La 26ème conférence du Chaos Computer Club se tient cette semaine à Berlin, du 27 au 30 décembre 2009. En effet, cette association allemande organise depuis 1984 une conférence annuelle qui réunit plus de 2000 participants. Le caractère assez ouvert de cette événement permet à tout un chacun de voir en direct sur Internet les présentations qui ont lieu dans les différentes salles. Je vous propose un résumé de quelques présentations intéressantes auxquelles j’ai pu assister ainsi grâce à la magie d’Internet.
Le programme est accessible sur le Wiki de la conférence.
27 décembre 2009
- Jérémie Zimmermann (la Quadrature du Net) s’est exprimé sur la neutralité du Net ;
- Philippe Oeschlin (société Objectif Sécurité) a consacré son exposé à des failles de sécurité dans différentes applications commerciales de chiffrement (une clé USB sécurisée et deux logiciels de création de volumes chiffrés). L’intérêt de sa démonstration est qu’il n’est nul besoin de se lancer dans une attaque brute contre des systèmes de chiffrement particulièrement puissants, mais qu’il vaut mieux pour le cryptanalyste s’intéresser aux défauts de l’implémentation. Les défauts remarqués (et parfois corrigés depuis par les fabricants): l’envoi par la clé USB d’informations vers le système sur les mots de passe, un fichier de contrôle un peu fragile accompagnant le conteneur chiffré et un code de contrôle qui révèle beaucoup d’informations sur les mots de passe (permettant de le craquer en 2h30 au lieu de 1.7 année !). Philippe Oeschlin souligne aussi qu’aucun de ces systèmes n’utilise de sel pour initialiser le chiffrement et sont donc sensibles à la mise en place de tables arc-en-ciel (concept que Ph. Oeschlin a inventé).
- La démonstration par Qin Liu d’une expérience d’interception d’informations transmises par un système de cryptographie quantique. Une fois de plus ce n’est pas la cryptographie quantique qui est ici en cause, mais la façon dont elle a été implémentée.
- Chris Paget et Karsten Nohl ont fait une présentation assez intéressante sur les défauts inhérents au chiffrement A5/1 utilisé dans la téléphone GSM et ont cherché à démontrer la faisabilité des interceptions de la voie radio de ces communications (au passage, je tiens à rappeler que la fabrication ou la détention d’un tel dispositif sont illégales, au moins en France, en vertu de l’article 226-3 du code pénal) – à noter le buzz que commence à faire cette histoire (et ici) et le projet avait déjà été évoqué précédemment.
- Fabian Yamaguchi a fait une présentation particulièrement vivante (ma préférée parmi celles que j’ai pu voir au cours de cette première journée) sur des défauts de sécurité dans différents protocoles réseau ou leurs implémentations (attaque de failles dans un client de messagerie instantanée, dans un pilote de périphérique Ethernet, dans Squid – un proxy Web, etc…), qu’il déroule dans un scénario limpide et à la difficulté croissante (accrochez-vous quand même !).
Vous pouvez aussi visualiser les présentations sous forme de fichiers vidéo en téléchargement (lien temporaire pendant la conférence). La suite de mes impressions demain.