Mon ordinateur personnel principal, pourtant tout neuf, est hors-service. Totalement inutilisable ! Il ne démarre même plus (« I’ve bricked my PC », diraient les anglophones).
Cela a été provoqué par une simple mise à jour du BIOS, suite à des écrans bleus que j’avais systématiquement en sortie de veille (sous Windows 8 x64). Heureusement, j’ai un contrat de support Premium, ce qui fait qu’un technicien devrait passer prochainement changer la carte mère.
Cela me permet de me concentrer sur d’autres choses… prenons par exemple le spam que je reçois dans l’une de mes principales boîtes de messagerie. Continue Reading »
Ce qui n’était qu’une esquisse un peu floue se dessine désormais clairement à l’horizon du paysage numérique. Le bras de fer des enjeux de la société numérique et de la maîtrise de l’information est en cours, et les forces en jeu sont de plus en plus importantes.
J’étais sur Paris il y a quelques semaines, et en allumant la télévision du matin, sur la chaîne parlementaire (LCP), l’émission « Bibliothèque Médicis » de Public-Sénat invitait aux côté de Jean-Pierre Elkabach un écrivain plutôt connu pour ses romans d’espionnage bien informés, Percy Kemp. Il présentait son dernier livre, Le Prince, à classer dans la catégorie gouvernance politique, ou géostratégie. Ce petit livre, je l’ai bien entendu acheté dès que possible dans le cadre de ma collecte rituelle d’ouvrages (cf. mon précédent billet), puis lu en un trait. Il se veut didactique et après un état des lieux de la situation à laquelle sont confrontés nos dirigeants dans le monde en ce moment, l’ouvrage propose quelques armes pour ne pas perdre la face et tenter de s’en sortir.
C’était bien, trèès bien même ! Comme d’habitude, donc
Cette année, l’organisateur de l’évènement – SCRT – avait mis les grands moyens, puisqu’il s’agissait de 2 journées bien remplies, avec des ateliers thématiques la première journée, 14 conférences la seconde journée, bien entendu suivies du désormais renommé concours de Ethical Hacking durant une bonne partie de la nuit.
De nombreux intervenants de prestige étaient de la fête, notamment le célebrissime Charlie Miller, ou encore Stephen Ridley, pour les guest-stars ! Et comme j’ai eu la chance d’être dans le même hôtel qu’eux et de me retrouver à prendre mon p’tit déj en tête-à-tête, on a pu faire un peu mieux connaissance. Ca m’a également permis de retrouver de bons amis que je croise de conf en conf, comme RootBSD, Nicob ou Mario. Bref, c’est toujours une satisfaction de faire de telles conférences, et j’avoue que la promesse que je me suis faite de limiter mes participations aux confs sécurité cette année (pour cause de trop d’activités annexes…) sera difficile à tenir. Sysdream m’a d’ailleurs proposé de revenir une fois de plus à HackInParis pour y animer un atelier, comme l’année dernière. On verra si je peux, pas gagné.
Pour en revenir aux conférences, elles étaient d’un bon niveau, très intéressantes. Je n’ai malheureusement pas pu assister à la moitié d’entre-elles, d’une part car il y avait deux sessions en parallèle, et d’autre part car j’ai consacré les deux premiers créneaux de conférence à peaufiner la mienne.
Je reviens des Assises de la Sécurité, édition 2012. Quelques pensées en vrac, sous forme critique et strictement personnelle. Approche frontale destinée à faire réagir. Je l’espère !
1. LES 4 GRANDES TENDANCES DU SI
Voyons comment les 4 tendances du moment dans le domaine de l’IT sont perçues dans le domaine de la sécurité des SI, du moins si je me réfère aux vendeurs présents et aux conférences…
Pour celui ou celle qui se réveillerait d’une longue hibernation ou qui aurait séjourné sur Mars ces dernières années, pour rappel il s’agit du Cloud, du BYOD, du Big Data, et enfin des réseaux sociaux (par ordre d’importance côté Assises).
