J'ai eu (encore) la chance de participer en tant que speaker à DEFCON cette année, qui se déroulait dans les centres de convention des casinos Paris, Bally's, Planet Hollywood et Flamingo. Pour ceux qui ne connaîtraient pas cet évènement, je vous invite à visionner le documentaire qui a été réalisé pour les 20 ans de celui-ci, qui est téléchargeable sur leur serveur média.
Chaque année DEFCON grandit, s'étend de plus en plus, accueille de plus en plus de personnes (30 000 âmes en ce qui concerne l'édition 2019), de challenges, de villages qui ne sont rien d'autres que des évènements dans l'évènement. Autant dire qu'il est impossible de tout voir ou de tout faire durant les quatre jours que dure la conférence. Cela signifie aussi que DEFCON s'ouvre à un public plus large, moins averti, et pas toujours au fait des traditions. On voit ainsi des gens qui filment les participants avec leurs smartphones, ou font des selfies sans se soucier de savoir si des personnes étant dans le cadre sont d'accord pour les publier sur Facebook, Instagram ou Twitter. Et du coup, ça agace certaines personnes qui ne manquent pas de le faire savoir. Et je ne parle même pas de ce type que j'ai vu passer dans un couloir du centre de convention avec un stylo caméra, et qui le tenait bien devant lui pour filmer (oui, un stylo caméra cela se remarque très facilement).
Toujours est-il que cette édition était touffue: énormément de villages, de talks, de workshops, de challenges divers, difficile de tout voir ou de tout tester. J'ai particulièrement apprécié le village Hack The Sea et celui de l'Aviation, des domaines moins connus mais où la sécurité est aussi de mise et implique des systèmes peu communs. Par exemple, un village entier était destiné aux drones et aux moyens de les pirater. Des drones étaient à disposition, et quelques-uns volaient au dessus des personnes présente dans le village. La règlementation ici aux US est différente de la notre (qui a été votée en 2018, pour rappel).
Un autre village impressionnant est le Car Hacking Village. On y trouve deux voitures faisant partie d'un CTF, ainsi que des simulateurs de postes de conduite ne demandant qu'à être piraté via des bus CAN ou autres. Lors du dernier jour, une des voitures a été pas mal abîmée, notamment à coup de masse et de boule de bowling.
D'autres villages, comme l'ICS village, étaient aussi très intéressant, et offrait l'occasion de s'attaquer à des systèmes industriels simulés via quelques CTFs. Des talks étaient aussi présents sur ce village, abordant des sujets comme le pentest en environnement industriel ou des spécificités comme certains protocoles propres à ces systèmes.
Le badge officiel de DEFCON a cette année été conçu par Joe Grand (a.k.a Kingpin), et présente un tournant dans l'histoire des badges DEFCON. En effet, celui-ci a été pensé pour être un bijou plutôt qu'un badge. Joe Grand a ainsi découvert le monde de la fabrication de bijoux, et en particulier celui du taillage de pierre, qui est je dois l'avouer assez impressionnant. Les quelques 28 500 badges Human vendus à DEFCON possèdent une pierre de quartz brésilienne taillée et montée à la main. Il n'y a pas un badge identique, chaque pierre étant unique.
Le badge reste un badge électronique, avec un challenge présent dessus que plusieurs hackers se sont empressés de résoudre. Un lecteur de badge était par ailleurs disponible afin de vérifier l'état d'avancement de ce dernier.
Je n'arrive pas à me l'expliquer, mais j'ai eu du mal à me sentir à ma place cette année. Un truc bizarre au fond de moi qui m'a amené à m'isoler plutôt qu'aller à la rencontre des gens. Le pire dans cette histoire, c'est que je ne sais pas si c'est dû à ce que devient DEFCON ou à ce que je deviens moi (oui car voyez-vous, on ne se voit pas devenir con/crétin/idiot). Plusieurs fois je me suis assis par terre dans un couloir, avec mon ordinateur portable sur les genoux, à développer ou m'occuper à d'autres tâches qui n'ont rien à voir avec l'évènement. J'en ai eu assez de ces casinos, de cette ville de Las Vegas avec ses facettes bling bling et l'envers du décor qui au final est peu glorieux, de cette foule qui célèbre la grande messe du Hacking à base de fiestas, de pool parties et d'excès en tout genre. Désolé, je n'étais pas d'humeur.
A cela s'ajoute le sentiment de ne pas être à la hauteur, de ne rien savoir, d'autant plus lorsque l'on voit la diversité des domaines et techniques abordés dans les différents talks, challenges et villages. Je me sens rouillé, plus à la page, pas capable de résoudre des challenges simples, et je vais buter sur des trucs relativement idiots. Tenez, à votre avis qui a tenté (en vain) de résoudre le seul challenge de stéganographie du dernier CTF de Hack.lu, bien que le premier indice caché indiquait qu'il n'y avait pas de solution ? Bibi. Ce qui a bien fait rire un membre des Fluxfingers qui m'a vu m'arracher les cheveux dessus.
Quant à ma prestation à DEFCON 27, je n'en suis que partiellement satisfait. J'ai encore un mal fou avec les mêmes dans les slides: j'essaie de faire des trucs rigolos mais ça ne fait rire personne. Ajoutez à ça la différence culturelle (on est aux USA), cela rend la tâche encore plus ardue. Si ma carrière se termine en infosec, je sais au moins que je ne pourrais pas me recycler en comique. Loin de là. De plus, mon anglais est loin d'être parfait et je me force à ne pas préparer ce que je vais dire mais à tenter de simplement parler une fois sur scène. Ce qui peut expliquer les cafouillages et erreurs de grammaire ou de prononciation. Il me reste toujours l'excuse facile de dire que je suis français, et du coup ça fait toujours marrer.
Jeff Moss (a.k.a DarkTangent) évoquait lors de la cérémonie de clôture le fait que les organisateurs vieillissaient (et lançait par ailleurs un défi aux hackers du Biohacking village), ce qui se traduisait globalement par une fatigue plus ressentie et la disparition tragique de hackers, de goons, de membres de l'organisation ayant dédié des années à DEFCON. Beaucoup d'émotion d'ailleurs dans les propos tenus par Nikita, Jeff et d'autres responsables de l'organisation, endeuillés par la perte de deux de leurs membres durant l'année 2019 (Tuna et Thelockheed).
Bizarrement, c'est aussi ce que je ressens. Je me sens vieillir, je vois pas mal de choses changer chez moi, que ce soit sur le plan physique ou plus simplement sur mes aspirations. Je n'ai pas non plus le même regard sur la communauté Infosec que lorsque je l'ai rejointe, il y a de cela plusieurs années. Je vois des amis et des collègues disparaître, des hackers que je tenais en estime et qui s'en sont allés en 2019 (farewell Philemon & Ylujion). On n'a plus vingt ans, on a perdu toute insouciance, fondé des familles, réduit les nombres de nuits blanches à coder ou hacker.
J'ai pas mal réfléchi ces derniers jours, et je pense avoir trouvé une solution à cette période bizarre. Cela implique du hacking, une révision des priorités et de nouveaux challenges.
Premièrement, il me semble important de passer du temps avec les personnes qui me sont chères, c'est-à-dire ma famille et mes amis. Autrement dit, je vais prendre du temps avec mes deux minis-moi et ma femme, quitte à gratter sur le temps alloué aux projets personnels. Je vais ainsi pouvoir initier ma fille à Scratch, et faire tout plein de Legos avec eux (yay !).
Deuxièmement, je vais essayer de me sortir la tête de l'infosec quand c'est possible, et allouer du temps à des projets qui n'ont rien à voir mais qui relèvent quand même du hacking. Je vais ainsi prendre le temps de terminer les deux Super Minitels qui me reste à faire, et avancer sur un projet en rapport avec l'aéromodélisme (quand je vous dis que cela n'a rien à voir avec l'infosec !). Je mettrai peut-être plus d'infos ici quand il aura avancé.
Et enfin, je vais faire le tri dans les projets en cours ainsi que dans les tâches "habituelles" qui reviennent chaque année. Je vais par exemple arrêter de travailler sur la création des badges électroniques dans le cadre de leHACK et me concentrer sur l'organisation de Qui veut gagner des bitcoins, et seulement cela. Fini la conception des challenges associés au badge. Trop de temps perdu, trop de stress. Sans parler de certains fails relatifs aux badges qui se sont produits ces dernières années.
NB: ce billet de blog a été écrit à chaud, mais je pense que la réflexion qu'il présente va évoluer dans les jours et semaines à venir. Vous pouvez me donner votre feedback (insultes, encouragements, questions) via Twitter ou par mail, bien évidemment.