Hack.lu souffle ses 15 bougies. Souvenirs…

Alexandre Dulaunoy dirige le CIRCL (Computer Incident Response Center Luxembourg). Il a lancé l’initiative Hack.lu voici 15 ans. A la veille de la prochaine édition, un petit coup d’œil dans le rétroviseur s’impose.

D’où est venue l’idée de la Hack.lu ? « La 1ère édition est née d’une idée assez simple : nous nous rendions régulièrement à des conférences à l’étranger, comme la Defcon notamment. Les déplacements étaient parfois compliqués, et nous nous sommes dit qu’au lieu de nous déplacer à chaque fois, nous pourrions faire venir les speakers au Luxembourg. C’est comme cela que la Hack.lu est née. Nous avons débuté modestement. La 1ère édition a eu lieu à la Chambre des Métiers », nous explique Alexandre Dulaunoy.

« Le concept était clair dès le départ: nous voulions du contenu technique et surtout pas commercial. Nous avions également une ambition internationale. Lors de la 1ère édition en 2004, nous avions réuni 60 personnes à la Chambre des Métiers. Plusieurs experts internationaux ont fait le déplacement, et le public local a répondu présent. Mission accomplie. L’année suivante, Hack.lu a élu domicile au Novotel pour ensuite se tourner vers le Parc Hôtel de Dommeldange, seul établissement capable d’accueillir un public aussi nombreux», se souvient-il.

En quelques années, Hack.lu est devenu ce qu’il est aujourd’hui : une conférence avec niveau technique élevé, une envergure internationale, de nature à rassembler les hackers et les professionnels. Chaque année, Hack.lu offre un programme extrêmement varié de conférences, de rencontres et de challenges. Le « Capture de Flag » est devenu un des concours les plus prisés au monde, avec plus de 1600 équipes cette année. Lors de la 1ère édition, il y avait 4 équipes avec un serveur à attaquer. A présent, CTF est organisé par l’équipe ‘Fluxfingers’ de l’université de Bochum, qui figure parmi les champions mondiaux de CTF. Cette année, le CTF sera également abordé sous l’angle méthodologique, avec une session consacrée à l’organisations de CTFs pour le jeune public.

Quand les vulnérabilités vous brisent le coeur

La Hack.lu a également été jalonnée d’événements mémorables et de tensions avec certains acteurs de l’IT. Comme ce fournisseur de solution dont une vulnérabilité a été découverte quelques mois avant la conférence. « Le vulnerability disclosure indiquait que le cas serait exposé à la Hack.lu, en espérant que la faille soit réparée avant… Mais le fournisseur a mal pris la chose et a tenté de faire pression sur nous en exigeant l’annulation du talk par courrier d’avocat. Finalement, nous avons réussi à les raisonner, et ils sont venus à la conférence, ils ont patché leur bug et tout s’est bien terminé », nous raconte Alexandre.

Une autre histoire dont de nombreux participants se souviennent, c’est l’intervention de Marie Moe, à propos de la sécurité des pacemakers. Un sujet sensible, qui nous va droit au cœur, surtout si l’on a parmi ses proches un heureux propriétaire de pacemaker. Alexandre Dulaunoy s’en souvient comme si c’était hier : « Lors d’une conférence à Berlin, j’ai rencontré Marie Moe qui m’a parlé de son pacemaker et des craintes qu’elle avait au sujet du fonctionnement de cet appareil. Je lui ai proposé de faire venir un talk à la Hack.lu… Au début elle était réticente car c’était pour elle un sujet très personnel. Mais nous l’avons finalement convaincue et son talk a eu un grand succès. Si grand qu’elle en a par la suite fait une tournée mondiale de 60 pays ! »

« Il faut être fier de ses erreurs »

« Cette année, la nouveauté de la Hack.lu, c’est le ‘Call for Failure’. C’est un 1er essai, on verra car il est clair que nous sociétés ont du mal avec le fait d’assumer et d’être fier de ses erreurs. C’est un test, on verra ce que ça donne, mais c’est une démarche qu’on aimerait promouvoir. » Pour briser la glace, Alexandre Dulaunoy fera un talk sur une de ses propres erreurs, lors de la gestion d’un incident.

Parmi les nouveaux sujets abordés cette année, il y aura notamment les connexions sans fil entre clavier et souris. Il y aura aussi un certain nombre de talks sur le hardware, également du légal. Avec plus de 500 participants attendus, Hack.lu prouve une fois de plus la pertinence de son concept. Et démontre qu’à 15 ans, on peut être très sérieux sans se prendre trop au sérieux.