Le congrès 39C3 s'est déroulé entre Noël et le Nouvel An, au cœur de Hambourg. Le programme couvrait une vaste gamme de sujets pertinents pour les professionnels de la sécurité moderne. Les présentations allaient de la recherche en sécurité de bas niveau et de la rétro-ingénierie aux défis en matière de confidentialité et de cryptographie dans les technologies grand public, en passant par la sécurité des réseaux à grande échelle et les implications en matière de sécurité des appareils connectés, émergents et du quotidien. D'autres sessions ont abordé les approches juridiques contre les technologies de surveillance, le rôle de la technologie dans les conflits modernes, ainsi que la sécurité des systèmes médicaux et critiques pour la sécurité.
Plusieurs présentations combinaient une profondeur technique et une pertinence significative dans le monde réel. Une session particulièrement captivante, intitulée « Protecting the network data of one billion people: Breaking network crypto in popular Chinese mobile apps », a été présentée par Mona Wang, chercheuse en sécurité de l'information ayant collaboré avec des organisations telles que l'Electronic Frontier Foundation et la communauté de recherche de l'UC Berkeley. Dans sa présentation, Wang a expliqué comment son équipe a systématiquement analysé et exploité une douzaine de protocoles de chiffrement réseau développés en interne, utilisés dans des applications mobiles chinoises largement adoptées, notamment des logiciels de communication et de navigation. En démontrant comment des espions réseau pouvaient récupérer des métadonnées sensibles des utilisateurs à partir de ces schémas sur mesure, cette recherche a rappelé la leçon fondamentale consistant à ne pas développer sa propre cryptographie et a renforcé l'importance de protocoles standards bien éprouvés pour protéger les données des utilisateurs à grande échelle.
Une autre session mémorable, intitulée « Watch Your Kids: Inside a Children's Smartwatch », a été présentée par Nils Rollshausen, doctorant au Secure Mobile Networking Lab (SEEMOO) de la TU Darmstadt. Rollshausen a présenté une analyse de sécurité approfondie d'une plateforme de montres connectées pour enfants populaire, en procédant à l'ingénierie inverse de son micrologiciel et de mécanismes de contrôles d'accès. L'enquête a révélé que des clés cryptographiques statiques et une authentification insuffisante permettaient des attaques de preuve de concept visant à lire et modifier des messages, manipuler des données de localisation ou interagir à distance avec l'appareil. Les démonstrations incluaient la modification des coordonnées GPS rapportées et l'usurpation de communications, illustrant comment des hypothèses de sécurité erronées peuvent se traduire par des conséquences réelles en matière de confidentialité et de sécurité pour les utilisateurs finaux.
Ces exposés ne sont que quelques exemples des nombreuses analyses techniques fascinantes et des sessions perspicaces qui couvrent différents aspects de la sécurité et de la vie privée lors du 39C3.
L'une des caractéristiques du 39C3 est l'accent mis sur l'interaction et la participation pratique. Outre les conférences, le congrès proposait de nombreux espaces de piratage, des zones de projet, des ateliers et des assemblées. Ces espaces ont permis l'expérimentation pratique, l'apprentissage collaboratif et l'échange informel de connaissances. Les participants ont ainsi pu explorer des outils, échanger des techniques et discuter d'idées, au-delà des contraintes d'une conférence traditionnelle.
Participer au 39C3 a été intense, mais extrêmement enrichissant. La profondeur technique, l'exploration créative et l'engagement communautaire ont fourni des informations précieuses et ont souligné l'importance d'adopter une approche globale de la cybersécurité.
Pour nos clients, les discussions ont mis en évidence l'importance des meilleures pratiques en matière de sécurité. Cela inclut le recours à des normes éprouvées, la tenue d'un inventaire des appareils et des systèmes ainsi que la garantie qu'ils sont maintenus à jour, de même que le choix de fournisseurs capables de démontrer comment la cybersécurité est prise en compte tout au long de leur chaîne d'approvisionnement. Les enseignements tirés du congrès montrent également comment la recherche proactive sur les vulnérabilités et la gestion responsable des questions de sécurité contribuent à protéger les services numériques et à maintenir la confiance.
Dans l'ensemble, le 39C3 a clairement montré que l'échange ouvert et la coopération sont essentiels au développement de la cybersécurité et la création d'un monde numérique digne de confiance.