Essai transformé : avec sa seconde édition, Hackito Ergo Sum confirme que c’est là LA conférence Parisienne orientée « sécurité TIC » qu’il ne faut manquer à aucun prix. Tant par le niveau des présentations que pas sa coloration internationale. Se sont rencontrés là des chercheurs en provenance des USA, d’Italie, d’Israël, de Russie, du Brésil, d’Allemagne, de Grande Bretagne, de Norvège… patchwork faisant regretter peut-être l’absence de chercheurs Français qui semblent jalousement réserver leur savoir pour les SSTIC Rennaises. Un amour immodéré pour les soumissions en LaTeX ? L’un des rares orateurs Français sur la scène Hackito était Eric Freyssinet, Lieutenant Colonel de la Gendarmerie Nationale, chef de la division de lutte contre la cybercriminalité, qui ouvrait la conférence et venait expliquer dans les grandes lignes le cadre juridique Français en matière de délinquance numérique, ainsi que les moyens humains et techniques apportés par les forces de l’ordre. La présence d’un Eric Freyssinet parlant à un parterre d’experts venus du monde entier est probablement l’une des plus belles reconnaissances de sérieux donné à cette édition d’HES 2011 …
Certaines des conférences données à l’occasion, pour certaines, sont la reprise « revue et augmentée » de causeries déjà tenues à d’autres occasions. Allocution très remarquée donc d’une « légende masquée », Marc « Van Hauser » Heuse, que les amateurs de la chaîne de streaming CCC TV (qui retransmet les Chaos Computer Conferences) ont pu déjà entendre sur le sujet : les vulnérabilités, potentielles et avérées, du protocole IPv6. Cela fait bientôt 5 ans que Mark Heuse traite de ce sujet… 5 ans que des perfectionnements sont apportés au protocole, 5 ans qu’apparaissent aussi de nouvelles vulnérabilités, dont certaines liées à ces fameux perfectionnements.
Aussi amusante qu’intéressante, la démonstration de Mate Soos, de Security Research Lab, qui a pris pour prétexte le cracking des clefs de voitures à RFID (Hitag2) à l’aide de Sat Solver, utilisant en partie les travaux de Karsten Nohl. Au prix de la Bentley, même les démonstrations mathématiques les plus ardues deviennent intéressantes.
Hack matériel encore, avec une passionnante causerie de Kevin Redon et Ravishankar Borgaonkar sur le reversing des femtocell GSM, ces microcellules privées destinées à étendre un réseau d’opérateur dans les zones d’ombre. Les deux chercheurs sont parvenus à r00ter certaines de ces microcellules, dont une de SFR, et ainsi sniffer le trafic non seulement des utilisateurs légitimes et propriétaires de l’appareil, mais également de tout terminal pouvant passer à proximité. Une grande partie des trous de sécurité exploités appartiennent à la catégorie des « erreurs d’implémentation », et sont donc susceptibles d’êtres rapidement corrigées. Il reste qu’à la vitesse où évoluent les techniques et les réseaux d’opérateurs, le nombre de failles au niveau des équipements (transpondeurs, cellules, terminaux, infrastructures, routage, chiffrement et translations de protocoles) laisse aux chercheurs un terrain de jeu encore en friche… et pour longtemps.
Les autres conférences relevaient plus du royaume de l’abstraction mathématique et du secteur logiciel. La musique des sphères a probablement atteint son paroxysme avec l’exposé de Sébastien Tricaud, qui pose, d’entrée de jeu, une question science-fictionnesque : comment détecter une tentative d’attaque (un sondage de port par exemple, donc quelque chose qui relève plus du « risque » que de la « menace ») lorsque l’on doit surveiller le trafic d’une région, voir d’un pays tout entier ? Passons sur les modèles mathématiques abstrus, et attachons-nous à la représentation graphique des flux qui, avec la « méthode Tricaud », permet de distinguer et isoler un comportement anormal d’une montagne d’information consignée dans les « logs ». C’est là une première approche, explique le chercheur, mais elle nous montre la voie vers de nouvelles techniques d’analyse comportementale, explique l’auteur. Dans le flux d’un backbone, une simple interrogation de port passe inaperçue. Mais la même interrogation incrémentée de 1, qui, discrètement, vient frapper à chaque point d’entrée IP réponde à une signature qui peut être mise en équation. C’est le prélude probable d’une attaque qui, en temps normal, ne serait jamais remarquée par un administrateur. Tout l’art est de savoir bien configurer les enregistrements de logs et de modéliser les comportements des flux. Même les personnes les plus hermétiques aux modèles mathématiques peuvent comprendre, peuvent « voir » à quoi pourrait ressembler le tableau de bord d’un administrateur de demain …
1 commentaire