35C3 - J1/4 Conférences sur la sécurité informatique, le hardware et making, l’éthique, la société et les politiques, l’art et la culture, les sciences et la résilience

27.12.2018 - par Valérie Dagrain CC-BY-SA 4.0

Présentation
Depuis 1984, le CCC, Chaos Computer Club, accueille chaque année des intervenant-es sur des thèmes de la sécurité informatique, le hardware et making et qui se sont élargis à l’éthique, la société et les politiques, l’art et la culture, les sciences et la résilience.
Originellement le Congrès se déroulait à Berlin, puis Hambourg pour accroitre sa capacité d’accueil et mobiliser ailleurs. Tout comme en 2017, le congrès se déroulera à Leipzig en Allemagne.
C’est 35ème édition se nomme 35C3, étant organisée par le CCC (C3).
Pour 2018, la devise du congrès est « refreshing memories ».
Le programme
Consulter le programme des 155 conférences qui se déroulent du 27 au 30 décembre 2018.
Le programme comprend des projets sur place et des "lightning talks" où chacun peut s’inscrire pour présenter en 1mn, un projet, un état d’avancement ou une demande de conseils. Un grand merci au comité du CCC pour la visibilité significative de femmes conférencières.

Toutes les informations et ressources sur le site organisateur

Synthèse des 4 journées de conférences
1ere journée le 27.12.2018, 2ème journée le 28.12.2018 (en cours), 3ème journée le 29.12.2018 (en cours) et la 4ème journée le 30.12.2018 (en cours).


J1 - Des conférences du 27 décembre 2018

Éthiques, Société et Politiques

  • Le précariat : une classe perturbatrice pour des périodes perturbatrices. Cette présentation explique l’apparition du précariat et comment définir une transformation globale pour sauver notre planète. La combinaison de la révolution technologique en cours, de la mondialisation et de ce que l’on appelle habituellement les politiques économiques « néo-libérales » ont généré un système mondial de capitalisme rentier dans lequel les droits de propriété ont supplanté les principes du marché libre et dans lequel une nouvelle structure de classe mondiale s’est formée. Le système de répartition des revenus du XXe siècle s’est effondré de manière irrémédiable et une nouvelle classe de masse, le précariat, a connu une croissance spectaculaire dans toutes les régions du monde. (NB : l’intervenant a cité "Liberté, égalité, solidarité" en français).
  • L’éthique des hackers - Responsabilité et éthique dans la gestion critique de la technologie. L’éthique des hackers est la base pour traiter les divers problèmes éthiques qui se posent dans l’approche critique créative chez les hackers. Le hacker fournit des indices sur des problèmes qui surviennent lorsque vous utilisez la technologie différemment de ce que le fabricant pensait, lorsque il trouve une faille dans un systèmes et que des informations personnelles peuvent être exploitées. L’intervenant témoigne : qu’avant, on pouvait faire de belles choses avec un ordinateur. En 1984 les geeks étaient rejetés mais grâce au CCC on était enfin chez soi. Le hacking c’est faire, c’est créatif, ce n’est pas faire des mauvaises choses. Il faut juger les hackers sur ses valeurs. Il faut expliquer aux gens qu’il ne faut pas donner ses informations personnelles, car les états privatisent et vendent nos données. Demain on ne disparaitra pas si Facebook ferme. Utilisons plutôt notre temps pour construire.
  • On se sent toujours comme si les "Five Eyes" nous observaient - La quête de sécurité de « Five Eyes » nous révèle une insécurité généralisée. Cette discussion traitera de l’alliance d’espionnage entre l’Australie, le Canada, la Nouvelle-Zélande, le Royaume-Uni et les États-Unis. Il s’agit de l’une des plus importantes opérations de renseignement au monde, qui surveille des milliards de communications dans le monde entier au nom de la sécurité. Pourtant, les Five Eyes proposent d’affaiblir la sécurité, la confidentialité et la possibilité de systèmes sécurisés. Cette conférence va entrer dans les détails sur Five Eyes (FVEY) : couvrant ses origines au lendemain de la Seconde Guerre mondiale, son expansion dans la guerre froide, ECHELON et sa nouvelle expansion dans l’ère de la lutte contre le terrorisme, jusqu’à aujourd’hui où les Five Eyes peuvent mettre en place une surveillance de masse et bloquer du cryptage à un niveau élevé. Ressources : Electronic Frontier Foundation.
  • Sciences fermées, faire tomber les tarifs des publications scientifiques. Restreindre l’accès au savoir et à la science n’est pas bénéfique pour la société. Alors, pourquoi les résultats scientifiques sont-ils toujours bloqués par des tarifs ? La politique, les financeurs, les bibliothèques et les scientifiques doivent unir leurs forces pour ouvrir l’accès aux savoirs. Les directives, les référentiels et la démarche #ICanHazPDF représentent des exemples d’approches. Le projet DEAL est reconnu par de nombreux scientifiques allemands et de grands éditeurs universitaires.
  • (Cyber-)harcèlement criminel : quand les frontières sont floues. Des messages indésirables jusqu’aux menaces à l’intimicide. En 2017 seulement, environ 18 483 cas de harcèlement criminel ont été signalés par la police et le nombre de cas non signalés est estimé entre 600 000 et 800 000. Le terme harcèlement criminel fait généralement référence à "la poursuite répétée et illégale et au harcèlement d’une personne, de sorte que sa sécurité est menacée et que sa vie est gravement altérée". Les modes de réalisation et l’intensité du harcèlement criminel ou du cyberharcèlement sont très hétérogènes, ce qui soulève souvent la question de la limite de la responsabilité pénale. Le présentation porte sur les causes et les typologies du harcèlement, quels sont les soutiens et les possibilités légales.
  • Le système de crédit social. Pourquoi c’est meilleur et pire qu’on ne l’imagine. Le système de Crédit Social Chinois (SCS) fait l’objet de discussions dans les médias occidentaux or nous ne connaissons pas l’impact national qu’il aura d’ici 2020 : plus de 70 projets pilotes sont en cours (programmes commerciaux de redevances et de récompenses (crédit Sésame). Ce système orwellien, dans lequel chaque action a un score associé prédéterminé (Rongcheng) comprend des algorithmiques nébuleux qui fonctionnent essentiellement comme une boite noire (Honesty Shanghai). De plus, la plupart des systèmes testés génèrent de l’auto-censure et sont sujets à manipulation par des décideurs...
  • Rapport sur la cybersécurité électorale. Les États-Unis seront-ils prêts pour 2020 ? - Les récentes attaques contre les élections aux États-Unis et en Europe montrent que les assaillants d’États-nations sont de plus en plus agressifs, alors même que la campagne électorale et le vote dépendent de plus en plus des ordinateurs. Combien de choses ont changées depuis 2016, lorsque les États-Unis ont subi des attaques sans précédent sur leur infrastructure électorale ? Que faut-il faire pour que l’élection présidentielle de 2020 soit sécurisée ? Cet exposé présente des résultats de recherches avec les législateurs et des responsables d’élections, une simulation d’élection avec une machine à voter américaine actuelle (utilisée dans 18 États américains) pour montrer comment les cyberattaques sur l’infrastructure électorale peuvent changer les résultats, des propositions d’éléments de sécurisation et comment contribuer pour préserver les fondements de la démocratie.
  • En Allemagne, le groupe parlementaire de l’AfD est surtout perçu par le public par ses positions racistes. La présentation sera animée par un membre du Parlement des verts, qui suis le comportement de l’AfD sur une base quotidienne dans les débats politiques de réseau au Bundestag : dans la chambre, dans le Comité de l’agenda numérique, à la Commission enquête sur l’intelligence artificielle et à des événements et Discussions avec des organisations non parlementaires.
  • Citoyens ou sujets ? La bataille pour contrôler notre corps, notre parole et nos communications - Un appel à l’action pour défendre notre vie privée numérique (ePrivacy) et éliminer les filtres de téléchargement. Les algorithmes peuvent être sur le point de contrôler notre liberté d’expression alors que les technologies de suivi pourraient contrôler notre corps et nos communications. Allons-nous réagir ou rester silencieux ? Qu’il s’agisse d’empêcher la diffusion de contenus terroristes ou d’empêcher la violation du droit d’auteur, la solution proposée par le législateur consiste en des filtres de chargement. Bien que le contenu soit contrôlé par des algorithmes, les périphériques doivent être surveillés donc la confidentialité des communications doit également être sécurisée désormais. Nous avons peu de temps pour empêcher ces menaces de devenir une réalité, mais nous avons la majorité des citoyens de notre côté et les élections européennes approchent...

  • La protection des données est un domaine juridique important, mais souvent mal compris même s’il est dans le règlement de base au niveau européen. En Allemagne, parmi les objectifs de la conférence, sera abordé le droit, les effets positifs sur le citoyen depuis la codification par le BVerfG et la loi sur la protection des données de Hesse, les innovations récentes depuis DSGVO, l’impact du RGPD, notre politique de confidentialité...
  • Les lois de la Police. Le ministre de la Patrie, Horst Seehofer, et ses homologues des États élargissent les droits de la police et envisagent une "loi type sur la police". Nous présenterons un aperçu des nombreuses nouvelles réglementations en matière de police dans les États fédéraux, mais également des comptes rendus des auditions dans les parlements des États et des déclarations. Nous expliquons ce que contiennent les nouvelles lois et quelles transgressions juridiques et techniques nous devons critiquer.
  • Chaos au conseil de télévision. "Depuis juillet 2016, je suis nommé, entre autres par le CCC, sur le secteur "Internet" du Conseil de la télévision de la ZDF. Après 2 années, le moment est venu d’examiner ce que fait un conseil de la télévision, que font les offres de services publics sur Internet et que devraient-ils réellement faire ? (D64 - Centre pour le progrès numérique).
    Témoignage qu’avec la BBC qui s’ouvre, tout le monde pourrait produire. Il faut avoir des données ouvertes avec des fonds publics, mais ce n’est pas toujours compatibles avec les licences CC,Youtube est très visible, Wikipedia permet des corrections de fakenews..."
  • G10, loi BND et la protection contre les droits fondamentaux - Le monitoring stratégique des télécommunications du BND devant la Cour constitutionnelle fédérale. La conférence traite de l’action en justice du nœud internet DE-CIX contre la surveillance stratégique des télécommunications du BND devant le Tribunal administratif fédéral de Leipzig, ce que nous pouvons apprendre de l’arrêt sur la protection juridique des citoyens et des raisons pour lesquelles l’affaire concerne maintenant le Tribunal constitutionnel fédéral de Karlsruhe.
  • Un entre-règne de routage : transition de l’infrastructure Internet en Crimée après l’annexion de la Russie. Cette conférence décrypte l’histoire des transformations de l’infrastructure Internet en Crimée, cette péninsule en conflit entre la Russie et l’Ukraine entre 2014 et 2018. Elle repose sur une vaste étude d’une année comprenant des mesures de réseau et des entretiens avec des acteurs clés. La Crimée est devenue un "laboratoire" où nous pouvons observer, en seulement 4 ans, une transition rapide et profonde des infrastructures qui a eu de profondes répercussions sur le marché des fournisseurs de services Internet, les trajectoires de routage et les pratiques de censure d’Internet dans la région. Cela génère une infrastructure très centralisée et un marché monopolistique, impacte la qualité, la rapidité et le prix du service Internet, de la censure d’Internet et de diverses anomalies sur le trafic. On constate aussi le géoblocage côté serveur par les plateformes de paiement en ligne, Google Play, Apple et d’autres services importants, qui est imposé aux utilisateurs criméens, en raison de sanctions internationales ... générant une "balkanisation" d’Internet. D’autre part, nous avons mené une vaste étude qualitative comprenant des entretiens avec des fournisseurs de services Internet de Crimée, des activistes technologiques ukrainiens et russes, des représentants de RIPE et d’autres instances de gouvernance de l’Internet ; une ethnographie du réseau (analyse des discussions et des forums professionnels de fournisseurs de services Internet de Crimée et d’Ukraine) et une analyse des médias. Sources : Citizen Lab, OONI, RIPE et CAIDA du Internet Health Report.
  • Mises à jour de la frontière extérieure européenne. En tant qu’organisation pour l’observation des Droits de l’homme, nous présentons des situations actuelles à la frontière extérieure de l’UE en Méditerranée. Mare Liberum utilise un navire en mer Méditerranée pour documenter les violations des droits de l’homme. Nous travaillons actuellement dans la mer Égée, la frontière maritime entre la Turquie et la Grèce. Des milliers de personnes y cherchent toujours refuge et dignité. Du temps est passé depuis les interventions de Sea-Watch et de l’équipage de Iuventa. Nous questionnerons sur pourquoi les États européens ne parviennent-ils pas à mettre fin à ces décès après cinq ans de catastrophe en Méditerranée ? Quels sont les acteurs étatiques et que font-ils ? ...
  • Frontex, le service européen de renseignement aux frontières. Le système de surveillance des frontières EUROSUR rassemble des données de reconnaissance provenant de satellites, d’avions, de drones et bientôt de ballons captifs. L’agence pour les frontières de l’UE, Frontex, met en œuvre de nouvelles méthodes de surveillance en Méditerranée. Les capacités de surveillance de la "frontière frontière" font partie du système de surveillance des frontières EUROSUR lancé par l’Union européenne il y a cinq ans. EUROSUR relie le siège de Frontex à Varsovie aux autorités frontalières des 28 États membres. Au cœur du système EUROSUR, se trouve la reconnaissance par satellite, où Frontex peut également observer ses frontières. Les images proviennent de services de satellites commerciaux ainsi que de satellites optiques et radar du programme européen d’observation de la Terre "Copernicus". Ils sont collectés, traités et transmis à Frontex par le Centre satellitaire de l’Union européenne (SatCen). Parmi les fournisseurs d’images figure la société d’armement au sein d’Airbus, qui vend des images de ses satellites radar "TerraSar-X" et "TanDEM-X" avec une résolution de 24 cm. "Copernicus" est le 1er client à utiliser "l’autoroute de données spatiales" du groupe Airbus pour une communication rapide avec les satellites. L’utilisation des données pour des utilisateurs individuels a récemment été simplifiée. Les capacités techniques de "Copernicus" vont maintenant être étendues pour détecter et signaler les "irrégularités du comportement de navires". Frontex a lancé un service aérien polyvalent en 2017 : les vidéos prises depuis des avions au-dessus de la Méditerranée sont diffusées en temps réel vers le siège d’EUROSUR à Varsovie. Depuis 2018 Frontex reçoit des images de drones MALE de reconnaissance pilotés par l’Agence de la sécurité maritime. La présentation pose la question : de l’accès à ces données pour que les associations et ONG puissent sauver des naufragés face à l’intervention de militaires.

Sécurité

  • SiliVaccine : l’arme de détection de masse en Corée du Nord. Comment j’ai appris à ne plus m’inquiéter et à aimer les portes dérobées/backdoor. SiliVaccine, c’est la solution anti-virus nationale de la Corée du Nord, continuellement développée par des équipes gouvernementales depuis 15 ans. Dans cet exposé, nous décrivons comment nous avons pu obtenir un exemplaire, comment nous l’avons étudié (reverse) et découvert qu’il a été crée par une industrie secrète avec des pratiques obscures.
  • wallet.fail. Piratage de portefeuilles de crypto-monnaie les plus populaires. Nous montrerons les vulnérabilités architecturales, physiques, matérielles, logicielles et micro-logicielles que nous avons détectées. Les attaques passent par la destruction de la protection propriétaire à la rupture des interfaces Web utilisées pour interagir avec les portefeuilles, en passant par des attaques physiques. Nous fournirons des solutions plus résilientes d’autant plus que de nombreux traders, gestionnaire de fonds, OIC et projets de blockchains stockent l’intégralité de leur crypto-monnaie sur un ou plusieurs portefeuilles. Cela signifie que les utilisateurs de ces portefeuilles stockent des dizaines de millions d’euros de crypto-monnaie sur de petits périphériques USB dont la fabrication ne coûte que quelques euros ! Nous présenterons les vecteurs d’attaque et les défis pour sécuriser. Certaines des vulnérabilités (les plus amusantes) seront démontrées en direct sur scène (dont le snif et hack d’un signal IoT) !!
  • Tous vos dossiers de santé nous appartiennent. Aussi sûr que les services bancaires en ligne" : le dossier électronique du patient arrive... pour tout le monde. Cette conférence présente des erreurs critiques que Vivy & Co. a commises et comment y remédier, car, dans 3 ans au plus tard, les données relatives à la santé de tous les autres assurés devraient être stockées de manière centralisées et accessibles en ligne. La carte de santé électronique a échoué. Vient maintenant le dossier électronique du patient : les résultats, diagnostics, radiographies et ordonnances de tous les assurés statutaires assurés en ligne et stockés de manière centralisées devraient être disponibles. Comme le demande Jens Spahn, ministre de la Santé (en Allemagne), il sera possible d’"accéder également au dossier électronique de patient depuis des tablettes et smartphones". Parallèlement, le traitement en ligne est sur le point de devenir une réalité : l’interdiction du traitement à distance a été annulée il y a quelques mois et déjà, des millions d’assurés peuvent être traités exclusivement en ligne. Je vais présenter 5 exemples de décisions qui rendent les plates-formes et les applications en ligne de fournisseurs du secteur de la santé et de la télémédecine très vulnérables et démontrer à quel point l’accès massif à nos données de santé confidentielles a été facilité. Le débat porte sur ce qu’il faut faire pour améliorer.
  • Compromettre des comptes en ligne en détruisant les systèmes de messagerie vocale. La compromission d’un compte en ligne en exploitant des failles (anciennes ou récentes) ont un impact qui va au-delà de la divulgation de vos messages. Pas grand chose a changé, ni dans la technologie ni dans certains des vecteurs d’attaque. La présentation va exposé des techniques "oldSchool" et récentes, de l’impact et d’un nouvel outil pour automatiser le processus.
  • Piratage sur la détection des veines. La reconnaissance des veines est l’un des derniers bastions des systèmes biométriques a avoir résisté jusqu’à présent, à la conquête des hackers. C’est un domaine intéressant car il protège les guichets automatiques et les zones de haute sécurité. Dans cette présentations, nous nivelons les défenses. Pendant des décennies, en particulier en Asie, aucune tentative sérieuse n’a été faite pour surmonter les systèmes de détection de veines. Outre le mythe de la haute sécurité, ce sont avant tout, les caractéristiques cachées dans le corps qui sont responsables. Dans cette présentation, nous montrerons avec quel effort on peut obtenir des images de veines "cachées" et comment, sur la base de ces informations, il est possible de fabriquer des imitations qui contournent les systèmes des deux grands fabricants. Un article de LeMonde.
  • Qu’est-ce que le fax ?! - Pirater votre réseau comme si on était encore dans les années 1980. Le fax est-il un fardeau bureaucratique ? Peut-il être une faille de sécurité pouvant compromettre l’ensemble de votre réseau ? Pendant des décennies, les télécopieurs ont été utilisés dans le monde entier comme moyen principal de livraison de documents électroniques. Mais l’humanité a depuis développé des moyens plus avancés pour envoyer du contenu numérique. Qui sur terre utilise encore des télécopieurs ? La réponse, à notre grande horreur, est, tout le monde. Les autorités de l’État, les banques, les prestataires de services et de nombreux autres utilisent encore des télécopieurs, malgré leur qualité discutable et leur sécurité quasi inexistante. Cette présentation sur "qu’est-ce que le fax ?" est déterminé à montrer qu’un télécopieur pouvait être compromis par un simple accès à sa ligne téléphonique car entièrement exposée et non protégée. Le monde doit cesser d’utiliser le fax !
  • Les circuits intégrés de l’État. Des attaques dans la chaîne logistique de circuits imprimés ont récemment fait les Une de la presse. Dans quelle mesure sont-elles réalisables et que pouvons-nous faire ? Dans cet exposé, nous examinerons la conception d’un implant matériels de bus SPI présentant des fonctionnalités similaires à celles décrites dans l’article de Bloomberg / Supermicro, ainsi que des contre-mesures que nous pouvons utiliser pour tenter de détecter ces circuits intégrés et augmenter notre confiance dans nos systèmes. Nous ne savons pas à quel point l’histoire de Bloomberg sur les implants matériels installés dans les serveurs Supermicro livrés à Apple et Amazon est vraie. Toutefois, une évaluation technique révèle qu’une attaque de la chaîne logistique sur le matériel est définitivement possible.
  • SD-WAN un nouveau bond - Comment pirater un réseau défini par logiciel et garder votre santé mentale ? Ce réseau étendu défini par logiciel est une technologie basée sur l’approche SDN appliquée aux connexions des succursales dans les entreprises. Selon les prévisions de Gartner, plus de 50% des routeurs seront remplacés par des solutions SD-WAN d’ici 2020. Le SD-WAN peut comporter des pare-feux et d’autres fonctionnalités de sécurité de périmètre, ce qui en fait une cible attrayante pour les attaquants. Les vendeurs promettent "agilité à la volée, sécurité" et de nombreux autres avantages. Mais que signifie réellement "sécurité" ? La plupart des solutions SD-WAN sont distribuées sous la forme d’appareils virtuels basés sur Linux ou d’un service centré sur du Cloud (ce qui en fait des cibles faciles, même pour les script kiddies).
  • À l’intérieur de la ROM Microcode AMD - Utilisation du microcode AMD pour le plaisir et la sécurité. Le Microcode s’exécute dans la plupart des processeurs modernes et traduit le jeu d’instructions externe (par exemple x86) en un format plus simple (généralement une architecture RISC). La mise à jour permet de corriger les bugs (voir Meltdown / Specter), mais ces mises à jour sont cryptées et signées, de sorte que personne ne sait comment le microcode fonctionne sur les processeurs classiques. Nous avons réussi à "reverser" une partie de la sémantique microde des processeurs AMD nous et sommes capables d’écrire nos propres programmes. (...) Depuis le CCC de 2017 (34C3), nous avons travaillé à la récupération complète de la ROM du microcode et avons utilisé ces connaissances pour mettre en œuvre des programmes de microcode constructifs qui améliorent les fonctionnalités de la CPU.
  • "The Rocky Road" vers TLS 1.3 et un meilleur chiffrement d’Internet.
    Depuis quelques mois, nous avons une nouvelle version de TLS, le protocole de cryptage le plus important sur Internet. L’exposé présente les vulnérabilités, les défis de son déploiement dus à des périphériques défectueux. La nouvelle version supprime les échanges de clés RSA statiques, les constructions fragiles CBC / HMAC et les fonctions telles que MD5 et SHA1.
  • Les rootkits UEFI. La présentation montre une campagne menée par le groupe Sednit (groupe APT), également connu sous les noms Fancy Bear, Sofacy et APT28, qui a été associé à de nombreuses cyberattaques de haut niveau, telles que le scandale des fuites de courrier électronique du Comité national démocrate de 2016.) et une analyse approfondie de leur module UEFI et de l’agent LoJack associé (une application antivol). Sednit a aussi essayé et réussi à installer un module UEFI personnalisé directement dans la mémoire flash SPI d’un système. L’exposé détaillera la totalité de la chaîne d’infection.
  • LibreSilicon, décentralisation de la fabrication de semi-conducteurs. Beaucoup de projets développent leurs propres processeurs, principalement en open source dans Verilog, VHDL ou même Chisel, car nous manquons de processus libres qui fabriquent réellement ces puces. Nous développons donc le projet "Libre Silicon". Notre objectif est un processus de fabrication de silicium basé sur la communauté, libre et ouvert, basé sur la communauté (GitHub)... Au cours des derniers mois, nous avons déjà développé le premier processus gratuit de 1µm.

Hardware et making

  • Conception et fabrication artistique de circuits imprimés. Du griffonnage à la fabrication : comment je fabrique des PCB compliqués. On verra comment faire un croquis et un schéma électronique (kicad), comment les trous sur la carte peuvent être utilisées pour créer un espace. Nous verrons un affichage LED sous la forme d’un flocon de neige et présenterons l’usage de logiciels de CAO (fusion 360 / solidworks).
  • Firmware Open Source - Une histoire d’amour. Le firmware Open Source désigne depuis 1999, LinuxBIOS (coreboot) et u-boot qui ont démarré en tant que projet. 20 ans plus tard, le micrologiciel open source est enfin arrivé chez les fabricants de matériel.
  • Ondes numériques. Les principes de base de la radio par logiciel et théorie de la modulation. Le codage ou le décodage de formes d’onde radioélectriques aléatoires n’a plus besoin de matériel informatique coûteux ce qui offre de nouvelles possibilités pour la mise en place de systèmes de communication en direct. Il existe des radios définies par logiciel qui offrent une radio cellulaire abordable. L’exposé présente des informations de base sur le DTS et une théorie de la modulation (avec un probable défi SDR durant le congrès).
  • Chasse au Sigfox : sécurité du réseau IoT sans fil
  • Comprendre le protocole radio de Sigfox, le réseau cellulaire mondial de l’IoT dont vous n’avez probablement jamais entendu parler. Sigfox est une technologie émergente pour réseaux IoT à faible consommation d’énergie (LP-WAN), comparable à LoRa. Cette présentation retrace mon analyse du protocole radio de Sigfox et présente une implémentation ouverte d’une pile de protocoles Sigfox alternative. Cela confirme que, si Sigfox assure l’authenticité et l’intégrité, les charges utiles transmises ne sont pas confidentielles. Cette présentation s’adresse à un public technique disposant de connaissances de base en cryptographie (objectifs de sécurité, AES), mais aucune connaissance en RF (modulation, embrouillage, correction d’erreur) n’est requise. Par la suite, je montre comment un snifeur radio qui a capturé les messages Sigfox, peut extraire le contenu de la liaison montante et de la liaison descendante. Je décris des attaques qui pourraient même compromettre la vérification de l’authenticité de Sigfox et je propose des suggestions pour améliorer la sécurité de Sigfox.

Science

  • Aller plus loin pour observer les étoiles. Les neutrinos sont des particules élémentaires « fantomatiques » qui traversent les murs. Cette présentation offre un aperçu des coulisses d’un détecteur de neutrinos de nouvelle génération appelé Hyper-Kamiokande, un réservoir d’eau cylindrique de la taille d’un immeuble de grande hauteur (il sera construit à l’intérieur d’une montagne située à 250 km au nord-ouest de Tokyo à partir de 2020. Je vais décrire certains des problèmes que l’on rencontre lors de la planification d’un détecteur souterrain de cette taille et expliquer en quoi ce détecteur nous aide à comprendre pourquoi le soleil brille, comment mesurer la température de base du soleil et comment les étoiles géantes explosent créant ainsi bon nombre des éléments chimiques nécessaires à la vie et à l’existence des ordinateurs.
  • Pirater l’écologie - Comment les scientifiques peuvent-ils aider à éviter une 6ème extinction mondiale. Les humains ayant un impact négatif considérable sur les écosystèmes du monde entier, nous nous approchons d’un événement d’extinction majeur au cours duquel environ 70% des espèces disparaîtront. Les dernières décennies de recherche en environnement ont clairement montré que les impacts anthropiques sur l’écologie mondiale pourraient conduire à une 6ème extinction mondiale. Causée par la déstabilisation des écosystèmes due aux changements climatiques, au braconnage, à la fragmentation des habitats, aux invasions d’espèces, à la pollution et d’autres activités humaines. 2 voies semblent possibles pour atténuer cette menace ou limiter les dommages : l’une consiste à limiter radicalement l’influence anthropogénique sur la nature en limitant les habitats humains, l’autre consiste à restabiliser efficacement les écosystèmes. Je donnerai un aperçu de la dégradation de la qualité des écosystèmes dans le monde (...) et je lancerai la discussion sur la manière de créer des projets de sciences citoyennes qui nous aideront à comprendre notre environnement naturel.
  • Space Ops 101. Une introduction aux opérations des navettes spatiales. Après le lancement d’un engin spatial vers sa mise en orbite, une autre mission commence : prendre en compte la position et la vitesse (modélisation de la consommation d’énergie, planification des contacts avec les stations au sol, les opérations de charge utile et la gestion des anomalies). Dans cet exposé nous verrons des exemples de problèmes : supposons que vous ayez construit votre propre satellite et que vous ayez réussi à le lancer dans l’espace, qu’allez-vous faire ensuite ? Pouvez-vous vous connecter à votre ordinateur de bord et essayer différentes choses pour prendre une photo de la Terre et télécharger le fichier ? Avez-vous simplement perdu le contact avec votre satellite à cause d’une batterie vide, d’une surchauffe ou d’une rotation dans le mauvais sens ? Nous verrons également comment ces problèmes sont traités par les centres de contrôle des missions du monde entier, ce qui se passe en cas d’urgence, ce que représentent les FDS, les GDS, les LEOP et les TTC. La seule condition préalable à cette discussion est que vous sachiez que la terre n’est pas plate !
  • Protocole de contrôle de transmission. Cette présentation expliquera le protocole TCP, de la liaison établie au démontage en détail, en passant par l’élaboration du protocole. Je vais expliquer comment les ordinateurs se parlent via le protocole Internet (IP) et les protocoles de transport UDP et TCP, ainsi que leur interaction avec ICMP (pour les messages d’erreur et de contrôle). L’Université de Cambridge a contribué à un modèle formel de TCP / IP et à l’API de sockets Unix, développé en HOL4. Nous avons validé notre modèle HOL4 avec la pile FreeBSD-12 en utilisant Dtrace (paquets, appels système, état TCP interne).
  • Une introduction douce à la mécanique quantique. La mécanique quantique est l’une des deux théories physiques du début du XXe siècle qui ont changé le paradigme. Ainsi, l’une des théories physiques qui était des plus fondamentales n’est plus déterministe : la mesure est un processus probabiliste en mécanique quantique. Cela provoque une controverse sur la façon d’interpréter. Cet exposé tente de contrer une tendance : la plupart des gens connaissent les principes fondamentaux de la relativité restreinte, tandis que peu connaissent la mécanique quantique au-delà du modèle de Bohr de l’hydrogène...
  • Introduction au Deep Learning. Des ordinateurs capables d’apprendre par eux-mêmes. Cela ressemblait peut-être à de la science-fiction il y a à peine une décennie, mais nous nous y rapprochons de plus en plus. Cette conférence vous apprendra les bases de l’apprentissage automatique et vous verrez à quel point des réseaux de neurones puissants peuvent échouer. L’une des applications les plus courantes du deep learning est l’interprétation des images. En tant que chercheur dans le domaine de l’analyse automatisée des données d’images biomédicales, je vais vous montrer un aperçu de certaines applications concrètes.
  • Édition du génome avec CRISPR/Cas - "Un nouvel espoir" ou "L’attaque des clones" ? CRISPR / Cas a révolutionné le génie génétique et pourrait bientôt être génétiquement modifié à grande échelle. Des parties du système immunitaire adaptatif des bactéries sont utilisées pour modifier les gènes. CRISPR est différent des méthodes conventionnelles de génie génétique : facile à utiliser, peu coûteux, rapide, extrêmement polyvalent et est donc disponible dans tous les laboratoires de biologie. Des biohackers commencent à utiliser CRISPR chez eux. Mais quels sont les obstacles et les questions éthiques ? Comment peut-on (ou devrait-on) utiliser CRISPR dans l’agriculture face au changement climatique ? L’exposé présente différentes études.
  • Biologie de l’information. Étude du flux d’informations dans les systèmes vivants. Comment appliquer la théorie de l’information de Shannon à la biologie. Les cellules, des bactéries, des cellules humaines, occupent, stockent, récupèrent, communiquent et prennent des décisions en permanence. Comment réalisent-elles cela ?. Au lieu de transistors, elles doivent utiliser des protéines, mais celles-ci dégénèrent constamment et sont reconstruites, ce qui fait que leur nombre fluctue. Si la signalisation cellulaire est altérée, il peut en résulter des maladies graves, telles que le cancer ou l’épilepsie. La communication cellulaire étant si omniprésente et essentielle, les chercheurs commencent à examiner plus en détail ce flux d’informations dans les systèmes biologiques. Mon groupe de recherche du centre BioQuant de l’Université de Heidelberg est également actif dans ce domaine, que j’appellerais la biologie de l’information et je relaye les lien vers les logiciels libres utilisés dans notre groupe.

Art et Culture

  • Afroroutes : l’Afrique ailleurs. Expérience en Réalité Virtuelle "Au-delà de l’esclavage". Afroroutes est une expérience de réalité virtuelle unique en son genre conçue comme un voyage à travers trois héritages africains déplacés, immergeant les utilisateurs dans des rituels et des cérémonies pour faire l’expérience de cette forme de mémoire bien conservée, mais aussi pour ressentir le pouvoir de la musique comme un puissant outil anthropologique. Relier les récits afro-diasporiques : altérité et transcendance du patrimoine à l’ère numérique, Afroroutes est le déclencheur d’un débat crucial sur l’identité diasporique. (...) Comment construire cette identité dans un monde globalisé et perturbé ? Comment les outils numériques peuvent-ils pousser ce processus de narration ?
  • À la recherche de l’information perdue. Quelques réflexions technoféministes sur Wikileaks. Conférence de performance de Cornelia Sollfrank qui fait un commentaire (techno) féministe sur les enchevêtrements de genre, de technologie et de politique de l’information illustrés par Julian Assange. L’artiste nous emmène dans un voyage aventureux dans le royaume des zéros et des uns, des données et des informations pures, des chiffres, des signifiants et des chiffres. De l’autre côté de la réalité, nous soupçonnons des héros, des fuites et des "phreaks", des ingénieurs de l’évasion qui contrôlent nos désirs secrets...
  • Mode de réalisation tactique - Activisme et performance dans les espaces hostiles en ligne. L’artiste militante présente les différentes stratégies face aux environnements en ligne particulièrement hostiles aux femmes. Elle montre des comportements dans World of Warcraft » avec des interviews, des performances, des témoignages écrits et des représentations dans les jeux vidéo ainsi que les techniques de séductions d’hommes, dans la communauté Manosphere.

Résilience

  • Comment fonctionne Internet ? Une explication des Inter-Net et des protocoles quotidiens. Cette présentation de la Fondation explique les systèmes et les protocoles qui composent Internet, à partir d’un ordinateur portable doté d’une connexion Wi-Fi. Pour la plupart, "Internet" ne signifie que l’accès à quelques services centralisés offerts par les méga-entreprises "gratuitement", autour desquels les gens construisent toute leur vie sociale et professionnelle. Connaître la différence entre le réseau et les services accessibles via le réseau est peut-être plus important que jamais, car si nous donnons implicitement toute la puissance aux fournisseurs de services en ne demandant jamais un réseau public, nous atteindrons la fin d’Internet (neutralité du net). Cette présentation explique les notions de : réseau, paquet, IPv4, routage, des applications, des comparaisons avec les protocoles UDP, TCP et SCTP et nous arriverons aux applications les plus courantes en examinant le fonctionnement de DNS (noms de domaine), SMTP (envoi de courrier électronique) et HTTP (Web).
  • Apprivoiser le chaos : pouvons-nous construire des systèmes qui fonctionnent réellement ?. Nous nous appuyons tous les jours sur l’ingénierie informatique traditionnelle, mais elle est incroyablement complexe, mal comprise, peu fiable et comme le rappelle chaque année le CCC, l’insécurité est chronique. Cette conférence explique des façons d’améliorer les choses, tant sur la partie infrastructure informatique que les techniques d’ingénierie. Présentation de l’état de l’art menées par l’Université de Cambridge, SRI International, ARM et d’autres partenaires pour montrer comment nous pouvons faire mieux.
  • Planète censurée : un observatoire mondial de la censure. Censoredplanet a été lancée vers 2013. Le principe directeur est que les mesures qui peuvent être politiquement sensibles devraient être effectuées sans la participation de volontaires. Les projets de censure actuels, y compris OONI, dépendent des participants des pays pour les aider à collecter des mesures. Nous avons vu qu’il existe des problèmes de continuité en termes de mesure, de couverture géographique et de dilemmes éthiques. Mais ces informations demeurent extrêmement utiles pour les chercheurs dans des domaines allant des sciences politiques à l’informatique, ainsi que pour les militants et les journalistes qui vivent et opèrent dans des pays où les interférences sur Internet sont fréquentes. En rendant nos données facilement accessibles au public, nous encourageons les futures recherches sur le terrain. Le lien vers nos données : https://censoredplanet.org/data/raw
  • Ragots - Le protocole de potins P2P décentralisé. Cette conférence présente le monde de Scuttlebutt, un protocole de "commérage P2P décentralisé" et comment il peut transformer la société en décentralisant les données et en facilitant le développement des communautés locales. Il est basé sur un protocole (appelé SSB) qui connecte les utilisateurs via une base de style blockchain et chaque utilisateur jouant le rôle de nœud.

Activités au CCC

  • Traque, Espionnage, Doxing : Violence numérique contre les femmes - Le côté numérique de la violence domestique. Les formes de violence numériques à l’égard des femmes ne sont pas des phénomènes distincts mais des prolongements. Traquer, contrôler, menacer, extorquer des fonds, insulter et surveiller sont des aspects bien connus de la violence domestique. Il existe des équivalents numériques à ces phénomènes mais on en sait peu sur la fréquence à laquelle ils sont exercés, à quel moment et par qui. Cela rend difficile la riposte des personnes concernées, ainsi que par la politique et la justice. Pourquoi la pornographie enfantine est-elle un thème central de la politique intérieure allemande et européenne mais que personne ne parle du Revenge Porn ? (On constate) qu’il n’y a guère de chiffres significatifs et peu d’aides pour les personnes touchées.

Durant le Hackaton, Infra ORBIT et WikiData :



Les documents ressources
• Le programme du 35C3 de 2018
• Découvrir les thèmes choisis pour chaque année.
• Les vidéos désormais en ligne
• Les canaux : wiki, le blog, le canal irc #35c3 (serveur freenode)
Chaos Computer Club et le "C-Base" à Berlin
• Mes synthèses en français, des 4 journées du 32C3 en 2015, 33C3 en 2016 et le 34C3 en 2017

Posté le 11 janvier 2019 par Valérie Dagrain

©© a-brest, article sous licence creative common info