Pour ma première année au SSTIC, on peut dire que je n’en ressors pas la tête vide, bien au contraire. J’ai appris qu’il fallait mettre de la colle sur mes ports PCI, ne pas faire confiance à l’informatique de confiance, commant refaire une “yes card”, ne jamais ouvrir un pdf inconnu avec Adobe (ou ne jamais compiler un document latex d’une source inconnu…), et surtout, ne pas utiliser de clavier PS2…
Mais bon, c’est bien connu, on fais un métier d’avenir…
Sans rentrer dans les détails, j’ai particulièrement apprécié :
- la conférence sur fuzzgrind, un outil qui se base sur valgrind + stp pour explorer des nouvelles branches dans l’exécution du programme. Avec ce système, il nous montre comment passer outre un crackme simple…
- le XSS : bon, rien de nouveau sous le soleil, mis à part des démos plus sophistiquée qui rappelle à tout le monde de ne jamais cliquer sur un lien sans regarder le lien 🙂 En live, la démontration d’un vol de compte Facebook, et un déface du site même du SSTIC 🙂
- pour la culture générale, la présentation sur le tracage de traite. On apprend comment une vidéo est signée, et même après réencodage / convergence de plusieurs sources, on retrouve par statistiques ceux à l’origine du piratage de la vidéo… Très sympa !
- IpMorph ! Comment faire croire à un attaquant que la machine en face de lui est un OpenBSD au lieu d’un Linux, et ce, avec tous les outils de fingerprinting (nmap, hping…).
Sans oublier le Social Event du jeudi soir, où j’ai pu discuter avec pleins de gens. Dont monsieur Scappy :)=
Pour plus d’infos, vous pouvez lire aussi le live blogging de vanhu (ya des jolis nanas, n’hésitez pas !) 🙂