De retour de vacances ! Je viens de finir de lire en détail et avec passion le rapport n° 681 du Sénat français publié le 18 juillet 2012, élaboré par M. Jean-Marie Bockel au nom de la commission des affaires étrangères, de la défense et des forces armées. (Egalement disponible en PDF).
Il s’agit d’un rapport de 158 pages traitant de presque tous les aspects de la cyberdéfense, et dont le contenu est de très grande qualité. Sans aller jusqu’à dire que ce sera ma nouvelle « bible », je peux cependant supposer que ce rapport fera date, car il est très détaillé, très accessible au non-spécialistes, et comporte relativement peu d’imprécisions ou d’erreurs, fait rarissime dès lors que l’on évoque des documents à destination de politiques.
Il se lit presque comme un roman, car nombre d’exemples de cyber-attaques récentes y sont détaillées, telles les attaques de Bercy avant le G8-G20, les dénis-de service du Sénat lors des travaux sur le Génocide arménien, le cyber-espionnage qui a visé Areva, et tout récemment les attaques de la Présidence française.
Vous y découvrirez les différentes postures des pays leaders dans le domaine de la cyberdéfense, le détail de leur organisation, et tout plein de détails croustillants et passionnants sur les attaques et ripostes, lacunes et forces des acteurs respectifs, interviews de personnalités et experts, et des recommandations que je trouve très justes, même si elles seront difficiles à mettre en oeuvre de manière globale.
Plutôt que de réinventer la roue, je vous invite dès maintenant à aller lire sur le blog de Stéphane Bortzmeyer son point de vue, car il y livre une synthèse critique très pertinente. Et comme tout le monde en a déjà parlé avant moi, vous pouvez également lire la critique critique de Sid ou bien encore celle de Newsoft, qui n’y vont pas avec le dos de la cuillière pour penser que ce rapport ne sera in-fine pas mis en application, ou du moins n’aura qu’une faible influence sur l’état d’insécurité informatique ambiant !
La semaine 25 fut intense ! Du 18 au 24 juin, je suis parti en vadrouille, d’abord sur Lyon pour la conférence RSSI NetFocus France 2012, puis sur Paris pour plusieurs activités dont la Nuit du Hack.
Je viens de récupérer les photos, il faut encore que je fasse une petite sélection avant de compléter sur le blog, avec moult détails et impressions à chaud relatifs à cette semaine intéressante où j’ai pu pêle-mêle déjeuner et dîner avec un sociologue réputé, une copine d’école, des hackers russes, des personnes de l’ANSSI et d’autres organismes apparentés, des électroniciens geek, un écrivain-romancier, un groupe de rockers Goth, un ancien directeur général d’une entreprise du CAC-40…
J’ai commencé plusieurs billets sans les terminer… faute de temps, toujours toujours.
Ce petit billet, histoire de relancer le blog, est simplement pour annoncer que je viens de terminer ma présentation sur le Bring Your Own Device dans le cadre d’une conférence du CLUSIS (Club de la Sécurité des Systèmes d’Information Suisse) à l’Hôtel Starling de l’EPFL.
Je n’ai pas pu assister au SSTIC cette année, mais le coup d’envoi est donné pour les autres conférences : Netfocus France la semaine prochaine, suivi de La Nuit du Hack (10è édition), ou j’anime respectivement des ateliers RSSI sur les aspects juridiques ou le BYOD, et un atelier (mode geek) sur l’utilisation des uTools et des outils Forensics / système.
On a aussi pu me voir à la télé (suisse) ces derniers jours, au sujet du Darknet… Tout cela se trouve de toute manière et comme d’habitude sur la page « Conferences / Speakings » de mon site.
A la semaine prochaine sur Lyon puis Paris pour celles et ceux qui me suivent ici !
Photo prise au détour d’un rond-point, durant quelques jours de repos (sous la pluie), à Aix-les Bains… on voit que les Anonymous sont populaires et font leur pub ! Je n’ai pas résisté à ralentir pour prendre la photo, d’autant plus que c’est le sujet d’une prochaine présentation que je dois donner, alors autant illustrer.
