====== Compte-rendu de SSTIC 2008, 6e édition. ====== {{ start:bandeau_sstic_2008.jpg }} * La 6e édition du SSTIC s'est tenue à Rennes les 4, 5 et 6 juin derniers. * Comme les années précédentes, il ne fallait pas traîner pour réserver sa place : beaucoup d'appelants pour (trop ?) peu d'élus et, rançon du succès, sûrement beaucoup de déçus. Déçus qui se consoleront cependant à la lecture des actes dès qu'ils seront en ligne. * Résultat de la ruée vers Rennes cette année, un amphi rempli comme une prison : 350 places, 450 occupants. * Les quelques habitués auront reconnu, aux dates près, les lignes qui précèdent : elles sont copiées/collées du CR de l'an dernier. Et non, ce n'est pas que de la paresse de ma part. C'est juste que le SSTIC, maintenant, c'est une affaire qui roule, qui tourne et qui ronronne. On finit par s'y sentir un peu chez soi. On a adopté les bons réflexes : multiprise obligatoire, rallonge optionnelle, snack plutôt que resto U, etc. On a aussi pris les bonnes habitudes qui rendent le SSTIC plus facile à vivre : aller au-delà des portes de verre pour trouver, par exemple, des toilettes moins fréquentées et par conséquent plus fréquentables, savoir que qui dit "salle d'examen" dit aussi "ménage", donc "aspirateur" et par voie de conséquence "prises électriques en veux-tu en voilà". ===== Le LiveBlogging m'a tuer ! ===== * Parmi les évènements marquants du SSTIC crû 2008, on notera le [[http://sid.rstack.org/blog/index.php/279-le-sstic-2008-en-live|LiveBlogging]], la "Killer App" du Compte-Rendu. * Inutile, en conséquent, de dérouler tout l'agenda jour par jour. J'invite les lecteurs à surveiller le contenu du [[http://actes.sstic.org/|dépôt]] des Actes SSTIC et à se ruer dessus dès l'apparition d'un répertoire SSTIC08. Je vous livre donc mes impressions générales puis une rapide revue de détails. ===== Impressions générales ===== * Pour faire court, je rejoins [[http://news0ft.blogspot.com/2008/06/yacrs08.html|Nicolas Ruff]] sur les points suivants : - Moins de questions que les années précédentes. Si cette atonie s'explique aisément le vendredi matin au lendemain du "Sochial Ivente", faut-il y voir le signe d'un renouvellement de l'auditoire, les éventuels petits nouveaux n'osant pas montrer leurs dents. N'ayant pas accès au listing des inscrits de cette année ni des précédentes, je ne saurai trop conclure sur cette hypothèse. Autre supposition : il n'y a que des habitués dans la salle et chaque intervenant a au moins un pote dans l'auditoire assez sympa pour ne pas poser les questions qui fâchent. - Des outils, peut-être moins que les années précédentes, ce qui chagrinera les plus geeks d'entre les geeks. Certains disponibles : MetASM, SinFP, ERESI. D'autres qui ne demanderaient qu'à l'être, comme GenDbg. - Moins de militaires, ce qui chagrinera... ? A ce propos, message personnel aux inspecteurs Dupond et Dupont qui faisaient le tour du parking dans une Clio blanche immatriculée XXR-ABCD E : je souhaite faire valoir mon droit à l'image et leur serait gré de bien vouloir effacer ou me restituer les clichés sur lesquels je viendrais à apparaitre. :-) * Ceci dit, 2008 fut encore un grand crû. ===== Zoom ===== * Quelques conférences ont retenu l'attention plus que d'autres, ce qui ne signifie en rien que ces dernières aient été mauvaises. - Opening Speech par Marcus Ranum. Seul point de désaccord : la formation des utilisateurs. Pour ma part, c'est un sujet majeur et incontournable. Certes, comparaison n'est pas raison (et sagesse n'est pas folie) mais transposé au domaine de la sécurité routière, cet argument, selon lequel l'éducation des utilisateurs n'est qu'une perte de temps, est fallacieux. On devrait dans ce cas ne jamais prévenir les usagers de la route de ses dangers et tout miser sur la technique. La RFC Signalisation spécifierait