Traces évidentes...

De nombreux blogs tiennent en live le CR du SSTIC, c'est encore mieux que d'y être (en tous cas, sur la conf du moment...). Cette année, j'ai choisi de live blogguer via mon identi.ca. Peut-être que je ferai une construction finale, mais pas sûr.

Si vous voulez d'autres points de vue :

Twitter (#sstic2010, #sstic)

Les blogs :

   * par Mat chez Hurukan
   * par Erwan sur n0secure 
   * par Vanhu
   * par Sid

Crédits à Sid pour quelques adresses...

Ça va révolutionner le monde.

      ASCII                Mood
      =====                ====
      :)                   Happy
      :(                   Sad
      :D                   Amused
      %(                   Confused
      :o                   Bored
      :O                   Surprised
      :P                   Silly
      :@                   Frustrated
      >:@                  Angry
      :|                   Apathetic
      ;)                   Sneaky
      >:)                  Evil

Le 2 février, j'étais invité par nono à la troisième journée de conférences de l'ESEC, laboratoire de sécurité de Sogeti. Levée du corps à 5h30 pour prendre le train une heure plus tard. Quelques deux heures plus tard, direction l'étoile pour passer la journée dans le 16è. Je remonte l'avenue Foch et profite de la visite pour regarder les immeubles particuliers. Clairement, je n'ai pas encore les moyens...

Après avoir mappé la veille, je trouve sans difficulté les locaux. Prise de badge et direction le sous-sol où l'équipe de Fred attend que les invités remplissent la salle. Jus d'orange, thé et viennoiseries à volonté. Pas de doute, on sait recevoir. Ça a un air de SSTIC connu, étrange. Je retrouve quelques têtes connues dans l'assemblée, as usual. Un œil au programme, l'autre sur les publicités insérées dans la plaquette. Pas de doute, lorsque l'on est habitué à du LaTeX, ça choque. Deux conférences le matin, trois conférences l'après-midi. Au vue de mon billet de train, faudra que j'écourte en fin de journée pour retrouver la campagne. Les conférences, comme je l'apprendrai au cours de la journée, seront agrémentées de longues coupures qui permettent de socialiser. Un peu trop longues à mon goût, j'aurai préféré des présentations un peu plus étoffées et moins de temps pour siroter ;)

Rentrons dans le vif du sujet avec Jean-Baptiste Bédrune qui s'attaque à la protection des contenus. Il liste d'abord quelques outils qui permettent de protéger ce sacro saint contenu, comme les DRM, les solutions satellites (DAC, ECM, EMM...), les solutions pour le streaming (TPM+DADVSI+CLUF). Après cette introduction musclée, on attaque le vif du sujet, puisque la journée est placée sous le signe de l'attaque. Il montre donc que la protection avec des clés qui sont stockées sur le poste après le premier visionnage permet de les récupérer à loisir, que l'antidebugging est pour les kiddies, tout comme l'obfuscation algorithmique. Une autre solution consiste à récupérer la source par un enregistrement tiers, avec l'exemple d'un fichier AAC protégé. Il suffit de le passer en MP3 pour perdre cette protection (même si cela n'a pas été évoqué, on pensera à l'enregistrement d'un film par une caméra vidéo, ce qui casse le mécanisme anti-copie, mais pas l'empreinte). Il évoquera enfin l'asymétrie entre la protection (que l'on peut considérer comme lourde) et la déprotection (qui est un mécanisme faible). Un DRM est une protection de code, ce qu'il assimile à de la sécurité par l'obscurité. Le combat est perdu d'avance, déprotéger est beaucoup plus facile que protéger.

C'est Alexandre Gazet qui prendra la suite de Jean-Baptiste, dans la continuité de sa présentation sur les contenus numériques, il parlera du contrôle d'accès pour le contenu payant. Bien sûr, pour nous, frenchies, ça rime avec une date et une chaîne : 1984 : canal+. La suite viendra quelques douze années plus tard avec canalsat, TPS et ABSat. C'est l'emploi de la norme DVB, avec en général l'affranchissement d'une voie de retour. Alexandre présente les deux modes de piratage connus : partage des mots de contrôle (CW ou control word) et/ou le partage des cartes. De ces faits réels, il décide de nous montrer que ce business peut être lucratif en analysant le cas de deux sociétés fictives, créé pour l'occasion (le cas d'étude, pas les sociétés ;)). La première est spécialisée dans la vente de matériel, la deuxième, dans la vente de cartes. C'est une bonne conférence, sympathique. J'y découvre un business que j'ignorais totalement, n'ayant jamais eu que les chaînes nationales à la maison et aucun matériel à portée.

