Thème Sécurité des RMLL : pourquoi , comment, pour quels résultats ?

Dans quel(s) but(s) organise-t-on un thème de conférence autour du Logiciel Libre et de la Sécurité ? Quels leviers utilise-t-on pour les atteindre ? Comment mesurer si nous y sommes arrivés ?

Voici quelques unes des questions qui peuvent vous tarauder quand vous êtes un organisateur de ce genre de manifestation.

Nous (doegox, moutane et cbrocas), les responsables actuels du thème Sécurité RMLL) allons essayer de répondre à ces questions de la manière plus honnête possible 🙂

Pourquoi ?

Pour ce qui est de comprendre les objectifs et l’esprit, Peter Czanik, conférencier, nous donne des pistes de réponses au travers du compte rendu de sa participation aux RMLL 2017.

Voici comment il résume sa venue cette année  :

« I participated again in Security track … “Participated” as I did not only give a talk on syslog-ng there, but also sat in to most of the presentations and had very good discussions both with visitors and fellow speakers. The organizers brought together talks from diverse IT security related fields, a very good opportunity for cross-pollination of ideas« . (Note : l’emphase est de notre fait).

Peter a parfaitement synthétisé ce que nous essayons de réaliser au travers du thème Sécurité des RMLL, année après année :

Tout mettre en œuvre pour faciliter les rencontres et les échanges entre conférenciers ainsi qu’avec le public. L’objectif étant que de ces échanges naissent des collaborations entre des développeurs ou des projets mais aussi de nouvelles fonctionnalités dans les logiciels libres de la sphère Sécurité.

Comment ?

Ici, nous n’allons pas donné une liste détaillée des choses qu’il faut faire mais plutôt une courte liste de leviers que nous pensons importants pour nous aider à atteindre ces objectifs.

Tout d’abord, tout en respectant l’ADN technique et logiciel libre du thème Sécurité, nous essayons de faire en sorte qu’un maximum de disciplines de la Sécurité soient représentées dans les sujets couverts par les conférences données.

En 2017, vous avez pu suivre (ou lire / revoir) des interventions sur les thématiques suivantes :

  • la vie privée,
  • l’investigation numérique,
  • la sécurité réseaux et systèmes,
  • la cryptographie,
  • l’offensif bas niveau
  • ou la rétro ingénierie.

L’idée est de permettre tant aux spectateurs qu’aux conférenciers de se confronter à des sujets ou des disciplines différentes de la Sécurité qui ne leur sont pas toujours familières.

Cela permet ainsi à chacun de découvrir de nouveaux champs d’exploration et d’y piocher des solutions innovantes qu’il pourra réutiliser dans ses projets ou son travail.

Au delà des sujets différents et variés, on essaie aussi d’établir un climat le plus convivial possible afin de favoriser au maximum les échanges. Durant la conférence, il est très rare de trouver « une attitude de star » parmi les conférenciers. Ils sont tous des contributeurs ou des utilisateurs de Logiciel Libre et comprennent donc parfaitement l’importance du partage et de l’entraide.

Lors des conférences, autant que faire se peut, nous poussons les spectateurs à échanger avec les conférenciers tant en séance que lors des pauses ou plus tard au cours de l’événement.

Il est aussi très important pour nous que les conférenciers se sentent à leur aise pour venir et assister à la conférence : en général, ils ne la connaissent pas, pas plus que le public, la ville ou même le pays. Nous essayons donc d’être présents en amont de leur venue en leur fournissant :

  • mise à disposition une liste de diffusions dédiée,
  • fourniture d’informations : comment venir, se loger, présenter, nous contacter, se faire rembourser etc.

L’objectif est que chaque conférencier puisse arriver en confiance et débarrassé de la plupart de ses questions pratiques. L’idée étant que cette confiance lui permette de profiter de l’événement de la manière la plus ouverte et disponible possible.

Lors de l’événement, nous avons instauré un repas des conférenciers lors d’une soirée afin que cela leur donne une occasion de mieux se connaître, d’échanger et de laisser les idées « polliniser » 🙂

Pour quels résultats ?

En termes d’outils de mesure pour collecter et quantifier ces résultats, nous n’avons pas énormément de moyens.

Nous réalisons systématiquement un sondage auprès des conférenciers tandis que les organisateurs de l’édition globale font de même (ou pas 😉 ) auprès des participants. Il nous sert à (essayer de) nous améliorer année après année. Mais cela nous sert aussi à identifier les choses positives qui ont pu arriver 🙂

Contributions

Voici une petite liste, sûrement non exhaustive, des contributions et interactions nées de ces moments d’échanges.

Qui est venu présenter aux RMLL ?

Vous trouverez ci dessous quelques un.e.s des conférenciers.ères qui sont venus parler durant le thème Sécurité RMLL :

CfP Thème Sécurité RMLL 2015

Les RMLL (Rencontres Mondiales du Logiciel Libre) sont un cycle de conférences techniques autour du Logiciel Libre. Ces rencontres se déroulent dans une ville différente tous les ans et vous proposent de rencontrer un public très riche allant du dév kernel au hacker libertaire en passant par le simple utilisateur convaincu.

