Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

En bref

Les incroyables conseils de la Black Hat aux journalistes

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Vous pensez souvent que tous ces gens qui font de la sécurité sont un peu trop paranoïaques ? En fait, c’est plutôt qu’ils savent très bien ce qu’un expert est en mesure de faire subir à un agneau utilisateur peu expérimenté. Tel, par exemple, un journaliste lâché au milieu de la conférence Black Hat…

Pour en avoir une idée, voici la note de survie que les organisateurs de la conférence ont faite parvenir aux journalistes partis couvrir l’événement :

Vous vous apprêtez à pénétrer dans l’un des environnements (technologique, nldr) les plus hostiles au monde. Voici quelques conseils de sécurité à garder à l’esprit :

  • La carte d’accès à votre chambre d’hôtel peut être copiée par un simple effleurement. Conservez-là donc bien au fond de votre portefeuille
  • N’utilisez pas de distributeur de billets de banque dans les environs de la conférence. Venez plutôt avec de l’argent liquide et une carte de débit à plafond limité, juste pour passer la semaine
  • Eteignez le Partage de Fichiers, Bluetooth et le Wi-Fi sur l’ensemble de vos terminaux. N’utilisez le Wi-Fi que si vous êtes un expert en sécurité. Nous avons réservé un réseau câblé pour la presse
  • N’acceptez aucun cadeau – une clé USB par exemple – sauf si vous connaissez vraiment bien la personne
  • Assurez-vous d’avoir choisi des mots de passe forts sur tous vos terminaux. N’envoyez pas de mots de passe en clair, assurez-vous de toujours les transmettre chiffrés. Et changez tous vos mots de passe immédiatement après avoir quitté Las Vegas
  • Ne laissez jamais l’un de vos terminaux hors de votre vue, même pour un instant
  • Vous serez observé en permanence, en particulier si vous êtes nouveau
  • Parlez discrètement. Passez vos appels téléphoniques confidentiels en dehors de la conférence

A la lecture de ces conseils on se dit qu’ils mériteraient certainement d’être diffusés un peu plus largement. Aux cadres en déplacement dans certains pays hostiles, par exemple…


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

10 réponses à Les incroyables conseils de la Black Hat aux journalistes

  1. Paul dit :

    juste une remarque, dans la dernière ligne vous parlez des « pays hostiles », mais n’oubliez pas que les pays les plus développés sont généralement les plus avancés en moyens/méthode d’espionnage (parfois aidé par les techniques de hacking) ! Donc c’est là où il faut être plus prudent (à l’exemple des gars du G20 tous hackés par les Services Secrets Britaniques !) 🙂

  2. Bien sûr ! Les pays « économiquement hostiles » peuvent être très proches de nous, aussi 😉

  3. Remi THOMAS dit :

    Parlez doucement à été mal traduit, c’est surement « parlez discrètement. »