Le repas est présenté sous forme de lunch. On est globalement très gâté avec un niveau élevé (œufs de caille en cuisson devant vos yeux, foie gras, fromage de qualité...). Promis, je ne comparerai pas avec un certain restaurant universitaire.

L'après-midi reprend avec la présentation pour laquelle je suis venu principalement. En effet, Arnauld a commencé à travailler depuis plusieurs mois sur les réseaux sociaux et c'est un peu l'accomplissement de tout cet acharnement. On commence d'ailleurs magnifiquement par Fred qui nous fait patienter et chauffe la scène en précisant que si jamais la démo ne fonctionne pas, ce sera à cause du chat. En effet, quelques informations plus tard, on apprend qu'un des serveurs pour la démo est le PC d'un des conférenciers, hébergé chez lui et que son chat reboot de manière régulière le pc ou tout au moins, s'amuse avec le clavier. La présentation s'ouvre sur un panorama des réseaux sociaux, en rappelant que c'est un effet localisé. En effet, si Orkut est le premier réseau social au Brésil, ce n'est pas le cas ailleurs. En France, c'est Viadéo et LinkedIn qui tiennent le haut du pavé pour la partie pro et facebook pour les particuliers. Une petite statistique, ça ne fait jamais de mal : aux États-Unis, 54% des entreprises bloquent les réseaux sociaux pour des questions de productivité.

On passe sur le fond de l'étude. On s'intéresse à LinkedIn et facebook. Un premier test sur la collecte directe et indirecte est effectué. Les deux comportements des moteurs s'opposent. Facebook rend les informations privées inaccessibles (son créateur s'en repent aujourd'hui), mais laisse l'ensemble des contacts accessible. Chez linkedIn, on a accès au profil, pas forcément à ses contacts. Il faut alors passer par les groupes pour trouver des cohérences. La démonstration est effectuée sur la personne de Fred, innocente victime "Head of IT security R&D at Sogeti/CapGemini & Chief". Oui, ça pète.

On passe à facebook qui va en prendre pour son grade. On nous évoque la possibilité de traitement automatisé des données, malgré les restrictions sur le javascript, la présence des e-mails dans des images et des captchas, tout se passe très bien. On est rassuré, c'est pas demain que nos données seront à l'abri. On passe à la partie la plus inquiétante. Les applis tiers. En effet, celles-ci ne sont ni hébergées, ni vraiment validées par facebook. En effet, elles sont tiers, mais complètement. Hébergées sur des serveurs distants. Autant dire que vous pourriez mettre la nasa en orbite. La démonstration est flagrante. Un utilisateur ouvre sa page, lance l'application ("où qu'il est le mignon petit chat tout kawaï") et le puppet master prend la main sur son poste via le canal de contrôle, tout en ayant utilisé une faille du navigateur. C'est simple, c'est propre, c'est beau.

Amis utilisateurs qui lisez ce blog (là, ça fait pas très crédible, j'admets), n'utilisez aucune application tiers sur facebook.

Je termine ma journée par la conférence attendue de Damien Aumaître. Son exposé portera sur la protection physique du poste utilisateur. Pour cela, il y a plusieurs moyens : récupérer le mot de passe, installer un trojan, installer des fichiers compromettants (clears... quoi ?), utiliser une clé U3, usage d'un keylogger (jolie vidéo au passage, Jack Bauer n'a qu'à bien se tenir !), on terminera cette longue liste par le dernier jouet de sieur Aumaître : l'amélioration présentée à SSTIC'09 par monsieur Devine en attaquant le bus DMA. Plutôt que d'utiliser de longues phrases, ça se résume en quelques mots :

dévérouillage d'un pc sous windows seven 64 bits en insérant une carte PCMCIA pendant dix secondes puis en tapant n'importe quel mot de passe dans la mire de saisie. Pouf, on est system. C'est toujours aussi magique.

Voilà, c'est l'heure du train et j'ai un excellent Pratchett à finir (the fifth elephant). Ce fut plaisant, bien que les pauses soient un peu longues et qu'une ou deux conférences auraient été appréciées, je dois dire que je reconnais là la patte d'un des créateurs de SSTIC et que j'apprécie.

À l'heure où un certain labo va disparaître, il est réjouissant de voir que d'autres pètent la forme et font avancer notre matière avec des retours intéressants. À noter également que l'aspect offensif apparaît de plus en plus (le blog de la sécurité offensive, la conférence hackito ergo sum...) et qu'il se pourrait que ce changement de comportement prouve une certaine maturité parmi les acteurs en lice.

