mai 28th, 2009

Après une longue phase de pré-version, le Service Pack 2 du noyau Vista/Windows Server 2008 est disponible en téléchargement, en version 32 et 64 bits. Comme à l’accoutumé, la prudence impose de ne valider son déploiement qu’après une période de tests de régression. Fort heureusement, une partie de ces tests peuvent être effectués dans le cadre sécurisé d’une VM… problèmes d’incompatibilité avec les « couches basses » et drivers non compris.

Quelques jours après la clôture des Sstic de Rennes (qui se dérouleront du 3 au 5 juin ), quatre mois avant le FrHack de Besançon, Le HackFest se déroulera du26 au 30 Juin 2009 au /tmp/lab (centre d’art du 6Bis à Vitry sur Seine). Dans à peine un mois donc, et avec un calendrier particulièrement chargé et riche. Cette profusion de conférences techniques semble être une preuve de bonne santé du secteur de la recherche en sécurité en France.

Le HackFest de Vitry est moins « institutionnel » que ne le sont les Sstic, peut-être plus « débridé » que les prochaines rencontres de Besançon… en d’autres termes, on y retrouve l’éclectisme d’un CCC, « l’esprit Phrack » d’autrefois, la solidité technique d’une B.H.. Orateurs très spécialisés, passionnés d’électronique, amateurs éclairés des biocarburants ou du hacking de la choucroute, une chose est certaine : les sujets abordés seront tous d’un haut niveau sans que les intervenants ou que les participants se sentent obligés de se prendre au sérieux. Notons au passage que, si le programme est bouclé depuis un certain temps déjà, il sera toujours possible à ceux qui en expriment le désir de participer aux « rump session » en fin de manifestation.

Tirés au hasard du calendrier, quelques unes des conférences prévues :

Sauerkraut hacking (Dr Ferrand & Mister Rébus)
Fabrication de Biodiesel (Gaëtan & Sébastien Bourdeauducq)
HostileWRT (Itzhack & Mr. Parkinson)
Subverting Windows Embedded CE 6 Kernel (Petr Matousek)
Pushing the Limits in Open Source Licensing, and beyond (Philippe Langlois & Thiago Alves Maximo)
Vacuum tubes, your grandpa’s electronics (Sébastien Bourdeauducq)
Metasploit workshop (Jérôme Athias)
La richesse et la diversité du programme laissent présager une semaine d’une rare intensité. On est accessoirement prié d’apporter son fer à souder pour participer à l’atelier consacré aux microcontrôleurs… car, c’est là une tendance de plus en plus marquée, la science du hacking n’évolue plus sans tenir compte des bases matérielles. L’on attend donc beaucoup de conférences telles que celles consacrées au WRT, au GSM ou… aux lampes électroniques, encore très utilisées dans tout ce qui travaille au dessus de la dizaine de GHz.

Qui sera le Tzar de la Sécurité du gouvernement Obama ? La presse anglo-saxonne s’interroge et spécule sur l’étendue des pouvoirs de ce futur grand commis « technique » de l’Etat Fédéral. Le Reg pense qu’il viendra du sérail du National Security Council. Les frères ennemis que sont la NSA et le DHS et leurs multiples avatars, tentent d’imposer leurs hommes depuis l’investiture et l’annonce d’intention de voire nommé une sortie de « Ministre de la sécurité des S.I ». Une guerre d’influence qui était d’autant plus stratégique qu’initialement ce cyberTzar aurait pu directement en référer au Président. Depuis, précise Dan Goodin du Register, cette option a été supprimée. Le Ciso de la Maison Blanche devra rapporter ses avis à deux supérieurs hiérarchiques qui modèreront ses propositions en fonction de leurs impacts sur le tissu économique national. Ces « superTzars » sont respectivement le National Security Adviser et le White House Economic Adviser, conseillers du Président pour les affaires de sécurité intérieure et pour les affaires économiques.

Cette forme de compromission diplomatique, qui inféode la notion de gestion des risques à celle des impératifs financiers et militaro-policiers, risque fort de transformer ce poste clef en une fonction purement honorifique. Il n’est pas non plus certain que le jugement ou les décisions de ce « chef d’orchestre de la sécurité binaire »puissent être parfaitement appropriés en toutes circonstances. L’universalité de la charge, la diversité des tâches, la nature changeante des risques en fonction des secteurs considérés (scada, armée, gouvernement, industrie, administration, vie publique etc..) semble une tâche insurmontable pour un seul homme. Voir ou revoir à ce sujet les opinions divergentes de Schneier et Ranum sur la nécessité d’un « cerveau unique » à la tête de la cybersécurité des Etats-Unis (in CNIS du 26 mai ).

Rappelons que les précédents « Tzar », chargés notamment de la coordination des actions du DHS, ont tous, tôt ou tard, démissionné de leur poste. Les promesses des politiques non accompagnées des budgets adéquats d’un côté, l’apparente autonomie –voir totale et incontrôlable indépendance- de certaines administrations fédérales font que ce genre de poste devient très rapidement intenable. Le dernier en date à avoir tenu ce poste au DHS est parti début mars. Amid Yoran, celui d’entre ceux qui firent le plus parler d’eux, n’a pas tenu une année entière.