Black Hat no more...

a Black Hat s'est achevée hier. Et je dois bien avouer qu'à l'instar de celle à laquelle j'ai assisté en 2008, elle ne me laissera pas un souvenir impérissable sinon l'impression d'avoir un peu perdu mon temps à Vegas. Je savais à quoi je devais m'attendre et m'y était préparé, mais je dois bien me rendre à l'évidence : l'ambiance Black Hat n'est pas faite pour moi.

Côté présentations, une dizaine de talks en deux jours, c'est peu comparé à ce qu'on peut trouver au SSTIC, à Cansec, Hackito ou Ekoparty par exemple. Et c'est d'autant plus frustrant qu'on doit les choisir parmi huit sessions en parallèle. Quelques présentations étaient très sympa, mais même si je ne suis pas, au contraire d'autres personnes, tombé sur un mauvais exposé, d'autres m'ont déçu. Côté vie sociale, pas grand chose à dire à part la course aux soirées diverses mais pas franchement variées...

Trois présentations ont particulièrement retenu mon attention. Par ordre d'apparition, ce sont :

• "Femtocells, A poisonous needle in the operator's hay stack" par Ravishankar Borgaonkar, Nico Golde et Kevin Redon. Il s'agissait d'une version mise à jour du talk qu'ils ont fait à Hackito. Ils y montrent leurs travaux sur la femtocell SFR qui rejoignent l'annonce récente de THC sur celle proposée par Vodafone. On y retrouve les mêmes ingrédients : rooter le device, le transformer en IMSI catcher, en station d'interception, accéder au backend et surtout aller titiller toutes les autres femtocells qui tournent chez l'opérateur. Cerise sur le gâteau, prendre la main dessus à distance via une faille et se retrouver à la tête d'un femtonet dont on pourra faire un peu ce qu'on veut. Ça laisse rêveur...
• "USB, Undermining Security Barriers" par Andy Davis. L'auteur nous explique la démarche qui l'a conduit à développer un fuzzer USB pour hôtes et périphériques. D'abord à partir d'un board Arduino, puis à l'aide boîtier dédié et d'un programme spécifiquement développé pour le contrôler, Frisbee. Il démontre ainsi qu'il reste du boulot, aussi bien du côté des système d'exploitations que du côté des périphériques, typiquement les smartphones.
• "Sophail, A Critical Analysis of Sophos Antivirus" par Tavis Ormandy. L'auteur se livre à une évaluation de l'antivirus Sophos. Résultat édifiant qui tourne presque à l'échec. Allez lire son papier, c'est juste atterrant. La première phrase de la conclusion résumé l'ensemble : "Sophos demonstrate considerable naivety in many topics key to the efficacy of their product". 'nough said...

Deux déceptions, légères cependant. D'abord la présentation de Don Bailey sur le war texting dont une bonne moitié était consacrée au reverse d'un micro-contrôleur, sujet largement discuté ces quatre dernières années. J'en suis sorti avec l'impression d'avoir perdu une demie-heure, alors qu'en parallèle se déroulait une présentation sur les smartcards. C'est dommage de voir un speaker broder autour d'un bon sujet pendant presque quarante-cinq minutes parce qu'il n'a du contenu que pour une demie-heure...
Ensuite, la frustration d'avoir échangé la présentation de Beresford contre un talk intitulé "Forensics in the Cloud" qui s'est malheureusement borné à nous expliquer comment récupérer et cracker les login/password qui traînent sur une image de disque dur. Contenu bien présenté, mais déjà documenté, y compris par les auteurs eux-même. Je m'attendais quand même à plus que ça, en tout cas pas à ce que ça constitue 95% du contenu. La bonne nouvelle, c'est que tout a été automatisé dans un outil appelé OWADE qui devrait également aller chercher tout ce qu'il y a à trouver sur les services en ligne auquel il pourra accéder.

Enfin, les soirées se sont suivies et se sont ressemblées. Pas de quoi justifier l'espèce de frénésie fétichiste qui consiste à collectionner les tickets d'entrées, sinon l'idée qu'on pouvait assister à plus de soirées que de présentations en l'espace de deux jours.
Finalement, heureusement que j'ai pu passer du temps avec des gens bien sympas qui je salue au passage, sinon, je me serais fait chier. Grave... Et malheureusement, je n'ai pas pu en passer assez avec pleins d'autres que j'ai à peine croisé le temps d'un changement de salle. Dommage...

Mais bon, maintenant c'est fini. Direction le Rio pour ma première Defcon !