Thème Sécurité des RMLL : pourquoi , comment, pour quels résultats ?

Dans quel(s) but(s) organise-t-on un thème de conférence autour du Logiciel Libre et de la Sécurité ? Quels leviers utilise-t-on pour les atteindre ? Comment mesurer si nous y sommes arrivés ?

Voici quelques unes des questions qui peuvent vous tarauder quand vous êtes un organisateur de ce genre de manifestation.

Nous (doegox, moutane et cbrocas), les responsables actuels du thème Sécurité RMLL) allons essayer de répondre à ces questions de la manière plus honnête possible 🙂

Pourquoi ?

Pour ce qui est de comprendre les objectifs et l’esprit, Peter Czanik, conférencier, nous donne des pistes de réponses au travers du compte rendu de sa participation aux RMLL 2017.

Voici comment il résume sa venue cette année  :

« I participated again in Security track … “Participated” as I did not only give a talk on syslog-ng there, but also sat in to most of the presentations and had very good discussions both with visitors and fellow speakers. The organizers brought together talks from diverse IT security related fields, a very good opportunity for cross-pollination of ideas« . (Note : l’emphase est de notre fait).

Peter a parfaitement synthétisé ce que nous essayons de réaliser au travers du thème Sécurité des RMLL, année après année :

Tout mettre en œuvre pour faciliter les rencontres et les échanges entre conférenciers ainsi qu’avec le public. L’objectif étant que de ces échanges naissent des collaborations entre des développeurs ou des projets mais aussi de nouvelles fonctionnalités dans les logiciels libres de la sphère Sécurité.

Comment ?

Ici, nous n’allons pas donné une liste détaillée des choses qu’il faut faire mais plutôt une courte liste de leviers que nous pensons importants pour nous aider à atteindre ces objectifs.

Tout d’abord, tout en respectant l’ADN technique et logiciel libre du thème Sécurité, nous essayons de faire en sorte qu’un maximum de disciplines de la Sécurité soient représentées dans les sujets couverts par les conférences données.

En 2017, vous avez pu suivre (ou lire / revoir) des interventions sur les thématiques suivantes :

  • la vie privée,
  • l’investigation numérique,
  • la sécurité réseaux et systèmes,
  • la cryptographie,
  • l’offensif bas niveau
  • ou la rétro ingénierie.

L’idée est de permettre tant aux spectateurs qu’aux conférenciers de se confronter à des sujets ou des disciplines différentes de la Sécurité qui ne leur sont pas toujours familières.

Cela permet ainsi à chacun de découvrir de nouveaux champs d’exploration et d’y piocher des solutions innovantes qu’il pourra réutiliser dans ses projets ou son travail.

Au delà des sujets différents et variés, on essaie aussi d’établir un climat le plus convivial possible afin de favoriser au maximum les échanges. Durant la conférence, il est très rare de trouver « une attitude de star » parmi les conférenciers. Ils sont tous des contributeurs ou des utilisateurs de Logiciel Libre et comprennent donc parfaitement l’importance du partage et de l’entraide.

Lors des conférences, autant que faire se peut, nous poussons les spectateurs à échanger avec les conférenciers tant en séance que lors des pauses ou plus tard au cours de l’événement.

Il est aussi très important pour nous que les conférenciers se sentent à leur aise pour venir et assister à la conférence : en général, ils ne la connaissent pas, pas plus que le public, la ville ou même le pays. Nous essayons donc d’être présents en amont de leur venue en leur fournissant :

  • mise à disposition une liste de diffusions dédiée,
  • fourniture d’informations : comment venir, se loger, présenter, nous contacter, se faire rembourser etc.

L’objectif est que chaque conférencier puisse arriver en confiance et débarrassé de la plupart de ses questions pratiques. L’idée étant que cette confiance lui permette de profiter de l’événement de la manière la plus ouverte et disponible possible.

Lors de l’événement, nous avons instauré un repas des conférenciers lors d’une soirée afin que cela leur donne une occasion de mieux se connaître, d’échanger et de laisser les idées « polliniser » 🙂

Pour quels résultats ?

En termes d’outils de mesure pour collecter et quantifier ces résultats, nous n’avons pas énormément de moyens.

Nous réalisons systématiquement un sondage auprès des conférenciers tandis que les organisateurs de l’édition globale font de même (ou pas 😉 ) auprès des participants. Il nous sert à (essayer de) nous améliorer année après année. Mais cela nous sert aussi à identifier les choses positives qui ont pu arriver 🙂

Contributions

Voici une petite liste, sûrement non exhaustive, des contributions et interactions nées de ces moments d’échanges.

Qui est venu présenter aux RMLL ?

Vous trouverez ci dessous quelques un.e.s des conférenciers.ères qui sont venus parler durant le thème Sécurité RMLL :

CfP Thème Sécurité RMLL 2015

Les RMLL (Rencontres Mondiales du Logiciel Libre) sont un cycle de conférences techniques autour du Logiciel Libre. Ces rencontres se déroulent dans une ville différente tous les ans et vous proposent de rencontrer un public très riche allant du dév kernel au hacker libertaire en passant par le simple utilisateur convaincu.

Après être passées par Genève, Bruxelles et Montpellier, les RMLL se dérouleront cette année du 6 au 10 juillet à Beauvais.

