Le SSTIC 2024, retour d’expérience
Les 5, 6 et 7 juin derniers se tenaient au Couvent des Jacobins, à Rennes, la 21ème édition du SSTIC, sous le thème des Jeux Olympiques.
Le Symposium sur la Sécurité des Technologies de l’Information et des Communications (SSTIC) est un événement annuel en France, dédié à la recherche et à l’innovation en matière de cybersécurité. Depuis sa création, le SSTIC rassemble des experts, des chercheurs, des professionnels de l’industrie et des passionnés de sécurité informatique pour échanger sur les avancées du domaine.
Pour ma première participation, j’ai décidé de revenir sur les présentations qui m’ont le plus marqué.
Ma plus grande découverte
La plus grande découverte pour moi a porté sur la présentation intitulée Action Man VS Octocat: GitHub action exploitation, car je n’avais pas encore saisi tous les enjeux de sécurité liés aux injections de code dans les workflows de CI/CD.
Les processus d’intégration et de déploiement continus sont cruciaux pour le développement logiciel moderne, et cette présentation m’a permis de réaliser l’impact que ces injections de code au sein de ces workflows peuvent avoir, en permettant la compromission des différents secrets utilisés pour l’environnement du workflow, d’obtention de la permission d’écrire au sein du répertoire Git, voire même du runner s’il est auto-hébergé.
Ma présentation préférée
La présentation Enhancing spatial safety: Better array-bounds checking in C (and Linux) sur le bound-checking des arrays au sein du kernel Linux était également particulièrement intéressante, pour moi qui suis un amateur de développement kernel.
Animée par un maintainer du kernel Linux, Gustavo A. R. Silva, cette présentation a mis en lumière les mécanismes essentiels de vérification des limites des tableaux.
L’intervenant a détaillé les techniques employées pour prévenir les dépassements de mémoire, assurant ainsi la stabilité et la sécurité du kernel, lors de la compilation. J’ai trouvé très notable que le travail qu’il a effectué sur ce problème, et qui a demandé des dizaines de milliers de correctifs au sein du code du noyau Linux sur 5 ans, n’ait été fait qu’à 2 personnes uniquement !
La présentation qui m’a fait changer d’avis
Enfin, la présentation sur le sujet de la cryptographie quantique La transition à la cryptographie post quantique, fardeau ou aubaine?, était une présentation haut niveau ne contenant pas de détails techniques.
Toutefois, elle m’a convaincu de l’intérêt d’un usage de plusieurs algorithmes de chiffrement en parallèle pour augmenter la robustesse de la cryptographie utilisée, alors que j’étais initialement sceptique.
Les arguments sur les avancés à la fois sur la construction de machines physiquement de plus en plus performantes, mais également sur la simplification des contraintes mathématiques, justifie l’intérêt combiner dès aujourd’hui plusieurs algorithmes, permettant de créer des couches de protection supplémentaires.
Cela rend ainsi la cryptographie plus difficile à compromettre, et permet de ne pas se reposer sur un unique problème mathématique difficile à résoudre, qui pourrait céder du jour au lendemain. Cette stratégie hybride permet de compenser les faiblesses potentielles de chaque algorithme, assurant ainsi une meilleure sécurité globale.
Au final, ce fut une très bonne expérience, et je reviendrai certainement à une prochaine édition 🙂
NathanINGENIEUR SECURITEUn pentester qui a assisté pour la première fois au SSTIC !