La Bastille en question, c’est celle qui domine Grenoble, capitale des terres du Dauphin, berceau de la recherche atomique Française, patrie de Champollion (crypto analyste avant l’heure) et très prochainement, à partir du 19 octobre, berceau du hacking alpin avec GreHack, un cycle de conférences traitant de sécurité Informatique accompagné de son inévitable CTF. C’est donc, après les Sstic de Rennes, Hackito Ergo Sum à Paris, Hack in Paris à Eurodisney, la quatrième conférence sécurité institutionnelle de France, et la première qui se déroule dans le quart sud-est du pays. Evènement tardif d’autant plus surprenant qu’entre Grenoble, Lyon, Sophia, Marseille, ce ne sont pas les centres de recherche qui manquent (à commencer par l’InriAlpes) et qui ont des choses à dire.
Pour l’heure, certains conférenciers sont déjà pressentis. Eric Freyssinet (Gendarmerie Nationale) assurera la première « plénière », et nous parlera des botnets, de la détection à la traque des réseaux de machines zombies. Après cette entrée en matière, Christophe Devine (Anssi, père du très connu d’Aircrack) abordera l’épineux sujet de la confiance que l’on doit accorder aux réseaux de téléphonie mobile et à leurs protocoles. Car cette confiance s’est singulièrement érodée ces dernières années, avec des hacks qui vont d’OpenBTS aux compromissions de femtocells, en passant par les antiques travaux du THC, les dernières publications de Karsten Knohl, sans oublier le précieux et indispensable concours des opérateurs eux-mêmes et de leurs erreurs d’implémentations, le tout saupoudré des impressionnantes avancées dans le domaine des radios à définitions logicielles.
Encore un « keynote speaker » de renom, avec le témoignage d’un Français faisant partie du club très fermé des chasseur de faille et concepteurs d’exploits, Constantin Kortchinsky, ex Cert Renater, « expert à Miami » pour le compte de Dave Aitel/Immunity Sec. Il parlera de ses quelques 20 années d’expérience, et ce sera très probablement avec la verve et le franc-parler que l’on lui connait. Ses apparitions publiques dans des conférences Françaises ont été, ces dernières années, rares, trop rares.
Sont également prévues deux présentations sur des attaques orientées matériel, une tendance de plus en plus forte au vu de ce qui s’est dit au fil des dernières SSTIC, Hackito Ergo Sum et Hack in Paris. La première conférence sera animée par Philippe Elbaz-Vincent, et traitera des défauts de certains générateurs de nombres premiers aléatoires (le socle indispensable à tout système de chiffrement efficace), la seconde cigarettes online sera signée Régis Laveugle et s’intitule « attaques visant du matériel sécurisé, principes de base et exemples ». L’on se rappelle avec émotion de la présentation de Jonathan Brossard et Florentin Demetrescu durant la dernière HES, qui montrait à quel point il pouvait être facile de contourner un système « protégé » par TPM par exemple.
L’appel à communication
étant loin d’être clos, CNIS Mag reviendra sur le programme de cet évènement.