La nuit du Hack 2018

La Nuit du Hack 2018 : Des méta-données aux gadgets connectés, une conférence incontournable.

Pourquoi la sécurité à 100% n’est pas possible ? Car il existe trop d’éléments sur une chaîne de confiance. Comment nos propres données peuvent-elles être cachées, même au serveur à qui nous les confions. C’est le sujet de thèse développé par un conférencier.

Seculting SA était présente à la 16 ème nuit du hack le samedi 30 juin et dimanche 1 juillet. Personnellement j’ai été très impressionné par la qualité de l’événement, mais aussi par sa taille : pas loin de 3’000 personnes présentes à la cité des sciences de Paris. Ils auraient pu faire plus d’entrées, mais ont été limités par le nombre de personnes autorisées par les normes de sécurité.

La sécurité à 100%
En terme de contenu une excellente keynote de Gaël Delalleau (https://twitter.com/gaeldelalleau), qui présente la sécurité par une question très pragmatique, soit comment obtenir des applications qui soient réellement sécurisées à l’arrivée, en offrant par exemple un cadre aux développeurs qui limite les risques d’utilisation erronée de certaines technologies? Il prend en exemple la blockchain ethereum qui offre un cadre cryptographique très solide aux développeurs pour la création de smartcontracts, ce qui n’a pas empêché ces dernières années le détournement de centaines de millions de dollars de smartcontracts présentant eux-mêmes des failles. Une bonne manière d’illustrer que quoi qu’il arrive la sécurité absolue n’existe pas et que tous les maillons d’une chaîne sont à considérer.
Ceci nous amène tout naturellement à nous inquiéter de la probité des différents partenaires avec qui nous travaillons. La réflexion sur la loyauté des fournisseurs de services cloud est souvent assez intuitive, mais nous nous posons assez peu la question des fournisseurs de technologie comme les algorithmes de cryptage (dont la grande majorité des standards est supervisée par les institutions américaines) ou le matériel informatique (toujours les américains). Pourtant les dernières années ont apporté un certain nombre de problématiques, notamment au regard des IoT de mauvaise qualité qui contiennent des back door ou des failles plus sensibles encore dans la gestion des serveurs (j’ai récemment rencontré des failles dans les outils IME (Intel) et ILO (HPE), chez plusieurs de mes clients, qui permettent de totalement compromettre les serveurs simplement à partir d’un accès réseau ou même par le biais d’un navigateur).
La conclusion est naturellement que la sécurité 100% n’est simplement pas possible. Il existera toujours un risque. Nous ne pouvons que nous rallier à cette conclusion puisque nous cherchons, depuis plus de deux ans, à améliorer la mesure du risque pour les PME.

Meta-données
Autre sujet intéressant : la recherche sur les serveurs de données “inconscients” par Alex (https://twitter.com/roddhjav). Même si aujourd’hui certains services proposent des dépôts de données chiffrées de bout en bout, il peuvent toujours collecter des informations (dites méta-données) intéressantes sur la manière (quantité, fréquence, dates,... ) dont nous les utilisons. Si par exemple vous téléchargez des photos sur whatsapp pendant vos vacances, bien que la photo soit chiffrée et illisible par le fournisseur du logiciel, l’endroit depuis lequel vous envoyez vos données reste visible pour l’éditeur, qui pourra, par exemple, facilement deviner que vous êtes en vacances car vous vous déplacez d’une photo à l’autre, que vous envoyez beaucoup plus de photos que d’habitude et depuis un autre pays.
Le chercheur irlandais sur scène a partagé ses recherches qui se basent notamment sur la cryptographie homomorphique. C’est un mot barbare qui permet de désigner la possibilité pour un serveur de traiter les données des clients (additions, soustractions,...) sans avoir à les déchiffrer en préalable. Aujourd’hui la seule solution pour un fournisseur de service en ligne pour travailler sur les données chiffrées que vous lui confiez est d’avoir une copie de la clé, de les déchiffrer, les traiter et les chiffrer à nouveau, qui, de fait, lui donne un accès à vos données non chiffrées. Grâce à cette nouvelle approche il sera possible de confier certaines tâches sur vos données sans avoir à donner la clé. Ceci reste encore très académique bien qu’on en parle depuis des années, puisque les puissances de calcul nécessaires sont trop élevées pour nos capacités actuelles. C’est dommage car nous sommes pratiquement contraints aujourd’hui de confier des données à des tiers sans avoir la moindre garantie du traitement qu’il en sera fait et que les données médicales se digitalisent de plus en plus.

La nuit du hack est morte, vive le hack !

Nous avons eu droit cette année à la “surprise du chef”. Ce moment privilégié a été la présentation du nouveau nom de la conférence : lehack (lehack.com). En effet depuis un certain temps certaines limitations s'imposent à l’équipe organisatrice en raison du nom actuel et comme l’indépendance de leur mouvement est centrale pour garantir une qualité hors norme et une liberté de parole complète, cette mutation a été nécessaire.
Voilà qui laisse présager des futures éditions encore plus intéressantes. Un grand merci à toute l’équipe hackerzvoice pour l’organisation sans faille (https://hackerzvoice.net/).
Ne manquez pas mon prochaine article sur notre expérience dans le bug bounty et le wargame lors du même événement.

Pas de commentaire.

Ajouter un commentaire

Vous devez être Connecté pour poster un commentaire.