Les Sstic 2005 (Symposium sur la Sécurité des Technologies de l'Information et des Communications) sont, en France, un proche équivalent des black hat conference ou de RSA Conference américaines : un lieu de rencontre pour experts en sécurité où sont examinées les dernières tendances en matière de menaces informatiques.

Hervé Schauer en fait un résumé passionnant, au fil duquel on peut lire quelques passages édifiants. Notamment ces remarques de Kostya Kortchinsky du Cert Renater, qui explique, rapporte le bulletin de HSC, qu'« Il faut plusieurs mois voire années pour voir des corrections à partir de la date d'envoi de la faille de sécurité à Microsoft. Cela explique qu'il y a toujours en permanence une vingtaine de bons 0days en circulation dans les milieux alternatifs ». Des exploits, précise un autre rapport rédigé par Bruno Kerouanton, qui se vendent entre 10 000 et 50 000 dollars. Les pirates, insiste Schauer « n'utilisent pas des 0days au hasard mais uniquement sur des machines qui le justifient ». Une « vérité vraie » que les éditeurs et constructeurs de tous bords refusent de reconnaître, qualifiant telle faille de « coûteuse à exploiter » ou telle autre de « nécessitant des moyens techniques excessivement sophistiqués ».

Citons également ce court passage traitant du reconditionnement d'anciennes recherches « Nicolas Fishbach (Colt) et Cédric Blancher (EADS) ont montré à quel point les erreurs du passé ne servaient pas de leçon, par exemple l'attaque LAND qui revient sous Windows XP, le fait que dans IPv6 en plus des problèmes intrinsèques à IPv6 se retrouvaient la totalité des bogues d'IPv4.». Il faut admettre que retrouver des BoF sous IE 6.0 utilisant le vieux truc du «0D0A » 20 ans après sa découverte sur Commodore 64, il y a de quoi désespérer du genre informaticien.

Le cortège des autres intervenants n'est pas moins captivant. Les travaux sur les keyloggers virtuels de Nicolas Grégoire, d'Exaprobe, ont déjà fait l'objet d'une mention dans les colonnes de CSO France. Il faut également signaler les interventions de Christophe Devine à propos de son très renommé Aircrack, de Cédric Blanchet et de son WiFiTap, d'un sniffer wireless anonyme baptisé Oupa et décrit par Bruno Kerouanton. Citons également Eric Detoisien auteur de SSLug et Marc Dacier*, qui démontrait l'utilité et l'efficacité d'un honeynet... pardon, d'un Leurré.com, réseau de réseaux-leurre destiné à analyser les techniques d'attaques des pirates.

Achevons ce rapide tour d'horizon pour signaler l'éditorial de Fred Raynal dans le dernier numéro de Misc (l'un des parrains du SSTIC). On y parle des contraintes absurdes de la LEN et de l'omerta des éditeurs vis-à-vis de la divulgation des failles de sécurité, de l'indifférence provoquée par l'esprit de chapelle, des implications d'une faille sur des éléments connexes... tout çà dans le cadre d'une parabole à la Zadig. On y retrouve des réminiscences d'affaire Guillermito - Humpish, des flottements de critique microsofto-linuxienne, et une moralité hélas bien triste : En sécurité, le silence est d'or et la parole est de plomb. Et de conclure qu'il existe encore des espaces de liberté de parole, tel le Sstic.

Pourtant, plusieurs petits doigts ont rapporté à CSO France que même au sein du Sstic, certains mots dérangent encore. Guillermito, boulet rouge et LEN...Pas facile de concilier le politiquement correct, la libre information, la divulgation raisonnée, le hacking noir, la reconnaissance « officielle » des cyber-vols effectifs... Restons, comme Fred Raynal, d'un optimisme indécrottable. Tout ça finira bien par n'être qu'un mauvais souvenir.

. Web-profils.com, la place de marché du conseil et de l'ingénierie