03
janv.
'21

Wrap-up 2020 & welcome 2021 !

Publié le 03 janvier 2021

L'année 2020 est désormais terminée, l'occasion de faire le bilan de cette année qui fut, je pense que tout le monde en conviendra, bien pourrie. Entre épidémie de COVID-19, l'école à la maison, le télétravail à plein temps, les WTFs politiques, l'annulation de (presque) tous les events sécu ou leur report en 2021, et surtout la plongée dans l'incertitude causée par le virus et la gestion de ce dernier, cela a été éprouvant. Je profite donc du passage à la nouvelle année pour faire le point sur ce qu'a été pour moi 2020, et comment j'envisage cette nouvelle année.

Confinement

2020 m'a appris dès le mois de mars plusieurs choses importantes. La première et pas des moindres, c'est que les professeurs des écoles ont bien du courage. J'ai eu mes deux affreux comme élèves chaque matinée pendant le confinement (enfin presque, ma moitié a pris le relais certaines semaines), et ce n'était pas de la tarte. J'ai du réorganiser mes journées durant les premières semaines afin de concilier école à la maison et boulot à distance, ce qui me faisait des journées bien chargées (9h - 3h). J'ai tenu le rythme pendant deux semaines, youpi.

La seconde, c'est l'importance d'avoir une pièce à part pour le télétravail. C'est priceless. Lorsque j'ai emmenagé dans ma maison actuelle, j'avais prévu une pièce dédiée pour mon bureau car j'étais déjà à cette période régulièrement en télétravail. Du coup quand on s'est retrouvé confinés, je pouvais bosser dans une pièce à part avec tout le matériel requis (écran externe, clavier, souris, connexion FTTH, fauteuil confortable), ce qui était très appréciable. J'ai de nombreux collègues et amis qui ont pété des câbles à force de bosser dans leur salon ou leur cuisine, encore plus lorsqu'ils habitent sur Paris.

La troisième et dernière, c'est qu'il est important de prendre du temps pour soi. Avec toute la famille à la maison, je n'avais plus d'instants de solitude tels ceux que j'avais régulièrement dans les transports en commun, et c'est vite devenu pesant. Difficile de trouver un moment calme pour prendre du temps pour moi, que ce soit pour des hobbies ou plus simplement être tranquille. J'ai pris l'habitude de me réserver deux ou trois heures la nuit, entre 23h et 1h ou 2h du matin, afin de vaquer à des occupations diverses et souffler. Et ça m'a permis de mieux tenir, je crois.

This is fine.

Rentrée 2020

Après un été complètement déconnecté, la reprise en septembre s'est passée relativement bien. Et chargée, aussi. Toujours en télétravail. La différence avec mars, c'est que la plupart des gens avec qui j'étais en contact pour le boulot se sont habitués aux réunions à distance, et l'activité a ainsi pu reprendre son cours. A ce moment précis, le moral n'était pas au top mais tenait le coup.

C'est à ce moment que je me suis rendu compte des dégâts du confinement. Je pensais m'en être assez bien sorti, car bon le télétravail cela fait quelques années que je pratique et j'estimais avoir un moral solide. Au final, je pense avoir fait une mini-dépression (comme pas mal de monde d'après les statistiques), et je ne m'en suis pas rendu compte de suite. Pour ne rien arranger, la structure chargée de la garde à domicile de mes loulous nous a clairement fait comprendre qu'ils n'avaient plus personne (à cause du COVID), et il a donc fallu gérer cela en parallèle.

Je me suis ainsi retrouvé plusieurs soirs devant mon ordinateur, à vouloir bosser sur des projets persos et au final terminer sur youtube à regarder des vidéos inintéressantes pendant des heures. Jusqu'à me rendre compte que je n'ai rien fait, et désespérer de ne rien avancer (alors que ce n'était pas les projets qui manquaient).

