- Speaker #0
Dans l'épisode précédent, Xavier Mertens nous a emmenés au cœur de l'Internet Stoem Center. Aujourd'hui, on change d'univers, on part à la genèse de Brucon. Tu vas découvrir comment une des conférences cyber les plus iconiques d'Europe a littéralement commencé dans un café bruxellois. On va parler de son ADN, de sa philosophie, de deux talks qui ont marqué Xavier, et, sans casser la magie, de comment les talks sont sélectionnés. Pour te donner une idée, Brucon... dans le monde du hacking, c'est un peu ce que Tomorrowland est à la musique électro. Même énergie, même communauté, même folie, et oui, les deux sont belges. Alors, prêt pour un petit voyage dans les coulisses ? Allez, c'est parti ! Alors, tu es également co-organisateur de Brucon. Est-ce que Brucon est gratuit, déjà ?
- Speaker #1
Alors, malheureusement, non. Tout simplement parce que l'argent est le nerf de la guerre. Donc, comme tu peux t'en douter, organiser une conférence avec des speakers qui viennent d'un petit peu partout, c'est une conférence internationale. On a besoin de sponsors. Mais voilà, on demande une participation. Donc, il y a un prix d'entrée. que l'on essaye de garder abordable pour tout le monde. C'est-à-dire que, en fait, je vais parler directement un petit peu de la genèse de Brucon, comment tout a démarré. En fait, l'idée de la première édition était la suivante. Si pas mal de gens ne savent pas voyager et ne peuvent pas aller à Vegas pour suivre un Black Hat, un Defcon, etc., on va faire l'inverse, on va amener les speakers en Belgique. C'était l'idée de Brucon telle qu'elle est venue. et donc on a toujours essayé de garder le ticket le plus bas possible pour que ça soit vraiment ouvert à tout le monde donc les étudiants peuvent venir etc, honnêtement je suis vraiment honteux mais je ne pourrais pas te donner le prix des tickets, je ne retiens plus parce qu'il y a tellement de choses, mais ça reste très très abordable,
- Speaker #0
mais donc ce n'est pas gratuit malheureusement voilà et du coup tu te rappelles de ta première fois à Bruconne, tu étais déjà dans l'équipe organisation ou c'était en tant que participant et après tu as...
- Speaker #1
Tout à fait.
- Speaker #0
Tu arrêtes de m'aborder.
- Speaker #1
Organisation directement. En fait, ça s'est passé comme ça. Donc, l'idée est venue d'une personne, Benny, qui maintenant, il a migré au Japon depuis quelques années, il n'est plus en Belgique. Et lui, donc, il a eu cette idée de faire venir des speakers internationaux en Belgique. Et donc, je me souviens qu'il y avait une mailing list à ce moment-là de cybersécurité en Belgique, une mailing list. Et il a posté un message, donc voilà, j'ai une idée. Qui ? est d'accord de se joindre à moi et de faire un truc. Et je me souviens que la toute première réunion, c'était dans un café à Bruxelles, du côté de la rue Neuve. Et il a invité les gens, une fois, à boire un verre. Il ne savait pas combien de personnes allaient venir, qui allait venir, etc. On était là une dizaine. On a commencé à discuter. Et c'est là que tout a pris. Et donc, moi, je me suis... Il cherchait des volontaires. Et j'ai dit, l'idée me plaît. J'adore le principe. Et donc, je dis, voilà, tu comptes sur moi et je suis dans l'organisation. Et c'est comme ça que tout a commencé. Donc, depuis la toute première édition, ce qui fait maintenant, je crois, la 14e, 15e, quelque chose comme ça. Oui,
- Speaker #0
tu sais que c'est marrant que tu me dises ça parce que je connais Benny. Je l'ai remplacé quand il est parti au Japon. Tu l'as remplacé ? Oui, oui, Ketelslegers. Je l'ai remplacé quand...
- Speaker #1
C'est lui qui est à l'origine. Et alors, ce qu'il a fait, c'est que pour les 10 ans de Brucon, on lui a payé son vol, on l'a fait revenir du Japon pour qu'il revienne ici. Ah ouais, bien sûr, bien sûr, bien sûr. Mais il est toujours au Japon, il est là-bas,
- Speaker #0
ouais. Mais donc, c'est Benny qui est à l'origine. En fait, il prenait six mois, parce qu'il était sur payroll chez le client. Il prenait six mois de pause carrière. Et moi, je l'ai remplacé en étant freelance chez mon client, du coup, pendant six mois. Et après, il a dit, ben non, je reste. OK, donc je suis resté deux ans, deux ans et demi chez le client. Et moi, c'est comme ça que je l'ai connu, mais je l'ai connu trois jours. Le temps que lui fasse ses affaires.
- Speaker #1
Ouais, le monde est petit. Et parfois, j'apprends.
- Speaker #0
Tu vois, c'est marrant.
