S’il y a bien une journée (et une nuit) à ne pas manquer quand on s’intéresse de près à la sécurité, c’est la nuit du hack. L’événement comprend des conférences relatives à la sécurité, des challenges, et reste d’un niveau technique impressionnant. Cette édition, 2015, s’est ouverte sur de l’IoT, notamment, et nous y étions. Retour sur une journée bien remplie avec trois conférences phares.
La keynote: l’ANSSI
L’ANSSI est présentée par son directeur, et avec elle, quelques grandes idées relatives à la sécurité du pays. D’abord, la notion même de guerre électronique, cette guerre qui ne dit pas son nom, est incontestable. Elle amène avec elle son lot de risques, qu’on peut classer par ordre croissant d’importance:
- les risques relatifs à la propriété intellectuelle et l’espionnage industriel. Problématique pour une entreprise, il n’affecte pas directement le pays.
- les risques relatifs à la guerre électronique, qui mettent à mal des structures d’Etat plus ou moins critiques.
- Et le pire du pire, le sabotage d’infrastructures: centrales nucléaires par exemple. Inutile de détailler la catastrophe que ça représenterait pour un pays.
L’ANSSI a également donné sa vision des lois, forcément un peu en retard dans un secteur qui évolue très vite. En particulier, se posent des questions simples comme les lanceurs d’alerte ou encore le hacking éthique. Ce fut l’occasion de constater que cette structure d’Etat est avide de dialogue avec nos ami-e-s hackers, mais que les lois sont moins propices à l’échange. D’autre part, l’ANSSI ne disposant pas de dérogation spéciale, elle est assujettie à la loi des communs des mortel-le-s. C’est donc bien évidemment un compromis à faire évoluer entre efficacité et légalité. Ce qui nous a naturellement emmené à la question du rôle de l’ANSSI face à tout ça. L’ANSSI a une mission défensive, et défensive seulement. D’autres branches du gouvernement sont chargées d’offensives. C’est toujours un peu délicat à préciser, donc nous passons assez vite. Quoi qu’il en soit, l’ANSSI assure la défense, et la bonne transmission des informations.
L’apport principal de la keynote a été de donner une mesure de l’importance de la cybersécurité, sujet critique mais par essence méconnu.
Drones
David Melendez nous parle ensuite de la construction d’un drône avec un routeur comme base. Du très bel ouvrage. Coté matériel, on retrouve une tablette sous Androïd, avec une manette de télécommande USB coté commandes. Et pour le drone, on retrouve un accéléromètre de Wii Nunchunk, ou encore, coté gyroscope, celui d’une manette wii. Et bien sûr, pour être sûr que la communication soit bien gérée, elle est cryptée. Ce qui a été le plus intéressant portait sur l’ingéniosité de la construction. Utiliser des éléments qu’on trouve, somme toute, facilement pour construire un engin volant, nous a permis de constater l’ampleur du travail technique nécessaire. Et ces talents de créativité font partie de la philosophie du hacking, ce qui rend cette intervention si pertinente à la nuit du hack.
Refaire un état à la force de l’IoT
Chez Xebia, l’IoT a tout à fait sa place. Et c’est alors que la conférence de Guillaume Levrier nous a bluffé. La problématique est simple: un Etat subit une catastrophe, comment dans ce cadre peut on rétablir une infrastructure technique? Si on a tendance à penser l’Etat indestructible, des catastrophes graves comme les pandémies, guerres et catastrophes naturelles, sont à même de menacer la structure d’un Etat. Si tel est le cas, que faire, et comment ?
Première idée forte: la technologie est (presque) partout
Nous avons, en tous cas dans certains pays, beaucoup de téléphones portables en circulation, voire dans certains cas, des raspberry, des liseuses, bref, beaucoup d’ordinateurs programmables, à faible cout. Si l’Etat n’assure plus la distribution d’énergie, des solutions existent, comme des panneaux solaires. Pour ce qui est de la communication à plus grande distance, la mise en place d’antennes relais peut se faire à 7500$. Comme un écho à la conférence précédente, la communication peut se faire entre divers points d’une région par drones, sans que ceux ci soient trop chers. Avec les drones dont nous disposons déjà, il devient possible de mettre en place un système de poste: les drones tournent et reçoivent ou envoient les informations de chaque récepteur au sol. Ces drones peuvent également lâcher des terminaux sur des zones qui en manquent.
Deuxième idée forte: avec un réseau vertical, on assure les bases de notre survie
On a donc des zones reliées par un réseau, et un pouvoir central qui peut communiquer et centraliser, exactement comme le projet Cybersyn qui a tout de même plus de 40 ans. Et, aussi extraordinaire que cela semble, c’est suffisant. Avec ça, on a:
- la possibilité de synchroniser des groupes de gens, comme des villages par exemple. Quand un groupe a un excédent de médicaments, il peut avertir les groupes à proximité qui en manquent. Et en dual, quand un groupe manque d’une ressource, il peut appeler à l’aide sans avoir à dépêcher un émissaire… Dans le cas d’une pandémie, on peut suivre sa diffusion, et donc, pour un village, être en mesure de prévoir quand sa demande de médicaments sera la plus forte. On a donc la possibilité de prendre en charge les distributions de nourriture, d’eau, ou de premiers soins.
- Concernant l’économie, c’est aussi simple qu’inquiétant. Imaginez une catastrophe naturelle rendant l’accès à la nourriture et à l’eau difficiles. Quand vous avez besoin de manger avant tout, vous êtes prêts à échanger des biens qui, en tant normal, valent cher, pour manger. Disons, votre dernier ordinateur contre quelques packs d’eau. Fondamentalement, les prix en temps de paix (ou de calme) ne sont plus les mêmes. Si par contre, il existe une infrastructure capable d’être accessible à tous, il est possible de simuler le comportement des banques de détail. En fait, on peut avoir un système de virement d’argent avec un réseau stable. L’argent garde une valeur permettant les échanges entre humains sans une trop grande dégradation des prix. Quand la structure de l’Etat le permettra, la bascule avec l’ancien système sera réalisée.
- Reste la loi et la justice. Comment ne pas sombrer dans le chaos le plus absolu? Suffit il de compter sur la solidarité humaine? Évidemment pas, ou pas tout le temps. Ce point a été largement débattu entre le speaker et le public. Mais, l’idée est de remettre en place une notion de justice en écrivant dans une base de données stable dans le temps toutes les exactions. Elles seront jugées plus tard, et rien ne restera impuni. Ainsi, le système empêche une grande partie de la criminalité inhérente aux situations exceptionnelles.
Au final, l’IoT offre une base possible, et probablement la plus facile à réaliser, pour remettre un Etat d’aplomb. En offrant un système vertical entre décideurs et acteurs, on peut remettre en place de quoi garantir les premiers besoins, l’économie et la justice. Bien sûr, et heureusement, il s’agit d’une vision théorique. Mais elle donne foi en les possibilités de l’IoT, en particulier dans un cadre aussi tragique. Passionnant!
Conclusion
La nuit du hack ne portait pas uniquement sur ce genre de sujets. Nous avons aussi assisté à des présentations sur des thèmes beaucoup plus classiques. Citons par exemple l’analyse statistique des malwares sous Androïd, avec plus tard dans la journée la façon d’écrire des malwares sur ce même support, ou encore l’étude des protocoles SS7 et 3G et leurs failles.