Sabine Blanc

journaliste web

« Des parties entières du cyberespace d’une importance assez vitale sont laissées de côté »

« A 0% bullshit conference » : telle est l’ambition de No Such Con, une conférence de sécurité informatique qui se tient cette semaine à Paris, au très beau siège du PC place du colonel Fabien. À défaut de pouvoir vérifier la véracité de ce slogan, voici une petite interview de Cédric "Sid" Blancher, chercheur en sécurité informatique chez EADS depuis dix ans, qui fait partie de l’équipe organisatrice.


Les conférences de sécurité informatique se multiplient en France en ce moment, comment expliquez-vous cette effervescence ?

Je vois deux grandes raisons. D’une part, historiquement en France, il y a peu de conférences de sécurité informatique technique. La plus ancienne, le SSTIC, date de 2003, et elle est restée longtemps la seule mais elle n’est pas vraiment orientée sur la scène hacker et underground, son audience et ses talks sont davantage policés. Puis la Nuit du Hack est arrivée, qui s’est déclinée avec Hack in Paris, dans un événement un peu plus commercial on va dire. Hackito ergo sum est venu, puis GreHack et No Such Con maintenant.
Elles ont comblé les trous, avant pour assister à ce genre de conférence, il fallait aller aux États-Unis, en Asie ou en Allemagne. Beaucoup de personnes avaient envie de monter des conférences localement, plutôt que d’aller ici et là, comme il y a de la demande, et de faire venir les gens chez nous.
C’est l’autre raison : il y a une vraie demande. Le SSTIC a vendu ses places en une journée, nous aurons un peu plus de 300 personnes, Hackito ergo sum la semaine dernière a plutôt bien rempli sa salle.
Les programmes sont diversifiés, il n’y a pas de redite entre le programme de Hackito et celui de No Such Con.

Black hat, « 7000 kilomètres en avion pour trois jours de talks pourris… »

Rattrape-t-on le niveau des Américains ?

J’espère que non, les conférences américaines me laissent de marbre, je vais peut-être me contredire dans le futur mais j’ai décidé de ne plus aller à Black Hat, la dernière fois, c’était juste nul, honnêtement. Le problème, c’est que c’est une conférence énorme, avec huit séries de talks en même temps, je n’ai peut-être pas eu de chance, mais tous ceux que j’ai vus étaient pourris. 7000 kilomètres en avion pour trois jours de talks pourris…
J’ai le sentiment qu’en France, le contenu délivré est meilleur que ce que je peux voir aux États-Unis et ailleurs. Il y a, je pense, un vrai effet, dont parlait Andrea Barisani en keynote, de buzz, les gens viennent pour faire de la presse, et c’est de plus en plus ça.

Quels sont les sujets abordés au cours de ces trois jours, en terme « grand public » ?

Nous avons pas mal de talks autour des systèmes d’exploitation, les protections mises en place pour prévenir certains types de bug, sur du Windows, beaucoup sur Windows 8, évidemment [sa dernière version, sortie cet automne, ndlb], de l’Apple, de l’Unix. Il y aura un talk assez intéressant sur l’exploitation de navigateur, avec des images, sur la sécurité de la programmation, sur les plates-formes matériel, on va parler de BIOS, de TPM, cette petite chip qui fait un peu peur car elle permet de locker une machine pour ne booter qu’un seul système d’exploitation, on ne peut donc plus changer son OS.
Il y a aussi des talks sur du middleware de SAP, un squelette applicatif sur lequel on va greffer des modules qui communiquent avec la gestion des stocks, des assemblages, etc, puis tout remonte aux utilisateurs. Tout le monde utilise ce système dans l’industrie mais il coûte si cher que personne ne l’a vraiment regardé. Il y aura aussi un dernier talk assez fun sur des méthodes de programmation exotique.

Il y a eu une grosse polémique à propos d’un des sponsors de OHM, qui est listé dans les spyfiles. Quelles sont vos règles en la matière ?

Les sponsors n’ont pas le droit d’influer sur le contenu, donc pas d’intervention au titre du sponsoring, on peut accepter le talk d’un sponsor s’il est de bonne qualité mais il n’y a pas de talk automatique pour les sponsors, et ils n’ont pas de droit de regard sur le contenu, on refuse qu’ils nous interdisent de faire certaines interventions car elles vont les gêner.

Les sponsors sont intéressés par la population des participants, on ne leur donne pas le nom des gens qui viennent, on leur fournit des statistiques sur des secteurs d’activité, etc, quand les gens nous ont fourni l’information, lors de l’inscription, la seule information obligatoire, c’est nom, prénom et adresse email.

Il semble assez difficile d’être complètement éthique en matière de sponsor, Microsoft par exemple, qui fait partie de vos sponsors, est accusé d’enfreindre la confidentialité des données, avec Skype, par exemple, c’est assez délicat ?

C’est assez délicat, en même temps, je dirais, pour notre défense qu’au moment de signer le sponsoring, on était pas encore au courant, c’est vrai que c’est super délicat, il y a plein de problèmes comme celui-ci...

« Skype, c’est chaud, c’est super chaud, c’est un problème. »

La polémique sur Skype est ancienne...

Skype, c’est vieux, mais ce qui semble avéré, et qui traine depuis un petit moment, c’est qu’ils ont les moyens de surveiller ce qui se passe, par exemple tous les liens sur Skype, Microsoft récupère les informations manifestement. C’est chaud, c’est super chaud, c’est un problème.

Que comptez-vous faire ? Trouver d’autres moyens de financement ? Être plus sélectif ?

Il faut qu’on trouve des moyens de financement pour se permettre de choisir, après, c’est un peu compliqué. Pour prendre l’exemple de Microsoft, le problème ne s’est pas posé mais je sais que, dans le milieu des conférences de sécurité, on a réussi, avec le temps, à faire changer sa politique de sponsoring. À une époque, Microsoft avait des exigences sur le contenu des talks et des conférences.
De nombreux problèmes se posent à des niveaux différents, Microsoft est tellement présent... Skype, je n’avais pas regardé depuis 3-4 ans, ça ressort, on regarde ce qu’il y a dedans. Mais on peut avoir le même type de raisonnement avec RIM, ma position, c’est que j’aime bien que les gens aient démontré les choses, on dit beaucoup de choses à propos de Skype qui n’ont jamais été démontrées. Mais il est vrai que quand on regarde ça, c’est pas top.

Le terme « hacker » est employé à toutes les sauces, est-ce le signe qu’il s’affadit ou qu’il est dédiabolisé ?

Je suis assez mitigé, je trouve qu’on l’a surtout affadi, ça ne veut rien dire, on laisse la personne en face de nous en faire l’interprétation qu’elle veut. Comme on l’a surtout utilisé dans un sens négatif, pour désigner un pirate informatique, cette connotation reste très ancrée dans le langage, en particulier les Anglo-saxons. Il est utilisé à chaque fois qu’il y a un titre sur le piratage, comme le vol des 45 millions de dollars..

À contre-coeur, je n’utilise plus ce terme devant des gens dont je sais qu’ils peuvent mal l’interpréter, face aux profanes qui ne font pas partie du milieu. C’est dommage,
on essaye de dire que nous avons une compréhension différente du mot, mais je pense que la pente va être dure à remonter.

Quel terme utilisez-vous du coup ?

Cela va de bidouilleur à expert, j’essaye de trouver des palliatifs pour exprimer ce que l’on fait, cela passe souvent par des périphrases. Mais quand je veux faire passer un message, j’évite le terme pour éviter de déformer, de base, l’interprétation du message.

L’année dernière, le rapport de Jean-Marie Bockel sur la cyberdéfense évoquait directement l’utilité des hackers, des recrutements ont été annoncés dans ce sens, pensez-vous que la politique gouvernementale aille dans le bon sens ?

