San Francisco, 17 février 2011. Cela arrive même aux meilleurs : certaines présentations ne tiennent pas leurs promesses. Sur-vendues, elles tombent à plat et se font vite oublier. Deux exemples vécus ici, à la RSA Conference : « La sécurité des BlackBerry sans FUD » (Fear, Uncertainty and Doubt, autrement dit sans discours marketing manipulateur) et « Les toutes dernières techniques d’attaque ultra-fraîches« . Dans les deux cas les il en restera surtout une jolie déception en quittant la salle.

La description de la première de ces présentations promet de tout, tout, savoir sur la sécurité des Blackberry. Le présentateur, un consultant, affirme avoir (littéralement) désossé un terminal Blackberry afin de l’ausculter sous tous les angles (en fait, il s’y est connecté via le port de test JTAG).

Résultat : on y apprend que le chiffrement sur le terminal est bien géré (et la clé réellement dérivée du mot de passe de l’utilisateur, contrairement à l’iPhone), que des attaques sur la couche cellulaire sont possibles (man-in-the-middle) mais il ne les détaillera pas, que le navigateur web issu de l’ère soviétique est tellement mauvais qu’il en est difficile à exploiter (« mais rassurez vous, WebKit et ses vulnérabilités arrive« , précise-t-il), et enfin que le système d’exploitation et ses API gère correctement les restrictions des applications. Bref, le point faible du Blackberry c’est surtout son serveur BES (mais ça on le savait déjà et l’on retombe dans une très traditionnelle problématique de serveurs à protéger), voire ses sauvegardes locales sur le PC. Rien de nouveau et surtout on n’a pas vu où était le FUD à combattre ! On aurait bien aimé, en revanche, que l’on nous parle un peu plus des attaques cellulaires. Mais pour ça, il y a heureusement Milipol !

Mais cette présentation sur la sécurité des Blackberry était malgré tout la plus intéressante des deux !

La seconde alignait pourtant une magnifique brochette d’experts : Brian Krebs, du blog Krebs on Security, Jeremiah Grossman, expert reconnu et fondateur de WhiteHat Security, Eric Chien, chercheur chez Symantec et accessoirement l’un des principaux analystes de Stuxnet, et enfin Wade Baker, de Verizon Business, l’un des auteurs principaux du fameux Databreah Report annuel. Autant dire que la scène était chargée en testostérone sécuritaire : tous maîtrisent parfaitement leur sujet.

La description de la session prévenait « Vous ne retrouverez pas les slides de cette présentation en ligne. Nous ne savons même pas quels seront les sujets abordés. Cette session présentera les toutes dernières menaces, les thèmes les plus chauds de la semaine même de la conférence« . Avec une telle promesse, ne vous seriez-vous pas aussi précipité ?

Hélas, il n’y avait pas grand chose à y apprendre : Stuxnet visait bien l’Iran, les pirates utilisent de plus en plus de vulnérabilités zero-day, les méchants ont déjà gagné la guerre du poste de travail… Et les techniques d’attaques toutes fraîches de la semaine ? Et les tendances d’ingénierie sociale à la pointe de l’actualité ? Point.

La sur-vente des présentations, quel fléau !

Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Participez!

 Laisser un commentaire