Le Comptoir Sécu

Parlons cybersécurité...autour d'un verre!

Les conférences de Sécurité pour les Nuls (en France)

Ces derniers temps, beaucoup de personnes (étudiants souvent) me demandent comment s’améliorer en sécurité. Un des éléments de ma réponse est : “Sortez de chez vous, allez voir ce qui se passe dans des conférences de sécurité!”

Malheureusement, quand on est débutant dans ce milieu, on est rapidement perdu; chaque conférence a son type de public et de sujets. Dans cet article, je vais essayer de clarifier tout cela, en parlant des conférences françaises (non non, je ne suis pas chauvin!).

Je précise que ceci est un avis personnel. N’hésitez pas à commenter cet article si vous n’êtes pas d’accord avec mes propos.

Le SSTIC

  • Date : 4 au 6 Juin 2014
  • Lieu: Rennes
  • Lien : https://www.sstic.org/
  • Public : 450 personnes (update 2017: 650)
  • Payant

Le SSTIC (Symposium sur la sécurité des technologies de l’information et des communications) est une conférence qui se déroule à Rennes. C’est une des plus importantes en France, et les inscriptions sont rapidement closes, dû à son succès, et à son petit nombre de places (450). Ainsi, les inscriptions se déroulent maintenant en plusieurs vagues.

Cette conférence existe depuis 2004. Elle privilégie les contributions techniques et/ou scientifiques, mais celles ayant trait aux aspects juridiques, réglementaires ou organisationnels peuvent aussi être retenues. Mais quand on voit le programme de cette année, on peut dire que c’est 100% technique.  Exemple du programme de 2014.

Le type de la conférence est souvent défini par son comité de programme. Ci-dessous, celui de l’année 2014 :

  • Benjamin Morin (ANSSI)
  • Frédéric Tronel (Supelec)
  •  Mathieu Blanc (CEA DAM)
  •  Nicolas Bareil (Airbus Group)
  •  Nicolas Prigent (Supelec)
  • Alexandre Dulaunoy (Computer Incident Response Center Luxembourg)
  • Aurélien Bordes (ANSSI)
  • Aurélien Francillon (EURECOM)
  •  Axel Tillequin (Airbus Group)
  •  Benjamin Morin (ANSSI)
  •  Eric Leblond (The Open Information Security Foundation)
  •  Erwan Abgrall (DGA MI)
  •  Fabien Perigaud (Airbus Group)
  •  Fabrice Desclaux (CEA DAM)
  •  Fernand Lone Sang (Quarkslab)
  •  Florent Marceau (CERT-LEXSI)
  •  Frédéric Guihéry (AMOSSYS)
  •  Frédéric Tronel (Supelec)
  •  Guillaume Delugré (Quarkslab)
  •  Marion Videau (Université de Lorraine)
  •  Mathieu Blanc (CEA DAM)
  •  Nicolas Bareil (Airbus Group)
  •  Nicolas Prigent (Supelec)
  •  Olivier Levillain (ANSSI)
  •  Raphaël Rigo (Airbus Group)
  •  Romaric Ludinard (Inria Rennes – Bretagne Atlantique)
  •  Sarah Zennou (Airbus Group)

Petite anecdote : dans le milieu, le SSTIC a depuis 2 ans le surnom de l’ « ANSTIC », étant une conférence très noyautée par l’ANSSI (il y a 2 ans, + de 80% des intervenants étaient de l’ANSSI). Afin de changer cela, les organisateurs du SSTIC ont diminué les interventions de l’ANSSI.

Pas Sage en Seine (PSES)

Pas Sage en Seine est une conférence assez jeune, versé plutôt dans le côté « Hacking » pur et dur : sécurité, bidouille soft ou hardware, free culture, hacktivisme… Selon moi, c’est une des rares véritables conférences à barbu avec des sujets passionnants et accessibles pour tout le monde, contenant des sujets intéressants et divers.

Il suffit d’observer les sponsors pour comprendre le public ciblé : - La Fonderie, - Reflets.info, - Futur en Seine, - La Cantine

Ainsi, cette année, on pouvait voir des speakers sur des sujets tel que la surveillance de masse, l’open-data,  le journaliste hacker, le hacktivisme, ou encore sur la recherche… J’ai choisi seulement quelques extraits, mais vous pouvez vous le programme complet, qui montre la diversité de sujets. Elle se situait à la Cantine (lieu célèbre pour ses événements de la communauté geek), mais dû à son succès, sera cette année à Numa, lieu plus grand.

L’entrée est libre, ce qui est rare pour une conférence de cette qualité, et de cette diversité.

Hackito Ergo Sum

Hackito Ergo Sum est une conférence qui a débuté en 2011. Elle se situe à la Cité des Sciences et de l’Industrie. C’est une des rares conférences françaises uniquement en anglais, ce qui permet d’inviter des conférenciers étrangers. Elle est tourné très technique, avec des sujets de sécurité technos (faille RSA, Netfilter, Buffer overflow, etc…). Les conférenciers présents sont vraiment de qualité et le public est assez pertinent, permettant des échanges enrichissants.

