Hackito Ergo Sum 2011 : des hackers de haut vol pour mieux sécuriser l'informatique
Vulnérabilités 0 day pour Windows ou Linux, failles des systèmes Scada ou des réseaux UMTS : la deuxième édition de l'évènement a fait voler en éclat la sécurité de nombreuses plates-formes.
"Les conférences ont permis de faire la différence entre mythe et réalité", résume Philippe Langlois, créateur et co-organisateur de Hackito Ergo Sum ("HES"), dont la deuxième édition s'est tenue à l'ESIEA, à Paris, du 7 au 9 avril derniers.
Au programme des conférences de haut vol, mais ouvertes à tous : vulnérabilités 0 day de Windows, fausse antenne 3G, IPv6, système Scada et même deux concours de piratage (un défi de reverse engineering "crackme Windows", ainsi qu'un wargame signé OverTheWire que personne n'a pu encore terminé).
Lutte contre la cybercriminalité
Eric Freyssinet, chef de la division de lutte contre la cybercriminalité au sein de la Gendarmerie nationale, a pu introduire l'événement avec une keynote bien informée et surtout "aussi consciente des agissements cybercriminels souterrains que des moyens existants pour les contrer", résume Philippe Langlois. Le Lieutenant-colonel n'a par ailleurs pas manqué d'alerter sur une possible récupération des Anonymous par les cybercriminels.
Jon Oberheide et Dan Rosenberg, chercheurs en sécurité, experts en hacking, ont de leur côté fait voler en éclat la sécurité du noyau Linux. "Il s'agit du tandem ayant trouvé le plus de vulnérabilité du kernel", précise l'organisateur, qui estime que ces conférences étaient d'un niveau" comparables au Black Hat." Jon Larimer a également pu expliquer certaines brêches de l'OS de Linus Torvalds.
Windows en prend pour son grade
Linux n'était pas le seul OS à subir les foudres des experts en sécurité, Windows 7 en ayant également pris pour son grade lors de la conférence de Tarjei Mandt. Des vulnérabilités 0 day, y compris critiques, ont ainsi été abordées. "Les experts invités ont de bon contacts avec les éditeurs", rassure Philippe Langlois qui explique "qu'entre l'explication totale, 'le full disclosure' et l'obscurité totale, se trouve le point d'équilibre qu'il s'agit d'atteindre lors de cet événement."
Il cite également l'exemple des antennes 3G malveillantes : "Pour 100 euros, il est possible d'en acquérir une, et d'intercepter du trafic, mais il faut des compétences techniques très pointues". Certaines failles ont ainsi été discutées lors de ce HES2011 par Ravishankar Borgaonkar et Kevin Redon. Elles ont par ailleurs justement été totalement communiquées aux opérateurs.
White Hat versus Black Hat
Les systèmes Scada, sous le feu des projecteurs depuis Stuxnet, ont eux aussi fait l'objet d'une conférence animée par Itzik Kotler, "venu recadrer les inquiétudes, certes fondées sur une menace réelle, mais à la portée de peu de personnes", précise Philippe Langlois. Enfin, d'autres mythes sont tombés, concernant l'IPv6 notamment, qui empêche certaines attaques tout en en permettant d'autres...
L'événement aura réuni experts de haut niveau, étudiants, chercheurs, venus de nombreux pays "mais il y avant aussi des adolescents" a bien remarqué l'organisateur, qui souligne l'intérêt de l'ouverture de cet événement. "Nous avons intérêt à ce que les forces vives se soient formées à notre école White Hat, cela pourrait empêcher qu'elles penchent ensuite du mauvais côté de la sécurité informatique."