Après être passées par Genève, Bruxelles et Montpellier, les RMLL se dérouleront cette année du 6 au 10 juillet à Beauvais.

Cerise sur le gateau (ou pas!), Moutane, Doegox et et moi-même y animons le Thème Sécurité !

Donc si vous :

  • avez repoussé les limites de Logiciels Libres d’audits ou de forensics ,
  • développez ou utilisez de manière soutenue un Logiciel Libre de sécurité ,
  • aimez les P0wneys, en plus des kiwis, des oignons et du BeEFsteak ,

Venez en parler dans le thème Sécurité des RMLL !

Et quitte à venir en parler, merci de noter que les interventions de ce thème se tiennent de préférence en anglais. Vous avez donc intérêt à avoir une très bonne excuse pour y déroger 😉

De même, avec Mathieu et Philippe, nous aimerions voir, entre autres sujets, les thèmes suivants couverts dans le Thème Sécurité aux RMLL :

  • de la crypto du hardware jusqu’au JS (troll on),
  • du open hardware en Sécurité,
  • des malwares sur mobile comme sur serveur,
  • des vulnérabilités en environnement Libre (quoi OpenSSL ?).

Point Syndicat d’Initiative :

  • Poster vos soumissions au CfP : https://2015.rmll.info/cfp/ jusqu’au 31 mars 2015 23:59.

    Note : les soumissions peuvent aussi être des ateliers.

  • Annonce des conférences retenues : 15 avril 2015

  • Les RMLL 2015: 6 au 10 juillet 2015 à Beauvais

  • Site web des RMLL: 2015.rmll.info

Les RMLL sont un évènement associatif entièrement gratuit et libre d’accès donc nos ressources sont limitées. Cependant, nous pouvons prendre en charge les frais de transport de certains conférenciers (pas le logement). N’hésitez pas à indiquer ce besoin lors de votre soumission. Nous privilégierons les intervenants aux revenus modestes et ne disposant de solutions alternatives.

Rien à soumettre ? Mais vous aimez la bière ? ca tombe bien, la notre est … Libre aussi 😛 Venez !

Et sinon, faites de ce CFP le meilleur worm possible en le diffusant dans le monde entier (ainsi qu’à vos ML et vos contacts Sécurité préférés). Merci !

++ Christophe Brocas, Mathieu Blanc et Philippe Teuwen

Image publiée sous licence CC by : https://www.flickr.com/photos/geekshadow/21096599835

Ma première expérience de connexion sous Unix s’est conclue par un vol de mot de passe … c’était en 1989 !

J’ai découvert Unix (pas Linux) à l’IUT d’informatique de Bordeaux, en 1989. Après un premier cours sur Unix et ses concepts, notre professeur nous a donné notre utilisateur et notre mot de passe pour pouvoir nous connecter sur le système Unix de l’école.

L’ordinateur était un HP 9000 server tournant sous Unix. La salle machine était en fait séparée en deux pièces. La première était la « salle blanche », une zone à accès restreint contenant seulement la « grosse boite » càd le serveur principal d’1,5m de haut et de plusieurs mètres de long. La seconde pièce était la salle dédiée à la vingtaine de terminaux passifs (émulation VT100 me semble-t-il) utilisés pour se connecter au système Unix.

Donc, doté de mon compte et de mon mot de passe, je m’assois de vant un de ces terminaux. Je saisis mon compte utilisateur et mon mot de passe. Failed. J’ai juste pensé que j’avais commis une faute de frappe, je réessaie et j’arrive à me connecter. Le reste de la session s’est bien déroulé : j’ai pu saisir quelques commandes que j’avais apprise lors de mon premier cours.

Mais. Le lendemain, je ne pouvais plus me connecter du tout. Des étudiants de 2ième année rigolaient dans la salle des terminaux. Je leur ai demandé pourquoi. Ils arrêtèrent de rire, prirent un terminal et m’expliquèrent la fonctionnalité .logout. C’est utilisé pour exécuter un ensemble de commandes quand on quitte sa session. Ils avaient modifié leur script .logout en vue d’afficher un écran presque identique à un écran de connexion normal.

Oui, vous voyez où je veux en venir ? Mon premier essai, la veille, pour saisir mes données avait fait sur un faux écran de connexion 😉 Après avoir récupéré mes données de connexion, le script .logout de l’étudiant termine la session normalement. Donc, lors de ma seconde tentative de saisie de mes données de connexion s’est faite sur l’écran de connexion légitime.

Tout ceci s’est passé en 1989. Sur un système UNIX. Connecté à … rien : aucun réseau disponible en ce temps là sur ce serveur. Et le vol de mot de passe était déjà un jeu 🙂

Image publiée sous license CC by : https://www.flickr.com/photos/ajmexico/2478197231/