Amoureux des nuages, ne lisez surtout pas l’étude de l’Université de Darmstadt et de l’Institut Fraunhofer portant sur les pratiques parfois fantaisistes non pas des opérateurs Cloud, mais des auteurs d’applications qui, eux, ne respectent pas les recommandations desdits opérateurs. Et ce particulièrement en matière de sauvegarde des données et synchronisation des équipements mobiles. Et en ne respectant pas ces mécanismes, lesdits développeurs d’applications dans le nuage donnent libre accès au contenu de leurs clients. Une analyse des services Facebook Parse et Amazon AWS aurait dévoilé l’existence de plus de 56 millions de « jeux de données » directement exposés et exploitables. A l’origine de ce défaut, un mésusage des services BaaS (Backend as a service), employé parfois pour y stocker, outre les fichiers habituels, des données strictement confidentielles, et plus particulièrement les clefs d’accès, mots de passe et autres noms réels d’utilisateurs, adresses email, carnets d’adresse, photographies etc. La sécurité d’un service BaaS, expliquent les chercheurs de l’Institut, ne repose généralement que sur un token d’API qui peut être volé au fil d’une session légitime, donnant à l’intercepteur un droit de lecture sur l’espace de stockage. Si cet espace contient des informations confidentielles… vae victis.
Autrefois, on appelait ça « lâcher de ballons dans les écoles primaires », « club d’aéromodélisme », « fabrication d’un Cerf-Volant »… aujourd’hui, tout ça est devenu « atteinte à la sûreté de l’Etat » tandis que s’organise une fantastique « chasse aux drones ». A tel point que l’on voit fleurir une foultitude de prestataires de services spécialisés dans la capture de ces jouets plus ou moins perfectionnés, plus ou moins autonomes, plus ou moins dotés d’équipements de vols en réalité augmentée. Prestataires dont la seule efficacité consisterait plus à bénéficier de marché d’Etat que de remplir une mission frôlant l’impossible.
Zain Naboulsi, CEO de Drone Labs (sic), rédige à ce sujet, dans les colonnes du HNS un article argumenté sur la quasi impossibilité pour des pandores à combattre ce dangereux fléau jihado-geekesque. La bombe du ridicule risque donc de continuer d’exploser à périodes régulières, car aucun équipement de détection ne fonctionne réellement affirme-t-il. Ni les systèmes audio (perturbés en milieu urbain) ni les capteurs et caméras thermiques (car ces appareils sont essentiellement froids et de très petite envergure). Ne parlons pas de la détection radar (tango-charly de Foxtrot Juliet : « chef, j’ai un vol de pigeons qui attaquent, ils cachent peut-être un dangereux Parrot ou un vecteur d’attaque Jouéclub ! ») , pas plus que de la goniométrie de l’émetteur, généralement sur 2400 MHz ou dans la bande ISM des 5 GHz, fréquences poubelles impossibles à trier.
Tout au plus, concède Zain Naboulsi, est-il possible de détecter le drone une fois qu’il est arrivé sur le « point sensible », de constater son altitude, d’obtenir les coordonnées GPS de son télé-pilote (ndlr… et encore existe-t-il 3 ou 4 solutions de camouflage du point originel de contrôle) ainsi que l’identifiant unique du drone etc. A condition que celui-ci n’ait pas été monté de toutes pièces par son dangereux auteur (considéré de facto comme terroriste), avide de sciences tant aériennes qu’électroniques, de savoir sur les radiocommunications et d’études sur l’usage des microcontrôleurs et centrales inertielles. Ça fiche la frousse, une telle soif de connaissance, pas vrai ?
Comme annoncé récemment, la Nuit du Hack 2015se déroulera cette année du 20 au 21 juin au petit matin, faisant suite aux deux jours de conférence de Hack in Paris. Contrairement aux années précédentes, cette manifestation ne se déroulera pas sur le campus Eurodisney, mais dans l’enceinte de l’école du cirque Fratellini, située à la Plaine Saint Denis, RER ligne D, station Stade de France.
La NdH 2K15, c’est bien entendu une formidable bataille numérique, un concours de pentesting et de défense. C’est également un lieu de rencontre et de communication de savoir moins théorique qui se pratique par petits groupes au sein de Workshops.
Le nombre de ces ateliers, cette année, surpasse de très loin l’activité des années précédentes. L’Owasp y présentera Zap, son scanner de vulnérabilité, Guillaume Prigent et Johanne Ulloa enseigneront les principes de fonctionnement de grands classiques (Shellshock, heatbleed et un vecteur d’attaque tcp/modbus), tandis que DTRE organisera une véritable foire au hacking matériel, avec détournement de bras robot, attaque de portiers infra-rouge, trucs et astuces autour des drones type quadcopters. On y trouvera bien entendu l’inévitable atelier « lockpicking » et le confessionnal de notre confrère Zataz.