Débuts sur Twitch

Fort de ce constat, je me suis demandé si Twitch ne pourrait pas être une solution. Je connaissais Twitch de par le confinement et pour y avoir streamé une fois dans le cadre de PlopSec, et plus j'y pensais et plus cela semblait intéressant. Twitch offre une proximité, une interaction, qui me rappellaient les évènements sécu qui commençaient à me manquer. Peut-être que ce que je fais habituellement dans le cadre de mes projets persos pouvait intéresser du monde ? En ce qui me concerne, je pensais qu'avoir du monde qui me regarde avancer mes projets allait me donner un coup de pied au derrière et m'éviter de tomber dans les méandres de youtube. Aussi, avant de me lancer, j'ai sondé Twitter:

Le retour a été très positif, et c'est comme cela qu'ont débuté en septembre mes premiers lives sur Twitch, l'occasion d'avancer réellement les projets qui étaient dans les cartons. Comme les deux super-minitels qu'il me restait à terminer suite au financement participatif de OpenIt, et que je devais réaliser depuis des années, et qui sont encore attendus par deux des backers. Ce projet demandait pas mal de boulot, car il fallait refaire la carte électronique dans son intégralité pour l'adapter aux dernières évolutions des Raspberry Pi (la première version étant conçu pour un Raspberry Pi 1). Ou encore le reverse de mon Ninja Badge de la DEFCON 18 (2010), que je m'étais promis de faire depuis que je l'ai eu.

Au final, le coup de pied au derrière a été bénéfique et je suis encore étonné du nombre de personnes qui suivent mes lives techniques, et qui parfois avouent ne pas trop comprendre mais trouvent ça cool ! J'ai ainsi pu bien avancer mes projets et découvrir des streamers francophones qui font aussi des trucs super cools (coucou CabriDIY, Neodyme et iooner, Barbatronic et Yorzian a.k.a. Yves Rougy), tout en étant soutenu par de plus en plus de personnes durant les lives. C'est un peu stressant au début, mais je crois que je me suis pris au jeu et ce qui devait être à l'origine occasionnel est désormais plutôt régulier. Encore un grand merci à toutes les personnes qui sont passés durant les lives, qui suivent plus ou moins de près mes projets et celles qui ont été là dès le début. C'est ultra-motivant, et sincèrement je pense que cela a rendu la fin d'année plus agréable et suportable malgré les circonstances actuelles !

Un grand merci aussi aux potos de YesWeHack qui ont tenu à me fournir un PC digne de ce nom pour que je puisse streamer en toute quiétude et avec une qualité décente, ça me change des fins de live à 10 fps avec un CPU à 90% ! J'ai un peu investi afin d'améliorer l'image durant les lives, en particulier pour tout ce qui concerne l'électronique et le DIY en général. On verra si ça fonctionne assez rapidement, je pense.

Quoi de neuf pour 2021 ?

Maintenant que 2020 est désormais derrière nous, il est temps de se concentrer sur 2021 et les projets sur lesquels je compte avancer (faudra quand même prioriser avant):

  • Les deux super-minitels à terminer ;
  • La hackwatch, a.k.a la transformation d'une smartwatch en outil de hack portable pour WiFi et Bluetooth Low Energy ;
  • Un hack de vieux téléphones à cadrans rotatifs pour en faire des interphones sans-fil pour la maison ;
  • Mon avion RC conçu maison et imprimé en 3D ;
  • Un panneau "ON AIR" automatisé pour la porte du bureau, histoire de pas être dérangé durant des calls ;
  • Un challenge hardware maison à destination de ceux qui veulent débuter en reverse hardware et software ;
  • Un ou plusieurs gadgets interactifs pour égayer les lives Twitch.

Voilà les différentes idées que j'ai eu pour cette nouvelle année, et c'est sans parler des mini-projets de reverse hardware qui seront faits en live, des replays de talks précédents ou encore d'autres idées qui pourraient survenir durant l'année. D'ailleurs, si vous en avez n'hésitez pas à m'en faire part sur Twitter ou lors d'un live Twitch ! Mon objectif principal consiste à boucler au plus vite les super-minitels pour les envoyer à leurs destinataires, histoire de combler la dette que j'ai auprès des backers du financement participatif, et ensuite de m'éclater à faire ces projets en live avec les wins et les fails habituels !

