Dernières actualités :
15mar2012

Black Hat Europe 2012 – Acte 1

Publié dans : Dossiers, Editos, Evènements

Hier, mercredi 14 mars, avait lieu la première journée de la célèbre Black Hat Europe 2012. L’équipe de Secu Insight était bien entendue présente, et vous livre ce que des intervenants venus du monde entier ont identifié comme étant les dernières tendances de l’industrie de la cybersécurité.

Zoom / Focus sur quelques conférences :

War Texting: Weaponizing Machine to Machine Systems par Don A. Bailey, consultant sécurité chez iSEC Partners, Inc.

  • Conférence intéressante portant sur les vulnérabilités et l’état des lieux de la sécurité des systèmes machine-to-machine (M2M) communiquant par ondes radio ou au travers des réseaux de téléphonie mobile. Les architectures présentes aujourd’hui présenteraient donc plusieurs lacunes de sécurité, auxquels les éditeurs essayent de remédier en y ajoutant des librairies de sécurité (chiffrage, décodage,…) mais sans pour autant les implanter de manière sécurisée.

The IETF & The Future of Security Protocols: All the Signal, None of the Noise par Tom Ritter, consultant sécurité chez iSEC Partners, Inc.

  • Tom nous a présenté les limites des protocoles de sécurité que nous utilisons aujourd’hui ou nous comptons utiliser demain : TLS, DNSSEC, etc. Il a aussi parlé de comment les systèmes tels que la Content Security Policy vise à éviter certaines attaques, mais n’y arrivera pas entièrement. Il a aussi proposé plusieurs alternatives au système de certificats  qui est loin d’être infaillible, suite aux attaques sur des CA comme Comodo ou Diginotar.

FYI: You’ve Got LFI par Tal Be’ery, Imperva

  • Tal nous a montré les attaques dites LFI et RFI, fléaux du web… en 2007. Ces attaques ne datent pas d’hier, mais d’après Tal, elles concerneraient toujours une grande partie des sites web aujourd’hui.

Beyond Scanning: Automating Web Application Security Tests par Stephen de Vries, consultant en chef chez Corsaire

  • Stephen nous a présenté un mélange original d’outils de développement. Les tests en Java (Behavioural Drivern Design) combinés avec les Page Objects et Burp permettent de mettre en place un framework de tests de sécurité automatisés. Ces derniers ne sont pas exhaustifs et vérifient uniquement la sécurité pour les attaques testées.

Dissecting Smart Meters par Justin Searle

  • Justin nous a présenté la méthodologie d’audit qu’il utilise avec son équipe pour tester les Smart Meters. Aux Etats-Unis, ces « compteurs intelligents » sont assez répandus, et en tant qu’objets communiquant en réseaux, il est théoriquement possible – mais assez difficile – de les attaquer et de potentiellement provoquer des modifications à grande échelle sur le réseau électrique de plusieurs centaines de foyers. Coupure d’électricité massive ? C’est possible.

Les sujets abordés sont donc particulièrement intéressants. Et les rencontres sont fructueuses. Mais ceux qui s’attendent à y trouver un instant empreint de l’esprit « hacker » seront déçus : Black Hat Europe est beaucoup plus « commerciale » qu’elle n’y parait.

Cette première journée a plus consisté dans une énumération des nouvelles tendances en matière de sécurité informatique que dans des démonstrations concrètes de réelles capacités de « bidouillage » et de « hacking ».

Mais ne nous emballons pas ! Il ne s’agit que de la première journée, et le programme des deux prochains jours s’annonce très riche, et plein de bonnes surprises. Restez connectés et n’oubliez pas de suivre @secu_insight sur Twitter pour des actualités en temps réel !

Thomas C. en direct de la Black Hat Europe 2012 – Amsterdam