Autre particularité de cette conférence, durant les conférences de sécurité Hackito Ergo Sum, la partie HackerSpace Fest 2014 est accessible gratuitement. Plusieurs fois organisés par le /tmp/lab (un hackerspace francilien) ou le Tetalab depuis 2008, les HackerSpace Fests réunissent différents hackters de tous horizons afin de témoigner de leur actualité et partager le résultat de leurs expérimentations dans des domaines très variés (électronique, musique, informatique, biologie, politique, …). On peut y parler de biologie, de lutherie, de crypto ou encore de signaux cérébraux!

FIC

Le FIC est une conférence créée en 2007 par le général d’armée (2S) Marc Watin-Augouard. Son objectif est d’aborder la cybersécurité sous un angle stratégique, en mettant l’accent sur les enjeux géopolitiques, sociologiques, juridiques, managériaux, technologiques liés à la confiance dans le cyberespace, mais en même temps opérationnel.

Pour être tout à fait honnête, c’est LA conférence de sécurité étatique, organisée en partenariat avec la gendarmerie Nationale.  Mon retour sur l’édition 2014 est que la conférence était très « bien sous tous rapport », mais on ne choque pas…  Le ministre de la Défense, et le ministre de l’Intérieur y ont même fait une visite du salon.

Le comité scientifique du FIC 2014 par exemple, était partagé entre administrations étatiques & universités ; il contenait des représentants des organisations suivantes :

  • Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI)
  • Ministère de la Défense
  • Ministère de l’Intérieur
  • Gendarmerie Nationale
  • Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC)
  • Club des Directeurs de la Sécurité en Entreprise (CDSE)
  • Le Forum des compétences
  • Université Technologique de Troyes (UTT)
  • Université de Montpellier
  • Ecole Normale Supérieure
  • Ecole Supérieure d’Informatique, Electronique, Automatique (ESIEA)
  • CEIS
  • AEF Sécurité Globale

De plus, le FIC possède aussi une newsletter très intéressante, l’[Observatoire du FIC](http://www.observatoire-fic.com]. Les articles publiés y sont très bons, réguliers et rédigés par des auteurs reconnus :

  • Yves le Floch, directeur du développement de la cybersécurité du groupe Sogeti.
  • Contre-Amiral Coustillière, OG Cyber du MinDef
  • Eric Freyssinet
  • Erik R. Barnett, attaché à l’UE pour HSI (Homeland Security Investigation)
  • François Gratiolet, CSO de Qualys
  • Myriam Quemener, experte au Conseil de l’Europe et dirige la session relative à la cybercriminalité de l’École nationale de la Magistrature (ENM)
  • Général d’armée (2S) Marc Watin-Augouard

Une partie Forum est aussi présente, comprenant des tables rondes et des débats mais qui sont, soyons honnête, très peu techniques. Ce sont plutôt des mini-conférences.

- Les Assises de la Sécurité - Date : du 1 au 4 Octobre 2014_ - Lieu: Grimaldi Forum, Monaco - Lien : http://www.lesassisesdelasecurite.com/ - Public : 2000 personnes - Sur invitation uniquement

Les Assises de la Sécurité est une conférence qui a maintenant 14 ans. Elle se situe dans la principauté de Monaco, au Grimaldi Forum. Le lieu a beaucoup aidé à son succès, avec le soleil,  la plage, les grands hôtels… Les RSSI étaient même invités avec leurs compagnes, tous frais payés, par les sociétés de solutions informatiques. En effet, une particularité de cette conférence est qu’il est nécessaire d’être invité pour pouvoir y participer ; il est impossible d’acheter une place pour y assister. Or, ce sont les sponsors qui ont la possibilité d’inviter aux Assises, et ces sponsors sont en majeur partie des éditeurs de produit de sécurité. Cette année, la règle des sponsors est de ne plus payer les accompagnants des invités à venir. Serait-ce un moyen de focaliser les invités sur leur travail? 🙂

Les Assises de la Sécurité peuvent être résumées comme la conférence des RSSI et des décideurs SI.  En 2014, c’était plus de 1000 RSSI, DSI et experts du secteur qui ont participé à cet événement. Un simple étudiant par exemple a très peu de chances d’y être présent. Elle est plus penchée sur les problématiques de gouvernance, d’organisation : elle est en parfaite opposition avec la conférence Pas Sage en Seine par exemple, aussi bien sur le type de public, que sur les places. Elle est aussi très commerciale, avec un nombre incroyable de stand commerciaux (126 en 2013).

En 2006, le Prix de l’Innovation des Assises a été créé aux Assises afin d’élire un produit de sécurité innovant dans le secteur de la sécurité informatique et des systèmes d’information.  Par exemple, en 2013, c’est le logiciel DocTrackr, solution de chiffrement de documents  qui est lauréate du Prix de l’Innovation.

Nuit du Hack

La Nuit du Hack est une conférence qui existe depuis 2003. Elle se déroule du Samedi 9h00 du matin, au Dimanche 7h00 du matin. La Nuit du Hack clôture la conférence Hack in Paris, qui se déroule aussi au Centre de Congrès de Disneyland Paris. Cette conférence au pays de Mickey comprend à la fois des ateliers techniques et challenge technique. Elle a été créée par les équipes d’Hackerz Voice, qui est une association de sécurité informatique très connue.

