lundi 12 juin 2017

Un compte rendu alternatif du SSTIC 2017

Le SSTIC 2017 vient de se terminer. Comme chaque année depuis 15 ans, cet événement confirme sa place centrale dans l’écosystème de la cybersécurité française – aussi bien par la qualité des échanges entre les participants que par la fluidité d’une organisation bien rôdée.

Vous trouverez le compte-rendu technique des différentes présentations chez n0secure [J1][J2][J3] ou Xavier Mertens [J1][J2][J3]. En ce qui me concerne, j’ai souhaité vous faire partager un point de vue avec un peu plus de recul sur cet événement.

L’ANSSTIC

Dès la première matinée, on comprend que le SSTIC est devenu un événement politique interne de l’ANSSI (et dans une moindre mesure de la DGA-MI) – avec 4 présentations qui s’enchaînent.

On m’objectera que les agents de l’ANSSI sont les seuls à soumettre des papiers, ce qui explique leur surreprésentation. De mémoire cette année il y a eu ~35 soumissions pour ~25 créneaux de présentation, ce qui ne permet effectivement pas au processus de sélection de jouer à plein.

J’ai bien une explication à ce faible nombre de soumissions tierces. En 2003 le SSTIC était une conférence technique d’excellence, unique dans le paysage français et rare dans le paysage international. En 2017, le monde a changé ; force est de constater que soumettre à SSTIC ne présente plus aucun intérêt pour le commun des mortels.
  • Le (long) processus de soumission et d’édition des actes n’est pas compatible avec le rythme médiatique ; seuls de travaux de recherche très amont (comprendre : très théoriques) peuvent s’accommoder d’un tel cycle. D’où le décalage notable entre les présentations retenues et les attentes des participants. Franchement, à quoi peut bien servir un parser de fichiers PDF écrit en OCaml dans le travail quotidien d’un industriel ? (Réponse).
  • La couverture médiatique nationale est nulle (à l’exception de cet article dans Ouest France). Je ne parle même pas de la couverture internationale puisque SSTIC doit être l’un des derniers événements majeurs à se tenir dans la langue vernaculaire de ses hôtes.
Le SSTIC permettait auparavant à de jeunes consultants isolés en SSII de mettre en avant leurs découvertes et de rencontrer leurs pairs. Intervenir à SSTIC leur permettait de se faire connaître, voire d’être recruté dans des institutions où ils pourraient épanouir leurs talents. Cette mission n’est plus ; aujourd’hui le SSTIC sert essentiellement de piédestal aux différents bureaux de l’ANSSI afin qu’ils puissent se comparer entre eux (et je ne parle pas seulement de Rust vs. OCaml).

Le point d’orgue de cette compétition stérile fût probablement la conférence de clôture à propos de la compromission de TV5 Monde. Louons l’effort de mise en scène qui nous donnait l’impression d’être dans un film d’espionnage (« merci de ne pas divulguer l’identité des intervenants, nos agents risquent leur vie »). Mais au final, cette présentation ne fût que le rappel de quelques conseils de base sur les mots de passe par défaut, les dangers d’un réseau « à plat », etc.

Aucune mention des techniques d’attribution utilisées pour incriminer les Russes, l’utilisation d’outils de forensics et de reconstruction Active Directory qui ne seront probablement jamais publiés ; bref, rien d’actionable pour les participants.

Par ailleurs les quelques CERTs privés avec lesquels j’ai eu l’occasion de discuter attendent toujours de disposer des IOCs liés à cette attaque – qui n’ont apparemment été distribués … qu’aux journalistes ! Quand on compare aux rapports étrangers publiés après la compromission de Diginotar ou plus récemment RUAG, on mesure le chemin qui reste à parcourir avant de disposer de véritables retours d’expérience en France …

Il va être difficile pour le secteur privé de monter en puissance tant qu’il reste infantilisé par les autorités.

Le contenu

Le programme de l’événement peut lui aussi surprendre ; par exemple le fait de constater que plusieurs présentations de l’ANSSI étaient dédiées au parsing de fichiers PDF avec des outils et des langages différents …

Cet état de fait est symptomatique d’une tare plus générale : la recherche en sécurité – au moins en France – reste au point mort depuis des années. La cause en est que la sécurité ne se conçoit pas comme une science qui avance au rythme de l’innovation incrémentale, mais comme un one-man show. En clair, il est plus prestigieux de lancer « son » nouvel outil que d’améliorer à la marge l’existant.

