Retour sur l'édition 2014 de Hack In Paris

Cette année encore, XMCO était partenaire de la conférence Hack In Paris. Retour sur cette édition 2014 qui s’est déroulée il y a peu.

Jour 1

KEYNOTE 1 – Beyond information ware : Hacking the future of security, par Winn Schwartau

Après une brève introduction de la Hack in Paris 2014 et des remerciements aux organisateurs, Winn Schwartau a démarré sa keynote par une citation résumant assez bien le contenu de sa présentation : Hack early, hack hard!.

En effet, il s’est ensuite attaché à expliquer pourquoi il faut tester la sécurité des nouvelles technologies dès la phase de développement pour qu’elles ne soient pas mises dans les mains d’un public non averti avant d’être sécurisées. Il a tiré de l’Histoire un exemple illustrant ce principe. Le Congrès américain disait ne pas avoir à se préoccuper des pirates, car ceux-ci n’étaient pas suffisamment organisés et n’avaient pas les fonds nécessaires pour représenter une réelle menace.

Winn Schwartau a ensuite présenté les technologies pour lesquelles, selon lui, il est nécessaire de s’intéresser. Il a notamment évoqué l’internet des objets, les drones et autres micro-drones, les exosquelettes et les prothèses ou encore le Bring Your Own Disaster.

La conclusion de cette présentation est que nous nous préparons toujours aussi mal aux nouvelles technologies et que plus tôt les mesures sont prises, plus elles sont efficaces.

DIGITAL ENERGY – (BPT), par Paul Coggin

Paul Coggins, de la société Digital Energy a ensuite réalisé une conférence sur le thème des BPT.

Cet expert en sécurité réalise régulièrement des audits de sécurité sur les systèmes SCADA et leur environnement. Il a ainsi mis en évidence des situations réelles d’attaques basiques permettant de compromettre très facilement des systèmes critiques comme les systèmes SCADA.

Selon lui, les attaques exploitant des infrastructures critiques et se basant sur des vecteurs d’attaques basiques ne peuvent faire partie des attaques de types APT. Il les classe dans les BPT pour Basic Persistent Threats.

Voici une liste non exhaustive des situations à risques qu’il a pu rencontrer et qu’il a détaillé durant cette présentation :

  • l’APT (Advanced Persistent Threats) comme réponse à toute compromission ;
  • l’utilisation de mot de passe par défaut ;
  • la séparation faible ou inexistante des services de contrôle, de management et de données ;
  • les problèmes de sécurité liés au niveau 2 de la couche du modèle OSI ;
  • le manque de filtrage des connexions sortantes ;
  • le manque de confiance entre les parties ;
  • l’utilisation d’outil à distance ;
  • l’utilisation de configuration de base de données par défaut ;
  • le manque de politique de sécurité autour de l’infrastructure réseau et sécurité des entreprises.

Pour finir, il a indiqué plusieurs recommandations sur chacun de ces sujets, ainsi que des points essentiels à respecter :

  • la mise en liste blanche des applications critiques ;
  • la mise en liste blanche des relations de confiance d’un point de vue réseau ;
  • la mise en liste blanche des flux d’information critiques.

Breaking Through The Bottleneck – Mobile Malware Is Outbreak Spreading Like Wildfire, par Thomas Wang (Baidu)

L’objectif de la présentation suivante était de montrer comment se répandent les malwares sur les téléphones mobiles.

Thomas a commencé part expliquer les principaux objectifs des malwares mobiles, une menace qui a grandi de près de 1000% en quelques années. Ces objectifs sont simples et semblables à ceux des autres malwares : voler de l’argent (74%), voler des informations et des ressources (14%). En réalité, ce qui change est la quantité de vecteurs d’attaque. Il a présenté ensuite la liste des vecteurs d’infection rencontrés ainsi que des exemples de logiciels malveillant qui les ont utilisés.

Les vecteurs présentés étaient les suivants :

  • Les magasins d’application officiels (Dropdialer.A, XTaoAd.A) ;
  • Les magasins d’application tiers ;
  • Les messages (Worm!Samsapo.A) ;
  • Les femtocells (FakeCMCC.A) ;
  • Les QR Codes (JiFake.A) ;
  • Le Bluetooth (Obad.A) ;
  • Les firmwares tiers (Oldboot) ;
  • Les réseaux sociaux (Opfake.B) ;
  • La publicité (BadNews.A) ;
  • Le téléchargement (NotCompatible.A) ;
  • Les connexions USB.

