Thème Sécurité des RMLL : pourquoi , comment, pour quels résultats ?

Dans quel(s) but(s) organise-t-on un thème de conférence autour du Logiciel Libre et de la Sécurité ? Quels leviers utilise-t-on pour les atteindre ? Comment mesurer si nous y sommes arrivés ?

Voici quelques unes des questions qui peuvent vous tarauder quand vous êtes un organisateur de ce genre de manifestation.

Nous (doegox, moutane et cbrocas), les responsables actuels du thème Sécurité RMLL) allons essayer de répondre à ces questions de la manière plus honnête possible 🙂

Pourquoi ?

Pour ce qui est de comprendre les objectifs et l’esprit, Peter Czanik, conférencier, nous donne des pistes de réponses au travers du compte rendu de sa participation aux RMLL 2017.

Voici comment il résume sa venue cette année  :

« I participated again in Security track … “Participated” as I did not only give a talk on syslog-ng there, but also sat in to most of the presentations and had very good discussions both with visitors and fellow speakers. The organizers brought together talks from diverse IT security related fields, a very good opportunity for cross-pollination of ideas« . (Note : l’emphase est de notre fait).

Peter a parfaitement synthétisé ce que nous essayons de réaliser au travers du thème Sécurité des RMLL, année après année :

Tout mettre en œuvre pour faciliter les rencontres et les échanges entre conférenciers ainsi qu’avec le public. L’objectif étant que de ces échanges naissent des collaborations entre des développeurs ou des projets mais aussi de nouvelles fonctionnalités dans les logiciels libres de la sphère Sécurité.

Comment ?

Ici, nous n’allons pas donné une liste détaillée des choses qu’il faut faire mais plutôt une courte liste de leviers que nous pensons importants pour nous aider à atteindre ces objectifs.

Tout d’abord, tout en respectant l’ADN technique et logiciel libre du thème Sécurité, nous essayons de faire en sorte qu’un maximum de disciplines de la Sécurité soient représentées dans les sujets couverts par les conférences données.

En 2017, vous avez pu suivre (ou lire / revoir) des interventions sur les thématiques suivantes :

  • la vie privée,
  • l’investigation numérique,
  • la sécurité réseaux et systèmes,
  • la cryptographie,
  • l’offensif bas niveau
  • ou la rétro ingénierie.

L’idée est de permettre tant aux spectateurs qu’aux conférenciers de se confronter à des sujets ou des disciplines différentes de la Sécurité qui ne leur sont pas toujours familières.

Cela permet ainsi à chacun de découvrir de nouveaux champs d’exploration et d’y piocher des solutions innovantes qu’il pourra réutiliser dans ses projets ou son travail.

Au delà des sujets différents et variés, on essaie aussi d’établir un climat le plus convivial possible afin de favoriser au maximum les échanges. Durant la conférence, il est très rare de trouver « une attitude de star » parmi les conférenciers. Ils sont tous des contributeurs ou des utilisateurs de Logiciel Libre et comprennent donc parfaitement l’importance du partage et de l’entraide.

Lors des conférences, autant que faire se peut, nous poussons les spectateurs à échanger avec les conférenciers tant en séance que lors des pauses ou plus tard au cours de l’événement.

Il est aussi très important pour nous que les conférenciers se sentent à leur aise pour venir et assister à la conférence : en général, ils ne la connaissent pas, pas plus que le public, la ville ou même le pays. Nous essayons donc d’être présents en amont de leur venue en leur fournissant :

  • mise à disposition une liste de diffusions dédiée,
  • fourniture d’informations : comment venir, se loger, présenter, nous contacter, se faire rembourser etc.

L’objectif est que chaque conférencier puisse arriver en confiance et débarrassé de la plupart de ses questions pratiques. L’idée étant que cette confiance lui permette de profiter de l’événement de la manière la plus ouverte et disponible possible.

Lors de l’événement, nous avons instauré un repas des conférenciers lors d’une soirée afin que cela leur donne une occasion de mieux se connaître, d’échanger et de laisser les idées « polliniser » 🙂

Pour quels résultats ?