Les exemples sont légions ; je pense par exemple à la présentation sur la détection de PDFs malveillants par « machine learning ». Sauf erreur de ma part, l’outil publié extrait un vecteur de caractéristiques (ex. présence du mot-clé « OpenAction ») qui est ensuite passé à un outil de classification. Comme je l’ai mentionné en séance, j’ai du mal à voir la différence avec le module PDF de « l’antivirus français » (Armadito) – ou le module pdfcop de l’outil Origami PDF publié à … SSTIC 2009 ! Le plus grave dans l’affaire étant que les intervenants semblaient sincèrement surpris par ma question, et n’avaient pas connaissance de tous ces travaux antérieurs (leur papier ne contient que des références académiques de type IEEE ou ACM).

Le plus triste est probablement la liste des occasions manquées – c’est-à-dire des présentations que personne n’a soumis. Rien sur l’Immutable Infrastructure (alors que Desired State Configuration pourrait trouver sa place dans la liste des outils de sécurité Windows), rien sur le Cloud, aucune conférence sérieuse sur le Machine Learning appliqué à la sécurité … bref, on tourne toujours sur les mêmes recettes.

A contrario, le nombre de présentations sur le Reverse Engineering semble disproportionné dans un monde où même Microsoft embrasse l’Open Source avec vigueur.

Le désespoir

Enfin, le point qui me choque le plus est probablement le désespoir – ou le cynisme – qui frappe la profession. Payé pour donner son avis à longueur de temps sur des projets en perdition, ou rafistoler des infrastructures entièrement compromises, le consultant en sécurité vieillit mal.

On me reprochera certainement de donner un avis un peu trop cru – que ce soit au micro ou dans mes billets. Mais j’ai le bon goût de le faire publiquement, ce qui permet aux personnes concernées de se défendre. J’avoue que le niveau de persiflage que j’ai pu entendre dans les couloirs du SSTIC me laisse pantois. Les hackers avaient l’image d’une communauté soudée qui tirent les nouveaux vers le haut et ne basent leurs jugements que sur des faits techniques. La communauté moderne de la cybersécurité n’ira nulle part si elle se construit sur la rancœur et le cynisme. Ce mal est probablement le fondement des tous les échecs en sécurité ; mes récentes expériences avec le monde des développeurs m’ont appris combien l’image des experts en sécurité avait été écornée par cette attitude nihiliste.

En ce qui me concerne, soyez rassuré : je n’ai jamais critiqué personne sans m’assurer que mes griefs circonstanciés lui soient transmis. J’espère que vous en ferez autant les uns envers les autres.

17 commentaires:

toto a dit…

TV5Monde:
Mais au final, cette présentation ne fût que le rappel de quelques conseils de base sur les mots de passe par défaut


Cette présentation ne fût que la première présentation officielle de l'ANSSI en tant qu'entité ANSSI. Saluons la nouveauté et ne faisons pas trop la fine bouche, en espérons que le mouvement perdure et se bonifie avec l'age.

Anonyme a dit…

Salut ! En fait, ta vision des choses me parait pessimiste. Par contre, j'aime le fait que tu partages une vision qui n'est pas que positive : à l'issu de toutes confs, on n'entend que des gens dire c'etait génial etc en oubliant qu'il y a des défauts à tout, et qu'en parler, c'est aussi construire.

- le SSTIC est devenu un événement de l'ANSSI : oui, je suis assez d'accord. Il y avait trop de prez de l'ANSSI, meme si elles sont de bonnes qualité. En revanche, il est etonnant dans une conference avec comite de selection de voir autant de papiers issus d'un ou d'un autre comité de programme. Ca donne aux autres une impression de noyautage (je ne dis pas que c'est le cas, mais ca en donne l'impression extérieurement). Bon, les papiers pris étaient qd meme bons, ce qui compte malgré leur diversité.

- "soumettre à SSTIC n'a plus aucun intéret" : pas complètement d'accord. L'intéret est grand sur le territoire francais. Il est vrai en revanche, qu'à l'international il n'y a aucune visibilité, ce qui fait d'ailleurs que c'était mon 1er SSTIC...

- "le long processus des actes n'est pas compatible avec le rythme médiatique" : c'est vrai, mais c'est bien (à mon avis). Il y a suffisamment de conférences à la BlackHat hyper médiatiques, alors pour une fois, avoir un vrai bon papier à lire, c'est cool. Et à long terme, n'en retire-t-on pas plus ? A vérifier...

- "la couverture médiatique nationale est quasi nulle" : hélas vrai, et bien dommage. J'ai juste vu un article dans le Monde sur la présentation sur TV5. Mais ce n'est pas une erreur redibitoire, ca peut se fixer dans d'autres éditions ?

- Permettre à de jeunes consultants isolés en SSII de se faire connaitre : moyennement d'accord sur l'objectif. Le but d'une conférence, pour moi, n'est certainement pas de promouvoir un chercheur pour qu'il se fasse recruter ailleurs. Une conférence, ce n'est pas un tremplin de carrière. Un peu de passion quoi ! ;) Moi je veux que les meilleurs présentent. Bon, ok, les gars de l'ANSSI, vous etes bons, mais il faut un peu de diversité.

- "piédestal aux différents bureaux de l’ANSSI" : affirmation gratuite et non vérifiable.

- TV5 / merci de ne pas diffuser le nom etc : lol (oui, c'était un peu risible). D'un autre coté, ils ont du avoir du mal à obtenir l'autorisation de présenter et doivent certainement faire des compromis avec la hiérarchie dont nous n'avons aucune idée...

- "rien d’actionable pour les participants" : il y avait quand meme qq conseils génériques, mais c'est vrai, aucun conseil technique. Après, je l'ai vu comme une conférence de cloture dont le but était justement d'avoir une histoire rafraichissante, à la différence des papiers dont l'objectif est plus scientifique.

- "Il va être difficile pour le secteur privé de monter en puissance tant qu’il reste infantilisé par les autorités. " : remarque gratuite, non vérifiable.

- "la recherche en sécurité – au moins en France – reste au point mort depuis des années" : mais non ! Pas du tout ! Enfin ca dépend sur quoi ! Sur quels faits tangibles reposes-tu cette affirmation ?!

- "La cause en est que la sécurité ne se conçoit pas comme une science qui avance au rythme de l’innovation incrémentale, mais comme un one-man show" : personnellement, je prefere la 1ere option. L'option one-man show est divertissante mais totalement inutile. Mais je n'ai pas bien compris si tu pensais que c'etait la 1 ou la 2 actuellement.

Anonyme a dit…

(suite)

- presentation PDF parser : je ne suis pas vraiment du domaine, mais si les autres recherches que tu cites font pareil, alors cela démontre que la relecture a été victime de sclérose franchouillarde ;) Dommage que les reviewers n'aient pas vu cela, car la relecture est faite justement pour pointer des choses de ce style.

- "nombre de présentations sur le Reverse Engineering semble disproportionné" : il n'est pas forcément facile dans un comité de programme de gérer les articles qu'on recoit. Il y a des annees ou c'est tjrs la meme chose. Que faire ? Mettre un quota par sujet ?... et passer à coté d'un bon article. Réponse pas évidente.

- "le désespoir – ou le cynisme – qui frappe la profession." : je n'ai pas du tout le meme avis, et là j'ai plutot l'impression que c'est toi qui est désespéré ! (sans aucune attaque personnelle : on a tous le droit d'avoir des hauts et des bas)

Merci d'avoir partagé, et de me donner l'opportunité d'expliquer là où je suis d'accord et pas :)
@+

Anonyme a dit…

Bonjour,

Passons sur tes conclusions hâtives il me semble sur les raisons pouvant amener un aussi faible taux de soumissions de papiers (la logique voulant d'énumérer toutes les causes possibles et de toutes les étudier plutôt que de ne privilégier celle qui nous sied le plus). Passons également sur le fait que lorsqu'un service de renseignement effectue une opération clandestine informatisée l'on appelle cela du renseignement d'origine électromagnétique (vulgairement de l'espionnage), sur le fait que le service principal de défense informatique Français ne puisse révéler les noms de ses agents (qui sont des cibles pour d'autres services puisque gérant des informations sensibles), ni qu'il ne puisse communiquer ses outils sous peine qu'ils deviennent contre-détectés. Ne parlons pas non plus de l'attribution qui a un but éminemment politique et qui n'est communiquée officiellement non pas pour amuser la galerie lors d'une conférence, mais qui l'est de façon réfléchie et pragmatique, pour envoyer un message à un pays à un moment jugé opportun (e.g DNC Hack). Passons enfin sur le fait que tu n'as visiblement pas bien suivi la présentation SecuML, que tu fais un amalgame bien trop rapide entre trois outils qui n'ont ni le même but ni la même approche, et que tu aurais peut-être mieux fait de t'abstenir de poser tes questions. Je ne parle pas non plus de ce que tu considères comme des sujets intéressants absents de la présentation ("Cloud", "Machine Learning") et qui peuvent raisonner différemment aux oreilles d'autres personnes (manquent également "Blockchain", "IOT" et "DarkWeb"). Une solution à ce problème serait peut-être de soumettre toi-même ?