Enfin, j'aimerais pouvoir refaire des talks lors de conférences mais pour l'instant je n'ai aucune visibilité sur l'organisation de ces dernières. Les conférences en ligne c'est bien, mais il manque sincèrement l'interaction avec le public, ce qui fait que c'est beaucoup moins drôle à faire. On verra en fonction des idées de talks et de l'évolution de la situation globale. Mais je n'attends qu'une seule chose, pouvoir remonter sur une scène lors d'une conférence et partager mes hacks/tools/whatever avec plein de gens (et partager/échanger autour d'une bière ou d'un coca lors d'un event). Et j'espère que cela pourra se faire en 2021.

Pour finir

Bonne année à tous, j'espère qu'elle sera bien mieux que l'année 2020 ! Hackez plein de trucs, bidouillez dans la joie et la bonne humeur 😄. Pensez à prendre le temps de prendre soin de vous, de chérir les personnes qui vous sont proches, de profiter de la vie. Si 2020 nous a enseigné au moins une chose, c'est bien cela.

06
juil.
'20

2020 est décidemment une année bien pourrie.

Publié le 06 juillet 2020
David Marclay (aka Dvrasp)

Je ne pensais pas écrire ce bout de texte maintenant, mais il semblerait qu'il en ait été décidé autrement. Un coup de fil d'un ami proche, passé un samedi midi ensoleillé, et que j'ai loupé car occupé à préparer le repas avec ma petite famille. J'ai répondu par SMS un "Tu voulais ?", histoire de voir si ça pouvait se régler simplement en quelques messages échangés. "Rappelle, important". Ce que je fis, donc. Pour apprendre que David M a.k.a dvrasp, un ami de longue date, s'est éteint la veille sans crier gare. Après Paolo, Peter, Simon, la communauté HZV perd un de ses plus anciens membres. Et nous, eh bien, on en a gros.

Ma première rencontre avec David s'est passé sur IRC, le Discord des vieux. A l'époque, j'étais étudiant et m'amusais à creuser le format de fichier des programmes exécutables de Windows, et je l'ai contacté pour savoir s'il y avait moyen de publier un article dans feu The Hackademy Magazine, dont il était rédacteur en chef. Il a trouvé l'idée sympa, et c'est ainsi que mon premier article est paru, en 2005. Ma première rencontre IRL avec David s'est déroulée quelques mois plus tard, quand nous discutions avec la société d'édition pour laquelle il travaillait d'un projet de magazine que nous souhaitions lancer, XeLoRy et moi-même. Ce premier vrai contact m'a marqué: j'ai découvert une personne qui semblait très réfléchie, ouverte et amicale. Nous avons assez peu échangé ce jour là, en vérité. Ce fut pour moi l'occasion de mettre un visage sur un pseudonyme, ce qui n'était pas rien. Nous avons continué à échanger par la suite, des articles, des idées, du code. Jusqu'à ce qu'il me fasse suivre une offre d'emploi.

A ce moment là, ma situation personnelle était assez précaire: j'étais étudiant, en couple, avec un loyer et une voiture, mais de maigres revenus. J'avais pris la décision de chercher du travail afin de pouvoir être serein et démarrer dans la vie active, et nous en avions discuté. David et moi étions d'accord sur le fait que pigiste n'était pas une situation d'avenir, surtout avec les retards de paiement de la société d'édition. Quand quelqu'un l'a contacté pour savoir s'il pouvait passer une annonce pour une offre d'emploi particulière, il y a jeté un oeil et a directement pensé à moi. Il s'agissait d'un poste d'ingénieur de développement C/C++ pour lequel des connaissances en reverse engineering étaient souhaitées. J'ai lu en diagonale l'offre, et me suis arrêté sur "Vous êtes diplômé(e) d'une école d'ingénieur ou équivalent universitaire (Bac + 5)". Je lui ai répondu que je n'avais pas ce niveau, et donc que je ne correspondais pas au profil. Il a insisté. Durant un mois, presque. Jusqu'à ce que je me décide à envoyer une lettre de motivation et un CV. Deux semaines plus tard, après un entretien téléphonique et un rendez-vous à Paris, j'étais embauché. "Je te l'avais dit que ton profil ferait l'affaire !", m'a-t-il répondu lorsque je lui annonçait la nouvelle. C'est grâce à David que j'ai eu mon premier job. Pas moins que ça.

