Pour la treizième année consécutive, la conférence Black Hat s'est déroulée du 29 juillet au 2 août à Las Vegas. Au total, 3.500 personnes ont assisté à l'une des manifestations les plus importantes dans le domaine de la sécurité. Retour sur les grands thèmes abordés.
Black Hat est LA conférence la plus importante dans le domaine de la sécurité informatique. Cette année, la treizième édition américaine s’est déroulée comme d’habitude à Las Vegas (Nevada) du 29 juillet au 2 août. Elle a rassemblé plus de 3.500 personnes (venant des 5 continents et autour de 80 présentations techniques organisées en 8 sessions parallèles) durant deux jours. Trois journées beaucoup plus » underground » de DEFCON 17, une sorte de grande messe » hacker « , ont clôturé la conférence. Elles ont réuni plus de 8.500 personnes venues assister à cent trente présentations techniques.Toute la force de ces conférences, organisées par la même personne, Jeff Moss, tient au fait qu’elle couvre de nombreux aspects de la sécurité informatique et en offre deux facettes très différentes : la conférence officielle, Black Hat, qui reste très professionnelle et est le lieu de rencontre des grands acteurs du domaine ; et DEFCON ou l’esprit hacker très présent. Pas moins de deux cents présentations ont ainsi été faites durant ces conférences, avec des sujets très variés. Certaines ont lieu d’ailleurs à la fois à Black Hat et à DEFCON, et touchent ainsi un public important. Parmi les grands thèmes de cette édition 2009, citons :
- Le fuzzing (technique pour tester des logiciels). Même si le sujet peut sembler un peu galvaudé, cette technique permet toujours d’obtenir d’excellents résultats pour du test en boîte noire. Cette année, les téléphones portables évolués (smartphone de type Android, Windows Mobile et Apple iPhone) en ont fait les frais, avec plusieurs présentations montrant comment l’envoi de SMS malformés sur certains équipements peut, dans le meilleur des cas, entraîner un plantage du terminal, et dans le pire, une compromission distante ! Certes, ces attaques sont généralement complexes à mener, mais les résultats déjà obtenus sont extrêmement prometteurs… L’actualité dans le domaine pourrait être riche prochainement.
- Des problèmes liés à l’authentification sur Internet, et plus précisément aux certificats SSL (X509v3). En effet, plusieurs présentations (Moxie Marlinspike et Dan Kaminsky) ont abordé ce sujet sensible. Il apparaît qu’il est possible, sous certaines conditions, de fabriquer de faux certificats qui seront vus comme valides par les navigateurs Web se connectant aux sites piégés. Suivant le cas, l’attaque peut reposer sur un problème cryptographique (utilisation de MD2 ou MD5 comme algorithme de signature), ou sur des problèmes de codage dans un certificat (et l’utilisation du caractère nul, , dans le nom du certificat).
- Du Web 2.0 et du Cloud Computing… Quelques présentations techniques ont encore abordé les classiques XSS, CSRF… Plus nouveau, la sécurité des plates-formes de type EC2 a aussi fait l’objet de présentations très intéressantes. Ces technologies n’ont semble-t-il pas encore atteint un niveau de maturité élevé, et pas mal de soucis sont encore présents.
- Et bien sûr, un bon nombre de présentations très techniques sur le reverse engineering, l’analyse de malware, les rootkits, la fuite d’information (privacy)…
Où trouver de l’information sur les conférences Black Hat et DEFCON ? Black Hat
DEFCON
Par Franck Veysset, Expert en sécurité
Réagissez à cet article
Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.
Inscrivez-vous !
Vous n'avez pas encore de compte ?
CRÉER UN COMPTE