Plus ardu, mais oh combien prometteur, Julien Voisin nous parlera de Radare2, le logiciel Open Source gratuit concurrent du désassembleur IDA-pro (quelques décennies tout de même après les premiers travaux de Pierre « peterpan » Vandevenne). L’Electrolab de Nanterre, enfin, orchestrera le plus « chaud » des ateliers destiné à enseigner l’art de la soudure des composants à montage de surface, l’exercice pratique permettant à chaque participant de repartir avec… un fer à souder pour composants à montage de surface. L’humour récursif n’est pas exclusif au monde GNU.
<b> Ce long tunnel de hacking </b>débutera le 15 et s’achèvera le 17 juin sous les chapiteaux de l’Ecole du Cirque Fratellini , avec une série de « master class » destinées aux chercheurs et professionnels de la sécurité. Au nombre des professeurs, Nicolas « Nicob » Grégoire, Arnaud Soullié, Peter van Eeckhoutte, Aditya Gupta et Aseem Jakhar sans oublier Yann Allain qui nous fera oublier les affres des failles XML en nous plongeant dans celles des bugs matériel et des parfums de soudure : promenade dans le monde merveilleux du hacking « hard ». <br><br>
<b> Ce n’est que le 18 jusqu’au lendemain </b>que débutera réellement HiP et son cycle de conférences. On y retrouve Nicolas Grégoire, mais également l’inévitable Winn Schwartau, conférencier-de-plénière-de-service qui reviendra sur une idée déjà développée l’an passé, celle de la sécurité analogique. <br><br>
<b> Nous reviendront dans le détail </b>sur les différentes interventions. Mais l’on peut d’ores et déjà prévoir une bonne ration de « fun » et de « profit » avec José Lopez Esteves et Chaouki Kasmi qui ont exploré la face cachée des IHM vocales, Mario Heiderich avec un exposé sur la vie privée du couper-coller, Timur Yunusov et Kirill Nesterov et leur infernal bootkit par SMS, Axelle Apvrille qui chatouille les capteurs d’accessoires cyber-fitness, ou Veit Hailperin qui revient sur un sujet souvent abordé mais chaque fois déconstruit : l’exploitation des « timestamp » et les remédiations possibles.
<b> Il y aura donc un lot important </b>de recherches classiques, old school presque, et une série de PoC épiques visant les dernières techniques « hipster compatible ». <br><br>
<b> Après ces deux jours de sapience et d’écoute</b>, Hack in Paris fermera ses portes et laissera la place au plus important, au plus virulent, <a href= »https://www.nuitduhack.com/fr/« target=_new> au plus ravageur CTF de France</a> . Plus d’un millier de « Zombies » combattront jusqu’à la mort numérique ou la victoire finale, décrochant flag après flag, challenge après challenge, tout en tentant parallèlement de trucider les ordinateurs concurrents et défendre avec acharnement le périmètre des leurs. <br><br>
<b> Exceptionnellement, cette année, c’est Guillaume Poupart</b>, patron de l’Anssi, l’Agence Nationale de la Sécurité des Systèmes d’Information, qui sera l’orateur de la conférence plénière, suivi dans la foulée par Karsten Nohl. Lorsque les casseurs de protocoles sans fil passent après le Directeur Général d’une institution Française, c’est le signe indiscutable que le monde de la sécurité numérique « active » a su se légitimer. Le hacker déplace désormais Ministres et Hauts Fonctionnaires.
<b> C’est également là la marque d’une autre évolution </b>que suivent d’ailleurs les organisateurs de ces manifestations. Persister à parler de sécurité à un public de plus en plus large, expliquer, vulgariser pour combattre les idées simplistes, voir populistes sur les cyber-jihadistes pédo-terroristes fraudeurs. Et répéter inlassablement le message « la sécurité est une attitude, pas une recette de cuisine » pour tenter d’opérer peu à peu un lent glissement des métiers de la sécurité vers une fonction purement stratégique et politique, moins « opérationnelle », moins « cambouis ». Verra-t-on un jour des hommes-sécu au conseil d’administration d’une entreprise et ainsi justifier l’existence du sigle « CSO » totalement vide de substance en Europe ? Pourra-t-on espérer que la profession puisse enfin avoir voix au chapitre lorsqu’il s’agira de légiférer ? De LCEN en Lopsi, de Loppsi en loi sur le Renseignement (qui fait entrer la barbouzerie dans le droit commun et associe les technologies de l’information à un far-west qu’elles n’ont jamais été… hormis peut-être dans les fantasmes caporalistes d’une minorité en mal de pouvoir.