Hacking éthique : Grand cru pour le Hackfest 9 de Québec
Le plus important rendez-vous de « hacking éthique » d’Amérique du Nord a fait le plein. Conseils, découvertes et bonne humeur liés à la sécurité informatique.
Plus de 800 personnes, des professionnels de la sécurité informatique, des étudiants, des entreprises, des adeptes du hacking éthique (Ethical Hacking) se sont données rendez-vous les 3 et 4 novembre à Québec à l’occasion du 9e Hackfest. Deux jours de conférences, ateliers (Workshops), CTF. Sans oublier les multiples rencontres souriantes et enrichissantes autour d’un breuvage !
Fuite de données et cyber sécurité
Les fuites de données, un thème récurent dans la bouche des participants. Il faut dire aussi que de nombreux Canadiens et Québécois ont été touchés par la fuite massive d’informations ayant visé l’entreprise Equifax. « Nos lois sont trop vieilles, confirment des participants. Certaines datent de 1985. Une évolution s’imposent. Nos politiques y réfléchissent. Les fuites de données sont tellement nombreuses !« . La sécurité des mobiles (smartphone, tablette) et des objets connectés étaient aussi de la « party ». Avec les milliards d’IOT prévus dans nos vies d’ici quelques années, se pencher sur ces problématiques est devenu une obligation ! « Qui aurait pu penser que les objets connectés prendraient aussi vite autant de place dans nos vies » souligne Dimitri Souleliac, expert en sécurité pour une grande structure financière de Quebec.
30 conférences, workshops, hacking éthique et bonne humeur
La force des Québécois, la sympathie qu’ils sont capables de diffuser. Même quand il s’agit de parler de sujet grave comme la sécurité informatique. « Nous avons un programme riche de contenus, permettant d’avoir une idée précise des avancées technologiques chez les pirates, comme chez les chasseurs de pirates » souligne Patrick Rousseau Mathieu, co-fondateur du Hackfest.
Cybersécurité et intégration
Parmi les conférences, celle de Michelle. Cette chercheuse britannique est revenue sur l’importance d’intégrer toutes les personnalités possibles dans la sécurité informatique. Lors de sa conférence, baptisée « Superhéros Tous ! Comment l’empathie peut aider l’inclusion des personnels avec ASD/ADHD » l’enseignante a confirmé l’intérêt d’intégrer des personnes atteintes d’autisme ou du syndrome d’aspergé. « Déjà car l’intégration, c’est la vie, souligne Murielle, mais la sécurité informatique est aussi un milieu attirant. Sauf qu’il y a encore de nombreux freins, justifiés ou non, pour les intégrer ou les comprendre. »
Vous retrouverez d’ailleurs, dans l’émission ZATAZ TV spécial Hackfest, l’interview de cette chercheuse. Elle revient sur l’importance du recrutement via un concours de hacking éthique.
Autre genre, autre style : Guillermo Buendia et Yael Basurto. Les deux mexicains ont présenté une série de failles et de bugs visant ou ayant visé Facebook. L’une d’elle, corrigée, leur a apporté (seulement) 3.000 $ : elle automatisait les inscriptions/followers à un compte Facebook précis. Et cela via un simple clic sur un lien. La démonstration se contentera de 100 inscrits.
Botnet et découvertes
Côté botnets et codes malveillants, la conférence de Matthieu Faou et Frédéric Vachon, chercheurs chez ESET, dédiée à Stantinko a donné une idée très précise de ce botnet aux multiples facettes. « Un malveillant qui est présent depuis plus de 5 ans » confirment les deux chercheurs.
Stantinko est un botnet découvert en 2017 et dont la taille est estimée à un demi-million de machines infiltrées. Sa principale fonctionnalité est de faire de la fraude publicitaire, mais son arsenal comprend aussi une backdoor permettant d’exécuter du code arbitraire sur la machine infectée. Impressionnants, les « charges » délivrées par Stantinko aux machines infectées. Des modules non persistants, jamais sauvegardés sur les disques durs des machines infiltrées.
Les modules découverts par Matthieu Faou et Frédéric Vachon comprennent des installeurs d’extension de navigateur faisant de la fraude publicitaire. Une extension pouvant brute-forcer des sites Joomla ou WordPress. Un module faisant de la fraude sur Facebook en générant, entre autres, des faux comptes et des faux likes. Un plugin permettant de faire des recherches massives et distribuées sur Google. Et pour finir, une porte cachée donnant un contrôle total aux attaquants sur la machine infectée. Bref, un sacré couteau Suisse pirate !
Hacking éthique, CTF et WorkShops
Cette année, plusieurs WorkShops et concours de hacking éthique. Pour les ateliers, le crochetage de serrure, le hacking NFC ou encore fabriquer son propre outil de hacking hardware étaient proposés. A noter d’ailleurs un excellent rendez-vous proposé par Dimitri Souleliac. Mettre en place son module « offensive hardware » avec un Teensy 3.x.
Teensy 3.x est top. Plus puissant qu'un Arduino Micro. Le – : source fermée d'une partie du code (asm). #cybersecurite @zataz #hackfest9 pic.twitter.com/Ifh9c1EFyV
— Damien Bancal o/ (@Damien_Bancal) November 3, 2017
Côté CTF, du classique, avec plus de 280 participants pour le capture to flag informatique, mais aussi des rendez-vous ludiques et malins comme le « Brainfuck ». Mission, trouver des codes cachés un peu partout dans le Hackfest, comme sur le bracelet offert aux participants. Des puzzles et des décodages à assembler pour trouver l’élément ultime. Très drôle, le concours de Social Engineering. Mission pour les « joueurs », collecter une information précise (le flag), en téléphonant à une entreprise tirée au sort.
Bref, une 9e édition du Hackfest de Québec qui aura tenu une fois de plus toutes ses promesses. Folle, enrichissante et pleine d’enseignement.
Mise à jour : découvrez le reportage vidéo tournée lors du hackFest IX.
Un grand merci à aux partenaires qui ont permis de vous faire suivre, en live, sur Tweeter, Facebook, Instagram, ZATAZ et zatazweb.tv : Le Bug Bounty Européen Bounty Factory ; Le cabinet Desmarais Avocats