Black Hat, terrain de jeu pour hackers
Ce grand moment de la sécurité informatique est bien plus que l’occasion pour quelques experts de montrer leurs découvertes.
La célèbre conférence Black Hat se déroule actuellement à Las Vegas. C’est bien sûr l’occasion pour de nombreux connus et moins connus du monde de la sécurité de présenter leurs produits et services. Parmi les partenaires de l’événement, on compte notamment Accenture, Proofpoint, Qualys, FireEye, Forcepoint, IBM, RSA, Symantec et Tenable, mais aussi Carbon Black, Cisco, Crowdstrike, AlienVault, Cylance, LogRythm, ou encore F5, Fortinet, Palo Alto Networks, SafeBreach et SentinelOne, pour ne citer qu’eux.
Mais Black Hat, c’est surtout l’occasion pour les experts en sécurité de faire la présentation de leurs dernières découvertes, à l’instar d’Amit Klein et d’Itzik Kotler, ou des chercheurs d’Ensilo, entre autres.
Et si c’est moins connu, l’événement n’en est pas moins un terrain de jeu. Chez RSA, Scott Carter s’en fait d’ailleurs cette année le témoin. Dans un billet de blog, il relève que si les travées de la zone d’exposition sont encore calmes, à l’issue des journées de formation, « le réseau est aussi bruyant que toujours. La majorité du bruit est généré par les formateurs et les étudiants, faisant la démonstration de leurs techniques ou les pratiquant, nouvelles comme anciennes ». Dès lors, la solution de supervision déployées dans le centre opérationnel réseau (NOC), Netwitness de RSA, « s’allume comme un sapin de Noël ». De quoi faire sourire les bénévoles du NOC qui s’attendent à plusieurs incidents notables.
Et cela commence en particulier par de vastes opérations d’analyse du réseau : « les alertes liées à des scans ont explosé les files d’alertes du NOC de Black Hat. Tant vers l’intérieur que vers l’extérieur. Il semble que tout le monde veut seulement entrer en contact avec tout le monde. Qui aurait pu penser qu’il y aurait autant d’amour ? »
Les organisateurs de la conférence ne sont d’ailleurs pas à l’abri des facéties – aussi ludiques que sérieuses et précieusement informatives au demeurant – des experts de la sécurité. Et ils en ont fait l’expérience cette année.
Les experts de Lookout, un spécialiste de la sécurité des terminaux mobiles, se sont ainsi penchés sur l’application officielle de l’événement. Et celle-ci s’est avéré contenir une faille béante : « un utilisateur peut s’enregistrer avec l’adresse qu’il veut (tant qu’elle n’a pas été utilisée pour s’enregistrer précédemment avec l’application) […] qu’elle soit la sienne ou non. Il n’est même pas important que l’adresse existe ou pas ». Faute de vérification, un attaquant peut donc s’enregistrer en usurpant l’identité d’un tiers. Un véritable souci, en particulier pour les participants « qui se sont enregistrés avec leur adresse e-mail d’entreprise », pas forcément bien difficile à devenir.
L’éditeur de l’application et les organisateurs ont remédié à la situation dans l’urgence, en bloquant les fonctionnalités susceptibles d’être ainsi détournées.