Le mois de Juin a commencé avec le traditionnel SSTIC, 9ième édition. Seule conférence francophone de ce printemps, rendez-vous incontournable de l'ensemble des mondes de la sécu en France : chercheurs, consultants, "services", étudiants, clients finaux, ... Ludovic Courgnaud a courageusement présenté sur les XSS avec "XSSF : démontrer le danger des XSS". Sujet potentiellement trollesque, dont il s'est sorti avec brio. Le fait que les exploits Metasploit marcheront désormais bien mieux que sous BeeF pourra peut-être (on peut rêver ...) convaincre plus facilement sur les risques associés à ce type de vulnérabilité, non limités à une pop-up ou à un vol de cookie. Yoann Guillot a scotché tout le monde avec le jeu Dwarf Fortress et son outil "Memory Eye", qui trouverait parfaitement sa place dans ma boite à outils, s'il était publié (MESSAGE DISCRET AUX AUTEURS ;-) ... Le lendemain fut très peu studieux pour moi, occupé par ailleurs. J'ai toutefois réussi à voir la présentation "Attacking and Fixing PKCS#11 Security Tokens with Tookan" de Graham Steel. L'outil est téléchargeable sur le site de l'université de Venise et je ne peux qu'encourager les utilisateurs d'équipements PKCS#11 (token, HSM, ...) à #1 vérifier que cet équipement précis n'est pas dans la liste de ceux cassés #2 le tester s'il n'apparait pas dans la liste de ceux testés. Vendredi, c'était mon tour (passant à 10h le lendemain du Social Event, j'avais opté pour un teasing lors des Rumps). Jérémie Zimmermann a fait une jolie présentation socio-politique utilisant la terminologie de la recherche de vulnérabilité et a évoqué les moyens citoyens de pression sur les élus, par exemple Mémoire politique. Hervé Schauer a conclu par un retour assez négatif sur l'évolution (ou pas) de la sécurité (slide 31) et sur les valeurs à cultiver (slide 32, 100% d'accord avec Hervé), après un long crochet philosophique.
La quasi-totalié des supports (actes et slides) sont disponibles et plusieurs comptes-rendus ont été publiés. Et Sid a fait des photos.
Puis ce fut voyage en famille chez Mickey, pour Hack in Paris. Un line-up prometteur, une organisation en béton, un cadre parfaitement décalé (hôtel classe et personnages de Mickey versus hordes de hackers). Winn Schwartau est vraiment un très bon orateur. Et il est toujours plus prudent d'écouter la vision de gens qui avaient raison il y a 25, 10 et 5 ans ... Bruno Kerouanton donnait des conseils pour s'en sortir dans le (très) difficile métier de RSSI, Pete aka Corelanc0d3r nous a présenté son bébé, Mona et Tom Keetch a présenté de façon claire et sans FUD les différentes sandboxes du marché. Ce qui a permis de clarifier le débat initié par la com' de Vupen à propos de l'évasion de la sandbox de (Flash dans) Chrome. Et il y a eu les deux excellents talks de Mario Heiderich. Première conf, défensive et innovante, sur le traitement des XSS côté client grâce aux nouvelles fonctionnalités de ECMA Script 5. Deuxième conf, offensive et efficace, sur le format SVG et ses risques. J'attendais beaucoup de cette conférence là, ma recherche actuelle flirtant régulièrement avec SVG et autres formats XML. Et je n'ai pas été déçu de la conclusion, les documents SVG devant selon lui être considérés non pas comme des images, mais comme des applications, ce qui se conçoit aisément quand une "image" compose un numéro Skype ou peut contenir plusieurs langages imbriqués (XML, Javascript, HTML, XSLT, ...). Les discussions "off" autour du sujet furent très riches, mes images SVG créant des fichiers ou exécutant du code Java ayant un certain succès ;-) Mes slides (en anglais et sous Prezi) sont en ligne. J'essaierais cet été de mettre tout cela dans un format plus adapté à la lecture hors-ligne et intégrant assez de code pour permettre aux éditeurs, chercheurs, ... de réaliser eux-mêmes et facilement leurs propres tests XSLT.
Bien sûr, je suis resté pour la Nuit du Hack nouvelle formule. Fini les péniches, vive les salles gigantesques ... sauf que le CTF privé a été annulé pour raisons techniques. 6h de retard et 1h de jeu déséquilibré (certaines équipes ayant de gros problèmes de connectivité) ont eu raison des mois d'efforts fournis par les organisateurs :-( Dommage, l'équipe de touristes que j'avais rejoint semblait prête à faire quelques étincelles ! M'enfin, cela nous a permis de passer une bonne soirée autour de l'open bar à examiner ce drôle de badge et à papoter stratégie. Pour la partie diurne, voir la compte-rendu de Korben.
