Retour sur la Sthack

Retour sur la Sthack

 

La journée a été marquée par des conférences aussi qualitatives que variées et s'est clôturée par le traditionnel Capture The Flag (CTF pour les intimes).  7 de nos auditeurs se sont rendus sur place, et vous proposent un résumé des conférences qui les ont le plus marqués.

 

Mobile Cryptojacking

 Cette conférence nous a présenté l’actualité sur le minage de cryptomonnaie via des terminaux mobiles. C’est à partir de 2017 que le minage prend de l’ampleur dû à la croissance du court du Bitcoin. Aujourd’hui une multitude de cryptomonnaies existent. Axelle Apvrille a fait des recherches en particulier sur les applications et terminaux mobiles qui pourraient être utilisés par des attaquants afin de faire miner les utilisateurs à leur insu. Après plusieurs recherches, il s’avère que l’utilisation de terminaux mobiles n’est pas extrêmement rentable. Les applications, elles, passent plutôt par des cloudmining afin d’avoir plus de capacités.    

 

IOT Security : Hack the Damn Vulnerable IOT Device

Comme son nom l'indique, cette conférence traitait le sujet de la sécurité autour de l'IOT, ces petits appareils qui envahissent nos maisons depuis maintenant plusieurs années. Cette présentation se divisait en 2 parties. Tout d'abord, une présentation du fameux top 10 de l'OWASP en nous introduisant, pour chaque vulnérabilité, un exemple concret lié au monde de l'IOT. Puis, une mise en avant du projet DVID pour Damn Vulnerable IOT Device. Ce projet a pour but de former au hacking d’appareils connectés. Il se présente sous forme d’un RasberryPy auquel ont été ajoutés des capteurs permettant de simuler plusieurs types d’IoT. Le but étant ainsi de découvrir différentes méthodes d’exploitation liées aux modules/capteurs installés.

 

Retro-ingenierie et recherche de vulnérabilités sur les puces WiFi Broadcom bcm43 et leurs pilotes 

Cette présentation a permis de mettre en lumière les moyens d’interagir avec la RAM et la ROM de carte Wifi. Il nous décrit sa méthodologie de recherche ainsi que ses résultats. Il a remarqué par exemple que les fournisseurs laissaient une console et nous a expliqué comment via un buffer overflow, il est possible d’en prendre le contrôle.  

 

DIY DNA OSINT !

La frontière entre science-fiction et réalité est parfois très fine. Renaud Lifchitz nous démontre, exemples à l'appui, que l'entièreté du génome d'un individu peut être contenu dans un simple fichier texte et qu'il serait théoriquement possible de s'appuyer sur certains critères pour mieux cibler ses attaques de Spear-phishing. 

En effet, le génome met en évidence de nombreuses particularités physiques de l'individu (cheveux, couleur de peau, sexe), mais peut aller plus loin, car certaines parties de l'ADN peuvent divulguer des informations sur le caractère d'une personne. C'est là que l'attaque de Spear-phishing prend tout son sens.  

Il serait donc possible de mieux cibler ses attaques sur un sujet en sachant qu'il a plus de chance à aimer les jeux de hasard, qu'il est plutôt empathique, etc. 

En revanche, le Spear-phishing basé sur ADN risque d'être difficile à envisager, car aujourd'hui en France, il est interdit de faire séquencer son génome pour des raisons éthiques. 

 

J'irai m'introduire chez vous

Présentée par nos deux auditeurs lillois, Jean et Quentin, cette présentation s’orientait autour des missions de Redteam réalisées. 4 exemples de missions tout aussi différentes les unes que les autres y étaient présentés. Cette conférence a permis de présenter les différentes techniques utilisées. Cette conférence, allant du social engineering à l’exploitation de vulnérabilités sur des machines connectées au réseau, en passant par de l’intrusion physique.

  

Une séance de Rumps clôturait était organisée à la suite de cette journée de conférence. L'occasion pour des professionnels ou passionnés de présenter un sujet pendant 5 minutes. Nous avons donc assisté à des présentations sur l'OSINT (Open Source InTelligence) et le Redteam, le déchiffrement AES automatisé... 

 

À 21h, il était temps pour notre équipe de s'attaquer aux différents challenges créés par les membres organisateurs de l'évènement, lors du fameux CTF. Au menu, une vingtaine de challenges sur des thèmes variés (parmi lesquels du web, du reverse engineering ou encore du réseau) qui a su tenir en haleine une trentaine d’équipes participantes.