Confidence – Deuxième jour

Ce deuxième (et dernier) jour de Confidence 2012 commence tranquillement, l’esprit visiblement encore “embrummé” de la veille au soir, pour certains. Néanmoins, après un café et quelques pâtisseries locales, nous revoici d’attaque et prêts à découvrir de nouvelles menaces.

Look for Cleartext : Practical insecurity in encrypted radio [Sandy “Mouse” Clark]

L’une des premières présentations de la journée se focalise sur les nouveaux systèmes de radio utilisés par les forces de l’ordre, et autres agences gouvernementales, principalement aux USA. Elle est donnée par Sandy Clarke mais repose également sur le travail d’autres chercheurs tels que Travis Goodspeed et une partie des résultats avaient d’ailleurs déjà été abordés par ce dernier lors de la dernière édition de PH-Neutral.

On y apprend notamment comment ces radios digitales, prévues pour fournir un moyen de communication sécurisé (à l’inverse des anciens systèmes analogiques qu’elles remplacent) sont largement utilisées de manière erronée, avec pour résultat l’émission de communications très sensibles de manière non chiffrée.

Le thème est intéressant mais le système n’étant pas utilisé en Europe (où un autre système du nom de TETRA est en vigueur) les implications directes des résultats présentés y sont certainement limités.

Something wicked this way comes [Krzysztof Kotowicz]

Sous ce nom pour le moins énigmatique se cache en réalité une présentation des plus intéressantes sur de nouvelles attaques web, et autres attaques visant à contourner les restrictions de navigateurs.

Si certaines de ces attaques étaient tellement spécifiques qu’elles n’étaient applicables qu’à un navigateur bien précis (par exemple le détournement d’une fonctionnalité spéciale de Chrome apparemment prévue pour supporter Google Drive) les démonstrations étaient suffisamment explicites pour causer certaines craintes. D’ailleurs, des tests plus approfondis sont au programme, dès notre retour à Préverenges.

Hacker + Airplanes = No good can come of this [Brad “Renderman” Haines]

Comme le nom le suggère, ce talk de “Renderman” soulevait quelques questions très intéressantes sur les “nouveaux” mécanismes utilisés dans le contrôle aérien (ADS-B). Bien que s’agissant d’un travail en cours, les points soulevés sont suffisants pour nous donner envie de rentrer en Suisse en train.

En effet, bien que reposant surtout sur des aspects théoriques (il faut comprendre par là que Renderman n’est visiblement pas suffisamment fou pour mener des attaques pouvant avoir un effet réel sur le contrôle aérien) les éléments qu’il présente ne laissent aucun doute, non seulement sur la faisabilité apparente de telles attaques, mais également sur les moyens dérisoires nécessaires à leur mise en oeuvre.

Il promet, en guise de conclusion, de présenter la suite de son travail à Defcon et invite quiconque pouvant lui apporter de l’information sur le sujet à le faire et, si possible, à lui prouver qu’il se trompe… Malheureusement nous en doutons.

Ladies and Gentlemen, here’s *your* cyber army! [Raoul Chiesa]

Raoul Chiesa nous parle de son travail au sujet de la Cyberwar. Il commence par un historique des attaques effectuées à partir des années 2000 en identifiant les différents pays actifs dans ce domaine.

La suite de la conférence concerne la mise en place d’une équipe de cyber sécurité et son intégration dans les forces armées et dans la politique d’un pays. Il insiste sur le fait que nous, les hackers, sommes l’avenir à ce niveau et que les gouvernements doivent en prendre la mesure.

La présentation a pour principal thème les différentes étapes nécessaires à la constitution d’une cyber-milice privée. Si le thème peut prêter à sourire, le profile de Raoul Chiesa ainsi que ses références dans le domaine laissent largement à réfléchir sur la pertinence de ces propos.

Conclusion

La conclusion de cette première participation à la Confidence est simple : le niveau des présentations, la qualité de l’organisation ainsi que la ville de Cracovie font que nous avons bien l’intention d’être à nouveau de la partie l’année prochaine.