qu'au rouge les véhicules s'arrêtent et les piétons comme les voitures devraient donc être RFC-compliants et suivre cette loi d'airain. Pour pallier certaines excpetions comme le passage des véhicules d'urgence ou le non respect de la RFC par certains conducteurs, il faudrait modifier l'infrastructure technique (la route) et non éduquer les piétons en leur disant : "avant de traverser, même au rouge, vérifiez que la voie est libre.". - Exploitation des failles humaines, Michel IWOCHEWITSCH. Excellent, sujet passionnant, très bon complément à la lecture (que je conseille également) des ouvrages de Joule et Beauvois. - L'expertise judiciaire des téléphones mobiles, David Naccache. Comment une présentation sur les GSM dérape (tout du moins en apparence) vers le thermo-bug. En fait D. Naccache a introduit la notion de canal caché sous la forme d'un device pour PC et le lien avec les mobiles s'est quelque peu dissipé. Je pense après réflexion qu'il souhaitait illustrer le fait que des équipements (PC mais aussi mobiles) peuvent dans certaines circonstances continuer à communiquer même dans des environnements cloisonnés et sans réseaux. N'oublions pas que le cadre de la présentation était celui des interceptions légales, on parlait donc de GSMs sous scellés dont on veut s'assurer qu'ils n'ont plus aucun moyen de communiquer. - Déprotection semi-automatique de binaire, Alexandre Gazet et Yoann Guillot. Comment MetASM permet de résoudre des challenges et de réduire l'obfuscation de binaires. Bluffant même pour un Nul en assembleur/reverse. (Oui, je parle de moi à la 3e personne du singulier parfois...). - Cryptographie : attaques tous azimuts. Sujet passionnant, article dans les actes à dévorer. Aurait mérité un peu plus d'entrain cependant à l'oral. Mais sans que cela nuise à l'intérèt de cette présentation. - Dynamic Malware Analysis for dummies, P. Lagadec. Comment monter un lab de test de binaires suspects ou malicieux. ===== Conclusion ===== * Alors le SSTIC, était-ce donc mieux avant ? Franchement, je dirais non, la qualité était encore au rendez-vous cette année. Tout au plus peut-on noter une petite baisse de régime dans l'enthousiasme et l'atmosphère ambiantes. * Reste à voir si l'an prochain le mariage SSTIC avec son public connaitra sa crise des 7 ans. Je parie sur "non", en ce qui me concerne. * Pour finir sur une touche technique, comme l'a aussi noté Nicolas, mDNS c'est gavant. IPv6, pas forcément mieux. Et il faudra m'expliquer pourquoi les requêtes ARP Gratuitous ont représenté jusqu'à 30% du trafic le vendredi après-midi... * Un grand bravo aux organisateurs qui se sont démenés pour que le SSTIC reste le SSTIC avant, après et surtout pendant ces 3 jours. Un grand merci enfin au Vatican qui a mis à la disposition du CO un garde Suisse pour assurer la sécurité et le profiling à l'entrée du Social Event. :-) ===== SSTIC ailleurs sur le ouaibe ===== * A tout seigneur tout honneur : [[http://sid.rstack.org/blog/index.php/279-le-sstic-2008-en-live|Le SSTIC 2008 en live]] * [[http://news0ft.blogspot.com/2008/06/yacrs08.html|YACRS08]] * [[http://bruno.kerouanton.net/blog/2008/06/09/sstic-2008-cest-finiii/|SSTIC 2008, c'est finiii]] * [[http://csmusings.blogspot.com/2008/06/sstic-jour-1.html|SSTIC, 1er jour]] * [[http://csmusings.blogspot.com/2008/06/sstic-jour-2-sans-les-rumps.html|SSTIC, 2e jour]] * [[http://csmusings.blogspot.com/2008/06/sstic-rump-sessions.html|SSTIC, les Rumps]] * [[http://csmusings.blogspot.com/2008/06/sstic-jour-3-le-dernier.html|SSTIC, 3e jour]] * [[http://www.sygus.net/dotclear/index.php?post/2008/06/07/SSTIC-2008-%3A-la-securite-sinvite-a-Rennes|SSTIC 2008: la sécurité s'invite à Rennes]] * [[http://cert.lexsi.com/weblog/index.php/2008/06/06/240-sstic-2008-le-rendez-vous-francophone-de-la-securite|SSTIC par le CERT Lexsi]]