Bruno Kerouanton

I was recently invited as a panelist expert at CIO Forum (the VIP event for selected CIOs within EMC World, Las Vegas), in duo with RSA’s chairman Art Coviello. We were interviewed by CBS News’s famous correspondent Richard Schlesinger.

The topic Art Coviello wanted to talk with me about is « intelligence-driven security », as RSA’s vision is now empowering storage and big-data, to collect as much data as possible from different sources, analyse them and try to detect abnormal digital behaviors, on servers or networks.

I strongly agree that for now, the only realistic way to detect APT is by doing so. All the infosec industry starts realizing that detecting anomalies on a single device such a PC with an antivirus or isolated detection systems isn’t enough against new forms of cybercrime, and that signature-based detection is just becoming unpractical. Even Symanted told publicly a few days ago that the legacy antivirus concept was dead.

Obviously, that kind of data collection and deep-packet inspection means a total loss of privacy as users are being continuously monitored. Thanks to Richard Schlesinger, I was able to develop this important topic, and how IT industry could help to improve privacy while preventing cybercrime.

I quoted the just-released White House report on Big-data and privacy, explaining that even Obama’s governement started realizing it was becoming hazardous to let private companies and the government do big-data analytics on people as they do it now and in the future. The report gives several recommendations (starting p.68) about what to do, and notably by protecting children, preventing discrimination, and extend privacy to non-U.S. citizens, which is a really good step forward (but those are only recommendations for now).

I also explained that the reason all non-U.S. citizens are so angry about U.S. Government and private companies collecting data, is that we (Europeans) do not have the same definiton of Privacy. In the States, and contrarily to popular belief, people do care about privacy, but not the same way as us. In Europe, privacy is about personal data collection. In the US, privacy is about personal data divulgation. Which is totally different, because it means americans do tolerate the data collection and analysis of their data and behavior, but are in the same position as europeans if for any reason this data (or related data) is disclosed against their will.

That explains a lot the reason why so many US projects at Google, Facebook, Apple, and everywhere else don’t really care about the negative impact of data collection and analytics : they focus on IT security to protect that data and the resulting analysis, and keep claiming that they really care about privacy. Which is right at some point, because privacy is -for them- only related to unintended divulgation of personal data. That also explains why strong leaders such as Art Coviello, and his company RSA are pushing forward the intelligence-driven security model : for them, doing so is not directly related to privacy, since data collected is not supposed to be disclosed but only serves at detecting and remediating cyber-risk. Like as in an antispam, that scans emails to detect anomalies, but on a much more larger scale as it embraces the whole Internet. So they really feel doing things rights, and I believe their sincerity on that point, when they say they don’t intend to harm people’s lives, but try to protect them (even if the way to achieve it is not the right one, as the consequences can be dramatic).

So the issue is « only » related to a difference of what privacy is really about.

I used a analogy with people : when you fall in love, your blindly trust your partner. If he or she betrays you, it’s a major desillusion that can definitely harm the relation and could take years to forget (or can never be rebuilt), as trust is destroyed. People fell in love with Internet, so they blindly trust it (the reason they put so much private info everywhere, starting by search engines). So Internet has the moral duty not to betray them as it has a special relationship with everyone of us, as would have any partner we love.

All companies, institutions and governments making the Internet happen should act in accordance with this principle.

I’d suggest a few clues to start moving forward, that may help :

1. Establish and enforce transparency. Transparency about data collection and usage. Citizens and users should be able to easily get full answers about « What », « How », « When », « How long », « For what purpose ».
2. Bring a right to be forgotten concept. Citizens and users should be able to opt-in and opt-out whenever they want, without question being asked or unattended consequences.
3. Protect against discrimination. Big data should help people, not induce negative effects. Citizend and users should be safe that them, their children, and in general everybody’s collected data shall only be used in a respectful way in mind, not only at the time it’s being collected and processed, but also during the whole data lifecycle.
4. Consider negative long-term consequences. Citizens and users should be safe and confident whenever their data is collected, during their entire life. Any collected data and analysis have to be designed in accordance with the fact that such collected or generated data must be safekeeped at least during the whole life of the individuals (which can be > 100 years).

