Ce tour d’horizon des conférences iAwacs ne serait pas complet si l’on oubliait les différentes présentations détaillées effectuées par certains participants au concours P0wn2kill. Notamment celle de Alan Zaccardelle, de Dimension Data, ou celle de David Baptiste de l’Esiea qui montre en détail combien la conception d’un vecteur d’attaque est une succession de contre-contre mesures rappelant à certains moments les calculs anticipés d’un joueur d’échecs contre un adversaire pugnace. Il faut également parcourir la description de l’équipe Jonathan Dechaux, Jean-Paul Fizaine, Kanza Jaafar, Romain Griveaux (Esiea), qui avait révélé l’an passé, à l’occasion de la BH Europe 2009, la trop grande puissance et les dangers des macros sous Open Office. Notons d’ailleurs que les deux premières places du concours P0wn2kill ont été remportées par des « preuves de faisabilité » reposant précisément sur des macros OoO. Fort heureusement, compte tenu de « l’effet monopole » de Microsoft en matière d’outils bureautiques, les vagues de virus-macro appartiennent à l’histoire ancienne. Il faut cependant garder à l’esprit que ce qu’a conçu une équipe d’étudiants, un team de blackhats peut fort bien le concevoir pour mener à bien une attaque ciblée.
Toute aussi détaillée, mais nettement moins technique cependant, la conférence donnée par notre confrère Jean Marc Manach a permis à l’assistance d’effectuer un voyage dans le temps… un périple à l’époque où le vol de fichier ne faisait pas les gros titres des journaux, ou le réseau d’espionnage américain Echelon était encore inconnu, ou Internet était encore un espace de relative liberté non surveillée. J.M. Manach, principal initiateur des Big Brother Awards Français, rappelle tant sur son blog que via son « multimètre d’anonymat » combien les choses ont évolué depuis et combien il est difficile de situer la frontière entre ce qui doit demeurer du domaine privé et ce qui peut être diffusé sur le Réseau des Réseaux. « C’est surtout un problème générationnel, explique en substance notre confrère.Il y a, pour paraphraser John Freed, d’un côté la génération des « Parents », qui frémissent à la simple idée de voir leur date de naissance publiée sur un site Web, et la génération des « Transparents » qui s’épanche sur les réseaux sociaux sans y voir le moindre mal. Il faut apprendre aux parents à jongler avec les nouvelles technologies et ces nouvelles notions d’identités numériques, tout en expliquant aux transparents que le fait de franchir certaines limites peut avoir des conséquences graves. Les enfants de nos sociétés modernes confient parfois à leurs relations sur Internet des choses qu’ils cachent énergiquement à leur propre famille».
Reste à déterminer la durée nécessaire au développement de cette phase éducative. Car pendant ce temps, les « usines à accumuler des détails privés », pilotées tant par les instances gouvernementales (fichiers de police, banques d’ADN, communications transfrontières intergouvernementales etc) que par des sociétés de droit privé (Google, Facebook, les principaux réseaux sociaux et gestionnaires de logiciels « cloud » grand public) moissonnent sans discernement jusqu’aux données les plus improbables, vite, avant que les Etats ne réagissent et commencent à imposer des limites.
1 commentaire