Chapeau noir 2019: ce que nous attendons

La conférence annuelle sur le piratage DEF CON a commencé comme un accident en 1993 et ​​se développe depuis. Black Hat, lancé en 1997 par Jeff Moss (Dark Tangent), fondateur de DEF CON, est son cousin plus formel.

Pour paraphraser un discours de bienvenue prononcé par Moss il y a quelques années, des amis lui ont dit: "Pourquoi n'invitez-vous pas plus de gens, ne leur faites-vous pas payer beaucoup d'argent et leur faites-vous porter un costume?" La plupart des costumes sont partis, mais Black Hat s'agrandit chaque année, avec 19 000 participants l'année dernière.

Black Hat se compose de deux parties très différentes. Du samedi au mardi, les experts en sécurité et les experts en devenir paient des milliers de dollars pour participer à des sessions de formation destinées à parfaire leurs compétences dans un large éventail de tâches de sécurité. La presse n'est pas invitée. Mercredi et jeudi, la conférence passera aux briefings, au cours desquels des experts en sécurité et des universitaires du monde entier partageront leurs dernières découvertes, leurs nouvelles vulnérabilités et leurs recherches de pointe.

Certaines présentations sont trop obscures, même pour les experts en sécurité de PCMag, mais de nombreuses autres concernent la vie et la vie privée de chacun. Voici quelques-uns des événements que nous attendons avec impatience.

Controverse principale

En juin, l'équipe de Black Hat a annoncé que le représentant (maintenant sortant) William Hurd, républicain du Texas et ancien officier de la CIA, animerait l'événement. Quelques jours plus tard, le législateur a été "invité" sur la base de son dossier de vote conservateur, a-t-il déclaré. L'équipe de la conférence a déclaré qu'ils "avaient mal jugé la séparation entre technologie et politique". Dino Dai Zovi, entrepreneur, chercheur et conférencier dans le domaine de la sécurité depuis longtemps, montera sur le podium.



Révéler le culte de la vache morte

Dans les années 80, un groupe de pirates informatiques et de sysops BBS au Texas formait un groupe qu'ils appelaient le «culte de la vache morte», du nom d'un abattoir local. Le cheval de Troie d'administration à distance Back Orifice a fait l'actualité à la fin des années 90, mais vous avez peut-être entendu son nom plus récemment grâce au candidat à la présidence Beto O'Rourke, qui faisait autrefois partie du groupe. Nous avons très hâte d'assister à une séance sur l'histoire du groupe et ses objectifs, qui mettra en vedette trois membres influents du groupe, notamment Mudge et Deth Vegetable.



Deepfakes

Le coffre-fort le plus robuste au monde ne protégera pas vos objets de valeur si quelqu'un cède la combinaison. De même, la sécurité informatique dépend de facteurs humains, suffisamment pour qu'il y ait une piste complète de facteurs humains pour les briefings. Plusieurs entretiens portent sur la menace des vidéos deepfake, dont l’une qui vise à détecter les faussetés à l’aide de souris (les rongeurs, et non l’ordinateur). L'hameçonnage, la manipulation des médias sociaux et, ironiquement, l'utilisation de la loi sur la protection de la vie privée pour voler des informations privées.



Internet des objets non sécurisés

Aucune conférence Black Hat ne serait complète sans une bonne dose de piratage informatique. Dans le passé, nous avons eu recours à des techniques permettant de maîtriser complètement les caméras de sécurité et à des chargeurs truqués qui permettent à votre téléphone de fonctionner en une minute. Nous sommes impatients de discuter du piratage des moteurs électriques à tous les niveaux, des actionneurs dans les voitures autonomes au tout petit appareil qui fait vibrer votre smartphone. Une autre conférence fait état de vulnérabilités dans le réseau interne du Boeing 787. Peut-être devrions-nous conduire à Las Vegas.



Attaquer l'iPhone

Il est de notoriété publique que Windows et Android sont très vulnérables aux attaques, macOS l'est beaucoup moins et iOS est le plus sûr de tous. En effet, les développeurs de programmes malveillants se concentrent sur Windows et Android. Mais les maîtres hackers présents sur Black Hat s’attaquent plutôt à la cible la plus difficile.