Those principles are not only to protect personal data, but also to sustain our Digital Economy. We all know how nad were the consequences of the NSA revelations over the US Digital industry. Many people and institutions went reluctent to use services or store data in the States, because most citizens, even in the States, felt betrayed.

The solution is to safekeep trust. I’ve changed my Twitter profile as I now no longer use the term « security » in my description : Building trust is much more powerful for me, as it embraces both security and privacy. Bringing trust to individuals and all Internet users, whether or not they are people or companies or institutions, is having the right balance between security (to protect data) and privacy (to protect people).

Thank you for reading. Spread the word, and feel free link to this page or quote the contents. Because trust matters !

La fameuse conférence sécurité de Suisse Romande, InsomniHack, avec ses ateliers, conférences et concours, approche à grands pas ! C’est la semaine prochaine à Palexpo Genève.

Comme chaque année, j’ai préparé plusieurs petites choses, à commencer par une présentation que j’espère sympathique ! J’avoue avoir donné très peu d’explications sur le sujet de mon interventions, ou plus ou moins des bribes d’information un peu mystérieuses. Cela est volontaire, compte-tenu du sujet, mais je vous livre ici quelques précisions, pour le cas où vous voudriez en savoir plus en avant-première.

Globalement, au fil des années j’ai constaté que la très grande majorité des aspects sécurité reposent sur des bases fondamentales immuables. Que l’on soit au temps des Commodore 64 et des Atari durant les années 80, ou maintenant avec Facebook, la NSA et les Anonymous, rien n’a fondamentalement changé. A l’époque il y avait les mêmes types de soucis, le mythique film « Wargames » est un précurseur mais si on se penche un tant soit peu sur le sujet, rien n’évolue sur les fondements. Je ne dis pas qu’il ne faut pas s’adapter aux évolutions ni se former aux nouvelles attaques et risques, mais disons qu’une fois qu’on a l’esprit « hacker », souvent acquis assez jeune, on garde le pli, et que cet esprit est fondamental pour comprendre les risques et les parades.

L’esprit « hacker », ce n’est *pas* la volonté de pirater, je tiens à le rappeler pour toute personne qui irait mal interpréter mes propos. Non, l’esprit « Hacker », c’est celui d’une personne passionnée, motivée par la curiosité et la découverte, la compréhension. Autrefois, il y a quelques siècles, on appelait ça un inventeur, un scientifique, un savant. Sans cet esprit, une quantité phénomènale de choses qui nous entourent n’existeraient pas. Pour innover, inventer, il faut comprendre, aimer creuser un sujet. C’est tout l’esprit Hacker, au sens le plus noble du terme.

J’en viens à ma présentation que je donnerai la semaine prochaine lors d’InsomniHack. Je ne parlerai pas de sécurité informatique, mais d’esprit Hacker. En vous donnant quelques exemples passionnants de « jeux de piste » réalisés par des passionnés, dans des produits du commerce, et destinés à vous tenir en haleine tout en vous faisant découvrir plein de techniques et d’idées.

Ange Albertini avait il y a quelques années présenté une conférence sur les casse-têtes. J’en ferai de même en version numérique. Et j’espère que cela vous plaira ! Résoudre ce type d’énigmes est bon pour l’esprit hacker. C’est la concrétisation de la volonté de trouver une solution à un problème pas du tout évident, voire contre-intuitif.

J’ai choisi le dernier créneau de la journée pour présenter cela, bonne transition entre les conférences de la journée et le concours qui suit. Et je vous souhaite bonne chance 😉

(lien rapide : Je m’inscris à la soirée de samedi !)

LIEU :  19h30 au Restaurant Japonais yakiramen.fr,  4 rue Gay-Lussac 75005 Paris, RER Luxembourg.

Chers amis, fidèles de mon blog, de mes tweets, et plus si affinités !

