Semaine 25 – Intensément bien !

La semaine 25 fut intense ! Du 18 au 24 juin, je suis parti en vadrouille, d’abord sur Lyon pour la conférence RSSI NetFocus France 2012, puis sur Paris pour plusieurs activités dont la Nuit du Hack.

Je viens de récupérer les photos, il faut encore que je fasse une petite sélection avant de compléter sur le blog, avec moult détails et impressions à chaud relatifs à cette semaine intéressante où j’ai pu pêle-mêle déjeuner et dîner avec un sociologue réputé, une copine d’école, des hackers russes, des personnes de l’ANSSI et d’autres organismes apparentés, des électroniciens geek, un écrivain-romancier, un groupe de rockers Goth, un ancien directeur général d’une entreprise du CAC-40…

LYON – NETFOCUS FRANCE 2012

Lundi, après un bref passage au bureau pour avancer sur 2-3 dossiers, direction Lyon… NetFocus France est le rassemblement annuel des « RSSI de grandes organisations ». J’y suis afficionnado depuis déjà 10 ans, que le temps passe vite ! C’est donc avec un grand plaisir que j’y retrouve mes confrères français de grosses sociétés et administrations, pour y parler des tendances et retours d’expérience. Cette année je n’étais pas speaker avec une présentation, car on m’a proposé de participer à une table ronde sur la sensibilisation, oû j’ai pu donner plusieurs retours d’expérience sur les « Fail », « Could do better » et « The best » sur le sujet. Forcément j’ai fait sourire la salle lorsque j’ai dit que j’avais trouvé la formule magique : en passant au journal télé de 20h, ça permet de sensibiliser d’un coup toutes les catégories de personnes ! C’est ce que j’ai eu la chance de pouvoir faire déjà à deux reprises, mais c’est vrai que ce n’est pas quelque chose que mes collègues pourront exploiter aisément dans leurs sociétés respectives.

Comme chaque année nous avons eu le droit à de bonnes présentations, avec un keynote d’un haut représentant de l’ANSSI sur la stratégie cyberdéfense française, et dont les diapositives ne sont pas publiques. Quelques présentations plus moyennes aussi mais dans l’ensemble c’était bon, et NetFocus reste pour moi le meilleur évènement « RSSI », ne serait-ce que parce que l’on y discute entre nous de nos différentes expériences, à huis-clos. J’y ai d’ailleurs animé deux ateliers sur le BYOD (Bring your Own Device) et sur les aspects juridiques du Cloud computing.

PARIS – CLUB DES VIGILANTS

Je suis ensuite parti en coup de vent de Lyon pour assister à une assemblée générale du Club des Vigilants, où j’étais invité pour la stratégie future. Je suis membre actif de ce think-tank depuis de nombreuses années, et bien que résident éloigné du siège, je fournis alertes et autres travaux quand je trouve le temps où qu’une idée mérite l’attention. Ainsi, la plateforme technique hébergeant le site web du Club est sous ma gestion. Le Club des Vigilants n’est pas du tout orienté informatique, mais brasse différentes orientations, et c’est ce qui me permet de croiser et de déjeuner en compagnie de personnes expertes dans des disciplines fort éloignées : anthropologie, sociologie, gestion d’entreprise, financière, Internet, journalisme, histoire, ressources humaines, etc. Quant à moi, j’apporte ma petite brique en matière de gestion des risques et de sécurité informatique. C’est en tout cas passionnant, et ayant donc pu déjeuner le lendemain autour du sociologue Jean Viard, qui nous présentait son Visage de la France et l’évolution des modes de vie, cela m’a donné quelques idées à développer pour une future conférence déjà planifiée en 2013. En tout cas le vin était très bon (ils ont une cave exceptionnelle dans ce restaurant) !

Déjeuner passionnant en compagnie de Jean Viard, sociologue réputé. Une bonne table au passage.

PARIS – EMPLETTES et RENCONTRES

La tour SG de la Défense… pour y voir un ami de l’asso des anciens du lycée Rochambeau Washington D.C.

La coupole des Académiciens… pour une rencontre avec la direction de Canal Académie !

Paris, c’est aussi pour moi le moment de passer un peu de temps à retrouver des ami(e)s et à faire des courses précises. J’ai ainsi pu courir entre la tour SG de la Défense, le pont de Levallois, l’Apple Store Opéra, l’Institut du Monde Arabe, la librairie Eyrolles (où je n’ai rien trouvé), l’académie des Sciences et la Monnaie de Paris, et enfin la librairie l’Harmattan (où j’ai trouvé plein de choses…).

Les livres que je cherchais sont précis mais il ne m’est pas facile d’utiliser Amazon ou un équivalent pour les dénicher. D’une part, car il ne s’agit pas d’ouvrages informatiques… si, si vous avez bien lu ! D’autre part car il s’agit d’essais scientifiques et littéraires sur l’impact des nouvelles technologies, en particulier les réseaux sociaux et la mobilité sur l’évolution des sociétés et de leur culture. Pour cela, difficile de se fier à des librairies en ligne qui ne me les proposeront pas forcément, et qui ne m’en donneront en tout cas pas d’avis. Le seul moyen pour moi de savoir si cela convient est de me rendre sur place et de feuilleter le contenu brièvement. Je suis donc ressorti avec une grosse poignée d’ouvrages, en majorité issus du CNRS (actes de colloque, travaux de recherche), dont la lecture exige un nombre de soirées au calme. Tout cela pour préparer ma conférence de janvier 2013 au Rotary, sur ce même thème, et au passage pour en savoir plus sur la sociologie, domaine qui m’a toujours intéressé.

PARIS – FETE DE LA MUSIQUE : ORGUES, DRONES ET GOTH…

J’avais totalement oublié que c’était la fête de la Musique, et ai été comblé ce soir là. Après avoir déposé mes emplettes à l’hôtel, direction centre-ville, où j’ai commencé en douceur dans l’Eglise Saint-Eustache, avec l’organiste J. Guillou au Grand Orgue, avec différentes interprétations de Bach, Handel et autres sommités. Je ne sais pas ce que vous pensez de cette musique, mais il y a un côté « geek » tout de même… tous ces boutons, tous ces claviers !!!

Son concert terminé, et pour effectuer la transition du RSSI manager à l’expert technique SSI, j’ai été rendre visite à des amis propriétaires d’un pub dans le centre, et en face duquel une scène Electro-Trans était installée, avec des tonnes de dB, des tonnes d’excité(e)s et même le survol d’un drône Arduino « maison » et un groupe de rockers dans le pur style Goth… Je ne suis au final pas resté si tard que cela, ayant eu une semaine chargée et anticipant les courtes nuits qui allaient suivre.

Fête de la musique… Rien à voir avec l’organiste  J. Guillou, mais j’aime aussi… l’éclectisme a du bon !

Un drône sous Arduino au-dessus de la « scène » improvisée.

Et en fond, un groupe Goth… pas mal !

DISNEYLAND PARIS – LA NUIT DU HACK #NDK2K10

Puis en route chez Mickey, où une chambre m’attendait, en vue de Hack In Paris (où je n’ai donc pas eu le temps de me rendre) et de La Nuit du Hack (où j’ai pleinement profité, et donné un atelier… puis un second plus tard !)

Mais revenons à la Nuit du Hack ! C’était les 10 ans, c’était sans CrashFR, c’était spécial, c’était génial…

Tout d’abord, je remercie du fond du coeur tout le team d’organisation, il y en avait partout, je crois entre 50 et 80 au total ! Il faut dire que c’est un an de travail, pour accueillir plus de 1’500 personnes, préparer des CTF de folie et tout le reste…

Sur la photo précédente, ça va encore, c’est le tout début… vers midi on ne pouvait plus s’asseoir, et dans l’après-midi il y avait sûrement plus de 200 personnes assises par terre tellement c’était bondé ! Vraiment bien !!! Comme l’année dernière c’était le grand chapiteau de Disney Hotel New-York qui a été réservé, sans compter les 4-5 salles supplémentaires pour l’orga, la presse, et la fameuse Crash Party (j’y reviens).

Cette année, outre les talks sympa, j’ai remarqué beaucoup de « Back to basics », à savoir l’électronique. Que ce soit pour les talks et les workshops d’ailleurs :

Par exemple ici, @Virtualabs présentait la technique de lecture (et d’écriture ?) de tickets de métro parisiens afin de, disons, les recycler dans un but strictement anti-gaspi et écologique !

Nous avons eu beaucoup, mais vraiment beaucoup d’ateliers orientés « électronique ». Robotique, webbugs, modification de consoles de jeux vidéo, bricolages divers et variées, et même chipmusic sur Gameboy… comme quoi ! Du coûp, ayant retrouvé un certain Marc avec grand plaisir, lui-même féru de radio et d’électronique, nous n’avons pas pu nous empêcher de regarder ce qui se passait lorsque nous commandions des sandwiches au fast-food Disney local… un petit coup de scanner (Marc a toujours un couteau Suisse et son scanner dans son sac…) et hop !

