SSTIC 2019, on y était !
Chaque année depuis 2003, le SSTIC se déroule à Rennes au cours de la première quinzaine de Juin. Le Symposium sur la sécurité des technologies de l’information et des communications, ou SSTIC, est l’une des plus anciennes conférences de sécurité informatique de France, mais aussi l’une des plus reconnues. Nous avons donc participé cette année à l’édition 2019 qui s’est déroulée du 5 au 7 juin.
Le concept du SSTIC est simple : une dizaine de conférences par jour, un social event le deuxième soir, et une bande de potes qui se retrouvent. L’ambiance peut d’ailleurs paraître un peu surprenante… Tout le monde semble se connaître même si beaucoup sont en réalité présents pour la première fois ! Cette proximité s’explique simplement : les participants ne se connaissent pas vraiment, mais une même passion les anime. L’ampleur de l’événement est telle que vous y retrouverez toujours au moins un ancien camarade de promo ou professeur. Vous l’aurez compris, même si nous étions nouveaux, il a été très facile pour nous de nous intégrer cette année !
Autre particularité du SSTIC, il n’y a pas de merchandising, pas de stands de sponsors pour recruter, ni de publicités pour les partenaires à la fin des présentations comme on peut souvent le voir. La conférence s’autofinance par la vente des places, ce qui la rend indépendante, et permet surtout d’avoir des talks libres et variés.
En ce qui concerne les conférences justement, chacune d’entre elles est accompagnée d’un papier de recherche académique d’au moins 8 pages, signe de l’exigence requise pour pouvoir réaliser une présentation. C’est une condition nécessaire demandée par le comité d’organisation, dont les membres viennent principalement du domaine public et académique. Il y a ainsi trois types de présentations: présentation longue (30 min), présentation courte (15 min) et présentation d’un outil (15 min).
Sans surprise, nous avons retrouvé cette année une dominante reverse engineering/pentest, mais également des conférences crypto, web et sécurité hardware avec un bon appui sur le côté red team.
Malheureusement pour les consultants CNS, le réseau y était un peu oublié. Il n’y avait cette année qu’une seule conférence dont le réseau était le point central, mais elle faisait néanmoins partie des plus intéressantes de cette édition. Cette conférence abordait la géométrie Riemmanienne appliquée à une toile de noeuds BGP pour caractériser des modifications locales ou globales de la toile.
Le sujet peut paraître effrayant au premier abord, mais nous avons tout de même compris nombre de notions différentes. Nous avons par exemple appris qu’il est possible de détecter le moment où un pays éteint littéralement un autre pays d’internet… oui c’est possible, et oui ça a déjà été fait !..
Nous avons néanmoins pu apprécier certaines conférences plus accessibles, telles que l’analyse d’un iDRAC (carte d’accès à distance séparée de l’OS principal sur un serveur Dell), par exemple. Nous avons également abordé l’étude de failles dans le principe de redirection des librairies partagées Windows DLL, censé apporter de la simplicité dans les dépendances système et faciliter la compatibilité, ou encore l’audit des GPO dans un AD Windows, et plus particulièrement la meilleure manière de les auditer en cas d’erreur de configuration ou de synchronisation avec le Domain Controller.
Ces présentations restent très ouvertes, et permettent de parfaire ses connaissances sur des technologies qu’on a l’habitude d’utiliser sans en avoir jamais vraiment vu le fonctionnement, et de s’intéresser à ce qui se passe autour des équipements réseaux.
De plus, le SSTIC se caractérise aussi par sa keynote d’ouverture et par sa présentation de clôture, qui cette année étaient en parfait accord.
La keynote présentée par Alex Ionescu, reverser de renom à l’origine du projet ReactOS et de Windows Internals, a tablé d’entrée sur une critique du développement logiciel actuel, point de vue discuté par Jordan Rabet dans la présentation de clôture. En effet, Alex Ionescu a présenté un paradoxe dans le domaine du développement logiciel et de la sécurité : on donne aujourd’hui plus d’argent à ceux qui trouvent des bugs dans des logiciels plutôt qu’à ceux qui les développent. On se retrouve donc actuellement avec plus de personnes qui veulent trouver des bugs via des programmes de bug bounty, que de bons développeurs.
De plus, les bugs bounties de certaines entreprises peuvent valoir des sommes astronomiques.. Ionescu a ainsi gagné pas moins de 10 000$ en trouvant un bug dans le noyau Windows, bug qui aurait pu être évité en deux lignes de code supplémentaires. Pour l’anecdote, sachez d’ailleurs qu’Alex Ionescu s’est acheté des toilettes connectés d’une valeur de 10 000$ avec cet argent, en signe de protestation. Son point de vue est donc simple : il est préférable de mieux payer les développeurs, de les sensibiliser à la sécurité et d’arrêter de les rémunérer à la quantité. Les logiciels seraient notamment plus stables et plus sûrs.
D’un autre côté, Jordan Rabet, chercheur en sécurité chez Microsoft, nous disait dans la présentation de clôture, que le développement logiciel n’est pas parfait, mais que ça pourrait tout de même être pire. En temps qu’ingénieur chez Microsoft, il côtoie de très bons développeurs avec une excellente formation académique et de bons réflexes. Pour lui, il y a certes des bugs dans le noyau Windows, mais les ingénieurs de Microsoft font quand même du “bon boulot”. Néanmoins, il y aura toujours des bugs et des vulnérabilités exploitables dans n’importe quel logiciel, parfois faute au langage utilisé qui est trop permissif, parfois faute au développeur.
Les deux points de vue nous ont semblé très intéressants. Tant que les langages de programmation ne seront pas sûrs, et que les CPU et les systèmes d’exploitation seront faillibles, il y aura des bugs, même avec des super développeurs… C’est pour cela que nous avons des chercheurs en sécurité, pour trouver les vulnérabilités et les corriger en proposant des patchs ou des nouveaux mécanismes qui prennent les problèmes à leur racine. Mais aujourd’hui, le rythme de développement dans certaines entreprises est tel, qu’il est courant de se retrouver avec les logiciels mal codés.
Pour conclure cet article, nous dirons que le SSTIC n’est pas nécessairement une conférence de professionnels, mais avant tout de passionnés. Alors oui, certaines conférences sont complexes.. Quand on écoute les chercheurs de l’Airbus Seclab parler de leur fuzzer d’OS, il faut être bien accroché !.. Mais qu’on comprenne tout parfaitement ou non, toutes les conférences sont intéressantes, le programme est varié, les speakers sont bons, et l’organisation est irréprochable. Expérience à renouveler !
PS: Pour ceux qui ne l’auraient pas vu, découvrez la Rump animée par notre collègue Constantin lors de l’événement !
