Par Véronique Loquet. La 12è édition de CanSecWest s’est tenue à Vancouver du 9 au 11 mars 2011. La veille de l’ouverture les organisateurs invitent les speakers dans une steak house, lieu de cauchemar pour végétariens où les pièces juteuses sont servies sur broches à volonté… buffet junk food en accompagnement. Un vrai carnage diététique. L’ambiance kibboutz pour hackers venus du monde entier vient de débuter, elle s’achèvera en snow-board à Whistler ; parce qu’il le faut bien !

Entre les deux, tout de même, de la sécurité ! Parmi les rendez-vous incontournables de l’événement, CanSec présente pour la 5ème année consécutive un concours de hacking : Pwn2Own, véritable événement dans l’événement. Pwn2Own peut à lui seul motiver la venue à CanSec. Les prix offerts aux vainqueurs y sont de plus en plus élevés et l’exposition médiatique de l’événement est une motivation à elle toute seule !

Cette année Google offrait 20 000 dollars à celui qui parviendrait à craquer son navigateur Chrome. Il y avait bien un candidat, mais il n’a pas pu se présenter… D’autres environnements étaient cependant soumis à l’épreuve, tels que Internet Explorer, Safari ou Firefox. A noter cette année une augmentation des surfaces d’attaques proposées, avec notamment la cible smartphones.

C’est VUPEN qui a pwned (« cassé », ndlr) le navigateur Safari d’Apple sur Mac OS X (x64)… en 5 secondes ! La classe. Réjouissant non seulement parce que c’est la première fois qu’un français s’illustre en gagnant ce concours, mais aussi pour la brillante équipe de Vupen qui longuement préparé cette victoire. Vupen émerge ainsi de la jeune scène internationale en frappant fort et juste. « Nous sommes assez fiers d’avoir obtenu ce titre du pwn2own 2011, mais ce dont nous sommes les plus fiers c’est d’avoir obtenu la veste culte éditée par TippingPoint, une série très limitée remise aux PWNers for the win ! » déclare Chaouki Bekrar, CEO & Head of Researche à VUPEN (Et ça, c’est l’esprit geek ! ndlr). Outre l’équipe de VUPEN, une vingtaine de français sont présents, dont l’ANSSI, le CEA, EADS, un collaborateur de Google France, Moonsols…

Du côté des attaques sur mobiles, Charlie Miller, un gars qui a l’étoffe d’un champion, est venu à bout de l’iPhone 4 sous iOS 4.2.1. Tandis que l’équipe de chercheurs internationale composée de Vincenzo Iozzo, Willem Pinckaers et Ralf Philipp Weinmann plombait le Blackberry Torch 9800 sous OS Blackberry 6. Une attaques sans précédent qui a demandé de longues recherches.

Créé par ZDI (Zero Day Initiative) avec à sa tête Aaron Portnoy, responsable de la division HP DVLabs de TippingPoint, le concours prend une belle ampleur. Outre le fait de repérer les failles, Pwn2Own met la pression aux éditeurs et leur donne 6 mois pour corriger les vulnérabilités, délai au terme duquel elles seront dévoilées publiquement. La plupart des grands éditeurs opèrent ainsi sans faillir… C’est notamment le cas de Apple, MS, IBM, ou HP.

Pwn2Own fait donc désormais autorité. Cette année le concours était sponsorisé à hauteur de 125 000 dollars. Peu à peu la perception des éditeurs change et d’inévitables rapprochements se créent entre la communauté underground et les multinationales du domaine. Si ces relations avec les éditeurs évoluent positivement, le concours reste cependant férocement indépendant. C’est Aaron qui fixe les règles, dans un parti pris bien assumé. Il précise que « précédemment des failles sont restées non patchées plus de 3 ans. C’est scandaleux quand on sait que le concours transmet l’information aux éditeurs gratuitement. Nous attendons en retour qu’ils corrigent les failles, et ils ont suffisamment de ressources pour le faire. »

Pendant ce temps les conférences de CanSec battent leur plein à côté. L’hyperclassieux et chiquissime duo italien, Andrea Barisani et Daniele Bianco de Inverse Path, présente “Chip & Pin is definitely broken”, une présentation sur les cartes de crédit comme l’on s’en doute. Avec humour ils dévoilent le nouvel opus d’une vidéo ultra kitch de leur composition, qui ruinera définitivement leur réputation. Applause!

Le débat mené par Fischbach Nicolas de Colt porte sur « IPv6 Implementation & security, a moderated desagreement or a chorus ? ». La question est posée et la pénurie d’adresses IPv4 est déjà un enjeu majeur. Les participants à cette table ronde montrent qu’il y a une prise de conscience. On commence à entrevoir les impacts d’IPv6 en matière de e-commerce ou de e-banking. Le challenge sécuritaire demeure, les attaques IPv4 sont présentes sur IPv6, d’où le besoin d’appliquer les mêmes politiques de sécurité. Alors que la plupart des opérateurs ne propose pas encore les services IPv6.

Only in CanSec : pendant les débats les intervenants se désaltèrent à la bière. Une tradition très CanSec qui encourage aussi la participation des auditeurs puisqu’à chaque question posée le quidam viendra chercher sur scène son nectar favori…

La soirée officielle se déroule au Five Sixty. Dragos, le génial organisateur de CanSec, réserve une belle surprise en accueillant tout le monde dans l’un des clubs underground de la tentaculaire Vancouver. En maître des lieux il a fait installer une collection de jeux vidéo. Ceux-là mêmes utilisés dans le mythique film TRON Legacy, qui retrace les aventures de Flyn, le héros informaticien de la saga. Les jeux sont tous en accès libre, sur fond de DJ live samplant de l’Asphalt jungle dans la totale indifférence des gamers, qui eux s’affrontent à Street Fighter et au zinc open-bar. Un cocktail décapant… et de quoi passer un moment vraiment cool, par exemple pour échanger avec Barnaby Jack, d’une brutale authenticité, et bien d’autres génies de l’underground à l’état sauvage, tous venus des quatre coins du monde.

Mais avant la drinking session ad nauseam s’ouvrent les Lighning talks (RUMP sessions en langage SSTIC). Je n’ai vu qu’une près’ éclair, celle de l’utilitaire Scapy. Un programme développé en Python par le français Philippe Biondi (EADS) qui permet notamment de fabriquer, de recevoir et d’émettre via un réseau des paquets et/ou des trames de données vers ou depuis une infrastructure informatique, pour une multitude de protocoles réseaux différents. Avec, dit-on, une précision et une rapidité inégalées. En fait non, « Scapy n’est pas très rapide », précise Phil, « mais c’est pas son but. ». Avant d’ajouter « personne ne va à la même vitesse ». D’ac’ mais tout le monde recherche la performance aujourd’hui, alors c’était pas pour informer, mais pour faire plaisir !

Philippe, c’est l’anti-star par excellence : parfaitement brillant et d’une rafraîchissante normalité. Il est aussi expert en IPP, Inhibiteur de la Pompe à Protons, plus efficace que les antihistaminiques, mais ça c’est une autre histoire.

Les soirées non officielles ont lieu dans les suites privées de l’hôtel. Ma chambre est située pile à côté de l’une d’entre elles. J’en profite pour faire un peu de guérilla branding pour Hackito Ergo Sum, la conf de sécurité parisienne qui aura lieu en avril prochain (ndlr : et que l’équipe de SecurityVibes ratera, hélas…).

Je remplace les étiquettes des innombrables bouteilles par des stickers fait maison made with PASS!ON (certaines font des cup cake), aux slogans bien balancés : No more cheap bugs, don’t have ugly code, I need 0-day and less shit from you people… Succès, tout le monde en veut !

Voilà, c’est l’heure où il y a de la perte de conscience, où l’on croise quelques prédateurs, neurasthéniques ou ultradépressifs, charognards… parce qu’il est tard.

A l’issue de CanSec un groupe poursuit son chemin vers les cimes enneigées de Whistler. Ne pas en être ce serait comme twitter sans followers, morne comme Belle sans Sébastien. Snowboard donc, et ultime party dans le chalet de Dragos, où les filles en maillots de bain, merveilles de poésie et de distinction, côtoient des gars en anorak et bonnets (pas botnets…hein ?), merveilles de poésie eux aussi. Le contraste est toujours bien présent, chaud-froid, clair-obscur… et on n’a même pas trop croisé de Jean-Kevin. Peut-être que l’année prochaine il y aura Justin Bieber. Ici le temps suspends son vol. Exit le bilan carbone, expérience définitive, 0-Bullshit. Play it again ! J’ai déjà mon Pass pour 2012.

Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Participez!

 Laisser un commentaire