En termes d’outils de mesure pour collecter et quantifier ces résultats, nous n’avons pas énormément de moyens.

Nous réalisons systématiquement un sondage auprès des conférenciers tandis que les organisateurs de l’édition globale font de même (ou pas 😉 ) auprès des participants. Il nous sert à (essayer de) nous améliorer année après année. Mais cela nous sert aussi à identifier les choses positives qui ont pu arriver 🙂

Contributions

Voici une petite liste, sûrement non exhaustive, des contributions et interactions nées de ces moments d’échanges.

Qui est venu présenter aux RMLL ?

Vous trouverez ci dessous quelques un.e.s des conférenciers.ères qui sont venus parler durant le thème Sécurité RMLL :

CfP Thème Sécurité RMLL 2015

Les RMLL (Rencontres Mondiales du Logiciel Libre) sont un cycle de conférences techniques autour du Logiciel Libre. Ces rencontres se déroulent dans une ville différente tous les ans et vous proposent de rencontrer un public très riche allant du dév kernel au hacker libertaire en passant par le simple utilisateur convaincu.

Après être passées par Genève, Bruxelles et Montpellier, les RMLL se dérouleront cette année du 6 au 10 juillet à Beauvais.

Cerise sur le gateau (ou pas!), Moutane, Doegox et et moi-même y animons le Thème Sécurité !

Donc si vous :

  • avez repoussé les limites de Logiciels Libres d’audits ou de forensics ,
  • développez ou utilisez de manière soutenue un Logiciel Libre de sécurité ,
  • aimez les P0wneys, en plus des kiwis, des oignons et du BeEFsteak ,

Venez en parler dans le thème Sécurité des RMLL !

Et quitte à venir en parler, merci de noter que les interventions de ce thème se tiennent de préférence en anglais. Vous avez donc intérêt à avoir une très bonne excuse pour y déroger 😉

De même, avec Mathieu et Philippe, nous aimerions voir, entre autres sujets, les thèmes suivants couverts dans le Thème Sécurité aux RMLL :

  • de la crypto du hardware jusqu’au JS (troll on),
  • du open hardware en Sécurité,
  • des malwares sur mobile comme sur serveur,
  • des vulnérabilités en environnement Libre (quoi OpenSSL ?).

Point Syndicat d’Initiative :

  • Poster vos soumissions au CfP : https://2015.rmll.info/cfp/ jusqu’au 31 mars 2015 23:59.

    Note : les soumissions peuvent aussi être des ateliers.

  • Annonce des conférences retenues : 15 avril 2015

  • Les RMLL 2015: 6 au 10 juillet 2015 à Beauvais

  • Site web des RMLL: 2015.rmll.info

Les RMLL sont un évènement associatif entièrement gratuit et libre d’accès donc nos ressources sont limitées. Cependant, nous pouvons prendre en charge les frais de transport de certains conférenciers (pas le logement). N’hésitez pas à indiquer ce besoin lors de votre soumission. Nous privilégierons les intervenants aux revenus modestes et ne disposant de solutions alternatives.

Rien à soumettre ? Mais vous aimez la bière ? ca tombe bien, la notre est … Libre aussi 😛 Venez !

Et sinon, faites de ce CFP le meilleur worm possible en le diffusant dans le monde entier (ainsi qu’à vos ML et vos contacts Sécurité préférés). Merci !

++ Christophe Brocas, Mathieu Blanc et Philippe Teuwen

Image publiée sous licence CC by : https://www.flickr.com/photos/geekshadow/21096599835

Ma première expérience de connexion sous Unix s’est conclue par un vol de mot de passe … c’était en 1989 !

J’ai découvert Unix (pas Linux) à l’IUT d’informatique de Bordeaux, en 1989. Après un premier cours sur Unix et ses concepts, notre professeur nous a donné notre utilisateur et notre mot de passe pour pouvoir nous connecter sur le système Unix de l’école.