Une chercheuse de Google présentera ses découvertes sur les techniques permettant d'attaquer l'iPhone à distance. Une autre équipe promet une technique pour jailbreaker l’iPhone XS Max. De peur que nous perdions confiance, Ivan Krstić de Apple accompagnera les participants dans les coulisses pour leur expliquer ce qui rend iOS et macOS aussi sûrs. Son exposé sur la sécurité iOS il y a quelques années a réussi à prendre des détails extrêmement obscurs et à les rendre compréhensibles.



De la cyberguerre à la guerre chaude?

Si Freedonia tire un missile en Ruritanie, les Ruritaniens ont sûrement raison de riposter. Mais que se passe-t-il si Freedonia déclenche un logiciel malveillant Advanced Persistent Threat ou arrête à distance le réseau électrique ruritanien? Mikko Hypponen, chercheur de longue date dans le domaine de la sécurité et directeur de la recherche chez F-Secure, explorera ce sujet épineux. Quand verrons-nous une réaction de lancement de missile à une cyberattaque?



Pas de protection contre le piratage électoral

Qu'importe pour qui vous votez, si les machines à voter sont piratées? Nous attendions avec impatience une présentation intitulée "Ne peut toucher à cela: Protéger les élections de 2020 en évaluant et en hiérarchisant les risques informatiques dans les systèmes électoraux critiques". Hélas, cette session a disparu de la liste et les orateurs ne figurent plus dans la liste des orateurs. Coïncidence? Ou action ennemie?



Piratage de voitures sans conducteur

Pendant des années, le duo désinvolte et intelligent de Charlie Miller et Chris Valasek a diverti (et alarmé) les participants à Black Hat avec des présentations sur le piratage de voitures, y compris la conduite à distance d'un Jeep Cherokee dans un fossé. L'année dernière, ils ont expliqué pourquoi les voitures autonomes sont étonnamment sûres. Pour la première fois depuis des années, Valasek et Miller ne font pas partie de l'alignement pour Black Hat, mais cela ne signifie pas que les voitures sont en sécurité. Les sujets que nous suivons incluent la mauvaise direction des véhicules en interférant avec leurs systèmes de navigation et un nouveau rapport de Keen Security Group, expert en piratage de voitures, sur les vulnérabilités détectées dans les véhicules BMW.



5G peur

Tout le monde a entendu parler de la 5G, mais la plupart des gens ne savent probablement pas ce qu'est la 5G ou ce qu'elle fait réellement. Cela est particulièrement vrai en ce qui concerne la sécurité de cette norme sans fil ultrarapide. Les opérateurs de téléphonie mobile ont à peine commencé à déployer leurs réseaux 5G et les chercheurs s’inquiètent déjà des conséquences d’un nouveau système destiné à tout connecter en permanence.



Des sauterelles?

La conférence Black Hat a lieu dans le centre de conférence de la baie de Mandalay. Vous pouvez rejoindre le Four Seasons, le Delano, le Louxor et même l'Excalibur sans jamais sortir. Et c'est probablement une bonne chose, puisque Las Vegas est actuellement attaqué par des millions de sauterelles. Les participants à l'Evolution Championship Series (Evo), qui chevauchent les briefings de Black Hat, n'ont pas connu de répit. Les participants à Black Hat devront-ils participer au débogage de la conférence? Les attaques par déni de service alimentées par des sauterelles sur les appareils d'éclairage rendent-elles les sorties à l'extérieur dangereuses? Est-ce que tout l'essaim se dirigera vers la stratosphère en suivant le faisceau de lumière de la pyramide de Louxor? Sommes-nous sûrs que ce sont des sauterelles et non de petits drones? Nous ne pouvons qu'attendre et voir.



Chapeau noir après les heures

De la salle Foundation 63 histoires au-dessus du Strip à la House of Blues, des petits dîners au Skyfall Lounge au sommet du Delano, les journées du Black Hat continuent avec des activités après les heures normales de travail. Ces réceptions et fêtes nous donnent un aperçu du côté humain de la sécurité et nous aident à mieux connaître les génies impliqués. Ils offrent également de nombreuses possibilités de discussions officieuses et de partage non officiel d'informations. Nous essayons donc de participer à autant d'événements que possible. C'est un travail difficile, mais quelqu'un doit le faire.