Accueil » Actualités » Retour d’expérience Hack In Paris 2k17 : En immersion dans de grandes conventions françaises sur le hacking

Séraphin est l’un des visiteurs chanceux ayant gagné ses places pour Hack in Paris à travers le blog. Il nous fait son retour d’expérience sur les événements HIP et Nuit du Hack 2017. Voici ce qu’il en dit :

 

Ayant gagné une place avec le blog du hacker, j’ai pu me rendre à la Hack In Paris ainsi qu’à la nuit du Hack du 23 au 25 juin dernier. Ce fut un enrichissement impressionnant et cela m’a permis de rencontrer plusieurs personnes dont Damien CAUQUIL (@Virtualabs).

La Hack In Paris, organisée par Sysdream, m’impressionna beaucoup sur le niveau technique du hacking et sur l’aspect social peu connu du Hacking. Cela sort souvent de l’idée commune de notre société sur le hacker en général. Dans notre société nous le voyons comme quelqu’un derrière un écran ayant des connaissances sur les systèmes ou n’exécutant que des codes trouvés sur internet (Script Kiddies), étant asocial et malveillant, cherchant à s’enrichir ou nuire à une personne. Selon Edwin VAN ANDEL (@YafSec), un hacker hollandais, tout le monde dans notre société a besoin d’un hacker car il peut nous aider au quotidien dans notre vie, et ce n’est pas toujours une mauvaise personne mais aussi car de nombreux hackers partagent les failles qu’ils découvrent pour améliorer la sécurité des machines dans l’IOT (Internet Of Thing). Pour lui nous devons ‘hug a hacker’.

Le deuxième point sur l’esprit social du hacker, est le Social Engineering, présenté par Dominique C. BRACK (@Reputelligence), qui explique comment le hacker doit être social pour parvenir à ses fins lors de pentest ou même un hacker malveillant et que dans notre société, il faut se méfier de tout. Pendant sa présentation il a expliqué comment un hacker pouvait s’y prendre pour insister une personne à brancher une clé USB avec des objets de tous les jours. Néanmoins, il a insisté sur le fait que tout hacker se doit de ne pas trop empiéter la vie privée de sa cible, en parlant d’une échelle à 12 niveaux présentant les différents niveaux d’implication et les conséquences que cela pouvait avoir d’un point de vue juridique et social. Pour l’anecdote, il possède plusieurs cartes de visite différentes à son nom avec des professions différentes dont plusieurs n’ayant que peu de lien avec l’informatique.

 

Nous avons aussi assisté à des conférences sur le standard 802.1x, expliquant une faille importante de celui-ci, permettant le sniffing mais que ce standard reste encore assez sûr de nos jours et que cela reste une mauvaise excuse des administrateurs réseaux ou des mauvais développeurs en cas de problème dans certaines situations. Celui-ci se base sur le contrôle d’accès à un réseau et se base sur le protocol EAP ou PEAP (Protect EAP). La faille de ce standard au niveau d’une attaque physique est une injection de trafic.

Enfin, deux jeunes coréens nous ont démontré encore une fois les failles de l’IOT de nos jours en montrant comment hacker une télévision connectée et y afficher ce que l’on désire.

 

La Hack In Paris, reste une convention très intéressante mais avec un niveau technique requis assez important et une maîtrise de la langue anglaise pour pouvoir tout suivre. Cela s’adresse plus à un publique professionnel et qualifié, tandis que la Nuit du Hack reste plus adaptée à un public moins qualifié et plus ouvert, ne traitant pas que de la sécurité.

 

La Nuit du Hack se diffère aussi de la Hack In Paris en proposant des conférences aussi en français et traitant aussi de tous ce qui gravite autour du hacking. Nous avons vu le fonctionnement des permissions sous Android, qui sont regroupées et qui peuvent parfois donner des autorisations refusées à certaines applications comme nous l’a démontré Julien THOMAS (@protektoid). Cela tournait beaucoup autour de la version Marshmallow de Android. Nous avons aussi vu le nouveau Hash_bounty mis en place par Renaud LIFCHITZ (@nono2357) et la mise en place d’un site décentralisé pour éviter plusieurs type de hack (Ddos, accès au système) mais cela reste compliqué à mettre en place, ainsi qu’une économie parallèle. Nous avons aussi les FPGA, des cartes comme les Arduino ou les Raspberry mais avec une puissance de calcul phénoménale grâce à des circuits parallèles. Ou encore la démonstration de failles dans l’électronique embarqué dans les voitures, par Gaël MUSQUET (@RatZillas), dont la sécurité est importante car certaines failles peuvent aboutir à la prise de contrôle totale du véhicule.