L’ordinateur était un HP 9000 server tournant sous Unix. La salle machine était en fait séparée en deux pièces. La première était la « salle blanche », une zone à accès restreint contenant seulement la « grosse boite » càd le serveur principal d’1,5m de haut et de plusieurs mètres de long. La seconde pièce était la salle dédiée à la vingtaine de terminaux passifs (émulation VT100 me semble-t-il) utilisés pour se connecter au système Unix.

Donc, doté de mon compte et de mon mot de passe, je m’assois de vant un de ces terminaux. Je saisis mon compte utilisateur et mon mot de passe. Failed. J’ai juste pensé que j’avais commis une faute de frappe, je réessaie et j’arrive à me connecter. Le reste de la session s’est bien déroulé : j’ai pu saisir quelques commandes que j’avais apprise lors de mon premier cours.

Mais. Le lendemain, je ne pouvais plus me connecter du tout. Des étudiants de 2ième année rigolaient dans la salle des terminaux. Je leur ai demandé pourquoi. Ils arrêtèrent de rire, prirent un terminal et m’expliquèrent la fonctionnalité .logout. C’est utilisé pour exécuter un ensemble de commandes quand on quitte sa session. Ils avaient modifié leur script .logout en vue d’afficher un écran presque identique à un écran de connexion normal.

Oui, vous voyez où je veux en venir ? Mon premier essai, la veille, pour saisir mes données avait fait sur un faux écran de connexion 😉 Après avoir récupéré mes données de connexion, le script .logout de l’étudiant termine la session normalement. Donc, lors de ma seconde tentative de saisie de mes données de connexion s’est faite sur l’écran de connexion légitime.

Tout ceci s’est passé en 1989. Sur un système UNIX. Connecté à … rien : aucun réseau disponible en ce temps là sur ce serveur. Et le vol de mot de passe était déjà un jeu 🙂

Image publiée sous license CC by : https://www.flickr.com/photos/ajmexico/2478197231/

[RMLL 2014] CFP thème Sécurité

Appel à conférences Thème Sécurité des RMLL

Les RMLL (Rencontres Mondiales du Logiciel Libre) sont un cycle de conférences techniques autour du Logiciel Libre. Ces rencontres se déroulent dans une ville différente tous les ans et vous proposent de rencontrer un public très riche allant du dév kernel au hacker libertaire en passant par le simple utilisateur convaincu. Les RMLL fêtent cette année leurs 15 ans (SSTIC dédicace !) du 7 au 11 Juillet 2014 sous le soleil de Montpellier. Cerise sur le gâteau (ou pas!), Moutane et moi-même y animons le Thème Sécurité !

Donc si vous ressemblez à ça :

  • vous avez  »mis sur le dos » la sécurité d’un Logiciel Libre lors d’une session de pentest intensive ;
  • vous  »développez » ou utilisez de manière soutenue un Logiciel Libre de sécurité ;
  • vous  »aimez les kiwis, les oignons ou le BeEFsteak » ;
  • vous êtes très en » retard pour le SSTIC » ;

-> Venez en parler dans le Thème Sécurité des RMLL !

De même, avec Mathieu, nous aimerions voir, entre autres sujets, les thèmes suivants couverts dans le Thème Sécurité aux RMLL :

  • Privacy et crypto__ : Tor, GnuPG et leur sécurité ? Parlons en !
  • La crypto sur le web ? Du vent ? Parlons-en aussi !
  • Défensif : du forensics disque, RAM, humain … euh pas quand même ou alors juste en after…
  • De l’infra réseau, système robuste : montrons-les !
  • Offensif : des tools d’attaques ? Des vulnérabilités sur des softs libres ? Exposons-les !
  • Mobilité et web : nouvelles applications de la Sécurité en mobilité ? Audit de modèles de Sécurité des plateformes mobiles ? Trollons-en !

Special point :

vous aimez les parefeux ? vous aimez le dev kernel et/ou les gens qui en font ? ça tombe bien ! Le 10ème Netfilter Workshop, rassemblement des devs Netfilter, sera cette année hosté par les RMLL : venez donc échanger avec Eric, Pablo et tous les membres de la Core Team !

