LeHack19 !

Le pôle CyberSécurité de Kaizen a participé à l’événement « LeHack19 » le 6 juillet dernier à Paris ! 🤩 Cet événement unique en France regroupe la plupart des acteurs importants du secteur de la sécurité informatique. À l’occasion du Cybermois, ils ont décidé de vous écrire un article afin de partager leur expérience ! 😉



Qu’est-ce que LeHack19 ? 🤔

Le Hack (Anciennement « La Nuit du Hack ») est une convention qui se déroule le temps d’un weekend par an à Paris, et qui regroupe les principaux acteurs liés de près ou de loin au monde du hack et à la sécurité informatique. On y retrouve des professionnels de la sécurité informatique, des entreprises spécialisées, des agences gouvernementales, des universités et écoles proposant un cursus de sécurité informatique ainsi que des passionnés du hacking et de la sécurité informatique en général.

Durant les 24h de la convention, plusieurs événements se déroulent en même temps, on y retrouve des conférences, des ateliers pratiques et le Wargame, un concours de type Capture The Flag.

Quelles sont les conférences notables qui se sont déroulées durant cette édition ? 🧐

LE PHISHING

Lien Youtube : https://www.youtube.com/watch?v=s9i7Febu6cg

Qui animait la conférence ?

Jérémy Caron, de la société Econocom (Branche digital.security), s’occupe, entre autres, de tester la robustesse d’organisations sur demande de celles-ci.

De quoi ça parle ?

Durant cette conférence, Jérémy nous décrit la manière dont il procède pour arriver à ses fins et indique notamment que l’ingénierie sociale est sa meilleure arme. Durant ses missions, il utilise tous les moyens à sa disposition : récolte d’informations sur les réseaux sociaux et sites publics, faux appels des services de l’organisation, utilisation de prestataires, … L’objectif est généralement de construire un scénario fictif crédible afin d’envoyer un mail piégé à un employé ciblé lors de ces phases de reconnaissance. La mission de Jérémy s’arrête à partir du moment où un logiciel piégé a été installé sur un des postes de l’organisation. Un rapport complet est alors envoyé au commanditaire de l’audit. Un des exemples les plus pertinents concerne la réussite d’une mission dans le service sécurité et administration système d’une entreprise en sept jours de travail.

Que faut-il retenir ?

Les conclusions du conférencier indiquent que le phising (le plus souvent par mail) reste un vecteur d’intrusion important malgré que cette technique soit connue depuis plus de dix ans. Cela montre bien l’importance de la sensibilisation des employés et de la vigilance active de chacun.


LES VULNÉRABILITÉS DANS LES SERVICES CLOUD AWS

Lien Youtube: https://www.youtube.com/watch?v=N6RbLB4x0V8

Qui animait la conférence ?

Sapna Singh travaille depuis 9 ans dans le domaine de la sécurité informatique et traite notamment de la sécurité du cloud.

De quoi ça parle ?

Depuis quelques années, les services cloud tels que AWS rencontrent un franc succès et de plus en plus d’organisations optent pour cette solution. On observe dans le même temps un certain nombre d’attaques sur des infrastructures hébergées chez AWS qui aboutissent par des fuites d’informations très importantes.

Sapna nous montre que ces failles sont, dans la quasi-totalité des cas, dues à une mauvaise configuration de l’infrastructure par les organisations et que celles-ci ont tendance à trop se reposer sur AWS en oubliant leur responsabilité dans la configuration de leur infrastructure. Il s’agit généralement de droits d’accès trop importants, ouvrant certaines parties de l’infrastructure sur Internet.

Cette conférence nous montre quelques techniques pour détecter une faille dans une organisation, comment exploiter celle-ci, et comment s’en prémunir en appliquant des règles simples d’hygiène et de sécurité dans la configuration d’une infrastructure AWS.

Que faut-il retenir ?

Le fait de déplacer son infrastructure dans l’environnement AWS ne suffit pas à assurer la sécurité de celle-ci. Ce nouvel environnement comporte des règles de bonnes pratiques et d’hygiène qui doivent être respectées et qui sont à la charge de l’organisation déployant cette infrastructure.


