La sécurité joue à ‘ami/ennemi’ à Black Hat

La conférence annuelle Black Hat – et sa suite Def Con – regroupe pirates, spécialistes de la sécurité et représentants des services d’ordre pour des joutes réciproques deux journées durant.

La conférence annuelle Black Hat – et sa suite Def Con – regroupe pirates, spécialistes de la sécurité et représentants des services d’ordre pour des joutes réciproques deux journées durant.

Les amateurs de westerns savent que le ‘gentil’ héros porte toujours un chapeau blanc, alors que les ‘méchants’ bandits portent eux des chapeaux noirs. L’appellation ‘Black Hat’ incite donc à supposer que cette conférence consacrée à la sécurité constitue un forum à la fois intéressant et animé de débats et de démonstrations d”attaques’. C’est ainsi que cette année, il a déjà été démontré comment des distributeurs américains de billets individuels ont pu être piratés pour être pillés. L’acte de piratage nécessite toutefois la possibilité d’accéder au distributeur via un modem, alors que le ‘pirate’ n’entre formellement pas le code ad hoc. Les distributeurs de billets en Belgique ne peuvent certainement pas être la victime de ce type d’attaque concrète, étant donné la façon dont ils sont installés.

SSL remis en question

Lors de Black Hat, l’on a pu glaner des informations sur toute une série de sujets. C’est ainsi que dans son discours thématique, le fondateur de Black Hat, Jeff Moss, s’est plaint qu’en e-commerce, le protocole de sécurité SSL (Secure Sockets Layer) grandement utilisé n’est plus sûr et ce, même si cette position a été aussitôt relativisée par d’autres experts.

De son côté, Microsoft a appelé à accroître la collaboration entre les enquêteurs et les producteurs de logiciels, par analogie avec les ‘surveillances de voisinage’. Elle a à cet égard proposé une politique de ‘coordinated vulnerability disclosure’, par laquelle entreprises et enquêteurs collaborent avant même la découverte de points faibles.

La date, l’importance et la manière dont des brèches et des bogues sont découvertes dans les logiciels et autres produits, c’est un thème délicat s’il en est depuis pas mal de temps. Outre les intrus numériques (‘black hats’) et les défenseurs (‘white hats’), il y a en effet aussi les ‘grey hats’, qui rendent souvent les entreprises nerveuses. Les ‘grey hats’ recherchent, il est vrai, les points faibles dans les logiciels et autres produits, pour ensuite diffuser éventuellement ces informations, avant qu’un correctif (‘patch’) ne soit conçu. Il n’est pas rare non plus qu’ils choisissent de vendre ces informations au fabricant concerné, voire à des tiers.

Des efforts sont également consentis pour localiser les auteurs d’attaques. Greg Hoglund, CTO de HBGary, affirme ainsi avoir trouvé un certain nombre de caractéristiques de la méthode et des moyens utilisés par les auteurs de l’attaque à grande échelle perpétrée contre Google et consorts. Ces informations peuvent être utilisées comme une sorte d”empreinte digitale’ des agresseurs, ce qui pourrait aider à poursuivre les recherches et/ou à se protéger contre de futures attaques.

En outre, il convient aussi d’adapter le comportement des experts de la sécurité eux-mêmes tout particulièrement dans les réseaux sociaux. Lors de Black Hat, Thomas Ryan (Provide Security) a présenté une recherche sur la manière dont une personne fictive (en l’occurrence le beau Robin Sage (25 ans), security expert auprès de la ‘navy’ américaine) avait réussi à inciter des dizaines d’experts en sécurité à se connecter via Facebook, Twitter et LinkedIn. Selon Ryan, ces amis ont échangé avec Sage de nombreuses informations susceptibles d’êtres abusées.

Si vous avez manqué Black Hat et Def Con cette année, vous pourrez toutefois retrouver un peu de l’atmosphère de ces événements lors de leur pendant belge plus modeste, BruCON, les 24 & 25 septembre prochains.