Defcon 22 / apprendre les ficelles du hack
Comme Black Hat, Defcon a été créé par le hacker Jeff Moss (alias The Dark Tangent). La première édition date de 1993 et ressemblait plutôt à un rendez-vous entre potes. Depuis, l’évènement n’a cessé de croître pour devenir une conférence internationale qui rassemble plus de 10.000 personnes chaque année. Les agences gouvernementales et autres militaires ne sont pas (tellement) les bienvenus, surtout depuis les révélations d’Edward Snowden. Les hackers préfèrent rester entre eux.
L’objectif principal de chacun des participants, c’est évidemment d’apprendre et de se perfectionner. Les conférences permettent d’exposer de nouveaux hacks, de nouvelles technologies, des nouvelles idées. En parallèle, plusieurs jeux et concours sont organisés. Dans le « Packet Hacking Village », on part à la chasse d’internautes imprudents. Ces derniers sont exposés en temps réel dans le « Wall of Sheep » (« mur des moutons»). Dans une salle voisine baptisée « Capture the flag » (CTF) une vingtaine d’équipes s’affrontent à coup de codes dans un réseau dédié, soit pour voler les données des autres, soit pour protéger les siennes. Ici, photos et vidéos sont strictement interdites (enfin presque).
Le concours CTF existe également en version « wireless » et « social engineering ». Dans le premier cas, les organisateurs disposent d’un équipement assez impressionnant pour simuler tout type de réseaux : Wifi, cellulaire, Bluetooth, etc. Ici, il faut savoir décomposer un spectre et ne pas hésiter à se balader avec une antenne dans les couloirs pour aller à la pêche aux infos. Pour la variante « sociale » du CTF, les participants sont invités à prendre un téléphone et piéger des salariés de grosses entreprises. Objectif : récupérer un maximum d’informations sur l’organisation.
Il existe une multitude d’autres ateliers, comme le crochetage de serrures, le piratage téléphonique (« Zap Rachel ») et le très jovial « TCP/IP Drinking Game ». Dans ce dernier, l’idée est de constituer un panel d’experts qui doit soit répondre aux questions des hackers, soit lever le coude. Pour ne pas sortir à quatre pattes de ce traquenard, il est conseillé d’avoir écrit au moins un livre sur les technologies réseau !
Defcon 22 / une culture underground
Habitués à casser des codes et à pénétrer des systèmes auxquels ils ne devraient pas toucher, les hackers sont naturellement rebelles et antiautoritaires. Ce qui se voit également dans leur style, qui se caractérise par un ton décalé et une culture underground. Ainsi, la cafète du salon n’est pas une simple salle sans âme, mais un « Chill Out Room » animé par les DJ de Soma.fm, une radio en ligne indépendante de San Francisco, et des installations visuelles de Zebbler Studios. Plus loin, un atelier propose aux participants de se faire une coupe à l’iroquoise pour 15 dollars seulement, somme qui sera reversée à l’Electronic Frontier Foundation, association de défense des droits citoyens.
Dans la partie exposition, de nombreux stands proposent des T-Shirts et des posters dans une riche variété de styles artistiques (BD, street art…). Et un peu partout, on trouve des allusions au film d’horreur satirique de John Carpenter « They live » -Invasion Los Angeles en France- qui était en quelque sorte le thème de cette édition. Il faut dire que l’histoire, avec son fond paranoïaque, colle très bien avec l’esprit hacker : les classes dominantes de la société sont colonisées par des extraterrestres à l’aspect humain, visibles uniquement à l’aide de lunettes spéciales. Sur le sol, près des guichets d’enregistrement, un énorme sticker représente ces extraterrestres mélangés à une foule d’humains. Petit clin d’œil, ces derniers portent soit le badge Defcon, soit celui de l’EFF. Le message est clair : « nous sommes les vrais humains, nous savons que la réalité n’est pas celle que l’on veut nous faire croire ».
Defcon 22 / le mystère des badges
La différence entre Black Hat et Defcon se voit à l’œil nu, lorsqu’on observe les badges des participants. Dans le premier cas, il s’agit d’un badge plus que banal, dans le second d’une carte perforée avec composants électroniques avec diodes clignotantes. Ce badge n’est pas là pour faire joli, mais constitue en réalité un puzzle.
Dans ses puces sont programmés des messages secrets que les hackers doivent tenter de dévoiler. Inspirés par le film « They Live » de John Carpenter, les organisateurs ont fourni aux participants des lunettes à filtre rouge, avec lesquelles ils pourront voir des indices cachés un peu partout : dans la brochure de la conférence, dans les espaces de conférences, dans les couloirs…
Ces badges sont déclinés en plusieurs versions, en fonction du type de visiteur. A ce titre, Defcon utilise un jargon un peu spécial. Les participants classiques sont appelés « humans », les speakers et les journalistes des « unhumans », et les aides bénévoles des « goons ». Chacun à un badge différent.
Les badges peuvent également être reprogrammés pour créer autre chose, ce que certains ont fait en l’espace de quelques heures. Le hacker qui aura réalisé le meilleur détournement recevra une entrée à vie dans les conférences Defcon.
Black Hat USA 2014 / la référence des pros
Créé en 1997 par le hacker Jeff Moss, les conférences Black Hat USA ont lieu chaque année à Las Vegas et réunissent les professionnels de la sécurité au sens large : hackers, responsables sécurité en entreprises, consultants, pentesters, universitaires, officiers d’armée, experts des agences gouvernementales, politiques, etc. C’est l’occasion pour tout ce petit monde hétéroclite d’échanger leurs points de vue, de découvrir des nouveautés, de dévoiler de nouvelles vulnérabilités et pourquoi pas de se faire embaucher…
Cette année, les chercheurs en sécurité se sont beaucoup penchés sur la sécurité dans l’informatique industrielle et embarquée : systèmes pour les contrôles de sécurité à l’aéroport, voitures connectées, terminaux de communications satellites, boîtiers d’alarmes, etc. L’exploitation de l’énorme faille USB par les chercheurs de Security Research Labs a également attiré l’attention de la communauté.
Black Hat USA 2014 / les « Pwnie Awards »
L’un des moments forts de Black Hat 2014 était la cérémonie de remise des « Pwnie Awards », qui distingue des acteurs du secteur pour leur excellence ou, à l’inverse, leur incompétence. Tout dépend du point de vue. Ainsi, Neet Mehta et Codenomicon ont été récompensé dans la catégorie « Meilleur bug serveur » pour avoir découvert la fameuse faille Heartbleed.
Inversement, Apple a été épinglé dans la catégorie « Meilleur échec » avec la faille Goto Fail, qui reposait sur une erreur stupide de programmation. Curieusement, le constructeur n’était pas présent pour recevoir son prix ! Parmi les autres lauréats, citons également AVG dans la catégorie « Réaction fournisseur la plus boiteuse » et Geohot pour avoir trouvé une faille dans Google Chrome.
Lire aussi:
Notre dossier spécial sur Black Hat USA 2014 et Defcon 22
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.