Les sujets ont étés du Social Engineering jusqu'au déboguage de binaire en passant par du droit Français. L'aspect sécurité était clairement présent même si quelques présentations se concentraient sur des aspect technique précis.

Les présentations se sont suivis sans se ressembler en commençant par une introduction de Marcus Ranum expliquant que la sécurité c'est bien mais que c'est perdu d'avance... Chacun est libre de penser se qu'il veut, mais comme on a pu le voir, le combat entre les méchants et les gentils continue et ne semble pas près de s'arrêter...

Je ne pense pas que l'on puisse retirer un sujet prédominant des différentes présentations si ce n'est la sécurité et son application. Pourtant, certains sujets se complétaient bien, notamment autour de l'analyse de code néfaste (débogueur, unpacking, environnement simulé, processeur/VM).

Classification des présentations en fonction des entités les présentant :

Privé (12) :

  • Tenable Network Security : Introduction ;
  • Strateco : Social Engineering ;
  • Gemalto : cartes à puce sans contact ;
  • Xmco Partners : étude d'Anserin (malware dédié à la collecte de numéros de CB) ;
  • Sogeti : déprotection semi-automatique de binaire avec Metasm (unpacking) ; Cryptographie ; exploration mémoire grâce au Firewire (Windows) ;
  • EADS : dépérimétrisation ;
  • OBS : droit informatique (pentests) ;
  • LIFO : workspace déporté, distribué et sécurisé ;
  • Thomson : SinFP (empreinte d'OS) ;
  • APL France : Green Data Center.

Publique (8) :

  • ENS/Univ. Paris II : expertise judiciaire des téléphones mobiles et Termobug (canal caché avec la température) ;
  • CEA : outils d'intrusion automatisée ;
  • DCSSI : bogues ou backdoors dans les processeurs ; R&D en SSI ;
  • CELAR : GenDBG (dégogueur générique) ;
  • INRIA : réseaux de capteurs ;
  • Gendarmerie : preuve numérique ;
  • OTAN : analyse de malware.

Indépendant (2) :

  • ERESI (analyse de binaire au niveau du noyau Linux) ;
  • Storm Worm (botnet).

On peut noter que certaines institutions étaient particulièrement présentes mais que le rapport publique/privé reste comparable. Chacun y vas de sa technologie ou de sa spécialité pour la faire connaitre. La plupart des projets disponibles sont sous licence libre, malgré quelques-uns qui ne souhaitent que partiellement le rendre publique (GenDBG notamment, dommage). L'intérêt du publique pour le code ouvert c'est clairement fait ressentir. Les présentations orientées système étaient alléchantes, que ce soit avec Metasm, les processeurs ou les deux « débogueurs » . À contrario, quelques conférences étaient simplement du déjà-vu.

Parmi les 23 rump sessions, on a eu droit à :

  • présentation du canal historique du SSTIC ;
  • CSRF ciblé (redirection HTTP 302) ;
  • Nf3d : outil de visualisation 3D des logs netfilter ;
  • dissection d'EAP ;
  • vote en ligne/OpenSSL ;
  • diode réseau (BlindFTP et Exefilter) ;
  • Muff'in : plugin IDA ;
  • PhotoRec : prise en compte des formats PGP et des partitions chiffrées (dm-crypt) ;
  • nfqueue-bindings et le firewall se basant sur la météo ;
  • Wolfotrack : clone de Wolfenstein 3D relié à netfilter (sans démo) ;
  • documentation de Scapy ;
  • inondation et data center ;
  • infection de cerveau ;
  • outil de visualisation de connexion/scan grâce à un cube 3D ;
  • extension Firefox « Malware » ;
  • AMD-V et leur clé secrète ;
  • Debian/OpenSSL.

Toujours très intéressant les rumps, malgré l'effet démo qui c'est fait ressentir ! Elles ont étés filmées, ça devrai donc arriver bientôt... Encore quelques fakes cette année avec non plus l'Élysée, mais le centre des impôts et ses certificats générés sous Debian (au passage, surement la meilleure distribution existante).

Que faut-il en conclure ?

D'un point de vue technique, quelques avancées tel que la banalisation de l'IOMMU sont clairement attendues, mais attention à l'implémentation... Du côté des processeurs, il est presque impossible de connaitre leur fonctionnement réel et toutes les fonctionnalités qu'ils offres en plus de celles documentées... Il faut donc faire confiance aux fondeurs, ou faire ses propres puces ;) .

Pour Internet, il serais possible de ralentir un bon nombre de botnets sous réserve de bloquer certaine adresses IP ou noms de domaine, mais dans ce cas, que peut-on dire de la libre circulation et de la liberté des citoyens de ce réseau ? Il peut être intéressant que les FAI donnent le choix à l'utilisateur d'être « isolé » de certain malfrats.

Beaucoup de personne insistent sur le fait de former l'utilisateur final, mais il est prioritaire de former les dirigeants à la sécurité. En effet, beaucoup de chefs veulent la dernière technologie à la mode ou au contraire rester à des valeurs sûres. La sécurité doit entrer dans les mœurs des haute sphères pour que, par la suite, elle puisse être correctement appliquée et avec moins de contraintes. Ceci est valable pour les dirigeants d'entreprise, mais également pour ceux des états.

Finalement, ce symposium à encore été une réussite. Attention à la prochaine séance, il faudra surement être encore plus sur le qui-vive pour acheter sa place !


Plus de détails sur le site officieux du SSTIC.

PS : La fatigue a emportée une partie des personnes le vendredi soir... commme le dit Sygus elles ont loupé un grand moment !