Retour d’expérience FIC 2019 (Lille)
Le FIC (Forum International de la Cybersécurité) s’est tenu à Lille les 22 et 23 janvier 2019.
En tant qu’ingénieur sécurité hardware travaillant principalement coté offensif, ce salon a été l’occasion de découvrir les solutions — principalement logicielles — des prestataires de sécurité défensive.
Comme souvent dans ce genre d’évènement, une poignée de mots sont sur toutes les lèvres : Intelligence Artificielle, Machine Learning, automatisation du SOC et j’en passe. Tout est bon pour faire croire à des solutions miracles pour pallier le manque flagrant d’experts en sécurité ; attention cependant à ne pas tomber dans le piège. Ces solutions automatisent un grand nombre de tests et enregistrent tout un tas d’évènements avant de prendre des décisions automatisées mais il reste encore à comprendre les logs d’events et à créer les playbooks de sécurité (cette partie est bien évidemment à la charge de l’entreprise cliente, et non à la charge du prestataire), ce qui demande le travail… D’un ingénieur en sécurité.
Ces raccourcis marketing ont été monnaie courante lors de ce FIC 2019, que ce soit sur les stands des prestataires ou parfois lors des conférences. C’était le cas du FIC Talk de l’entreprise “Cybereason — Next generation SOC” intitulée “The case for Active Hunting” ou l’intervenant s’est permis un raccourci proche du mensonge en interpellant son audience de cette phrase : “Be positive guys, we [comprendre experts en sécurité défensive] should win. I mean, we will win.”. Et c’est faux.
Mon expérience dans l’industrie des terminaux bancaires, au plus proche de PCI, m’a appris que les attaquants, les “hackers”, innovent en permanence. Et les défenseurs s’adaptent, évidemment ! Mais il n’y a jamais de réels gagnants. Il arrive que les défenseurs parviennent, grâce à la recherche, à devancer les attaquants sur certains domaines, c’est le cas par exemple des attaques par fautes (cf. Les travaux du Docteur Sergei Skorobogatov) sur RSA où il n’existe aucun cas avéré de hack sur les terminaux bancaires, parce que les ingénieurs sécurité étaient en avance sur les méthodes et techniques exploitant cette faiblesse du matériel et les moyens de s’en prémunir.
Bien évidemment, tout cela est à remettre en perspective. L’intervenant est là en tant que prestataire d’une solution et il est en train de la présenter à de potentiels clients. Il est évident qu’il ne peut pas se permettre d’expliquer que sa solution n’est miracle que pour les 3 ans à venir et que passé ce délai il faudra changer de licence.
D’un point de vue offensif, cette tendance du marché est un indicateur intéressant. L’homogénéité des solutions et cette tendance à vouloir présenter le produit miracle, complet et robuste dans la durée, est un risque à part entière dans l’écosystème de la sécurité.
A contrario, les conférences les plus intéressantes ont été écrites et présentées par des entités étatiques. Ce fut le cas de la conférence proposée par Caroline Fontaine du CNRS intitulée “Chiffrement homomorphe : une révolution en marche”. Même si le sujet ne révolutionne pas le domaine et qu’il est connu depuis quelques années pour les amateurs de cryptographie, le FIC est l’évènement parfait pour diffuser l’information au plus grand nombre et aux non-initiés.
De la même manière, j’ai trouvé très intéressants les colloques de l’OTAN et de COMCYBER sur la planification, les exercices et la coopération en matière de cyberdéfense à une échelle militaire mondiale. Finalement, peut-être qu’il suffit de ne rien avoir à vendre pour bien vouloir contribuer à l’avancée de la science et de l’état de l’art en matière de cybersécurité…
La sécurité de l’évènement est une autre grande déception de cette édition du FIC 2019. Considérant le climat actuel, le plan Vigipirate de niveau 3 en vigueur après l’attentat de Strasbourg en décembre et la visite le mardi 22 janvier de deux ministres (Christophe Castaner, ministre de l’Intérieur et Florence Parly, ministre des Armées), il me semblait évident que des moyens exceptionnels seraient mis en place par les forces de l’ordre et le service de sécurité du Forum.
Mardi matin, je suis entré sur le lieu de l’évènement sans avoir été fouillé au corps, le vigile a jeté un œil rapide au contenu de mon sac avant de m’avertir : “Vous avez un appareil allumé qui clignote au fond de votre sac.” et de me laisser libre d’entrer. En effet, j’avais un appareil allumé dans mon sac, un pineapple configuré pour usurper l’open wifi du salon. Une fois connecté, l’utilisateur est redirigé vers un portail captif — comme le point d’accès réel — lui demandant de se connecter… Cette page est évidemment un piège me permettant de récupérer les identifiants de l’utilisateur.
Alors oui, coté légalité, c’est très “borderline” mais cela ne menace pas directement la sécurité nationale. En revanche, le second appareil présent dans le fond de mon sac était, lui, beaucoup plus discutable : un hackRF one. L’objet n’est pas interdit sur le sol Français, cependant il aurait été intéressant d’empêcher des personnes en sa possession d’entrer. Ce type d’appareil permet non seulement de recevoir les ondes radios de 1MHz à 6GHz mais également d’émettre. Ce genre de dispositif pourrait tout à fait être utilisé dans le but de monter une attaque terroriste, afin de brouiller les bandes de fréquences les plus intéressantes comme les urgences, le gsm, la 2,3 ou 4G, la police, l’armée…
Pour finir sur une note plus joyeuse, le FIC a également été l’occasion pour moi de découvrir une nouvelle ville, Lille. Comme vous l’avez probablement deviné, la sécurité c’est avant tout une passion pour moi. Mieux, une raison de vivre. Alors imaginez ma joie lorsque j’ai découvert un ticket de métro RFID 13,56 MHz… en carton ! J’ai bien évidemment pris plaisir à le dépackager entièrement, à l’eau chaude puis à l’acétone.
La prochaine étape sera le dépackaging de la puce en elle-même et l’analyse d’autre cartes similaires afin de déterminer un comportement étrange découvert lors du séjour, à savoir que la carte navigo (RATP — Paris) produit un bruit suffisant pour perturber le bon déroulement d’une opération de contrôle… C’est donc une histoire à suivre.
MONTIGNY Thibault, expert sécurité hardware.