Je pense qu’il ne l’ont pas pris par le bon bout, en disant « on a besoin de profils de hacker », déjà c’est quoi un hacker ? Quand on annonce cela, que se passe-t-il ? Une personne va voir les RH et dit « il me faut des hackers. Les RH répondent : fais-moi une fiche de poste. »

Le dire, c’est bien, passer à l’implémentation, c’est autre chose. C’est pour cela que je n’aime pas trop la façon dont cela a été compris après le rapport Bockel car pour moi, une des particularités des gens qui se définissent comme des hackers, c’est qu’ils sont très attachés à leur indépendance, au fait de pouvoir faire ce dont ils ont envie. Je pense qu’il serait plus profitable de créer un contexte législatif, réglementaire, qui leur permettrait de s’exprimer, où on leur donnerait les moyens, sans les recruter. Aujourd’hui, on entend la rengaine « l’Agence nationale de la sécurité des systèmes d’information (Anssi) recrute, ils piquent les gens de tout le monde ». Ils recrutent des profils différents, avec une approche par la compétence. Ils ne disent pas « on recrute des hackers », mais « quelqu’un qui fait de reverse engineering », c’est une approche très pragmatique. Ils ont une campagne de recrutement assez volontaire et énergique qui marche.

« Mettre à profit cette part d’indépendance des hackers »

Mais le marché du travail est ce qu’il est et il n’y a pas assez d’emplois pour satisfaire tout le monde, ce sont des compétences pointues rares. Du coup on se retrouve avec des boites sans experts car ils sont tous partis là, de l’autre côté, on a un milieu complètement éclaté mais tous ces gens-là continuent à travailler sur leur temps libre sur des petits sujets. C’est justement mettre à profit cette part d’indépendance dans ce qu’ils font qui me semblerait intéressante à mettre en place.

De plus, le recrutement est basée sur les qualifications, les diplômes, l’expérience, etc, et toute une partie de cette population passe à côté de la raquette. J’ai vu des gens se faire jeter lors des entretiens alors que manifestement, c’était les meilleurs candidats.

C’est vrai qu’on manque de poste, mais ouvrez un peu les yeux aussi, les gens que vous voulez recruter ne sont pas sensibles au même discours que ceux que vous recrutiez avant, il faut aussi qu’ils puissent travailler à distance, il faut les intéresser, qu’il y ait du challenge derrière. Il y a un discours à apporter, et l’Anssi fait partie de ceux qui ont compris cela, pour que les gens signent en bas de la page, et même postulent tout court.

Si on poursuivre l’exemple de l’Anssi, elle a une mission de sécurisation des infrastructures gouvernementales et des OIV (opérateur d’importance vitale), qui va des infrastructures vitales, fourniture d’électricité, d’eau, de gaz, tout ce qui permet à la France de tourner rond, et de tout ce qui est vital en termes économiques, une société comme EADS, car sa part dans l’économie française est énorme.
Par contre le PC de madame Michu ne tombe pas dans le domaine de compétence de l’Anssi, qui n’en a donc rien à faire de sa sécurité. Pour autant, si je veux descendre une partie de l’infrastructure d’EDF, en déni de service, la première chose que je vais faire, c’est pirater le PC de madame Michu pour en faire un botnet et attaquer un opérateur d’importance vitale.

Il y a un peu une déconnexion avec la réalité, tous les PC connectés à Internet, qu’ils appartiennent à EDF, Carrefour, l’épicier du coin ou madame Michu, ont tous la même capacité de se nuire les uns les autres. On a trop segmenté, il y a des parties entières du paysage, le cyberespace, comme on dit, qui sont laissées de côté, alors qu’elles sont d’une importance assez vitale. Qui va tester le firewall personnel que personne n’utilise dans l’industrie mais que les particuliers achètent ?

L’année dernière, un projet de directive avait suscité la colère dans le milieu, car il prévoit de criminaliser davantage le hacking, où en est-on ? Êtes-vous toujours inquiet ?

Je ne sais pas ce que c’est devenu [lecture devant le Parlement en juillet, en théorie, ndlb], est-ce un souci, oui, après dans la pratique, ça ne change pas grand chose, ceux qui faisaient des choses continuent à les faire. Le problème, c’est que les gens contre lesquels cette législation est mise en place sont des gens qui la plupart du temps sont hors de portée des lois.

Image CC Flickr by nc nd glennmarshall et by nc dustball

16 mai 2013

Messages

Un message, un commentaire ?

Qui êtes-vous ?
Votre message
  • Pour créer des paragraphes, laissez simplement des lignes vides.