ême si techniquement, ce n'était pas complètement le printemps, ces mois de mars et avril auront eu des airs printaniers, voire estivaux. Et leur lot de conférences. La première en date, l'indétrônable Cansecwest, se tenait comme de raison à Vancouver du 9 au 11 mars.
Le deux suivantes se tenaient à Paris, avec d'abord le premier workshop public du Honeyney Project qui s'est déroulée le 21 mars dans les locaux de l'ESIEA. Et ensuite, quelques jours plus tard, Hackito Ergo Sum qui prenait place au même endroit, du 7 au 9 avril.
De quoi faire, juste à nos portes...
Cansecwest
La conférence proposait pas moins de vingt présentations et une séance de lightning talks sur un agenda plutôt dense. Si globalement la conférence m'a laissé une bien meilleure impression que l'an dernier, les talks étaient d'un intérêt et d'un niveau assez disparates. On pourra toujours en appeler aux goûts et aux couleurs, mais autant certaines présentations sortaient du lot par leur qualité, autant d'autres brillaient par le vide, parfois sidéral, qui leur servait de contenu...
Mes préférées, sans plus de justification :
- Nico Golde and Collin Mulliner sur l'exploitation des stacks SMS ;
- Yves-Alexis Perez and Loic Duflot sur la vérification d'intégrité des firmwares à l'exécution, malgré un slot de vingt minutes ;
- DongJoo Ha and KiChan Ahn sur la compromission des consoles de jeux ;
- Andrea Barisani et Dianele Bianco sur le faiblesses du standard EMV, bien présenté même si pas super original pour ceux qui se s'étaient déjà penchés sur le sujet, et avec une nouvelle fois une vidéo délirante ;
- Michael Ossmann et son projet Ubertooth, même s'il a passé plus de temps à expliquer sa démarche que ses résultats.
Celles qui m'ont déplu :
- Brad Woodberg et ses firewalls qui a flirté avec le vendor pitch pendant trente minutes ;
- Marcia Hofmann et son talk sur la légalité du hacking web, ou comment passer une heure entière à vous expliquer que ça dépend[1] ;
- Marc Schönefeld et la gestion des fontes, qui s'est soldé par une longue liste de CVE ;
- Dan Kaminski, Adam Cecchetti and Mike Eddington sur l'évolution de la sécurité des applications bureautique, avec un exposé argumenté à grands coups de stats de fuzzing mais sans aucune justification, réflexion ou même méthodologie, donc sans aucun intérêt.
Tous les slides sont en lignes, vous pourrez vous faire une idée par vous même.
Côté Pwn2Own, on retrouvera une nouvelle fois Charlie Miller, mais également Chaouki Bekrar de VUPEN, premier français à gagner un prix[2]. Enfin, la soirée dite "Tronapalooza Party" restera assez mémorable.
J'ai mis quelques photos de la conférence en ligne. Et comme Cansec reste l'occasion d'assouvir ma passion pour la glisse, j'ai aussi posté quelques photos des sorties à Whistler ;)
Honeynet Project Security Workshop
La première conférence publique du Honeynet Project proposait une dizaine de présentations dressant un panorama assez complet de ses activités. Ça allait de l'analyse de code malveillant et autres malwares à la capture et l'analyse de traces réseau en passant par des travaux sur la VoIP ou encore la présentation de projets et d'outils en développement.
Pour moi, ce fut surtout l'occasion de renouer avec le projet que j'avais laissé de côté depuis pas mal de temps. Depuis la dissolution du défunt French Honeynet Project en fait, groupe aujourd'hui remplacé par un chapitre français particulièrement actif mené par Sébastien Tricaud.
Vous pourrez retrouver les résumés, les slides et les vidéos des présentations depuis la page dédiée à l'évènement. Les photos que j'y ai prises sont également en ligne.
Hackito Ergo Sum
Le meilleur pour la fin avec Hackito Ergo Sum qui s'est avéré une excellente conférence, à un jet de pierre de chez moi. La conférence aux badges en terre cuite me semble clairement s'imposer comme la référence sur Paris. Autant dire que Hack In Paris qui se tiendra mi-juin à Disneyland[3], juste après le SSTIC, aura un sacré défi à relever.
Côté interventions, on pourra se prendre à déplorer la quasi-absence d'orateurs français. Seuls Éric Freyssinet, avec la keynote d'ouverture, et Sébastien Tricaud auront sauvé l'honneur. J'ai malheureusement manqué la matinée de la première journée, mais voici un rapide retour sur ce que j'y ai vu. J'ai aimé les interventions de :
- Raoul Chiesa ;
- Rodrigo Branco ;
- Jon Oberheide & Dan Rosenberg, qui ne méritaient pas toute la rancoeur de Bradley Spengler[4] ;
- James Oakley & Sergey Bratus ;
- Jon Larimer ;
- Kevin Redon & Ravishankar Borgaonkar.
Je n'ai pas aimé :
- Yuval Vadim Polevoy, avec une présentation trop corporate à mon goût qui verse dans un "RSA vous explique les fuites et la fraude" très d'actualité[5] ;
- Itzik Kotler qui s'est quelque peu laissé aller à la facilité avec un talk pas mauvais du tout, mais clairement décevant.
On m'a dit beaucoup de bien des deux présentations que j'ai loupées, à savoir la keynote d'Éric Freyssinet et en particulier de celle de Mate Soos.
On aura aussi noté la redoutable efficacité des relations presse par le défilé quasi ininterrompu des journalistes. À côtés des habitués du genre, on aura vu les grands de la presse écrite et audiovisuelle interviewer à tours de bras, y compris des gens de passage. À côté de tout ça, l'ambiance était vraiment excellente avec des retrouvailles et des rencontres. Et puis forcément à manger, à boire et beaucoup de discussions à méditer[6]. En clair, ça valait clairement le détour.
Encore une fois, et comme vous avez pu le constater, j'ai mitraillé. Les photos sont à découvrir à l'endroit habituel.
Notes
[1] D'un autre côté, c'est un talk de juriste ;)
[2] Je sais bien que Julien aurait dû en gagner un, mais bon...
[3] Ceci dit, une conférence à Disneyland, rien que le concept me donne envie d'y aller ;)
[4] Juger des talks qu'on n'a pas vus n'est pas forcément la meilleure des idées...
[5] Je sais, c'est vil, bas, fourbe et tout petit...
[6] Ou l'inverse...
Jeu de briques
Snake
Pacman
Bubble