immédiatement après la plénière d’Andrea Barisani. Autant dire que les participants ont immédiatement été mis au diapason technique de la conférence

Comparativement, l’intervention de Luigi Auriema et Donato Ferrante pouvait sembler primesautière : Exploiting Game Engines For Fun And Profit. Depuis près de 10 ans, Auriema décroche le titre d’inventeur de failles le plus prolixe de la planète. De failles et d’exploits, puisqu’il vient de créer sa propre entreprise de publication et vente d’exploits, ReVuln. Pourquoi cibler les jeux ? Parce que depuis les premiers temps des consoles, les outils de développement, les processeurs graphiques s’avèrent en avance sur ce que concevaient les entreprises de développement et concepteurs de circuits pour le compte des services techniques des armées. Pragmatiques, les militaires du monde entier se sont donc mis à utiliser les mêmes outils que les scénaristes de Halo et de SuperMario. En conséquence de quoi la découverte d’une vulnérabilité exploitable dans une console pourrait potentiellement être utilisable contre des équipements militaires. Ajoutons que la cible visée est particulièrement vaste, d’autant plus vaste que les consoles se piquent de fonctions multimédia et viennent tutoyer le monde de « l’internet de l’objet » : téléviseurs, services web de consommation de contenu par cette nouvelle génération de « mediacenter », le champ d’exploitation est immense…et la surface d’attaque l’est presque toute autant. Car les jeux utilisent des protocoles de communication relativement vulnérables (udp, pour des raisons de rapidité), des protocoles de jeu (via les « opcodes » propres à un moteur de jeu, lui-même commun à plusieurs jeux utilisant ce moteur) ou des outils de personnalisation du jeu lui-même (générateur de cartes par exemple) qui sont également vulnérables. Ces attaques, qui n’ont longtemps intéressé que quelques gamers en mal de cracks ou de cheatcode, revêtent un tout autre intérêt depuis que les consoles ont intimement été liées à des réseaux spécialisés. Réseaux qui non seulement facilitent la compromission des machines des utilisateurs/abonnés, mais également des grappes de serveurs situées sur ce même réseau.

Dans la catégorie outils et environnements/framework, deux conférences sortaient nettement du lot. Notamment la toute dernière présentation de NSC, Killing RATs, the Arsenic Framework de Robinson Delaugerre et Adrien Chevalier. Arsenic est un framework d’outils d’analyse destiné à détecter les RATs (remote access tools) qui traitent à la fois les signatures du trafic réseau, l’analyse des échanges et le comportement des machines compromise (notamment des états de la mémoire). La démonstration de Delaugerre et Chevalier montrait Arsenic confronté à une machine infectée par Poison Ivy. Sur un sujet relativement ardu, traitant de l’usage d’une suite d’outils complexe dont le cadre est encore, pour certains aspects, en phase de développement, les deux intervenants ont su réellement captiver l’attention de l’assistance, quitte parfois à utiliser quelques honteux messages subliminaux à propos d’attaques APT « coming from China by foot ». Les amateurs de contrepets apprécieront.

Autre framework, mais orienté développement et analyse, Pythonect est un DSL (Domain-Specific Language) présenté par l’un de ses principaux concepteurs, Itzik Kotler. Le langage est simple, synthétique, et les instructions peuvent être parallélisées. Si la logique un peu particulière du DSL peut légèrement dérouter les habitués de Python, son efficacité séduit immédiatement les nouveaux venus qui n’ont pas à « réapprendre » et oublier d’anciennes habitudes. Itzik Kotler a d’ailleurs développé de cette manière un outil baptisé Small (Simple Malware AnaLysis Language), script chargé de « fouiller » dans les entrailles d’un code nuisible pour en extraire des chaines de caractères signifiantes, des adresses IP, des messages pseudocamouflés. Mais le DSL montre toute sa puissance lorsqu’il est utilisé pour piloter des flux parallèles et effectuer des traitements concurrents pour piloter deux outils d’analyse en python (Nmap par exemple). A récupérer sur Github (git clone git://github.com/ikotler/pythonect.git) et à installer conformément au Readme.rst.

Deux ans logé-nourri-blanchi dans une cellule quel que soit la nationalité de la personne en cas de hacking : c’est le tarif que propose le Parlement Européen dans le cadre d’un projet de loi qui semble vouloir étendre à toute la communauté les dispositions les plus arbitraires des LCEN et Loppsi Françaises. Une révélation signée Jennifer Baker de ComputerWorld.

Tout comme les LCEN et Loppsi, ce genre de train de mesures viserait avant tout à justifier la surveillance des chercheurs Européens, et à fournir aux infrastructures policières des motifs prétextes permettant des arrestations qui pourraient être jugées arbitraires en des temps normaux. On attend toujours l’arrestation des fameux producteurs pédopornographes d’Europe de l’Est, voir l’envoi d’une amende pour incitation à la haine raciale aux dirigeants des cyber-publications djihadistes. Le Cloud Internet est bien trop souvent, sur le plan des lois répressives, un peu comme certain nuage Tchernobylien : il respecte sagement les frontières politiques et ignore l’origine des dangers réels …

Jusqu’à présent, officiellement, seules les situations exceptionnelles pouvaient justifier, de la part d’un prestataire de service Cloud Etats-Uniens, le vol des données de ses clients, quel que soit d’ailleurs la nationalité du client. Le spectre du terroriste cyber ou non, du pédophile poseur de bombe, du pirate-révisionniste en mal de secrets industriels pouvaient provoquer l’invocation du Patriot Act et ainsi justifier le fait qu’un vendeur de Cloud (Microsoft, Amazon etc.) puisse pirater (sans même avoir à en faire état) les données de ses clients pour les communiquer aux services de police et d’espionnage des USA.

Ce que l’on ignorait, ou plus exactement ce dont beaucoup se doutaient sans même oser imaginer que cela fut effectivement pratiqué, c’était que la NSA et le FBI avaient littéralement « buffet ouvert » et « table dressée » grâce à la collaboration de ces mêmes prestataires de services, sans même qu’il existe le moindre mécanisme de surveillance des abus comme cela était le cas des écoutes téléphoniques nous révèle un article du Washington Post. Le Post précise “the court defined massive data sets as “facilities” and agreed to certify periodically that the government had reasonable procedures in place to minimize collection of “U.S. persons” data without a warrant”. Le “Datamining” des données personnelles par abonnement à durée reconductible, sans contrôle par un juge, est donc juridiquement considéré comme un simple moyen d’usage courant, une « facility », terme qui banalise ce viol permanent des données personnelles et d’entreprise.

Du réseau social au service de messagerie, en passant par les vendeurs de stockage en ligne et les professionnels de la bureautique nuageuse et distante, tous collaborent au grand réseau de collecte PRISM, à partir du moment où leur Direction Générale est de nationalité U.S. : Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube, Apple ont serveurs ouverts en permanence. Et cette pratique semble ne pas dater d’hier. Si l’on se réfère à une présentation qui aurait « fuité » des bureaux de la NSA, cette collaboration serait même active depuis longtemps. Microsoft, depuis le 11 septembre 2007, Yahoo depuis le 12 mars de l’année suivante, Google en date du 14 janvier 2009… et ainsi de suite. Avec précision et cynisme, les transparents reproduits dans les colonnes du Guardian montrent comment, à des dates précises (qui laissent entendre une formalisation des accords Administration/entreprise) les géants du monde des TIC se sont embarbouzés. Comment les courriels, le contenu des discussions instantanées, les photos, les conversations VoIP, les fichiers stockés, les profils et liens créés par les réseaux sociaux, les flux même des vidéoconférences étaient, et sont toujours, aimablement servies par ceux-là même qui facturent ces services et psalmodient des mantras sécurisants depuis la naissance du mot Cloud Computing. Et le champ d’observation s’étend encore. Dropbox serait dans le collimateur des « apporteurs d’infos ». La lecture des différents documents « fuités » par les Anonymous (sur Pastebin bien entendu) semble relever parfois d’un mauvais scénario d’un film Orwellien.

