Interview : Xavier Mertens aka @xme

Bonjour Xavier

Pourrais-tu te présenter afin que les lecteurs te connaissent un peu mieux ?

Bonjour à tous ! Passionné par la sécurité informatique, j’ai la chance d’avoir pu en faire mon métier. J’ai même fait le grand saut il y a peu pour devenir freelance. Je bosse sur des projets de sécurité à la fois offensive (pentest) et défensive (gestion des logs, gestion des vulnérabilités etc). Et comme cette passion est très (trop - dirait ma femme ;-) envahissante, j’ai plein de projets et d’activités toujours dans le même domaine. J’ai mon blog depuis des années (rootshell.be), j’essaie de participer à pas mal de conférences.

Tu es ce que l’on appelle un professionnel de la Sécurité mais tu es aussi impliqué dans la vie de la communauté de la Sécurité (organisation de BruCon, publication d’outils, participation à des challenges et à des conférences ...). Considères-tu ces deux aspects comme complémentaires et nécessaires ? Ou pourrais-tu vivre sans cette partie communautaire ?

Tout à fait, ils sont complémentaires et nécessaires ! Comme expliqué ci-dessus, il est difficile de faire une séparation claire entre toutes ces activités mais c’est également très bénéfique. Je pense que le domaine de la sécurité requiert une mise à niveau permanente. Il est très difficile que votre employeur ou client vous permette de passer beaucoup de temps pour se garder à niveau. Il est donc nécessaire de pouvoir se former par soi-même, d’investir son temps libre pour découvrir de nouvelles choses. De plus, se construire un réseau social est super important. Une question ? Un doute ? On peut facilement trouver une connaissance qui a déjà rencontré le problème ou qui a la compétence nécessaire au bon moment. Et cela fonctionne dans les deux sens, bon nombre de mes scripts et outils, développés pendant mon temps libre, sont également utilisés dans un cadre professionnel.

Toi qui es un organisateur de conférence (la conférence de Sécurité, BruCon), quels sont les challenges qui doivent être relevés chaque année pour en faire un succès ? Qu’est-ce qui fait que chaque année, tu repars "au combat" pour rebâtir une nouvelle édition ?

BruCON est, comme une majorité de conférences, organisée par des volontaires. Nous sommes partis du principe que tout le monde n’avait pas les moyens de pouvoir voyager facilement dans le but d’assister à des conférences. Donc, le but était de faire venir des speakers renommés en Belgique ! Les challenges sont nombreux : Premièrement d’un point de vue du contenu, les visiteurs en demandent toujours plus année après année. Il faut donc proposer un agenda toujours plus intéressant et qui "colle" à l’actualité (pas évident quand on prépare des mois à l’avance !) afin de satisfaire tout le monde. D’un point de vue pratique, nous essayons d’organiser un évènement à taille humaine (max 500 personnes) pour faciliter les échanges à tous niveaux. Si les présentations sont importantes, pas mal de monde vient pour le "networking" et discuter autour d’un verre. Dans l’organisation, je suis responsable des aspects techniques : le mail, les sites web, les enregistrements et, durant la conférence, le réseau qui est déployé en un temps record ! C’est un bon exercice de monter un réseau sécurisé et pouvoir détecter/bloquer les attaques ou des choses plus fun telles que le "wall of sheep". C’est une application qui permet de détecter les comportements dangereux des utilisateurs - comme utiliser des protocoles non chiffrés (POP3, FTP, IMAP) - et de les afficher pour tous les visiteurs de la conférence. Si cela peut sembler très intrusif, c’est avant tout un outil pédagogique. Cette année sera déjà la septième édition avec toujours la même motivation !

As-tu toujours été attiré par la Sécurité ou as-tu passé une partie de ta vie dans des sphères informatiques différentes comme le réseau, l’adminsys ou le développement ?

Je compare souvent l’IT à la médecine. On commence par une formation générale et puis on se lance dans une spécialité ! Quand j’étais aux études (ça remonte déjà quelques années), on ne parlait pas de sécurité. Pas question de suivre un cursus dans ce domaine. J’ai donc fait des études "classiques" en IT. J’ai fait un peu de tout : développement, support, administration système et réseau. C’est par la suite que je me suis intéressé plus aux aspects sécurité pour ne plus en sortir ;-)

Quels sont les secteurs de la Sécurité qui t’attirent le plus et à contrario, ceux qui te plaisent moins : reverse, pentests, crypto, bâtir des infrastructures défensives etc ?

Je ne suis pas à l’aise avec l’assembleur donc on peut tout de suite éliminer la Rétroingénierie ;-) Je fais pas mal de pentests et d’audits. Ce qui aide ensuite pour monter des infrastructures bien sécurisées. Un de mes principes est : "Pour combattre ton ennemi, tu dois le connaître".

Sur quels sujets Sécurité aimerais-tu travailler dans les années à venir ? Pourquoi ?

La question à un million de dollars :-) Je pense que la sécurité sera sur le devant de la scène pour un bout de temps mais que le paysage changera complètement. Cela ne sera plus l’affaire de "geek" mais tout le monde devra y passer. Je pense que les aspects techniques resteront important pour moi, je n’ai pas trop envie de porter une cravate, je préfère les t-shirts ;-)

Quelle part occupe les Logiciels Libres dans ta pratique quotidienne de professionnel de la Sécurité ? Quelles sont leurs forces et leurs faiblesses ?

Pour faire mon job au jour le jour, je peux classer les logiciels libres en deux catégories :

    Des logiciels complets avec documentation et une "communauté de support" (via ML, IRC, forums)
    Des bouts de code qui ont une fonction bien particulière (ex : exploiter une faille bien connue dans un logiciel)

Leur force ? On peut les modifier comme on veut pour rajouter LA fonctionnalité que l’on désire (ex : il y a quelques années, j’ai ajouté le support GeoIP dans OSSEC). Les faiblesses ? Pas mal de monde croit encore aujourd’hui que "logiciel libre == gratuit". Ce qui, hélas, est totalement faux ! Ils demandent aussi des correctifs, de la maintenance, du hardware etc. On constate parfois un manque de transparence dans le projet global, je pense particulièrement à OpenSSL qui est utilisé dans une grande majorité de produits (tant commerciaux que libres) et qui a souffert d’énormes failles ! (Qui aime bien châtie bien ;-) )

Ta présentation aux RMLL parlera de la sécurité des réseaux domestiques à l’heure des TV connectées et de l’IoT (Internet of Things). Penses-tu que les fournisseurs de services et de matériels se permettraient une récupération et une exfiltration de données récoltées à l’insu des utilisateurs au sein même de nos réseaux domestiques ? Si c’est le cas, quelles sont tes pistes pour lutter contre ces usages ?

Cela a déjà été démontré ! Un bon exemple est celui des SmartTV Samsung qui exfiltraient des données privées de l’utilisateur ! Le gros problème est que de plus en plus de "gadgets" sont aujourd’hui des ordinateurs embarqués (avec un OS, une connectivité réseau, des entrées-sorties). Monsieur Tout-le-monde ne les voit pas comme une menace car ils ne ressemblent en rien à un bon vieux desktop ! Je me souviens de mes enfants qui me faisant une remarque sur un serveur il y a quelques années : "Mais ce n’est pas un ordinateur, il n’y a pas de clavier !?". Je pense qu’il est facile de contrôler ses appareils mais il faut également un peu plus de transparence de la part des constructeurs. Comme il ne sera pas facile d’éviter tous ces appareils, il est temps d’appliquer les mêmes principes de précaution que sur les réseaux d’entreprise : contrôle et éducation sont deux mots clefs !

Merci beaucoup pour cet entretien et rendez-vous à tous le mardi 7 Juillet 2015 à Beauvais pour assister à ta présentation aux RMLL !

Avec plaisir, rendez-vous à Beauvais !