Après la 4e édition de Hack In Paris s’est déroulée du 28 au 29 juin la 12e édition de l’une conférences française les plus emblématiques : La Nuit du Hack.
Le temps de la péniche est réellement révolu. Cette année, ce ne sont pas moins de 1500 personnes qui se sont déplacées chez Mickey.
Comme les années précédentes, le programme était chargé, avec des conférences diverses et variées, des challenges (CTF, challenge public, atelier lockpicking), la Crash Party ainsi que de nombreux Workshop pour le plaisir de chacun.
Mais cette édition est également pleine de nouveautés avec l’apparition de l’espace NDH Kids proposant aux enfants de s’initier à la sécurité informatique et de la bidouille (le hacking de nerfs gun a eu l’air d’avoir un grand succès), un Bug Bounty a également été mis en place en partenariat avec la société Qwant récompensant la découverte de vulnérabilités dans l’une de leurs applications, ainsi qu’un challenge Sploit’n’Drink permettant de tester la vulnérabilité humaine à l’alcool face à l’exploitation d’une faille.
En parallèle de toute cette technicité, les stands des nombreux sponsors ainsi que l’espace recrutement Yes we hack étaient là pour se présenter auprès de la communauté ainsi que présenter des offres d’emploi en rapport avec la passion commune de tous les participants.
KEYNOTE, par Benjamin BAYART (FDN)
Benjamin BAYART, président et porte-parole de la French Data Network a eu l’honneur d’ouvrir les hostilités pour cette douzième Nuit Du Hack.
Dans un monde où l’électronique et le numérique n’ont jamais été aussi présents, la surveillance étatique est, elle aussi, à son paroxysme.
Benjamin a interpellé son auditoire en expliquant que pour être en mesure de nous prémunir de cette surveillance, nous avons besoin de connaître parfaitement les systèmes que nous utilisons. Or, ce n’est pas dans les écoles, même spécialisées, qu’il nous sera possible d’apprendre en profondeur le fonctionnement de ces systèmes.
C’est donc aux bidouilleurs (terme qu’il préfère utiliser à « hackers ») qu’il s’adresse afin de ne pas baisser les bras et de continuer le jeu du chat et de la souris bien connu dans le milieu de la sécurité des systèmes d’informations.
Extraction et attaque de clés publiques RSA grâce à une faiblesse courante des signatures électroniques – application à PGP et Vigik, par Renaud Lifchitz
Le français Renaud Lifchitz, consultant chez Oppida, a présenté la même conférence que lors de la conférence Hackito Ego Sum de cette année. Nous vous invitons à lire le résumé de cette conférence dans l’ActuSécu n°37.
Break, dump & crash, par Virtualabs
Cette présentation faite par Damien Cauquil, alias Virtualabs, introduit les bases du hacking hardware (algèbre de boole, RTFM), ainsi que les outils (Fer à souder, multimètre, oscilloscope). Ces derniers permettent de récupérer des informations sur les composants spécifiques.
Le hacking hardware permet de comprendre en profondeur les mécanismes de sécurité mis en place sur les éléments embarqués tels que les modems câbles incorporant un chipset Broadcom BCM3383. Celui-ci a par exemple été mis à nu lors de la présentation. Le hacking hardware permet également d’avoir un retour console intéressant sur des éléments ou bien souvent l’obscurité est la seule protection.
Virtualabs a également profité de cette occasion pour présenter et mettre à disposition des outils de son cru, permettant de manipuler différents firmwares.
Security Threats for Instant Messaging Platforms, par Jaime Sanchez
A l’heure actuelle, nous voyons de plus en plus émerger des plateformes de messageries instantanées (BBM, Snapchat, Viber ou encore WhatApp). Moins connu que les réseaux sociaux comme Facebook ou Twitter, WhatsApp dispose néanmoins de 400 millions d’utilisateurs. Jaime Sanchez a présenté un retour très intéressant sur les différentes vulnérabilités qu’il a été en mesure de découvrir sur les plateformes précédemment citées, allant de la divulgation d’informations au déni de service, en passant bien évidemment par de grosses lacunes au niveau du chiffrement des données.
La tête dans les nuages, par Matthieu Bouthors (Outscale)
Le Cloud est de plus en plus présent, les applications reposant dessus également. Au cours de cette présentation, Matthieu a rappelé que dans ce genre d’application, même si c’est très souvent le cas, la sécurité du site/système ne se cantonne pas à la sécurité de l’application web.
En effet, les nombreuses API utilisées sont également un vecteur d’attaque important, bien que peu connu et exploité. Dans ces API, deux familles existent : les API basées sur REST ainsi que celles basées sur le standard SOAP.
Dans le fonctionnement ainsi que dans la manière d’attaquer des API de type REST, nous sommes vraiment très proches du protocole HTTP. Les outils sont donc légion et notre conférencier nous montre l’utilisation de Burp Proxy contre une API compatible Amazon.
Du côté des API basées sur SOAP, il existe des vulnérabilités au niveau des parsers XML permettant l’injection/inclusion d’entités locales ou distantes
Coucou, tu veux voir ma domotique ?, par Vorex & Virtualabs (Sysdream)
Qu’est-ce que la domotique ? C’est un ensemble de technologies permettant de connecter sa maison. Qu’en est-il de la sécurité de ces systèmes ? Que se passerait-il s’il était possible d’ouvrir la serrure d’une maison à distance et tout cela sans laisser de trace ?