- Speaker #1
Il a eu une idée folle, mais la première édition, il était proche du burn-out, parce qu'il avait tout été sur ses épaules. Je pense qu'il avait même mis de l'argent personnellement et tout, parce que tu ne parles de rien, tu n'as pas de sponsor. Maintenant, c'est une ASBL, donc voilà, il y a une structure. Mais au début, tu dis, voilà, je cherche une salle, un catering, machin, etc. On ne savait pas si les gens allaient s'inscrire, si les gens allaient venir, etc. C'est vraiment...
- Speaker #0
C'est le gros hiver.
- Speaker #1
Partir au front, quoi. Mais la sauce a pris directement. Et c'est ça qui est génial, quoi.
- Speaker #0
Et donc, du coup, aujourd'hui, c'est quoi l'ADN ? L'ADN de Brucon, selon toi ?
- Speaker #1
La communauté. Donc, on fait toujours venir des... Ce qui est très, très bien, au niveau des conférences, au niveau international, on connaît les grands noms. Il y a les défenses. Fconn, les Black Cat, etc. Il y a des conférences plus en Europe. Il y a Akelu, par exemple, Luxembourg. Il y a Orange Con aux Pays-Bas. Il y a Botconf, que j'adore, en France. Et alors, il y a aussi tous les B-Sides, qui sont gratuits. Donc, B-Sides avec le nom d'une ville. Il y a aussi B-Sides en Belgique, maintenant. Et... Brucon a vraiment une reconnaissance internationale parce qu'on a des speakers... internationaux qui reviennent chaque année ou des visiteurs qui viennent des Etats-Unis par exemple ou d'Asie qui viennent chaque année donc on a vraiment une très bonne presse donc là on est content parce qu'on est reconnu au niveau international mais l'ADN c'est vraiment la communauté parce que moi je vois des personnes je les vois une fois par an, c'est à Brucon et on a des gens qui viennent ils ne sont même quasiment pas, ils n'assistent pas au talk, ils viennent là pour le networking et ils passent leur temps à discuter, voir d'autres personnes, papoter à gauche, à droite, etc. C'est vraiment la communauté qui est, j'irais, le maître mot.
- Speaker #0
Et justement, tu as dit un mot-clé ici sur les talks. Comment est-ce que vous les choisissez sur la valeur technique, l'originalité, sur le sujet du moment ? Comment est-ce que vous choisissez les talks ? Parce que j'imagine que... Si vous avez de la place pour 10 ou 20 talks et que vous recevez 200 papers, comment est-ce que vous allez venir ? C'est un travail, ça.
- Speaker #1
Alors, sans divulguer toutes les petites règles, etc., la facette magique, en fait, comment ça se passe ? On a ce qu'on appelle un call for paper. Donc, on ouvre les soumissions et n'importe qui peut soumettre un papier et un talk. Donc, ça peut être quelqu'un qui... qui est basé en Belgique, ça peut être un consultant, ça peut être une boîte, ça peut être n'importe qui. Ce call for paper se termine et alors on a un board qui fait la review de tous les talks. Donc le board, ce sont les membres de Brucon et on a des membres qui sont un petit peu partout dans le monde, des gens qu'on trust, qui ont une certaine visibilité et qui savent de quoi ils parlent et chacun vote au niveau des talks. Donc, on dit, par exemple, si on a une société qui soumet un talk, mais par exemple, si tu dis, voilà, si c'est du placement de produit, no way. Donc, ça, c'est déjà fini. Si c'est vraiment pour parler ou je suis désolé de dire ça devant toi, mais si c'est quelqu'un qui vient pour parler de ISO, machin, quelque chose, c'est directement, c'est dehors. Ce n'est pas notre ADN.
- Speaker #0
Non, mais tu peux le dire. En fait,
- Speaker #1
on se touche des talks qui soient. Le... talk qui est super important, super cool pour nous, c'est quelque chose qui est neuf. Parce qu'en général, beaucoup de talk tournent. Donc, tu as des personnes qui se soumettent à plein de conférences, et le talk a déjà été donné 3-4 fois. Et donc, en général, il a été enregistré, il est sur YouTube, et donc tu vas venir le répéter. Il faut que ce soit quelque chose. Si c'est neuf, si ça parle de quelque chose qui est récent, donc une nouvelle technologie, un nouvel outil, une nouvelle technique, ou des choses comme ça, tu gagnes en points, je veux dire. Maintenant, il y a forcément la qualité technique du talk. Il faut avouer que les talks sont relativement techniques. Donc, de temps en temps, on a un talk qui est un petit peu plus light, mais souvent, les gens qui viennent suivre Brucon, ils aiment bien du technique. On essaie de garder une balance entre défensif et offensif. Il y a quelques années, on voyait que, mais c'est souvent le cas... Quand on a des jeunes, des étudiants, etc., ils aiment bien casser. « Oui, je veux devenir domaine admis, je veux faire du pentest, je veux complètement router le serveur, etc. » Ils aiment bien ça. C'est très cool. Mais à titre personnel, c'est tout aussi gratifiant de bloquer un attaquant que de devenir domaine admin. Je travaille sur un incident et j'arrive à bloquer l'attaque, je suis tout aussi content que si j'étais domaine admin. Donc on essaie de garder une balance entre offensif et défensif. On essaie aussi de garder une balance entre des choses qui sont vraiment très techniques ou alors des choses qui sont plus fun. On a eu des tolls qui étaient vraiment géniaux. vraiment, il y a eu des démos, mais les gens ont terminé en applaudissant, etc. Donc voilà, les règles que l'on suit, et alors quand tout le monde a fait la revue, si on a une shortlist de, je dirais, de 20 talks et qu'on en a besoin de 15, c'est au vote. Et voilà, celui qui n'a jamais parlé ou qui a vraiment le petit truc en plus, aura peut-être plus de chances d'être sélectionné qu'un autre, etc. Mais donc, c'est pas de bullshit. Pas de placement de produit, pas de marketing et vraiment quelque chose qui soit bien, qui soit intéressant pour les gens qui viennent.
