Par Franck Cecile – TheExpert Cybersécurité Squad
> A lire aussi :
- Squad à la #DEFCON27 (1/3) : Quèsaco?
- Squad à la #DEFCON27 (Part 2/3) : Mon expérience
Mon ressenti
A la lecture de mes articles, on pourrait croire un ressenti en demi-teinte. Il n’en est rien. Quelques points me frustrent ou me dérangent, mais cela n’enlève rien à la "magie" (si j’ose dire) d’un tel événement. Je m’explique, en commençant par le "négatif".
Le point le plus frustrant, clairement, c’est le fait qu’à la DEF CON (comme dans toute autre convention de hacking en fait), on s’intéresse exclusivement aux vulnérabilités. Et c’est tout. On n’aborde pas la question des menaces, et des risques. Qui pourrait exploiter ces vulnérabilités, à l’aide quels moyens, comment, dans quelles conditions ? Et surtout, du point de vue métier, quel risque final cela représente-t-il ? Quel impact, quelle probabilité ?
C’est un peu comme de voir l’OM écraser le PSG 5-0 sans savoir s’il s’agit d’une finale de ligue de champion ou d’un match amical (je plaisante, le PSG n’irait pas en finale de la LDC). Je reste convaincu que, s’il existe des vulnérabilités, il existe forcément des risques. Mais lesquels ? Je n’ai pu voir (partiellement) qu’un seul talk s’intéresser au chemin de l’attaquant pour exploiter une des vulnérabilités présentées.
J’en viens même à supposer que pour la plupart des vulnérabilités présentées, celles-ci relèvent simplement de l’exploit technique, mais ne sont pas forcément applicables dans la vie réelle, du fait de mesures de sécurité complémentaires (organisationnelles ou physiques).
Autre détail qui m’interpelle : le non support apparent de l’Aviation Village par les principaux fabricants aéronautiques et compagnies aériennes. Et c’est compréhensible : la DEF CON est une très mauvaise publicité pour ces industries. Les hackers arrivent en grande pompe, tels des seigneurs capables de semer le chaos d’une touche de clavier, exposer les vulnérabilités qu’ils découvrent, contribuant à la culture de la peur (encore trop) véhiculée par la cybersécurité. Dans les faits, celles-ci ne sont exploitables qu’à l’aide de moyens techniques, financiers, et organisationnels considérables (approche confirmé d’une source sûre).
Il faut reconnaître que l’esprit Die Hard 4, Matrix, Mr Robot est très présent. Et effectivement, pour la photographie, le monde s’est récemment emballé à l’existence de ransomware sur reflex. Sauf que le ransomware en question n’en était pas un, et que les possibilités pour que l’attaque réussisse sont très faibles. Message similaire pour la découverte de vulnérabilité sur le système d’acquisition d’images et d’information d’un F15, exceptionnellement mis à disposition des hackers. Il en ressort auprès du grand public est que les hackers peuvent bloquer un appareil photo comme bon leur semble, ou cracher un avion de chasse en vol, ce qui n’est absolument pas le cas. Un article très complet sur la question ici.
Mais les vulnérabilités ne sont pas inexistantes pour autant. Et c’est à mon sens nécessaire que de continuer à démontrer aux constructeurs, fabricants, et éditeurs l’importance de la prise en compte de la sécurité numérique, dès le départ d’un projet. L’existence de ces vulnérabilités démontre avant tout des écarts encore trop récurrents aux bonnes pratiques. Tous les hackers l’ont précisé et répété, une méthodologie basique suffit pour découvrir des vulnérabilités. Il y a encore beaucoup d’efforts à fournir, la DEF CON et les hackers sont là pour le rappeler.
De plus, il est finalement logique qu’à la DEF CON on ne s’intéresse pas aux risques. On est dans un univers, certes loufoque, mais très technique.
Les hackers sont de grands enfants, et ils adorent s’amuser à casser les (gros) jouets mis à leur disposition. Le reste ne les intéresse pas, et cela se ressent clairement. Si on veut une évaluation des risques, autant se rendre en col blanc à des salons dédiés. Mais on constate (malheureusement) là encore à quel point il existe une fracture entre les différentes populations (techniques / opérationnelles versus organisationnelles / stratégiques). A mon grand regret, ce constat est le même qu’en entreprise, où ces deux mondes cohabitent parfois encore difficilement.
Enfin, même si c’était le cas, il est évident que les hackers pourraient difficilement présenter des vulnérabilités ayant un impact critique et une probabilité forte d’être exploitées. La DEF CON, c’est avant tout un florilège d’exploits technique et de compétences hors normes. On imaginerait mal un supermarché du chaos à portée de clavier.
Quoi qu’il en soit, cette "frustration", qui était tout à fait prévisible, même si elle demeure regrettable à mon sens, n’enlève rien à l’engouement et la satisfaction que j’en retire. Participer à un tel événement est unique. J’en reste émerveillé, et admiratif devant tout ce savoir, ces compétences extrêmement pointues, ces technologies et produits présentés, et cet univers complètement loufoque.