RETOUR D’EXPÉRIENCE DES AUDIT ISO 27001 SUR LES SMART CITY

Qui animait la conférence ?

Maxly Madlon & Lucien Amrouche font parti de la société C2S Bouygues. Ils sont consultants en sécurité informatique et réalisent des audits de sécurité pour des clients.

De quoi ça parle ?

Ces deux conférenciers nous ont présenté les faiblesses identifiées sur une Smart City, au cours d’un test d’intrusion multi-scénarios donnant ainsi crédit aux pires scénarios d’attaques fictifs sur les villes du futur. Les 3 scénarios suivants ont été étudié :

  • Tentatives de prise en contrôle de la Smart City depuis Internet via les ressources informatiques du sous-traitant exploitant les systèmes industriels connectés
  • Tentatives de prise en contrôle de la Smart City depuis le réseau interne de l’exploitant (appelé aussi test d’intrusion du stagiaire)
  • Tentatives de prise en contrôle de la Smart City via ses systèmes de gestion installés sur l’espace public (gestion de la circulation, de l’éclairage public, etc.)

Que faut-il retenir ?

Cette conférence a permis de mettre en avant que la Smart City est une notion à la mode qui tend à se développer rapidement dans les moyennes et grandes villes. Néanmoins, cette notion de cité connectée comporte des risques sur le plan de la sécurité informatique qui ne sont pas négligeables. La sécurisation d’une infrastructure à l’échelle d’une ville demande un investissement conséquent et une certaine expertise qui peuvent rapidement êtes mis au second plan.


PRÉSENTATION DE L’OUTIL DE SYSMON POUR DÉTECTER LES ATTAQUES INFORMATIQUES

Lien Youtube: https://www.youtube.com/watch?v=x8ru9HQNeVg&feature=youtu.be

Qui animait la conférence ?

Stéfan Le Berre est cofondateur de l’entreprise ExaTrack qui développe des outils pour analyser un système SI et détecter des attaques en cours ou déjà présentes dans le SI. La technologie qu’ils mettent en œuvre se base principalement sur du monitoring de machine et de l’analyse par une IA.

De quoi ça parle ?

La conférence a porté sur la présentation de l’outil Sysmon Internal. L’outil permet de créer des journaux systèmes très précis et de centraliser l’ensemble de ces informations. Bien que la pratique soit plutôt courante puisqu’elle permet à un service SI de résoudre les incidents rencontrés sur le parc informatique, l’utilisation de l’outil est ici couplée à du Deep Learning.

La puissance de l’outil est alors décuplée et le conférencier nous montre qu’ils ont pu atteindre un score de 95% de détection des attaques informatiques grâce aux méthodes de Deep Learning.

Que faut-il retenir ?

Cette conférence a permis de montrer que des outils de monitoring correctement configurés, associés aux méthodes de Deep Learning peuvent permettre d’assurer une bonne sécurité de son SI en devenant un outil de monitoring puissant et évolutif en utilisant les outils de monitoring et de log existant dans le SI.


LA SÉCURITÉ DES RÉSEAUX MOBILES

Lien Youtube: https://www.youtube.com/watch?v=Wt709zRBk64&feature=youtu.be

Qui animait la conférence ?

Sergey Puzankov est un expert en sécurité des télécoms. Il est activement engagé dans la recherche autour de la sécurité des communications télécom et procède à de nombreux audits de sécurité auprès des entreprises de télécom dans le monde.

De quoi ça parle ?

Sergey nous a présenté la prochaine génération de protocole de communication, la 5G. Il a notamment présenté le saut technologique que la 5G permettra en apportant non seulement un débit plus important, mais également des niveaux de services et une interconnexion beaucoup plus importante. Malgré cette avancée technologique, l’architecture physique et protocolaire sur laquelle se base cette nouvelle technologie n’a que peu évolué depuis son déploiement dans les années 90. L’interconnexion de ce réseau télécom initialement isolé permet aujourd’hui à des attaquants d’effectuer des actions ciblées ou de grande envergure sur ces réseaux.