Vous n’aimez pas le Libre ?

Croiser des barbus ou des libertaires vous fichent des boutons rien que d’y penser ?

Venez quand même à Montpellier … rencontrer RMS est *toujours* une expérience

Point Syndicat d’Initiative :

Faites de __ce CFP le meilleur malware__ possible et diffusez-le dans le monde entier (ainsi qu’à vos ML et vos contacts Sécurité préférés).

Merci !
Christophe Brocas et Mathieu Blanc

Image under CC license : https://secure.flickr.com/photos/yobibe/14673892883/

 

F., 10 ans, découvre le web, wikipedia et un peu plus …

Je voulais vous faire un petit retour sur un moment que j’ai vécu l’an passé avec ma fille cadette. Contrairement à sa sœur aînée, elle n’avait jamais eu envie d’aller sur Internet et je me disais que son apprentissage allait être plus laborieux que pour sa sœur.

L’an passé, ma fille de 10 ans, en CM2, a donc découvert le web.

Elle n’avait jusque là utiliser les ordis de la maison, tant sous Ubuntu que Vista, que pour jouer.

Là, son instit lui avait demandé d’effectuer une recherche sur Raphaël, le peintre italien. Du coup, on démarre sous son profil sur Ubuntu.

Je lui explique les bases d’un navigateur web (Firefox inside 😉 ) : la zone d’adresse, la zone de recherche, les moteurs de recherches enregistrés.

« On peut rajouter des moteurs de recherches ? Trop classe ! » Je souris 😉

Puis explication des liens hypertextes, changement de pages, puis explication de Wikipedia, son fonctionnement, ses limites :

« Wikipedia est écrit par des gens comme toi et moi. Ils peuvent faire des erreurs. Il faut croiser ses sources (dico, magazines etc) »

Mais je sentais bien que je la barbais un peu.

Je la laisse donc sur Wikipedia faire ses recherches. Je lui explique juste que, comme pour la TV, elle peut tomber sur une page qui la gène voire l’agresse et, dans ce cas là, elle doit fermer la fenêtre ou quitter l’écran et venir me le dire immédiatement pour en discuter.

Au bout de 10 minutes, devinez quoi ?

Elle : « Papa, là, je crois qu’ils se sont trompés sur Wikipédia ! »
Moi (dubitatif) : « Tu es sûre, ma puce ? »
Elle : « Oui, oui. Ce n’est pas de Raphaël, la tapisserie de la Dame à la Licorne. Ils ont confondu avec le tableau du même nom. »
Moi : « Sérieux ? »
Elle (me coupant) : « Tiens, regarde, ils en reparlent un peu plus loin sur la page. Et là, le lien va bien sur le tableau ! »

Elle avait raison ! j’étais scotché. On avait vu il y a 2 ans la tapisserie de la Dame à la Licorne à Cluny (Paris). Elle s’en est servi pour détecter l’erreur et trouver le bon lien un peu plus loin dans la page.

J’étais vraiment content qu’elle ait pu voir par elle même que :

  • ce qu’elle lit sur Internet doit être vérifié
  • le principal intérêt des constructions collaboratives comme Wikipédia, c’est la capacité à apporter aux autres sa connaissance et ce, sans entrave.

Du coup, le premier jour de sa découverte du web, elle fit sa première contribution en modifiant la page de Raphael sur Wikipedia FR !

Pour une soirée d’initiation à Internet et au web, cela a été plutôt riche 🙂 Si cela peut servir à d’autres comme idée d’approche du web … Happy 🙂

image under CC license : https://en.wikipedia.org/wiki/File:Wikipedia_mini_globe_handheld.jpg

Samsung NC10 : replacing the HDD by a SSD

I have got a Samsung NC10 for 3 years, that I almost always use under Ubuntu. Computer launch, its stop and the applications launch are very slow.

