Le mois de Juin a commencé avec le traditionnel SSTIC, 9ième édition. Seule conférence francophone de ce printemps, rendez-vous incontournable de l'ensemble des mondes de la sécu en France : chercheurs, consultants, "services", étudiants, clients finaux, ... Ludovic Courgnaud a courageusement présenté sur les XSS avec "XSSF : démontrer le danger des XSS". Sujet potentiellement trollesque, dont il s'est sorti avec brio. Le fait que les exploits Metasploit marcheront désormais bien mieux que sous BeeF pourra peut-être (on peut rêver ...) convaincre plus facilement sur les risques associés à ce type de vulnérabilité, non limités à une pop-up ou à un vol de cookie. Yoann Guillot a scotché tout le monde avec le jeu Dwarf Fortress et son outil "Memory Eye", qui trouverait parfaitement sa place dans ma boite à outils, s'il était publié (MESSAGE DISCRET AUX AUTEURS ;-) ... Le lendemain fut très peu studieux pour moi, occupé par ailleurs. J'ai toutefois réussi à voir la présentation "Attacking and Fixing PKCS#11 Security Tokens with Tookan" de Graham Steel. L'outil est téléchargeable sur le site de l'université de Venise et je ne peux qu'encourager les utilisateurs d'équipements PKCS#11 (token, HSM, ...) à #1 vérifier que cet équipement précis n'est pas dans la liste de ceux cassés #2 le tester s'il n'apparait pas dans la liste de ceux testés. Vendredi, c'était mon tour (passant à 10h le lendemain du Social Event, j'avais opté pour un teasing lors des Rumps). Jérémie Zimmermann a fait une jolie présentation socio-politique utilisant la terminologie de la recherche de vulnérabilité et a évoqué les moyens citoyens de pression sur les élus, par exemple Mémoire politique. Hervé Schauer a conclu par un retour assez négatif sur l'évolution (ou pas) de la sécurité (slide 31) et sur les valeurs à cultiver (slide 32, 100% d'accord avec Hervé), après un long crochet philosophique.

La quasi-totalié des supports (actes et slides) sont disponibles et plusieurs comptes-rendus ont été publiés. Et Sid a fait des photos.

Puis ce fut voyage en famille chez Mickey, pour Hack in Paris. Un line-up prometteur, une organisation en béton, un cadre parfaitement décalé (hôtel classe et personnages de Mickey versus hordes de hackers). Winn Schwartau est vraiment un très bon orateur. Et il est toujours plus prudent d'écouter la vision de gens qui avaient raison il y a 25, 10 et 5 ans ... Bruno Kerouanton donnait des conseils pour s'en sortir dans le (très) difficile métier de RSSI, Pete aka Corelanc0d3r nous a présenté son bébé, Mona et Tom Keetch a présenté de façon claire et sans FUD les différentes sandboxes du marché. Ce qui a permis de clarifier le débat initié par la com' de Vupen à propos de l'évasion de la sandbox de (Flash dans) Chrome. Et il y a eu les deux excellents talks de Mario Heiderich. Première conf, défensive et innovante, sur le traitement des XSS côté client grâce aux nouvelles fonctionnalités de ECMA Script 5. Deuxième conf, offensive et efficace, sur le format SVG et ses risques. J'attendais beaucoup de cette conférence là, ma recherche actuelle flirtant régulièrement avec SVG et autres formats XML. Et je n'ai pas été déçu de la conclusion, les documents SVG devant selon lui être considérés non pas comme des images, mais comme des applications, ce qui se conçoit aisément quand une "image" compose un numéro Skype ou peut contenir plusieurs langages imbriqués (XML, Javascript, HTML, XSLT, ...). Les discussions "off" autour du sujet furent très riches, mes images SVG créant des fichiers ou exécutant du code Java ayant un certain succès ;-) Mes slides (en anglais et sous Prezi) sont en ligne. J'essaierais cet été de mettre tout cela dans un format plus adapté à la lecture hors-ligne et intégrant assez de code pour permettre aux éditeurs, chercheurs, ... de réaliser eux-mêmes et facilement leurs propres tests XSLT.

