Notre compte rendu de la Hack In Paris

Social Forensication: A Multidisciplinary Approach to Successful Social Engineering

Le premier talk de cette édition de la Hack in Paris nous est présenté par Joe Gray et introduit des techniques utilisées en social engineering. L'intervenant démontre que ce type d'attaque nécessite, en plus de la technique, des compétences qu'il appelle le "human hacking". En effet, un attaquant doit pouvoir interpréter un rôle, comme un acteur (dans le cas d'une usurpation d'identité) ou maîtriser l'art de la parole (pour convaincre), dans le but de récupérer des informations (confidentielles ou non) à sa cible, qui lui permettront de dérouler son attaque (s'introduire dans des bureaux, salles de réunion par exemple).

Pour obtenir la main sur le poste d’un utilisateur, l’intervenant nous livre l’exemple d’un attaquant (ou consultant informatique) se faisant passer pour un consultant forensic. Ce consultant s’adresse à la victime en lui expliquant que son entreprise a été victime d’une attaque informatique, mais qu’elle n’y est pour rien (cet aspect est important pour que la victime ne se sente pas menacée), mais que son ordinateur peut contenir des logs intéressants car des machines infectées ont essayé de le contacter. L’attaquant doit ensuite veiller à garder la victime proche du poste pendant le déroulement de l’attaque, afin qu’elle n’aille pas expliquer son cas autour de la machine à café…

La partie technique intervient en second plan, à partir du moment où l'attaquant a un accès physique au poste. Son but est alors de récupérer les données stockées de sa victime, comme les empreintes de ses mots de passe, des identifiants de connexion, etc. Il cite pour cela différents logiciels de Forensics, tels que FTK Imager Lite ou Volatility, qui sont dédiés à l'analyse de mémoire.

Figure 2 : Différents moyens d'obtenir l'image du disque à analyser

Exploits in Wetware

Le social engineering est également le sujet de la présentation de Robert Sell qu'il définit comme une « manipulation psychologique des humains afin de les amener à réaliser des actions ou divulguer des informations confidentielles ». L'intervenant explique qu'il existe différents types d'attaques, en fonction du besoin ou du type d'informations à récupérer, par exemple :

  • Kidnapping virtuel
  • Invitations à des fausses conférences
  • Whaling
  • Ransomware

Parfois ces attaques ne sont pas nécessaires, et les informations recherchées peuvent être divulguées simplement en discutant avec la personne par téléphone, Robert Sell utilise pour cela des prétextes, via du vishing (hameçonnage par téléphone), pour manipuler sa victime :

  • Complimenter la cible, lui montrer qu'elle a réussi quelque chose d'incroyable, que l’on n’aurait pas su faire sans elle,
  • Lui faire croire qu'elle est spéciale, qu'elle a gagné un concours,
  • Faire croire à une maintenance (pour passer physiquement l'accueil par exemple)

Plus l'entreprise compte de collaborateurs, et plus les risques d'attaques par social engineering sont forts, comme nous explique l'intervenant : « Dans une attaque de social engineering, 20% des gens vous donneront 80% des informations ».

Malheureusement aucune protection n'est complètement efficace contre ce type d'attaques, car les cibles ne sont pas des postes ou des serveurs mais des collaborateurs. Cependant, il est possible de rendre plus difficile ces attaques, en mettant en places de bonnes pratiques :

  • Ne pas répondre aux numéros d’inconnus au téléphone
  • Désactiver les liens actifs dans les mails
  • Activer le tag "EXT" dans les mails, pour empêcher le spoofing
  • Organiser des formations/challenges internes autour du sujet
  • Créer une culture de la récompense des collaborateurs mettant en place les bonnes pratiques
  • Utiliser des applications de messagerie plus sécurisées (Slack, Twitter, blog, etc)

 

All your GPS Trackers belong to US

Le sujet de Chaouki Kasmi et Pierre Barre présentait les risques liés à l'utilisation de traqueurs GPS. Ces derniers sont utilisés pour géolocaliser des objets connectés comme des voitures.

Les chercheurs ont acheté plusieurs traqueurs sur Internet afin de les analyser. Ces traqueurs sont majoritairement fabriqués en Chine et l’infrastructure utilisée est quasiment la même pour tous les modèles. Les intervenants ont mis en évidence des connexions constantes des traqueurs vers des adresses IP localisées en Chine et aux Pays Bas.

En effet, les données stockées dans le traqueur sont envoyées constamment, de manière non chiffrée, vers le serveur de management (permettant la visualisation de son parc automobile par exemple) mais également sur des serveurs en Asie ou en Europe.

Ils ont mené différentes attaques sur ces traqueurs et ont prouvé que les manques de chiffrement et d’authentification pouvaient entraîner des conséquences sérieuses : un mécanisme permet par exemple d’activer une fonction (telle que l’enclenchement des freins) en cas de sortie du véhicule d’une zone définie. Si un attaquant est capable de modifier la position GPS d’une voiture de manière malveillante, les freins de celle-ci pourraient être activés dans des circonstances dramatiques.

Finalement, la recommandation des deux chercheurs à l’issue de la présentation est de désactiver un tel traqueur si notre voiture en est équipée.

 

 

Who watches the WATCHMEN ? Adventures in red team infrastructure herding and blue team OPSEC failures

Cette présentation est réalisée par Mark Bergman et Marc Smeets. Dans leur métier, ces “red-teamers” se sont heurtés à deux problèmes de taille :

  • Lors d’une mission Red-Team contre une large architecture, utilisant plusieurs scénarios et plusieurs serveurs de commande et contrôle, il est rapidement possible de perdre du temps et de perdre des traces d’activités.
  • Dans un tel cadre, il est probable que la Blue-Team “adverse” surveille les activités de la Red-Team, et il est difficile de monitorer les activités de celle-ci (who watches the watchmen ?).

Ils ont donc développé RedELK, l’ont utilisé, puis l’ont mis en ligne en 2018.

Le fonctionnement de RedELK est schématisé dans la figure suivante :

RedELK va se positionner en intermédiaire entre les auditeurs et la cible. Toutes les données y seront stockées, tracées et enrichies si besoin. Aussi, un système de SIEM va être en mesure de monitorer les équipements de la Red-Team : si la Blue-Team réalise un scan de ports sur le serveur C2, une alerte sera levée. Aussi, si un code malveillant développé par la Red-Team est envoyé sur VirusTotal, une alerte sera émise.

De nombreuses autres fonctionnalités sont proposées pour faciliter le travail des attaquants.

Les intervenants ont par ailleurs répété à plusieurs reprises “The goal of Red Team is to make Blue Team better.”

L’outil RedELK, en plus de permettre une harmonisation et un enrichissement des logs, permet de suivre les mouvements de la Blue Team et donc de pouvoir l’aider à s’améliorer. Enfin, RedELK peut aussi permettre d’attaquer la Blue Team si celle-ci se dévoile trop lors de son analyse, et que sa sécurité n’est pas suffisante...

Enfin, cette édition de la Hack In Paris a été rythmée par des talks particulièrement intéressants, des workshops accessibles, mais aussi par les rencontres possibles grâce à cet événement, avec des entreprises, chercheurs ou autres professionnels de la cybersécurité. A travers ces conférences et ces échanges, tous s’accordent à dire que la sécurité est un facteur majeur de développement et qu’un effort particulier doit être mis en place pour sensibiliser le grand public et surtout les collaborateurs. Ceux-ci restent le point d’entrée le plus facile vers votre entreprise.

 

Benjamin Leroux, Innovation & Marketing, Advens