Retour sur la Nuit Du Hack 2013 ! #ndh2k13

Par
UnderNews
-
2
140
NDH2K13

Voila que cette 11ème édition de l’évènement français se termine. Les organisateurs de la Nuit du Hack se sont surpassés cette année afin d’offrir une journée (et une nuit) sans encombres ni problèmes techniques. Du beau monde était présent en nombre et l’ambiance était là. Que demander de plus ?

Belle prestation que cette Nuit du Hack 2013 au centre de conférence de Disneyland Ressort Paris ! Plus de 1300 personnes ont assisté à l’évènement français comprenant des conférences, des workshops, un wargame public ainsi qu’un CTF privé (le plus gros concours CTF organisé en France). Cette année, rien à redire sur l’organisation qui était vraiment à la hauteur. De plus, aucun problèmes techniques à signaler, le WiFi (fourni par ZENCONNECT) et le réseau marchait au poil et le dashboard mis à disposition un peu partout était très pratique pour suivre en live tout ce qui se passait.

BNYUP1sCAAEnmmG

Le programme a été présenté par Jérémie Zimmermann sur le thème : “La liberté ou le contrôle ?“. Jérémie est, rappelons-le, le co-fondateur de La Quadrature du Net et se bat pour la vie privée et les libertés des internautes. La keynote a commencé plus tard en raison de problèmes avec les transports en commun et a été limitée dans le temps. Jérémie a commencé par une question : “Qui utilise encore Facebook ou Gmail ?“. Bien sûr, c’était le cas de la plupart des spectateurs ! Il est en effet bien difficile de se débarrasser de ces services que nous utilisons quotidiennement.

Tout le monde s’accorde pourtant sur le fait que ces services sont surveillés (PRISM, NSA, etc). Il y a quelques années, les ordinateurs et les réseaux étaient des amis pour ainsi dire. Il était facile de comprendre comment ils fonctionnaient. Ce n’est pas le cas aujourd’hui et ils sont devenus peu à peu nos ennemis ! Lorsque vous êtes en face d’un choix technologique, il est important de vérifier l’infrastructure, et de pensez aux logiciels libres équivalents ainsi qu’au chiffrement de bout en bout. Conclusion : “il faut éduquer les utilisateurs”. Ils doivent se rendre compte que tout ce qu’ils mettent sur Gmail ou autre gros service ayant pignon sur rue peut être réutilisé.

Le premier exposé mené par Dave Kennedy, le fondateur de TrustedSec est sorti des sentiers battus. Dave est bien connu pour être également le développeur de SET (Social Engineering Toolkit). SET est un outil complet que vous pouvez utiliser si vous faites tests d’intrusion. Des nouvelles versions sont régulièrement distribuées, contenant des corrections de bugs mais aussi de nouvelles attaques. Le discours de Dave était basé sur des scénarios. Le premier concernait une société médicale. La première phase consiste à se renseigner sur la cible et à réfléchir à ce que vous voulez faire. Il a fourni un bon exemple de hameçonnage. Pour réussir un phishing, l’e-mail doit :

  •     Apeurer les victimes potentielles (chantage, menace, etc)
  •     Demander une action brève et rapide (moins de 2 minutes nécessaire)
  •     Faire en sorte que la victime se sente en sécurité (utiliser HTTPS)

En raison des aléas de la planification, David a été interrompu pendant sa démonstration et a dû libérer la cène pour l’orateur suivant. Les organisateurs se sont excusé et Dave est revenu plus tard avec d’autres démonstrations. L’une d’elle traitait du contournement d’un pare-feu de nouvelle génération, basé sur des signatures.

Ensuite, Davide Canali a enchainé sur les cyberattaques touchant le Web (L’envers des attaques web). Il a expliqué le projet sur lequel il travaillait, l’objectif était de déployer plusieurs sites Web (en utilisant des CMS et des applications connues) en agissant alors comme un honeypot géant (comprenez un appât et un piège pour pirates, ndlr). Les sites redirigent le trafic vers des applications Web réelles installées sur une machine virtuelle (VM). Par ce procédé, il a pu recueillir des énormes quantités de données chaque jour. Les statistiques présentées sont intéressantes et montrent que la première activité malveillante automatisé est généralement activité après 2h10 en ligne et que les tentatives manuelle apparaissent après 4h30. Durant les attaques, le langage Perl (libwww/perl) est détecté dans 75% des cas. Davide a montré beaucoup de statistiques permettant de cartographier les attaques Web actuelles :

  • Découverte et scénarisation des attaques Web actuelles
  • Reconnaissance et identification de ces dernières
  • Exploitation et mode de fonctionnement typique

Le tout pour arriver à une conclusion qui fait froid dans le dos : 46% des cyberattaques aboutissent à la mise en place d’un Shell, comprenez un backdoor, sur le serveur cible. Le Shell est visité par le pirate en moyenne 3h30 après l’exploit !