Bien sûr, je suis resté pour la Nuit du Hack nouvelle formule. Fini les péniches, vive les salles gigantesques ... sauf que le CTF privé a été annulé pour raisons techniques. 6h de retard et 1h de jeu déséquilibré (certaines équipes ayant de gros problèmes de connectivité) ont eu raison des mois d'efforts fournis par les organisateurs :-( Dommage, l'équipe de touristes que j'avais rejoint semblait prête à faire quelques étincelles ! M'enfin, cela nous a permis de passer une bonne soirée autour de l'open bar à examiner ce drôle de badge et à papoter stratégie. Pour la partie diurne, voir la compte-rendu de Korben.

Voici l'été et donc la fin du printemps, qui fut pour moi rythmé par les conférences en sécurité. Retour sur quatre conférences européennes (Hackito Ergo Sum, PH-Neutral, le SSTIC et Hack in Paris), les talks qui m'ont plu, des avis forcément subjectifs sur les afters, des galeries photos, ...

Commençons (chronologiquement) par Hackito Ergo Sum : les slides sont disponibles ici et les vidéos elles aussi sont en ligne. J'ai particulièrement aimé la présentation de Mate Soos "Craking Industry Ciphers at a Whim" où il utilise son résolveur SAT CryptoMiniSat pour casser en deux jours les tags HiTag2, celle de Jon Oberheide & Dan Rosenberg où ils bypassent grsec dans un scénario bien défini et (malheureusement) assez courant dans les noyaux actuels (technique dite du StackJacking). Apparement, spender n'a pas vraiment apprécié le mode de divulgation employé. Enfin, il y a les présentations qui peuvent servir dans la vie de tous les jours (en tout cas la mienne), c'est-à-dire "Autorun Vulnerabilities on Linux" par Jon Larimer car une bonne partie de cette étude s'applique à ma primitive XSLT de création de fichier arbitraire (entre autres sous libxslt) et "Black Box Auditing Adobe Shockwave" par ZDI (on attend toujours la publication du code promis ;-). Mention spéciale à Eloi Vanderbeken qui a codé (6.000 lignes de Python !) le générateur du crackme, qui semblait tout particulièrement imbitable. Côté social, les représentants de SOUTH ont pu rencontrer leurs homolgues nordistes (ACISSI, organisteurs des RSSIL sur Maubeuge) et découvrir la Butte aux Cailles, un endoit charmant pour manger comme pour boire. Evidemment, Sid était là et en a profiter pour faire des photos ...

Ensuite, cap sur Berlin pour PH-Neutral 0x7db, avec pour principal challenge personnel la première présentation publique de ma recherche sur XSLT. Méchante fiesta sur trois jours, entrecoupée de talks exceptionnels comme ceux de Harald Welte sur l'interception de flux TETRA (RDV au CCC Camp cet été pour ceux qui l'ont manqué), de Chris Valasek sur le soit-disant DoS d'IIS ou de Daniele Bianco & Adam Laurie sur EMV. Et Sid a encore fait des photos. Ah oui, je me vois mal oublier de parler de "Hacker Hacker", l'intro musciale de la conf, à regarder et écouter sur Youtube. Merci FX pour cette dernière occurence de PH-Neutral, c'était vraiment terrible.

Le 31 Mars 2011, la version 1.2.17 du projet "XML Security Library" a été publiée. Cette version corrige la vulnérabilité CVE-2011-1425 identifiée au cours de ma recherche sur XSLT.

L'impact de cette vulnérabilité, en particulier quand une application de sécurité de plus haut niveau (ex: authentification par Single Sign On) l'utilise, peut être important (création de fichier arbitraire côté serveur).

Voici un bref tableau recensant diverses distributions Linux, et leurs "performances" quant à la mise à disposition du correctif évoqué ci-dessus :

Les administrateurs de serveurs Ubuntu LTS ont du souci à se faire :-(
Si vous avez des informations concernant d'autres distributions intégrant xmlsec, je suis preneur !

EDIT du 13 juin 2011 à 23h50 : réponse de l'équipe Sécurité de Ubuntu

Since the package your are referring to is in universe, it is community
maintained. If you are able, I suggest opening a bug and posting a
debdiff for this issue. When a debdiff is available, members of the
security team will review it and publish the package. See the following
link for more information:

https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures

Le support de ma présentation sur les risques des moteurs XSLT, réalisée au SSTIC Vendredi dernier, est en ligne. Il existe une version Prezi que je recommande, ainsi qu'une version PDF.

Les actes, plus détaillés, devraient être mis en ligne sous peu par les organisateurs. Par ailleurs, je présenterais le même sujet (en anglais et avec plus de temps) Jeudi prochain dans le cadre de la conférence Hack In Paris.