Nous nous croisions régulièrement durant les meetings HZV organisés à Sysdream, l'occasion de discuter autour d'une bière ou quinze, mais aussi lors des Nuits du Hack que nous organisions plus ou moins de façon anticipée. Je me rappelle en particulier de la Nuit du Hack 2007, lorsque nous rentrions chacun chez nous via le premier RER du matin (ou presque). David était en face de moi, sa sacoche sur les genoux. Il l'ouvre, regarde dedans, et sort un "Ohhh meeerde ! Je crois que j'ai oublié mon laptop !" ... avant de se raviser et de sortir un ordinateur portable qui prenait toute la place dans la sacoche. Ainsi qu'un petit livre intitulé "Memoirs of a virus programmer", qu'il me présente comme étant un excellent ouvrage que je devrais lire, et me le donne ensuite. Nous nous quitterons quelques stations plus loin, nous donnant rendez-vous à un prochain meeting HZV ou à la prochaine Nuit du Hack, ou encore sur IRC. J'avalais le livre dans la semaine et effectivement, ce fut une lecture très intéressante. Quelques années plus tard, c'est à 4 heures du matin que l'on s'est retrouvé pour rédiger les slides de la présentation que je donnais le jour même lors d'une Nuit du Hack. L'occasion de bien rigoler et de fignoler le support d'un talk en y intégrant des références subtiles (ou pas), tout en l'ayant lui comme public fictif, challengeant mes arguments et posant des questions afin d'améliorer ma préparation.

J'ai ce souvenir de David, quelqu'un de sincère et généreux, intelligent et perspicace, avec qui j'ai eu de nombreuses discussions éclairées ou éclairantes. Je garde ces quelques anecdotes de lui et bien d'autres (mais impossible de toutes les narrer dans un billet de blog), ces moments simples où l'on se marrait, sa bienveillance. Repose en paix, l'ami.

12
août
'19

De retour de DEFCON 27

Publié le 12 août 2019

J'ai eu (encore) la chance de participer en tant que speaker à DEFCON cette année, qui se déroulait dans les centres de convention des casinos Paris, Bally's, Planet Hollywood et Flamingo. Pour ceux qui ne connaîtraient pas cet évènement, je vous invite à visionner le documentaire qui a été réalisé pour les 20 ans de celui-ci, qui est téléchargeable sur leur serveur média.

DEFCON dystopia

Plus gros, plus grand, plus diversifié ...

Chaque année DEFCON grandit, s'étend de plus en plus, accueille de plus en plus de personnes (30 000 âmes en ce qui concerne l'édition 2019), de challenges, de villages qui ne sont rien d'autres que des évènements dans l'évènement. Autant dire qu'il est impossible de tout voir ou de tout faire durant les quatre jours que dure la conférence. Cela signifie aussi que DEFCON s'ouvre à un public plus large, moins averti, et pas toujours au fait des traditions. On voit ainsi des gens qui filment les participants avec leurs smartphones, ou font des selfies sans se soucier de savoir si des personnes étant dans le cadre sont d'accord pour les publier sur Facebook, Instagram ou Twitter. Et du coup, ça agace certaines personnes qui ne manquent pas de le faire savoir. Et je ne parle même pas de ce type que j'ai vu passer dans un couloir du centre de convention avec un stylo caméra, et qui le tenait bien devant lui pour filmer (oui, un stylo caméra cela se remarque très facilement).