L’exposé suivant a été présenté par Sébastien Andrivet qui s’est attaqué au système de vote électronique utilisé dans à Genève depuis quelques années. En Suisse, les citoyens ont trois façons de voter : par l’intermédiaire d’un bureau de vote, par la poste ou via Internet (cela est encore au stade expérimental). Quand Sébastien a utilisé le système pour la première fois, il a été curieux d’apprendre comment il fonctionnait et surtout comment être sûr que les votes sont correctement gérés.

Étant donné que les serveurs officiels du système ne sont en ligne uniquement pendant les périodes d’élections et qu’ils ne peuvent pas être attaqués, il a décidé de construire son propre système de vote basé sur un système public. C’est un projet colossal comme vous pouvez vous en douter. Mais il a réussi et a quelques interrogations et remarques :

  • Les noms des développeurs étaient présents dans le code source
  • Certains des commentaires dans les fichiers de classe Java étaient “inappropriés” pour un logiciel développé par un gouvernement
  • Pourquoi le système ne permet au citoyen de modifier son vote ?

Sébastien est alors allé plus loin et à développé un malware spécifique au système de vote en ligne. Pour cela, il a utilisé le même principe que les chevaux de Troie bancaires et masque totalement la manipulation de l’utilisateur. Cette présentation est tout à fait dans l’air du temps car le e-voting se met progressivement en place dans plusieurs pays et la sécurité de ces systèmes est déjà une interrogation pour tous.

La conférence suivante traitait du cracking et de l’analyse des protocoles du iCloud d’Apple et du stockage et était présentée par Vladimir Katalov. Vladimir a expliqué comment fonctionne iCloud et quels sont les protocoles utilisés pour gérés les fichiers des utilisateurs en ligne. Rappelez-vous que vos sauvegardes iCloud ne peuvent pas être protégées et qu’Apple peut à tout moment accéder à vos données!

S’est suivi ensuite une démonstration décalée sur l’ingénierie sociale et le journalisme présentée par TOLIMAT Hicham et GOMMES Julie. Certains on apprécié et d’autres moins. Oui, les journalistes utilisent également des techniques SE de mettre les gens en confiance. En fait, SE est utilisé à chaque fois que vous avez besoin d’obtenir quelques informations auprès de quelqu’un (journalistes, éditeurs, hommes politiques, etc.) Rien de nouveau…

S’en ai suivi une très impressionnante séance de crochetage de serrure en direct !

Puis c’est au tour de Rosario Valotta d’entrer en scène pour traiter de l’exploitation des navigateurs Web modernes. En effet, le nombre de logiciels malveillants est en augmentation constante et les attaques proviennent principalement des téléchargements initiés par l’utilisateur d’une machine. Les navigateurs proposent de plus en plus des notifications reconnaissables permettant de mettre en confiance l’utilisateur.

Rosario a effectué une belle démonstration de l’abus du navigateur en utilisant dans un premier temps une notification au sein de la fanêtre, il a montré comment les utilisateurs pouvaient être invités à réaliser des actions (clavier et/ou souris) qui sont en fait interprétées par les fenêtres cachées et permettent le téléchargement et l’exécution de code malveillant. L’exemple suivant est une redoutable attaque “on-click”. En demandant à l’utilisateur de cliquer sur un lien, l’accent est mis sur un autre fenêtre dont le but est de déclencher le clic de l’internaute sur un bouton d’acceptation afin d’exécuter le code.

Enfin, il a expliqué comment les navigateurs modernes peuvent détecter les code malveillants en utilisant des signatures certifiées. Cette fonction est appelée SmartScreenFilter pour Microsoft ou SafeBrowsing pour Chrome et Firefox. Là encore, il est possible de contourner la vérification. Notez que les applications signées ne seront pas vérifiées grâce à leur réputation.

Ensuite, Jaime Sanchez a enchaîné sur le Kernel en partant du principe que si nous pouvons arriver à tromper tous les outils de réseau, nous serons alors en mesure d’empêcher des tentatives d’attaque. Jaime a expliqué comment les paquets sont traités, depuis le matériel jusqu’aux applications. Puis il a présenté une extension très intéressante pour iptables appelé NFQUEUE permettant la mise en file d’attente des paquets pour la surveillance de l’espace utilisateur via la commande #Iptables-A INPUT-j NFQUEUE – file-num 0.

Cela s’est enchaîné avec Thibaut Scherrer et Eric Filiol, qui ont parlé des caméras de vidéosurveillance déployés par les autorités dans nos villes. La vidéosurveillance est présentée par les hommes politiques comme l’arme absolue pour prévenir la criminalité. Est-ce réellement le cas ? Après une présentation des différents modèles de caméras utilisées en France, ils ont donné des techniques permettant d’en abuser pour éviter un enregistrement, tels que des brouilleurs wifi, lumières infrarouges sur un casque ou d’un laser. Ils ont également expliquer le fonctionnement de l’algorithme développé avec d’autres étudiants pour détecter une caméra qui doit être bloquée pour traverser en toute sécurité à partir d’un point A à un point B à Paris.

C’est alors au tour de Jayson E. Street pour parler des attaques par e-mail menant à l’abus des entreprises. Quoi de neuf avec les attaques via e-mail ? Rien de nouveau si ce n’est que cela fonctionne toujours aussi bien. Aujourd’hui, 91% des attaques impliqué sont de type spear phishing !

Jayson n’a pas hésité à proposer divers scénarios permettant d’abuser les gens via des e-mails. Pour lui, un bon mail de phishing doit comporter :

  • Du danger
  • De l’intrigue
  • De la politique
  • Une récompense

Après avoir expliqué comment écrire un bon e-mail à un contact réel, il a expliqué le nouveau type d’attaque permettant d’entrer facilement dans une entreprise. “Pourquoi contourner le pare-feu si je peux contourner votre réceptionniste ?”, déclare t-il. Pas mal de situations risibles à la clé !

Ensuite, Florent Batard & Nicolas Oberli a présenté un débat très intéressant sur les Frameworks Web modernes et leurs vulnérabilités. Sur la base de plusieurs démonstrations, ils ont montré comment exploiter les frmaeworks modernes utilisés pour construire des applications web. Symfony 2 y a eu le droit lui aussi. Exemple avec l’attaque de la clé secrète : en la connaissant, vous pouvez effectuer beaucoup d’attaques comme une escalade de privilège ou encore l’exécution de code arbitraire. La démonstration est allée jusqu’à l’implantation d’un PHP Shell puis en l’exécutant à distance en utilisant netcat. L’orateur a développé un outil appelé en Python permettant de générer facilement des cookies piégés pour tromper plusieurs frameworks. L’outil sera bientôt disponible sur le site balda.ch.

Pour finir, la dernière conférence était au sujet des applications de e-banking et plus particulièrement sur l’exploitation des nombres à virgules au sein des transactions bancaires et était présentée par Adrian Furtuna. Pas de vulnérabilité précise mais juste une sorte de bug dans la façon dont les banques traitent les transactions. Exemples : lorsque vous achetez un produit à 1,99 €, payez-vous le nombre de centimes exact ? Combien les vendeurs gagnent lors de l’arrondissement du prix ? Cas pratiques évoqués :

  • Transfert de 8,3436 euros, la banque va transférer 8.34 EUR et gagne 0,0036 EUR
  • Transfert de 8,3578 euros, la banque va transférer 8.35 EUR et perd 0,0022 EUR

Notez que les banques mettent une limite fixée à 0,005 euros. En se basant sur cela, comment gagner de l’argent ? Par exemple en faisant des opérations de change ou de transfert d’argent entre deux comptes ayant des monnaies différentes. Bien sûr, les banques bénéficient d’une protection: ils effectuent la surveillance des comportements, et appliquent des coûts par opération par opération et limitent le montant de l’échange. Notez que certaines techniques présentés par l’orateur n’avaient pas été testées car trop difficiles à mettre en œuvre. Le plus insolite était les robots développés pour générer automatiquement des jetons.

La Crashparty quand à elle a battu son plein toute la soirée pour le bonheur de certains “VIP” (ouverte à tous à partir de 21h). Des salons confortables y était installés ainsi que de nombreuses bornes d’arcade et de jeux en tout genre. Un bar et une ambiance musicale fournie par un DJ étaient aussi de la partie.

L’organisation au niveau des workshops aurait pu être améliorée sur quelques points : les mettre plus à part afin d’éviter les nuisances sonores (écoute et approche difficiles sur les stands) et l’évacuation de la salle pour la mise ne place des atelier a été un peu brusque et difficile (1300 personnes coincées dans les couloirs, compressées). De plus, la planification a été modifiée, pour le déplaisir de certains. Mias on peut comprendre la difficulté de gérer un tel évènement !

Le reste de l’événement était réservé aux défis CTF, au Wargame public et à l’épreuve de lockpicking. Les scores sont affichés sur le dashboard officiel :

  • Le CTF a été remporté par la team russe HackerDom avec un score de 3111 points, suivi de près par les français de SoSix
  • Le Wargame public a été remporté par keysec_ avec 4800 points
  • Le challenge de lockpicking a été remporté par Aslea avec un score final de 310 points

capture_small

Bien sûr, à côté de tout ça, le site de challenge OVHACK fourni par OVH a occupé bien des gens durant ces diverses sessions ! Bitk remporte ce dernier avec 1710 points au classement final.

L’article sera mis à jour régulièrement afin d’y ajouter des photos et vidéos, n’hésitez pas à nous envoyer les vôtre si vous en avez !

Sur ce, à l’année prochaine pour une nouvelle réussite et une journée de folie ! Bravo à tous, et surtout aux organisateurs Hackerzvoice et Sysdream. Continuez comme ça !

 

Résumé des conférences by Xavier Mertens, Rootshell.be

2 Commentaires

Les commentaires sont fermés.