Retour sur les conférences Sthack 2016

PUBLISHED ON APR 11, 2016 — SECURITY

Sthack, c’est une journée de conférences et une nuit de CTF qui se déroule à Bordeaux. Le vendredi 8 avril, c’était la 6ème édition et j’ai pu y participer.

J’écris ce billet pour vous présenter un peu la journée et mes ressentis sur les conférences et l’organisation

9h30

J’entre dans le musée déjà bien rempli de participants, je récupère badge, t-shirt, carnet et stickers et j’attends dans un coin le début de la première conférence. C’est tout de même assez étonnant la différence de ton entre des sujets aussi récents que les nouvelles technologies et les statues antiques mais cela donne une ambiance assez sympathique. Parmi les participants, on trouve des étudiants, beaucoup d’étudiants. Epitech, Ingésup, 42, INP-ENSEEIHT, et probablement d’autres écoles sont représentées. Des employés d’entreprises de sécurité informatique sont également présents.

Il est 10 h, on s’installe dans une grande salle dédié à des conférences en tout genre. La journée peut commencer !

Hack the world

Présentée par Laurent Oudot de la société Tehtris, la conférence est plus une introduction donnant une vue d’ensemble du monde cyber et des menaces qui y sont liés. Il nous parle de l’histoire du hacking et de son évolution, des nouvelles menaces pesant sur les entreprises comme sur les particuliers, etc … En gros, autrefois, le pirate était un gamin qui rentrait sur les serveurs de la NASA pour se marrer contrairement à aujourd’hui où le pirate recherche de l’argent et utilise son pouvoir pour mettre la pression et faire peur à ses victimes.

Une conférence super intéressante qui n’était pas très technique mais qui apportait une vision globale de la sécurité informatique dans le monde.

Just you, Powershell and the target? Challenge accepted

Comment prendre le contrôle d’une machine avec uniquement l’accès à un Powershell ? C’est le sujet de la conférence présenté par le pentester Damien Picard de la société Synacktiv. Comme son nom l’indique Powershell est un shell sous stéroïdes disponible sur Windows depuis Windows 7. Ce qui ressort surtout de ce talk, c’est que ce shell repose sur .NET et que donc des vulnérabilités ou des “features” de ce langage peuvent permettre à un attaquant d’exécuter du code arbitraire.

Une conférence beaucoup plus technique que la précédente mais toujours compréhensible et intéressante. Je crois que je vais m’intéresser un peu plus à ce truc …

DBA VS Obfuscated codes

Un code trop complexe à analyser statiquement ? Heureusement, l’analyse dynamique est là pour vous aider ! Jonathan Salwan et Romain Thomas nous ont présenté leurs travaux sur l’obfuscation et la désobfuscation de code. Après une rapide explication des méthodes d’obfuscation de code, les speakers nous montre le fonctionnement de leur outil de désobfuscation Triton. Ce framework semble extrêmement poussé et puissant, je l’essayerai peut-être plus tard.

Beaucoup plus technique, la conférence n’en était pas moins passionnante ! Il y avait beaucoup à dire et les speakers parlaient vite ce qui rendait la présentation difficile à digérer notamment pour les personnes qui n’y connaisse rien en langage assembleur ou au reverse engineering.

Drink’n’food

Il est midi ! Tout les participants ont rendez-vous au palais Rohan à dix minutes de marche du musée d’Aquitaine où se déroule les conférences.

Nous sommes accueillis par les personnes de la mairie avec des petits fours, du vin, des jus de fruits et des petites bouchées de plein de trucs. Encore une fois, le décor des années 1800 dénote avec le style des invités qui, pour la plupart (et moi compris), étaient en t-shirts ou hoodies. Je crois que l’on a réussi à exploser le dresscode du lieu en toute simplicité ! Sinon, la nourriture était bonne mais n’ayant pas très faim, je suis parti faire un tour à Bordeaux après 30 minutes.

À 14 h, il était temps de reprendre le fil des conférences.