Toujours est-il que cette édition était touffue: énormément de villages, de talks, de workshops, de challenges divers, difficile de tout voir ou de tout tester. J'ai particulièrement apprécié le village Hack The Sea et celui de l'Aviation, des domaines moins connus mais où la sécurité est aussi de mise et implique des systèmes peu communs. Par exemple, un village entier était destiné aux drones et aux moyens de les pirater. Des drones étaient à disposition, et quelques-uns volaient au dessus des personnes présente dans le village. La règlementation ici aux US est différente de la notre (qui a été votée en 2018, pour rappel).

Dronewarz

Un autre village impressionnant est le Car Hacking Village. On y trouve deux voitures faisant partie d'un CTF, ainsi que des simulateurs de postes de conduite ne demandant qu'à être piraté via des bus CAN ou autres. Lors du dernier jour, une des voitures a été pas mal abîmée, notamment à coup de masse et de boule de bowling.

DEFCON Car hacking village

D'autres villages, comme l'ICS village, étaient aussi très intéressant, et offrait l'occasion de s'attaquer à des systèmes industriels simulés via quelques CTFs. Des talks étaient aussi présents sur ce village, abordant des sujets comme le pentest en environnement industriel ou des spécificités comme certains protocoles propres à ces systèmes.

ICS village

Le badge officiel de DEFCON a cette année été conçu par Joe Grand (a.k.a Kingpin), et présente un tournant dans l'histoire des badges DEFCON. En effet, celui-ci a été pensé pour être un bijou plutôt qu'un badge. Joe Grand a ainsi découvert le monde de la fabrication de bijoux, et en particulier celui du taillage de pierre, qui est je dois l'avouer assez impressionnant. Les quelques 28 500 badges Human vendus à DEFCON possèdent une pierre de quartz brésilienne taillée et montée à la main. Il n'y a pas un badge identique, chaque pierre étant unique.

Le badge reste un badge électronique, avec un challenge présent dessus que plusieurs hackers se sont empressés de résoudre. Un lecteur de badge était par ailleurs disponible afin de vérifier l'état d'avancement de ce dernier.

Badge reader

... et plus weird

Je n'arrive pas à me l'expliquer, mais j'ai eu du mal à me sentir à ma place cette année. Un truc bizarre au fond de moi qui m'a amené à m'isoler plutôt qu'aller à la rencontre des gens. Le pire dans cette histoire, c'est que je ne sais pas si c'est dû à ce que devient DEFCON ou à ce que je deviens moi (oui car voyez-vous, on ne se voit pas devenir con/crétin/idiot). Plusieurs fois je me suis assis par terre dans un couloir, avec mon ordinateur portable sur les genoux, à développer ou m'occuper à d'autres tâches qui n'ont rien à voir avec l'évènement. J'en ai eu assez de ces casinos, de cette ville de Las Vegas avec ses facettes bling bling et l'envers du décor qui au final est peu glorieux, de cette foule qui célèbre la grande messe du Hacking à base de fiestas, de pool parties et d'excès en tout genre. Désolé, je n'étais pas d'humeur.

A cela s'ajoute le sentiment de ne pas être à la hauteur, de ne rien savoir, d'autant plus lorsque l'on voit la diversité des domaines et techniques abordés dans les différents talks, challenges et villages. Je me sens rouillé, plus à la page, pas capable de résoudre des challenges simples, et je vais buter sur des trucs relativement idiots. Tenez, à votre avis qui a tenté (en vain) de résoudre le seul challenge de stéganographie du dernier CTF de Hack.lu, bien que le premier indice caché indiquait qu'il n'y avait pas de solution ? Bibi. Ce qui a bien fait rire un membre des Fluxfingers qui m'a vu m'arracher les cheveux dessus.

