Social DDoS : merde on a perdu Bachar #OpSyria

Previously dans OpSyria : Il a quelques jours, nous dévoilions sur Reflets quelques photos de vacances de notre dernier séjour en Syrie. Nous sommes tombés sur une bonne dizaine de machines que nous suspections d’avoir été mises en place l’été dernier par l’italien Area Spa, ce peu avant qu’il se fasse prendre la main dans le pot confiture par Bloomberg. Il a depuis, semble t-il dénoncé le contrat, ce qui n’empêche pas les appliances qui opèrent la censure en Syrie de ronronner. Le souci des admins de Bachar, c’est qu’ils sont pas supers doués. En fait c’est même de belles quiches.

 

En jouant un peu avec un proxy BlueCoat de la Syrian Computer Society, je me suis rendu compte d’un phénomène paranormal. Je me mets à causer à cette machine. Elle m’explique que que comme tous les vendredi soirs chez Bachar, c’est happy hour sur certains ports :
Interesting ports on 77.44.210.6:
 Not shown: 979 closed ports
 PORT STATE SERVICE
 22/tcp filtered ssh
 23/tcp filtered telnet
 80/tcp open http
 81/tcp open hosts2-ns
 135/tcp filtered msrpc
 139/tcp filtered netbios-ssn
 443/tcp open https
 514/tcp open shell
 1720/tcp filtered H.323/Q.931
 1723/tcp filtered pptp
 2000/tcp filtered callbook
 3128/tcp open squid-http
 4444/tcp filtered krb524
 5060/tcp filtered sip
 8000/tcp open http-alt
 8008/tcp open http
 8080/tcp open http-proxy
 8081/tcp open blackice-icecap
 8088/tcp open unknown
 8090/tcp open unknown
 9090/tcp open zeus-admin
Alors pour rigoler je suis allé faire un tour là dessus : http://77.44.210.6:8090/. Et comme avec certains autres ports, me voilà téléporté sur cette URL : http://scs-net.org/files/index.html IP 213.178.225.50). Sans avoir l’oeil super exercé, on se dit que dans ce petit répertoire « files », il est possible qu’on trouve des trucs amusants… ce ne serait pas la première fois. On serait curieux pour moins non ? Notez que le site SCS-NET est celui d’un fournisseur d’accès un peu spécial en Syrie. Créé par Bachar El Assad lui même, il concentre les l33tz de la t34m D4m45… ouais ça fout la trouille. Mais attendez y’a encore plus flippant.

 ---------------------------------------------------------------------------
 + Target IP: 213.178.225.50
 + Target Hostname: scs-net.org
 + Target Port: 80
 + Start Time: 2012-03-10 17:38:20
 ---------------------------------------------------------------------------
 + Server: Microsoft-IIS/6.0
 - Root page / redirects to: /portal/
 + No CGI Directories found (use '-C all' to force check all possible dirs)
 + Microsoft-IIS/6.0 appears to be outdated (4.0 for NT 4, 5.0 for Win2k, current is at least 7.0)
 + Retrieved X-Powered-By header: ASP.NET
 + Retrieved microsoftofficewebserver header: 5.0_Pub
 + Retrieved x-aspnet-version header: 2.0.50727
 + Uncommon header 'microsoftofficewebserver' found, with contents: 5.0_Pub
 + Allowed HTTP Methods: OPTIONS, TRACE, GET, HEAD, POST
 + Public HTTP Methods: OPTIONS, TRACE, GET, HEAD, POST
 + OSVDB-396: /_vti_bin/shtml.exe: Attackers may be able to crash FrontPage by requesting a DOS device, like shtml.exe/aux.htm -- a DoS was not attempted.
 + OSVDB-3233: /postinfo.html: Microsoft FrontPage default file found.
 + OSVDB-3092: /guest/: This might be interesting...
 + OSVDB-3233: /_vti_inf.html: FrontPage is installed and reveals its version number (check HTML source for more information).
 + OSVDB-3500: /_vti_bin/fpcount.exe: Frontpage counter CGI has been found. FP Server version 97 allows remote users to execute arbitrary system commands, though a vulnerability in this version could not be confirmed. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-1999-1376. http://www.securityfocus.com/bid/2252.
 + OSVDB-67: /_vti_bin/shtml.dll/_vti_rpc: The anonymous FrontPage user is revealed through a crafted POST.
 + 3818 items checked: 13 item(s) reported on remote host
Vous ne rêvez pas ! Un FAI sous FrontPage ! Et un FAI qui hoste le dispositif de censure nationale ! Elle est pas belle la vie ? Du coup, juste pour rigoler j’ai tweeté cette URL : http://scs-net.org/_vti_bin/shtml.exe/aux.htm … et il semble que depuis, le site expérimente quelques petits désagréments, il est injoignable depuis presqu’une heure.

 

Chers admins Frontpage de la SCS, soyez forts dans votre tête, rallumez nous vite ce serveur j’en ai encore 3 ou 4 à tweeter… bisous !

De la polémique Google sur la vie privée

Il y a des jours comme ça où on se dit, après la lecture d’un billet, et puis d’un autre… qu’après tout, on devrait laisser tomber les combats que l’on juge importants. J’ose cependant croire qu’il s’agissait pour le premier d’un billet totalement irréfléchi, mal inspiré et surtout pas du tout documenté. Un billet, gentiment benêt, et donc excusable. Pour le second, j’ose espérer qu’il s’agit d’un billet autocentré sur le nombril de son auteur, lui aussi non réfléchi et non documenté… soit. Sauf qu’il est tout de même compliqué de ne pas réagir.

 

Au coeur de la pseudo polémique, la collecte et l’exploitation des données personnelles collectées par Google. Tout le Net en parle, la presse y compris, on peut lire un peu de tout et surtout beaucoup de n’importe quoi. Il est toujours délicat de causer de Google. J’admire les personnes qui sont capables d’élaborer une reflexion sur un sujet aussi complexe et se forger leur opinion en une vingtaine de lignes, sans même avoir lu ce que Google dit collecter, ce qu’il en fait, ni souvent d’ailleurs sans connaitre les services proposés par ce qui ressemble de plus en plus à l’étoile noire des données personnelles.

 

Même si l’on fait preuve d’un esprit de synthèse brillant, qu’on pense connaitre Google de A à Z parce qu’on utilise Gmail et Youtube, la question des données personnelles et de la protection de la vie privée méritent une réflexion un tantinet plus poussée.

 

Google est un univers

Il fut une époque où une immense majorité d’utilisateurs d’Internet assimilaient dans leur inconscient l’icône d’Internet Explorer, le navigateur de Microsoft à Internet. Quand vous demandiez à une personne au téléphone de lancer son navigateur, elle vous faisait un long « heeeeiiiiiiiiiinn » et vous finissiez par craquer en lui disant « le E bleu d’Internet », il s’en suivait un « aaaaahhhh » soulagé quasi systématique.

 

Dans l’inconscient de ces internautes (souvent les mêmes, mais toujours une majorité), aujourd’hui Internet = Google. C’est le premier point de contact visuel après le lancement du navigateur. C’est un univers dans lequel des centaines de millions de personne évoluent tous les jours, parfois même sans s’en rendre vraiment compte. Ces internautes :
  • font des recherches sur Internet et de plus en plus souvent avec le navigateur de Google, Chrome;
  • consultent les actualités sur Google News ;
  • lisent leur mail dans Gmail ;
  • regardent des vidéos sur Youtube ;
  • partagent leurs photos de famille sur Picasa ;
  • supertweetpokent de manière géolocalisée sur Google+ ;
  • préparent leurs vacances sur Google Map ;
  • se guident grâce à Google Street View ;
  • téléphonent avec Google Voice, quand ce n’est pas depuis leur téléphone Android ;
  • regardent la TV avec GoogleTV ;
  • écoutent de la musique sur Google Music ;
  • … arrêtons nous ici, la liste des services proposés par Google est interminable.

Un univers qui reste une partie d’Internet

Google n’est pas qu’un moteur de recherche, c’est un univers et c’est un univers, qui contrairement à AOL en son temps a réussi à trouver un juste équilibre pour retenir les utilisateurs, tout en les laissant sur Internet. Ceux qui ont connu AOL comprennent surement de quoi je parle, ce n’est probablement pas le cas pour les plus jeunes, sachez simplement que si aujourd’hui AOL est mort, c’est parce qu’il contraignait ses utilisateurs à accéder à une sorte de gros intranet, ce, exclusivement depuis son navigateur propriétaire, inclus dans son kit de connexion, indispensable pour accéder à cet ersatz d’Internet.