Comme chaque année, je réitère mon déplacement sur Paris. Programme habituel avec les cours que je dispense en début de semaine à Mines Paris et HEC, puis un petit tour aux JIEE 13, à Polytechnique. Bref, comme l’année dernière ! La routine s’installe, c’est que je deviendrai vieux ?

Continue Reading »

Que dire de beau sur la dernière édition d’InsomniHack, qui s’est déroulée en grande pompe à PalExpo Genève ?

C’était bien, trèès bien même ! Comme d’habitude, donc 😉
Cette année, l’organisateur de l’évènement – SCRT – avait mis les grands moyens, puisqu’il s’agissait de 2 journées bien remplies, avec des ateliers thématiques la première journée, 14 conférences la seconde journée, bien entendu suivies du désormais renommé concours de Ethical Hacking durant une bonne partie de la nuit.

De nombreux intervenants de prestige étaient de la fête, notamment le célebrissime Charlie Miller, ou encore Stephen Ridley, pour les guest-stars ! Et comme j’ai eu la chance d’être dans le même hôtel qu’eux et de me retrouver à prendre mon p’tit déj en tête-à-tête, on a pu faire un peu mieux connaissance. Ca m’a également permis de retrouver de bons amis que je croise de conf en conf, comme RootBSD, Nicob ou Mario. Bref, c’est toujours une satisfaction de faire de telles conférences, et j’avoue que la promesse que je me suis faite de limiter mes participations aux confs sécurité cette année (pour cause de trop d’activités annexes…) sera difficile à tenir. Sysdream m’a d’ailleurs proposé de revenir une fois de plus à HackInParis pour y animer un atelier, comme l’année dernière. On verra si je peux, pas gagné.

Pour en revenir aux conférences, elles étaient d’un bon niveau, très intéressantes. Je n’ai malheureusement pas pu assister à la moitié d’entre-elles, d’une part car il y avait deux sessions en parallèle, et d’autre part car j’ai consacré les deux premiers créneaux de conférence à peaufiner la mienne.

Continue Reading »

« Personne ne peut prédire l’avenir mais quiconque s’enferme dans une spécialité est pratiquement sûr d’agir aveuglément »

Il y a huit ans de cela, alors que je résidais encore sur Paris, j’ai eu la chance de découvrir le Club des Vigilants, et d’être invité à en être un jeune membre. Le Club en était à ses débuts, grâce à l’impulsion de Marc Ullmann. Les réunions se déroulaient mensuellement au Fouquet’s sous forme de petit-déjeuner débat, et nous avions le plaisir de nous y réunir pour écouter avec intérêt une éminence grise s’exprimer sur son sujet de prédilection, dans tout domaine que ce soit : finance, sciences, sociologie, prospective, économie et bien d’autres sujets passionnants, à l’issue de quoi un échange de questions-réponses s’ensuivait avec l’orateur.

La lettre Vigilances est venue compléter l’offre, en proposant également chaque mois de courtes « alertes », brèves traitant de points divers mais avec la volonté de sortir des sentiers battus. Ces alertes ont été mises en ligne sous forme de blog, dont les articles sont d’ailleurs affichés sous forme de flux RSS en bas à droite sur mon site depuis plusieurs années.

Ne résidant plus sur Paris depuis plus de 6 ans, il m’est désormais difficile de venir assister aux petits-déjeuners débats, ceux-ci se déroulant en semaine, mais je suis cependant actif sur plusieurs autres plans. J’ai par exemple contribué au groupe de travail sur le Cumul des Menaces coordonné par Jacques Blamont et publié dans la revue Commentaire ,(à laquelle je suis fidèle abonné depuis aussi longtemps), ou proposé un certain nombre d’alertes au cours de toutes ces années. Enfin, je me  charge des différentes migrations et de la gestion technique du site internet du Club. Bref, bien qu’éloigné géographiquement, il y a toujours matière à faire pour le Club. J’y participe volontiers, cela m’apporte beaucoup. Et comme quiconque s’enferme dans une spécialité est quasiment sûr de se tromper, cette ouverture qu’offre le Club permet de m’extirper d’une vision monolithique de la sécurité de l’information, ma propre spécialité.

