Retour d’expérience Hack In Paris 2k17 : En immersion dans de grandes conventions françaises sur le hacking
Séraphin est l’un des visiteurs chanceux ayant gagné ses places pour Hack in Paris à travers le blog. Il nous fait son retour d’expérience sur les événements HIP et Nuit du Hack 2017. Voici ce qu’il en dit :
Ayant gagné une place avec le blog du hacker, j’ai pu me rendre à la Hack In Paris ainsi qu’à la nuit du Hack du 23 au 25 juin dernier. Ce fut un enrichissement impressionnant et cela m’a permis de rencontrer plusieurs personnes dont Damien CAUQUIL (@Virtualabs).
La Hack In Paris, organisée par Sysdream, m’impressionna beaucoup sur le niveau technique du hacking et sur l’aspect social peu connu du Hacking. Cela sort souvent de l’idée commune de notre société sur le hacker en général. Dans notre société nous le voyons comme quelqu’un derrière un écran ayant des connaissances sur les systèmes ou n’exécutant que des codes trouvés sur internet (Script Kiddies), étant asocial et malveillant, cherchant à s’enrichir ou nuire à une personne. Selon Edwin VAN ANDEL (@YafSec), un hacker hollandais, tout le monde dans notre société a besoin d’un hacker car il peut nous aider au quotidien dans notre vie, et ce n’est pas toujours une mauvaise personne mais aussi car de nombreux hackers partagent les failles qu’ils découvrent pour améliorer la sécurité des machines dans l’IOT (Internet Of Thing). Pour lui nous devons ‘hug a hacker’.
Le deuxième point sur l’esprit social du hacker, est le Social Engineering, présenté par Dominique C. BRACK (@Reputelligence), qui explique comment le hacker doit être social pour parvenir à ses fins lors de pentest ou même un hacker malveillant et que dans notre société, il faut se méfier de tout. Pendant sa présentation il a expliqué comment un hacker pouvait s’y prendre pour insister une personne à brancher une clé USB avec des objets de tous les jours. Néanmoins, il a insisté sur le fait que tout hacker se doit de ne pas trop empiéter la vie privée de sa cible, en parlant d’une échelle à 12 niveaux présentant les différents niveaux d’implication et les conséquences que cela pouvait avoir d’un point de vue juridique et social. Pour l’anecdote, il possède plusieurs cartes de visite différentes à son nom avec des professions différentes dont plusieurs n’ayant que peu de lien avec l’informatique.
Nous avons aussi assisté à des conférences sur le standard 802.1x, expliquant une faille importante de celui-ci, permettant le sniffing mais que ce standard reste encore assez sûr de nos jours et que cela reste une mauvaise excuse des administrateurs réseaux ou des mauvais développeurs en cas de problème dans certaines situations. Celui-ci se base sur le contrôle d’accès à un réseau et se base sur le protocol EAP ou PEAP (Protect EAP). La faille de ce standard au niveau d’une attaque physique est une injection de trafic.
Enfin, deux jeunes coréens nous ont démontré encore une fois les failles de l’IOT de nos jours en montrant comment hacker une télévision connectée et y afficher ce que l’on désire.
La Hack In Paris, reste une convention très intéressante mais avec un niveau technique requis assez important et une maîtrise de la langue anglaise pour pouvoir tout suivre. Cela s’adresse plus à un publique professionnel et qualifié, tandis que la Nuit du Hack reste plus adaptée à un public moins qualifié et plus ouvert, ne traitant pas que de la sécurité.
La Nuit du Hack se diffère aussi de la Hack In Paris en proposant des conférences aussi en français et traitant aussi de tous ce qui gravite autour du hacking. Nous avons vu le fonctionnement des permissions sous Android, qui sont regroupées et qui peuvent parfois donner des autorisations refusées à certaines applications comme nous l’a démontré Julien THOMAS. Cela tournait beaucoup autour de la version Marshmallow de Android. Nous avons aussi vu le nouveau Hash_bounty mis en place par Renaud LIFCHITZ et la mise en place d’un site décentralisé pour éviter plusieurs type de hack (Ddos, accès au système) mais cela reste compliqué à mettre en place, ainsi qu’une économie parallèle. Nous avons aussi les FPGA, des cartes comme les Arduino ou les Raspberry mais avec une puissance de calcul phénoménale grâce à des circuits parallèles. Ou encore la démonstration de failles dans l’électronique embarqué dans les voitures, par Gaël MUSQUET, dont la sécurité est importante car certaines failles peuvent aboutir à la prise de contrôle totale du véhicule.
Mais il y a eu des conférences à propos du point de vue judiciaire comme l’importance de l’informatique dans les opérations militaires et la place que le hacking occupe dans l’armée comme en a témoigné le général « commandant de la cyberdéfense », Arnaud COUSTILLIERE, mais aussi du risque des avancées technologiques et de l’automatisation de certaines procédures, comme celles classant les personnes « à risque » aux États-Unis. En effet, Jennifer LYNCH, membre de l’EFF, a montré la défaillance de certains algorithmes et qu’une femme noire, avec quelques délits mineurs était classé à un risque de niveau 8 contrairement à un homme blanc avec un passé judiciaire et possédant une arme à feu était classé de niveau 3. Cela montre que l’automatisation de certaines tâches peuvent aboutir à des erreurs de jugements avec des conséquences graves.
Mais la Nuit du Hack met aussi en place de nombreux challenges tel un bug bounty, où les partenaires, très présent, comme Qwant, donnent des logiciels à tester pour corriger des failles avec parfois des récompenses à la clé (Bounty).
Mais il y a aussi une wargame avec de nombreux challenges différents par rapport à des logiciels, des sites, etc… contenant de nombreuses failles et très prisés des participants car la salle était déjà remplie 6h avant le début du challenge.
Il y a aussi le Spying Challenge qui consiste à mettre en avant tous les capacités des hackers en équipe de 3 personnes maximum avec du hack, du social engineering ou encore du crochetage.
Ce fut pour moi un week-end passionnant et très instructif, étudiant la sécurité informatique de mon côté depuis assez peu de temps et je remercie le Blog du Hacker de m’avoir offert l’accès aux conventions. Je conseille à toutes personnes voulant découvrir cet univers en participant à la Nuit du Hack et celle qui sont expérimentées la Hack in Paris. En tout cas, les conventions sont de très bons moyens de s’informer sur l’actualité et les techniques récentes en informatique et je les conseille vivement à tous passionnés.