Quant à ma prestation à DEFCON 27, je n'en suis que partiellement satisfait. J'ai encore un mal fou avec les mêmes dans les slides: j'essaie de faire des trucs rigolos mais ça ne fait rire personne. Ajoutez à ça la différence culturelle (on est aux USA), cela rend la tâche encore plus ardue. Si ma carrière se termine en infosec, je sais au moins que je ne pourrais pas me recycler en comique. Loin de là. De plus, mon anglais est loin d'être parfait et je me force à ne pas préparer ce que je vais dire mais à tenter de simplement parler une fois sur scène. Ce qui peut expliquer les cafouillages et erreurs de grammaire ou de prononciation. Il me reste toujours l'excuse facile de dire que je suis français, et du coup ça fait toujours marrer.

La crise de la trentaine ?

Jeff Moss (a.k.a DarkTangent) évoquait lors de la cérémonie de clôture le fait que les organisateurs vieillissaient (et lançait par ailleurs un défi aux hackers du Biohacking village), ce qui se traduisait globalement par une fatigue plus ressentie et la disparition tragique de hackers, de goons, de membres de l'organisation ayant dédié des années à DEFCON. Beaucoup d'émotion d'ailleurs dans les propos tenus par Nikita, Jeff et d'autres responsables de l'organisation, endeuillés par la perte de deux de leurs membres durant l'année 2019 (Tuna et Thelockheed).

Bizarrement, c'est aussi ce que je ressens. Je me sens vieillir, je vois pas mal de choses changer chez moi, que ce soit sur le plan physique ou plus simplement sur mes aspirations. Je n'ai pas non plus le même regard sur la communauté Infosec que lorsque je l'ai rejointe, il y a de cela plusieurs années. Je vois des amis et des collègues disparaître, des hackers que je tenais en estime et qui s'en sont allés en 2019 (farewell Philemon & Ylujion). On n'a plus vingt ans, on a perdu toute insouciance, fondé des familles, réduit les nombres de nuits blanches à coder ou hacker.

Je me soigne, pas de panique !

J'ai pas mal réfléchi ces derniers jours, et je pense avoir trouvé une solution à cette période bizarre. Cela implique du hacking, une révision des priorités et de nouveaux challenges.

Premièrement, il me semble important de passer du temps avec les personnes qui me sont chères, c'est-à-dire ma famille et mes amis. Autrement dit, je vais prendre du temps avec mes deux minis-moi et ma femme, quitte à gratter sur le temps alloué aux projets personnels. Je vais ainsi pouvoir initier ma fille à Scratch, et faire tout plein de Legos avec eux (yay !).

Deuxièmement, je vais essayer de me sortir la tête de l'infosec quand c'est possible, et allouer du temps à des projets qui n'ont rien à voir mais qui relèvent quand même du hacking. Je vais ainsi prendre le temps de terminer les deux Super Minitels qui me reste à faire, et avancer sur un projet en rapport avec l'aéromodélisme (quand je vous dis que cela n'a rien à voir avec l'infosec !). Je mettrai peut-être plus d'infos ici quand il aura avancé.

Et enfin, je vais faire le tri dans les projets en cours ainsi que dans les tâches "habituelles" qui reviennent chaque année. Je vais par exemple arrêter de travailler sur la création des badges électroniques dans le cadre de leHACK et me concentrer sur l'organisation de Qui veut gagner des bitcoins, et seulement cela. Fini la conception des challenges associés au badge. Trop de temps perdu, trop de stress. Sans parler de certains fails relatifs aux badges qui se sont produits ces dernières années.

NB: ce billet de blog a été écrit à chaud, mais je pense que la réflexion qu'il présente va évoluer dans les jours et semaines à venir. Vous pouvez me donner votre feedback (insultes, encouragements, questions) via Twitter ou par mail, bien évidemment.



Les contenus disponibles sur ce blog sont publiés sous licence Creative Commons BY-NC-SA.
Vous pouvez réutiliser tout ou partie de ces contenus à condition de citer l'auteur et l'origine, vous ne pouvez en faire une utilisation commerciale, et enfin vous devez partager tout travail ou œuvre dérivée sous les mêmes conditions — c'est-à-dire avec la même licence d'utilisation Creative Commons.