Spécial sécurité / ENISA : les risques et dangers ne se succèdent pas, ils s’additionnent
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, attirent notre attention sur le dernier rapport ENISA, des nouvelles modalités du grand concours ZDI et nous invitent à plusieurs conférences clé du monde de la sécurité informatique : Insomni’Hack Genève, NoSuchCon, La Nuit du Hack/Hack in Paris et Hacknowledge.
1 - ENISA : les risques et dangers ne se succèdent pas, ils s’additionnent Cloud, bigdata, infrastructures mobiles… vous en rêviez? eh bien tentez de protéger maintenant, explique en substance le tout dernier rapport de l’Enisa, European Network and Information Security Agency. Cette institution européenne publie chaque année un état des lieux sur la sécurité des systèmes d’information au sein de la Communauté, rapport qui compte cette année 96 pages denses et truffées de chiffres. Et s’il ne fallait qu’une seule page pour résumer la situation ? La troisième, qui clôt l’Executive Summary : la majorité des menaces est en constante évolution à l’exception d’une seule, le spam, qui chute depuis bientôt 3 ans. Les « Drive By Exploits », la compromission d’informations confidentielles, les attaques ciblées, le vol d’identité, les fuites d’information se portent bien dans pratiquement tous les secteurs : informatique mobile, infrastructures critiques, Cloud, Bigdata… et surtout réseaux sociaux. « Surveillez, et surtout collectez vous-même vos propres statistiques de vulnérabilités, établissez un tableau de bord ayant du sens » demande l’Enisa. Et de continuer en suggérant d’établir des « silos d’informations » segmentés et isolés les uns des autres, technique qui ne diminuera pas le nombre d’attaques mais qui limitera les risques en cas de sinistre.
2 - Concours de hack ou CDD d’un jour?
Le ZDI (Zero Day Initiative) vient de publier les nouvelles modalités de participation à son prochain concours «P0wn20wn » qui a traditionnellement lieu début mars à l’occasion de la conférence de sécurité Canadienne CanSecWest.
Parmi les changements notables, trois points importants. En premier lieu, une très forte augmentation des primes offertes aux gagnants des concours, puisque la dotation totale dépasse le demi-million de dollar (US). En second lieu, le concours s’ouvre aux exploits satellites avec la création d’une section « plug-in pour I.E.9 sous Windows 7 » constituée de trois catégories : ◦Adobe Reader XI, Adobe Flash et Java.
Mais le point qui risque fortement de faire grincer quelques dents peut se lire en fin de communiqué : «les participants [gagnants] fourniront à HP-ZDI un exploit fonctionnel et tous les détails de la vulnérabilité exploitée durant l’attaque. Si de multiples vulnérabilités ont été mises en jeu pour permettre une exécution de programme, les détails sur l’ensemble des vulnérabilités en question (corruption mémoire, fuite d’information, augmentation de privilèges etc.) ainsi que l’ordre dans lequel elles sont été utilisées devront être fournis pour [que l’équipe gagnante puisse] recevoir le montant de la récompense»
On se rappelle le coup d’éclat de l’an passé provoqué par l’un des gagnants, le Français Vupen, qui avait refusé de révéler les secrets de cuisine qui lui avait permis de remporter l’épreuve. Pour Vupen, le montant de la prime est en deçà de ce que l’on peut attendre de la commercialisation de l’exploit fourni dans le cadre d’un logiciel de test de pénétration. En quelques années, les revendications des chercheurs en sécurité sont passées du « no more free bugs » au « non au CDD sous-payé de la recherche de faille »
3 - Insomni’Hack Genève change de peau La sixième édition d’I Insomni’hack se déroulera cette année à Palexpo (sortie autoroute aéroport de Genève), du 21 au 22 mars, tard dans la nuit. Un changement de lieu qui traduit le succès grandissant de ce rassemblement réunissant des spécialistes et passionnés de sécurité informatique venant des quatre coins de l’Europe.
Déjà, par le passé, Insomni’Hack avait dépassé le stade de simple rencontre de hackers attirés par un « capture the flag ». La manifestation s’était étoffée de conférences (payantes) d’un niveau technique irréprochable mais destinées à un public plus professionnel. Cette année, le célèbre CTF Helvétique organisé par SCRT sera précédé, durant toute la journée du 21, par différents ateliers de formations techniques (sessions payantes). On y entendra notamment Paul Rascagnères qui enseignera sur les arcanes de Metasploit ou Mario Heiderich sur le pentest des applications Web (HTML, HTML5, SVG, CSS…). Prévoir entre 200 et 700 Francs suisse par participation.
Le lendemain, avant le début du concours, se tiendront de multiples conférences plus généralistes bien que toujours d’une qualité technique certaine. Paul Rascagnères reviendra sur un projet qu’il conduit déjà depuis quelques années, Malware.lu, projet qu’il avait notamment présenté lors de la précédente « nuit du hack » parisienne. L’équipe d’ID-Quantique révèlera probablement quelques mystérieux secrets liés aux réseaux quantiques et au hacking de QDK, et Bruno Kerouanton décortiquera l’infini potentiel des radios logicielles et analysera le choc culturel que provoque actuellement la déferlante des SDR à bas coût destinés initialement à la réception des émissions de télévision. Ce n’est là qu’un petit échantillon que nous réserve le programme.
Lorsque tombera la nuit (et ce jusqu’à 2 H du matin) les équipes de hackers s’affronteront pour décrocher les multiples « challenges »…
Les inscriptions doivent être envoyées par email à l’adresse insomnihack at scrt.ch, et doivent comprendre : le but de l’inscription (conférences et/ou workshop, challenge), le nom du demandeur ou le nom de l’équipe concourante accompagné des noms de chaque membre.
4 - NoSuchCon : Avec Hackito Ergo Sum, il y a sécession, ça c’est sûr
Avalanche de Tweet et début d’une campagne de blog (via Cedric Blancher notamment) : la conférence sécurité parisienne NoSuchCon #1 vient d’être annoncée : le lieu et la date sont déjà connus : du 15 au 17 mai prochain, sous la coupole de l’espace Niemeyer, Place du Colonel Fabien, Paris Xème…
… là ou précisément se déroulait l’an passé la conférence Hackito Ergo Sum. Et cela n’a rien de très surprenant, lorsque l’on se reporte à la constitution du comité organisateur, qui rassemble la plupart des ex-organisateurs de HES2012. Une seule explication : HES a « forké », à l’image des différentes moutures de BSD et des engeances Linuxiennes.
Bien sûr, il n’y aurait pas de conférence sans appel à communications. Le CFP a été diffusé sur la majorité des mailing list spécialisées (Bugtraq, Full Disclo…), et laisse présager une richesse et une ouverture technique aussi variées que par les années précédentes. Les soumissions sont à envoyer à l’adresse cfp at nosuchcon.org avant le 31 mars prochain.
La création de NSC#1 ne signe pas pour autant la mort de HES. Ses organisateurs, dans les minutes qui suivaient l’annonce du calendrier de la No Such Conference, twittaient dans l’urgence « Book your 2, 3 and 4 May for HES2013. CFP will be published in a few days ». Quelques heures plus tard, une page Web saluait très sportivement (http://2013.hackitoergosum.org/2013/01/fork-it-hes-welcomes-nsc-for-2013/) l’arrivée de ce nouveau venu et rappelait qu’en ces quelques 4 dernières années, le nombre de conférences sécurité avait considérablement augmenté. Après les SSTIC de Rennes, qui ont longtemps été la seule manifestation du genre, la Nuit du Hack a su s’imposer, passant d’une réunion quasi cryptique tenue sur une péniche au stade d’un rassemblement réunissant plus de 1500 participants. Puis est né Hackito, tout d’abord timide noyau quasi underground réunissant une centaine de personnes dans un amphi du côté de Saint Ouen, devenu en l’espace de trois ans une manifestation reconnue et remplissant la salle des congrès de l’Espace Niemeyer. Et les Rssil de Maubeuge et leur challenge Hacknowledge, puis très récemment GreHack et ses hackers alpins.
