HackInTheBox Amsterdam 2011

Introduction

En fin de semaine passée – les 19 et 20 mai – s’est déroulée l’édition européenne de la conférence HackInTheBox, à Amsterdam. Comme c’est souvent le cas pour ce type d’événements, de nombreux professionnels du milieu font le déplacement afin d’assister aux présentations, se tenir au courant des nouveautés et aussi … enfin … cela se passe à Amsterdam donc aussi profiter de la ville.

Quelques ingénieurs SCRT faisant partie de ceux-là, nous vous livrons ici un petit compte rendu de cette édition 2011.

Ambiance

Arrivés sur place quelques minutes avant le lancement de la Keynote – officiée par, non moins, que le CSO de Facebook – nous constatons que les choses se mettent en place gentiment et que, bien que les participants semblent arriver petit à petit, la foule reste à échelle humaine, permettant de circuler aisément d’une salle à l’autre sans devoir jouer des coudes.

Du coup, quelques petites minutes après, l’enregistrement est effectué et nous nous retrouvons assis dans la salle principale à écouter Joe Sullivan argumenter au sujet d’innovation et des challenges engendrés par celle-ci : discussion, bien évidemment, illustrée de nombreux exemple issus de l’évolution de la plate-forme Facebook.

Une fois celle-ci terminée, la pause café prévue au programme permet de prendre mieux connaissance de ce qui semble être le point central de la conférence : installé dans le jardin d’hiver du l’hôtel, un espace ou les stands d’exposants tels que Google ou OWASP côtoient les espaces réservés aux différents hackerspaces prenant part à un challenge de robotique ainsi qu’à l’emplacement prévu pour la traditionnelle CTF. Au milieu de cet espace, un buffet de boissons et de nourriture – omniprésent au long des deux jours – est appréciable et visiblement appréciée des participants qui s’y retrouvent entre deux présentations, tenues dans une des trois salles dédiées à cela.

Vous l’aurez compris, l’ambiance est donc celle d’une conférence à relativement petite échelle – loin de ses consœurs telles que Defcon (USA) – ce qui a ses avantages et ses inconvénients.

Présentations

L’ambiance étant posée, venons-en au vif du sujet à savoir les présentations en elle-mêmes. Pour cela, HackInTheBox Amsterdam disposait de trois tracks en parallèle, proposant au total une trentaine de présentations.

Comme c’est généralement le cas, de nombreux sujets étaient abordés au fil des tendances du moment. Parmi ceux-ci, diverses présentations d’outils ou de projets en cours (Netglub, OpenDLP, etc…), des présentations de nouvelles attaques – génériques ou ciblant des produits en particulier – ou encore des présentations tournant autour des cartes à puce et autres systèmes plus spécialisés.

Toutefois, et c’est certainement là une tendance durable pour l’avenir, si un thème de présentation ressortait du lot c’était certainement celui des systèmes pour appareil mobiles. En effet, qu’il s’agisse de iOS ou de Android, de nombreuses présentations s’articulaient autour de la recherche de vulnérabilités ou de l’exploitation de ses systèmes, désormais omniprésents et très populaires.

Ceci étant dit, le catalogue des présentations – bien que assez varié – pêchait peut-être un peu par son manque de fraîcheur générale. En effet, quelques présentations avaient tendance à aborder des thèmes déjà largement discutés et revus sans apporter de nouveauté (par exemple, Stuxnet) ou encore avaient déjà fait l’objet de précédentes présentations à d’autres conférence (ce qui – néanmoins – ne remet pas en cause l’intérêt du sujet traité).

En marge des présentations « classiques » il probablement intéressant de relever la discussion d’ouverture du deuxième jour, intitulée « The Economics of Vulnerabilities » et permettant au public d’interagir avec quelques invités choisis, et non des moindres : parmi eux le directeur de la sécurité de Mozilla (Lucas Adamski), le dirigeant du Tipping Point Research Team (Aaron Portnoy), par ailleurs à la tête de la célèbre Zero Day Initiative, Chris Evans (Google) ainsi que des émissaires de la sécurité de grandes compagnies (Microsoft, Adobe, BlackBerry).

Ce panel de une heure et demi à donné lieu à d’intéressants débats sur les aspects économiques et étiques de la recherche et revente de vulnérabilités, notamment dans le contexte de divers programmes de récompense, petit à petit mis en place par certaines corporations afin d’inciter la recherche de vulnérabilités sur leur systèmes (ou des systèmes tiers dans le cas du ZDI).

Challenges

En parallèle des présentations, HackInTheBox Amsterdam était également le théâtre de divers ateliers et challenges. Parmi ceux-ci relevons le « Hackerspaces Challenge» ainsi que la CTF (Capture The Flag).

Le premier était un concours de robotique au cours duquel les équipes participantes (des représentants de différents hackerspaces hollandais ou de pays voisins) recevaient un kit de LEGO Mindstorm et avaient pour mission de construire un robot capable de suivre un source lumineuse. Ces robots étaient ensuite opposés lors de duels et départagés par le vote du public (effectué grâce à un tag RFID dissimulé dans les bracelets qui faisaient office de laisser-passer pour la conférence). Résultat assez drôle et plutôt original !

Le second était une traditionnelle CTF opposant différentes équipes préalablement qualifiées au travers d’épreuves de hacking diverses. Après deux jours en tête du classement, ce challenge a finalement été remporté par la team C.o.P : une équipe française, dont les membres sont des habitués des podiums dans ce type d’événements.

Conclusion

Au final, s’il est vrai qu’une conférence de ce type est toujours intéressante, il n’en demeure pas moins que l’impression générale sur cette édition de HackInTheBox Amsterdam était, de notre point de vue, dans l’ensemble assez mitigée.

Certaines présentations étaient certes intéressantes et ludiques mais elles faisaient toutefois plutôt figure d’exception dans un programme, dans l’ensemble, assez peu étoffé et ayant, de plus, subi plusieurs annulations à la dernière minute.

Toutefois, il est évident que ce constat et clairement dépendant des intérêts personnels de chacun et nous ne doutons pas que cette même conférence à apporté entière satisfaction à d’autres participants.