Les thèmes pour 2013 sont par exemple liés à la société numérique, restaurer la vision du long terme, une nouvelle vision des risques, quel avenir laisser aux générations futures et repenser l’économie saine… Vaste programme pour que l’avenir ne soit pas si sombre que certains veulent le croire.

Je vous invite à découvrir le site du Club (en cours d’amélioration, désolé pour les quelques « bugs » de forme éventuels) et à en suivre les discussions autour du blog. Et j’ai également le plaisir de vous annoncer que son Conseil m’a désigné administrateur, à l’unanimité, cette semaine ! Je rejoins donc le Conseil d’Administration des Vigilants, toujours à distance, pour que le Club se développe et puisse brasser encore plus d’idées importantes pour l’avenir de chacun, l’avenir de tous.

Histoire de donner quelques nouvelles (depuis le temps), voici quelques photos et impressions de quelques jours passés sur Paris ! Comme certains le savent, la fin du mois de novembre est pour moi le « rituel » annuel de passage sur Paris, car j’y donne mes habituels cours à l’Ecole des Mines de Paris, en collaboration avec HEC.

La semaine précédente, j’avais également eu l’occasion d’y faire un saut le temps d’une journée passée à Polytechnique, mais c’était en coup de vent. Je n’avais mis les pieds sur Paris que quelques heures, le temps de rejoindre le métro afin d’aller chez des amis ayant eu la gentillesse de m’héberger. Cette journée à Palaiseau, organisée sous le patronage du Ministre de la Défense, était consacrée à l’intelligence économique, et le défi du numérique. Invité en tant que membre du Club des Vigilants, j’y ai croisé et rencontré des personnes intéressantes, mais suis resté sur ma faim en ce qui concernait le thème, sujet pour moi déjà connu et aboutissant à une impasse si l’on considère l’orientation prise par les européens en la matière. D’ailleurs, cela rejoint en majeure partie les points que j’évoquais dans mon précédent billet.

Mais retournons aux activités de cette semaine…

Continue Reading »

Je reviens des Assises de la Sécurité, édition 2012. Quelques pensées en vrac, sous forme critique et strictement personnelle. Approche frontale destinée à faire réagir. Je l’espère !

1. LES 4 GRANDES TENDANCES DU SI

Voyons comment les 4 tendances du moment dans le domaine de l’IT sont perçues dans le domaine de la sécurité des SI, du moins si je me réfère aux vendeurs présents et aux conférences…

Pour celui ou celle qui se réveillerait d’une longue hibernation ou qui aurait séjourné sur Mars ces dernières années, pour rappel il s’agit du Cloud, du BYOD, du Big Data, et enfin des réseaux sociaux (par ordre d’importance côté Assises).

Continue Reading »

La semaine 25 fut intense ! Du 18 au 24 juin, je suis parti en vadrouille, d’abord sur Lyon pour la conférence RSSI NetFocus France 2012, puis sur Paris pour plusieurs activités dont la Nuit du Hack.

Je viens de récupérer les photos, il faut encore que je fasse une petite sélection avant de compléter sur le blog, avec moult détails et impressions à chaud relatifs à cette semaine intéressante où j’ai pu pêle-mêle déjeuner et dîner avec un sociologue réputé, une copine d’école, des hackers russes, des personnes de l’ANSSI et d’autres organismes apparentés, des électroniciens geek, un écrivain-romancier, un groupe de rockers Goth, un ancien directeur général d’une entreprise du CAC-40…

Continue Reading »

J’ai commencé plusieurs billets sans les terminer… faute de temps, toujours toujours.

Ce petit billet, histoire de relancer le blog, est simplement pour annoncer que je viens de terminer ma présentation sur le Bring Your Own Device dans le cadre d’une conférence du CLUSIS (Club de la Sécurité des Systèmes d’Information Suisse) à l’Hôtel Starling de l’EPFL.

Je n’ai pas pu assister au SSTIC cette année, mais le coup d’envoi est donné pour les autres conférences : Netfocus France la semaine prochaine, suivi de La Nuit du Hack (10è édition), ou j’anime respectivement des ateliers RSSI sur les aspects juridiques ou le BYOD, et un atelier (mode geek) sur l’utilisation des uTools et des outils Forensics / système.