Sans surprise, les Directions de la Communication des différentes entreprises jouant les mouches déclarent ne rien savoir de ces pratiques. La dénégation, du moins dans un premier temps, est une réaction logique. Les « scandales » dans le domaine de la fuite d’information, qu’elle soit volontaire ou non, ne durent jamais très longtemps. Internet a la mémoire courte, et les arguments primaires façon «ne cherchent à cacher que ceux qui ont quelque chose à se reprocher » finissent toujours par prévaloir. Les plus grands scandales de fuites de données personnelles provoquent généralement « des réactions lentement réfléchies ne devant jamais être suivies d’effets ». Dans deux semaines, qui donc se souviendra de Prism, dans deux semaines, combien de comptes de messagerie Google ou Microsoft seront ouverts par des entreprises Françaises ?

Si, bien souvent, les envolées techniques de NoSuchCon perdaient quelques participants sur des sommets quasiment inaccessibles, trois orateurs ont soulevé des tonnerres d’applaudissements. Saumil Shah, tout d’abord, en dévoilant une forme d’attaque html quasiment imparable : le pixel de la mort. Le principe est simple, et se limite à utiliser une image en 256 niveaux de gris pour encoder n’importe quel caractère. De là à imaginer remplacer une image pointilliste en un code java destructeur grâce à la traduction de la couleur par une fonction eval(), il n’y a qu’un pas. Les tâches grises plus ou moins unies pouvant paraîtres suspectes, Saumil Shah conseille de plutôt utiliser les niveaux de transparence des pixels d’un GIF quelconque, et de lancer l’exécution sur un simple « on mouse ». Certes, il serait simple de supputer l’existence de cette forme de camouflage stéganographique, mais quel éditeur d’antivirus serait assez téméraire pour se mettre à filtrer chaque image, chaque graphique d’une page Web ? L’impact sur les temps de réponse serait tel qu’entre sécurité et souplesse d’utilisation, aucun usager n’hésiterait. D’autant plus que les navigateurs Web ne sont pas capables de n’interpréter que des images. On pourrait imaginer une attaque à la Saumil Shah avec des inserts musicaux. Ou tout autre medium géré nativement par HTML et comportant 256 valeurs ou plus. Aussi simple que soit ce genre de hack, il prouve que la recherche en matière de sécurité est avant tout une question de culture et de sens de l’observation et ne se réduit pas à une simple pratique réservée aux virtuoses du reverse.

Même virtuosité de la part de Travis Goodspeed qui montrait comment injecter un shellcode dans un microcontroleur genre MSP430 ou à base de l’antique 8051 (que l’on retrouve généralement dans des circuits très répandus tels que le CY7C68013A). Savoir ce qui se passe « à l’intérieur » d’un PIC à l’aide de deux LED ou réaliser une modification de firmware de téléviseur après vérification de la validité de sa signature (version « burinée silicium ») mais avant son chargement en mémoire relève presque de la sorcellerie électronique. Il faut dire que les industriels qui emploient force microcontroleurs ne sont pas (ou très rarement) issus du sérail informatique. Les notions de sécurité des processus sont généralement embryonnaires, voire inexistantes ou limitées au claquage d’un fusible d’interdiction de lecture. Or, ces fausses sécurités une fois contournées, le chercheur se trouve face à un composant qui ignore tout d’ASLR, ne possède pas d’équivalent de sécurité « no execute » et contient même parfois en ROM (et non en flash ou eprom) un bootloader que l’on peut aisément récupérer (voir les exploits des reversers MAME ou les aventures acides d’Adam Laurie et Zac Franken ). Notons au passage que les badges d’entrée de NoSuchCon étaient des circuits imprimés destinés à construire un GoodFET Facedancer 21. Il s’agit d’un outil de fuzzing de port USB qui « semble » n’être qu’un composant HID vis-à-vis de l’équipement espionné. La programmation peut s’effectuer en python, l’un des usages intéressant étant la récupération des firmware par simulation du DFU. Les utilisateurs souhaitant jouer avec un outil un peu plus généraliste peuvent éviter de souder le Max3421 et utiliser le circuit comme un simple GoodFet41. L’assemblage du circuit est trivial et ne demande pas plus de 10 minutes de montage… près de 300 badges NSC#1 étant dans la nature, on peut penser que quelques centaines de ports USB vont parler sous la torture dans les mois à venir.
Karsten Nohl emboîte le pas de Goodspeed et reprend l’air et la musique de « la sécurité des embedded est nettement plus embryonnaire que ce que l’on peut trouver sur un simple téléphone mobile ». Et de montrer comment lancer une attaque brute force contre les clefs électroniques de quelques automobiles européennes, les unes « protégées » par un circuit Texas Instrument, les autres par un sytème Hi-Tag2 NXP voir des circuits Megamos. Et d’expliquer le cheminement complexe de l’attaque elle-même qui demande tout de même un temps certain mais qui n’est pas d’une complexité aussi grande que ce que l’on pourrait croire. Cette démonstration doctorale une fois achevée, Nohl fait remarquer que ça, c’était la méthode « hacker intello », mais que dans le monde du trafic de pièces détachées, les méthodes sont autrement plus expéditives. « certains voleurs ont réalisé qu’en effectuant certaines manipulations illogiques (genre débrancher deux fois de suite l’ampoule d’un feu arrière), il était possible d’initialiser l’ordinateur de bord et… de partir avec la voiture. Aucun voleur ne s’inspirera jamais des méthodes que je viens de décrire, trop complexes à leur goût ». L’empirisme est parfois plus efficace qu’une approche savante. Un discours qui s’achève par le passage d’une séquence vidéo qui montre comment hacker une Audi en passant par la prise de diagnostic OBD2, non seulement pour désactiver le système d’immobilisation du véhicule, mais également pour museler l’alarme et reprogrammer la clef Hi-Tag2 (ce que même certains spécialistes du monde automobile pensaient franchement impossible).Il est vraiment dommage que le badge de NoSuchCon de cette année n’ait pas été un GoodThopter12, précisément un lecteur de bus OBD2 (en fait un CAN) : les travaux pratiques dirigés par Nohl auraient alors fait un malheur.

C’est le hasard et un remaniement de calendrier de dernière minute qui a fait d’Andrea Barisani le premier orateur de la première NoSuchCon, conférence Parisienne qui s’est tenue mi-mai dernier. Heureux hasard que ce changement, car Barisani y définissait l’esprit même de la conférence : rigueur des méthodes de recherche, rigueur dans le « faire savoir », refus de la facilité et du sensationnalisme et de tout ce qui, dans le milieu du hacking, nuirait à son image de marque. A commencer par le mélange des genres, cette multiplication des hacker’s conferences et cette lente dérive vers le médiatiquement rentable. Hugo Teso et son détournement d’avion à coup d’application Android en a pris pour son grade, et dans la foulée tout ce qui orbitait autour des cyberguerriers Chinois, des imprimantes laser qui prennent feu et des outils mobiles dont les batteries explosent sur commande. « Hack sensationnaliste n’est que ruine de l’âme ».

Second responsable de cette « mauvaise image », les articles de presse (alarmistes bien sûr, souvent rédigés par des auteurs néophytes en la matière). Et Barisani de rappeler que c’est au chercheur de trouver les mots à la fois simples et précis qui feront passer son message. Pour peu, Boileau passait par là… ce qui se conçoit bien s’énonce clairement. Abus de jargon nuit à la compréhension et favorise l’interprétation. A force de parler gourou, certains spécialistes de la sécurité informatique tiennent des propos aussi clairs que ceux de la Pythie de Delphes; et il n’en résulte bien souvent qu’une simplification forcément réductrice et inexacte. La faute n’est pas celle du « journaliste qui ne comprend jamais rien » mais bien celle du « spécialiste qui n’utilise que des mots en « isme » et cultive son élitisme hermétique ».

