Une édition Black Hat 2011 animée

Guy Kindermans Rédacteur de Data News

L’édition 2011 de la conférence sur la sécurité Black Hat à Las Vegas a abordé une grande variété de points délicats.

L’édition 2011 de la conférence sur la sécurité Black Hat à Las Vegas a abordé une grande variété de points délicats.

Avec une appellation qui renvoie ouvertement à de vilains pirates (‘black hats’), Black Hat s’est taillée au fil des ans une solide réputation en tant que lieu de rencontre des spécialistes de la sécurité provenant d’entreprises, ainsi que de services gouvernementaux et d’ordre. Cette année, le programme abordait la façon dont quasiment tous les éléments possibles de notre société numérique et automatisée peuvent être attaqués (et ce toujours plus aisément à cause du développement d’outils agressifs).

Cela va des éléments d’automatisation industrielle (comme les PLC illustrés par Stuxnet) en passant par les systèmes automobiles (même de véhicules roulants) jusqu’à pratiquement tous les systèmes connectés à (inter)net. L’une des sessions montrait notamment comment des outils de recherche pouvaient trouver, puis attaquer des appareils non sécurisés avec des systèmes embarqués (tels des infrastructures VoIP, copieurs et imprimantes, systèmes de stockage, etc.). Il y eut même une session qui démontrait comment des systèmes de batterie ‘intelligents’ équipant de nouveaux systèmes mobiles pouvaient être piratés.

Black Hat a aussi accordé une attention accrue à la vulnérabilité des systèmes mobiles, tels les smartphones. Une étude de Lookout Mobile Security indiquait entre autres que les systèmes Android courent aujourd’hui quelque 2,5 fois plus de risque d’être touchés par du maliciel (‘malware’) qu’il y a six mois. Tous les smartphones se caractérisent également par des problèmes de confidentialité et de fuite potentielle d’informations.

Il va de soi que l’étude ‘Shady RAT’ publiée par McAfee a aussi été largement commentée. Pour les experts, il ne fait du reste clairement que peu de doutes que ces intrusions soient l’oeuvre de la Chine.

BlackHat est aussi l’occasion d’aborder des points de sécurité bizarres et parfois drôles. C’est ainsi qu’ont été attribués pour la cinquième fois les ‘Pwnie Awards’ (‘pwnie’ renvoie à ‘pwned’, un terme d’argot signifiant ‘owned’ à l’instar d’un système qui est contrôlé par des personnes mal intentionnées). L’on y récompense tant les plus grands ‘bousilleurs’ en sécurité que des chercheurs à succès.

Dans la catégorie ‘bousilleurs’, l’on trouve Sony (qui a reçu le prix ‘Most Epic Fail’, parce que l’entreprise a non seulement connu quelques graves problèmes de sécurité, mais manifestement aussi parce qu’elle avait peu avant licencié pas mal de membres de son équipe de sécurité réseautique), ainsi que RSA (‘Lamest Vendor Response’ en raison de problèmes SecurID) et Microsoft (‘Best Escalation Bug’).

Autre point étonnant: un système en kit permettant, dans les airs avec l’aide d’un petit avion télécommandé et une connexion 4G, de repérer les réseaux sans fil, de tracer les systèmes mobiles, de voler des données, etc. Baptisé ‘Wireless Aerial Surveillance Platform’ (WASP) par ses auteurs, ce genre de système peut être utilisé tant par des utilisateurs mal intentionnés que par les services d’ordre.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire