Sunday 14 March 2010
Article  Cloud security assessment scheme launched

Sunday 14 March 2010
In Brief  Human element undermines encryption

Thursday 11 March 2010
Article  Digital privacy framework steps closer?

Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Written by Aurélien Cabezon (SecurityVibes)
Published on Sunday 12 August 2007
0 comment(s) | Subnetwork France

Le Caesars Palace accueille cette année encore le rendez-vous incontournable de la scène de la sécurité mondiale : la Black Hat. Un succès confirmé avec une augmentation de la fréquentation de 20% pour cette dernière édition qui regroupe plus de 4000 experts internationaux. Issus de la communauté underground, du gouvernement, des entreprises et des universités ; tous sont réunis au coeur du Nevada, dans l'un des hôtels les plus démesurés de la ville des péchés. Ambiance.

La Black Hat débute avec des sessions de training, mais une majorité des participants se presse à Las Vegas avant les conférences. Deux jours plus tôt la proportion de geeks augmente sensiblement. Ces derniers sont facilement identifiables par leurs éternels T-shirts « rm /bin/ladden » et leur sac à dos-PC. Organisés autours de quelques meneurs les groupes s'installent aux points stratégiques de l'hôtel. Ce sont souvent de vielles connaissances qui fêtent leurs retrouvailles. Experts et passionnés, appliquant à la lettre le code de conduite dicté par The Dissident dans « The Ethic of Hacking », ils sont discrets ne parlent pas que de tech, ils le font sans doute assez toute l'année. C'est aussi l'occasion pour certains de rencontrer physiquement les personnes avec qui ils sont en contact régulier via email, de bénéficier de l'opportunité de nouvelles interactions professionnelles et bien sûr d'être à la pointe des nouvelles tendances.

Les inscriptions ouvrent la veille des conférences, avant de se rendre à l'étage mythique il est indispensable de faire un tour du côté de la piscine. Dans un décor de thermes Gréco-Romain, c'est ici que s'offre aux badauds un spectacle étonnant. La plupart des môles de geeks se retrouvent au bord l'eau, transpirants en jeans et T-shirt noir sous un soleil qui fait monter le thermomètre à 40°C à l'ombre. En effet, la chaleur conjuguée à l'effort nécessaire pour porter les 23 kg d'un sac à dos ou d'une sacoche contenant un système d'information entièrement opérationnel (et absolument indispensable au bord d'une piscine), sont à l'origine de suées remarquables. Les premiers badges rouges font leur apparition au cou des geeks sacrés de l'industrie la plus ahurissante des technologies de l'information.

Il est temps de s'enregistrer. Dirigeons-nous vers la consigne, en empruntant des couloirs remplis d'individus traversant hagards les innombrables salles de machines à sous. On fait quelques rencontres au hasard, ou pas. Quelques conversations s'engagent. On constate que les amoureux éconduits de Joanna Rutkowska sont de plus en plus trash, au point d'en faire une conférence « Don't Tell Joanna, The Virtualized Rootkit Is Dead » de Thomas Ptacek & Nate Lawson a « touchant mais inutile car tout le monde sait qu'elle ne rêve que de HB de la Rstack », nous confie HB en personne. On commente l'absence des grands de la sécurité (FX a no news is good news, Halvar Flake a refoulé à la frontière pour avoir gentiment déclaré venir travailler aux USA, avec son visa touristique en poche, c'est ballot). On se dit aussi qu'il ne faut absolument pas rater la conférence de Joanna, la seule fille geek de l'événement. Quelques personnalités sont très attendues, comme Phil Zimmermann, fondateur de PGP, qui vient présenter un algorithme de sécurité pour la voix sur IP, ou le témoignage de Richard Clarke, ex responsable du cyberterrorisme à la maison blanche (auteur de Breakpoint).

Les soirées de la Black Hat font aussi partie du show. On ne vient pas à Las Vegas pour se reposer ! La première nuit avec les effectifs (presque) au complet (ah, oui, évitez Atlanta et Detroit a surtout Detroit en fait, vols annulés, bagages égarés,... il faut parfois trente heures pour rejoindre Vegas depuis Paris ! ). Dans un bar plein air sur le Strip Blvd, un groupe live donne le ton « Hey Ho, Let's Go ! ». On danse, on boit. Ailleurs, autour des tables de jeux roses du Pussycat Dolls, les plus débauchés apprécient de se faire dépouiller de leurs dollars tout en assistant à un sympathique spectacle de lap-dancing. Certains rentrent sagement se coucher. Plus loin on se bat, on se dispute. Chaleur, alcool, trop plein de liberté. Dérapage, la soirée finit dans le décor. On ramasse les morceaux, demain les conférences commencent.

Le programme des conférences est copieux, au total une quarantaine de vulnérabilités et d'outils de sécurité vont être dévoilés. Les démonstrations portent sur les nouvelles attaques de l'ensemble du réseaux social : fichiers musique et vidéo, VoIP, téléphonie mobile, comptes bancaires en ligne, e-commerce,... et aussi, contrôle d'accès, services financiers, ... étrangement rien sur la biométrie, soulève Mauro Israel, RSSI de Cyber Networks. Les Français sont présents, délégations HSC, DCSSI, experts de Thalès, Radware, France Telecom ... De nouvelles entreprises profitent du rayonnement de la Black Hat pour faire leur lancement : Red Lambda, Soteria, et Vadium. Coté sponsors quelques acteurs dominent, tels Cisco, Google, Radware, Microsoft, ArcSight, IronPort, Websense, ... Le Keynote s'ouvre sur un témoignage de la NSA présentant un programme avancé de la sécurité des systèmes d'information, avec la participation de Tony Sager qui a été l'un des membres de la NSA pendant 29 ans et explique comment la communauté des hackers professionnels peut tirer partie des recherches de intelligentsia. L'ordre du jour de l'édition 2007, compte plus de 90 professionnels respectés, de quoi anticiper les défis du monde de la sécurité de demain. (Programme)

Dans la cohue on se presse pour assister à des présentations originales sur les Forensics de base de données, Z-Phone, RFID et autres chevaux de Troie... L'équipe fondatrice d'Immunity est présente dans les couloirs. Croiser Gadi Evron (Botnet) et ses copains est toujours fort sympathique. Déjà la première journée touche à sa fin et vient l'heure du « before » officiel de la Black Hat, un networking autour de la junk food qui sera suivi de quelques soirées privées organisées par les éditeurs.

Difficile de décrire la Black Hat sans évoquer la DEFCON. Cette dernière également organisée par Jeff Moss, ouvre ses portes à l'issue de la Black Hat, les 3 et 5 août à l'hôtel Riviera, toujours à Las Vegas. La conférence concentre les hackers de l'underground. Les enregistrements à la Defcon sont réglés en cash sans nécessité de décliner une identité. Environ 7000 participants s'y rendent. On peut entre autre chose y acquérir des outils de lockpicking, participer à des concours comme « Spot the Fed », consistant à repérer les agents fédéraux venus éventuellement recruter, sinon repérer les meilleurs talents.

L'été 2007 est chaud, vivement l'année prochaine !

Le site de la Black Hat
http://www.blackhat.com

Retrouvez notre reportage photo de l'événement
http://www.vulnerabilite.com/album-photo-6.html