Les tendances 2008

Ces derniers mois ayant regorgés d’annonces de failles importantes et très médiatisées, un bon nombre de conférences y étaient consacrées, comme l’on pouvait s’y attendre. Dan Kaminsky, en personne, est venu décrire la faille DNS qui a fait couler beaucoup d’encre ces dernières semaines lors d’une conférence haute en couleur de plus de deux heures.

La récente faille du moteur de génération de nombres aléatoires d’OpenSSL sous Debian a également fait l’objet d’une description et de quelques démonstrations de la part de Messieurs Bello et Bertacchini. D’autres présentations permettaient de remettre à jour les compétences des participants en présentant l’état de l’art, notamment dans le domaine de l’intrusion dans des réseaux Wireless ou la découverte réseau lors d’une nouvelle présentation de Fyodor, l’auteur du ô combien populaire « nmap ». Une grande quantité de nouveaux outils de sécurité ont également été présentés au public. Pour garder l’esprit de la conférence, tous les outils présentés sont disponibles gratuitement sur les sites respectifs des conférenciers.

Quel que soit le thème abordé, les conférences se déroulent généralement dans la bonne humeur et dans un esprit plus détendu que lors des autres événements similaires. Cette ambiance est encore renforcée par la présence de « villages », sortes de rassemblements où des enthousiastes de divers domaines peuvent se rencontrer pour échanger leurs connaissances ce qui permet aux débutants d’acquérir les bases dans les domaines présentés. On pouvait par exemple apprendre les rudiments du crochetage de serrure et acheter le matériel nécessaire au « lockpicking village », approfondir l’intrusion des protocoles sans fils et découvrir le fonctionnement des derniers IDS Wireless au « Wireless Village » ou encore apprendre à reprogrammer un microcontrôleur comme celui inclus dans le badge donnant accès a l’événement. En effet, depuis quelques années, les badges Defcon ne sont plus que le simple bout de papier traditionnel. Leur coût de fabrication représente d’ailleurs une grande partie du prix d’entrée (120 dollars, ce qui est modeste pour ce type de manifestation). Cette année, il était possible de le modifier pour lui faire envoyer différents codes infrarouges ou stocker des données sur une carte SD (le lecteur est inclus au verso du badge).

Les Concours de la Defcon s’internationalisent

Defcon se caractérise également par un grand nombre de concours en tous genre permettant aux participants de démontrer leur maîtrise des différents domaines concernés. Le plus célèbre et le plus prestigieuse de ces challenges est sans conteste le CTF (pour Capture The Flag) ou différentes équipes doivent à la fois attaquer les serveurs adverses et défendre leur serveur contre les attaques des autres participants. Cette compétition est limitée à huit équipes, sélectionnées quelques semaines avant la conférence lors d’un concours similaire que les participants peuvent effectuer à distance. Il est à noter que si 3 ans auparavant seules des équipes américaines étaient représentées, aujourd’hui la répartition est beaucoup plus diverses, l’édition de cette année comptant trois équipes européennes, deux équipes Coréennes et seulement deux équipes américaines. Mais beaucoup d’autres challenges sont également présents, nous pouvons citer par exemple le concours « Gringo Warrior » lors duquel les participants doivent effectuer un parcours en ouvrant consécutivement diverses serrures dans un minimum de temps.

Defcon vers la fin des « adolescents boutonneux » ?

Comme à l’accoutumée, Defcon 16ème édition, a réuni plusieurs milliers de personnes. L’ambiance détendue et ludique était une nouvelle fois au rendez-vous. Malgré une différence de prix conséquente, Defcon a une nouvelle fois rivalisée avec sa grande sœur Black Hat tant au niveau de la qualité des conférences qu’au niveau technique des participants qui ne sont pas les adolescents boutonneux auxquels on pourrait s’attendre (même s’il y en avait quelques uns) mais d’authentiques professionnels de la sécurité désireux de remettre à jour leurs connaissances et d’entretenir leur passion pour ce domaine en constante évolution.

Par Loïc Rousselot et Jean-Marc Solleder, SCRT