 

Si Google et ses services venaient à « s’éteindre » brutalement, Internet fonctionnerait toujours. En revanche, la majorité des internautes seraient perdus. Ils perdraient des points de repère et devraient se formaliser avec l’utilisation de plein de services, non unifiés sous un logo, une ergonomie, une cohérence.

 

Pour de nombreuses entreprises en revanche, les effets seraient bien plus gênants. Quand Google change son algorithme de positionnement pour afficher ses résultats de recherche, certains e-commerçants très bien positionnés sur une recherche donnée se retrouvent subitement 4 ou 5 pages plus loin sur des produits qui généraient une grosse partie de leur chiffre d’affaires. C’est quelque chose dont je m’étais amusé sur Reflets, de manière un peu méchante. Google a un impact énorme sur le chiffre d’affaires des e-commerçants.

 

Gratuit… en échange de votre vie privée

Google propose des services gratuits pour l’usage couvrant de nombreux besoins des particuliers. Cette gratuité pour le grand public de la quasi intégralité de ses services, leur caractère plus que confortable en terme de volume, d’ergonomie ou de simplicité d’accès sont très appréciés, et à juste titre. Mais la gratuité n’existant, pas, Google a pour modèle économique de financer cette gratuité grâce à sa régie publicitaire Google Ads.

 

Toute la polémique qui agite tant le Net aujourd’hui, porte sur 2 points :

 

  • La premier, médiatiquement le plus anecdotique, concerne une partie de Google Ads, le Google Display Network, les display ads étant l’un des 5 produits d’affichage des publicités de Google. Les 4 autres sont les Search Ads, les Video & YouTube Ads, les TV Ads et le Mobile Ads. La brouille oppose Apple à Google, le premier reprochant au second d’avoir contourné des dispositifs normés du navigateur web d’Apple, Safari, ainsi que ceux d’IOS, son système d’exploitation embarqué que l’on retrouve sur ses téléphones (iPhone) et ses tablets (iPad). Nous ne nous attarderons pas sur ce point, pour éviter de partir dans des considérations trop techniques.
  • Le second concerne le changement de règles de confidentialité des services de Google qui entrait en vigueur hier, le 1er mars. Pour faire très simple au risque de faire simpliste, Google va maintenant s’octroyer le droit de consolider les données qu’il collectait de manière indépendante sur ses divers services. Il ne collecte dans les faits pas plus d’informations qu’avant, mais il les centralise, et donc peut avoir plus de facilités à les croiser.

 

On peut dater assez précisément le début de l’évolution de la politique de confidentialité de Google, il s’agit de l’arrivée de Google+. À l’instar de Facebook, Google+ est un service trop complexe pour que les règles de confidentialité soient simples. Nous allons voir qu’il s’agit d’un service qui en regroupe de nombreux autres, et qui donc par définition, cumule un nombre effarant de données collectées, consolidées par défaut, et rattachées, à un compte… nominatif.

 

Le business des données personnelles

Quand on parle de données personnelles, on aime distinguer :
  • La collecte des données ;
  • Le traitement des données (processing) ;
  • L’utilisation des données (exploitation) ;
  • La durée de conservation des données (rétention).

Les données collectées

Google est plutôt transparent sur les données qu’il collecte pour qui se donne la peine de lire de quoi il en retourne. Il y a quand même une limite par rapport à cette transparence, c’est que pour beaucoup d’utilisateurs, tout ceci demeure du charabia technique, bien peu parlant. Voici par exemple ce que Google collecte sur un utilisateur de son service Google Music. Il s’agit d’un exemple particulièrement intéressant qui donne bien l’étendue du degré de connaissance que Google peut avoir sur ses utilisateurs

google privacy datas collected

Le moins que l’on puisse dire, c’est que ça fait beaucoup. Ça fait beaucoup, mais Google vous le dit, et certains ne prennent pas cette peine, y compris en France. On peut donc reprocher la masse d’informations que Google accumule et il faut comprendre que ceci est grandement une conséquence du nombre de services qu’il propose. Mais il va être compliqué de lui reprocher son manque de transparence sur la question.

 

Autre point de reproche lié à la collecte, et même en amont, il s’agit du point relatif à l’identification aux services. Il s’agit d’une authentification unifiée : un identifiant et un mot de passe vous donnent accès à l’ensemble des services de Google, il est rarement besoin (sauf dans le cas d’une acquisition récente) d’avoir à se créer un compte pour accéder à un nouveau service de Google. Votre identifiant, vous le savez, c’est une adresse email Gmail, bien pratique pour son caractère par nature unique.

 

Le traitement et l’utilisation des données

La nature des services proposés par Google (en ligne), fait que l’entreprise ne distinguera pas, ou dans de rares cas, traitement et exploitation. Le traitement à proprement parlé est automatisé et instantané. C’est de ce traitement dont découle ensuite la démarche commerciale de Google. En clair, c’est de là qu’il tire ses bénéfices. Et là en revanche il faut bien comprendre que Google dispose de bien des manières d’exploiter, directement ou indirectement vos données. Dans le cadre d’une exploitation directe, Google les utilisera pour  « fournir, maintenir, protéger  ou améliorer ses propres services« . Il pourra aussi se servir de ces données pour développer de nouveaux services. Le point relatif à la protection des services est à mon sens très intéressant mais il est bien trop technique pour le traiter dans ce billet, il en mériterait un à lui seul.

 

Il est également à noter que Google propose à ses utilisateurs des outils lui permettant un certain contrôle sur ce qu’il partage comme données, je cite :
  • Review and control certain types of information tied to your Google Account by using Google Dashboard.
  • View and edit your ads preferences, such as which categories might interest you, using the Ads Preferences Manager. You can also opt out of certain Google advertising services here.
  • Use our editor to see and adjust how your Google Profile appears to particular individuals.
  • Control who you share information with.
  • Take information out of many of our services.
Vos activités sur Google font ce que vous attendez d’elles, mais parfois elles en font aussi un peu plus. Vous avez tous eu un jour où l’autre à utiliser reCaptcha, un outil racheté par Google, que tout le monde pense être une simple protection antispam. Et bien vous ne le saviez peut être pas, mais en plus d’être une solution antispam, reCaptcha a été utilisé par Google afin d’améliorer ses performances en matière de reconnaissance de caractères (OCR) dans le cadre de son titanesque projet de numérisation de livres, Google Books, ainsi que les anciens numéros du New-York Times.

 

La rétention de données

C’est le second point de notre bref exposé qui pourrait avoir de quoi sérieusement nous fâcher. Dans cet article d’Arstechnica, on découvrira que selon le site, Google se sent investis d’une mission : « apprendre des bonnes personnes pour combattre les mauvaises personnes« … et ça, il y a vraiment de quoi trouver ça effrayant, surtout dit comme ça, en dehors de tout contexte.

 

La réalité en fait assez duale, ce n’est ni tout blanc, ni tout noir. Cependant la durée de conservation de certaines données est illimitée. La commission européenne a demandé à Google d’anonymiser les données relatives aux recherches, c’est ce que Google fait plus ou moins en supprimant le dernier octet de l’adresse IPau bout de 6 mois. Mais lorsque l’on parle d’anonymisation, on se doute bien que cette mesure est loin d’être suffisante. Le dernier octet effacé sur les IP ayant servi à faire des recherches ne suffiront certainement pas à anonymiser, au sens de garantir l’anonymat de l’internaute. Ces données pouvant être corrélées à d’autres services il sera toujours très simple de les rattacher à un compte Gmail, des historiques de chat, et donc obtenir l’identification de la personne, même si cette dernière a changé entre temps d’IP. On peut donc estimer que Google conserve ces données à vie et qu’il a en outre le loisir de les croiser avec beaucoup d’autres : carnets d’adresse, vidéo regardées sur Youtube, bibliothèque musicale de Google music ou encore déplacements via l’API de google maps avec des produits tels que Latitude. Données non anonymisées… rétention à vie… exploitation commerciale, dont la revente ou le partage à des tiers (avec votre consentement, pour peu que vous preniez la peine de lire ce que Google vous propose quand vous souscrivez à ses services)… vous commencez peut être à mieux comprendre le problème.

 

« Même pas peur j’ai rien à me reprocher »

C’est ici une réflexion qui m’agace au plus haut point, l’argument des personnes qui n’ont aucune compréhension des problématiques de la gestion de données personnelles à caractère nominatif. C’est typiquement le cas de l’auteur de ce billet qui n’a d’ailleurs probablement jamais lu ce que que Google conserve comme données sur lui, et encore moins combien de temps il les garde ou ce qu’il se réserve le droit d’en faire. C’est au bas mot triste pour lui, mais il est surtout parfaitement inconscient de véhiculer l’idée que « après tout ce n’est pas grave puisque je n’ai rien à me reprocher« .

 

Et dans ce domaine, la palme de la bêtise revient à ce billet, techniquement parfaitement faux. Je cite : « Je pense que notre ISP en sait encore plus que google, tout comme nos opérateurs mobiles et là on ne dit rien? Si vous avez un package complet chez SFR (tv, téléphone, internet), toutes vos données passent dans le même tuyau.« . La comparaison avec un fournisseur d’accès à Internet en France est nulle et non avenue. Un fournisseur d’accès est régi par certaines lois, comme le Code des Postes et communications électroniques et surtout l’article 226-15 du code pénal. Pour les comprendre, il faut encore une fois distinguer le métier d’un FAI : acheminer vos communications, et les principes relatifs aux données personnelles que j’ai cité plus haut :
  • La collecte des données ;
  • Le traitement des données (processing) ;
  • L’utilisation des données (exploitation) ;
  • La durée de conservation des données (rétention).
Un FAI a une obligation légale de conservation, pendant une période donnée, de journaux de connexion. Ces derniers ne visent qu’à une seule chose : mettre un nom derrière une adresse IP à un instant T en cas de réquisition judiciaire. Il existe ensuite une exception, il s’agit de l’interception légale, qui permet aux FAI, sur demande expresse des autorités judiciaires, de procéder à des écoutes dites légales, c’est à dire des interceptions des vos communications qui seront soumises à un régime spécial de rétention.

 

L’auteur de ce même billet est également  parfaitement inconscient  en terme de mesure du danger de l’exploitation des données personnelles : Je cite « Je ne surfe pas sur des sites pédophiles ou illicites. Même si je surfe sur des sites porno, ce n’est pas illégal  que je sache, alors google peut toujours m’espionner. » Gageons que l’auteur apprécierait que sa femme recoive des catalogues de sextoys par la Poste parce que ce dernier est passé devant un sex shop. Je dis bien devant… je ne parle même pas de rentrer, nous allons y revenir avec le Deep Packet Inspection.

 

Un chiffre devrait commencer à vous faire réfléchir. Aujourd’hui Facebook serait cité dans un cas de divorce sur trois au Royaume-Uni. Le caractère intrusif et l’aspect un peu « mouchard » des réseaux sociaux est indéniable et il arrive forcément, un jour, où ceci a un impact, direct ou indirect sur votre vie… même au bistrot !

 

Un autre point, bien connu des techniciens, c’est celui de la publicité contextuelle en temps réel lorsque vous utilisez la messagerie Gmail à partir de l’interface de Google. Quand vous écrivez un mail à votre compagne pour lui demander où elle souhaite partir en vacance et que vous voyez apparaitre alors même que vous composez le message, des publicités pour des séjours tout compris en Tunisie, SVP, ne croyez pas un instant qu’il s’agisse la de hasard. Techniquement, Google lit vos emails pour vous renvoyer une publicité contextualisée. Dans cet article traitant également de la vie privée et des pratiques des publicitaires utilisant ces technologies d’inspection en profondeur des paquets (Deep Packet Inspection) à des fins publicitaires, souvent hors de tout controle (à priori pas en France, mais on va y revenir…), je m’étais insurgé contre cette pratique.

 

La CNIL ? … et pourquoi pas le père Noel ?

« Je suis en France tout va bien j’échappe à ces pratiques, la CNIL me protège« … monumentale erreur !

La CNIL cautionne parfaitement cette pratique pourtant par définition assimilable à du viol de correspondance privée, en l’encadrant cependant semble t-il de manière très stricte… voir l’expérimentation Orange Préférences et une représentante de la CNIL en faire la promotion à la radio sans nommer ni Orange ni la technologie en question.

 

Mais si la CNIL a pu encadrer Orange en exigeant certaines garanties sur la collecte, le traitement et l’exploitation des données analysées dans le cadre d’Orange Préférences, il n’en va pas du tout de même pour des entreprises non françaises. Et devinez qui on retrouve au coeur d’une expérimentation de ce type ? … Google ! Le service se nomme Google Screenwise, et comme pour Orange Préférences, il se fait sur Opt-In. Si Google rémunère les utilisateurs qui acceptent de se faire violer un peu plus leur vie privée, Google n’avoue pas publiquement utiliser de l’inspection en profondeur de paquets. Une lecture attentive des termes d’utilisation de ce service nous a permis de mettre en évidence un élément particulièrement inquiétant, par l’intermédiaire de GFK, partenaire de Google sur cette opération qui n’est autre qu’un actionnaire de Qosmos une entreprise française, qui est l’un des leaders mondiaux du Deep Packet Inspection. Avant de vous laisser séduire par Screenwise, de grâce lisez cet article. Et la CNIL, concernant Screenwise… on ne l’a pas entendu.

 

Enfin, il faut savoir qu’il n’est nul besoin de délivrer un service en France, et donc d’être soumis à nos lois restrictives en matière de protection de la vie privée, pour opérer une écoute et une interception de vos données sur Internet. Ce petit schéma devrait vous éclairer sur le nombre important de points sur le réseau qui permettent à des publicitaires, en dehors de tout contrôle, d’espionner votre activité sur Internet pour vous proposer de la publicité contextuelle ou collecter ces données à des fins de revente à des tiers.

 

Ne serait-ce qu’au niveau français, on ne peut pas dire que la CNIL fasse preuve de zèle. Il est naturel de l’entendre de temps en temps s’exprimer contre de « gros acteurs », c’est toujours bon en terme de communication et ça justifie les budgets. Il est en revanche bien plus rare de voir la CNIL monter au créneau pour des affaires pourtant très grave, comme cette énorme fuite de données à l’UMP où MesConseils, une petite entreprise visiblement peu qualifiée pour traiter des données personnelles, a eu l’idée grandiose de stocker sur des machines poubelles, des bases de données sensibles qui contenaient des mots de passe de parlementaires pour accéder à des applications du réseau de l’Assemblée Nationale ou du Sénat. A quoi servaient ces bases de données, comment ont elles pu se retrouvées gérées de manière aussi catastrophique ? … une fois de plus, la CNIL on ne l’a pas entendu.

 

La dernière foi que l’on a entendu la CNIL (et oui c’était encore à cause de nous)  se pencher sur un cas en France, c’est sur celui de TMG, dans le cadre de la procédure de riposte graduée de l’HADOPI. Et encore il y aurait encore énormément à en dire. Le rapport de la CNIL n’a pas été rendu public après que TMG ait été mis en demeure. Puis quelques semaines plus tard, dans une parfaite opacité, celle ci déclare que « maintenant c’est bon il n’y a plus de problème« … sans plus d’explication. L’HADOPI n’a pas été dupe n’a d’ailleurs, jusqu’à aujourd’hui encore, pas rétabli l’interconnexion entre son système et celui de TMG.

 

Conclusion … La CNIL, c’est bien mignon, mais ça ne sert pas à grand chose.Entendre la CNIL émettre des avis sur Google relève surtout du grand spectacle, mais sur le fond c’est relativement inintéressant. D’ailleurs Google lui a gentiment objecté une fin de non recevoir, lui expliquant que revenir en arrière créerait plus de confusion chez les utilisateurs qu’autre chose… ce qui est en pratique parfaitement vrai.

 

Plus sérieusement comment on fait ?

Ne pas être d’accord avec les règles de confidentialité de Google vous laisse en fait 3 alternatives.

  • Ne plus utiliser Google : une solution radicale, mais ne fera pour le coup aucune concession en matière de vie privée
  • Compter sur la CNIL pour qu’elle inflige une amende à Google : nous avons vu un peu plus haut que ce n’est certainement pas une amende qui changera un fait inhérent au pachydermique et incontournable Google. Nous avons également vu qu’il convient d’avoir une confiance toute relative en la CNIL attendu que celle-ci n’est déjà pas ultra réactive en France et que ce n’est surement pas pour des entreprises qui opèrent à l’étranger qu’elle sera techniquement et juridiquement compétente pour vous protéger.
  • Utiliser Google de la manière la plus anonymisée possible : il existe des manières, moyennant quelques sacrifices en terme de confort d’utilisation qui vous permettent de conserver un certain anonymat en utilisant les services de Google. Elles mériteraient elles aussi un billet à elles seules mais voici déjà quelques pistes très simples concernant l’utilisation du service de mail de Google :
  1. Préférer un client mail comme Thunderbird/enigmail, chiffrer ses emails avec OpenPGP.
  2. A la création du compte Gmail aller faire un tour dans les paramètres de son compte pour y désactiver l’archivage des conversations Gtalk (paramètres de votre compte mail sur l’interface de Google, puis onglet « chat »).
  3. Gtalk le chat de Google, qui est également un compte Jabber. Ceci veut dire qu’avec un client compatible comme Pidgin on peut avec ce compte parler de manière chiffrée grâce à l’extension OTR

HADOPI : An interoperable and modular XML bullshit

L’HADOPI a aujourd’hui publié un document intéressant à plusieurs égards. Il s’agit d’un appel à expérimentations émanant des Labs. Il commence à dessiner quelque chose qui ressemble de manière très; très… très lointaine à de la « sécurisation d’accès Internet », un terme qui à ce jour ne veut strictement rien dire. Je vous avais déjà expliqué que si l’on veut sécuriser un accès Internet, il existe bien un moyen, mais qui a un léger inconvénient dans le cadre implicite fixé par HADOPI. Ce cadre implicite, c’est « empêcher l’utilisation, frauduleuse ou non, des connexions Internet à des fins de téléchargement illégal ». On a beau vous raconter n’importe quoi aujourd’hui sur la mission divine de l’HADOPI qui va d’un coup de baguette magique protéger vos accès Internet, jusqu’à preuve du contraire, c’est bien pour faire la chasse au partage qu’elle a été votée. Et qu’on ne vienne pas me tanner avec la pédagogie, on aurait pu en parler si le délit de contrefaçon avait été supprimé dans le cadre d’un téléchargement… mais c’est loin d’être le cas.
Le moyen de sécurisation de l’accès Internet auquel je fais référence n’est en outre qu’une brique pouvant concourir, couplé à de bonnes pratiques, à la sécurité de vos données et de vos échanges sur Internet. Il s’agit d’un VPN, chiffrant de bout en bout vos connexions. Et l’inconvénient est de taille puisque cette solution qui sécurise pour le coup vos communications rend sourds et aveugles nos amis de TMG… et donc l’HADOPI parfaitement inutile.
Les Labs de l’HADOPI se secouent donc les neurones pour innover. Les neurones ont beau être au rendez-vous, si ces dernières s’agitent autour d’une problématique mensongère, vous vous doutez bien qu’au final on obtiendra une belle bouillabaisse, mais certainement pas de quoi « sécuriser un accès Internet ».
Le document, disponible ici, souligne que cette initiative émane des Labs en totale liberté et se veut un préalable à l’adoption de spécifications fonctionnelles de « moyens de sécurisation » (MS) d’accès Internet. C’est clair pour vous ? … Et bien pas pour moi.

☠ Reposons le problème

Alors qu’on ne sait toujours pas où la responsabilité d’un internaute s’arrête dans ce que le texte de loi appelle « sécurisation d’une connexion Internet », l’objectif est ici d’inventer une nouvelle génération de logiciel qui n’est :
  • ni un antivirus,
  • ni un firewall
  • ni un logiciel de contrôle parental
  • ni un IDS (système de détection d’intrusion)…
Christine Albanel l’avait appelé un « contre-logiciel », j’aimais beaucoup ce terme car on ne savait pas trop ce que ce logiciel devait contrer, mais on se doutait bien qu’elle allait nous en sortir une bonne. Au détour d’une question parlementaire, nous apprenions que le « contre-logiciel » de Christine Albanel, c’était OpenOffice, la suite bureautique qu’elle confondait avec un firewall.
Exit donc les antivirus, les firewalls, les solutions de contrôle parental, les IDS et les contre-logiciels, on parle maintenant assez sobrement de « moyen de sécurisation »… mais un moyen de sécurisation qui ne sait pas trop ce qu’il doit sécuriser. Le « moyen de sécurisation » c’est donc un peu de tout ça sans vraiment l’être et surtout, sans objectif clairement définit en matière de résultat attendu. Si vous me suivez jusque là, vous devez sentir vous aussi que dés le début, ça s’engage plutôt mal.

☠ Re-Reformulation de la problématique

Aujourd’hui, soit quand même plus de 3 ans après l’adoption d’HADOPI 2, alors que nous sommes dans une phase répressive assumée, les labs sont investis d’une mission plutôt casse gueule :

« Travailler à l’élaboration d’un bidule qui va permettre de spécifier un machin nouveau qui fait des trucs innovants mais qui restent à définir ». (NDLR : « putain 3 ans! »)

Comme nous sommes assurés qu’il ne peut ici s’agir de spécifier un moyen de sécurisation d’accès Internet qui sécurise la connexion de l’abonné au niveau :
  • de l’accès à son réseau local ;
  • l’accès à son système ;
  • de la protection de son patrimoine informationnel ;
  • de la protection de son identité numérique ;
  • du transport de ses données sur le réseau…
bref de la sécurité quoi… comme ce qu’une connexion sécurisée devrait apporter en terme de garanties pour protéger contexte et contenu des communications (pas de chiffrement surtout dés fois que ça empêcherait TMG de flasher les internautes), on s’oriente vers notre fameux « truc ».

☠ Un appel à expérimenter le truc qui fait des bidules

C’est déjà moins simple non ? Mais tenez vous bien, ce n’est pas terminé.

Le document nous apporte tout de même de bonnes nouvelles. Le truc devra être :

  • Interopérable : les geeks se réjouissent, il vont pouvoir installer le même truc sur le Windows, leur GNU Linux, sur leur BSD, sur leur Mac, et même sur leur Smartphone… je sens que tu exultes toi le geek.
  • Modulaire : à vous les joies de l’écriture de plugins à truc pour faire d’autres machins que les bidules pour lesquels il est prévu initialement… (Régis tu as un bout de pomme de terre sur la joue…).
  • Encore plus modulaire ! Tu ne t’es pas gavé avec l’écriture de tes plugins à truc pour faire d’autres machins ? Que dirais tu de listes et de règles qui interagissent avec la chose ?… les mots commencent à me manquer.
  • Compatible avec des plugins à trucs qui font des bidules, et autorisant des listes et règles qui font des choses différentes des machins du truc… PFIIIIOUUUUU !
Que nous manque t-il ? hummm wait… Une API bien sûr ! Et pas n’importe quelle API, pas une API de gonzesses, une API d’hommes ! Une vraie ! En XML et tout ! Une API transversale et interopérable ! La transversalité et l’interopérabilité d’une API permettant d’écrire des plugins du truc pour faire des bidules, passés au shaker avec les listes et les règles pour faire des choses sur le machin… je pense que nous le tenons notre concept.

☠ Et ça aurait pu être pire !

La bonne nouvelle ? La bonne nouvelle, nous la devons au fait que malgré une problématique mensongère, mal posée de manière délibérée et parfaitement à côté de la plaque de ce qu’elle prétend être, ce soit Jean-Michel Planche qui travaille sur ce dossier, entouré de personnes plutôt cortiquées, et qu’il le fait dans un esprit d’ouverture et de transparence appréciable. Nous avons échappé au MPLS et la priorisation de trafic en coeur de réseau, aujourd’hui abandonné pour un « truc » côté utilisateur.
Le document s’oriente donc vers un MMF : un Moyen de Maîtrise des Flux réseaux laissant toute latitude à l’utilisateur et qui respectera les RFC relatives aux DNS (… t’enflamme pas Régis, c’est juste afin de mieux les filtrer, c’est pas avec ça que t’auras ton BIND DNSSEC censorship proof à la maison en deux clics).

☠ An interoperable and modular XML bullshit

Vous savez quoi ? Je vous disais déjà en 2009 que ces moyens de sécurisation seraient une arlésienne. Aujourd’hui j’en suis définitvement convaincu. La cause était d’ailleurs entendue quand le rapporteur Muriel Militello avouait que le débat technique ne l’intéressait pas. Nos parlementaires ont voté un texte de merde… ils auront donc du caca, mais interopérable, modulaire et en XML.

Internautes, on vous la mise bien profond avec HADOPI… et c’est pas terminé.

Wikileaks : les Spy Files sont en ligne

Wikileaks, épaulé par OWNI, vient de publier aujourd’hui même les Spy Files, une liste de 1100 documents relatifs aux sociétés qui surveillent Internet. La majorité de ces documents sont des documents parfaitement publics mais ce travail de compilation reste tout à fait exceptionnel car il offre un instantané de l’état de l’art de la surveillance globale des communications sur Internet. On y trouve les principaux intégrateurs, leurs solutions, le superbe contrat d’Amesys à la Libye portant sur un système EAGLE d’interception global et ayant servi à la répression des opposants. Vous apprendrez d’ailleurs très prochainement qu’Amesys était parfaitement au courant de l’utilisation faite de son matériel.</subliminal>

BlueCoat, une autre entreprise que nous suivons de près sur Reflets.info est également à l’honneur dans cette publication et Wikileaks vous invite à découvrir toute sa gamme.

Comme vous vous en doutez, les collègues de la team Reflets et votre serviteur allons revenir très prochainement sur cette publication et vous faire de nouvelles revelations sur les deals d’Amesys dans le « massive interception » et ce, dans des pays où vous n’auriez pas spécialement envie de passer vos vacances.

Je profite également de ce court billet pour vous annoncer que cette publication de Wikileaks donnera lieu à d’autres publication de notre part sur le sujet (c’est une évidence), mais que nous réfléchissons activement aux contre-mesures depuis un petit moment. Pour passer outre cette surveillance globale dont Amesys vendait si bien les mérites en 2008 à Prague, nous allons tout prochainement lancer une offre de VPN un peu particulière (COMSEC). Une offre concernera les entreprises et l’autre les particuliers. Ces deux offres DPI-Proof® bénéficieront du même niveau de sécurité en offrant un chiffrement de vos communications portant sur les couches 4 à 7 du modèle OSI et viseront explicitement à rendre sourd et aveugles ces systèmes d’interceptions massifs.

 

Un 0day sur GameSpy

Un 0day ciblant  GameSpy, bien connu des joueurs en ligne de FPS (Quake 3, Halflife..)  serait exploité depuis plusieurs semaines. De gros hébergeurs servent donc actuellement un splendide botnet qui DDoS allègrement tout ce qui bouge. Le site l0g.me a publié aujourd’hui ce 0day. Mais la vraie question, c’est quid de la responsabilité des hébergeurs, qui informés de ces attaques, refusent de couper le service exploité… et donc, contribuent passivement à ces attaques.

OVH pour ne citer que lui serait au courant de la situation depuis plusieurs jours mais l’hébergeur se refuse de couper les serveurs de jeux compromis. Quand on connait la force de frappe découlant de ses capacités réseaux, on comprend vite qu’OVH doit relayer pas mal d’attaques bien violentes. Si l’hébergeur n’est pas responsable de la vulnérabilité, n’a t-il pas le devoir, une fois informé, de couper les services faillibles ?

La question de fond c’est surtout … « pourquoi l’éditeur n’a pas encore patché ? »

 

21 points pour améliorer la sécurité d’une infrastructure SCADA

DOELe département de l’énergie américain vient de publier un petit guide comprenant 21 points pour améliorer la sécurité d’une infrastructure SCADA. Ce petit document (télécharger au format PDF – 3 Mo) énonce de grands principes de sécurité applicables pour tout déploiement d’un SCADA. La nature des systèmes SCADA (télémesure et télégestion), fait qu’on les retrouve au coeur de systèmes critiques. Vous comprendrez donc que ces principes sont parfaitement applicables par des entreprises non américaines. A ma connaissance, en dehors de certains travaux d’EADS (télécharger au format PDF – 444 Ko), on ne trouve pas de guides visant à la sécurisation de ces systèmes. Les menaces grandissantes, dont la plus visible, Stuxnet, a agité le monde de la cyber sécurité cette année, justifient que les gouvernement s’intéressent de près à la sécurité de ces systèmes. Comme ils contrôlent des infrastructures physiques, il y a un risque de destruction matérielle, et donc, un risque de pertes en vies humaines.

Ce petit guide est donc à placer entre les mains de nos entreprises. Ce sont certes des conseils de bon sens, mais il y a fort à parier qu’en France, nombre d’infrastructures critiques ne les respectent pas.

Department of Energy : Scada Security

A TOR… ou à raison

Vous avez peut être vu passer le vent de panique qui souffle sur TOR depuis qu’Eric Filiol, directeur du laboratoire de recherche en cryptologie et virologie de l’ESIEA, a annoncé le fruit du travail de son équipe sur le réseau « onion routé », venant ébranler la confiance dans l’anonymisation offerte par TOR. Rappelons que dans certains pays, moins cléments que le notre concernant la liberté d’expression (si ça existe!), l’anonymat est la seule manière d’exprimer des points de vues politiques, culturels, religieux ou artistiques…

Que s’est il donc passé ? L’affaire est très bien expliquée sur le site ITEspresso.

Première surprise, Eric Filiol annonce 181 nodes cachés découverts grâce à un algo maison, cartographiant le réseau TOR sur une Google Map :

« Il existe des noeuds cachés non répertoriés dans le code source. Seule la fondation TOR connaît ces routeurs cachés. On a développé un algorithme compliqué pour les identifier. On en a écrit une librairie (181 TOR bridges découverts à ce jour). C’est une base non publique mais il est illusoire de penser que ce niveau de sécurité n’est pas accessible (…) Le code source sera mis à disposition mi-novembre. »

On apprend également que sur les plus de 9000 nodes, environ 1500, seraient vulnérables à des escalations de privilèges.

Le routage complexe de TOR a lui été semble t-il mis en défaut par les chercheurs, ce par le biais d’un virus agissant sur la mémoire et provocant des embouteillages sur certains noeuds. Ainsi il devient possible selon le chercheur d’orienter les flux sur des nodes… en somme, de la prédiction de routage…on sent bien ce qui va venir juste après.

« J’infecte une partie du réseau TOR, je peux contrôler les flux qui passent. »

Il devient par ce biais, sans avoir besoin de saturer le réseau, de créer des micro-congestions afin de faciliter le packet sniffing.

Mais il y a plus fâcheux : la couche de chiffrement, assurant la secret dans le transport des données, toujours selon Eric Filiol, ne serait pas au top :

« La cryptographie implantée dans TOR est mauvaise…On a réduit considérablement le degré de deux des trois couches de chiffrement. »

Le directeur de recherche du laboratoire indique également que la fondation n’a pas très bien réagi à l’annonce de ces travaux :

« La fondation a fait une demande de manière agressive pour me faire comprendre en évoquant la dimension de ‘responsible disclosure’. Mais tout ce qui m’importe, c’est de savoir si c’est légal ou pas » 

Et enfonce le clou :

« On ne peut pas imaginer que la fondation derrière TOR ne soit pas consciente de ses failles » 

Cette dernière accusation semble elle, plus grave et surtout moins objective car comme le souligne ITEspresso, elle sous-entend que la finalité du réseau TOR, qui a obtenu le soutien financier du gouvernement américain ne serait pas si limpide que cela. Et ça pour tout vous dire, je peine à y croire. Quoi qu’il en soit, en attendant la conférence qui se tiendra à la fin du mois à Sao Paulo au Brésil où l’équipe de chercheurs devrait dévoiler ses travaux, mon sentiment est que :

1° Eric Filiol n’est pas du genre à bluffer

2° Les vecteurs d’attaques expliqués sont tout à fait crédibles

3° Si la sécurité est une affaire de confiance, alors, le réseau TOR est aujourd’hui ébranlé.

 

 

Le virus informatique Stuxnet aurait affecté le fonctionnement de centrifugeuses nucléaires en Iran

nuke
Stuxnet targets nuke

Je me doutais bien qu’on avait pas finit d’entendre parler de Stuxnet, ce vers informatique que les experts soupçonnaient depuis le début de viser la centrale nucléaire de Natanz en Iran (et peut-être également celle de Qom dont la confirmation de l’existence nous a été hier révélée par le Cablegate de Wikileaks). La sophistication de ce code, couplée au type d’équipements qu’il attaquait laissait peu de doute sur le fait qu’il ne s’agissait pas d’un petit bidouillage « pour la gloire ».

On apprend aujourd’hui par le quotidien « Le Monde » que Stuxnet pourrait avoir remplis ses objectifs. Une analyse du code poussée avait révélé que Stuxnet était destiné à affecter la vitesse des centrifugeuses en ciblant les convertisseurs de fréquences qui alimentent les moteurs des centrifugeuses, comme l’explique Symantec dans son analyse.
Le président iranien M. Ahmadinejad confirme donc aujourd’hui que le worm a atteint au moins un de ses objectifs :  « Ils ont pu, de manière limitée, mettre hors service plusieurs de nos centrifugeuses avec les logiciels installés sur les pièces électroniques. Mais nos experts ont pu intervenir et ils ne sont plus capables de le faire aujourd’hui ».
Toutefois, Stuxnet ne semble pas encore avoir livré tous ses secrets, son origine toujours mystérieuse et sa singularité technique ont de quoi effrayer autant que fasciner. Enfin, Téhéran a soufflé le chaud et le froid sur l’infection de ses équipements, il reste compliqué de se faire une opinion sur l’impact réel de Stuxnet sur les infrastructures nucléaires iraniennes.

Je vous présente le blog d’un nouveau copain

sécuritéCher Gnuzer,
Tu as pris le temps de répondre, de manière argumentée, à certaines de mes positions. Je trouve ta démarche honorable, du coup, je vais te donner un petit coup de pouce en te répondant publiquement et surtout en te donnant la visibilité que mérite ta réponse. Je suis assez embêté de ne pouvoir linker l’article lui même mais ceci est du à la redirection de ton nom de domaine, un AName aurait été préférable. Là le pointage de ton nom de domaine n’observe pas la première des bonnes pratiques du web, à savoir une URL par contenu.
Je passe sur tes attaques personnelles, je ne m’abaisserai même pas à y répondre. Je vais me concentrer sur ton contre-argumentaire…

1° « Thèse : Le VPN, Çaylemal. »
Là tu as soit un problème de lecture, soit tu tombe dans le travers que tu me reproche dans le premier couplet de ta chanson.

2° « Ça, c’est le bruit de la claque que prend dans la tronche un cyberrésistant récemment converti au crypto-anarchisme comme moi »
Si tu as besoin de mettre en avant tes talents de crypto anarcho pour contourner HADOPI c’est que tu n’as pas compris grand chose :

  • ni à la loi HADOPI
  • ni à Internet

Tu te qualifies de cyber résistant ? En te cachant pour downloader un MP3 ? C’est où que tu résistes dans l’histoire là ?
Tu fais la bêtise de confondre clicodrome VPN et cryptoanarchisme, là on est carrément dans l’amalgame de noobs qui va pas tarder à nous dire qu’il est rentré dans la matrice pour échapper à HADOPI.

3° « le lectorat de Bluetouff’s blog n’est finalement pas aussi élitiste que peuvent le faire croire ses articles très pointus sur la sécurité informatique. »
Je n’ai pas la prétention de m’adresser  aux l33tz, d’ailleurs je doute qu’ils trouvent des choses intéressantes dans mon blog, mon action se situe plutôt au niveau de la sensibilisation, et à te lire, je vois que j’ai encore du travail.

4° « N’oublions pas qu’avec HADOPI et LOPPSI nous sommes tous des criminels… »
Tu te présente aux élections présidentielles ? Tu es déjà en campagne là ?

5° « Remarque : Bluetouff clarifie sa pensée dans sa réponse à Korben : selon Bluetouff, il ne faudrait pas se cacher pour exercer notre activité illégale »
Ok c’est donc que tu as bien tout compris de travers, selon moi cette activité ne devrait pas être illégale, et te cacher c’est comme bloquer un site web, ça s’appelle fermer les yeux, c’est une attitude de couille molle.

6° « Tout délinquant essaye d’échapper à la répression. Si désormais nous sommes tous des délinquants, il est naturel que nous essayions tous d’échapper à la répression. »
Tu te considère comme un délinquant ? Bravo, moi pas et j’essayais de me battre pour expliquer que tu n’en étais pas un… ton billet me refroidit pas mal…

7° « je donne d’avantage de chances de survie aux “planqués” qu’aux héros contestataires. »
A chacun son truc mais en dehors du fait qu’on a pas besoin d’être un héro pour dire qu’on est pas d’accord avec une loi débile, il va falloir que tu m’explique comment un planqué peut faire changer une loi injuste. Ce qui me fait dire que tu n’es pas du tout un cyber résistant, tu es juste une personne qui ne pense qu’à sa tronche et à pouvoir télécharger tranquilement… planquée. Ce qui compte ici c’est ta survie à toi, surement pas le respect des libertés d’autrui.

8° Je ne reviendrai pas une fois de plus sur les usages du VPN, mais la « panacée » c’est :

  • un darknet privatif où on accorde confiance à chaque node
  • l’utilisation de protocoles non standards multiplexés, bien évidemment chiffrés, end to end (on est loin du VPN à papa là)
  • une connaissance juridique sur les points d’entrées et de sorties
  • Le tout dans une VM avec un OS fait pour (au pif OpenBSD)
  • Un serveur X over SSH
  • Pas de plugin à la con dans le navigateur
  • … et accessoirement allumer son cerveau pendant qu’on surf.

9° Sur la suite c’est amusant car tu as une bonne compréhension technique de la problématique, c’est donc bien sur la philosophie que nos avis divergent. Le hic c’est que j’ai du mal à percevoir ton contre argumentaire philosophique dans tout ça. Enfin il y a quand même une erreur technique « Ceux-ci sont renvoyés par le VPN et atteignent leur destination finale par le chemin le plus court. » Quand tu visite le site de la HADOPI derrière un VPN dont le noeud de sortie est à HongKong, j’ai le sentiment que tu dis une bêtise… je sais pas pourquoi…

10° « c’est en revanche parfaitement raisonnable dans un pays où le gouvernement a des tendances orwelliennes. »
Tu prêtes des facultés au gouvernement qu’il n’a pas, ce qu’il a mis en place jusque là atteste plus de son e-gnorance que de quelques volontés orweliennes. Le blocage des sites sur LOPPSI, c’est pas orwerlien, c’est de la lâcheté qui vise à dire « la pédopornographie n’existe pas ».

11° « Je vois ces sûrcoûts engendrés plus comme un effet collatéral du système répression + résistance. »
Encore une fois, tu ne résistes pas, tu te planques.

Hackito Ergo Sum 2011

Hackito Ergo Sum 2011

Hackito Ergo Sum est le rendez-vous international que vous fixe le hackerspace /tmp/lab. L’édition 2011 se tiendra du 7 au 9 avril et reunira, on peut leur faire confiance, de nombreux talents pour offrir des interactions de haut niveau. L’appel à participation vient tout juste d’être lancé. Si vous avez des choses à partager, qu’il s’agisse de code ou de bidouille matérielle, cet événement est un incontournable : conférences de haut niveau, capture the flag, des rencontres qui s’adressent aussi bien aux bidouilleurs qu’aux institutionnels ou représentant d’organisation gouvernementale.

La HADOPI ne sera surement pas oubliée, quelque part entre le hacking d’Echelon et de SCADA, un set « Governmental firewall and their limits (Australia, French’s HADOPI, China, Iran, Denmark, Germany, …) » est prévu et je ne saurai trop recommander aux représentants de la HADOPI d’y participer pour comprendre que les limites ne sont pas que philosophiques et que les dangers sont bien réels.

HES 2011 c’est aussi et surtout l’espoir de voir un jour la France rattraper son retard historique sur les autres pays européens en matière de hacking. Faut il encore préciser que le hacking est une discipline noble, utile, favorisant l’innovation et la créativité, indiscociable de la recherche informatique ou de la recherche en général, et qui ‘na rien à voir avec le « piratage ».

A noter que HES2011 se cherche encore des sponsors, n’hésitez pas à les contacter si vous pensez que l’image de votre institution ou de votre entreprise peut trouver une cohérence à s’associer avec un évènement de ce type dont on sait par avance qu’il ne peut être qu’une réussite vu le sérieux reconnu du /tmp/lab pour l’organisation d’évènements (comme le Hacker Space Festival) et sa faculté à regrouper aisément des spécialistes très reconnus dans leur discipline.

