Par Véronique Loquet (*). L’été sur la scène de la sécu IT bat son plein… soleil ! Dehors il fait 48 degrés, la clim’ du Caesar Palace tourne à fond. Démesure. Les enseignes géantes du strip vous dominent, gondoles vénitiennes, tour Eiffel et pyramides se télescopent… Welcome to faboulous Las Vegas ! La conférence est dense (quatre mille experts, 11 tracks et 200 speakers en deux jours) et reste fidèle à ses racines en délivrant un contenu technique pointu autour des fondamentaux : infrastructure, reverse engineering, malware, exploit, et bien entendu des sujets parfaitement dans l’air du temps comme le Cloud Computing et la cyberguerre.

Du côté des nouveautés, la Black Hat accueille pour la première fois la Cloud Security Alliance. Et puis il y a l’Arsenal, un espace dédié aux chercheurs indépendants et à la communauté open source qui viennent y effectuer quelques démonstrations d’outils éprouvés. Ainsi après avoir donné deux jours de formation, Matthieu Suiche, un jeune chercheur français spécialiste du reverse engineering y présente sa société récemment fondée, MoonSols . Outre avoir bluffé plus d’un expert grâce à ses outils, Matthieu possède les plus beaux slides de la Black Hat. Un talent à suivre de toute évidence.

S’il y a du talent au mètre carré, il y a aussi de l’ego et quelques loosers flamboyants. Certains se prennent tellement au sérieux et sont si dénués d’humour qu’il faudrait leur prescrire une boite de crayola. Don’t go to Black Hat without a touch of madness… ici les soirées sont au coeur de l’événement et la récupération des invitations se joue en amont.  » The best fun in a BH party is to sneak in uninvited  » me dit untel.

Canicule sur les soirées de la Black Hat, donc. En tête de la hot list la Qualys party, bondée, avec live band et DJ. En marge, une party anti-Adobe… Bref, pour networker il faudra choisir son camp et surtout éviter de s’enliser dans l’ambiance des open-bar mojitos-margarita-vodka-tonic, fiasco majeur pour certains, self-control pour d’autres, en tout cas ça chauffe dans les ghettos blasters !

Il y a aussi des soirées toutes claquées, dans des suites privatisées ou ailleurs. Et puis les danseuses du mythique Pussy Cat Dolls qui ondulent sur les tables et sous une pluie de paillettes et de billets verts, avec le fond sonore obsédant des machines à sous. Caliente.

Mais le public de la Black Hat compte autant de show off que de discrets. Retour aux conférences, avec l’histoire de Robin Sage, narrée par son auteur lors de son talk :  » Getting in Bed with Robin Sage « . Robin a 25 ans, elle est jolie, diplômée du MIT elle affiche un cursus en béton et moult contacts sur Internet. Ses contacts sont des experts du renseignement, des militaires, des experts de la SSI. Mais ils sont tous dupés car Robin est fictive. Elle a été inventée par Thomas Ryan, un vétéran de la cybersecurité.

Thomas se délecte, il explique comment il a récupéré des données confidentielles et surtout 300  » amis « , parmi lesquels des membres de la NSA, des fabricants d’armes… le tout en 28 jours, via les réseaux sociaux, Twitter, LinkedIn et Facebook.

Mais la Black Hat, c’est culte aussi grâce à quelques meetings annuels incontournables pour la communauté, comme les Pwnie Awards. Une cérémonie qui aborde sa 4eme édition et célèbre avec humour les découvertes des chercheurs et les failles mémorables des douze derniers mois.

Cette année sept catégories, les meilleurs bugs serveur/client, augmentation de privilèges, meilleure innovation en recherche, la plus lamentable réponse d’éditeur, la meilleur chanson de geek et la faille la plus épique. Le jury est composé de grands noms comme Dave Aitel, Halvar Flake, Dino Dai Zovi ou encore Alexander Sotirov. Les résultats sont disponibles sur le site des Pwnie Awards .

Plus sérieux le talk de Barnaby Jack qui fait cracher sur scène les dollars d’un distributeur de billets. Barnaby est néozélandais, humble et pourtant il pirate de l’ATM depuis des années. Il me dit qu’il aurait pu faire cette démo il y a longtemps mais Juniper son ex-employeur ne voyait pas cela d’un bon oeil. Vaste dossier que le cerveau de ce Jack… Sa démonstration porte sur deux méthodes ; la première physique avec une clé USB et la seconde à distance en installant un rootkit. Jack a développé un outil qu’il nomme Dillinger, en référence au célèbre braqueur de banque américain. La démonstration ? Il déclenche le mode  » Jackpot  » et fait jaillir les dollars… tout simplement ! Mais, bon esprit, il livrera quand même quelques préconisations aux constructeurs de DAB afin de renforcer leurs produits. Magistral ! A voir, sa démo culte intégrale.

Après d’ultimes soirées débridées, dont celle confidentielle d’Alex Sotirov, le prototype même du gourou brillant à la cour dévouée et qui rassemblait la communauté des hackers New-Yorkais, la BH ferme ses portes… et DefCon peut commencer ! Cette rencontre, également organisée par Jeff Moss, concentre près de 8000 hackers. Exit le mercantilisme, ici les inscriptions à la Defcon sont réglées en cash et l’anonymat préservé. En guise de conclusion voici tout de même un apperçu de l’une des présentation les plus sympathiques de cette DefCon.