Mais il y a eu des conférences à propos du point de vue judiciaire comme l’importance de l’informatique dans les opérations militaires et la place que le hacking occupe dans l’armée comme en a témoigné le général « commandant de la cyberdéfense », Arnaud COUSTILLIERE, mais aussi du risque des avancées technologiques et de l’automatisation de certaines procédures, comme celles classant les personnes « à risque » aux États-Unis. En effet, Jennifer LYNCH, membre de l’EFF, a montré la défaillance de certains algorithmes et qu’une femme noire, avec quelques délits mineurs était classé à un risque de niveau 8 contrairement à un homme blanc avec un passé judiciaire et possédant une arme à feu était classé de niveau 3.  Cela montre que l’automatisation de certaines tâches peuvent aboutir à des erreurs de jugements avec des conséquences graves.

 

Mais la Nuit du Hack met aussi en place de nombreux challenges tel un bug bounty, où les partenaires, très présent, comme Qwant, donnent des logiciels à tester pour corriger des failles avec parfois des récompenses à la clé (Bounty).

 

 

Mais il y a aussi une wargame avec de nombreux challenges différents par rapport à des logiciels, des sites, etc… contenant de nombreuses failles et très prisés des participants car la salle était déjà remplie 6h avant le début du challenge.

Il y a aussi le Spying Challenge qui consiste à mettre en avant tous les capacités des hackers en équipe de 3 personnes maximum avec du hack, du social engineering ou encore du crochetage.

 

Ce fut pour moi un week-end passionnant et très instructif, étudiant la sécurité informatique de mon côté depuis assez peu de temps et je remercie le Blog du Hacker de m’avoir offert l’accès aux conventions. Je conseille à toutes personnes voulant découvrir cet univers en participant à la Nuit du Hack et celle qui sont expérimentées la Hack in Paris. En tout cas, les conventions sont de très bons moyens de s’informer sur l’actualité et les techniques récentes en informatique et je les conseille vivement à tous passionnés.

6 Commentaires

  1. Juju78hr a écrit:

    Bonjour Michel,
    A un moment tu parles de cartes tel Arduino ou FGPA, mais il me semble, sauf erreur de ma part, qu’il s’agit d’une carte FPGA et non FGPA ?
    Cordialement,

    Juju78hr.

  2. Bonsoir Michel,

    Cette question est très important mais n’a aucun rapport avec cet article.

    Je suis habitué de vérifier toujours mes tâches en exécution en arrière plan avec le gestionnaire des tâches sur l’onglet détails pour toujours m’assurer que je ne suis pas infecté d’un malware.

    Hier soir j’ai vu une application nommée Spectrum.exe, je me suis donc renseigné sur internet et je suis tombé sur un site anglais disant que c’est un violent vers informatique très sournois.

    Pris de peur j’ai donc nettoyé mon pc avec des logiciels adéquats mais il est toujours là..

    Et il est marqué sur sa description « service de perception windows », je l’avais jamais vu et internet me disait qu’il était très dangereux alors j’aurais aimé savoir si Spectrum est normal pour mon ordinateur ou si c’est un malware (et si c’est le cas comment le virer à tout jamais de ma machine).

    Merci d’avance et bonne soirée !

    Kaysan

    • Selon moi, c’est un malware. As tu essayé de scanner ton système avec Malwarebytes Anti-Malware ?
      Sinon ce que tu peux faire c’est d’essayer de le supprimer depuis les registres si tu arrives à le localiser:
      1. Arrête le processus spectrum.exe en ouvrant le gestionnaire des tâches
      2. Va dans dans les options d’affichage depuis un explorateur de fichier. Affiche les fichiers/dossiers cachés puis décoche Masquer les fichiers protégés du système d’exploitation (recommandé) et appuie sur OK

      3. a. Appuie sur Windows+R
      b. Tape regedit dans la fenêtre qui s’est ouvert.
      c. Supprime tous les registres et les fichiers associés à spectrum.exe

      4. Redémarre ton ordinateur

  3. vraiment sympa ce retour, je compte m’y rendre l’année prochaine !

Laisser un commentaire

Lire plus :
Se protéger des arnaques sur les sites de rencontre

Son nom était Christelle Blanc, d'après ce qu'elle disait, et elle ressemblait à un ange. Un ange sexy dirons-nous. Sa...

Fermer