Comme chaque année, la conférence Black Hat a réuni les experts internationaux du monde de la sécurité informatique : agences gouvernementales, industries ainsi que les hackers les plus réputés et respectés du domaine.
Installée à Las Vegas, elle est reconnue comme le point d’orgue de la saison des conférences de sécurité et ce depuis plus d’une décennie (1997). Si Black Hat ne surprend pas, elle intéresse toujours autant. Plus vraiment de surprises, car chacun est au fait de l’inégalité du niveau, voire de la pertinence des autres conférences. Chacun sait par ailleurs qu’au cours d’une des présentations il se passera quelque chose de spécial, un hack impressionnant, une trouvaille inattendue, un sujet passionnant mais totalement décalé, etc. Et toujours intéressant car c’est là, au final, que se prend le pouls du métier et que se dessinent les techniques d’avenir.
Le réseau boudé par les conférenciers
Cette année a essentiellement été marquée par la quasi-absence de conférences sur les protocoles réseau. Les ressources des couches 2 à 4 du modèle OSI semblent avoir été épuisées, et peu de recherches sont menées pour identifier de nouvelles failles dont la mise en œuvre serait de toute façon trop complexe pour un retour sur investissement incertain.
Il semble en effet plus à propos de s’attaquer aux applications, et de préférence les plus exposées, à savoir celles destinées au web. C’est en effet dans ce domaine que les conférences sont apparues les plus innovantes. De la présentation de SPDY (le candidat de Google pour le replacement de http) aux attaques par injection Javascript côté serveur, en passant par le clou du spectacle, l’attaque du moteur Java EE de SAP exposant tout portail Netweaver à une prise de contrôle presque inévitable.
Il semble en effet plus à propos de s’attaquer aux applications, et de préférence les plus exposées, à savoir celles destinées au web. C’est en effet dans ce domaine que les conférences sont apparues les plus innovantes. De la présentation de SPDY (le candidat de Google pour le replacement de http) aux attaques par injection Javascript côté serveur, en passant par le clou du spectacle, l’attaque du moteur Java EE de SAP exposant tout portail Netweaver à une prise de contrôle presque inévitable.
Le navigateur, proie des temps modernes
Côté client, le navigateur devient une cible privilégiée. Tandis qu’une conférence s’attelait à disséquer les différents composants de ce type de programme, une autre s’attaquait au compilateur JIT (Just In Time) de Firefox permettant de contourner la DEP (Data Execution Prevention) et l’ASLR (Address Space Layout Randomization). Une troisième s’en prenait, elle, à Google Chrome OS, dont l’intégration avec le navigateur éponyme autorise la capture des données de l’intégralité des onglets ouverts via une simple attaque par Cross-Site Scripting. Beaucoup d’innovations, donc, dans le domaine des applications web, alors que les Web Services restent étonnamment le parent pauvre. Une seule conférence sur le sujet en effet, bien décevante au demeurant, mais pourtant très révélatrice car traitant du manque d’outils d’audit disponibles pour pentester (tests d’intrusions – NDLR) ce qui est aujourd’hui un des bus applicatifs les plus utilisés et les plus sensibles.
La carte bancaire une fois de plus malmenée
Enfin les « habitués » : SSL, DNS, SSH, IOS ainsi que les différentes plates-formes hardware sont systématiquement représentés, parfois comme un simple rappel alors qu’ils sont les piliers de nos systèmes d’information. Les distributeurs automatiques semblent également rentrer dans cette dernière catégorie. L’an dernier, Barnaby Jack « hackait » un DAB et distribuait de l’argent à qui en voulait. Cette année, ce sont les inimitables Andrea Banisani et Daniele Blanco qui ont livré leurs travaux sur la conception d’un Man-in-the-Middle interceptant toutes les communications entre la puce et le terminal. A la clé, la récupération des données de la carte, le code PIN ainsi que le cryptogramme…
Source : 01Net