hacking ethique

Hacking éthique : Grand cru pour le Hackfest 9 de Québec

Le plus important rendez-vous de « hacking éthique » d’Amérique du Nord a fait le plein. Conseils, découvertes et bonne humeur liés à la sécurité informatique.

Plus de 800 personnes, des professionnels de la sécurité informatique, des étudiants, des entreprises, des adeptes du hacking éthique (Ethical Hacking) se sont données rendez-vous les 3 et 4 novembre à Québec à l’occasion du 9e Hackfest. Deux jours de conférences, ateliers (Workshops), CTF. Sans oublier les multiples rencontres souriantes et enrichissantes autour d’un breuvage !

Fuite de données et cyber sécurité

Les fuites de données, un thème récurent dans la bouche des participants. Il faut dire aussi que de nombreux Canadiens et Québécois ont été touchés par la fuite massive d’informations ayant visé l’entreprise Equifax. « Nos lois sont trop vieilles, confirment des participants. Certaines datent de 1985. Une évolution s’imposent. Nos politiques y réfléchissent. Les fuites de données sont tellement nombreuses !« . La sécurité des mobiles (smartphone, tablette) et des objets connectés étaient aussi de la « party ». Avec les milliards d’IOT prévus dans nos vies d’ici quelques années, se pencher sur ces problématiques est devenu une obligation ! « Qui aurait pu penser que les objets connectés prendraient aussi vite autant de place dans nos vies » souligne Dimitri Souleliac, expert en sécurité pour une grande structure financière de Quebec.

30 conférences, workshops, hacking éthique et bonne humeur

La force des Québécois, la sympathie qu’ils sont capables de diffuser. Même quand il s’agit de parler de sujet grave comme la sécurité informatique. « Nous avons un programme riche de contenus, permettant d’avoir une idée précise des avancées technologiques chez les pirates, comme chez les chasseurs de pirates » souligne Patrick Rousseau Mathieu, co-fondateur du Hackfest.

Cybersécurité et intégration

Parmi les conférences, celle de Michelle. Cette chercheuse britannique est revenue sur l’importance d’intégrer toutes les personnalités possibles dans la sécurité informatique. Lors de sa conférence, baptisée « Superhéros Tous ! Comment l’empathie peut aider l’inclusion des personnels avec ASD/ADHD » l’enseignante a confirmé l’intérêt d’intégrer des personnes atteintes d’autisme ou du syndrome d’aspergé. « Déjà car l’intégration, c’est la vie, souligne Murielle, mais la sécurité informatique est aussi un milieu attirant. Sauf qu’il y a encore de nombreux freins, justifiés ou non, pour les intégrer ou les comprendre. »

Vous retrouverez d’ailleurs, dans l’émission ZATAZ TV spécial Hackfest, l’interview de cette chercheuse. Elle revient sur l’importance du recrutement via un concours de hacking éthique.

Autre genre, autre style : Guillermo Buendia et Yael Basurto. Les deux mexicains ont présenté une série de failles et de bugs visant ou ayant visé Facebook. L’une d’elle, corrigée, leur a apporté (seulement) 3.000 $ : elle automatisait les inscriptions/followers à un compte Facebook précis. Et cela via un simple clic sur un lien. La démonstration se contentera de 100 inscrits.

Botnet et découvertes

Côté botnets et codes malveillants, la conférence de Matthieu Faou et Frédéric Vachon, chercheurs chez ESET, dédiée à Stantinko a donné une idée très précise de ce botnet aux multiples facettes. « Un malveillant qui est présent depuis plus de 5 ans » confirment les deux chercheurs.

Stantinko est un botnet découvert en 2017 et dont la taille est estimée à un demi-million de machines infiltrées. Sa principale fonctionnalité est de faire de la fraude publicitaire, mais son arsenal comprend aussi une backdoor permettant d’exécuter du code arbitraire sur la machine infectée. Impressionnants, les « charges » délivrées par Stantinko aux machines infectées. Des modules non persistants, jamais sauvegardés sur les disques durs des machines infiltrées.

Les modules découverts par Matthieu Faou et Frédéric Vachon comprennent des installeurs d’extension de navigateur faisant de la fraude publicitaire. Une extension pouvant brute-forcer des sites Joomla ou WordPress. Un module faisant de la fraude sur Facebook en générant, entre autres, des faux comptes et des faux likes. Un plugin permettant de faire des recherches massives et distribuées sur Google. Et pour finir, une porte cachée donnant un contrôle total aux attaquants sur la machine infectée. Bref, un sacré couteau Suisse pirate !

Hacking éthique, CTF et WorkShops

Cette année, plusieurs WorkShops et concours de hacking éthique. Pour les ateliers, le crochetage de serrure, le hacking NFC ou encore fabriquer son propre outil de hacking hardware étaient proposés. A noter d’ailleurs un excellent rendez-vous proposé par Dimitri Souleliac. Mettre en place son module « offensive hardware » avec un Teensy 3.x.

Côté CTF, du classique, avec plus de 280 participants pour le capture to flag informatique, mais aussi des rendez-vous ludiques et malins comme le « Brainfuck ». Mission, trouver des codes cachés un peu partout dans le Hackfest, comme sur le bracelet offert aux participants. Des puzzles et des décodages à assembler pour trouver l’élément ultime. Très drôle, le concours de Social Engineering. Mission pour les « joueurs », collecter une information précise (le flag), en téléphonant à une entreprise tirée au sort.

Bref, une 9e édition du Hackfest de Québec qui aura tenu une fois de plus toutes ses promesses. Folle, enrichissante et pleine d’enseignement.

Mise à jour : découvrez le reportage vidéo tournée lors du hackFest IX.

Un grand merci à aux partenaires qui ont permis de vous faire suivre, en live, sur Tweeter, Facebook, Instagram, ZATAZ et zatazweb.tv : Le Bug Bounty Européen Bounty Factory ; Le cabinet Desmarais Avocats

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.