= = =
Insomni’Hack, c’était super ! Et je remercie tout le staff de la société SCRT, qui nous a concocté de très belles et motivantes épreuves, il y en avait vraiment beaucoup et de tout : Stéganographie, web, réseaux, exploitation, reverse-engineering, crypto, et j’en passe… Bref, c’était super (mais je viens de le dire) !
La veille
Je n’ai pas encore pris le temps de m’occuper des photos prises durant cette journée (de conférences) et la soirée (de challenges), mais dans l’immédiat je vous mets une petite vidéo tournée la veille au soir, où j’ai eu le privilège de participer à un talk show en direct à la télé locale genevoise Léman Bleu, en compagnie de Paul (organisateur d’InsomniHack) et de Yann (participant).
(Pour les possesseurs d’iPad ou iPhone non compatibles Flash, je m’excuse mais je n’ai pas encore pris le temps de comprendre comment faire une vidéo en HTML 5… promis, dès que j’ai compris je convertirai toutes les vidéos présentes sur le site !)
Ensuite, les speakers sont partis manger dans une pizzeria, soirée sympathique où l’on a pu mieux faire connaissance, notamment avec notre Guest-star Thor, qui nous présentait 2 conférences le lendemain !
Les conférences
Le lendemain matin à 10 heures, démarrage des conférences, toujours très sympathiques. En vrac, sécurité des hyperviseurs et de la virtualisation, reverse de malware sous Androïd, nouveau protocole de hachage pour le futur SHA-3, reverse-engineering de systèmes linux embarqués, et j’en passe. J’ai également présenté quelque chose, le contraire aurait été étonnant…
Tout d’abord un rappel de mes 2 épreuves InsomniHack, la calculatrice Flash et l’hélicoptère, avec leurs solutions et surtout comment je m’y suis pris pour les fabriquer.
Ensuite, une présentation de ma collection de plus de 400 outils Windows, orientés sécurité, administration système et forensics… bref, la panoplie du parfait bidouilleur à trimbaler partout avec soi sur une clef USB par exemple. Ca s’appelle µTools, et ça se trouve sur µTools.éé.net (oui je sais, bonne chance pour taper cette URL au clavier, niark niark !). Les slides sont disponibles via µTools.éé.net, ou directement ici.
Le concours
C’était super, comme je vous l’ai dit. Salle comble comme d’habitude, et des épreuves en tous genres qui nous ont passionné tout au long de la longue soirée. Crypto, reverse windows, linux, Android et iPad, stégano, bizarreries réseau et exploitation de sites web et serveurs, bref tout y était ! SCRT a fait un gros travail de préparation et d’invention de toutes ces épreuves mises à dispo sur un réseau IPv6 (!), on a apprécié. Pour ma part, j’étais dans le team Shell-Storm, et ai pu trouver la solution de 4 ou 5 épreuves de crypto, forensics et reverse, qui sont mes petites spécialités. Et au final, on a fini 1ers du concours, grâce à tous (je suis nul en conception de shellcodes, ou d’attaques web, je l’avoue… chacun son truc !). En tout cas on s’est vraiment bien amusés, et on a gagné plein de choses… des pommeaux de douche lumineux, des camescopes HD, des Squeezebox Touch et plein d’autres choses, merci QoQa.ch qui était sponsor !
Je dois encore m’occuper de mettre en ligne quelques photos, je reviendrai vers vous pour cela. D’ici là, allez voir ma collection sur µTools.éé.net.
Je n’ai pas pu m’empêcher de trouver surprenante la manière dont certaines sociétés proposent la location d’espaces d’archivage de documents confidentiels… Pour peu, on croirait qu’ils vous prennent pour un terroriste tout juste bon à résider dans un quartier de haute-sécurité
J’ai reçu ceci dans ma boîte aux lettres professionnelle récemment :
Si j’approuve totalement le concept en question, et que l’hébergement sécurisé de données reste utile, je pense sincèrement que l’accroche marketing est un tantinet décalée… à moins que ce ne soit justement fait volontairement pour que l’on se souvienne d’eux ? Allez savoir !
Préambule : I’ve bricked my PC