Que faut-il retenir ?

Bien que les attaques informatiques sur les réseaux de télécommunication restent une activité de niche (Besoin de matériel particulier, coût encore élevé, …), il est de plus en plus courant que celles-ci se produisent. Ceci à cause de l’interconnexion des réseaux de plus en plus importante et une technologie support qui ne gère pas la sécurité informatique au cœur de son architecture. La sécurité des télécommunications est donc un domaine qui risque d’être de plus en plus présent.

Le Wargame, quésaco ? 👨‍💻

Le Wargame est une compétition de sécurité informatique organisée par l’équipe animant LeHack. Cette compétition est ouverte au public et s’articule autour d’un Capture The Flag (alias CTF). Il commence dans la soirée et termine le matin, aux alentours de 6h.

Dans ce type d’événement, les participants se retrouvent confrontés à des épreuves liées à la sécurité informatique (reverse engineering, cracking, web, cryptographie etc…) qu’ils doivent résoudre afin d’obtenir un flag qui leur permettra de marquer des points. Plus l’épreuve est difficile, plus elle rapporte de points.

Une interface Web est mise à disposition des participants et c’est au travers de celle-ci qu’ils ont accès aux différentes épreuves et qu’ils peuvent soumettre les flags qu’ils ont trouvé. Un tableau des scores permet de suivre l’évolution du classement dans la soirée.

S. BOSQUET nous raconte sa participation au Wargame ! 😎

Amateur de Capture The Flag, je participe à ce type d’événements depuis plusieurs années. J’ai par exemple eu l’occasion de me rendre plusieurs fois à la Nuit Du Hack (ancien nom de LeHack), à l’Insomni’hack (Genève) et enfin à la GreHack (Grenoble). J’ai également pu participer quelques fois à des CTF en ligne, qui ne nécessitent pas de se déplacer physiquement et requièrent seulement une connexion à Internet pour y participer. Cependant, je préfère largement l’ambiance des CTF se déroulant “physiquement” à ceux en ligne.

Concernant le Wargame de cette édition 2019, la première chose qui m’a frappé est le nombre limité de places assises dans la salle où se déroule la compétition. Il a fallu jouer des coudes pour obtenir une table et quelques chaises. J’ai pu voir de nombreuses équipes êtres contraintes de s’asseoir par terre et poser les PC à même le sol afin de pouvoir participer aux épreuves. Note pour l’année prochaine : arriver assez tôt dans la salle et réquisitionner des places le plus vite possible ! 😆

Le Wargame a commencé aux alentours de 20h30 et a terminé à 6h30 le lendemain matin. Participer à ce genre d’événement nocturne est assez épuisant donc je conseille de s’économiser la journée précédente pour avoir l’esprit vif le plus longtemps possible durant la nuit !

Concernant les épreuves, j’ai trouvé cette édition d’un bon acabit. Les challenges étaient variés et une bonne partie d’entre eux plutôt accessibles. Nouveauté de cette année, une catégorie de difficulté très basse contenant quelques exercices assez basiques pour que les personnes peu expérimentées puissent s’exercer. En effet, rien de plus frustrant que d’arriver à un CTF et de ne pas réussir à résoudre ne serait-ce qu’un seul exercice !

Voici quelques exemples des épreuves proposées cette année et des solutions apportées par des participants :

Pour conclure, je suis ressorti de cette édition 2019 de LeHack très fatigué mais satisfait de l’événement. L’organisation était bonne (sauf le manque de places assises et de tables !), les épreuves intéressantes et l’ambiance excellente. Comme à chaque fois durant un CTF, je suis passé de la frustration à la joie, de l’excitation à l’épuisement et je ressors de cet événement avec de nouvelles connaissances et compétences en sécurité informatique. A mes yeux c’est là le plus gros intérêt des CTF : apprendre et découvrir de nouvelles choses dans le domaine de la sécurité informatique. C’est donc avec plaisir que j’irais à LeHack20 !

N.B. : pour plus d’informations sur cette édition 2019, je conseille la lecture de ce blog qui donne des informations très intéressantes sur le déroulement de la soirée.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *