Black Hat 2013 : à quoi s’attendre ? Jerome Saiz le 31 juillet 2013 à 14h44, dans la rubrique Menaces Commentaires fermés sur Black Hat 2013 : à quoi s’attendre ? black hatmobilescadasmartphone La conférence Black Hat s’ouvre aujourd’hui à Las Vegas. Véritable institution du petit monde de la sécurité, elle réserve chaque année son lot d’annonces fracassantes et de vulnérabilités toutes fraîches. Qu’en sera-t-il de cette édition ? Le cru 2013 semble avant tout refléter son époque : en transition. Une transition technologiques, d’abord : des anciens centres d’intérêt de la communauté des hackers aux nouveaux. Du côté des « anciens », l’on parlera toujours bien entendu de vulnérabilités (applicatives, web…), de failles Windows (une présentation…), de déni de service (quatre présentations y sont consacrées), de shellcode et de kits d’exploitation. Il y aura même une présentation consacrée aux mainframes ! Et bien entendu Black Hat ne serait pas Blackhat sans la révélation de failles dans le matériel lui-même, et cette année ne fait pas exception à la règle, avec semble-t-il un intérêt particulier pour l’étude des applications embarquées. Mais à côté de ces tracks historiques l’on trouve désormais aussi de nouvelles tendances : – La mobilité, est un peu plus présente chaque année. Si l’une des présentations s’intéresse tout de même à Blackberry 10, la plupart concernent le système d’exploitation Android de Google (et notamment celle, très attendue, qui révélera les détail de la vulnérabilité autorisant la modification d’application Android sans casser leur signature cryptographique). Toutefois Apple n’est pas épargné pour autant : une autre présentation montrera notamment comment injecter un malware dans un iPhone via un chargeur électrique piégé ! (c’est d’ailleurs l’un des conseils que nous vous donnions dans notre article consacré à la sécurité en voyage). Plus étonnant encore : un participant démontrera le contrôle absolu qu’il peut avoir sur vos communications téléphoniques (SMS, conversations, Internet mobile) grâce à sa vraie-fausse cellule mobile domestique, obtenue le plus simplement du monde après avoir piraté le modèle standard envoyé par son opérateur à ses abonnés. Enfin, une présentation démontrera que même les solutions de MDM (Mobile Device Management), censées pourtant isoler les données professionnelles sensibles sur un smarthone personnel, sont faillibles. – Les objets connectés, sont un peu plus proches de nous chaque année. De nombreuses présentations s’intéresseront ainsi à la sécurité (ou son absence) de la prochaine génération d’objets domestiques connectés à Internet. On y apprendra entre autre comment prendre le contrôle à distance des serrures de porte connectées, des systèmes de chauffage et ventilation pilotés depuis Internet ou encore des caméras de surveillance domestiques. Et une autre présentation dévoilera également comment exploiter certaines vulnérabilités matérielles afin de neutraliser des alarmes anti-intrusion. Les infrastructures critiques, sont toujours plus connectées mais toujours aussi peu protégées. La présentation la plus attendue dans ce domaine montrera comment il était possible d’injecter des paquets de données dans un système de commande et de contrôle industriel via la couche radio, afin de neutraliser un complexe industriel à distance (jusqu’à 64 kilomètres !) Une autre, à cheval entre le sujet des infrastructures critiques et celui des objets connectés, montrera comment il est possible de planifier des interruptions de service à grande échelle en déconnectant à distance les compteurs électriques dits « intelligents ». Le volet technique de cette édition reflète donc parfaitement les évolutions des usages de la technologie, et il sera probablement fidèle à ce qui a fait la réputation de la conférence. Mais cette année la transition n’est pas que technologique, elle est aussi politique. Car nous somme quelques semaines à peine après l’affaire Snowden, et en plein procès du soldat Bradley Manning. Dans la foulée les voisins de la conférence Defcon ont, pour la première fois en vingt ans, demandé aux officiels de bien vouloir ne pas assister à leur conférence cette année. Le temps, disent-ils, de laisser les esprits refroidir. Et pourtant cette Black Hat 2013 devrait accueillir aujourd’hui même le Général Keith Alexander, commandant du U.S. Cyber Command (USCYBERCOM) et directeur de la NSA. Certes, sa présentation portera essentiellement sur le Cyber Command. Mais la présence du patron de la NSA dans ce contexte n’est évidemment pas anodine. La communauté des hackers et celle des officiels a toujours su entretenir des liens utiles et bénéfiques. Cela continuera probablement à l’avenir, sous une forme peut-être différente de ce qu’elle était avant l’affaire Snowden. Et la présence du directeur de la NSA à Black Hat, tandis que ses propres agents sont invités à ne pas participer à la conférence-soeur à quelques kilomètres à peine de là, montre que nous vivons effectivement une intéressante période de transition. Et pas uniquement technologique… Décès de Barnaby Jack La thématique des objets connectés devait compter une présentation de plus, particulièrement attendue. Elle manquera hélas cruellement : le hacker Barnaby Jack, qui devait démontrer la vulnérabilité des peacemakers et autres implants médicaux, est décédé quelques jours à peine avant le début de la conférence. Le petit monde des hackers éthiques a perdu l’un des siens. Et pas le moins doué… Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!