  4. Marc dit :

    Il faut reconnaitre tout de même que ces conseils poussent un poil à la paranoïa.
    Reprenons en cœur
    – point un… voir la petite vidéo amusante de Charlie Miller en train de passer les mains sur les fesses d’un de ses collègues pour tenter de lui slurper son rfid… Tant qu’il n’y a pas de métro et de bain de foule à Vegas, ce genre de crainte -et pour l’attaquant de chances de succès de repartir avec des données sans avoir bloqué un direct du gauche- sont assez exagérées.
    -point deux : mériterait le titre de « most stupid advice ». Le risque d’un skimming à Vegas est assez faible (à Sin City, la méfiance est omniprésente, essayez de vous amuser avec un DAB dans une salle de jeu ou un supermarché, sous l’œil attentif des caméras) et le risque d’un skimming sur le lieu d’expo est proche de l’inverse de l’infini, SURTOUT durant une defcon. L’apprenti skimmer devrait être bien stupide pour tenter de pêcher des données bancaires durant la seule semaine ou sont réunis les hackers spécialisés dans ce genre de chose
    – Point trois : WTF ? Certes, un minimum de prudence est de mise, pas de connexion sans tunnel chiffré… mais ça, ce n’est pas que pour la defcon. En outre, tenter de récupérer des données sur une pétoire de journaliste est une victoire de nain : les informations sont généralement publiées le lendemain, et dans la majorité des cas, disponibles « en ligne » gratuitement. Les machines des congressistes, en revanche, sont un peu plus prisées
    – Point quatre : nonsense. La majorité des dossiers de presse, slideware etc sont distribués sur clef usb… au cours d’une manif genre Defcon, Assises, Infosec etc, un gratte-papier doit en récupérer près d’une trentaine, voir une centaine pour une « grosse » manif (genre RSA Conf). Le retour aux dossiers papier est souhaitable ? bien entendu, aucun journaliste ne peut prétendre connaitre personnellement toutes les personnes impliquées dans la chaine de production du fameux dossier de presse virtuel. Security is a tradeoff, répète Schneier. A chacun d’effectuer l’analyse de risque de ses propres actes.
    -Point cinq : une règle sérieuse (enfin !) mais qui n’est pas propre à Vegas : après chaque mission, chaque déplacement, changez vos mots de passe, vos login (lorsque c’est possible) et surtout, décommissionnez votre pétoire. un ordi de reportage doit être aussi vierge qu’une rosière de l’année. Question de rapidité d’exécution et d’emmerdes potentielles à la douane, puisque les cerbères de l’immigration service peuvent saisir votre machine pour en examiner son contenu. Dès que vous franchissez la frontière US, vos données sont encore plus susceptibles d’être perquisitionnées
    – Point six : voir point trois. Entre les Echelon, Prism, et autres conséquences du Patriot Act, sans parler de Frenchelon et de ses petits copains, on se demande si la grande délinquance des Etats Nation n’est pas plus intrusive et plus dangereuse qu’une hacking conference. Il m’est arrivé souvent de laisser mon portable sur une table (protégé par mot de passe, mais on sait tous combien les contournements sont faciles) durant une Defcon, NSC, Hackito, RSAConf, B-Side etc, jamais je n’ai été compromis. Il y a plus de respect du travail d’autrui dans une conférence sécurité que dans toute autre manifestation. Bien entendu, prudence est mère de la porcelaine, j’ai toujours un disque système en « spare » et aucune info confidentielle stocké sur ma machine de travail.
    – Point sept : nonsense again. Un journaliste qui connait sont métier doit se fondre dans la masse. Ca commence par le choix du motif du T-shirt : sobre et de bon goût façon polo Lacoste, bariolé à tête de mort « Insomni’hack style ». On évite le complet-veston. Soit vous êtes un ténor genre Krebs, et dans ce cas, vous êtes repéré, soit vous êtes inconnu, donc insignifiant. Et par construction et définition, ignorant, dont inoffensif. Un journaliste, c’est bien connu, ça ne connait rien, ça ne comprend rien, donc ça n’attire absolument pas l’attention.. Reste ce fichu badge… ce qui provoque dans notre profession un glissement progressif vers le hacking. Un badge à bandeau « speaker » permet d’inspirer un peu plus confiance que le simple « press »
    -point huit : n’est-ce pas, avant même d’être un conseil de sécurité, la plus élémentaire règle de politesse, même dans le métro parisien ?

    • Vincent dit :

      Et en français ?

    • Marc, un vieux briscard comme toi est considéré comme un expert grisonnant et non plus un journaliste naïf lâché parmi les loups 🙂 J’ai des souvenirs de Wall of Sheep qui impliquaient des journalistes accédant au backoffice de leur CMS éditorial en HTTP via un wifi trouvé sur le floor de la BH… La note s’adresse à ces gens là 🙂

      • Marc dit :

        Disons que si j’avais la prétention de donner des conseils à la jeune génération, ce serait avant tout de leur faire comprendre qu’une conférence de hackers n’est pas une conférence de pirates, mais une réunion de chercheurs… et que si ça sniffe à tout-va, ça n’intruse pas pour autant. Ce ne serait surtout pas d’éveiller en eux la méfiance. C’est en aiguisant la suspicion des jeunes journalistes de la presse généraliste que l’on continue à voir se multiplier les titres alarmistes et tapageurs, qui font le lit d’un quarteron de politiques et de législateurs tendance restrictive (combien de textes en ce sens lors du précédent quinquennat ? combien de lois « passe par dessus le Sénat » aux USA ?). Tout est lié, y compris l’enseignement, la vulgarisation, la culture du doute et la détection du niveau de FUDométrie visant à intoxiquer les médias. Voilà pourquoi je ne puis approuver le sens d’un tel article. Ceci dit, le traduire et le diffuser est un travail nécessaire et instructif, car il met précisément en évidence cette forme de conditionnement. Pour tout ça, merci

        Je garde en mémoire la sagesse des propos de la plénière d’Andrea Barisani lors de la dernière NSC.
        Marc 🙂

        • Julio B. dit :

          Essayons de ne pas oublier que parmi les white et gray et les black hats, il y aura toujours des intrus, des oreilles, des malis, agents doubles et des opportunistes …bien que la conférence reste dans un but de partage de connaissances (ex.: entre chercheurs), nous ne savons jamais à qui nous avons affaire!

          • Julio B. dit :

            petite modif : « Essayons de ne pas oublier que parmi les white, les gray et les black
            hats, il y aura toujours des intrus, des oreilles, des malins*, des agents
            doubles et des opportunistes …bien que la conférence reste dans un but
            de partage de connaissances (ex.: entre chercheurs), nous ne savons
            jamais à qui nous avons affaire! »

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.