HACK IN PARIS 2018 #HIP18

Sécurité de l'information
HACK IN PARIS 2018 #HIP18

Du 25 au 29 juin se déroulait la 8ème édition de la « Hack In Paris » (HIP) à la Maison de la Chimie, à Paris. Cet événement, organisé par l’entreprise Sysdream, rassemble chaque année des professionnels, étudiants ou simplement des passionnés de la cybersécurité autour de formations et de conférences sécurité.

En tant que sponsor, Advens était invité à l’événement. Nous avons pu accueillir des participants sur notre stand pour discuter et échanger avec eux sur diverses sujets et métiers de la cybersécurité. Egalement, nos avons assisté aux conférences présentées, sur lesquelles nous allons revenir plus en détails dans cet article.


Stand Advens à la Hack in Paris

Les trois premiers jours sont consacrés aux « trainings », qui sont des formations animées par des experts techniques de la cybersécurité. La liste des 18 formations proposées est disponible en cliquant ici.

Les deux derniers jours sont réservés au cycle de conférences. Ces 15 « talks », présentés en anglais, sont animés par des intervenants de renommée internationale. Le programme des conférences est disponible ici et leur rediffusion sera bientôt mise en ligne sur le site officiel de l’événement.


Salle des conférences à la Maison de la Chimie

La HIP attire des professionnels et experts du domaine de la cybersécurité venant du monde entier, et nous avons pu échanger avec eux sur leur vision de la sécurité de l’information de nos jours. Les « talks » de cette année ont touché des domaines très variés et avec une approche très concrète des thèmes évoqués.

Par exemple, la première conférence, animée par Dominique Brack, a présenté les risques liés à l’utilisation des drones, un sujet de plus en plus d’actualité dans notre société. L’intervenant a insisté sur la difficulté réelle de les gérer, en partie due à l’innovation. En effet la course aux nouvelles technologies amène parfois à laisser de côté l’aspect sécurité ou vie privée des citoyens, comme c’est le cas avec l’utilisation de drones par la police.

Les modèles les plus récents ont une autonomie de plusieurs dizaines de minutes et peuvent être contrôlés depuis l’autre bout du monde, il est donc important de s’assurer de la sécurité qu’on leur porte. Dominique Brack a détaillé les contre-mesure qu’une entreprise pourrait mettre en place pour remplacer l’utilisation des drones.


Attaques et contremesures des risques liées aux drones 

Une autre conférence nous présente les caractéristiques des adresses IPv6. L’intervenant nous rappelle qu’elles permettent d’étendre le nombre d’adresses réseaux possibles (128 bits au lieu de 32 pour l’IPv4). La sécurité de ce type d’adresse est différente de son prédécesseur IPv4 mais il n’en reste pas moins sécurisé.

Cependant, une étude récente a démontré que les contrôles de sécurité sont moins importants sur l’IPv6, dû au fait que ce dernier est mal géré par certains matériels réseaux ou de sécurité. Fernando Gont a donc attiré notre attention sur le fait que de nombreuses organisations réalisent moins de contrôles de sécurité sur ce protocole, ce qui les rend plus vulnérables.

Nous avons noté qu’une majeure partie des « talks » de cette année étaient dédiés à l’exploitation matérielle :

  • Damien Cauquil présentait une conférence de sécurité hardware en nous montrant un « reverse » complet d’une serrure connectée. L’analyse du firmware a montré la présence d’un générateur aléatoire défaillant. Il était donc en mesure d’ouvrir et de fermer la serrure en interceptant un seul et unique échange en déduisant le jeton attendu par cette dernière.
  • La conférence Silent wire hacking démontrait qu’avec deux Raspberry et quelques manipulations techniques sur un câble Ethernet, il est possible d’écouter le trafic réseau et d’injecter des paquets de manière invisible.

 Présentation d’une technique pour déterminer un transmetteur et un émetteur sur un réseau filaire 

  • Le manque de sécurité des voitures, très prisé depuis quelques années, a également eu son heure de gloire durant le talk de Sheila Berta et Claudio Caracciolo. Ils ont démontré qu’il est possible de contrôler une voiture à l’aide d’un Raspberry, branché directement sur la prise OBD2 de la voiture. Ils peuvent ensuite lui envoyer des commandes via SMS et ces commandes sont exécutées sur la voiture. 

Présentation du hacking d’une voiture 

  • Une autre conférence nous présentait les possibles attaques de poste à l’aide de périphériques USB tels que des souris, des casques ou encore des ventilateurs. En modifiant leur utilisation première, il est possible de faire exécuter des commandes sur la machine avec l’envoi de SMS si le périphérique d’attaque est branché sur un des ports USB. L’intervenant explique que ces périphériques sont de plus en plus utilisés comme cyber armes et qu’aucun moyen de protection n’est totalement efficace pour les parer. La meilleure solution reste de ne pas brancher des périphériques USB inconnus sur votre ordinateur.
     

Présentation des attaques possibles avec des périphériques USB 
  • Enfin, la HIP s’est terminée sur une conférence dédiée aux paiements NFC et à leur absence de sécurité. Salvador Mendoza a démontré les risques de vols de moyen de paiements auxquels sont exposés les utilisateurs de cette technologie. Plus précisément, il a été capable de rejouer un paiement (donc d’effectuer des achats) dans les 24h après le vol du signal de la carte.

Ces différentes conférences étaient agrémentées de vidéos de démonstration très explicites car ancrées dans la réalité ainsi que de l’utilisation finale qui pourrait être faite dans ces cas d’attaques.

Les expériences partagées par les différents intervenants montrent à quel point la sécurité de l’information joue aujourd’hui un rôle important dans notre monde digital. De plus en plus la question du respect de la vie privée des utilisateurs alimente les débats, avec le partage de données sur Internet.

Ces deux jours de conférences nous ont permis de rencontrer des personnes de différents horizons, rassemblés par la même passion et le même intérêt pour la sécurité des systèmes et de l’information. A l’ère du numérique, nous voyons constamment apparaître de nouveaux objets connectés, pour la domotique, le transport, la communication. Ces outils, toujours plus sophistiqués, sont rapidement déployés sur le marché pour les entreprises ou le grand public. Mais comme l’ont démontré plusieurs intervenants de la Hack in Paris cette année, la sécurité est trop souvent mise de côté, au profit de l’innovation et de la course aux nouvelles technologies. Celles-ci sont en permanence sous la menace d’attaques, mettant en danger les utilisateurs et ne protégeant pas les informations personnelles qu’elles contiennent. En effet, la frontière entre le partage de données et le respect de la vie privée risque de plus en plus de disparaître. C’est pourquoi veiller à la sécurité des systèmes d’information est aujourd’hui primordial, afin de palier la nécessité de stocker des données confidentielles, l’utilisation des nouvelles technologies, tout en respectant la vie privée des utilisateurs, dans un monde digital toujours plus connecté.

Notre équipe, Audit, Advens