Si j'ai pris un peu de mon temps pour répondre à charge à ton billet, c'est parce que je ne m'explique pas comment une personne qui m'a paru l'air sympathique et compétente de prime abord peut être aussi agressive et négative. On dirait que lorsque les sujets touchent de près ou de loin à l'ANSSI ou au SSTIC (voire d'autres parfois), tout est prétexte à la critique gratuite. Tout ce que tu dis à leur encontre est négatif, rarement positif. Je conviens que bien des aspects sont critiquables, mais tes critiques systématiques et sans concessions frisant la monomanie deviennent assez pesantes. Si tu n'avais que peu d'audience après tout ce ne serait pas si grave, mais tu ne te rends pas compte du nombre de personnes qui t'écoutent comme un gourou et qui boivent tes paroles sans réfléchir ni jamais les remettre en question. Ce que tu reproches à certains dans les couloirs de la conférence tu le fais en public. C'est vraiment dommage.

Anonyme a dit…

Salut,

Sur la distance entre le monde de la sécurité opérationnelle et celui de la recherche académique: (Disclaimer: je viens de passer 5 ans en milieu académique)

Effectivement, les liens entre ces deux mondes mériteraient d'être étendus...
Il faut cependant noter que les académiques qui soumettent et présentent au SSTIC essaient de faire ce pas. Ce n'est pas une conf académique, donc ça sert à peu près à rien sur un CV académique (ce que je regrette). Certains le font quand même, ce qui plutôt bien :-)

De même sur les citations IEEE/ACM, pour la petite histoire, on m'a déjà reproché d'avoir cité un "petit blog personnel". Il s'agissait de Phrack ;-)


Pour troller un peu: Se plaindre que du code soit en OCaml, ça sert à quoi ? Ça change quoi pour l'utilisateur ?
J'aime pas OCaml. Mais j'aime pas Java non plus. Si je trouve un bon outil en java, bah tant pis, je l'utilise quand même.
Ça serait en node.js, là je comprendrais ;-)

Anonyme a dit…

Ce moment gênant où même le programme de la nuit du hack est plus attrayant que celui du sstic...

Laissons le sstic aux chercheurs académiques, et tout le reste à ceux qui veulent du contenu vraiment réutilisable pour faire avancer le schmilblik.

Anonyme a dit…

Il s'agit peut-être aussi de ne pas mélanger certaines choses. Je crois au fait que le milieu de l'infosec, et plus particulièrement de l'OffSec a changé. Il s'est professionnalisé et policé. On ne peut plus imaginer un petit lien qui passe sur IRC mettant en évidence une belle injection SQL...

Le contenu et l'ambiance de conférences comme le SSTIC n'ont pas évité cette influence à mon avis. Les anciens sont toujours là mais ils n'ont peut-être plus l'envie de transmettre ce qui était encore palpable jusqu'au début des années 2010. C'est à dire l'envie de montrer des trucs oufs sans prise de tête, de rire grassement au dépends d'institutions sacrées, de prendre sous son aile des nouveaux passionnés (on a plutot tendance à les couler aujourd'hui). L'arrivée de gens techniquement doués mais sans l'esprit contribue aussi à modeler le cadre actuel.

Voila pour l'ambiance. Sur les relations ANSSI-entreprises, je crois que newsoft est dans le vrai quand il parle d'infantilisation. Néanmoins je crois pour ma part que c'est pas forcément une mauvaise chose: la plupart des boites piquent éhontément des mots qui avaient du sens pour faire du buzz et se substituer aux acteurs qui ont vraiment quelque chose à dire. Les gros rafflent tous les marchés, sous-traitent ou bâclent les missions, sont abonnés à toutes les aides (et pleurent pour les subventions) de l'état et s'en foutent royalement de la sécurité. L'ANSSI en a ptet marre de piffer ces gars-là au boût d'un moment aussi (mais ça leur fera la bite quand même <3).

newsoft a dit…

Il va être difficile de répondre à tous ces commentaires dans un pied de page ...

@Anonyme1: je te réponds par email car tu m'as donné ton identité :)

@Anonyme2: je ne sais pas par où commencer. Il y a 351 agents de l'ANSSI sur LinkedIn, et je pense que les agences de renseignement étrangères présentes à SSTIC ne sont pas privées de prendre des photos. Au vu du vocabulaire que tu emploies, je pense que tu lis trop de livres sur la "cyberguerre" :)

Le vrai problème c'est que je suis le seul à publiquement critiquer l'ANSSI, tous les autres se taisent ou règlent leur linge sale en famille. Du coup, pas d'amélioration possible puisque tout est déjà officiellement parfait.

