Premiers pas à Hack in Paris 2012 #Day1

Comme promis, un premier billet pour vous donner mon ressenti sur l'édition 2012 de Hack in Paris. Suivront plusieurs autres articles consacrés aux formations (Malware reverse engineering et iOS attack and defense) et aux deux jours de conférences par mes amis Thomas Chopitea (@tomchop_) et Anastasia Rumyantseva (@anastayseea).

Donc jeudi 21 juin, réveil très matinal puis direction Marne - La Vallée pour Disneyland Paris et le centre de convention de l'Hôtel New York ! Globalement, j'ai passé une bonne journée, riche en conférences intéressantes. Certaines m'ont vraiment plu, d'autres un peu moins. Moi qui ai plutôt l'habitude des conférences franco-françaises, ça change et ça fait du bien de suivre des conférences en anglais et par des intervenants internationaux reconnus.

Keynote : Where are we and where are we going?

La journée commence par une keynote du célèbre Miko Hypponen (@mikko), Chief Research Officer chez F-Secure. Une conférence assez générale mais qui revient sur toutes les tendances du moment en matière de sécurité informatique. De la sécurité des iPhone à Flame en passant par Stuxnet et les ransomwares. A retenir :

  • Google Chrome, le navigateur le plus sécurisé selon lui. Et selon les statistiques données par les exploit kits des cybercriminels
  • Les  cyber attaques sont menées par 3 catégories d'acteurs :
    • Les criminels
    • Les hacktivistes (qui peuvent, selon lui, basculer vers la catégorie "criminels" quand ils commencent à monétiser leurs actions)
    • Les gouvernements (Stuxnet, Flame...)
  • Les leaks sur le programme "Olympic Games" aka Stuxnet qui auraient été motivées par l'approche des élections présidentielles américaines...

La phrase de cette keynote :

 Talk 1 : “What are the new means for cybercriminals to bypass and evade your defenses?

La deuxième intervention de la matinée ne m'a pas franchement convaincu. Klaus Majewski de Stonesoft (également sponsor de l'évènement) est revenu sur les AET (Advanced Evasion Techniques), concept intéressant mais tellement marketing... comme son intervention qui s'est rapidement transformée en simple discours marketing vantant des produits de sa société et qui s'est terminée sur une démo #failed (et tellement prévisible). A oublier...

Talk 2 : "Human Hacking"

La troisième conférence traitait du Social Engineering : “In my mind, SE is the biggest issue today!“. Chris Hadnagy, auteur du livre "Social Engineering: the art of human hacking" (dont je conseille fortmement la lecture), nous a donné une très bonne présentation sur le sujet, accompagnée de nombreux exemples concrets et de statistiques intéressantes (notamment sur les mots de passe - à lire sur http://no.spam.ee/~tonu/passwords.html). Rien de neuf néanmoins mais la qualité du speaker, son expérience et son sens de l'humour ont permis de ne pas s'ennuyer et de passer un bon moment.

Déjeuner

L'occasion de goûter au burger du Steakhouse de Disneyland. Merci à @tomchop_ et @anastayseea pour ce bon moment !

Q/A : Computer Network Defense

Changement de dernière minute, une conférence a été annulée et remplacée par une session de questions/réponses avec Winn Schwartau, Jayson Street et Chris Hagnady.. Une reprise tranquille après un bon déjeuner. Plusieurs thèmes ont été évoqués dont le BYOD et le Cloud Computing (de grands classiques des conférences sécurité).

Talk 3 : “HTML5 Something Wicked This Way Comes"

Une conférence très intéressante sur les problèmes de sécurité liés à HTML5 et notamment du "filejacking" avec Chrome qui permet de récupérer des fichiers sur l'ordinateur de la victime. Krzysztof Kotowicz a su se montrer très dynamique et ses scénarios d'attaques exploitant les failles de HTML5 sont assez impressionnants (et plein d'humour).

Talk 4 : "Results of a security assessment of the Internet protocol version 6 (IPv6)"

Fernando Gont nous a malheureusement fait la plus soporifique des interventions de la journée. IPv6 est un thème intéressant mais là on a eu le droit à un énième résumé des caractéristiques de ce protocole. L'aspect sécurité n'a été abordé qu'en fin d'intervention (alors que je commençais honnêtement à me lasser...).

Le dernier mot pour @anastayseea :


Talk 5 : "Weapons of Max Destruction V4"

Jorge Sebastiao est revenu sur Stuxnet. Rien de nouveau mais un bon rappel des éléments maintenant assez bien connus sur cette cyber arme américaine.

Talk 6 : "PostScript: Danger Ahead!"

Une autre conférence originale (à l'image de l'exposé sur HTML5) qui traitait de PostScript, un langage informatique notamment exploité par Adobe. Un vieux langage avec de nombreuses failles de sécurité à exploiter sur les ordinateurs et surtout  sur les imprimantes multi-fonctions. Très intéressant.

Conclusion de la journée

Mon impression sur cette journée de Hack in Paris 2012 est très positive. La série de conférences a été très riche et très intéressante grâce à des intervenants de qualité.

Certaines étaient bien sûr moins captivantes que d'autres mais dans l'ensemble j'ai toujours appris quelque chose et c'est l'essentiel ! Merci aux organisateurs et à Laëticia Berché pour l'invitation !

Malheureusement je n'ai pas pu assister à la deuxième journée de conférences mais @tomchop_s'est chargé d'en faire un compte-rendu complet (accompagné par celui de sa formation sur le reverse engineering) et @anastayseea nous a fait un retour sur la formation sur iOS.

Les billets seront publiés vendredi ! #soon

Pour plus d'informations  sur ce #Day1 : http://blog.rootshell.be/2012/06/21/hack-in-paris-2012-wrap-up-day-1/

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

This site uses Akismet to reduce spam. Learn how your comment data is processed.