Conférence de "hackers" en Israël

Du 28 au 30 Mars 2000, la conférence Y2Hack, ouverte à tous les hackers de par le monde, s'est déroulée au centre de congrès de Tel Aviv. Une première en Israël, que la Knesset, toujours très impliquée dans ce type de manifestation, a d'abord tenté de censurer par la voix d'Anat Maor, Président de l'Assemblée, mais qui a finalement bien eu lieu en toute "légalité". Voici un bref compte-rendu fait par un des 300 participants en majorité israéliens, mais aussi américains, allemands, japonais ...

Une population essentiellement jeune, sinon très jeune, de hackers (15 à 25 ans pour 95 % des présents), mais également des spécialistes de la sécurité de CheckPoint, Packetstorm, etc. L'ouverture a été prononcée par l'organisatrice Neora Shaun, consultante israélienne en sécurité, qui a souhaité que cette première soit l'occasion "d'unifier et de responsabiliser" les hackers israéliens. Un discours qui s'est donc voulu très fédérateur autour de "l'éthique nécessaire à tout hacker qui se respecte", et qui a été relayé par Andy Mueller, membre actif depuis ses débuts du CCC allemand (Chaos Computer Club) :

• L'accès aux systèmes d'information doit être libre et complet,
• Toute l'information doit être libre et gratuite,
• Ne pas faire confiance aux autorités,
• Promouvoir la décentralisation des moyens,
• Un hacker devrait être jugé sur ses actes, et non pas sur des critères d'age, classe sociale, race , etc.
• Faire des ordinateurs un monde d'art et de beauté,
• Les ordinateurs peuvent changer la vie de tout le monde pour le meilleur.

Parmi les thèmes abordés, certains se sont révélés plus ou moins techniques ou philosophiques : La sécurité par l'insécurité, piratage des téléphones mobiles, méthodes d'analyse réseau, méthodes d'intrusion, virus, dénis de service, piratage de serveurs IIS Microsoft, la sécurité des solutions e-commerce du marché ...

Un débat a été organisé en fin de séance avec des membres du ministère de l'intérieur israélien invités à s'exprimer. La session a été l'occasion de vives réactions de la part du public. Il est intéressant de noter que la législation israélienne considère juridiquement un scanning de réseau comme une attaque à part entière ...

Enfin, la conférence a été le support d'un projet d'audit sur un échantillon de machines représentatives du parc Internet israélien. Les résultats communiqués font apparaître des statistiques impressionnantes : pour 120000 ordinateurs testés, 25000 s'avèrent être des serveurs, dont 7000 sont vulnérables à au moins une attaque ... soit 28 %, plus d'un serveur sur quatre !

Les chiffres rentrent ensuite plus dans le détail, dont les vulnérabilités les plus fréquemment rencontrées :

• FTP (suite à l'avis CERT-IST/AV-1999.200 sur un débordement de pile dans les serveurs wu-ftpd d’août 1999) à 41 %,
• HTTP à 27 % (dont 43 % de serveurs IIS vulnérables ...),
• DNS (suite à l'avis CERT-IST/AV-1999.250 de novembre 1999 notamment) à 7 %.

Cette manifestation a été un vif succès, tant par la participation des spectateurs que la qualité des intervenants, soit hackers, soit professionnels de la sécurité. Elle a été largement couverte pendant toute sa durée par la presse locale et internationale et sera très certainement reconduite l'année prochaine.

Quelques liens presse sur la couverture de l'événement :

• http://www.wired.com/news/politics/0,1283,34349,00.html
• http://www.wired.com/news/politics/0,1283,34504,00.html
• http://www.geek.com/news/geeknews/jan2000/gee2000331001101.htm
• http://news.ft.com/ft/gx.cgi/ftc?pagename=View&c=Article&cid=FT3TRSKWD6C&liv
• http://www.lasvegassun.com/sunbin/stories/tech/2000/mar/30/033000707.html
• Le site support de la conférence : http://www.y2hack.com ou http://www.2600.org.il

Un compte rendu plus détaillé sera disponible pour les partenaires sur la base de connaissances du CERT-IST.