@Anonyme3: OCaml est un langage de niche, inusité dans l'industrie. C'est un fait mesurable:
https://insights.stackoverflow.com/survey/2017#technology-programming-languages

Anonyme a dit…

plutôt d'accord sur l'ensemble .. pour moi aucune prez intéressante. Hormis le hacking de TV5 qui faisait un peu film d'espionnage
ca gave un peu toute ces présentation useless full théorie ca me rappel la FAC..ou les vidéos youtube de placement de produit...

Qui irait code un truc en OCAML a part un stagiaire de la fac ?

au SSTIC2018 je prédis un scanner de port en ADA <3

HyP @hyp_h5p a dit…

Merci pour ce précieux retour, pour certains quelques soit leurs niveaux ils préserveront leurs éthique et leurs alignements sur les valeurs partagés.
Il existent encore des meet tout les premiers vendredi du mois ;-)
Avec de véritables échanges et quelque soit le niveau !

Le cocon de la communauté se resserre et s'épure, mais un chat reconnait toujours un chat. C'est très bien que certains ne voit que par la "Cyber", au moins on est sur d'y trouver un parfum de bullshit derrière. D'autres n'étant pas baigné de la même culture vont plus parler d'infosec ou d'offsec.

Il faut rester ce que l'on est intérieurement et ne pas se laisser pervertir par la société de consommation à coup de gros $$$. Une passion a jsute besoin de volonté et
d'épanouissement personnel à travers elle.

Comme on peu le lire dans l'essai de pekka himanem

"Il y a une différence entre être triste en permanence et avoir trouvé une passion dans la vie pour
laquelle on accepte également d'assumer des choses moins amusantes mais néanmoins nécessaires. 
(L'éthique hacker, trad. Claude Leblanc, p.35, Exils Éditeur, 2001) "

.::. HyP .::.

bartavelle a dit…

C'est nul comme argument la popularité des langages sur SO. Selon ce classement, l'assembleur serait plus populaire que Perl, VBA, Go, Scale, Groovy, Lua, VB6, ou bien sur Haskell.

Tout le monde utilise pandoc, alors qu'il est bien écrit dans un language "de niche, inusité dans l'industrie".

Tout le monde utilise des logiciels en python récupérés sur Github, qui sont insupportables à installer.

Fred R. - pappy a dit…

En tant qu'une des personnes à l'origine de SSTIC, quelques remarques sur les origines du SSTIC, à une époque où on parlait “sécu”, pas SSI et encore moins cyber, qui expliquent pourquoi certaines choses sont comme ça aujourd’hui (ce qui ne veut pas dire qu’elles n’ont ou ne vont pas évoluer) :

1. Le premier but de SSTIC était de rassembler des gens intéressés par la sécu et surtout, venant d’horizons différents, pour éviter le malheureux effet d’entre-soi. Du coup, encore aujourd’hui, on y trouve des académiques, des gouvernementaux et des industriels, plus quelques étudiants. Ce brassage est une particularité de SSTIC et une de ses richesses je crois : isoler les uns ou les autres ne permettra à personne d’évoluer.

2. La conférence et les articles étaient en Français et uniquement en Français à l’époque car il fallait créer et dynamiser un écho-système national qui était totalement inexistant en 2002-2005. Et vu le niveau d’anglais de nos concitoyens, le Français était indispensable. Le CO a dernièrement fait évoluer cela car la problématique a bien changé.

3. SSTIC se voulait - et se veut toujours - un moyen de diffuser des connaissances au plus grand nombre. Pour cela, il faut produire les connaissances (les articles, et personne ne me fera croire qu’on apprend autant ou plus dans des slides) et les mettre à disposition du plus grand nombre (d’où prix ridiculement bas de l’inscription par rapport aux conf sécu habituelles, un tarif étudiant ou chômeur, et la mise à disposition des articles et maintenant des vidéos). Peut-être que le pavé^w^w la version papier pourrait, avantageusement pour la planète, être remplacée par un pdf généré à partir de rst ou Markdown. Cela permettait aussi aux auteurs de rendre leurs écrits plus tard.

Quant à parler de l’ANSSI, un petit édito de 2014 : http://www.miscmag.com/?p=125
On peut reconnaître certaines évolutions, lentes certes, mais avérées. Mais tellement lentes …

Dernier point sur l’organisation de SSTIC : tous les organisateurs passés et présents ont tjr été preneur d’idées et d’aides pour mettre en place la meilleure conférence possible. N’hésitez pas à vous impliquer !
Cette conférence n’appartient à aucune organisation ou entreprise - même quand elles sont sur-représentées - si ce n’est ceux qui veulent y contribuer _bénévolement_ (en participant, en intervenant, en organisant).

newsoft a dit…

Ma réponse (longue) à @Anonyme1 - partie 1:

Par contre, j'aime le fait que tu partages une vision qui n'est pas que positive : à l'issu de toutes confs, on n'entend que des gens dire c'était génial etc. en oubliant qu'il y a des défauts à tout, et qu'en parler, c'est aussi construire.

