Bilan de la nuit du hack 2K13 vécu par les étudiants Rouennais de l’Exia.Cesi

Le 11-07-2013 par Aurélien Martin

NDH

Cette Nuit du Hack 2013 s’est déroulé cette année au centre de conférence du New York Hôtel de DisneyLand Ressort Paris les 22 et 23 juin. Près de 1500 personnes ont participé à cet événement référence en termes de sécurité informatique et de Hacking.  Grâce à notre école, nous avons pu obtenir des invitations gratuites pour cet événement dans le monde de la sécurité informatique et même nous faire rembourser nos frais de transport ! Nous étions cinq à représenter le centre de Rouen : Eliette, en 1ère année, Maxime, Nicolas et Sébastien en 3ème année réseau et Guillaume en 3ème année Logiciel.

Photo1

Le programme débutait à 9h30, mais nous étions présents sur place dès 7h30 pour monter le stand Exia.Cesi et se répartir les permanences. Une fois tout cela terminé, nous sommes allés prendre un café et un petit déjeuner en attendant la première conférence.

On a pu noter que cette année les conférences étaient essentiellement en anglais. Bien que cela demande plus de concentration pour bien saisir le propos, on ne peut que se réjouir de cette volonté d’ouvrir de plus en plus cette nuit du hack à l’étranger.

La première conférence a été présenté par Jérémie Zimmermann, cofondateur de la quadrature du net sur le thème : « La liberté ou le contrôle ? ». Durant cette présentation il a notamment mis en lumière le paradoxe entre des services qui offre davantage de libertés (Facebook, Gmail…), mais dont tout le monde s’accorde à dire qu’ils sont surveillés par les plus hautes autorités. Ce fut une bonne conférence pour débuter et nous mettre dans le bain.

Dave Kennedy nous a ensuite présenté Social Engineering Toolkit (SET) qui est un logiciel destiné à des tests de pénétration autour de l’ingénieurie sociale. Il a ensuite été suivi par Davide Canali qui nous a présenté son projet de création de site Web « appâts » pour établir des statistiques sur les attaques Web.

Pour suivre, Sébastien Andrivet nous a parlé d’e-voting, comprenez vote électronique. Il a notamment mis en évidence dans sa conférence les failles possibles dans le système de vote en l’état actuel.

La conférence suivante concernait l’analyse des protocoles de l’iCloud d’Apple et était présentée par Vladimir Katalov. Pour être franc, les propos de cette conférence nous ont en partie échappés.

Photo2

Nous avons ensuite eu droit à une présentation assez insolite mais plutôt intéressante sur le Social Engineering présenté par Hicham Tolimat et Julie Gommes, deux journalistes qui utilisent le social Engineering au quotidien dans leurs interviews.

Puis une démonstration de crochetage en direct très impressionnante et pédagogique, par «MrJack» et «Cocolitos» (on peut supposer qu’ils veulent garder un certain anonymat). Ils ont fait différentes démonstration de crochetage, en utilisant différentes techniques et en expliquant systématiquement à l’aide de schémas pour bien comprendre ce qu’il se passait à l’intérieur de la serrure. Nous avons eu une préférence sur la partie où il fabrique lui-même, à partir d’une clef vierge, en moins de dix minutes et à l’aide d’une simple lime la clef correspondant à la serrure qu’il veut attaquer. Ou encore la partie où il nous présente un cadenas réputé « de bonne facture » et l’ouvre ensuite en moins de cinq secondes.

Après celle-ci, nous avons prit quelques minutes pour manger avant qu’une partie du groupe aille rejoindre le stand eXia.CESI pour leur permanence. Pendant ce temps, Rosario Valotta à présenté une conférence sur l’exploitation des failles des navigateurs Web ensuite suivi par Thibaut Scherrer et Éric Filiol, qui nous ont parlé du déploiement des caméras de vidéo-surveillance dans les villes Européennes (Londres fait figure d’exemple dans ce domaine). Ils ont notamment montré des techniques permettant de s’en affranchir pour éviter un enregistrement, à l’aide notamment de brouilleurs Wi-fi ou de lumière infrarouges.

Jayson Street est ensuite venu nous parler des attaques par e-mail pour abuser les entreprises. Il s’agit d’un dérivé du phishing que l’on appelle le spearfishing qui consiste non plus à envoyer des mails d’hameçonnage à n’importe qui, mais véritablement à cibler la personne que l’on veut hameçonner (par exemple un gradé militaire, ou un cadre d’une entreprise).

La conférence suivante concernait les Frameworks Webs modernes et leurs vulnérabilités et était présenté par Florent Batard & Nicolas Oberli.

Pour terminer, Adrian Furtuna nous a présenté un exposé à propos de l’exploitation des chiffres à virgules au sein des transactions bancaires des applications de e-banking. En effet, la monnaie courante que nous utilisons n’est précise que deux chiffres après la virgule, on considère dans la vie de tous les jours qu’on ne peut faire une transaction financière de moins d’un centime. Seulement les modèles informatiques et notamment les variables du type « float » ont une précision bien plus importante et l’on peut dans la pratique faire des virements de 2,3456€ par exemple. Sa présentation mettait en lumière des failles lors des arrondis de ces variables « float », et nous as particulièrement interpellé.

Après s’être levé a 5h, une partie de l’équipe s’est accordé une heure ou deux sommeil pour être en forme pour la seconde partie de la nuit du hack : les workshops, la CrashParty ainsi que les différents challenges.

Workshops
En ce qui concerne les challenges, nous pouvions :

  • Participer à la Wargame publique,
  • Relever les défis sur le site challenge fourni par OVH OVHack.com
  • Assister au CTF privé, qui s’est déroulé dans une salle annexe pour plus de tranquillité pour les participants.

Pour résumer, ce fût une expérience très enrichissante pour nous tous, cela nous a permis de découvrir le déroulement précis d’un événement comme celui-là. Nul doute que nous reviendrons l’année prochaine encore plus nombreux et préparés !

« Personnellement, en tant qu’étudiante en première année à l’eXia.CESI, j’ai eu quelques difficultés à comprendre certaines conférences, mais aussi parfois à les suivre puisqu’une partie d’entre elles étaient réalisés en anglais. Cela ne m’a tout de même pas empêché d’apprendre de nouvelles choses. De plus, dans certains cas, les troisièmes années présent avec moi mon expliqués les principaux éléments. Je ne déconseillerai pas aux futures premières années de s’y rendre puisque ce ne peux être qu’un plus, mais il est vrai qu’avec un niveau plus élevé, cet événement doit être encore plus intéressant. » , Eliette, A1.

« Cette nuit du hack était la première à laquelle je participais. Passionné de sécurité informatique, j’ai vraiment apprécié le fait que l’école sponsorise cet événement et nous propose des places pour nous y rendre. J’ai découvert une véritable communauté, rencontré des hackers forts sympathiques. Cette première expérience m’a vraiment donné envie de revenir l’année prochaine, de mieux me préparer et de participer à davantage de challenges comme la wargame. « , Maxime, A3R.

Articles en relation :

Le Hackathon OpenData vu par un groupe de A1

Le Hackathon est un évènement de type collaboratif et festif...
Lire plus

Forum technique des A5 eXia.Cesi Rouen

Roland ComaResponsable pédagogique du centre de Rouen. Organisateur de grosses...
Lire plus

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *