Keynote #BreizhCamp : La menace fantôme

Standard

BreizhCamp, c’est le festival des développeurs organisé par des développeurs.

Cette année, j’ai l’honneur d’y faire la keynote du vendredi matin 🙂 J’y parlerai des dangers liés à la non-prise en compte des bonnes pratiques de sécurité et protection de l’intimité par nombre de métiers techniques. Mon focus (pour changer…) sera l’insécurité des objets connectés et des applications mobiles.

Le programme en général est top, alors prenez vos places !

#BSidesBDX Keynote: The Phantom Menace

Join us for my keynote at BSidesBDX!
Standard

Book your seat today – and get a copy of “La face cachée d’Internet”, signed by yours truly 🙂

Mobile apps are everywhere, and the app economy is thriving. Infosec professionals, however, still shy away from their analysis. Thus, we end up with ill-secured apps abusing permissions, data leaks and an increased attack surface for IoTs.

Then, we blame developers. Of course, it’s their fault… isn’t it? Yes, it is, at least to a significant part. Developers reuse known frameworks for apps with a diverse range of purposes, thus forcing an inadequate level of security on sensitive use cases. They also mobilise numerous SDKs which are the obvious, off-the-shelf component everyone uses to decrease costs and ease maintenance. Even more importantly, SDKs are what enables monetisation.

Everyone can use SDKs—malevolent actors do so, too, hiding therein whatever they wish to make money off you and your users. And with easily duplicable app frameworks comes the risk of seeing your app counterfeited and your app-generated revenue, diverted. Those risks and the risk management culture change organisations need to implement is what I have dubbed, the ‘phantom menace’. We will, therefore, discuss the threats SDKs and counterfeited apps bear, and how to address them.

Book your seat today – and get a copy of “La face cachée d’Internet”, signed by yours truly 🙂

#ParisWeb Nos objets connectés sont bavards : mais de quoi parlent-ils ?

Standard

Prenez vos places !

Le but sera de découvrir à quel point certaines applications mobiles peuvent être bavardes et de tenter de déterminer quelles sont les informations transmises à des serveurs tiers.

Pour ce faire, nous utiliserons un smartphone et un PiRogue. Le PiRogue est un petit équipement basé sur un Raspberry Pi et une personnalisation de la distribution Kali Linux, dont la fonction est de créer un point d’accès wi-fi ouvert et dédié à l’interception de trafic.

Pour plus d’informations : https://github.com/U039b/PiRogue

L’atelier sera co-animé avec Esther Onfroy, co-créatrice du projet.

Prenez vos places !

#ParisWeb Le charme du quotidien, nécessaire, ordinaire, routinier

Standard

Prenez vos places !

Aujourd’hui, pour une majorité de personnes dans le monde, avoir une connexion à Internet et s’en servir est comme boire de l’eau : quotidien, nécessaire, ordinaire, routinier.

Rattrapant un retard au démarrage, de plus en plus d’institutions publiques de par le monde développent et imposent des services numériques.

Quant au secteur privé, il est le terreau propice de l’innovation en série : des startups toujours plus nombreuses, des financements toujours plus élevés… et des produits et services toujours mal sécurisés. Ces derniers sont cependant ce que nous utilisons, ils sont quotidiens, nécessaires, ordinaires, routiniers. Cette même « consommation digitale » renforce le siphonnage de données à caractère personnel et nous expose à un bouquet d’algorithmes plus obscurs les uns que les autres.

Mais il est contreproductif de se vautrer dans un fatalisme. Nous parlerons donc sécurité des IoT et leurs applications, la gestion de ces problématiques par les fabricants et éditeurs et l’impact sur nos vies connectées dont l’aspect « privé » doit être repensé. Nous créons la réalité numérique, il nous revient d’en saisir les enjeux et de les implémenter dans notre productions. La sécurité, le respect de l’intimité et l’innovation pérenne sont ce qui doit devenir quotidien, nécessaire, ordinaire, routinier.

Prenez vos places !

A year in Io(M)T security

Standard

A year ago, I embarked on the funky journey to gain insights into IoT security. I am particularly interested in medical devices, that is an item that’s connected to the Internet AND can gather some sort of health data.

I started off with connected sex toys—it’s fun to tear them down, then tell others about it. Beyond the fun, though, is the actual understanding of what is at stake. And, in all honesty, your fridge, your insulin pump and your pacemaker all share the same challenges: they need improved security so that we are not at risk.

Since the first dildo I investigated, my analysis capabilities have evolved. This talk will address the diverse range of challenges I have had: obtaining the objects (the least complex one… but not the cheapest option, still!), producing reproducible data, collecting meaningful logs, having the companies building the IoT fix their flaws, etc. Thankfully, I will also discuss the solutions I identified, all of which involve FLOSS and (in part) open hardware.

Entry’s free, but sign up swiftly as places are limited!

Nuit du Hack #ndh2018

Standard

Lors de cette édition, j’assure une conférence et un workshop :

  • conférence “À l’Est, plein de nouveau” sur la gouvernance et l’évolution d’Internet en Russie ; le 30 juin 2018, 15h30-16h15.
  • atelier technique sécurité des données issues de voitures autonomes ; le 30 juin 2018, 20-22h.

Entrée payante (les billets ont déjà été vendus…)