mardi 6 mars 2012

Que vous réserve SSTIC cette année ?


Comme prévu, le programme de la conférence SSTIC 2012 a été publié aujourd’hui (hors conférences invitées). Cet événement n’est pas guetté avec autant de fébrilité que l’ouverture des inscriptions, mais permet néanmoins de prendre le pouls de la recherche française en sécurité informatique.

Et comme disent souvent les vieux (dont je crains de faire partie) : « c’était mieux avant » …

Car s’il a pu exister une vieille rivalité entre les quelques laboratoires de recherche privés en SSI (tels que Sogeti/ESEC, Orange R&D, LEXSI et EADS Innovation Works), c’est désormais bien fini.

Si vous avez aimé DNS-SEC par l’ANSSI en 2011, alors vous adorerez ce cru 2012, à base de :
Ajoutez 3 personnes de l’ANSSI au Comité d’Organisation, 4 au Comité de Programme. Mâtinez le tout de quelques universitaires qui « tournent » dans le circuit depuis longtemps, et vous obtenez un programme parfaitement équilibré … ou pas.

On pourrait se féliciter d’une telle efficacité de l’Agence à sécuriser l’Internet français … et à le faire savoir.

On pourrait aussi déplorer qu’après avoir asséché les compétences disponibles sur le marché, concurrencé de manière déloyale les prestataires de services (au moins dans les domaines de l’audit, de la formation continue et de la réponse aux incidents), et réglementé le secteur de la prestation de services au risque de voir les petits cabinets disparaître, l’Agence jette désormais son dévolu sur les conférences de sécurité.

Est-ce un bien ou un mal ? Pour avoir assisté à toutes les éditions de SSTIC depuis la première, je crains que l’esprit « hacker » (désolé pour ce mot vulgaire) des origines, déjà bien amoché par l’obligation d’envoyer un article LaTeX de 20+ pages, ne succombe à la pesanteur conjuguée de l’administration et de la recherche universitaire. On s’éloigne d’un CCC à la française, où l’on puisse parler librement de protocole GSM, de sécurité des cartes bancaires, ou du site « impots.gouv.fr ». Fini la révérence du groupe Rstack sur scène en guise de conférence de clôture (pour ceux qui s’en souviennent). On se dirige plutôt vers un monde où OCaml nous sauvera des XSS (ou pas) grâce à des anciens de l’Agence. Voire à une migration de Rennes vers le Mont Valérien - après tout les RMLL ont bien quitté Bordeaux pour aller à Strasbourg (et maintenant Genève).

Au fait !

Si vous m’avez lu jusque là, vous commencez à vous douter qu’une telle diatribe n’est pas le fruit du hasard. Levons le suspens : ma soumission à SSTIC a effectivement été rejetée :)

Vous me direz : « c’est le jeu », et je vous l’accorde. D’ailleurs j’avais déjà été refusé deux fois à SSTIC : l’année où les *Box étaient accessibles en Telnet côté Internet, et l’année où nous avions inventé le forensics du fichier d’hibernation avec Matthieu Suiche (ça n’est pas moi qui le dit, mais Harlan Carvey).

Mais cette fois-ci c’est différent. Comment ne pas penser que « quelquechose » s’est cassé quand on lit une revue telle que celle-là (authentique) :
« Et quid de la légalité d'une conférence qui ne fait que le reverse engineering d'un produit commercial ? »

Sachant que la première conférence de l’édition 2012 concerne le reverse engineering d’un firmware Qualcomm, cela prête à sourire. Sans compter que les éditions précédentes ont abordé le reverse engineering de Microsoft Bitlocker (par … l’ANSSI !), de cartes réseau Broadcom (par … devinez qui :), etc.

Les revues sont bien évidemment anonymes, mais je suis prêt à parier une bière que ce commentaire émane de l’ANSSI, et plus précisément du CERTA. Vous savez, ceux qu’on ne voit jamais chez les clients victimes d’APT : ils font faire le sale boulot d’ouverture de binaires par le bureau inspection, Microsoft Services, ou des prestataires de service. Car « l’administration se doit d’être irréprochable » (authentique également). Bien sûr, je peux me tromper :)

Le reste des relectures sont à l’avenant, je vous en fais grâce ici.

Pour conclure sur SSTIC : inutile de remplir le sondage. Non seulement les résultats restent secrets (même les auteurs n’ont pas accès aux informations sur leur propre prestation), mais de plus ça n’éclaire en rien le Comité de Programme dans ses choix ultérieurs.

Existe-t-il un horizon ?

Bien entendu, cette situation ne convient pas à tout le monde. Et comme la nature a horreur du vide, d’autres conférences françaises d’excellente tenue ont vu le jour : Hack In Paris et Hackito Ergo Sum par exemple.

Si vous voulez discuter amicalement autour d’une bière avec des talents (et non pas des stars) de la sécurité tels que Fyodor Yarochkin, Marc Van Hauser, Dmitry Sklyarov, Cesar Cerrudo ou Travis Goodspeed, n’hésitez pas : les inscriptions sont ouvertes ! Et en plus, il y en aura pour tout le monde.


PS. Message personnel pour Arno (de l’ANSSI, mais qui ne l’est pas aujourd’hui ?) : désolé pour tes 5 euros, mais il n’y aura pas de démo technique cette année. Si tu as lu ce billet et que tu as bien rigolé, puis-je les garder en dédommagement ? Merci.

20 commentaires:

S. a dit…

Comment ca ? le SSTIC a changé de nom ? c'est le FR-STIC ?

en même temps, le reverse est puni par la loi, tu devrais bien te douter que les gens de FR-STIC peuvent pas cautionner cela :)

PS: Tu parles sous la colère ;) c'est pas bien de parler sous la colère :)

Jacques a dit…

Fedz free -> Drink safe.
-- Rennes Days 2012

Demandez les invits autour de vous :).

jme a dit…

Au moins comme ça on connait le prochain logo du SSTIC (et le challenge qui va avec).

Un peu de mauvaise foi tout de même, mais quelques pépites de vérité :)

Anonyme a dit…

Vis-à-vis de la réglementation par l'Agence, le lien correct serait plutôt celui-ci.
En effet la version 1.0 a l'air d'être sortie (quid de la différence avec la version 0.9… je ne sais pas), et la procédure semble être en « phase d'expérimentation » par l'ANSSI.

jybu a dit…

Et si une conf se montait à Toulouse ?

Erwan a dit…

j'ai bien ri en lisant ton post :)

je suis d'accord avec toi sur le fait que les présentations de SSTIC s’aseptisent un peu, et qu'il leur manque le grain de sel provocateur d'antan. même si je ne suis pas la conférence depuis aussi longtemps que toi, la tendance est nette.

Peut être que la "qualité" des papiers fait peur aux bidouilleurs et amateurs. La professionnalisation du domaine engendre une forme de standardisation qui fait barrière à une créativité mal comprise.

ps: moi aussi j'me suis fait jeter

Laurent C. a dit…

Nicolas, y'a inversion dans ton post entre Pierre Chifflier (c'est lui qui est à l'ANSSI) et Eric Lebond (ancien CTO de Edenwall et c'est lui qui fera la conf sur Netfilter/sécurité des connexions, suite à ses travaux pour Suricata).

Sinon assez d'accord globalement avec ton avis mais faut jamais écrire sous le coup de la déception ;)

Heureusement que je n'ai pas soumis le projet d'article que j'avais (orienté hacking d'applications "grand public"); d'après tes remarques, il ne serait pas passé :(

Anonyme a dit…

Et les JSSI, pas assez « académique » ?

Kevin a dit…

Les articles permettent de prendre le pouls de la recherche en sécurité française.
Il semble que l'ANSSI se taille effectivement la part du lion, conférence ANSSTIC? :)

Ceci dit, je constate un certain retour vers de la sécurité réseau, absente ces dernières années: (souvenez vous du "TCP/IP security is boring"):
BGP, netzob, SAVI et le suivi de connexions. Un renouveau?

On constate aussi moins de reverse x86, et plus de XSS/ HTML/ websecurity/ SQLI.

Anonyme a dit…

Faudrait que quelqu'un enregistre boycottsstic.org et lance un appel à la révolte :-p

Unknown a dit…

Ca fait un peu consanguin non ?

Anonyme a dit…

Je partage l'avis...


Yann

Michael a dit…

faut renommer ça sous le nom de l'ANSSTIIC

newsoft a dit…

@jybu le lieu importe moins que l'esprit ...

@Erwan bidouilleur ou vrai professionnel, mais ce qui manque c'est surtout moins de langue de bois ... le cadre législatif force à l'hypocrisie de tout présenter sous l'angle de: "nous faisons cela pour protéger la Nation et sécuriser l'Internet Mondial". Cela protège sans doute les vendeurs de solutions technologiques pourries, mais n'arrête en rien les vrais criminels.

@Laurent désolé, la tournure de phrase est malheureuse. Je voulais effectivement dire "Eric (l'orateur) n'est pas parti à l'ANSSI comme son collègue".

@Anonyme il y a beaucoup de JSSI (Journée SSI) - je suppose que tu parles de celle de l'OSSIR. Et effectivement ça n'est pas très "académique" (mais je crois que je ne comprends pas ta remarque, donc je ne peux pas y répondre).

@Anthony la sécurité a toujours été un tout petit milieu. Et j'ai l'impression qu'il a tendance à rétrécir, entre les vieux qui partent faire autre chose, et les jeunes que ça n'intéresse plus.

Anonyme a dit…

Hi all,

Sympa ce post ^.^

Malheureusement la tendance ne va pas s'inverser ... l'ANSSI, en plus de phagociter le SSTIC, s'est aussi attaquée à l'éducation (notamment avec la création d'un "titre" expert SSI en partenariat avec Sud Telecom Paris), elle place ses chargés de mission au sein des grands groupes du CAC40 afin d'imposer ses standards, s'approprie la recherche ... Bref, une stratégie de la pensée unique? Non, un village d'irréductibles résiste encore et toujours (mais plus en Bretagne, dommage, j'y ai fait mes études on se marre bien là bas), des conférences meurent, d'autres naissent ...

Sébastien
Padawan de la SSI

Anonyme a dit…

Moi, j'aime bien tes présentations en générale. Je suis prêt à t'offrir une bière si tu nous fais ta présentation lors de la soirée sociale.

Ne serait-il vraiment pas possible de faire des sortes d'activités/ateliers lors de cette même soirée ?

Je n'ai rien contre les soirées "on recrute", c'est super, mais boire un coup dans une ambiance plus "hacker" (pour reprendre le mot que tu as utilisé), cela n'a pas de prix.

clearcutz a dit…

le programme du sstic ne me choque guère. Il y a toujours eu une prédominance d'une compagnie étatique ou non dans la programmation selon les années: EADS, Sogeti ... pkoi pas l'ANSSI. Cela reflète plus ou moins une dynamique, qui est actif, qui a besoin d'être actif sur la scène SSI, ou alors quelle boite regroupe actuellement des gens motivés pour présenter. Pour l'aspect étatique j'ai quand même le souvenir d'une présence militaire au sstic il y a qques années notamment avec l'ESAT en sponsor, keynote d'un général, militaires dans l'assistance, l'année dernière keynote DGSE puis ANSSI ... Bref pour moi le sstic reste le sstic, un endroit sympa ou toute la SSI pro prend du bon temps, échange, partage un(ou plus) verre, speaker ou pas.

Anonyme a dit…

Tout comme news0ft (sans colère, ni reproche, ni papier refusé).

Je dois être trop vieux pour apprécier les présentations commerciales bien formatées à base de Powerpoint 2007.

-nikoteen.

Anonyme a dit…

Note la réaction 6 mois plus tard. Alzheimer.

-nikoteen.

newsoft a dit…

Mieux vaut tard que jamais. Sauf qu'on en est à PowerPoint 2013 beta désormais :)