Retour sur dotSecurity 2017
Avertissement parental : cet article est le fruit d’une opinion totalement subjective, toute ressemblance avec une opinion existante ou ayant existé ne saurait être que fortuite.
Le 21 avril 2017 avait lieu pour la deuxième année consécutive à Paris la dotSecurity, une conférence dédiée à la sécurité et ciblant principalement les développeurs. N’étant pas développeur et ne travaillant pas dans le domaine de la sécurité il était tout naturel que j’y assiste…
L’édition de l’année précédente m’avait quelque peu laissé sur ma faim et j’étais curieux de voir ce que la v2.0 nous réservait.
Tout d’abord, le lieu. Là, rien à dire c’est magnifique. La conférence se déroule au Théâtre des Variétés, érigé au tout début du XIX siècle et classé monument historique. On est loin de la salle de conférence d’un Novotel ! Rien à dire non plus sur l’accueil et l’organisation en générale : simple, rapide et efficace, tout ce que l’on attend de ce genre d’événement.
Un bien bel écrin donc, regardons le contenu.
La séance débute avec le traditionnel agenda de l’après-midi… Ah oui parce que bonne nouvelle pour ceux qui comme moi ont peur de s’ennuyer, dotSecurity ce n’est qu’un après-midi… pour se poursuivre avec quelques recommandations de bon sens.
Non monsieur, désolé mais vous ne pouvez pas rentrer dans un joyau du patrimoine avec votre Coke Float !
Et déja le souvenir de l’année dernière me revient, une nouvelle fois le présentateur semble aussi motivé que s’il s’agissait d’animer un meetup sur l’automatisation d’un mainframe. Je regarde de nouveau la liste des invités et je me dis qu’il pourrait faire un tout petit effort : le programme n’a pas l’air si ennuyeux que ça. Ou alors est-ce le fait de devoir parler anglais ? Nous sommes tous familiers de notre embarras à nous exprimer dans ce langage, un complexe lié à une éducation aux langues étrangères absolument exécrable. Mais je digresse, comme nous le savons tous, en informatique l’anglais n’a aucune importance…
Oui zoute meuche feurzeur euh doux…
C’est parti pour le premier intervenant, enfin pour la première intervenante puisqu’il s’agit d’Ingrid Epure, ingénieur produit à Intercom. Elle commence très vite par nous parler de ses origines roumaines qui feraient d’elle un vampire. Cela m’a interpellé et je me demande encore s’il n’y avait pas un sens caché à cette remarque. Il est vrai que j’ai moi-même côtoyé pas mal de monstres surnaturels dans le monde de l’infosec (Information security, N.D.L.R.). Ingrid nous parle beaucoup d’Ember.js et de ce qu’ils font chez Intercom puis elle nous fait une petite piqûre de rappel sur la vulnérabilité à présent bien connue liée à l’attribut target= »_blank » qui s’avère très efficace pour faire du phishing. Une explication et démonstration de cette « fonctionnalité » sont disponibles ici.
Vient ensuite le tour de Zane Lackey (Signal Sciences). Rien de passionnant, il nous parle de bug bounty et nous explique qu’en gros de nos jours le coût d’une attaque est si faible que n’importe qui peut en faire les frais n’importe quand. J’aurais tendance à vouloir dire que c’est enfoncer une porte ouverte mais l’on m’aurait accusé de vouloir faire un mauvais jeu de mots…
Le dernier intervenant de cette première session n’est autre que Mikko Hypponen, Chief Research Officer (CRO) chez F-Secure. On change tout de suite de niveau et je ne suis pas déçu ! Selon lui il n’y a pas plus important que la confiance dans le bon fonctionnement des échanges en ligne et il prend comme exemple une autorité de certification piratée par des hackers Iraniens qui a fait faillite non pas à cause du piratage en soit, mais parce qu’elle l’avait caché. Lorsque le pot aux roses fut découvert, la confiance en cette autorité fut totalement perdue (la confiance est le coeur d’une CA). Il me semble l’avoir entendu dire que cette autorité de certification était allemande alors que, je pense, il faisait allusion à DigiNotar, société néerlandaise.