- Speaker #0
Le marketing, il faut savoir, c'est que la personne se place elle-même en tant que produit. C'est son propre marketing et sa visibilité. Il n'est pas là pour vendre le produit en tant que tel. Ça, on est d'accord. Mais tu vas avoir, à mon avis, la renommée d'un guest ou d'un speaker. international qui va faire venir peut-être d'autres gens ?
- Speaker #1
Oui, on a des gens qui viennent et donc les slides sont brandés avec le logo de la compagnie et on a eu des checkpoints, etc. Mais voilà, ça doit faire partie d'une recherche et si maintenant on le sent, tu le vois directement, si au bout de trois slides, le gars commence à te dire qu'il place son checkpoint, ses firewalls, etc. Maintenant, c'est très important de respecter cette espèce de sélection et de voir des taux qui sont intéressants. J'aime bien comparer Brucon. On n'est pas à ce niveau-là en termes d'organisation, mais en termes de vitesse. Je ne sais pas si tu vois la vitesse à laquelle se vendent les tickets, par exemple, de Tomorrowland. Quand on ouvre la vente des tickets pour Brucon, c'est parti en quelques minutes. alors que les gens ne savent même pas ce qui est au programme parce qu'on annonce le programme par la suite donc ils me font confiance, ils savent d'office que je vais voir des gens sympas là, je vais faire du networking et s'il y a des talks intéressants, c'est un plus on verra, donc on en est à un niveau là donc on a vraiment une bonne réputation
- Speaker #0
Est-ce qu'il y a un talk inoubliable sur les X dernières années que tu peux partager avec nos auditeurs et lequel éventuellement par la suite on pourra mettre le YouTube je leur donnerai
- Speaker #1
deux. Il y en a un qui est très, très, très ancien. C'est une des premières éditions de Brucon. Donc, c'est tout te dit parce qu'on a dû faire venir le gars. Je ne sais pas si tu te souviens de Dan Kaminski, qui est d'ailleurs décédé depuis quand il a trouvé la vulnérabilité de DNS Poisoning. On l'a fait venir et il a parlé de sa vulnérabilité à Brucon. C'était le gars ingérable. Vraiment la superstar États-Unis et tout. Super difficile à gérer. Mais le talk était, voilà, c'était Dan Kaminski, M. DNS, boum, c'était vraiment le truc. Et le deuxième talk, c'était il y a deux ans, je crois, on a réussi à faire venir Miko Ipponen. Et Miko Ipponen, en fait, quand il vient, on était dans la salle, en général, quand je dis qu'il y a des gens qui viennent mais qui ne suivent pas les talks, qui restent pour discuter, faire le networking, tout le monde est venu dans la salle pour écouter Miko. Quand Miko parle, on entendait les mouches voler dans la salle. Mais c'était fabuleux. Mais alors, un talk pas très technique, mais parler de la sécurité, mais tu sais, un petit peu d'IoT, un petit peu d'IA, Miko Eponen. Vraiment, la référence en tant que speaker. C'est un speaker professionnel, il ne sait quasiment que ça. C'était vraiment une très belle expérience. Et alors, moi, j'ai discuté avec lui un peu après, comme il était là. Il n'est pas resté longtemps parce qu'il est arrivé, il a atterri, il est arrivé, il a donné son tour et il est reparti. Donc c'est vraiment un peu comme un guest speaker comme ça, discuter un petit peu avec lui. Super sympa, super ouvert, super accessible et tout. C'est vraiment une belle expérience.
- Speaker #0
Eh bien voilà, on clôture ce Triptyque avec Xavier. Trois épisodes, car il y avait trop de pépites pour tout mettre dans un seul. Merci d'avoir suivi cette mini-saga. J'espère que tu as appris autant que moi parce que c'est exactement l'un des buts du podcast. On se retrouve la semaine prochaine pour un nouvel épisode de Compliance Without Comma. Tu connais la tradition maintenant, ton café, ton casque et ma voix dans ta tête. Si cet épisode t'a plu, pense à liker, commenter, partager, car oui, ça a l'air anodin, mais pour moi, c'est toujours aussi énorme, tout votre soutien. Donc merci pour ton soutien, vraiment. A vendredi prochain, restez curieux et surtout éveillés.
