mardi 6 mars 2012

Que vous réserve SSTIC cette année ?


Comme prévu, le programme de la conférence SSTIC 2012 a été publié aujourd’hui (hors conférences invitées). Cet événement n’est pas guetté avec autant de fébrilité que l’ouverture des inscriptions, mais permet néanmoins de prendre le pouls de la recherche française en sécurité informatique.

Et comme disent souvent les vieux (dont je crains de faire partie) : « c’était mieux avant » …

Car s’il a pu exister une vieille rivalité entre les quelques laboratoires de recherche privés en SSI (tels que Sogeti/ESEC, Orange R&D, LEXSI et EADS Innovation Works), c’est désormais bien fini.

Si vous avez aimé DNS-SEC par l’ANSSI en 2011, alors vous adorerez ce cru 2012, à base de :
Ajoutez 3 personnes de l’ANSSI au Comité d’Organisation, 4 au Comité de Programme. Mâtinez le tout de quelques universitaires qui « tournent » dans le circuit depuis longtemps, et vous obtenez un programme parfaitement équilibré … ou pas.

On pourrait se féliciter d’une telle efficacité de l’Agence à sécuriser l’Internet français … et à le faire savoir.

On pourrait aussi déplorer qu’après avoir asséché les compétences disponibles sur le marché, concurrencé de manière déloyale les prestataires de services (au moins dans les domaines de l’audit, de la formation continue et de la réponse aux incidents), et réglementé le secteur de la prestation de services au risque de voir les petits cabinets disparaître, l’Agence jette désormais son dévolu sur les conférences de sécurité.

Est-ce un bien ou un mal ? Pour avoir assisté à toutes les éditions de SSTIC depuis la première, je crains que l’esprit « hacker » (désolé pour ce mot vulgaire) des origines, déjà bien amoché par l’obligation d’envoyer un article LaTeX de 20+ pages, ne succombe à la pesanteur conjuguée de l’administration et de la recherche universitaire. On s’éloigne d’un CCC à la française, où l’on puisse parler librement de protocole GSM, de sécurité des cartes bancaires, ou du site « impots.gouv.fr ». Fini la révérence du groupe Rstack sur scène en guise de conférence de clôture (pour ceux qui s’en souviennent). On se dirige plutôt vers un monde où OCaml nous sauvera des XSS (ou pas) grâce à des anciens de l’Agence. Voire à une migration de Rennes vers le Mont Valérien - après tout les RMLL ont bien quitté Bordeaux pour aller à Strasbourg (et maintenant Genève).

Au fait !

Si vous m’avez lu jusque là, vous commencez à vous douter qu’une telle diatribe n’est pas le fruit du hasard. Levons le suspens : ma soumission à SSTIC a effectivement été rejetée :)

Vous me direz : « c’est le jeu », et je vous l’accorde. D’ailleurs j’avais déjà été refusé deux fois à SSTIC : l’année où les *Box étaient accessibles en Telnet côté Internet, et l’année où nous avions inventé le forensics du fichier d’hibernation avec Matthieu Suiche (ça n’est pas moi qui le dit, mais Harlan Carvey).

Mais cette fois-ci c’est différent. Comment ne pas penser que « quelquechose » s’est cassé quand on lit une revue telle que celle-là (authentique) :
« Et quid de la légalité d'une conférence qui ne fait que le reverse engineering d'un produit commercial ? »

Sachant que la première conférence de l’édition 2012 concerne le reverse engineering d’un firmware Qualcomm, cela prête à sourire. Sans compter que les éditions précédentes ont abordé le reverse engineering de Microsoft Bitlocker (par … l’ANSSI !), de cartes réseau Broadcom (par … devinez qui :), etc.

Les revues sont bien évidemment anonymes, mais je suis prêt à parier une bière que ce commentaire émane de l’ANSSI, et plus précisément du CERTA. Vous savez, ceux qu’on ne voit jamais chez les clients victimes d’APT : ils font faire le sale boulot d’ouverture de binaires par le bureau inspection, Microsoft Services, ou des prestataires de service. Car « l’administration se doit d’être irréprochable » (authentique également). Bien sûr, je peux me tromper :)

Le reste des relectures sont à l’avenant, je vous en fais grâce ici.

Pour conclure sur SSTIC : inutile de remplir le sondage. Non seulement les résultats restent secrets (même les auteurs n’ont pas accès aux informations sur leur propre prestation), mais de plus ça n’éclaire en rien le Comité de Programme dans ses choix ultérieurs.

Existe-t-il un horizon ?

Bien entendu, cette situation ne convient pas à tout le monde. Et comme la nature a horreur du vide, d’autres conférences françaises d’excellente tenue ont vu le jour : Hack In Paris et Hackito Ergo Sum par exemple.

Si vous voulez discuter amicalement autour d’une bière avec des talents (et non pas des stars) de la sécurité tels que Fyodor Yarochkin, Marc Van Hauser, Dmitry Sklyarov, Cesar Cerrudo ou Travis Goodspeed, n’hésitez pas : les inscriptions sont ouvertes ! Et en plus, il y en aura pour tout le monde.


PS. Message personnel pour Arno (de l’ANSSI, mais qui ne l’est pas aujourd’hui ?) : désolé pour tes 5 euros, mais il n’y aura pas de démo technique cette année. Si tu as lu ce billet et que tu as bien rigolé, puis-je les garder en dédommagement ? Merci.