HES 2011 : le call for paper

–[ Synopsis:
Hackito Ergo Sum conference will be held from April 7th to the 9th of 2011 in Paris, France.
Following last edition’s success, HES2011 will be a bigger event with even more talks, focusing on hardcore computer & network security, insecurity, vulnerability analysis, reverse engineering, research and hacking, and will try to keep the high quality content. Our dear Program Committee is there to ensure this.
HES will this year be a fully international-oriented conference, 100% in English, aiming to gather the best security researchers, experts and decision makers in one room.
–[ Introduction:
The goal of this conference is to promote security research, broaden public awareness and create an open forum so that communication between the researchers, the security industry, the experts and the public can happen.
Last year, we pioneered a domain with the first Capture The Flag (CTF) contest on FPGA, with excellent result that exceeded by far our expectations. This year, new contests will run with hopefully even more diverse and new approaches to security. Of course, network-based CTF and lockpicking contest will still happen.
We will have a specific session for new works, including slots for new presenters -i.e. typically people whose personal research are extremely interesting but who do not usually present at conferences- because security innovations occur at the fringe of the security industry, very often by passionate people, and that’s what we are and love. Submissions from students, academics or otherwise passionate people from anywhere on the internet are therefore most welcome.
We will also have an anonymous side track so that people who wish to present sensitive subjects can do so in total freedom. As we believe the academic system as setup a good precedent with anonymous submissions, review and voting, we wish to pursue this direction by providing researcher a way to share important contribution without being concerned with politics and other non-research influences.
This conference will try to take into account all voices in order to reach a balanced position regarding research and security, inviting businesses, governmental actors, researchers, professionals and the general public to share concerns, approaches and interests for this topic.
During three days research conferences, solutions presentations, panels and debates will aim to view and determine the future of IT security.
–[ Content of the Research Track:
We are expecting submissions in English only. The format will be 45 mins presentation + 10 mins Q&A.
Please note that talks whose content will be judged too commercial or biased toward a given vendor will be rejected.
For the research track, preference will be given to offensive, innovative and highly technical proposals covering (but not restricted to) the topics below:
[*] Attacking Software
* Automating vulnerability discovery
* The business of the 0-day market
* Non-x86 exploitation
* New classes of software vulnerabilities and new methods to detect
software bugs (source or binary based)
* Static and Dynamic binary or source-based analysis
* Current exploitation on Gnu/Linux WITH GRsecurity/SElinux/OpenWall/SSP
and other current protection methods
* Kernel land exploits (new architectures or remote only)
* New advances in Attack frameworks and automation
* Secure Development Life Cycle and real-life development experiences
[*] Attacking Infrastructures
* Botnets and C&C abuses
* Exotic Network Attacks
* Telecom (from VoIP to SS7 to GSM & 3G/4G RF hacks)
* Financial and Banking institutions
* SCADA and the industrial world, applied.
* Governmental firewall and their limits (Australia, French’s HADOPI,
China, Iran, Denmark, Germany, …)
* Law enforcement : how to / how to deceive / how to abuse.
* Satellites, Military, Intelligence data collection backbones
(« I hacked Echelon and I would like to share »)
* Non-IP (SNA, ISO, make us dream…)
* M2M
* Wormable vulnerabilities against protocols & infrastructures
[*] Attacking Hardware
* Hardware reverse engineering (and exploitation + backdooring)
* Femto-cell hacking (3G, LTE, …)
* BIOS and otherwise low-level exploitation vectors
* Real-world SMM usage! We know it’s vulnerable, now let’s do something
* WiFi drivers and System on Chip (SoC) overflow, exploitation and backdooring.
* Gnu Radio hacking applied to new domains
[*] Attacking Crypto
* Practical crypto attacks from the hacker’s perspective
(RCE, algo modeling, bruteforce, FPGA …)
* Algorithm strength modeling and evaluation metrics
* Hashing functions pre-image attacks
* Crypto where you wouldn’t think there is
We highly encourage any other presentation topic that we may not even imagine.
–[ Submissions:
[*] Required information:
Submitions must (see RFC 2119 for the meaning of this word) contain the following information:
* Speaker’s name or alias
* Biography
* Presentation Title
* Description
* Needs: Internet? Others?
* Company (name) or Independent?
* Address
* Phone
* Email
* Demo (Y/N)
We highly encourage and will favor presentations with a demo.
Submissions may contain the following information:
* Tool
* Slides
* Whitepaper
[*] How to submit:
Submit your presentation and materials at:
http://hackitoergosum.org/apply/
–[ Workshops:
If you want to organize a workshop or any other activity during the conference, you are most welcome. Please contact us at: [email protected]
–[ Dates:
2010-11-15    Call for Paper
2011-02-20    Submission Deadline
2011-02-21    Acceptance notification
2011-03-01    Program announcement
2011-04-07    Start of conference
2011-04-09    End of conference
–[  Program Committe:
The submissions will be reviewed by the following program committee:
* Tavis Ormandy (Google) @taviso
* Matthew Conover (Symantec) @symcmatt
* Jason Martin (SDNA Consulting, Shakacon)
* Stephen Ridley @s7ephen
* Mark Dowd (AzimuthSecurity) @mdowd
* Tiago Assumpcao
* Alex Rice (Facebook) facebook.com/rice
* Pedram Amini (ZDI) @pedramamini
* Erik Cabetas
* Dino A. Dai Zovi (Trail Of Bits) @dinodaizovi
* Alexander Sotirov @alexsotirov
* Barnaby Jack (IOActive) @barnaby_jack
* Charlie Miller (SecurityEvaluators) @0xcharlie
* David Litchfield (V3rity Software) @dlitchfield
* Lurene Grenier (Harris) @pusscat
* Alex Ionescu @aionescu
* Nico Waisman (Immunity)  @nicowaisman
* Philippe Langlois (P1 Security, TSTF, /tmp/lab) @philpraxis
* Jonathan Brossard (Toucan System, P1 Code Security, /tmp/lab) @endrazine
* Matthieu Suiche (MoonSols) @msuiche
* Piotr Bania @piotrbania
* Laurent Gaffié (Stratsec) @laurentgaffie
* Julien Tinnes (Google)
* Brad Spengler (aka spender) (Grsecurity)
* Silvio Cesare (Deakin University) @silviocesare
* Carlos Sarraute (Core security)
* Cesar Cerrudo (Argeniss) @cesarcer
* Daniel Hodson (aka mercy) (Ruxcon)
* Nicolas Ruff (E.A.D.S) @newsoft
* Julien Vanegue (Microsoft US) @jvanegue
* Itzik Kotler (aka izik) (Security Art) @itzikkotler
* Rodrigo Branco (aka BSDeamon) (Checkpoint) @bsdaemon
* Tim Shelton (aka Redsand) (HAWK Network Defense) @redsandbl4ck
* Ilja Van Sprundel (IOActive)
* Raoul Chiesa (TSTF)
* Dhillon Andrew Kannabhiran (HITB) @hackinthebox
* Philip Petterson (aka Rebel)
* The Grugq (COSEINC) @thegrugq
* Emmanuel Gadaix (TSTF) @gadaix
* Kugg (/tmp/lab)
* Harald  Welte (gnumonks.org) @LaF0rge
* Van Hauser (THC)
* Fyodor Yarochkin (Armorize) @fygrave
* Gamma (THC, Teso)
* Pipacs (Linux Kernel Page Exec Protection)
* Shyama Rose @shazzzam
–[ Fees:
Business-ticket (3 days)                                         120 EUR
Public entrance (3 days)                                         80 EUR
Discount for Students below 26  (3 days)                         40 EUR
Discount for CVE publisher or exploit publisher in 2010-2011(3d) 40 EUR
One-day pass                                                     40 EUR
Volunteers (Must register, see below)  (3 days)                   0 EUR
–[ Trainings
The list of trainings for HES2011 will be announced shortly after CFP publishing. You can still send us training description to hes2011-orga AT_lists.hackitoergosum.org if you want to offer some training. Trainings will happen from Monday 4th of April until Wednesday 6th of April, just before the conference.
–[ Sponsors:
We are looking for sponsors. Entrance fees and sponsors fees are used to fund international speakers travel costs and hosting facility. Please ask for the HES2011 Sponsor Kit at hes2011-orga __AT__ lists.hackitoergosum.org.
–[ Volunteers:
Volunteers who sign up before 2011-03-01 get free access and will need to be present onsite two days before (2011-04-05) if no further arrangement is made
with the organization.
–[ Journalists:
Journalists are welcome, but are required to comply with simple rules to ensure the mutual respect among adults we aim to bring in hackito. In particular, filming or taking pictures of attendees without their prior agreement is totally prohibited. « We shall respect privacy and people » is the only motto.
–[ Greetz:
We would like to thank the HES2010 Team, its reviewing committee and all the volunteers for their time and dedication in making this event a success. Thumbs up to the /tmp/lab hackerspace for their support and the final HES party which was a tremendous success.
We would also like to greet all the speakers of last year’s edition for the quality of their presentation and the great time we shared in Paris : you are all most welcome back in Paris for the 2011 edition.
Likewise, we’d like to thank last year’s sponsors for their unconditional support. Feel free to support us again for this 2011 edition.
Finally, we would like to thank all the people that participated to last years edition : the conference is the people 🙂 See you all in April !

–[ Synopsis:
Hackito Ergo Sum conference will be held from April 7th to the 9th of 2011 in Paris, France.
Following last edition’s success, HES2011 will be a bigger event with even more talks, focusing on hardcore computer & network security, insecurity, vulnerability analysis, reverse engineering, research and hacking, and will try to keep the high quality content. Our dear Program Committee is there to ensure this.
HES will this year be a fully international-oriented conference, 100% in English, aiming to gather the best security researchers, experts and decision makers in one room.

