En coulisse
David contre Goliath: les petits smartphones n’ont pas leur mot à dire
par Dominik Bärlocher
Entre hackers : dans les coulisses de l'Area41 Security Conference
18/6/2018
Traduction: traduction automatique
Vidéo: Stephanie Tresch
Le X-Tra de Zurich n'est pas seulement une destination de fête, c'est aussi l'endroit où les hackers se rencontrent. Plusieurs centaines de hackers se sont réunis à l'occasion de l'Area41 Security Conference, ont échangé des connaissances et bu du Club Mate. Un reportage sur un milieu généralement peu enclin à la médiatisation.
"Nous ne sommes pas très doués pour la technologie", déclare Candid Wüest, chercheur en sécurité et coorganisateur, au début de la conférence suisse des hackers Area41 au X-Tra de Zurich. Les quelque 500 hackers du monde entier présents dans le public rient. C'est le coup d'envoi de la plus grande convention suisse sur la sécurité de l'information. Pendant deux jours, à la Area41, des hackers du monde entier parlent d'exploits, se racontent des histoires et participent à des ateliers. Parmi eux : Stephanie Tresch, productrice de vidéos, et moi-même. Nous sommes les seuls journalistes à assister à la destruction de tout le stock de Club Mate entre Winterthur et Berne en deux jours. Nous sommes là en tant que bénévoles et en tant que journalistes, nous couvrons en exclusivité un événement qui ne cherche pas vraiment les médias. Et d'une culture qui, en général, fuit les médias.
En amont, nous avons reçu des règles :
- Ne filmez pas les visages qui ne sont pas sur scène
- Ne vous connectez pas à des réseaux sans fil
- Portez votre badge
"Traitez le wifi à la convention comme un réseau hostile", dit Candid. Car même le réseau fourni par la convention peut présenter des dangers. Un rire discret et sournois traverse l'assistance. Qu'est-ce qui pourrait éventuellement mal tourner ?
Un aperçu de la culture des hackers
Le travail sur la convention montre comment les hackers pensent en Suisse. Ils forment un groupe familier, plus des amis que des alliés ou même des concurrents. Les conversations ne portent pas seulement sur des projets - toujours sans nom d'entreprise, mais avec des descripteurs abstraits comme "une institution financière de taille moyenne" - mais aussi sur la curiosité et les familles.
La scène des hackers en Suisse arrive à maturité. Le samedi, un CEO d'une entreprise amène ses deux enfants, son membre du personnel enfile un porte-bébé après son talk et promène fièrement son fils. Face à ces vieux briscards, il y a une jeune génération de hackers. Ils sortent tout juste de l'université, se reconvertissent et sont rarement des femmes. On compte une dizaine de femmes à la convention. Plus que lors des deux dernières conventions qui ont volé sous la bannière Area41.
Les talks sont considérés comme la partie principale de la conférence. Un talk est une sorte de conférence sur un thème de la sécurité informatique. Qu'il s'agisse d'une faille dans une solution logicielle actuellement très répandue ou de la culture du milieu.
Dans le premier talk, la keynote de l'événement, Costin Raiu évoque le problème de l'attribution. Mordu-es depuis un talk improvisé il y a quelques années, il se penche sur la question : "Qui est derrière quel hack et comment tous ces hacks sont-ils liés ?" Dans le talk, il joue avec l'idée d'une base de données qui recouperait des bouts de code issus de hacks et déterminerait quel logiciel malveillant est basé où et qui est derrière. Le problème est que "faire travailler 10 000 machines en parallèle coûte très cher".
Costin ne donne pas de réponse sur la manière de résoudre le problème des nombreuses machines. C'est sans doute conscient qu'il n'existe pas encore de solution intelligente pour faire fonctionner 10 000 machines en parallèle de manière économique et efficace. Mais le public applaudit. En effet, l'échange d'idées est presque plus important que le fait de se peindre le ventre et de se vanter. Peut-être l'un des auditeurs sera-t-il inspiré et s'attaquera-t-il au problème. Peut-être parviendra-t-il à trouver une solution qui ne nécessitera pas le calcul de 10 000 ordinateurs en parallèle, mais seulement de 5 000 ou même de 1 000. Même si ce n'est pas encore vraiment pratique, c'est plus pratique que la solution actuelle proposée par Costin.
Cette idée est présente dans tous les talks. Les idées fusent, souvent des blagues, rarement des solutions et un peu de frime.
Ateliers
Si vous n'avez pas envie d'assister à une conférence ou si les deux thèmes des deux talks en parallèle ne vous intéressent pas, des ateliers sont proposés dans les salles annexes et au-dessus de la scène sur le balcon. Lors de cet Area41, deux ateliers en particulier font parler d'eux : L'atelier de lockpicking des ouvreurs de serrure suisses Spass et l'atelier de hacking de la société zurichoise de sécurité informatique Scip.
Scip s'adresse dans son atelier aux nouveaux venus. Les anciens, autour du chercheur Stefan Friedli et de Michael Schneider, montrent aux curieux et aux inexpérimentés comment prendre le contrôle d'un domaine. Les participants apportent leur propre ordinateur portable et le piratent pendant que les experts regardent par-dessus l'épaule de Scips. Ces experts ne sont pas seulement des vétérans de la scène, âgés de 30 à 35 ans. En effet, Andrea Hauser est assise en face d'un homme qui réfléchit dur. Après un apprentissage dans une banque, elle a étudié l'informatique avec une spécialisation en sécurité et s'est révélée être un talent. Aujourd'hui, elle termine ses études cet été, tout en travaillant chez Scip. La jeune femme montre aux hackers ce qui fonctionne et comment, démonte avec eux Alexa d'Amazon et passe en revue avec eux les configurations et les outils.
Stefan et Michael donnent ensuite une conférence dans laquelle ils transmettent aux nouveaux venus la sagesse d'une décennie de tests d'intrusion professionnels.
"Lors d'un essai d'intrusion, le plus important n'est pas de savoir si une entreprise va être piratée, mais quand elle va l'être", explique Stefan.
Il déclare ensuite que le test d'intrusion traditionnel est mort. Il prône une approche spécialisée : Faites-vous passer pour un membre du personnel qui veut faire du mal à votre entreprise. Les scans automatiques peuvent être exécutés par n'importe qui, mais le "Rogue Employee" et d'autres attaques qui combinent l'ingénierie sociale et les attaques technologiques.
"La raison pour laquelle nous testons des organisations entières, et pas seulement des objets individuels dans une organisation, est que nous recherchons l'espace négatif", dit-il. "Les essais isolés n'apportent pas grand-chose. La vraie saleté se trouve là où tous les objets se rencontrent."
Son collègue Michael Schneider parle ensuite de la pratique : comment il a caché des appareils d'écoute dans une salle de réunion, comment il a parlé et écouté pendant des mois lors de pauses café dans n'importe quelle salle de repos.
Comment vous êtes surveillé au quotidien et comment l'Area41 en joue
Au début de cet article, il y a trois règles. La première vise à protéger la vie privée des personnes présentes. Les deux autres semblent un peu étranges pour les personnes extérieures. Pourquoi ne pas se connecter à un réseau Wi-Fi ouvert, gratuit et rapide ? C'est tout à fait acceptable, non ?
Le badge de l'Area41 intègre des composants qui permettent au pendentif, inspiré d'un Cylon de Battlestar Galactica, de se connecter à un réseau Wi-Fi. Cela signifie en contrepartie que le badge s'identifie auprès du réseau. Cela signifie que la position d'un badge peut être déterminée à quelques centimètres près. Plus précisément encore qu'avec le GPS.
Cela fonctionne d'ailleurs même sans être connecté à un réseau WLAN, c'est-à-dire sans échange de données. En effet, le ping Wi-Fi fonctionne aussi longtemps que vous avez activé l'antenne Wi-Fi sur votre appareil.
- Le routeur demande : Y a-t-il des appareils?
- Votre appareil répond : Oui, je suis un appareil mobile avec cet identifiant!
- Le routeur demande : Veux-tu te connecter?
- Votre appareil répond : Non, pas vraiment.
Mais l'identifiant de votre appareil, l'adresse MAC, est transmis et peut être enregistré en conséquence, avec tout un tas de métadonnées en plus. Un cas survenu dans la ville de Zurich prouve que ce n'est pas complètement irréaliste : l'exploitant de kiosques et de cafés Valora a espionné des clients à la gare centrale de Zurich avec ce même système . Pour ce faire, ils ont utilisé du matériel et des logiciels du fabricantMinodes.
A l'Area41, on s'amuse et la surveillance est assurée par la société de sécurité informatique Fortinet. Ils enregistrent uniquement l'ID du badge et la position. Aucun nom ni aucune autre donnée n'est associé aux badges. Mais dans la vie réelle, à l'extérieur du X-Tra, c'est du sérieux. Pour que les systèmes de Minodes et autres ne puissent pas simplement récupérer vos données sans vous le demander à des fins publicitaires et de maximisation des profits, le hacker Antoine Neuenschwander a inventé le Valora WiFi Tracker Confuser.
Source : Defcon4131
Valora et Minodes sont-ils les seuls à utiliser de telles méthodes ? Probablement pas. Car il est sans doute trop tentant pour les entreprises et les publicitaires de se servir des informations de personnes crédules, imprudentes et en soi tout à fait sympathiques, afin de maximiser leurs profits. Mais la législation suisse ne prévoit pas encore que les exploitants de ce type d'infrastructure doivent l'indiquer explicitement.
"Au fait, je m'appelle Miklagard"
Pendant que Stefan, Michael, Antoine et d'autres tiennent leurs talks, Stéphanie et moi sommes assis à l'entrée. Notre travail consiste à contrôler les badges et à en donner lorsqu'un nouvel arrivant se présente.
"Bonjour Dominik", me salue un jeune homme.
Il me connaît ? C'est possible. J'apparais de temps en temps dans des vidéos et j'évolue depuis un certain temps dans le milieu de la sécurité informatique. Je lui donne son badge, je lui explique où se trouvent les ateliers au deuxième étage, les discussions au rez-de-chaussée et au premier étage, les boissons gratuites, le Club Mate à volonté, et je ne pense à rien d'autre.
"Je serai d'ailleurs Miklagard", dit-il.
Nous engageons la conversation, nous rions et parlons métier, nous réfléchissons à voix haute et rejetons les idées aussi vite qu'elles viennent. Nous ne nous connaissons que par écrans interposés, lui me connaissant par des articles, moi le connaissant par des commentaires sur le thème des petits smartphones. Nous parlons comme de vieux amis, nous rions et nous bavardons. C'est un effet que l'équipe de Candid Wüest encourage de manière ciblée.
"C'est ainsi que naissent les meilleures idées. Et surtout, nous prenons du plaisir à le faire."
Dans les coulisses
Derrière les talks, les ateliers et les boissons, il n'y a pas que Candid Wüest, mais tout le comité de l'association suisse de hackers Defcon4131, qui fait partie du réseau mondial Defcon. Adrian Wiesmann a programmé et flashé les badges. Le vendredi, il vit de trois heures de sommeil, d'une sieste dans l'après-midi et de caféine. Désirée Sacher coordonne les talks et les runners, elle fait donc tout ce qu'il y a à faire avec une équipe d'assistants.
Au cours de ces deux jours, Stéphanie et moi nous occupons du contrôle des entrées, de la vente de t-shirts et répondons à toutes sortes de questions. Parfois, nous avons même les réponses, remarque Stéphanie à un moment donné.
Nous aidons Fortinet à installer les routeurs de localisation, nous transportons des échelles.
Les années précédentes, c'était un peu chaotique, mais cette année, Candid nous a affectés à un seul bloc. Nous avons devant nous une radio à l'entrée. Alors que les années précédentes, il s'agissait plus ou moins d'un babillage permanent du genre "Nous avons besoin de $ding à $l'endroit et maintenant", suivi d'un assistant qui laissait tout tomber et se précipitait en cas d'urgence, cette année, c'est généralement calme. L'Area41 a grandi. En tant que bénévole qui participe pour la troisième fois à la troisième édition d'Area41, je m'en réjouis. Car si quelques hackers peuvent passer un bon week-end, je suis heureux d'être présent dans les coulisses. Je serai certainement de retour la prochaine fois, en 2020.
Area41 out.
Journaliste. Auteur. Hackers. Je suis un conteur d'histoires à la recherche de limites, de secrets et de tabous. Je documente le monde noir sur blanc. Non pas parce que je peux, mais parce que je ne peux pas m'en empêcher.
Informatique
Suivez les thèmes et restez informé dans les domaines qui vous intéressent.
10 commentaires
later