Conférence DeepSec: Focus sur la situation précaire de la sécurité du réseau mondial de téléphonie mobile.
33 interventions et 8 workshops par des experts internationaux en sécurité informatique.
La conférence internationale DeepSec sur la sécurité rassemblera à Vienne, du 23 au 26 novembre 2010, l’élite mondiale dans le domaine de la sécurité des
réseaux et du hacking. Cette année, l’accent sera porté sur la sécurité des systèmes mobiles et de leurs utilisateurs ainsi que sur l’infrastructure de la prochaine génération. Les sociétés d’informatique et de sécurité, les usagers, les responsables d’administrations, les chercheurs, la communauté hacker se verront à nouveau offrir la chance de participer à une programmation abondante comprenant 33 interventions et 8 workshops. «Nous sommes très heureux de permettre à tant d’experts d’échanger, pour la quatrième fois, leurs expériences et leurs idées autour du thème essentiel de la sécurité des technologies de l’information» nous explique René Pfeiffer, organisateur du DeepSec.
Les attaques en temps réel sur iPhone: vulnérabilité des systèmes de téléphonie mobile.
Pour la première fois au Deepsec, l’expert en sécurité Ralf Philip Weinman nous donne un exemple de la vulnérabilité des usagers de téléphone portable
face au vol de données: il présente dans sa conférence un moyen de pirater l’iPhone d’Apple grâce à une station de base GSM sans même accéder à l’appareil ou à sa connexion internet. Il n’utilise, pour le transport des données, que le réseau cellulaire standard (GSM) utilisé dans 219 pays par 4,3 milliard d’utilisateurs et sur lequel transitent les communications mobiles usuelles.
Weinman, dans son intervention, démontre la réelle vulnérabilité des systèmes de sécurité actuels dans le domaine de la téléphonie mobile. Sa conférence «All your baseband are belong to us» aura lieu le 26 novembre à 11h50.
D’autres orateurs se consacreront à la question brûlante de la sécurité des téléphones portables dans le cadre du Deepsec: un workshop de deux jours
«Attacks on GSM networks» permettra aux experts Karsten Nohl (Security Research Labs, Berlin) et Harald Welte (HMW-Consulting, Berlin) de révéler les
zones critiques de la sécurité des cellulaire pendant que Raphaël Rigo de l’agence nationale francaise de la sécurité des systèmes d’information exposera les faiblesses des téléphones utilisant le système d’exploitation Android de Google dans sa conférence: «Android: Reverse Engineering and Forensics».
Espionnage dans les services de Hotline.
Refuseriez-vous l’accès à des renseignements à un prétendu supérieur hiérarchique vous contactant par téléphone? Les hackers actuels utilisent de facon de plus en plus ciblée le sentiment d’insécurité et l’ignorance de beaucoup de collaborateurs afin d’accéder aux informations sensibles de l’entreprise.
Les experts en sécurité britanniques Sharon Conheady et Martin Law de l’agence First Defence Information Security dévoilent la sophistication des méthodes
d’attaque utilisant ce que l’on appelle l’«ingénierie sociale»: les collaborateurs sont espionnés de facon ciblée afin de briser, grâce aux informations obtenues, les barrières techniques de sécurité d’une entreprise. Les virus de type “cheval de Troie” ainsi que les failles de sécurité du navigateur sont également employés, comme par exemple la création d’un faux site internet imitant celui de l’entreprise et qui conduira l’utilisateur non-averti à servir sur un plateau d’argent ses données d’accès réseau à l’assaillant anonyme.
L’ingénierie sociale se révèle particulièrement dangereuse en connexion directe: le pirate se présente souvent sous l’identité d’un supérieur hiérarchique afin d’intimider la victime (par exemple un employé de hotline) et de lui soutirer des informations. Des conversations téléphoniques apparemment anodines sont également devenues monnaie courante, les pirates y faisant appel aux conventions sociales afin d’obtenir des informations.
«Beaucoup de gens sont stupéfaits d’apprendre que ce genre de technique ne concerne plus seulement les thrillers hollywoodiens» nous explique René Pfeiffer, organisateur du Deepsec. Les participants découvriront, lors d’un workshop lui aussi de deux jours, comment sensibiliser leurs collaborateurs aux attaques utilisant l’ingénierie sociale afin de renforcer la sécurité des données de leur entreprise.
DeepSec favorise la prise de conscience et l’échange d’idées de spécialistes.
DeepSec se veut une plate forme neutre permettant aux experts en sécurité de tous horizons d’échanger idées et expériences. La conférence souhaite aussi
combattre le préjugé largement répandu du hacker aux activités obligatoirement criminelles.
«Au contraire. Pour beaucoup d’entre eux, il s’agit plutôt de découvrir et de révéler les failles de sécurité des systèmes. Comme dans d’autres domaines, on ne peut éliminer que les risques que l’on connait et que l’on a étudié» nous dit René Pfeiffer.