Si les grandes infrastructures ont franchement marqué la dernière édition de HES, nombreux étaient aussi les orateurs versés dans les recherches purement mathématiques frisant le travail universitaire, les descriptions de classiques attaques de réseaux en mode distant ou les analyses et audits de procédés et outils que l’on croyait (jusqu’à présent) dignes de confiance. Bref, du très classique dans ce genre de manifestation. Mais du classique qui n’est plus présenté avec le moindre accent de geekitude ou de colloration « fun and profit ». La sécurité post-snowden n’est plus « aussi » un jeu intellectuel, c’est une discipline qui doit faire preuve de sérieux, car perçue comme vaine par un public qui se sent chaque jour de plus en plus berné en se rappelant les discours rassurants d’antan. Lorsqu’une faille Heartbleed est ouvertement reconnue par les services de renseignement US comme connue de longue date et intégrée à des outils d’espionnage, comment ne pas se demander « comment une telle affaire a pu demeurer aussi longtemps dans l’ombre ? ». C’est donc un Back to Basic généralisé, comme l’on se plaît à dire dans ce patois fort prisé des X-Telecom-Minards.
Tester ce qui existe, éprouver les socles sécurisés de notre quotidien. Cela commence avec l’organisation d’un génocide visant à éliminer tous les bugs pouvant provoquer un buffer overflow. Une analyse aussi ardue que passionnante conduite par Andreas Bogk. Entre ce que programme un homme de l’art et ce que comprend et interprète (au sens « humain » du terme) un compilateur, il y a parfois des différences qui deviennent des failles conséquentes. Une promenade torride entre pointeurs et déclarations, dans un univers très FreeBSD.
Qui testera les testeurs eux-mêmes ? demande Andrei Dumitrescu, qui dissertait sur le thème « Shell WMI (Windows Management Instrumentation), une nouvelle façon d’accéder au mode commande en exploitant ce service ». L’on pense trop souvent que WMI est limité aux classiques accès « non routables » des ports NetBeui (445), à condition en outre de bénéficier d’un accès autorisé en partage de fichier. A l’aide d’un script shell, l’équipe de Lexsi est parvenu à exécuter des ordres et récupérer les ressorties du programme (via vmic), le tout exécuté sans l’aide de SMB, et, de surcroît, via le port 135. Quelques astuces, telles que l’usage de variables d’environnement « hors norme », permet de contourner certaines limitations de longueur de chaîne de caractère.
Analyse et audit des outils de confiance, encore et toujours, avec une savante intervention de Graham Steel sur les « hardware security module » que l’on rencontre notamment dans les infrastructures des distributeurs automatiques de billets (DAB). Ces HSM, seuls espaces où le code pin est susceptible d’exister à l’état déchiffré, sont des électroniques hautement sécurisées, physiquement protégées, capables de se saborder dès que l’intégrité du blindage les protégeant est compromise. La surface d’attaque est donc très réduite, se limitant aux API devant interfacer ces fameux HSM. Une démonstration mathématique relativement complexe qui passionnera certainement les cryptoanalystes du domaine bancaire mais laissera de glace encore quelques années les gourous du skimming.
Analyse et audit encore, mais cette fois des plateformes administratives capables, au Chili notamment, mais également dans d’autres pays d’Amérique du Sud, de délivrer certains documents d’Etat Civil. Jose Garduno, à force de recoupements, déductions logiques et bases de données administratives, montre à quel point le vol d’identité peut devenir un véritable sport national tant sont fragiles les garde-fous numériques qui protègent les citoyens. Nom, prénom, filiation, adresse, déclarations fiscales, plans de retraite, date de naissance, adresse email, salaire, montant des valeurs patrimoniales etc. Le Chili, c’est le Pérou pour les voleurs de données personnelles possédant un ordinateur, un accès internet et deux sous de jugeote