Comme à notre habitude, une partie des ingénieurs de SCRT s’est rendue à Las Vegas pour assister à la conférence Defcon début août. Cette année, changement de décors: la conférence n’a pas eu lieu au Riviera mais au Rio. La multiplicité des tracks rend difficile de suivre toutes les présentations, le compte rendu ci-dessous reprend donc les conférences qui nous on le plus marqués. A noter également que le badge n’était plus un circuit imprimé mais en titanium.
Moxie Marlinspike avec sa présentation intitulée “SSL and the future of authenticity” a détaillé son dernier projet qui a pour but de remplacer le système actuel basé sur les autorités de certification. En effet, malgré les évènements de cette année impactants le CA Comodo, il est impossible de le supprimer de la liste des CA de nos navigateurs sous peine de perdre la compatibilité avec un tier des sites sécurisés. Son projet part donc du principe qu’il faut une solution alternative n’obligeant pas les utilisateurs à faire confiance à une société pour l’éternité. Son idée est d’utiliser une extension Firefox qui interroge un serveur tierce pour confirmer que le certificat présenté par un site est valide.
Tyler Cohen a présentée ses recherches sur les derniers systèmes embarqués dans les véhicules Ford. Suites à des risques de plaintes, la présentation a du être modifiée et le contenu a été moins technique que prévu laissant l’auditoire sur sa faim après la présentation des fonctionalités de ces équipements et une partie sur leur analyse forensic. Les degrés de connexions des systèmes embarqués (usb, bluetooth et wifi) et le fait qu’ils soient connectés à tous les autres équipements de la voiture (y compris les freins) fait se poser beaucoup de questions, surtout quand il est possible de modifier le firmware depuis le port USB dans l’habitacle. Un outil permettant d’imager le contenu du disque dur du système de navigation sera peut-être mis à disposition après la conférence de sécurité organisée par le département de la défense américain.
Une des conférences les plus atypiques, mais dans l’esprit DefCon, fut celle sur l’utilisation de Kinect pour contrôler metasploit. L’utilisateur se retrouve dans un monde en 3D où les systèmes voisins sont représentés par des objets et l’utilisation de modules du framework est réalisée via une série de mouvements.
Malgré un contenu inégal entre les présentations, la Defcon reste une conférence qui vaut le détour et c’est avec impatience que nous attendons l’édition 2012. Une série de billets plus détaillés sur certaines présentations complètera cet article.
Par Julien Bachmann & Nicolas Oberli