Ensuite, Thomas a présenté une répartition des vecteurs d’infection. Cette répartition pointe du doigt les magasins d’application comme étant le principal vecteur d’infection.

Enfin, les exemples de malwares présenté sont disponibles à l’adresse http://pan.baidu.com/s/1c06E7T2 et le mot de passe est HIP2014Thomas.

Fuzzing, Reversing and Maths, par Josep Pi Rodriguez et Pedro Guillén Núñez

Ces deux experts en sécurité espagnols ont présenté le fruit de leur travail sur des outils de sauvegarde. Ces outils, vendus en tant qu’outils de sécurité, sont critiques pour les entreprises. Dès lors la sécurité de ces composants est essentielle. D’autant plus que certains de ces logiciels sont utilisés par des géants du web.

Or, les dernières vulnérabilités corrigées au sein de certains de ces outils remontent à 2008.

Ces outils sont vulnérables à des failles de sécurité que ces chercheurs ont pu mettre en valeur à l’aide d’outil de fuzzing, de mathématique et de reverse engineering. Ils ont ainsi pu développer des codes d’exploitation leur permettant d’obtenir un accès sur des sauvegardes enregistrées.

Biting Into The Forbidden Fruit. Lessons From Trusting Javascript Crypto, par Krzysztof Kotowicz (Google)

Cet expert en sécurité qui travaille chez Google a pu présenter le fruit de ses recherches sur la sécurité apportée par l’utilisation d’outil de cryptographie implémenté en JavaScript.

Il a démontré que la cryptographie au sein de JavaScript avait beaucoup progressé. Néanmoins, de nombreuses vulnérabilités, liées au langage et aux plateformes web, sont toujours présentes et difficiles à corriger.

Ainsi et à titre d’exemple, un utilisateur malveillant peut être en mesure, par le biais d’une attaque de type « Cross-Site Scripting », de contourner des fonctions de cryptographie. Il peut alors remplacer la fonction de génération de nombre aléatoire et exfiltrer en clair des éléments chiffrés. Cette vulnérabilité, souvent peu considérée, peut dès lors provoquer des dommages similaires à ceux qu’occasionnerait une vulnérabilité permettant d’accéder au noyau pour un système d’exploitation.

ARM Aarch64 – Writing Exploits For The New ARM Architecture, par Thomas Roth

Pour conclure cette première journée, le jeune expert en sécurité a présenté les nouveaux éléments de sécurité introduits à l’occasion de la sortie de la nouvelle architecture ARM AArch 64.

Fin 2013, les premiers périphériques utilisant la dernière génération de processeur ARM 64 bits sont apparus. Cette présentation a permis de découvrir les évolutions au niveau de l’architecture du système. Le chercheur a ainsi montré les conséquences de ces évolutions au niveau de l’espace mémoire, ainsi que les conséquences en terme de création de code d’exploitation ciblant aussi bien l’espace mémoire utilisateur que celui du noyau.

Jour 2

KEYNOTE 2 – Around The World In 80 Cons, par Jayson E. Street (Krypton Security)

Cet expert en sécurité, qui dispose d’un charisme impressionnant, a présenté le résultat de 80 conférences qu’il a pu suivre à travers le monde.

Il est ainsi revenu sur l’actualité des services secrets dans le monde. Ainsi, il n’y aurait pas que les Chinois qui espionneraient, la NSA serait très présente également. Mais pas seulement, les Canadiens, Français, Anglais, Allemands,… ont des agences gouvernementales dédiées à des missions d’espionnage.

Il est également revenu sur le côté culturel de la sécurité informatique. Ainsi un pirate est souvent représenté comme un personnage cagoulé, se déplaçant tel un ninja. Par ailleurs, le terme hacking est souvent lié à des activités criminelles dans nos sociétés, or cela peut souvent être également à des fins éthiques et honnêtes.

Il a cité l’exemple de la DerbyCon qui avait provoqué une petite polémique aux États-Unis, car elle invitait des experts en sécurité pour renforcer leurs compétences en « pentest ».

L’objectif global est toujours de comprendre les méthodes des attaquants et d’essayer de les devancer dans la découverte de vulnérabilités logicielles. Ces événements ont une importance cruciale pour la sécurité de nos informations selon lui.

JSMVCOMFG – To sternly look at JavaScript MVC and Templating Frameworks, par Mario Heiderich

Mario Heiderich a commencé par présenter les avantages avancés par les frameworks MVC pour JavaScript :

  • More productive out of the box, EmberJS
  • AngularJS lets you extend HTML vocabulary for your application, AngularJS
  • Fast templates, responsive widgets, CanJS
  • Simple and intuitive, powerful and extensible, lightning fast, JsRender

Ces frameworks semblent donc faire tout ce dont un développeur à besoin. Ils permettent de travailler vite, simplement et de faire plus que ce qui est normalement possible. Qui plus est, il utilise une moustache sexy pour leur notation Stuff (voir mustache.github.io).

Mais qui dit faire plus, dit aussi avoir une plus grande surface d’attaque. C’est ce que Mario a démontré dans la suite de sa présentation.

En effet, en s’aidant du projet TodoMVC qui implémente une Todo-Liste en utilisant différents frameworks, Mario a révélé que ces frameworks permettent de contourner les mécanismes de sécurité permettant de lutter contre les XSS, implémentée dans les navigateurs récents, en permettant d’utiliser eval sans avoir à faire appel directement à cette fonction, mais en passant par des moyens détournés offerts par ces frameworks.

D’ailleurs, la plupart d’entre eux ne sont pas compatibles avec le dernier mécanisme implémenté par les navigateurs, c’est-à-dire le CSP. Mieux, certains permettent de contourner cette fonctionnalité.

Enfin, pour répondre à ce problème, Mario a créé le projet Mustache Security qui permet de classer ces différents frameworks en fonction de critères de sécurité objectifs.

Extreme Forensics Reloaded 2Q /2014, par Alvaro Alexander Soto (ASOTO Technology Group)

Alvaro Alexander Soto a ensuite présenté une conférence traitant du Forensics appliqué. L’objectif n’était pas de présenter des détails techniques, mais des anecdotes et des cas pratiques rencontrés par sa société.

Parmi ces exemples, il a notamment présenté des techniques avancés visant à cacher des données sur des disques dur en changeant les étiquettes afin d’indiquer une taille plus petite, ou encore en désactivant certaines têtes de lecture d’un disque dur pour que les données ne puissent pas être lue, par un « dd » par exemple. Il a également présenté, avec humour, une technique de récupération de mot de passe nécessitant une perceuse et une chaise en inox disposant d’entraves intégrées.

Plus sérieusement, il a montré des techniques pour accéder en ATA à des disques durs externes USB en soudant un port SATA sur le disque, ou encore des disques durs placés à côté d’électro-aimant afin de les rendre inutilisables si le boîtier de la machine est ouvert.

C’est pourquoi il nous a rappelé la nécessité de former des experts en forensics dans différents domaines pour faire face à des criminels toujours plus ingénieux. Les domaines en question sont par exemple les systèmes d’exploitation, les terminaux mobiles… L’objectif est selon lui de former des gens capables de voire plus loin que les techniques d’analyse classiques.

Plunder, Pillage And Print – The Art Of Leverage Multifunction Printers During Penetration Testing, par Deral Heiland et Pete Arzamendi (Rapid7)

Ces deux experts de la société à l’origine du célèbre framework d’exploitation Metasploit ont présenté un nouvel outil qu’ils ont développé.

Leur outil se base sur un constat régulier lors de pentests en entreprise : les imprimantes multifonctions ne sont pas sécurisées. En effet, il est souvent possible d’obtenir un accès à un compte d’Active Directory via ces imprimantes. Dans 5% des cas, il est également possible d’obtenir directement des identifiants d’administrateur du domaine. D’ailleurs, pour rendre leur présentation plus attractive et appuyer l’utilité de leur outil, ils ont présenté plusieurs cas pratiques de détournement de ces imprimantes multi-fonctions.

L’outil s’appelle Praeda. Il permet de scanner les réseaux à la recherche d’imprimantes. Il lance ensuite des modules spécifiques en fonction du modèle et récupère des données (usernames, passwords, etc.). On utilisera par la suite les informations récoltées pour s’implanter dans le système d’information. Cet outil devrait bientôt s’intégrer à Metasploit.