Non à l’élitisme ne veut pas dire oui au simplisme. Et d’enchainer alors sur la nécessité de veiller au sérieux des conférences, de relever le niveau général des interventions, de ne pas succomber aux sirènes de la facilité. En langage geek, guerre au FUD. Une « conf sécu », précise Andrea Barisani, s’attache moins à dévoiler un résultat qu’à décrire la démarche intellectuelle qui a permis d’aboutir à ce résultat. Elle doit être une vitrine des travaux de recherche, elle doit montrer des méthodes, des cheminements de pensées qui, à leur tour, inspireront d’autres chercheurs qui n’œuvrent pas nécessairement dans le même domaine. Ce n’est que dans de telles conditions, conclut Barisani, que la profession retrouvera ses lettres de noblesse.

Il reste tout de même un aspect de cette mode des conférences sécurité que n’a pas abordé notre « keynote speaker » : l’absolue impossibilité, pour la presse en général, de pouvoir pondérer et quantifier le sérieux de certains travaux sans une référence stable. Entre la communication à visée nécessairement marketing d’un éditeur d’antivirus ou les accents anxiogènes des Ministres de l’Intérieur de tous poils qui voient derrière chaque virus, chaque botnet, la main gauche des espions Chinois, des pédopornographes Russes, des mafieux Nigérians et des « cyber-terroristes » islamistes, il est impossible pour un non-spécialiste d’effectuer la moindre discrimination. Pas plus qu’il n’est possible, pour un chercheur, de contrôler son « message » lorsque la médiatisation de ses travaux est assurée par un service commercial, lui-même influencé par les décisions politiques d’une direction préférant les messages simples et efficaces aux précautions de langage et aux exercices difficiles de vulgarisation. « hacking for fun and profit » (le hacking par passion et dans le but d’en tirer une certaine richesse intellectuelle) s’oppose chaque jour au « hacking for fame and profit », le hacking pour la gloriole personnelle et des intérêts purement financiers.

NoSuchCon, une référence « sérieuse et sans FUD », la première édition semble indiquer que le cap est tenu, conclut Barisani en égrenant le programme des présentations. Indiscutablement, la barre est placée très haut, sans toutefois basculer dans l’élitisme abstrus.

La majorité des responsables informatiques fait preuve d’une imagination proche de l’inverse de l’infini lorsqu’il s’agit de baptiser les serveurs et machines d’un réseau d’entreprise. Ce qui explique qu’en général, un « browse » du réseau sans la moindre analyse du trafic laisse prévoir que le serveur d’annuaire s’appelle Sol, et que Jupiter, Mars, Mercure, Venus et Pluton hébergent probablement les serveurs smtp, Web, SGBD… etc.

Les plus imaginatifs utilisent le pandémonium latin ou grec (en les mélangeant même parfois), Zeus côtoyant Mercure et Poséidon Neptune (l’un étant le backup de l’autre pour les plus férus de mythologie). A peine plus rares sont les amateurs d’hindouisme (tirés de la trimurti ou de la Veda pour le seul plaisir de baptiser un réseau de stockage en Raid5 « Array Krishna »), plus rares sont les administrateurs mélomanes qui tirent du Göterdämerung des Wotan, Siegfried, Wellgunde ou Brünnhilde (le serveur qui fait un bruit de ventilateur très très fort). Mais la palme de la rareté, c’est celle publiée par Wayne Madsen et reprise sur Cryptome : la liste des serveurs et noms de code des logiciels d’espionnage utilisés par la NSA. Pourtant, ça a du chien, un contrôleur de domaine FIREBLAZE, un serveur smtp PATHSETTER ou une base de données EAGLESTONE. Mais forcément, ça risque d’attirer l’attention.