Au cours de la présentation, Vorex et Virtualabs, deux grands bidouilleurs, nous ont présenté un petit tour d’horizon des solutions Open-Source et propriétaires existantes, et en ont profité pour dévoiler quelques vulnérabilités.
Des failles web dans l’interface d’administration aux requêtes clients/serveurs sans authentification, en passant par les sauvegardes non sécurisées et accessibles à tous permettant de récupérer le mot de passe quasiment en clair (base64), tout ou presque y était !
Et les solutions propriétaires ? Que se passerait-il si le serveur de gestion de votre domotique dans le cloud tombait en panne ou subissait des attaques à répétition ? Votre porte resterait elle ouverte ou fermée ?
Cette présentation très intéressante avait pour but de démontrer le manque de maturité des solutions de domotique actuelles ainsi qu’un cruel manque de formation des développeurs sur les bonnes pratiques de développement et les attaques existantes.
Take care of your inputs, par Zakaria Rachid & Borja Berástegui
Dans un monde hyper connecté, l’informatique est partout : bornes interactives, distributeurs de billets, guichets automatiques, badgeuses automatiques dans les grandes surfaces.
Les deux conférenciers nous ont fait un petit tour d’horizon sur l’ensemble des dispositifs publics qu’ils ont réussi à détourner de leur fonction initiale. Que l’utilisateur ait un clavier ou un écran tactile devant lui, Zakari et Borja ont rappelé que les entrées utilisateurs doivent absolument être validées.
Retro-arcades protections & hacking, par CrashTest
CrashTest est un passionné (et le mot est faible) de jeux d’arcade des années 80/90. Ces jeux tournaient la plupart du temps sur du matériel dédié dont les passionnés ont mis beaucoup de temps à percer les secrets.
Nous avons donc eu le droit à une rapide revue des protections mises en place par Capcom sur son système d’arcade : le Capcom Play System 1 (CPS1) et les moyens de le contourner. Lancé par Capcom peu de temps après la mise en échec du CPS1, le CPS2 à durant de nombreuses années résisté aux tentatives de hack grâce à des protections avancées.
Une conférence haute en nostalgie, même pour le speaker qui est en train de passer la main aux nouvelles générations afin de continuer à émuler ces jeux mythiques.
Use CNC and 3D to cut your own mechanical keys, par Mr Jack
Alexandre Triffault (alias Mr Jack) est un fidèle habitué de la Nuit Du Hack. Il est venu faire une présentation fort intéressante sur les possibilités de fabriquer ses propres clés, qu’elles soient à dents, ou même certains modèles de haute sécurité grâce à une fraiseuse CNC.
L’utilisation de ce type de machine permet, pour environ 1 000€ (contre l’investissement de 60 000€ pour les machines professionnelles), de reprendre le contrôle de notre sécurité physique en ne laissant plus la possibilité à notre serrurier de voir la clé de haute sécurité que nous souhaitons reproduire.
La sécurité des clés peut s’apparenter à du Reverse engineering, à la seule différence que Quand on a scié la clé, elle n’a plus de protection pour se cacher.
Combating Evasive Malware, par Marco Cova
L’un des défis majeurs dans l’analyse des logiciels malveillants est l’utilisation de techniques d’évasion, un ensemble de techniques permettant aux malwares de détecter s’ils sont exécutés ou pas dans un environnement d’analyse (Machine virtuelle, présence d’IDA, etc.)
Durant cette conférence, Marco Cova a passé en revue l’ensemble des techniques d’évasion qu’il a été en mesure d’observer dans des binaires qu’il a analysé. Il a également présenté deux systèmes mis en place au sein de son université pour l’analyse automatique de malware.
Enfin, la Nuit du Hack a encore une fois fourni son lot de challenges en tout genre.
Parmi ceux-ci, on trouvait :
- Les challenges proposés par Lexsi :
- Reverse de 3 payload pour la clé USB Rubber Ducky (encore fallait-il le deviner et trouver l’outil adapté 🙂 )
- Analyse d’une pseudo infection en trois étapes :
- Stéganographie sur une image en suivant le fonctionnement du malware ZeusVM,
- Exploitation de la faille Heartbleed,
- Analyse d’un PDF malveillant utilisant une faille présente dans Acrobat 8.
- Les challenges « sploit and drink », qui consistaient à exploiter une vulnérabilité, a priori une XXE, et à boire à chaque échec ;
- Le Bug Bounty organisé par Qwant avec une enveloppe de 5 000 € dont seulement la moitié a été remportée ;
- Le CTF réservé aux joueurs qualifiés où une seule équipe a réussi à finir avec un score positif ;
- Le CTF public, proposant des épreuves diverses et variées :
- Analyse de binaire, dont Android et IOS,
- Applications Web, y compris pour les n00bs,
- Applications au comportement « awkward »,
- Cryptographie,
- Stéganographie.
Comme toujours, la Nuit du Hack a été très longue, et le dimanche n’a pas été de trop pour récupérer.