Ils proposent plusieurs recommandations pour éviter les situations à risques :

  • modification des mots de passe administrateurs
  • réaliser du patch management sur les firmwares
  • ne pas exposer les interfaces de ces imprimantes sur Internet
  • réaliser des isolations spécifiques pour certains métiers : ressources humaines, comptabilités…

Leur outil est disponible à l’adresse suivante : https://github.com/MooseDojo/praedasploit.

C11 Metaprogramming Technics Applied To Software Obfuscation, par Sebastien Andrivet (SCRT)++

Après une vidéo d’introduction à base d’extrait de films de science-fiction tel que Matrix, Sebastien Andrivet nous a présenté une méthode d’obfuscation des binaires issues de code source en C++.

Le point de départ de son projet est une mission d’analyse d’un MDM qui lui avait été confié. Entre autres choses, il devait pour cette mission évaluer la possibilité de rooter un téléphone de la flotte contrôlée par le MDM sans que celui-ci ne le détecte. En analysant le binaire de l’application, il s’est aperçu qu’il lui suffisait de rechercher la chaîne de caractère « Cydia » pour trouver la fonctionnalité réalisant la vérification du routage. Cette analyse était trop simple selon lui et il s’est donc lancé dans l’élaboration d’une méthode d’obfuscation.

Ensuite, après une brève introduction des templates C++, il nous a expliqué étape par étape l’évolution de ses templates. Le résultat final permet de chiffrer toutes les chaines de caractères avec une clé XOR différente et de complexifier les graphes d’appels des méthodes.

Le projet est disponible à l’adresse suivante : https://github.com/andrivet/ADVobfuscator.

Energy Fraud And Orchestrated Blackouts/ Issues With Wireless Metering Protocols (WM-Bus), par Cyrill Brunschwiler (Compass Security)

Cet expert a présenté des problématiques liées à la fraude à l’énergie. Il a pour cela présenté le protocole Wireless M-Bus, qui permet de lire à distance des mesures électriques.

Dans cette présentation, le chercheur s’est attaché à analyser les éléments de sécurité de cet outil. Il a pu en outre montrer des vulnérabilités existantes permettant de manipuler les données remontées.

Splinter The Rat Attack – Create Your Own Botnet To Exploit The Network, par Solomon Sonya

Solomon Sonya nous a présenté son Botnet à usage éducatif. Ce professeur à l’anglais impeccable et au talent d’orateur indéniable a démarré ce projet afin de permettre aux chercheurs d’étudier le comportement d’un Botnet sur un réseau.

Cette conférence a été l’occasion pour lui de présenter les fonctionnalités de son Botnet. Celle-ci est des plus classiques :

  • Déni de service par surcharge réseau ;
  • Dépôt et récupération de fichiers ;
  • Exécution de commande ;
  • Connexion asynchrone pour éviter la détection de connexions persistantes ;

Le faible niveau technique de la conférence est amplement compensé par l’énergie du speaker et l’intérêt de son projet pour la recherche.

Le projet est disponible à l’adresse suivante : https://github.com/splinterbotnet

DEBAT – Global Surveillance – Security VS Privacy

Enfin, la conférence s’est terminée sur un débat organisé avec plusieurs intervenants connus :

  • ANNIE MACHON : Ancienne agent du MI5
  • ERIC FREYSSINET : chef de la division de lutte contre la cybercriminalité, Gendarmerie Nationale
  • HANS VAN DE LOOY : Fondateur de Madison Gurkha and Ethical Hacker
  • DAVE KENNEDY : President de TrustedSec et fondateur de la DerbyCon
  • WINN SCHWARTAU: Fondateur de The Security Awarness Company

Ce débat portait sur la problématique de la surveillance de masse. Il était divisé en deux équipes, la première représentant la NSA et l’autre représentant les hacktivistes luttant contre ces outils.

Plusieurs questions leur ont été posées afin de comprendre les motivations de chacune des parties.

Rendez-vous dans l’ActuSécu 38 pour un résumé complet et détaillé de chaque conférence.

Adrien Guinault

Découvrir d'autres articles

  • Conférences

    Retour sur WestDataFestival 2024

    Lire l'article
  • Conférences

    DORA et la résilience opérationnelle des fournisseurs

    Lire l'article
  • Conférences

    Retour sur la Black Hat Europe 2023

    Lire l'article