5 - La Nuit du Hack/Hack in Paris, un CTF pour juin prochain
Paru en ce tout début janvier, l’appel à communication de la Nuit du Hack, qui sera clôt le 30 mars prochain, est également l’occasion pour rappeler que tout comme l’an passé, ce qui est probablement le « plus grand CTF de France » (plus de 1500 participants en 2012) aura lieu dans la nuit du 22 au 23 juin prochain, précédé, du 17 au 21 juin, d’une série de conférences. Conférences et concours se dérouleront dans le cadre du parc Eurodisney comme cela a déjà été le cas les deux années précédentes. Le cycle de conférences durera Cinq jours durant lesquels se succèderont des intervenants provenant du monde entier, spécialistes de la recherche de preuves informatiques, du « reverse », de l’exploitation, du pentest, de l’analyse de malware ou des aspects parfois ardus du droit appliqué à la recherche en sécurité des systèmes d’information.
Le cycle de conférences Hack in Paris se déroulant avant la redoutable NDH est essentiellement destiné aux professionnels. Des « workshop » techniques se dérouleront durant la Nuit. Nous rappelons aux personnes sensibles qui envisageraient de venir « en spectateur » que le challenge Nuit du Hack est un combiné de recettes à la fois offensives et défensives, visant aussi bien à abattre les défenses propres au « challenge » que celles des équipes adverses histoire de les retarder… tout appareil téléphone, tablette doté d’une liaison sans-fil et ayant le malheur ou l’inconscience de se trouver à portée d’antenne risquerait d’être pris dans la tourmente …
6 - RSSIL : un super-CTF international et pluridisciplinaire
La chose avait été rapidement évoquée lors des dernières journées RSSIL (Rencontres des Solutions de Sécurité et d'Informatique Libre) de Maubeuge : Hacknowledge se déroulera désormais à la fois en Europe et en Afrique, opposant des étudiants, hackers et chercheurs originaires du Maroc, du Congo, d’Espagne, de Belgique et de France. Rappelons que, durant les années précédentes, ce grand concours de hacking était placé sous le patronage de la région Nord Pas de Calais et de l’association Acissi issue de l'Université de Valenciennes et du Hainaut Cambrésis. S’y rencontraient de multiples équipes originaires des différentes régions Françaises. Contrairement aux conférences sécurité traditionnelles, souvent très orientées « hack logiciel », cette rencontre RSSIL a toujours abordé la question de la sécurité des systèmes d’information dans son sens le plus large. Maîtriser les techniques d’intrusion et d’exploitation de faille Web, oui, mais à condition que celles-ci soient accompagnées d’une connaissance certaine des vulnérabilités potentielles affectant des automates programmables ou des interfaces industrielles par exemple. Rssil est probablement la premières et la seule manifestation qui s’intéresse réellement et concrètement aux risques Scada. Seront donc gagnant du prochain challenge des hackers complets, aussi à l’aise derrière un clavier que face à un bus Modbus (ou l’un de ses successeurs).
Le calendrier des concours est établi comme suit:
Maroc : 2 et 3 mars 2013
Belgique : 20 et 21 avril 2013
Congo : date en cours de validation
Espagne : mai 2013
France : 21 et 22 juin 2013
Sans omettre une des épreuves déjà écoulée, celle qui s’est déroulée à Abidjan du 15 au 16 décembre dernier, et dont les deux meilleures équipes ont reçu une bourse leur permettant de représenter la Côte d’Ivoire en finale.
Ladite finale de Hacknowledge se déroulera à Maubeuge. Les gagnants remporteront un billet d’entrée tous frais payés pour concourir à la célèbre Defcon de Las Vegas.