Ouf ! Je ne suis pas complètement fou alors :)

"soumettre à SSTIC n'a plus aucun intérêt" : pas complètement d'accord. L'intérêt est grand sur le territoire français. Il est vrai en revanche, qu'à l'international il n'y a aucune visibilité, ce qui fait d'ailleurs que c'était mon 1er SSTIC...

Il me semble que l'intérêt en France a aussi beaucoup diminué. Tout le monde se connait ; il est rare qu'un jeune consultant issu de la génération Z sorte du bois avec un papier de recherche exceptionnel. Les jeunes sont tous trop occupés à faire du Bug Bounty maintenant de toute façon :)

"le long processus des actes n'est pas compatible avec le rythme médiatique" : c'est vrai, mais c'est bien (à mon avis). Il y a suffisamment de conférences à la BlackHat hyper médiatiques, alors pour une fois, avoir un vrai bon papier à lire, c'est cool. Et à long terme, n'en retire-t-on pas plus ?

Je ne sais pas, l'informatique avance aussi très vite. Si tu regardes les papiers sur Android de plus de 2 ans, il n'y a presque plus rien d'applicable à un Android 6.0.

C'est vraiment compliqué de faire avancer la science de manière durable ... ou de créer des outils pérennes.

"la couverture médiatique nationale est quasi nulle" : hélas vrai, et bien dommage. J'ai juste vu un article dans le Monde sur la présentation sur TV5. Mais ce n'est pas une erreur rédhibitoire, ça peut se fixer dans d'autres éditions ?

Non car pour attirer la presse (même spécialisée) il faudrait :
(1) Offrir le billet aux journalistes ;
(2) Présenter des sujets plus sexy.
Les journalistes ne vont pas faire un papier sur un plugin IDA :) De ce point de vue le CCC est une belle réussite. Les seules présentations SSTIC qui ont un peu été citées à l'extérieur sont le retour d'expérience sur TV5 et le tracking de téléphones par VoLTE. Ta présentation sur les brosses à dents connectées pourrait en faire partie ; l'IoT c'est tendance ;)

Permettre à de jeunes consultants isolés en SSII de se faire connaitre : moyennement d'accord sur l'objectif. Le but d'une conférence, pour moi, n'est certainement pas de promouvoir un chercheur pour qu'il se fasse recruter ailleurs. Une conférence, ce n'est pas un tremplin de carrière. Un peu de passion quoi ! ;) Moi je veux que les meilleurs présentent. Bon, ok, les gars de l'ANSSI, vous êtes bons, mais il faut un peu de diversité.

D'un autre côté, qu'est-ce qui va motiver un chercheur à écrire un papier de 20 pages et à le présenter ? (Hors académiques dont c'est le métier bien sûr). Parce que je ne connais personne qui a la passion pour Latex :)

"piédestal aux différents bureaux de l’ANSSI" : affirmation gratuite et non vérifiable.

Je donne simplement mon point de vue, qui est : la présentation sur TV5 n’apportait aucun élément technique exploitable et mettait simplement en avant l’expertise interne du bureau « réponse aux incidents ».

newsoft a dit…

Ma réponse (longue) à @Anonyme1 - partie 2:

TV5 / merci de ne pas diffuser le nom etc. : LOL (oui, c'était un peu risible). D'un autre côté, ils ont dû avoir du mal à obtenir l'autorisation de présenter et doivent certainement faire des compromis avec la hiérarchie dont nous n'avons aucune idée...

Oui mais nous n'avons pas à être les témoins/otages de leurs problèmes internes.

"rien d’actionnable pour les participants" : il y avait quand même qq conseils génériques, mais c'est vrai, aucun conseil technique. Après, je l'ai vu comme une conférence de clôture dont le but était justement d'avoir une histoire rafraichissante, à la différence des papiers dont l'objectif est plus scientifique.

Ok, de ce point de vue ça se défend.

"Il va être difficile pour le secteur privé de monter en puissance tant qu’il reste infantilisé par les autorités. " : remarque gratuite, non vérifiable.

... et pourtant confirmée en « off » par de nombreux industriels présents dans la salle. L'ANSSI ne donne pas les IOCs aux industriels car "ils vont les perdre ou les revendre". Sans parler des systèmes de labellisation qui assurent que seuls les industriels "compatibles ANSSI " puissent travailler, mais c'est un autre débat.

"la recherche en sécurité – au moins en France – reste au point mort depuis des années" : mais non ! Pas du tout ! Enfin ça dépend sur quoi ! Sur quels faits tangibles reposes-tu cette affirmation ?!

Donne-moi un contre-exemple de progrès significatif ? Tout ce que je vois c'est qu'après avoir dépensé des milliards en cyber, personne n'est capable de garantir qu'il est protégé contre WannaCry deux mois après la sortie du patch Microsoft ... on se croirait encore à l'époque de ILoveYou.vbs !

"La cause en est que la sécurité ne se conçoit pas comme une science qui avance au rythme de l’innovation incrémentale, mais comme un one-man show" : personnellement, je préfère la 1ere option. L'option one-man show est divertissante mais totalement inutile. Mais je n'ai pas bien compris si tu pensais que c'était la 1 ou la 2 actuellement.

Je pense comme toi : il faudrait devenir une science (option 1) alors que nous suivons majoritairement l'option 2.

présentation PDF parser : je ne suis pas vraiment du domaine, mais si les autres recherches que tu cites font pareil, alors cela démontre que la relecture a été victime de sclérose franchouillarde ;) Dommage que les reviewers n'aient pas vu cela, car la relecture est faite justement pour pointer des choses de ce style.

Je suis d'accord. Après on m'a expliqué en « off » que cette présentation ne parlait pas de PDF mais d'interface graphique à scikit-learn. J'avoue que ça n'est pas ce que j'avais compris (même après avoir lu le papier).

"nombre de présentations sur le Reverse Engineering semble disproportionné" : il n'est pas forcément facile dans un comité de programme de gérer les articles qu'on reçoit. Il y a des années où c'est tjrs la même chose. Que faire ? Mettre un quota par sujet ?... Et passer à côté d'un bon article. Réponse pas évidente.

Augmenter l'intérêt de soumettre à la conférence pour accroitre la diversité des sujets. Je ne sais pas comment faire ça, par contre :)

newsoft a dit…

Ma réponse (longue) à @Anonyme1 - partie 3:

"le désespoir – ou le cynisme – qui frappe la profession." : je n'ai pas du tout le même avis, et là j'ai plutôt l'impression que c'est toi qui est désespéré ! (Sans aucune attaque personnelle : on a tous le droit d'avoir des hauts et des bas)

Pas du tout, je suis juste consterné de voir que ça n'avance pas en France alors qu'à l'international des gens essaient de faire avancer le schmilblick dans un état d'esprit positif (je pense à U2F, CSP, etc.).

Toutes les personnes du privé - et du public - avec qui j'ai pu discuter sont généralement très pessimistes/critiques envers la structure qui les emploie. Ça ne libère pas vraiment les énergies.

Anonyme a dit…

Salut,

Je dois t'avouer que pour ma seconde présence au SSTIC, j'ai ressenti cette déception.
Le fait qu'il y a trop de présentations de l'ANSSI, bon... C'est vrai et j'avoue que c'est légèrement énervant. D'un autre côté, sans beaucoup de soumissions, c'est assez normal.
Ce qui me déçoit vraiment c'est de remarquer que le SSTIC ne présente QUE des conf' sur de la recherche pour des outils qui ne seront probablement jamais utilisés en production, sans parler du fait que je vois plus un effet de "sécurité = one man show" (comme tu le dis si bien) que "sécurité = science".
Pourtant, je suis jeune dans la profession, et j'ai pas non plus une expérience et des connaissances aussi évoluées que les tiennes (et de beaucoup d'autres). Mais je me demande aujourd'hui s'il est vraiment utile que je dépense encore 290e pour assister au SSTIC...

Pour être honnête, j'ai cru faire parti d'un jury de doctorant ayant terminés leurs études et qui présentent leurs travaux des quelques mois/années de recherche passées. C'est intéressant, bien présenté mais, cela reste pour beaucoup de la recherche, non pragmatique.

Quant à l'ouverture à l'internationale, je suis aussi totalement d'accord avec toi. Le SSTIC est et restera certainement francophone, "trop" à mon sens. Non seulement cet événement n'est pas connu à l'étranger, et il a l'inconvénient d'être quasiment à 100% en Français. J'entends bien qu'il est beau de défendre sa langue natale mais de là à inventer des mots en français pour définir un terme anglophone... Le français n'est que la 8e langue la plus parlée dans le monde.

Si j'étais un peu moins inexpérimenté, je tenterais une soumission. Mais si c'est pour me la faire refuser au profit d'une conférence sur un parser de fichier PDF en OCaml, je préfèrerais plutôt proposer mes travaux à une conférence à l'étranger. Mes travaux auront au moins l'intérêt d'être vu par un plus grand nombre et donc susciter un intérêt différent.

