Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

Hack in Paris 2017 - CONIX

Retour sur Hack in Paris 2017

CONIX s’est rendu à la conférence Hack in Paris 2017 qui s’est tenue au sein du palais des congrès d’un des hôtels de Disneyland Paris le jeudi 22 et vendredi 23 juin derniers. Fort heureusement l’air conditionné nous a permis de bien suivre les conférences, toutes en anglais, malgré la chaleur étouffante de la semaine.

Pour cette 7ème édition de nombreux sujets variés ont été présentés : les attaques sur des fonctionnalités Windows, les reconnaissances vocales de nos chers smartphones, la sécurité d’un contrôle d’accès au réseau, la sécurité des Mainframes (!) jusqu’au détournement d’une télévision connectée en direct dont nous parlerons ensuite. Des sujets moins techniques mais aussi intéressants sur comment protéger les informations quasi publiques d’entreprises ou comment mesurer la qualité des outils de sécurité en passant par une présentation interactive sur la « responsible disclosure » des vulnérabilités Zero day. Enfin la variété des orateurs venant de différents coins du monde – Japon, Etats-Unis, Pays-Bas, Angleterre, Espagne… – est une chance pour une conférence se tenant en Île de France. Voici un retour de quelques conférences nous ayant marqué.

Pour la conférence d’ouverture, Jayson E. Street s’est essayé au travail de recherche d’informations légales (OSINT) sur les ressources réseaux publiques (domaines, blocs d’adresses IP…) du groupe BNP Paribas ainsi qu’un exemple de spear-phishing (hameçonnage ciblé) sur un membre d’une équipe sécurité de la banque. Force est de constater que de nombreuses informations pertinentes sont disponibles à tous (légalement !) et que certaines peuvent être masquées afin de réduire certains risques. Par la suite l’orateur a donné des exemples de « canaris » (méthode d’identification d’une compromission) et des outils de recherche d’informations comme OSINT Framework.

Deux chercheurs de l’ANSSI, Chaouki Kasmi et José Lopes Esteves, ont présenté leurs dernières avancées de leur recherche sur la sécurité des systèmes embarqués, et plus particulièrement celle des reconnaissances vocales intégrées à certains smartphones. Ils se sont penchés sur différentes méthodes techniques et mathématiques pour outrepasser les mécanismes de reconnaissances vocales sur iOS et Android entre autres. Le but étant de déverrouiller ou de forcer le téléphone a effectuer des tâches normalement bloquées, comme envoyer des SMS. Sur 18 méthodes de contournements testées, 15 ont réussies avec des résultats fiables dont certaines nous ont été présentées en vidéo.

Damien Cauquil du CERT-UBIK a expliqué les difficultés rencontrées lors des investigations numériques sur des objets connectés (IoT) et a présenté un nouvel outil collaboratif pour aider lors d’investigations de ce genre. Les objets connectés sont globalement construits sur des systèmes ouverts (FS UNIX/Linux) favorisant l’extraction des données mais chaque constructeur utilise des composants différents et ajoute sa couche logicielle : méthodes de chiffrement propriétaire, zones mémoires atypiques, journaux d’événements non documentés… Cela ralenti considérablement le travail de forensic et de nombreux outils (et de matière grise) sont nécessaires pour disséquer les nombreux objets de plus en plus en vogue. Pour avancer dans ce domaine, le CERT-UBIK  a développé un portail Web, Hardware Foresinc Database, qui peut être enrichi par chacun.

Le débat du jeudi soir réunissait trois personnes du domaine sur un sujet brûlant des fake news, le rôle des médias, la vérité face à la confiance (éditeurs/gouvernements), la divulgation des exploits etc… Le débat comme la majorité des conférences ont été publiées sur la page YouTube très tôt cette année !

Pour le deuxième jour du Hack in Paris 2017, deux étudiants sont venus spécialement du Japon pour nous présenter une vulnérabilité non connue sur une télévision connectée LG basée sur WebOS. Après avoir détaillé quelques failles connues sur ce genre de télévisions connectées (Smart TV), ils ont osé le pari de nous faire une démonstration en direct en prenant le contrôle à distance de la télévision sur l’estrade avec un script python pour y injecter un module malveillant via le mode développeur, permettant une élévation de privilèges pour être administrateur (root) afin de nous diffuser arbitrairement un épisode de Bob l’Eponge piraté

Petit aparté sur la conférence du CEO de ZeroCopter, une entreprise de hackers néerlandaise, qui avait la manière d’expliquer avec passion et conviction le bienfait des communautés de hackers contribuant à la découverte de vulnérabilités et respectant leur divulgation responsable après leur correction. Edwin van Andel avait ramené sa caisse de ClubMate pour chaque bonne réponse à ses questions… La participation était assurée !

Enfin la dernière conférence de Wayne Huang et Sun Huang (Proofpoint) nous a amené a s’introduire par différents moyens (25 méthodes présentées) sur des serveurs gérés par des pirates ou serveurs CnC (Command & Control) utilisés pour de nombreux types de logiciels malveillants. Le proverbe « Les cordonniers sont toujours les plus mal chaussés » s’applique bien dans certains cas et on peut obtenir de nombreuses informations (objectif de leur recherche) sur les cibles impactées et comment le logiciel malveillant fonctionne. Pertinent mais cela peut être vu comme problématique vis-à-vis de la loi comme l’a fait remarquer Jason E. Street.

Hack in Paris 2017 s’est terminé mais a fait place à la Nuit du Hack dans l’hôtel en face : plusieurs milliers de personnes se sont donné rendez-vous pour rencontrer les acteurs/écoles du domaine, écouter des conférences, boire des bières et participer aux CTF et au War Game géant dans une bonne ambiance !

By | 2017-07-18T22:57:17+00:00 13/07/2017|Conférences|