Black Hat Tokyo 2005 : Le Japon s’éveille à la sécurité informatique

Par Rédaction, secuobs.com
Le 21/10/2005

---

Résumé : La dernière conférence BlackHat qui s’est tenue à Tokyo a rassemblé de nombreux experts nippons et internationaux. - Lire l'article



La dernière conférence BlackHat qui s’est tenue à Tokyo a rassemblé de nombreux experts nippons et du monde entier. Au menu, entres autres : Sécurité des réseaux sans fil, contournement d'IDS et retour sur les premiers virus informatiques.

Le Keio Plaza Hotel accueillait cette année la conférence Blackhat (lien mondialement connue, qui s'est tenue du 17 au 18 octobre 2005 au Japon et plus précisement à Tokyo dans le quartier d'affaire très moderne de Shinjuku. Nous y étions pour vous à notre plus grand plaisir. Cette conférence aura été la dernière de l’année 2005 pour l'équipe Blackhat.

Deux jours pour 12 présentations, une keynote & un discours de clôture de Jeff Moss (foundateur de Blackhat Inc.) qui n'aura pas oublié de remercier les sponsors & partenaires Sumisho Computer Systems Corporation, Mitsubishi, HitachiJoho International System & le média Scan ainsi que l'ensemble des personnes qui rendent possible l'organisation d'un tel événement (speakers & traducteurs à la tâche ardue vu le niveau technique de certaines présentations).

La keynote du professeur Katsuya Uchida, membre du CSI (Computer Security Institute - lien a été placée sous le signe de la nostalgie ; cela ne rajeunira pas certains d'entre vous, avec un rappel historique des premiers virus de type "distribué" ("I am the Creeper, catch me if you can" sur Arpanet en 1971 & le Xerox Worm) aux plus récents (Nimda, Code red ) en passant par CHRISTMA exec (Bitnet). Mais aussi les directives Sarbannes-Oxley (Sox -lien & la première présentation "Meet the Enemy" par Ray Kaplan au CSI en 1994 devenue depuis très populaire car permettant de rencontrer les hackers les plus populaires.

Le titre de la keynote "The day after ..." est une référence à un blockbuster américain dans la catégorie film catastrophe ; pour ceux qui l'ont vu ils apprécieront l'humour de Katsuya, impression renforcée par cette citation (ndlr : de Bismark, ancien premier ministre de Prussie) présente sur le slide de sa présentation " Fools say they learn from experience ; i prefer to learn from the experience of others" ;)

Au contraire de certains de évènements communautaires comme What The Hack ou encore les conférences du CCC, l’hacktivisme est ici mis de coté. Les conférences BlackHat s'adressent plutôt aux Responsables de la Sécurité des Systèmes d'Informations (RSSI), Directeurs des Systèmes d'informations (DSI) & autres Directeurs Informatiques (DI). Cependant, l’ambiance reste détendue et l’organisation sans failles (ce qui serait un comble pour une conférence de sécurité ;) ).

La plupart des participants souhaitent qu'on leur propose des solutions clés en mains (appliances & autres). On remarquera ainsi par exemple que dans la conférence de Chris Hurley aka Roamer
(lien "Identifiying & Responding to wireless attack" (Identifier et répondre aux attaques sur les réseaux sans fil), les solutions hostapd/freeradius n’étaient pas traitées. Pour information, Roamer est l'organisateur du challenge de Wardriving de la conférence DEFCON qui se tient en Juillet à Las Vegas.

L'aspect technique ne fut cependant pas négligé :TKIP, EAP-TLS, LEAP, WPA2 & WPA-Radius furent traités. Si vous gardiez un doute, la présentation de Dan Kaminsky (lien - Black Ops TCP/IP 2005) sur les contournements d'IPS/IDS par fragmentation IP & autres attaques temporales ainsi que celle de David Maynor (lien - Architecture Flaw in Common Security
Tools) avec notamment le contournement d'une virtualisation par sandbox afin de compromettre un système qu'elle est censée protéger, vous feraient de toutes facons rapidement changer d'avis, elles seront traitées prochainement sur Secuobs.com.

Un des moments les plus intenses de cette conférence fut d'ailleurs l'échange par micro interposé entre ces deux speakers à la fin de la conférence du second pour soulever l'épineux problème d'honnêteté des fabricants de solutions IPS/IDS sur les techniques d'évasion connues à ces solutions (shellcodes polymorphiques, obfuscation & fragmentation IP). La conclusion n'est pas à l'honneur de celles-çi.

Seul ombre au tableau, l'annulation de la conférence très attendue (par nous notamment) de The Grugq (habituellement expert dans le domaine de recherche Forensic/Anti-Forensic) sur "VoIP Phreaking : How to make Free Phone Calls and Influence People".

Elle fut néanmoins remplacée par une très bonne présentation de Ejovi Nuwere sur "The art of SIP fuzzing and Vulnerabilities found in VoIP" où l'on a notamment appris que l'ensemble des applications SIP étaient basées sur le même code d'origine & donc logiquement soumises aux mêmes failles. Pour rappel, SIP (Session Initialisation Protocol) est un protocol de communication utilisé pour la voix sur IP, il est actuellement entrain de remplacer le protocol historique H323 des
passerelles de communication.

La conférence de Tokyo sera reconduite l'année prochaine selon les déclarations Jeff Moss lors de la session de clôture. Au final, on retiendra une conférence bien organisée avec des présentations intéressantes.