So I decided to install a 128Gb Crucial M4 SSD

To do it I follow :

  • this how-to for openning the NC10,
  • this video explaining clearly the opening of the delicate portion, the back of the computer.

The results :

  • launching time under Ubuntu 11.10 with the HDD :
    • from GRUB to Ubuntu users selection screen : 42 seconds
    • from Ubuntu users selection screen to the fully operational desktop : 25 seconds
    • total : 1 minute 7 seconds
  • launching time under Ubuntu 11.10 with the SSD :
    • from GRUB to Ubuntu users selection screen : 12 seconds
    • from Ubuntu users selection screen to the fully operational desktop : 15 seconds
    • total : 27 seconds

Always under Ubuntu 11.10, LibreOffice Writer launches : 6,5 seconds.

But Firefox with Sync activated requires always 15 secondes to launch. CPU and network dependencies tend to reduce the SSD benefits.

Conclusion : The NC10 does not become a blazzing fast netbook but as seen with the different figures, the SSD helps the NC10 to run quite quickly.

Samsung NC10 : changement du disque dur par un SSD

J’ai un netbook Samsung NC10 depuis maintenant 3 ans, quasiment toujours utilisé sous Ubuntu. Le lancement de l’engin, son arrêt et le démarrage des applications est long. Le passage de 1 Go à 2 Go de RAM n’y a rien changé et c’est normal. Il respire juste un peu mieux quand quelques applications s’exécutent en parallèle.

J’ai donc choisi de faire la seule chose que je pouvais faire sans le changer complètement : mettre un SSD.

Le modèle choisi a été un SSD Crucial M4 128Go. Pour cela, j’ai suivi 1 tutotiel et une vidéo :

Les résultats :

  • temps de démarrage sous Ubuntu 11.10 avec le disque dur classique :
    • du choix de l’OS à l’écran de choix de l’utilisateur : 42 secondes
    • du choix de l’utilisateur au bureau complètement opérationnel : 25 secondes
    • total : 1 minute 7 secondes*
  • temps de démarrage sous Ubuntu 11.10 avec le SSD :
    • du choix de l’OS à l’écran de choix de l’utilisateur : 12 secondes
    • du choix de l’utilisateur au bureau complètement opérationnel : 15 secondes
    • total : 27 secondes

Toujours sous Ubuntu 11.10, le lancement de LibreOffice Writer dure : 6,5 secondes.

Par contre, Firefox avec Sync activé met toujours autant de temps à se lancer qu’avant (15 secondes environ). La dépendance au processeur et au réseau lisse je pense pas mal les choses.

Conclusion : le samsung NC10 ne devient pas un foudre de guerre d’un coup de baguette magique. C’est toujours un Intel Atom N270 1,6 GHz qui l’anime (ou pas 😉 ) et pas un Core i5 par exemple. Mais les chiffres prouvent que mettre un SSD apporte un coup de fouet à la réactivité de l’engin.

Un petit guide du longboard pour la route …

Grâce à Gaël de SevenSuns, voici un site utile pour les gens qui découvrent (ou pas 😉 ) le longboard : www.longboard-guide.com !

C’est un site essayant de répondre à vos questions sur les planches, les différentes disciplines, le matériel … Un must-read 🙂

Ma pomme s’est chargé de la mise en place du wiki le logiciel libre dokuwiki , de son hébergement et de l’intégration HTML, paramétrages plugins etc. Bonne lecture 🙂

Image sous licence CC : https://secure.flickr.com/photos/peterpearson/7284755362/

RMLL 2011 > programme thème Sécurité en ligne

Voilà, pour la quatrième année, je suis impliqué dans les programmes des RMLL. Cette année, avec Mathieu Blanc, nous avons essayé de concocter un programme à la fois équilibré et attractif (we hope so 😉 ) :

  • Une demi journée autour de l’accès aux Systèmes d’informations.
  • Une seconde en langue anglaise sur les vulnérabilités et leur management.
  • Une dernière sur la gestion d’identités, les malwares et les protections.

Le détail (description et planning) est ici : http://2011.rmll.info/-Securite-