Cette année, une fois n’est pas coutume, nos collaborateurs ont assisté à la 12ème édition de la Sthack. Dans la magnifique cité de vins de Bordeaux, nos équipes ont pu découvrir 7 conférences ayant pour sujet commun la cybersécurité puis participer au traditionnel CTF (Capture The Flag) au cours de la nuit du vendredi au samedi.
Les conférences de la Sthack 2023
Le début des conférences a été marqué par l’intervention de Gwaby (@Pwissenlit) à propos de l’exploitation d’un firmeware UEFI, dont l’implémentation est basée sur EDK II. Elle a pu nous présenter au travers de cette conférence technique sa recherche de vulnérabilité. Bien que l’exploitation soit complexe à mettre en œuvre dans la réalité, sa présentation était très intéressante et amusante à découvrir.
S’en est suivie une présentation autour de la cryptographie post-quantique. Ce sujet très complexe et abstrait a été brillamment vulgarisé par Jean-Phillipe Aumasson (@veorq) et nous a permis de comprendre les futurs enjeux liés à la cryptographie moderne. Le principal risque concerne les échanges sécurisés basés sur des algorithmes asymétriques, comme RSA ou ECDSA. Néanmoins, le conférencier a pu remettre en perspective ces risques : le développement à grande échelles des ordinateurs quantiques est loin d’être une réalité à l’heure actuelle.
La matinée s’est terminée par une conférence présentée par Antoine Cervoise (@acervoise) sur les attaques DMA (Direct Memory Access). Un aperçu des différentes techniques permettant d’accéder à la mémoire RAM d’une machine (poste de travail, serveur, IoT…) a été illustré avec quelques retours d’expérience, rendant cette conférence amusante à suivre et intéressante.
L’après-midi a débuté avec une conférence sur les cyberviolences. A l’aide d’une enquête effectuée sur l’année 2021, Laure Salmona (@curiosarama) a présenté un état des lieux d’un phénomène aujourd’hui encore trop répandu : les violences sur l’espace cyber. Les impressionnants résultats de l’enquête ont permis de mettre le doigt sur un sujet sensible, et démontre un réel problème de société.
A la suite de cette conférence, Eloïse Brocas (@_cryptocorn_) et Benoît Forgette (@Mad5quirrel) nous ont offert un amusant retour d’expérience sur leur participation au Pwn2own. Cette compétition de bug bounty rémunère les participants découvrant des vulnérabilités sur équipements munis d’un système d’exploitation ou d’un navigateur à jour. Les conférenciers ont donc décrit toute leur démarche de recherche de vulnérabilités sur un routeur Netgear au travers d’une narration très immersive. En effet, plusieurs rebondissements ont été décrits, notamment la correction par le constructeur de vulnérabilités à quelques jours de leur départ pour la compétition.
Cette journée de conférence s’est clôturée autour de deux sujets techniques : une première présentée par Pierre Besombes autour de la sécurité des équipements réseau, et une seconde présentée par Nicolas Correia Vitorino autour d’une série de vulnérabilités découvertes ces dernières années exploitant la bibliothèque Windows CLFS, un système de journalisation dans Windows.
Pour finir cette journée très enrichissante, nous avons assisté à la traditionnelle session de RUMP, des mini-conférences présentées en moins de 5 minutes. Cette année, plusieurs d’entre elles ont su retenir notre attention. Nous avons notamment pu découvrir un outil utile pour la recherche d’informations en source ouverte (OSINT) : POSTMANIAC (https://github.com/boringthegod/postmaniac) ou encore l’outil LOOKYLOO (https://github.com/Lookyloo/lookyloo) capturant une page Web et affiche ses dépendances sous forme d’arbre. Cette session de RUMP a été remportée par l’un des membres de l’équipe CTF « Les Pires Hat », ce dernier ayant tenté de remporter une nuit dans l’opéra Garnier sur AirBNB en mettant à profit ces compétences en automatisation.
Le CTF
Enfin, à 21h, dans les impressionnants salons de la mairie de Bordeaux, il était l’heure de démarrer le CTF tant attendu qui a duré toute la nuit.
Cette compétition à laquelle 11 de nos collaborateurs participaient réunissait 44 équipes de 1 à 5 personnes, avec pour objectif de résoudre de nombreux challenges créés par les organisateurs de l’évènement.
Au final, une de nos équipes est parvenue à décrocher la 9ème place. Retrouvez leurs comptes-rendus techniques sur notre page dédiée https://rootdurhum.github.io/.