Ensuite et d’une manière assez ludique, il nous raconte comment les criminels transforment la donnée en Rolls Royce. « Data is the new oil! » Comprenez que la donnée récupérée sur Internet (à l’insu du plein gré de la victime) c’est comme du pétrole. Il va jusqu’à pousser l’analogie puisque qu’après avoir récupéré cette donnée brute, il faut la raffiner (la profiler etc.) pour ensuite pouvoir la vendre et s’acheter plein de jolis véhicules.
The ‘S’ in IoT stands for security
Il dérive ensuite sur les dangers de l’IoT liés, selon lui, à deux facteurs majeurs : les mises à jour et la configuration. Le problème de la mise à jour de l’OS ou du firmware des appareils connectés est bien connu, mais il réussi à mettre en lumière celui de la configuration d’une façon très efficace. Il nous rappelle comment lors de son enfance, dans les années 80, chaque fois qu’il entrait dans un salon il y avait cet appareil sous la télévision, pourvu d’une diode clignotante qui affichait toujours : « 12:00 ». Pour les plus jeunes d’entre vous, je vous invite à aller au Musée des Arts et Métiers à Paris où est exposé ce genre d’appareil que l’on appelait au Moyen-Âge un magnétoscope, et qui servait à lire les cassettes vidéo au format VHS. Il raconte que cette fameuse diode était censée afficher l’heure courante mais que personne ne se donnait la peine de chercher dans la documentation de 85 pages comment la configurer.
Ça marche, on voit le film, touche plus !
La relation avec l’IoT et ses accès privilégiés en admin / admin devient alors évidente.
Elle est chouette la webcam dans la chambre de papa et maman…
Et pour finir, il nous dépose un petit truc comme ça, l’air de rien :
« You’re not securing the computer, you are securing the Society. »
Une fois que l’effet du Lexomil commença à se faire sentir, je revins pour la deuxième session. J’ai dans mes relations beaucoup de développeurs et savoir qu’ils sont en charge de la sécurisation de la Société me provoque des crises d’angoisse.
Jim Manico entre en scène. Fondateur de Manicode et « professeur en développement sécurisé d’applications ». Un très bon orateur, très agréable à écouter mais qui à mon goût, ne fait que survoler les sujets. Les problématiques liées à la sécurité doivent entrer en ligne de compte avant même le design initial d’une application, sécuriser n’est pas rajouter des couches a posteriori etc. certes mais il aurait été intéressant de le démontrer avec des exemples concrets. Il nous parle de l’enjeu des procédures dans le développement sécurisé et prend en exemple un contrat de concert du groupe Van Halen dans lequel il était stipulé que le groupe devait avoir dans sa loge un bol emplis de M&M’s de différentes couleurs, sauf marron. Dans le cas contraire, le spectacle serait annulé et non-remboursé. Ce qui ressemblait alors à un caprice de star était en fait une assurance que le contrat avait été correctement lu et assimilé. En effet, celui-ci contenait toutes les clauses liées aux bonnes pratiques de mise en place des éléments pyrotechniques du spectacle, intimement liés à la sécurité du groupe. Donc qu’on aime ou pas, les procédures de sécurité, que ce soit dans le développement ou ailleurs, sont importantes.
Vient ensuite le tour de Joseph Bonneau (chercheur en sécurité, enseignant et Technology Fellow à l’EFF, Electronic Frontier Foundation) de monter sur scène. Il nous parle rapidement de quelques projets emblématiques de l’EFF : Let’s Encrypt, Privacy Badger et HTTPS Everywhere. Des projets indispensables à mon humble avis. Pour le reste on discute entre autre des contrats intelligents sécurisés via blockchain… Sympa mais je reste frustré : un peu court et en surface.
Everything is a freaking DNS problem!
Paul Mockapetris prend à présent la parole. Il était déja présent l’année dernière et je suis impatient d’écouter ce qu’il a à nous dire. Pour ceux qui ne le connaissent pas, il s’agit « simplement » de l’inventeur du DNS dont il dit lui-même qu’il n’aurait jamais pu imaginer l’impact. Il décrit les récentes tentatives des phishing liées au support de l’unicode dans les noms de domaine. En effet, ceux-ci ne sont plus limités à l’alphabet latin et par conséquent il devient possible d’enregistrer des domaines tels que google.com ou apple.com en remplaçant les « a » ou « o » avec leur équivalent cyrillique, qu’il est très difficile de distinguer. La majeure partie de sa présentation est essentiellement axée sur un concept encore jeune qu’il appelle le pare-feu DNS et qui utilise entre autres les RPZ (« Response Policy Zone ») afin de bloquer certaines menaces. Bon en gros, il nous encourage à utiliser ThreatSTOP dont il est le « Chief Scientist ». Voilà voilà…
Le chercheur en sécurité à l’École polytechnique fédérale de Lausanne Philipp Jovanovic vient ensuite nous parler des autorités de confiance sur Internet : les serveurs de temps, les serveurs DNS, les autorités de certification et les centres de mise à jour logiciels (e.g. Microsoft Update, les différents Stores) etc. En s’appuyant sur les tentatives de détournement de mise à jour demandées par le FBI dans des affaires récentes (FBI vs Lavabit, FBI vs Apple) il démontre l’importance de ces autorités tout en étant un maillon extrêmement faible. On peut imaginer qu’une d’entre elles soit compromise et commence à proposer des « mises à jour » logicielles qui en fait seraient d’anciennes versions (vulnérables) voir des versions malignes. Pour éviter ce genre de problème, il propose un collectif d’autorités couplé à un système d’agrégation de signatures : CoSi (Collective Signing). Une implémentation du framework est en cours sur GitHub : dedis/cothority. En gros, il s’agit de faire signer les mises à jour par plusieurs autorités de confiance indépendantes et non plus seulement par le vendeur (qui pourrait être victime de coercition, qu’elle soit criminelle ou venant de la tête d’un État).
On commence à se rapprocher dangereusement de beer o’clock lorsque Tanja Lange entre en scène. Professeur de cryptographie à l’Université Technologique de Eindhoven, elle vient nous parler de PQCrypto : Post Quantum Cryptography. Quel algorithme de chiffrement utiliser aujourd’hui si l’on part du principe que d’ici 15 à 25 ans, l’ordinateur quantique deviendra une réalité et que la grande majorité des chiffrements utilisés sur Internet, dérivés de l’algorithme de Shor, deviendra obsolète du jour au lendemain (RSA, DSA…). Elle pose cette question en affirmant que de nos jours, beaucoup de trafic chiffré est actuellement sauvegardé dans plusieurs centres de données à travers le monde, attendant leur déchiffrement rétroactif. Cette partie de son argumentation est peu étayée mais le questionnement sur la cryptographie à court ou long terme reste légitime à mon avis. Pour le moment, elle conseille fortement le chiffrement par courbes elliptiques. 18 minutes plutôt intéressantes, je suis content !
Il reviendra à Nick Sullivan, cryptographe en chef chez Cloudflare, de clôturer cette journée. Une grosse grosse déception pour moi… la seule chose que j’ai retenu étant que l’utilisation de TLS 1.3 était préférable à celle de TLS 1.2 qui elle même était préférable à TLS 1.1 qui…
C’est ainsi que s’achève cette édition 2017. J’ai la même impression que lorsque je sors d’un restaurant de nouvelle cuisine fusion : j’ai encore faim. Bien que j’apprécie particulièrement le format cours des présentations, je suis dubitatif sur le parti pris de la majorité des intervenants. L’exercice n’est certes pas aisé mais je pense qu’il faudrait resserrer les sujets afin de pouvoir entrer dans les détails (techniques ou non). Il y a un léger manque de focus à mon goût. J’aurais bien aimé également des présentations sur le développement ou l’implémentation de solutions de sécurité ou de cryptographie, on tourne presque exclusivement autour du web et des applications mobiles.
Certes dotSecurity n’a pas vocation à ressembler à une réunion de l’OSSIR (Observatoire de la Sécurité des Systèmes d’Information et des Réseaux) mais en ce qui me concerne, une présentation du type sandboxing d’application, seccomp etc. aurait été la bienvenue.
Cela étant et malgré ses défauts j’ai passé un bon moment et je retournerai à la prochaine édition ne serait-ce que pour encourager la démocratisation des procédures de sécurité et la protection de la vie privée dans les technologies de l’information.