Merci à Arnauld pour l'invitation et à Fred de ne pas m'avoir envoyé les vigiles à l'entrée :p

Il faut six secondes à la fontaine pour remplir mon verre. Il est interdit de marcher sur les verrières du toit. Le troisième étage nécessite une authentification, alors que je peux me balader librement dans d'autres étages. Je travaille dans un endroit étonnant, je vis des choses passionnantes.

Actuellement, je travaille en pointillé sur deux sujets de recherche (pointillés élastiques, dois-je préciser) car je ne prends pas suffisamment de temps pour mener à bien mes expérimentations et en tirer les conclusions qui sont dues. Le travail s'accumulant, à travers mes différentes activités, étant une autre charge morale dont je me passerai volontiers. Je suis actuellement dans l'état d'un légume qui ne sait faire que lire. Bref. Je disais donc que j'ai deux sujets de recherche, spécifiquement en sécurité informatique. Celui qui nous intéresse présentement concerne les réseaux sociaux. J'étudie l'impact de ces derniers sur notre vie quotidienne, sur la gestion de l'anonymat, sur l'intrusion dans la vie privée et ce que l'on peut en faire. Cela pourrait paraître plus sociologique qu'informatique, mais après tout, notre science est grande.

J'ai pris contact avec un inconnu anonyme que nous appellerons xxx, sous un compte anonyme et proposé une connexion amicale. Ce qui a gentiment été accepté. Ce test m'amène à d'autres tests pour l'étude dont je reparlerai ultérieurement, si j'aboutis. Après avoir tenté quelques échanges par l'intermédiaire du moteur interne, sans réponse, j'ai enfin reçu un message ce matin :

Vous ne respectez pas le principe de ce réseau social auquel je me soumets volontiers moi-même : assumer son identité réelle. Vous n'avez qu'un faux profil, sans photos, sous pseudo dont l'unique but apparemment était de me compter parmi vos connaissances (puisque vous n'en avez pas d'autres). Je préfère donc mettre fin à cette imposture, cher yyy.

Bien qu'ayant uniquement contacté xxx sur son compte anonymisé, mes investigations m'ont permis de retrouver son identité réelle, identité à qui j'ai demandé d'être en relation, sans plus d'incursion dans sa vie privée. Connexion acceptée. Ce compte de recherche n'avait que deux connexions, reliées apparemment à la même personne.

Ce que nous pouvons retirer de cette première expérience, malgré la rudesse des propos de l'interlocuteur, est plutôt satisfaisant. En effet, on en considère les faits suivants :

• - l'usager partage facilement ses données
• - l'usager s'attend à un mimétisme (je partage mes photos, tu dois donc partager tes photos)
• - l'usager souhaite voir un profil, même s'il est bidon (nom, prénom, âge, activité sexuelle)
• - l'usager ne souhaite pas être une cible directe (création d'un réseau bidon avec émulation simulée pour travail sur cible)

Si l'on dérive sur notre cible (le mot n'est pas ici péjoratif), il est surprenant de constater qu'on me reproche d'être anonyme, alors que je parle à un autre anonyme.

Il est tout aussi surprenant que de nouveaux arrivants sur le réseaux pensent devoir définir des règles de fonctionnement, alors que, disons le bien, ils ne savent pas épeler RFC. C'est d'un sarcasme à toute épreuve :)

En tous cas, merci à cette cible anonyme, si un jour elle se reconnaît, pour cette étude. J'aurai préféré, de loin, biaiser le résultat. (Spéciale dédicace à pp.)

Voilà, de retour des rencontres mondiales du logiciel libre (rmll) (qui a dit rlll ?), nous avons eu pas mal d'activités. On a fait une conférence que j'espère bientôt pouvoir vous mettre en lien ici et sur le blog de l'Éof. En attendant, en l'absence de l'apparition d'une muse, vous pouvez écouter ma douce voix suite à une interview sur Divergence FM. Plutôt que de mettre un lien éphémère, j'ai préféré copier l'intégralité de l'interview sur le serveur de l'école.

Interview sur l'École Ouverte Francophone

J'en profite pour dire que Divergence est dans une passe difficile, n'hésitez pas à les soutenir avec un petit don !

Je fais mes premiers pas en matière de Musique Assistée par Ordinateur (MAO). Après avoir discuté avec Guilhem (ouais, tu peux avoir honte de ton blog :p), j'ai surfé un peu sur linuxmao.org que je ne trouve pas toujours très clair ou très poussé. Bref, j'ai poussé un peu plus sur google. J'ai installé (ou avais déjà) les softs suivants :

Ça y est, après plus d'un an et demi d'attente, j'ai enfin reçu la récompense de mes cinq (six en temps humain, cinq en temps de travail) années au Conservatoire National des Arts et Métiers. Je vais donc tranquillement pouvoir passer à autre chose et ça tombe bien, parce que j'ai pas mal d'idées en tête...

