Retour sur la conférence Hack2g2

Permalink | Publié le 20 mai 2017, dernière modification le 8 avril 2018.

Samedi 20 mai 2017 avait lieu la conférence Hack2g2, organisée par l’association Hitch Hack à l’ENSIBS de Vannes. Je n’avais jamais eu l’occasion d’aller à une conférence avant aujourd’hui et celle-ci n’était pas là loin de Rennes où je fais mes études. Il n’y avait pas besoin non plus de s’y inscrire 8 mois à l’avance contrairement à certaines conférences, donc j’en ai profité et voici mon retour d’expérience. C’était aussi l’occasion de mettre un visage sur certains noms et pseudos que je suis régulièrement sur le web comme Benjamin Bayard ou Aeris par exemple.

Donc pas de grasse matinée samedi matin ! Je suis parti avec un peu de retard, aux alentours de 9h pour 1h30 de trajet environ jusqu’aux locaux de l’ENSIBS, école d’ingénieur à laquelle j’avais d’ailleurs postulé sans succès l’année dernière. J’ai vérifié la veille sur OSM le trajet, « ENSIBS Vannes » retournant un résultat mais je me suis retrouvé avec OSMAnd dans la voiture qui malgré des cartes à jours ne le trouvait pas. J’ai fais au feeling en me disant qu’arrivé à Vannes je trouverais : erreur, il n’y a vraiment aucune indication. Du coup j’ai eu un peu de retard (en plus de celui du départ) et je suis arrivé 10min avant la fin de la première présentation par Vianney Lapôtre à propos des architectures matérielles et de la sécurité.

Vianney Lapôtre / « Les architectures matérielles au cœur de la sécurité »

Juste le temps de découvrir que lui et son équipe de LabSTICC à l’Université Bretagne Sud de Lorient travaillent sur un projet nommé HardBlare, en partenariat avec l’IRISA de Rennes et l’IETR et d’entendre la conclusion pas surprenante que pour avoir une bonne sécurité, il faut faire des compromis. Il y avait 50 à 60 personnes dans la salle en cette fin de première conférence.

L’orga ré-explique ensuite le déroulement de la journée, donne le mot de passe du WiFi mis à disposition pour l’occasion, l’adresse du canal IRC, le serveur FTP et aussi d’une série de challenges de sécu dont le premier à arriver au bout gagnera quelque chose. N’ayant pris que ma tablette pour prendre quelques notes, je n’ai pas eu l’occasion d’y participer.

Aeris / « L’auto-hébergement, ou pourquoi ça n’est pas si bon qu’on ne le pense »

Ce sujet m’intéressait particulièrement. Aeris commence à donner ses définitions de ce qu’est le « vrai » auto-hébergement (chez soi), le « faux » auto-hébergement (dans les data-centers) et ce qui n’est pas de l’auto-hébergement (l’infogérence et le Cloud). Il tape sur la sécurité dans l’IoT, en même temps c’est pas vraiment un domaine qui mérite mieux, mais il en donne une raison intéressante sur le fait que le marketing impose que ce soit « plug & forget » (branche et oublie) et « dumb proof » (résistant aux idiots) et que donc l’idée et de n’avoir rien à configurer pour l’utilisateur final, ces objets ont pour obligation de ne pas être trop restrictifs sur le réseau à cause de toutes les topologies réseaux possibles lors de l’utilisation du produit.

Autre problème à prendre en compte, avant il suffisait de bloquer le trafic extérieur au réseau local, maintenant c’est la porte du frigo qui peut DDoS les autres objets de la maison. Il vient un peu plus précisément sur le sujet de la conférence ensuite et tape sur les solutions clés en main comme YunoHost, Cozy Cloud ou NextCloud qui effectivement ont une sécurité pour l’application elle-même qui est robuste, mais qui ne se préoccupent pas de l’écosystème autour, car l’appli aussi sécurisée soit-elle, si à côté il y a un accès libre à la BDD, ça n’a pas grand intérêt.

Il a cité quelques fois Mastodon, sans forcément l’avoir décrit une première fois, j’étais pas certain que tout le monde dans la salle connaissait, une mini-description aurait été utile pour un service aussi récent et même si le buzz a été conséquent. Ces problèmes de sécurité au niveau de l’écosystème qui entoure ces applications d’auto-hébergement, il précise que c’est quelque chose qui fait que si l’on se projette vers une démocratisation de ces produits, ça causera de gros problèmes.

Aeris nous présente ensuite Shodan, un site qui scanne chaque 24h toutes les adresses IPv4 d’Internet. En cas de faille sur une application, il suffit de rechercher avec Shodan par exemple l’accès à l’administration de YunoHost et on peut accéder à plus d’un millier de machines à compromettre. Pour contourner Shodan, le mieux est d’avoir un vHost par défaut qui n’amène vers rien et d’autres vHost pour les services, car Shodan ne connaît que les IPs, pas les noms de domaines associés.

Il conclu en parlant des bienfaits des CHATONS, le problème étant un manque de temps et de compétences dans l’administration de ces services d’auto-hébergements, les associations du collectif offrent un vrai accompagnement et une formation aux utilisateurs. Sortir des GAFAMs c’est bien, ne pas devenir par l’occasion l' »Internet of Shit » c’est mieux.

Les slides sont disponibles sur le site d’Aeris.

L’instant promotion

À la fin de cette présentation et des questions, on nous fait une petite présentation de P_TE CTF (CTF pour Capture The Flag), un challenge sécurité de type escape room toujours dans les locaux de l’ENSIBS le 7 octobre 2017, avec des sponsors importants comme Orange Cyberdéfense, Sopra Steria, Retis etc.

Pause de midi

Les conférences du matin sont finies, il est temps d’aller manger au food-truck ou plutôt de prendre son mal en patience, quasiment tout le monde ayant fait ce choix. Il y a cependant des stands pour patienter : FAI, hébergeur d’email, radio, hackerspace, le tout associatif bien sûr et aussi nos oignons (Tor), qui n’avait pas oublié d’amener justement pleins de vrais oignons.

Il y avait deux workshop mais je n’ai eu l’occasion d’aller à un seul, celui d’Acceis, présentant un scénario d’intrusion sur un réseau WiFi et d’escalade de privilèges sur une VM Windows, plutôt intéressant même si je n’ai pu en voir que quelques morçeaux entre deux vérifications sur l’avancement de la file d’attente au food-truck. Je n’ai pas noté tout le scénario par contre, mais il s’agissait globalement de l’utilisation d’outils que l’on peut retrouver sur des OS tel que Kali Linux.

Benjamin Bayard / « Privé, Public, Politique. Internet au 21ème siècle »

Ici une conférence différente des deux précédentes puisque ça ne touchait ni au côté technique, ni à la sécurité. C’était plutôt un sujet de réflexion, mais qui restait très intéressant et Benjamin Bayard captait bien son public avec quelques phrases bien sorties et souvent humoristiques. Il a d’abord définit pas mal de choses, jusqu’à parler de psychanalystes ou encore de préhistoire. En parlant de préhistoire (ça c’est de la transition), il a fait un petit sondage sur qui ne connaissait pas Mastodon, et il n’y a pas eu plus d’une dizaine de mains levées sur environ 80 personnes.

Il focalise sa conférence sur la (sa ?) définition d’un espace public. Le fait que l’université n’est pas un espace public car l’on n’y croise pas n’importe qui. Il défini l’audience comme principalement des hommes blancs, 25 ans de moyenne d’âge, éduqués et qui comprennent des notions avancées en informatique. En gros, lorsqu’on se rend dans une université, on sait ce que l’on va y trouver alors que dans le métro par exemple on ne sait pas et c’est un espace public.

Je vais pas tout retranscrire sa conférence, il est possible il me semble de la revisionner, donc pour faire bref ça parle de l’aspect atteinte à la vie privée lorsqu’on ressort un vieux tweet, du traçage volontaire (indiquer dans un tweet où l’on est) et du traçage involontaire, qu’il nomme surveillance privée, comme le fait d’être géolocalisé par son FAI avec son téléphone ou bien par les boutons de partage de Facebook présents sur de nombreux sites web.

Il différencie la surveillance en ligne et hors-ligne, si l’on s’éloigne de chez nous les gens ne nous connaissent plus tandis que sur Internet les gens que nous connaissons nous suivent partout et donc que cela retire la notion de vie privée en ligne. Ça évoque aussi le siècle des lumières, le fait d’aller dans le sens du groupe pour ne pas être considéré comme un « traitre » si on a un avis contraire, ça parle aussi de l’élitisme vis-à-vis de quelqu’un qui n’aurait pas Internet/un PC/une @mail/un téléphone ou bien de l’exclusion par le vocabulaire, qu’il faut suivre la mode pour être en phase avec le groupe etc.

Notre espace privé, c’est celui où l’on a le pouvoir de détruire nos données, comme l’est l’auto-hébergement, et ne l’est pas les GAFAMs, où vos données sont conservées infiniment. Pas mal de questions viendront compléter cette présentation.

Conclusion

J’avais de la route à faire donc je ne suis pas resté jusqu’au bout malgré une conférence sur Tor qui m’aurait sans doute plu et un autre Workshop. Ça reste cependant une expérience intéressante, des sujets variés, une bonne organisation de l’événement et des conférenciers agréables à écouter. J’espère ne pas avoir trop fait de raccourcis dans mes explications. En tout cas, le burger était bon 😉

Commentaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *