e second jour du SSTIC 2012 s'ouvre au milieu de moultes discussions autour de la compromission des comptes Twitter et Blogspot de Zythom. Je ne pense pas qu'il s'agisse d'un fake, et le moins qu'on puisse dire, c'est que c'est même pas moche, c'est d'une connerie abyssale...
Pendant ce temps, le SSTIC ne s'arrête pas, et commence à l'heure avec un talk sur la sécurité des JavaCards face à un amphi clairsemé. Conséquence probable d'une première soirée arrosée dans les rues de Rennes...
- Compromission d'une application bancaire JavaCard par attaque logicielle, par Julien Lancia. L'auteur commence par décrire les dispositifs de sécurité imposés par la norme JavaCard et ajoutés par le constructeur de la carte. Il passe ensuite aux vulnérabilités potentiellement exploitables, puis à la description de deux attaques. La première permettant de réaliser une YesCard, la seconde permettant d'extraire les clés stockées sur la carte à puce, démos à l'appui. Quelques contre-mesures possibles en conclusions.
Excellente présentation, jolie attaque, mais gros prérequis nécessaire à sa réalisation qui ne manquera pas de soulever la question de l'exploitabilité dans la vraie vie... - IronHide: Plate-forme d'attaques par entrées-sorties, par Fernand Lone Sang, Vincent Nicomette, Yves Deswarte du LAAS. L'auteur propose d'étudier des attaques "hybrides" reposant sur du matériel et du logiciel et de voir quelques contre-mesures associées. Il décrit un plate-forme, IronHide, un contrôleur d'entrées/sorties générique complètement reconfigurable, permettant la réalisation de ce type d'attaques via le bus PCI Express. Il présente enfin des résultats expérimentaux et quelques vidéos de démonstrations.
Super talk, très bien présenté.
Jeu de briques
Snake
Pacman
Bubble