Ce soir, j'ai une amie qui arrive un peu affolée sur mon jabber, en me demandant si je peux lui sauver la vie. Comme c'est devenu monnaie courante, du moins, deux à trois fois par mois, j'estime que ça doit l'être, j'écoute sa complainte. Je peux effectivement la sauver. Ayant cherché pendant longtemps comment faire, je me suis dit que cette astuce avait toute sa place dans cette rubrique.

Pour insérer du code dans un source latex, on utilise en général un environnement verbatim. Cependant, beamer crie au drame lorsque l'on essaye de lui appliquer le même comportement. La solution est pourtant simplissime. Il suffit de tagguer la frame comme fragile.

Voici un exemple :
\begin{frame}[fragile]
\frametitle{a fragile frame}
\begin{verbatim}
echo "Le foutu code qui ne passait pas et qui doit maintenant passer"
\end{verbatim}
\end{frame}

Pour plus d'explication (on dira pour les courageux), je vous laisse vous reporter à plus de documentation.

Laurent Bloch, pour qui j'ai le plus grand respect, a écrit pendant ce dernier mois, un certain nombre de billets quant à sa nouvelle fonction de DSI à l'Université Dauphine. Cela n'est pas sans faire écho chez moi de nombreuses réflexions dûes à mon ancien poste d'assistant Ingénieur au sein de l'Université de Limoges. Ayant vécu pendant trois ans cette situation, je peux me targuer d'avoir un peu plus de recul sur le vécu intérieur, même si Laurent a, quant à lui, beaucoup plus d'expérience que moi dans notre domaine.

Ce qui est regrettable, en université, si ce n'est des castes dont je ne parlerai même pas, c'est la centralisation et la décentralisation, le tout dans un instantanée. En gros, il semble que la révolution culturelle de 1968 soit restée dans les mœurs et qu'il soit interdit d'interdire, qu'on ne puisse mener une réflexion à terme que si tout le monde est unanimement du même avis. Difficile dans ces conditions d'avancer de manière sereine et intelligente. Le bien commun étant souvent l'ennemi de l'évolution, mais l'épouse du statu quo.

Je me souviens, avec tendresse, de l'année où Blaster est sorti. Premier vers, à mon sens, intéressant, qui s'attaquait à notre ami windows XP. La faille est révélée, deux semaines plus tard, un exploit est fonctionnel. Il ne reste plus qu'à attendre quinze jours pour voir un vers s'emparer du pactole. La réaction de mon supérieur technique, à cette époque, celui-là même qui ne savait pas détarer un paquet en ligne de commande ou qui tapait à deux doigts et qui croyait encore que windows était un système d'exploitation, m'avait ordonné de mettre l'affaire sous silence pour ne surtout pas affoler la population de mes collègues. À la rentrée, nous avons donc fait un déverminage en bonne et due forme.

L'autre affaire sympathique se résume au crédit dont chaque laboratoire dispose. Pour une année donnée, on vous octroie une somme. Si cette somme s'avère ne pas être dépensée, non seulement on vous reprend le surplus, mais l'année d'après, vous aurez moins de crédit. C'est un traitement intelligent, n'est-ce pas ? De ce fait, j'ai vu fleurir des imprimantes laser couleur, des caméras IP, sans qu'il n'y ait de réel besoin, tout cela afin de garder les crédits qui seraient royalement octroyés l'année suivante. On parle souvent de déficit, j'aurai plutôt tendance à visualiser une gestion hors du temps.

Pour finir, je ne parlerai pas des passe-droits, de promotions douteuses, de grilles de salaire improbables, ni de l'armée mexicaine d'une vingtaine de personnes là où la moitié suffisent amplement. Je ne parlerai pas non plus de pressions irrespectueuse d'hommes envers leurs collègues ou de réflexions à des subordonnés que la politesse même ne pourrait tolérer.

Non, au lieu de cela, je vous dirai que je garde un très bon souvenir de ma période de travail à l'université, j'y ai passé du bon temps, découvert quelques gens intéressants (mais aussi de vrais salauds), qu'il y a la possibilité d'amener d'extraordinaires changements, mais que cela passera par une meilleure gestion des ressources humaines, qu'il faut une vraie gestion de carrière, un turn-over plus important (quoi, un poste à vie, ce n'est pas une promotion ?) et un peu de confrontation avec la production en entreprise privée.

Je dédie ce billet à Laurent, qui a su me l'inspirer, mais également à tous mes collègues qui me lisent, et qui se reconnaîtrons, d'un côté ou de l'autre de la barrière :) (Pour Régis, PP et Pierre, je ne me fais pas de soucis, hihi !)