HackFest Canada 7 : un rendez-vous hacking « écœurant »
Près de 700 personnes se donnent rendez-vous, ce week-end, dans les salons cossus de l’Hôtel Plaza de Québec. Mission : découvrir, échanger et participer à l’incontournable salon dédié au Hacking de l’Amérique du Nord Francophone
Comment sécuriser son WordPress ? Quels sont les logiciels de chiffrement des djihadistes ? Existe-il des méthodes d’analyses du comportement physique d’une cible pour mieux piéger son informatique ? Voilà une toute petite partie des thèmes proposés, ce week-end, à l’occasion de la septième édition du HackFest Canada. Sur le pont, une cinquantaine de bénévoles codirigés par Patrick Mathieu. « Chaque année nous rajoutons des nouveautés. Nous tentons d’intéresser le plus grand nombre. L’éducation à la sécurité informatique, que l’on soit technicien ou non, est l’affaire de toutes et de tous » explique le cofondateur du hackfest.
Les conférences et workshops, au nombre de 38 sur l’ensemble du week-end, sont une belle preuve de la santé du HackFest Canada. De quoi se pencher, avec des experts, sur la sécurité informatique de nos matériels, de notre vie numérique, à l’image de François Harvey. Cet expert est revenu sur les attaques, l’audit et la protection d’un site sous WordPress. « WordPress, confie François Harvey, concerne 20 % des sites Internet de par le monde. L’outil est jeune, est très loin d’être sécurisé. Il faut l’utiliser avec intelligence« . Le professionnel a démontré plusieurs risques, dont celui lié au mot de passe. « Un problème que WordPress a mis 17 mois à prendre en compte, et qui doit être corrigé avec la version 4.4 » ou encore la problématique des plugins. Certains peuvent cacher une backdoor (porte cachée, NDR) et se réinstaller à chaque mise à jour. « Il faut effacer les plugins inutilisés » exprime l’expert.
Cryptodjihad
Autre style, autre genre, la conférence passionnante proposée par Julie Gommes. Les Français qui ont participé à la Nuit du Hack ont pu suivre l’étude très poussées de cette experte des réseaux de djihadistes, et plus précisément, des outils de chiffrements que ces derniers ont pu utiliser depuis des années. Lors du HackFest, Julie Gommes est revenue sur les outils exploités par les soldats de Daech/Etat Islamique « En 1997, il y avait 28 sites qui appelaient au Djihads au niveau international. En 2005, ils étaient 5.000. Aujourd’hui, ils sont plus de 20.000«
Des sites, des forums, qui n’hésitent plus à passer, pour certains, par le dark net, profitant de technologie existantes, comme TOR. « Les djihadistes ont très vite utilisé le chiffrement, comme avec l’outil moudjahidin secret, qui a été créé et utilisé en 2007 » confie la chercheuse. L’évolution de la technologie semble orienter les djihadistes vers des outils proposés pour les mobiles « Ils préfèrent exploiter la 3G et Android, plus simple d’utilisation et permettant d’attirer les plus jeunes, confirme Julie Gommes, c’est aussi à double tranchant. Moins sécurisé et plus facilement traçable, mais vue qu’ils twittent et font des selfies, cela semble être le cadet de leurs soucis« .
Hacking éthique
Le HackFest Canada, comme chaque rendez-vous dédié au hacking de par le monde (comme zataz peut vous le montrer avec le HackNowLedge, la Nuit du hack, la Def Con …), propose aussi son CTF, un concours de « piratage » éthique. Cette année, une maquette exceptionnelle représentant une ville, un réseau électrique, un réseau téléphonique et une usine permettait d’attaquer, et tenter de perturber l’informatique de gestion de l’électricité, d’un centre de traitement des eaux usées, des téléphones… Une approche visuelle pour comprendre les risques du piratage de l’informatique industrielle, comme les fameuses attaques SCADA.
Bref, une très belle 7ème édition qui prouve que la communauté québécoise de la sécurité informatique, ainsi que toutes personnes s’intéressant à ce sujet, est riche, vibrante; où l’élitisme, le doute et la désinformation n’ont pas leur place. Une envie forte d’apprendre, comprendre et d’aller au-delà des apparences. Et la présence des autorités, comme le Centre de la Sécurité des Télécommunications (L’ANSSI canadienne) prouve que les esprits s’ouvrent, de part et d’autres, pour un même but, contrer les pirates et autres malveillants 2.0.
PS : écœurant veut dire « c’est particulièrement bien, chouette… » ; Vous pouvez suivre le hackfest, en live, sur le compte Twitter officiel de @zataz
Pingback: Piratage : Coupure de courant en Ukraine à la suite d’un acte 2.0 contre une centrale | Data Security Breach