Introduction
Vous avez probablement vu les gros titres : « Pwn2Own 2008 : MacBook Air piraté en 2 minutes » ou « Pwn2Own 2009 : Safari/MacBook tombe en quelques secondes ». Mais il y a une histoire derrière chaque gros titre et qui de mieux pour obtenir l’histoire que Charlie Miller, l’homme derrière les gros titres ? Nous avons eu l’occasion de discuter avec Charlie après ses succès consécutifs dans la démonstration d’exploits zero-day affectant le Mac.
Alan : Merci d’avoir accepté de discuter avec nous aujourd’hui. Commençons par les bases. Nos lecteurs sauront que vous avez été le premier à « démonter » un MacBook Air entièrement patché lors du CanSecWest de l’année dernière. Et cette année, vous avez eu une performance de rappel lorsque vous avez démonté un MacBook entièrement patché. Avant de commencer, pourquoi ne pas nous parler un peu de vous ? Comment vous êtes-vous lancé dans le métier de la sécurité ?
Charlie : J’ai 35 ans et j’habite à Saint-Louis. J’aime bricoler avec les ordinateurs depuis que je suis enfant, mais j’ai obtenu un diplôme en mathématiques. Après cela, ce fut cinq ans de formation en cours d’emploi à la NSA. Je suis probablement mieux connu pour avoir été le premier à pirater l’iPhone. Je suis actuellement analyste principal chez Independent Security Evaluators, une petite société de conseil à Baltimore, MD.
Alan : Tu sais que je dois te demander. Comment était-ce de travailler à la NSA ? Saviez-vous même que vous vous intéressiez aux mathématiques lorsque vous êtes entré à l’université, ou votre passage à la NSA était-il le résultat d’une promenade devant le stand de la NSA au salon de l’emploi de l’université ?
Charlie : J’aimais les maths. J’ai changé de spécialisation plusieurs fois, mais j’ai toujours continué à suivre des cours parce que je savais que si j’arrêtais, je ne pourrais plus jamais recommencer. En ce qui concerne la NSA, je n’ai pas le droit de dire grand-chose, mais j’ai apprécié mon séjour là-bas.
Alan : Quelle part de votre travail se concentre aujourd’hui sur la sécurisation des Mac par rapport aux PC par rapport à Linux ? Qui est votre client type ?
Charlie : Au travail, je regarde surtout la sécurité au niveau des applications. La plupart de ces éléments sont vraiment indépendants du système d’exploitation. Par exemple, les révisions du code source ou la rétro-ingénierie des binaires ne dépendent pas beaucoup du système d’exploitation. J’ai passé beaucoup de temps à faire des recherches sur les Mac parce que je les aime et qu’ils sont aussi assez faciles à casser !
La plupart des clients d’ISE sont des petites et moyennes entreprises qui se soucient beaucoup de la sécurité et veulent s’assurer que leurs applications sont sécurisées. Les entreprises qui ne veulent qu’une case à cocher vont généralement ailleurs parce que nous sommes assez bons dans ce que nous faisons et facturons par conséquent plus que de nombreuses autres sociétés de conseil.