On a aussi pu me voir à la télé (suisse) ces derniers jours, au sujet du Darknet… Tout cela se trouve de toute manière et comme d’habitude sur la page « Conferences / Speakings » de mon site.

A la semaine prochaine sur Lyon puis Paris pour celles et ceux qui me suivent ici !

Ajout du 9 mars 2012: SCRT vient de publier la solution de certaines épreuves du concours, ainsi qu’une vidéo de l’évènement !

= = =
Insomni’Hack, c’était super ! Et je remercie tout le staff de la société SCRT, qui nous a concocté de très belles et motivantes épreuves, il y en avait vraiment beaucoup et de tout : Stéganographie, web, réseaux, exploitation, reverse-engineering, crypto, et j’en passe… Bref, c’était super (mais je viens de le dire) !

La veille

Je n’ai pas encore pris le temps de m’occuper des photos prises durant cette journée (de conférences) et la soirée (de challenges), mais dans l’immédiat je vous mets une petite vidéo tournée la veille au soir, où j’ai eu le privilège de participer à un talk show en direct à la télé locale genevoise Léman Bleu, en compagnie de Paul (organisateur d’InsomniHack) et de Yann (participant).

(Pour les possesseurs d’iPad ou iPhone non compatibles Flash, je m’excuse mais je n’ai pas encore pris le temps de comprendre comment faire une vidéo en HTML 5… promis, dès que j’ai compris je convertirai toutes les vidéos présentes sur le site !)

Ensuite, les speakers sont partis manger dans une pizzeria, soirée sympathique où l’on a pu mieux faire connaissance, notamment avec notre Guest-star Thor, qui nous présentait 2 conférences le lendemain !

Les conférences

Le lendemain matin à 10 heures, démarrage des conférences, toujours très sympathiques. En vrac, sécurité des hyperviseurs et de la virtualisation, reverse de malware sous Androïd, nouveau protocole de hachage pour le futur SHA-3, reverse-engineering de systèmes linux embarqués, et j’en passe. J’ai également présenté quelque chose, le contraire aurait été étonnant…

Tout d’abord un rappel de mes 2 épreuves InsomniHack, la calculatrice Flash et l’hélicoptère, avec leurs solutions et surtout comment je m’y suis pris pour les fabriquer.
Ensuite, une présentation de ma collection de plus de 400 outils Windows, orientés sécurité, administration système et forensics… bref, la panoplie du parfait bidouilleur à trimbaler partout avec soi sur une clef USB par exemple. Ca s’appelle µTools, et ça se trouve sur µTools.éé.net (oui je sais, bonne chance pour taper cette URL au clavier, niark niark !). Les slides sont disponibles via µTools.éé.net, ou directement ici.

Le concours

C’était super, comme je vous l’ai dit. Salle comble comme d’habitude, et des épreuves en tous genres qui nous ont passionné tout au long de la longue soirée. Crypto, reverse windows, linux, Android et iPad, stégano, bizarreries réseau et exploitation de sites web et serveurs, bref tout y était ! SCRT a fait un gros travail de préparation et d’invention de toutes ces épreuves mises à dispo sur un réseau IPv6 (!), on a apprécié. Pour ma part, j’étais dans le team Shell-Storm, et ai pu trouver la solution de 4 ou 5 épreuves de crypto, forensics et reverse, qui sont mes petites spécialités. Et au final, on a fini 1ers du concours, grâce à tous (je suis nul en conception de shellcodes, ou d’attaques web, je l’avoue… chacun son truc !). En tout cas on s’est vraiment bien amusés, et on a gagné plein de choses… des pommeaux de douche lumineux, des camescopes HD, des Squeezebox Touch et plein d’autres choses, merci QoQa.ch qui était sponsor !

Je dois encore m’occuper de mettre en ligne quelques photos, je reviendrai vers vous pour cela. D’ici là, allez voir ma collection sur µTools.éé.net.