es plus superstitieux des quelques déçus de cette treizième édition de Cansecwest mettront leur déconvenue sur le dos du mauvais œil. D'autres, comme moi, se contenteront des constater que le niveau général des présentations proposées sur les trois jours que durait la conférence n'était pas exceptionnel, malgré quelques titres alléchants.
Heureusement, une poignée de talks sortant du lot et les à-côtés ont largement suffit à contre-balancer tout ça, avec, comme d'habitude, un aspect social largement développé et encouragé, et un Pwn2Own nouvelle formule qui aura vu le forfait de Charlie Miller et la consécration de l'équipe VUPEN, venue en force relever le défi, tandis que Sergey Glazunov remportait le Pwnium! organisé par Google en parallèle.
Côté conférence, on va jouer comme l'an dernier au jeu des trois/trois, sans forcément de justification. Mes trois préférées ont été, par ordre d'apparition :
- "Inside the Duqu Command & Control Servers", par Roel Schouwenberg, Kaspersky Labs. Une présentation synthétisant une série de billets publiés sur le blog de l'éditeur d'antivirus à propos de Duqu. Sans casser trois pattes à un canard, c'était clair, concret et efficace. En plus, ça rattrapait la journée...
- "Hardware-involved software attacks & defenses", par Jeff Forristal[1], Intel. L'auteur s'est livré à une taxonomie rafraîchissante des attaques, locales pour la plupart, permettant une élévation de privilège via l'accès à des composants matériels. Bien présenté, avec mention d'un papier présenté au SSTIC ;)
- "Scrutinizing a Country using Passive DNS and Picviz", par Sébastien Tricaud, Picviz Labs, et Alexandre Dulanoy, CIRCL. Les auteurs décrivent un système de supervision des échanges DNS et les informations qu'un bon outil de visualisation permet d'en tirer.
Celles que je n'ai pas aimées :
- "Mapping the Pen Tester's Mind: 0 to Root", par Nick D, Rapid7. C'est l'histoire de Marty McFly qui a fait un saut dans le futur et qui a trouvé intéressant de nous expliquer ce qu'était le pentest. Talk bien construit au demeurant, mais bon... 2012...
- "Legal Issues in Mobile Security Research", par Marcia Hoffman, EFF. Aussi chiant et pointless que l'an dernier...
- "Unveiling LTE Security", par Dr. Galina D. Pildush, Juniper. Une accumulation de lieux communs à mon sens, rien de bien neuf là-dedans...
Mentions spéciales :
- "Social Authentication", par Alex Rice, Facebook. La dernière méthode d'authentification Facebook utilisant une sorte de CAPTCHA basé sur la reconnaissance de photos d'amis. Ça m'a rappelé un papier de Ross Anderson sur le sujet. Limité face à des attaques ciblées, Rice explique que ça a pratiquement éliminé le phishing de masse.
- "HDMI, Hacking Displays Made Interesting", par Andy Davis, NGS. L'auteur y décrit ses travaux sur le fuzzing de liens HDMI. Intéressant.
- "New Threat Based Chinese P2P Network"[2], par Jun Xie, McAfee Labs. Une étude intéressante du réseau P2P Thunder (Xunlei).
À côté de ça, on aura apprécié les débats autour du Pwn2Own et de Pwnium!, ainsi que les nombreuses occasions offertes aux participants de se retrouver et échanger, avec en particulier la soirée Tronapalooza II et le traditionnel week-end à Whistler avec une abondante neige particulièrement propice à la glisse ;)
Notes
[1] Plus connu sous le nickname Rain Forest Puppy.
[2] Les slides se trouvent rapidement avec Google.
Jeu de briques
Snake
Pacman
Bubble