On devrait plutôt tous se voir comme une entité soudée et qui veut améliorer les choses ensemble. Sauf que malheureusement, l'ANSSI est "souveraine" !

zenographie a dit…

Atention, véritables morceaux de véritable troll inside… je rejoins un peu ce que raconte Nicolas à propos de la « la couverture médiatique nationale quasi nulle"

Mais vrai, quoi, faut admettre que la communauté sécu est malaimée, brimée, incomprise. Déjà, un comité de lecture qui se décarcasse pour éliminer les conférences trollesques, les hacks de bagnoles, le FUD de l’attaque Wireless des drones ou des portes de garage… qui fait en sorte que IVRE ou IDA soient classé dans la catégorie « outils pour Newbie » tellement c’est du réchauffé. Faudrait pas voir à confondre les Sstic et la Defcon, cette foire du trône de l’Infosec… Passant, toi qui entre ici, abandonne tout espoir. Car c’est ici le domaine de la randomisation des adresses mémoire, des side attack chevelues, des virtuoses du dump mémoire, là où le vulgaire déni de service, le phishing et le « replay » n’évoquent que mépris et lassitude.
Et puis, on ne peut inviter n’importe qui. Vrai quoi, c’est pas parce qu’il paye son entrée comme tout le monde qu’il a le droit d’écrire ce qu’il lui plait. D’ailleurs, un journaliste couvre parfois jusqu’à 4 évènements par jour. Ergo, il serait de bon ton d’imposer par décret le règlement de toutes les manifestations publiques à la gente scribaillonne. Cela éviterait de voir publier des bêtises. La sélection par le ticket d’entrée en quelques sortes. De cette manière, ils ne couvriraient plus que les soirées patronage et les réunions de l’amicale boulistes.
Et puis, ils n’ont qu’à faire comme tout le monde… s’ils veulent participer, ils doivent prévoir plusieurs mois à l’avance la couverture de l’évènement, prendre des cours de compilation de noyau et de lecture d’assembleur dans le texte et, le jour venu, espérer décrocher une place dans la ruée des réservations en ligne. On se demande encore comment ces tâcherons du clavier peuvent hésiter un seul instant entre la couverture des législatives et une causerie fondamentale sur la reconstruction des fonctions virtualisées. Sont inconscients ou quoi ?
Encore n’avons-nous pas abordé l’une des requêtes les plus désolantes du monde des médias : ils veulent comprendre. Pauvres fous ! Car cela nécessiterait un minimum d’explications, de vulgarisation, voir -pardonnez l’indécence des mots qui vont suivre- la rédaction d’un COMMUNIQUE DE PRESSE expliquant en termes simples les rouages des quatre ou cinq travaux les moins abstrus. Que de temps perdu. Celui, déjà, utilisé pour critiquer les articles quotidiennement publiés par la presse grand public à propos de Heartbleed, Wannacry, Stuxnet ou l’attaque de la cinquième chaîne.
Car ne nous y trompons pas. Les papiers les plus tapageurs ne sont que l’écho de la flamme alarmiste entretenue avec constance par ceux-là mêmes qui vivent de la SSI. Je ne citerais aucun nom d’éditeur d’antivirus, de vendeur de firewall, de boutiquier de l’Appliance ou de refourgueur de services Cloud cybersécurisé. Eux, au moins, savent vendre l’idée de SSI. Mal, très mal, mais avec efficacité. Le mauvais « faire savoir » est paradoxalement le fait de ceux qui, en théorie, possèdent le bon « savoir faire » et qui dépêchent dans les allées des Sstic les chercheurs de leurs « response team ». En fait, la presse, c’est un peu comme un registre à décalage au bout d’un bus SPI : non seulement ce n’est pas normé par un protocole précis, mais il faut en contrôler l’alimentation. Garbage in, garbage out. Avec parfois le risque d’injecter du Big Endian et voir en ressortir du Little.
La profession est pessimiste et désabusée ? Parce qu’elle est autiste, incapable de communiquer, ne sait pas accepter cette part de trahison qui lui permettra de se vendre. Il faudrait, par exemple, pour chaque « prez » SSTICienne, la passion d’un Kafeine, les envolées lyriques d’un Ivan le F0u (combien me manquent ses collections de Chokapikz) et la simplicité vulgarisatrice d’un Schneier, d’un Fred Cohen ou d’un Charly Miller.
Andrea Barissani -Première No Such Con je crois - avait plaidé en ce sens. Il semble avoir prêché dans le désert.

Fin du troll
(ou pas)