Cerise sur le gateau (ou pas!), Moutane, Doegox et et moi-même y animons le Thème Sécurité !

Donc si vous :

  • avez repoussé les limites de Logiciels Libres d’audits ou de forensics ,
  • développez ou utilisez de manière soutenue un Logiciel Libre de sécurité ,
  • aimez les P0wneys, en plus des kiwis, des oignons et du BeEFsteak ,

Venez en parler dans le thème Sécurité des RMLL !

Et quitte à venir en parler, merci de noter que les interventions de ce thème se tiennent de préférence en anglais. Vous avez donc intérêt à avoir une très bonne excuse pour y déroger 😉

De même, avec Mathieu et Philippe, nous aimerions voir, entre autres sujets, les thèmes suivants couverts dans le Thème Sécurité aux RMLL :

  • de la crypto du hardware jusqu’au JS (troll on),
  • du open hardware en Sécurité,
  • des malwares sur mobile comme sur serveur,
  • des vulnérabilités en environnement Libre (quoi OpenSSL ?).

Point Syndicat d’Initiative :

  • Poster vos soumissions au CfP : https://2015.rmll.info/cfp/ jusqu’au 31 mars 2015 23:59.

    Note : les soumissions peuvent aussi être des ateliers.

  • Annonce des conférences retenues : 15 avril 2015

  • Les RMLL 2015: 6 au 10 juillet 2015 à Beauvais

  • Site web des RMLL: 2015.rmll.info

Les RMLL sont un évènement associatif entièrement gratuit et libre d’accès donc nos ressources sont limitées. Cependant, nous pouvons prendre en charge les frais de transport de certains conférenciers (pas le logement). N’hésitez pas à indiquer ce besoin lors de votre soumission. Nous privilégierons les intervenants aux revenus modestes et ne disposant de solutions alternatives.

Rien à soumettre ? Mais vous aimez la bière ? ca tombe bien, la notre est … Libre aussi 😛 Venez !

Et sinon, faites de ce CFP le meilleur worm possible en le diffusant dans le monde entier (ainsi qu’à vos ML et vos contacts Sécurité préférés). Merci !

++ Christophe Brocas, Mathieu Blanc et Philippe Teuwen

Image publiée sous licence CC by : https://www.flickr.com/photos/geekshadow/21096599835

RMLL08> Retour sur le thème Sécurité

Un petit billet pour dire que la sécurité aux RMLL 2008, c’était … très bien 🙂

Mardi après midi : Malgré une chaleur terrible et pas mal de bruit en provenance du chantier voisin de l’IUT, nous avons eu droit à 3 belles conférences :

  • Pablo Neira Ayuso, de la Netfilter Core Team, nous a proposé une conférence à la fois accessible et pertinente sur la problématique de haute disponibilité des pare-feux à état. Les capacités d’enseignant de Pablo ont totalement porté leurs fruits.
    Edit : Thomas Petazonni a mis en ligne la vidéo (Ogg, 45min, 264Mo) ,
  • Eric Leblond a très bien sensibilisé l’audience aux avantages de l’habilitation utilisateur au niveau réseau vs l’habilitation d’adresse ip. Ses réponses furent efficaces notamment sur l’explicitation de l’agent NuFW côté client,
  • Eric Papet a fait un bon travail d’évangélisation sur les problématiques de méthodologie de gestion des risques auprès d’un public plutôt technique. Ce qui ne l’a pas empêché d’échanger avec des personnes de l’assistance qui étaient « de la partie ». Cette session a permis à Eric d’évaluer sa conférence et lui permettra de l’optimiser encore pour les prochaines sessions.
  • La bonne surprise de la journée étant l’ajout d’une session « Signature Numérique » pour Mercredi.

Mercredi : Une petite nouveauté du moins pour moi : un passage en direct sur FreenewsTV / DivergenceFM à 13:30 avec Eric Leblond et Pablo Neira Ayuso sur le thème de la Sécurité. A vous de voir si cette expérience est concluante mais « from inside », cela m’a paru très positif avec des prises de parole efficaces d’Eric et de Pablo (en plus de la sécurité, Pablo a notamment pu parler du libre en Andalousie). Je mettrai à jour le billet quand l’émission sera en ligne C’est en ligne (position approx. dans la vidéo : entre 10min30 et 24min30) ! 🙂

Côté conférences, petit tour des « popotes » :

  • très bonne synergie entre les conférences de Sébastien Tricaud sur les concepts d’IDS/NIDS/HIPS et celle de Yoann Vandoorselaere sur PreludeIDS. Le public fut amha séduit par cet ensemble cohérent. Special thank à Yoann pour son aller-retour dans la journée entre Lyon et Mont de Marsan (sic),
  • la qualité logicielle et le fuzzing par Victor Stinner : une conférence intéressante par l’illustration que la qualité du code impacte directement la sécurité. La sécurité à la source en somme. Le fuzzing est là vu comme un moyen d’augmenter la sécurité en amont. Un angle d’attaque de la sécurité intéressant et pas si fréquent. Merci Victor 🙂
  • enfin, Bruno Bonfils a fourni un bon survol fonctionnel et technique de la signature numérique. Toutes les conférences ont été mises en ligne au fil de l’eau, tout est à disposition sur le site des RMLL, thème Sécurité.