Mais à part voir le signal arriver, rien de transcendant sans électronique appropriée. Electronique que nous aurions pu emprunter un moment aux autres teams, qui avaient apporté tout leur attirail (dont un oscillo Hameg 203 ci-dessous, que j’ai le plaisir d’avoir également dans mon garage, strictement identique).

Mais (pour moi), le clou du spectacle était tout de même la réalisation d’un bidouilleur sympa, qui s’est ramené avec deux boîtiers USRP, un PC et des lecteurs-programmateurs de carte à puce… J’en avais entendu parler mais je n’avais pas vu en live la chose ! Et vas-y que  je te crée un nouvel opérateur GSM, que je te récupère la liste des téléphones mobiles environnants, que je te clone leur IEMI et leur SIM dans une nouvelle « Silver card » (carte à puce universelle basée sur contrôleur PIC) et redécoupée en forme de SIM ou de Micro-SIM… Sert habituellement à d’autres usages parfois délicats…). Et dans la foulée, une fois le tout lancé, un petit coup de Wireshark pour lancer une écoute du signal voix, ou encore un petit coup d’injection pour générer un faux appel sur le mobile. Je vous laisse déjà imaginer le casse-tête juridique que cela va poser face à des expertises forensique sur mobile…

Retour dans la « grande salle », où l’ami @RootBSD aka Paul est en pleine concentration pour son atelier Metasploit. Il aura eu lui aussi une jourmée intense, avec 1 présentation et 2 ateliers à animer lors de cette Nuit du Hack. En tout cas franc succès pour lui, bravo à toi !

Il m’a ensuite laissé sa place, et j’ai alors donné le mien, sur les uTools.éé.net et sur le cassage de mes anciens challenges que j’avais conçus lors d’InsomniHack 2008…

(crédit photo @lostprophet91/Twitter)

Après cela, je suis allé voir les deux équipes suisses que je connaissais qui participaient au CTF, et manifestement c’était vraiment difficile… au final 3 épreuves réussies sur les 15 prévues par l’ensemble des équipes top-niveau ! Au final ce sont les russes qui ont gagné, après avoir lutté toute la nuit à coup de floods et de dénis-de-service violents… Méthode russe ! Non, en fait il faut dire deux choses : d’une part il n’y avait pas vraiment de règles, et le plantage des machines adverses pouvait se faire en DDoS… d’autre part, les teams qui ont été sélectionnées pour participer à cette épreuve étaient d’un niveau déjà très élevé, de l’aveu même de l’organisateur… Je me demande même si il y avait dans le lot des services d’état étrangers spécialisés en attaques. Le petit groupe de coréens venus spécialement et uniquement pour ce challenge, et qui dans les 10 minutes de l’annonce des résultats est parti dare-dare, me laisse penser qu’ils étaient « sponsorisés », mais je peux me tromper… En tout cas on a pu voir que les russes, les français et les américains sont plutôt très bons à ce petit jeu de l’attaque-défense en ligne… A méditer !

Durant les ateliers et le CTF, il y avait également… la Crash Party ! Sur invitation et en mémoire de feu CrashFR pour celles et ceux qui le connaissait, et c’était vraiment sympa de la part des organisateurs une telle ferveur à organiser le tout en son hommage. J’ai été touché, de parler notamment à Freeman, et au frère de Paolo, qui m’ont dit avoir organisé tout cela simplement, comme il aurait voulu que ce soit fait… très bel hommage, merci encore à vous, pour lui…

La Crash Party, c’était quoi ? De la bonne musique 8-bit remixée (!!), des FatBoy pour s’allonger, des chaises et des tables pour manger du pâté et du jambon, du Redbull  et d’autres choses sympa… comme des bornes d’arcade ! En tout cas les DJ’s étaient déchaînés, c’était cool !!!

Je dois quitter le clavier… je ferai dans quelques jours un billet au sujet de mes deux ateliers, et pour répondre à toutes les questions que je reçois depuis de la part de mes nouveaux followers sur Twitter mais aussi LinkedIn, et donc nouveaux lecteurs ici 😉

MERCI à Freeman, à Cysko, à Virtualabs, à Arkham, à Tifox, à Sihame, à tout le staff, à tout le team d’organisation, à tous les speakers, à tous les présentateurs de workshops, à tous les sélectionnés au CTF, à tous les gagnants, à tous les participants à l’event !!!!!!! Merci aussi à toutes celles et ceux que j’ai rencontrés, qui étaient très sympa ! Une mention spéciale pour ceux qui ont pris le temps de réussir mon challenge Tee-Shirt 😉