L’association HZV est “une association fondée dans le but de rassembler la communauté autour de multiples projets et événements, avec toujours pour objets la démystification des problématiques d’usage et de sécurité dans le contexte des réseaux informatiques et d’Internet, la collaboration, l’échange de connaissances sur ces sujets et la sensibilisation du public”. Ils font des meetings une fois par mois, pour échanger dans les locaux de Sysdream, société de sécurité technique, créé par des anciens membres de HZV.

Les sujets alternent entre anglais, et français – sécurité technique et sujets de fond. Quelques exemples en 2013 :

  • Keynote : « liberté ou contrôle ? », par Jérémie Zimmerman, le cofondateur et l’ex porte-parole de La Quadrature du Net, une organisation de défense des droits et libertés des citoyens sur Internet.
  • « L’attaque de l’e-voting : un cas concret »
  • « Social Engineering et Journalisme : Méthodologie du comportement humain »
  • “Physical Security flaws applied to Industrial Espionage”
  • “Cracking and analyzing Apple iCloud protocols: iCloud backups, Find My iPhone, document storage”
  • « Peut-on sécuriser les villes avec des caméras de surveillance ? Pas si sûr ! La perspective en termes de guérilla urbaine. »
  • « Practical exploitation of rounding vulnerabilities in internet banking applications”

De plus, lors de la nuit du Hack, il y a des workshops, qui permettent au public de s’essayer sur des sujets très divers :

  • Smartcard security from microchip to NFC
  • Atelier LockPicking
  • Reverse engenering
  • Oscilloscope et arcs électriques
  • Créer un réseau GSM
  •  Initiation Electronique + Arduino – Sensibilisation aux systèmes d’alarme
  • Fabrication d’un bras articulé

Hack in Paris

Hack in Paris est une conférence qui existe depuis 4 ans. Elle est dans la même famille que la Nuit du Hack. En effet, c’est la société Sysdream qui organise cette conférence, la même qui accueille la Nuit du Hack. C’est un événement uniquement en anglais qui permet d’inviter des intervenants de renom international, sur des sujets uniquement technique. On est sur du hacking pur et dur.

Comme exemple, le programme des présentations de cette année :

  • Paul Coggins : Digitam Energy-BPT
  • Aamir Lakhani : Walking Above the Silk Road for 24 Hours
  • Sebastien Andrivet : C++11 metaprogramming technics applied to software obfuscation
  • Cyrill Brunschwiler : Energy Fraud and Orchestrated Blackouts: Issues with Wireless Metering Protocols (wM-Bus)
  • Thomas Wang : Breaking through the bottleneck: Mobile malware is outbreak spreading like wildfire
  • Mario Heiderich : JSMVCOMFG ; To sternly look at JavaScript MVC and Templating Frameworks
  • Sonya Solomon : Splinter the RAT Attack: Create Your Own Botnet to Exploit the Network
  • Alvaro Alexander : Extreme forensics Reloaded 2Q /2014
  • Jayson E. Street : Around the world in 80 cons!
  • Joseph Pi Rodriguez : Fuzzing reversing and Maths
  • Xeno Kovah : Defeating UEFI/win8 SecureBoot
  • Deral Heiland : Plunder,Pillage and Print
  • Francis Alexander : Pentesting NoSQL DB’S with NoSQL Exploitation Framework
  • Krzystof Kotowicz : Biting into the forbidden fruit.Lessons from trusting Javascript crypto
  • Thomas Roth : ARM AArch64: Writing exploits for the new ARM architecture

La conférence a une structure assez particulière : les 3 premiers jours, il y a des workshops payants (entre 600 et 2000 euros), avec des officiers de sécurité (RSSI, OSI) et des experts techniques. Les 2 jours suivants, ce sont des conférences qui sont proposées.


Pour conclure, on peut dire que nous avons la chance, en France, d’avoir autant de conférences de sécurité, sur des sujets aussi variés. Il y en a pour tout le monde, aussi bien le jeune étudiant en sécurité, que le Responsable de SI.

Il ne faut donc pas hésiter à aller à ces conférences,  se faire son propre avis. Et puis, ces événements permettent de rencontrer des personnes passionnées, d’échanger et d’apprendre tout en passant de bons moments! (Et autour d’une bière, c’est encore mieux 😉 )

Note :

Comme souligné sur Twitter, je n’ai pas parlé de certaines conférences, comme BotConf, C&ESAR ou encore No Such Con. La raison est que je ne connais pas assez ces conférences afin d’écrire une review dessus. Si vous connaissez par contre ces dernières, n’hésitez pas à écrire votre avis en commentaires ci-dessous!

Photographie de la couverture © Pierre-Henry Muller, tous droits réservés

Publié le 09/07/2014

À propos de l'auteur :

Loïs Samain Staff

Loïs Samain

Co-fondateur et secrétaire de l'association Le Comptoir Sécu