HES 2012 - Keynote
Hackito : introduction par Cedric Blancher
La sécurité est une petite partie du hacking, Le hacking, c’est plier la réalité à notre volonté et l’adapter à nos besoins. Dans le cas de l’orateur, c’est le fait de lier ses passions, la photographie et la chute libre en adaptant le matériel à ses besoins, au lieu d’attendre passivement que ça soit un jour disponible. c’est une forme de hacking aux yeux de l’orateur. C’est aussi adapter ses objectifs à son nouveau reflexe numérique. Forcément le hacking est lié à l’informatique et aux ordinateurs, car le PC est la chose la plus flexible et adaptable au monde. L’orateur nous dresse un panorama des évenements en sécurité sur ces dernières années. l’émergence des groupuscules Anonymous, Lulzsec et autre dont les fuites de données et leur orrigine à bien fait rire la communauté ont révélé au grand publique toutes les problématiques de sécurité connue sur internet ces dernières années.
Ce qui fait qu’aux yeux des médias, le hacking n’est plus synonyme de construire, mais d’intrusion informatique, et cet amalgame peut être nuisible, mais la communauté du hacking montre et démontre ces problématiques de sécurité.
L’explosion des conférences de sécurité dans le monde est hallucinante, il y a quasiment une conférence de sécurité par semaine dans le monde, mais la france restait une exception jusqu’a ces dernières années avec SSTIC, HES, HIP, NDH etc…
Clairement il y a clairement trop de conférence et trop peu de conférenciers.
D’un coté on a des grosses conférences type blackhat dont les programmes et les présentations sont de moins en moins intéressantes, et de l’autre coté on à de toutes petites conférences avec un gros commité de programme mais avec des exigences de qualité dans les papiers et les présentations comme Hackito. Ekoparty à Buenos-Aires est une conférence de sécurité avec un esprit similaire à HES.
Le hacking est une activité d’intéret publique, et il est important dans une société de plus en plus technologique de préserver une telle activitée. Il y a de plus en plus d’entreprises qui stockent et interconnectent des informations personnelles, et on à aucune idée des conditions dans lesquelles elles sont stockées, traitées etc… et parfois on les retrouve sur Internet, ce qui ne devrait jamais arriver. Le problème c’est que la plupart des gens qui conçoivent et dirigent ces projets n’ont pas la moindre maîtrise des techniques sous-jacentes ni de leur défauts. Et la technique évolue tellement vite qu’il est difficile de tenir le rythme. De plus un nombre croissant de lois apparaissent pour empêcher les gens d’étudier le fonctionnement de ces technologies, ce qui accroit l’ignorance.
L’innovation ne vient pas des grandes sociétés, par exemple le mountain bike, personne l’a inventé, c’est des amateurs de cyclisme qui voulaient faire des acrobaties et des choses plus extrêmes. Ils ont donc commencé par modifier et hacker leurs velos, et en suite les constructeurs ont repris ces concepts et ces designs pour eux.
L’orateur nous fait un retour sur l’expérience Hadopi Orange (http://sid.rstack.org/blog/index.php/413-hadopi-et-orange-unis-pour-le-pire)
Un logiciel particulièrement vulnérable, genre instant botnet. Si personne n’avait pris la peine d’étudier ce logiciel, personne n’aurait su à quel point il était vulnérable et mauvais. Aucune logique de qualité logicielle n’a été appliquée à un tel logiciel. Microsoft ne s’est pas mis au SDL parceque c’était cool, mais parceque les chercheurs en sécurité passait leur temps à taper sur l’insécurité des produits Microsoft. Pareil pour Adobe et sa sandbox, elle ne seraitpas apparue s’il n’y avait pas eu d’attaques publiées par des chercheurs en sécurité.
Il est nécessaire dans une société hautement technologique d’avoir des contre-pouvoirs pour inciter les constructeurs et les éditeurs à faire correctement leur travail. Et s’il n’est pas possible de faire du reverse sur ces produits, ce contre-pouvoir ne peut pas s’exercer.
Ce n’est plus une histoire de geekeries, mais clairement une action citoyenne de pouvoir contrôler comment fonctionnent ces machines dont nous dépendons, notamment quand il s’agit de machines à voter ! Le Hacking, c’est un moyen pour le citoyen de reprendre le pouvoir sur la technologie qui envahit la société.
En tant que bloggueur, l’orateur évite de rentrer dans le débat politique qui s’avère un troll sans fin. Mais il va faire une exception aujourd’hui. En analysant les lois de ces 10 dernières années comme la DAVDSI, LCEN, privent les citoyens du droit de retro-ingeniérie, et interdit la possesion d’outils pouvant éventuellement servir à attaquer un système informatique. Et la tendance est claire, filtrage, DPI, intrusion informatique policière, etc.. c’est le moment pour les citoyens numériques que nous sommes de choisir si nous voulons continuer dans cette direction ou pas.