Catch and Release: .NET Bug Hunting

La première conférence en anglais de la journée est présenté par Kelly Lum, chercheuse en sécurité chez Tumblr. Elle était ici pour parler de la plate-forme .NET et de reverse engineering d’application dans ce langage. Le .NET est extrêmement facile à reverser et le meilleur moyen de cacher des informations reste l’obfuscation même si, comme nous l’avons vu, le code obfusqué peut être compris aisément.

Cette conférence était intéressante même si les choses présentées n’étaient pas nouvelles (merci les crackmes).

Le détournement de trafic mobile petit budget

La conférence commence sur une diapo “Présentation des speakers – OSEF”, le ton est donné ! Alexis Bonnefoi et Nicolas Devillers nous présentent très rapidement le fonctionnement du protocole GSM et les attaques possibles. Une première partie est consacrée à la description du protocole et sur comment ça marche dans la vraie vie des vrais gens. Elle commence par une photo d’un burger bien gras et indigeste en guise d’introduction à la suite. Les acronymes, les termes spécifiques, les sessions d’authentifications, tous les composants qui font notre réseau GSM sont passés au crible à une vitesse folle. Si vous n’avez pas tout compris, c’est normal ! Le principal intérêt de cette conférence portait sur les attaques de ce protocole et la manière dont on pouvait intercepter le trafic en simulant une antenne. Cette technique a été démocratisé dernièrement avec les IMSI Catcher que la police et les services de renseignement souhaitent pouvoir utiliser sans limites.

Dans ce talk, on a pu voir qu’il est possible de créer une antenne GSM pour un prix raisonnable (moins de 1000€). De plus, avec les bons outils et le bon matériel, on peut intercepter et écouter le trafic sans grande difficulté. Le protocole de GSM n’a probablement jamais été aussi rapidement résumé et personne n’a pu comprendre la totalité mais je ne pense pas que l’intérêt de la conférence n’était pas là.

“How to”… discover if your mobile phone has got a spyware

Présentée par Selene Giupponi, la conférence porte sur le forensic de téléphone portable et sur la manière dont on peut récupérer des informations sensibles. On apprend par exemple que les sauvegardes chiffrées faites avec iTunes et déposées sur iCloud sont automatiquement déchiffrées. Apple a répondu aux questionnement de la chercheuse en disant que c’était pour faire plus simple, plus user-friendly.

Une conférence passionnante notamment dans le contexte actuel avec les batailles du type Apple/FBI. Il est sein de comprendre que votre téléphone peut faire énormément de chose derrière votre dos et que votre meilleur ami à qui vous confiez votre vie partage peut-être vos informations avec n’importe qui.

(Open) Hardware for “physical” password attacks

Cette conférence repose sur un outil que les deux speakers, Antoine Cervoise et Julien Reitzel, ont développé pour brute-forcer des mots de passe de BIOS, de déverrouillage de téléphone, etc … Leur but était de faire un outil simulant un clavier afin de tester des mots de passe automatiquement. Un système de vérification de succès grâce à une webcam à même été développé, le tout pour un prix le plus bas possible et avec le minimum de soudure. Un défi apparemment réussi et dont les sources sont disponibles sur Github.

Pas trop technique mais très intéressant, ce talk permet de ce rendre compte que les protections mises en place par les constructeurs sont souvent inutiles pour un attaquant suffisamment préparé.

CTF

Hélas, je ne pourrais pas faire de retour sur le CTF car je n’ai pas pu y aller. Mon train pour Saintes m’attendait mais il ne fait aucun doute que l’année prochaine, j’y participerai avec joie.

Conclusion

Globalement, c’était super cool ! Les conférences étaient intéressantes et l’organisation était au top. Je conseille à toutes les personnes intéressées par la sécurité informatique de venir assister à l’événement.

Je voulais terminer en disant un grand merci à l’organisation sans qui rien de tout cela n’aurait été possible ainsi qu’aux sponsors.