Alors que les hordes de vacanciers contestent aux vaches Abondance le droit de brouter ou aux bigorneaux le plaisir de bigorner en paix, les spécialistes et gourous de la sécurité se pressaient dans les salles de conférence de Las Vegas, pour assister à la Mère de toutes les conférences de sécurité : les manifestations jumelles Black Hat/Defcon. Et à lire certains comptes rendus, l’on se dit que côtoyer les vaches Abondance ou les bigorneaux a quelque fois du bon pour la paix de l’esprit. Faire la moitié du tour de la terre pour des choses déjà entendues ou pressenties lors des précédentes conférences Hackito Ergo Sum, SSTIC ou CanSecWest, on ne m’y reprendra plus, résume en substance Cedric Blancher dans un billet à la Edgar Poe : BH, Never more !
D’ailleurs, le « scoop » de cette année, celui qui a remporté la couverture des tabloïds de la sécurité, a plus des airs de règlement de compte gratuit que de POC tiré par les cheveux. Il est signé par un monsieur réputé et sérieux, Tavis Ormandy, qui a souhaité cette année rhabiller de la tête aux pieds l’antivirus de Sophos. Les journaux américains comptent les points et pour une fois, le bouillant Graham Clueley, pourtant réputé pour ses envolées lyriques et ses excès sémantiques, adresse à Ormandy un billet dont le fiel est tout entier contenu dans l’understatement des tournures utilisées. Ces deux textes résument à eux seuls l’âme de ces deux pays qui partagent une langue commune et ne sont pas séparés que par un océan. Rappelons simplement que les propos de Tavis Ormandy ne sont que la transposition sur un thème particulier de l’air que chante chaque année la réunion annuelle Française iAwacs : les antivirus, commerciaux ou non, ne sont pas mieux conçus que des logiciels bureautiques ou des systèmes d’exploitation, loin s’en faut. Des trous, ils en ont, tout autant que les « autres » logiciels. Et certains d’entre eux sont éminemment dangereux car ils se situent dans les couches basses du noyau. Tout au plus peut-on leur reconnaître que la couche d’ingénierie marketing qui les entoure pourrait à elle seule faire l’objet de tests comparatifs édifiants. De tous les messages de Sophos vs celui de Kasperky vs celui de McAfee (ce ne sont là que des exemples), lequel résiste-t-il le mieux aux attaques verbales et aux propos calomnieux de tel ou tel expert ?
Mais est-il nécessaire de parcourir plusieurs milliers de kilomètres pour écouter s’enfoncer de telles portes ouvertes ? Que Nenni ! affirme Security4All, qui nous explique comment tout savoir de la Defcon et de la BH sans quitter ses charentaises. Et de nous offrir une belle brochette de feed Twitter, de fils RSS, de liens Flicker et autres agrégateurs divers qui nous en apprendront bien plus sur ces deux manifestations que ne pourront en savoir ceux qui y participent. Ah, si Fabrice Del Dongo avait connu Facebook, sa vision de Waterloo en eût peut-être été changée.
Sinon, il y a toujours les bonnes vieilles adresses. Celles des blogueurs professionnels, tels que les membres de l’équipe de Kaspersky qui écrivent billets sur billets à peine une conférence est-elle terminée. Ou nos petits copains de Network World, qui reviennent sur les grands marronniers qui sont du bois dont on fait les keynotes : « La leçon des Anonymous : la sécurité des entreprises coince velu »… Tiens, on aurait pourtant crû que la leçon des Anonymous, c’était que la « professionnalisation » de la cyberdélinquance n’avait pas « remplacé » la petite délinquance, mais l’avait simplement occultée momentanément. Jusqu’à ce que l’on se rende compte qu’elle pouvait frapper fort. A force de se défendre contre des malfrats tâcherons de l’attaque ciblée visant des retours sur investissement rapides, on avait presque oublié l’acte revendicatif et gratuit. Mais çà , on n’en a pas parlé, à la Black Hat. Ou du moins pas durant les Keynotes, car cela aurait peut-être provoqué quelques remises en question.
Encore une URL pour Defconiser et BlackHatiser derrière son écran : celle du toujours excellent Security News, dont les comptes rendus neutres et exhaustifs donnent sinon le ton, du moins le contenu. Et une petite dernière pour la route, la vraie, celle qui se prolonge après le « Strip » de Las Vegas, s’enfonce dans le désert et les verticales des Red Rocks ou les berges du lac Tahoe. Celle-ci nous est offerte par Tristan Nitot, de la Fondation Mozilla Europe, qui a tout ignoré de Vegas mais a tout retenu de ses environs, façon Easy Rider.
Un bilan très positif donc : BH et Defcon ne sont plus le centre du monde. Certes, il s’agit là toujours d’une étoile double de grande magnitude, mais qui ne brille pas plus qu’un CCC Camp, qu’un Hackito, qu’un CanSecWest ou qu’un Sstic. Cela ne veut toutefois pas dire « n’y vas pas, j’ai les mêmes à la maison ! ». Car si l’éclat d’une conférence en particulier ternit légèrement, il s’en trouve d’autres, en Amérique du Sud, en Asie, en Allemagne, au Luxembourg qui sont autant de lieux d’échanges et de confrontations nécessaires à la profession. Le déclin d’une étoile ne donne pas toujours un trou noir.