–[ Introduction:
The goal of this conference is to promote security research, broaden public awareness and create an open forum so that communication between the researchers, the security industry, the experts and the public can happen.
Last year, we pioneered a domain with the first Capture The Flag (CTF) contest on FPGA, with excellent result that exceeded by far our expectations. This year, new contests will run with hopefully even more diverse and new approaches to security. Of course, network-based CTF and lockpicking contest will still happen.
We will have a specific session for new works, including slots for new presenters -i.e. typically people whose personal research are extremely interesting but who do not usually present at conferences- because security innovations occur at the fringe of the security industry, very often by passionate people, and that’s what we are and love. Submissions from students, academics or otherwise passionate people from anywhere on the internet are therefore most welcome.
We will also have an anonymous side track so that people who wish to present sensitive subjects can do so in total freedom. As we believe the academic system as setup a good precedent with anonymous submissions, review and voting, we wish to pursue this direction by providing researcher a way to share important contribution without being concerned with politics and other non-research influences.
This conference will try to take into account all voices in order to reach a balanced position regarding research and security, inviting businesses, governmental actors, researchers, professionals and the general public to share concerns, approaches and interests for this topic.
During three days research conferences, solutions presentations, panels and debates will aim to view and determine the future of IT security.

–[ Content of the Research Track:
We are expecting submissions in English only. The format will be 45 mins presentation + 10 mins Q&A.
Please note that talks whose content will be judged too commercial or biased toward a given vendor will be rejected.
For the research track, preference will be given to offensive, innovative and highly technical proposals covering (but not restricted to) the topics below:
[*] Attacking Software   * Automating vulnerability discovery   * The business of the 0-day market   * Non-x86 exploitation   * New classes of software vulnerabilities and new methods to detect     software bugs (source or binary based)   * Static and Dynamic binary or source-based analysis   * Current exploitation on Gnu/Linux WITH GRsecurity/SElinux/OpenWall/SSP     and other current protection methods   * Kernel land exploits (new architectures or remote only)   * New advances in Attack frameworks and automation   * Secure Development Life Cycle and real-life development experiences
[*] Attacking Infrastructures   * Botnets and C&C abuses   * Exotic Network Attacks   * Telecom (from VoIP to SS7 to GSM & 3G/4G RF hacks)   * Financial and Banking institutions   * SCADA and the industrial world, applied.   * Governmental firewall and their limits (Australia, French’s HADOPI,     China, Iran, Denmark, Germany, …)   * Law enforcement : how to / how to deceive / how to abuse.   * Satellites, Military, Intelligence data collection backbones     (« I hacked Echelon and I would like to share »)   * Non-IP (SNA, ISO, make us dream…)   * M2M   * Wormable vulnerabilities against protocols & infrastructures
[*] Attacking Hardware   * Hardware reverse engineering (and exploitation + backdooring)   * Femto-cell hacking (3G, LTE, …)   * BIOS and otherwise low-level exploitation vectors   * Real-world SMM usage! We know it’s vulnerable, now let’s do something   * WiFi drivers and System on Chip (SoC) overflow, exploitation and backdooring.   * Gnu Radio hacking applied to new domains
[*] Attacking Crypto   * Practical crypto attacks from the hacker’s perspective     (RCE, algo modeling, bruteforce, FPGA …)   * Algorithm strength modeling and evaluation metrics   * Hashing functions pre-image attacks   * Crypto where you wouldn’t think there is
We highly encourage any other presentation topic that we may not even imagine.
–[ Submissions:
[*] Required information:
Submitions must (see RFC 2119 for the meaning of this word) contain the following information:
* Speaker’s name or alias* Biography* Presentation Title* Description* Needs: Internet? Others?* Company (name) or Independent?* Address* Phone* Email* Demo (Y/N)
We highly encourage and will favor presentations with a demo.
Submissions may contain the following information:* Tool* Slides* Whitepaper
[*] How to submit:
Submit your presentation and materials at:http://hackitoergosum.org/apply/

–[ Workshops:
If you want to organize a workshop or any other activity during the conference, you are most welcome. Please contact us at: [email protected]

–[ Dates:
2010-11-15    Call for Paper2011-02-20    Submission Deadline2011-02-21    Acceptance notification2011-03-01    Program announcement2011-04-07    Start of conference2011-04-09    End of conference
–[  Program Committe:
The submissions will be reviewed by the following program committee:* Tavis Ormandy (Google) @taviso* Matthew Conover (Symantec) @symcmatt* Jason Martin (SDNA Consulting, Shakacon)* Stephen Ridley @s7ephen* Mark Dowd (AzimuthSecurity) @mdowd* Tiago Assumpcao* Alex Rice (Facebook) facebook.com/rice* Pedram Amini (ZDI) @pedramamini* Erik Cabetas* Dino A. Dai Zovi (Trail Of Bits) @dinodaizovi* Alexander Sotirov @alexsotirov* Barnaby Jack (IOActive) @barnaby_jack* Charlie Miller (SecurityEvaluators) @0xcharlie* David Litchfield (V3rity Software) @dlitchfield* Lurene Grenier (Harris) @pusscat* Alex Ionescu @aionescu* Nico Waisman (Immunity)  @nicowaisman* Philippe Langlois (P1 Security, TSTF, /tmp/lab) @philpraxis* Jonathan Brossard (Toucan System, P1 Code Security, /tmp/lab) @endrazine* Matthieu Suiche (MoonSols) @msuiche* Piotr Bania @piotrbania* Laurent Gaffié (Stratsec) @laurentgaffie* Julien Tinnes (Google)* Brad Spengler (aka spender) (Grsecurity)* Silvio Cesare (Deakin University) @silviocesare* Carlos Sarraute (Core security)* Cesar Cerrudo (Argeniss) @cesarcer* Daniel Hodson (aka mercy) (Ruxcon)* Nicolas Ruff (E.A.D.S) @newsoft* Julien Vanegue (Microsoft US) @jvanegue* Itzik Kotler (aka izik) (Security Art) @itzikkotler* Rodrigo Branco (aka BSDeamon) (Checkpoint) @bsdaemon* Tim Shelton (aka Redsand) (HAWK Network Defense) @redsandbl4ck* Ilja Van Sprundel (IOActive)* Raoul Chiesa (TSTF)* Dhillon Andrew Kannabhiran (HITB) @hackinthebox* Philip Petterson (aka Rebel)* The Grugq (COSEINC) @thegrugq* Emmanuel Gadaix (TSTF) @gadaix* Kugg (/tmp/lab)* Harald  Welte (gnumonks.org) @LaF0rge* Van Hauser (THC)* Fyodor Yarochkin (Armorize) @fygrave* Gamma (THC, Teso)* Pipacs (Linux Kernel Page Exec Protection)* Shyama Rose @shazzzam
–[ Fees:
Business-ticket (3 days)                                         120 EUR
Public entrance (3 days)                                         80 EURDiscount for Students below 26  (3 days)                         40 EURDiscount for CVE publisher or exploit publisher in 2010-2011(3d) 40 EUROne-day pass                                                     40 EURVolunteers (Must register, see below)  (3 days)                   0 EUR
–[ Trainings
The list of trainings for HES2011 will be announced shortly after CFP publishing. You can still send us training description to hes2011-orga AT_lists.hackitoergosum.org if you want to offer some training. Trainings will happen from Monday 4th of April until Wednesday 6th of April, just before the conference.
–[ Sponsors:
We are looking for sponsors. Entrance fees and sponsors fees are used to fund international speakers travel costs and hosting facility. Please ask for the HES2011 Sponsor Kit at hes2011-orga __AT__ lists.hackitoergosum.org.
–[ Volunteers:
Volunteers who sign up before 2011-03-01 get free access and will need to be present onsite two days before (2011-04-05) if no further arrangement is madewith the organization.
–[ Journalists:
Journalists are welcome, but are required to comply with simple rules to ensure the mutual respect among adults we aim to bring in hackito. In particular, filming or taking pictures of attendees without their prior agreement is totally prohibited. « We shall respect privacy and people » is the only motto.

–[ Greetz:
We would like to thank the HES2010 Team, its reviewing committee and all the volunteers for their time and dedication in making this event a success. Thumbs up to the /tmp/lab hackerspace for their support and the final HES party which was a tremendous success.
We would also like to greet all the speakers of last year’s edition for the quality of their presentation and the great time we shared in Paris : you are all most welcome back in Paris for the 2011 edition.
Likewise, we’d like to thank last year’s sponsors for their unconditional support. Feel free to support us again for this 2011 edition.
Finally, we would like to thank all the people that participated to last years edition : the conference is the people 🙂 See you all in April !

–[ Contact:

— [ Social Media:

Keep in touch with the HES Organization via Facebook, Twitter and Linkedin !