'est parti. La huitième édition du SSTIC vient d'ouvrir ses portes, la salle commence à se remplir doucement.
Comme les années précédentes, je vais me remettre à l'exercice du rendu des talks en live. Et si je n'abandonne pas ce qui me reste de fierté d'ici la fin de la semaine, je parviendrai peut-être à ne pas céder à la tentation de copier/coller le compte-rendu collaboratif lancé sur Google Wave.
Mardi 8 juin 2010 - Jour 0
Arrivé à Rennes vers 18h, hôtel et direction le Bureau pour un repas "en famille". Et puis l'inévitable détour par la rue de la soif. Ça fait partie des choses qui ne changent pas au SSTIC.
Mercredi 9 juin 2010 - Jour 1
La conférence commence à l'heure, mais dans le noir. C'est un truc nouveau ça... Avec les badges à imprimer soi-même, on sent que 2010 est une année de grand changement ;)
- "Systèmes d'information : les enjeux et les défis pour le renseignement d'origine technique" par Bernard Barbier, DGSE. Le directeur technique de cet organe de renseignement nous livre un panorama des activités de renseignement technique et quelques réflexion sur les enjeux de la sécurité informatique. En dehors de comparaisons entre le nombre de bonshommes aux US et en France, quelques perspectives historiques et des informations relativement floues sur les moyens à disposition, on a surtout eu droit à des banalités. Genre "on est capable de géolocaliser un téléphone portable". Dommage, je suis sûr qu'il aurait pu raconter pleins de trucs nettement plus intéressants. Un poil de réflexion sur la nécessité de développer des capacitées de lutte informatique offensive, mais rien de transcendant. Rien en tout cas qui puisse laisser penser qu'on fasse autre chose que penser à y réfléchir... J'aurais peut-être dû en profiter pour récupérer de la soirée d'hier... Ah si, y'avait une info quand même : la DGSE veut recruter 100 personnes par an. Va y avoir de la concurrence avec l'ANSSI...
- "Tatouage de données d’imagerie médicale : applications et méthodes" par Gouenou Coatrieux de Télécom Bretagne. Une présentation sur, comme son titre l'indique, les applications possibles du watermarking pour la protection du contenu multimédia de santé. En l'occurence, il s'agit essentiellement de l'insertion de méta-données pour assurer l'authenticité des informations reçues : contrôle d'intégrité, détection et localisation des anomalies sur de l'imagerie, traçabilité des données, protection du dossier patient, etc. On aura aussi droit à une petite partie sur l'enrichissement des données médicales bien que ne relevant pas vraiment de la sécurité. S'en suivra une discussion sur les méthodes de tatouage en fonction des propriétés recherchées[1] et des données manipulées, avec un focus sur la perceptibilité du tatouage d'images. Avec en sus pas mal d'informations sur les techniques d'imagerie médicale. Une très bonne présentation pour découvrir les techniques et problématiques de watermarking dans un contexte particulier.
- "Visualisation et analyse de risque dynamique pour la cyber-défense" par Philippe Lagadec, OTAN/NC3A. Introduction sur l'approche cyber-défense de l'OTAN avec une jolie variation de roue de Deming. Ça manquait... Philippe présente deux outils, démos à l'appui. Le premier est un outil de visualisation, CIAP[2], a été développé à des fins d'aide à la décision. Pas mal d'informations accessibles et pleins de vue disponibles, avec Google Earth inside. Le second, DRA[3], est un outil d'analyse de risque temps réel et de contre-mesure. Peu de détails techniques globalement, ça faisait un peu presentation commerciale, mais sans rien à vendre ;) Sinon montrer des travaux de R&D de l'OTAN.
- "CASTAFIOR : détection automatique de tunnels illégitimes par analyse statistique" par Fabien Allard et Mathieu Morel, Thales. On a donc un outil de détection des tunnels cachés. Une grosse partie très intéressante sur les hypothèses et la théorie sous-jacente. Grosso modo, ils génèrent par apprentissage des empreintes sur une dizaine de paramètres comme la répartition temporelle et volumétrique de différents protocoles. Partant de l'hypothèse que l'encapsulation du tunnel altère peu ces caractéristiques, la reconnaissance des protocoles encapsulés se fait par une classification basée sur ces empreintes précalculées. Les résultats expérimentaux présentés sont intéressants, avec 96% de taux de classification correcte, et des faux positifs qui tournent sous les 5%. Avec des temps de calcul en dessous de la milliseconde et un nombre de paquets nécessaires assez bas. La question de l'impact de l'algorithme de chiffrement et de la compression sur le résultat a été laissée de côté. Une bonne question à la fin sur la reconnaissance d'un tunnel IP avec pas mal de protocoles concurrents encapsulés.
Et maintenant... À table !
On notera d'autres billets qui commencent à fleurir çà et là :
- par Mat chez Hurukan ;
- par Erwan sur n0secure.
Notes
[1] Robustesse, invisibilité, capacité, etc.
[2] Consolidated Information Assurance Picture
[3] Dynamic Risk Assessment