GreHack : l’évènement cybersécurité incontournable

Nos chers collaborateurs, Florian et Valentin, ont pris part en novembre dernier à l’évènement GreHack. Voici leur retour pour patienter (et vous mettre l’eau à la bouche) avant l’édition 2020 !

GreHack, quésaco ?

GreHack est une convention internationale annuelle de sécurité informatique organisée à Grenoble par Securimag (une association qui réunit des étudiants passionnés et des professionnels). L’événement est sponsorisé par des organismes tels que Orange Cyberdéfense, Google, le CEA et Wavestone.

L’objectif ? Présenter de récents travaux et découvertes en cybersécurité effectués par des industriels, des académiques ou des étudiants. Le déroulement ? La convention se compose de trois grandes phases, réparties sur 24h : des conférences durant la journée, des workshops permettant de découvrir ou approfondir un outil ou une technologie et, pour les plus courageux, une compétition Capture the Flag pendant la nuit.

Les conférences cybersécurité de GreHack 2019

Une dizaine de conférences ont eu lieu durant la journée. Voici les sujets qui nous ont le plus intéressés avec un petit résumé du contenu. Les autres conférences sont également disponibles sur la chaîne Youtube de l’événement.

Hunting For Bugs, Catching Dragons

Présentée par Nicolas Joly de Microsoft Security Response Center

Cette conférence portait sur des vulnérabilités présentes dans deux outils de Microsoft : Outlook et Exchange. Du format des emails aux pièces jointes malicieuses en passant par les fonctionnalités spéciales (comme la conversion d’image ou l’insertion d’équation mathématique dans un email), la complexité et la richesse de ces logiciels en font des cibles intéressantes pour des attaques allant du crash de l’application à l’exécution de code à distance. Ces bugs ont bien sûr été corrigés et sont maintenant inexploitables.

>>> Voir la vidéo

Implementation Pitfalls Of OAuth 2.0

Présentée par Samit Anwer, membre de la Product Security Team de Citrix

OAuth est un protocole dit de délégation d’autorisation : il permet au possesseur d’une ressource d’autoriser une application externe à accéder à cette ressource. Dans sa présentation, Samit introduit le fonctionnement de OAuth et les variantes de ce protocole prévues pour différents usages avant de mettre en évidence des vulnérabilités inhérentes à une mauvaise utilisation ou à des défauts d’implémentation. Ces vulnérabilités ont pu être observées chez de grands fournisseurs de services tel que Microsoft et peuvent entre autres choses amener un attaquant à prendre le contrôle d’un compte utilisateur et à accéder à des ressources protégées.

>>> Voir la vidéo

IOT Security : Hack the Damn Vulnerable IoT Device

Présentée par Arnaud Courty, IoT hacker chez Sopra Steria

Présentation d’un projet OpenSource : DVID, qui propose une platefome ludique pour s’entraîner au hacking IoT, en s’inspirant de vrais problèmes de design sur différentes couches : hardware, firmware, réseau. Conçu comme un escape game ou un CTF, il permet de confronter des étudiants ou des industriels à des problématiques encore jeunes dans le secteur de l’IoT et dont on mesure chaque jour l’impact futur.

>>> Voir la vidéo

The rise of evil HID devices

Présentée par Arthur Villeneuve & Franck Bitsch de la Société Générale

Certaines attaques réelles commencent par la diffusion de périphériques USB malicieux (clés USB infectées jetées sur les parkings de grandes entreprises, claviers/souris modifiés pour intercepter des informations, etc..), des outils d’attaque relativement peu chers se trouvent maintenant sur Internet (comme le USB Rubber Ducky, ou le USBNinja), et accessibles à tous. Basiquement, ces outils se font passer pour des claviers/souris auprès de l’OS auquel ils sont reliés, et peuvent lancer des attaques plus ou moins discrètement. La présentation se focalise donc sur un état de l’art de ces différents outils, et les moyens de défense envisagés pour réduire les risques liés à ces pratiques. Ils donnent aussi des méthodes de forensics (i.e. d’analyse), dans l’optique de détecter ces périphériques malveillants, et éventuellement contrecarrer automatiquement leurs actions.

>>> Voir la vidéo

Et les workshops cybersécurité dans tout ça ?

Les workshops regroupent une vingtaine de personnes et permettent de pratiquer sur un logiciel/outil précis auprès d’un professionnel qui encadre la séance. Nous n’avons malheureusement pas obtenu de place cette année, mais voici les différents sujets qui étaient mis à l’honneur :

  • Attacking and securing serverless application
  • Pentesting industrial control system 102
  • Car Hacking
  • Miasm
  • Hands on Software Radio Hacking
  • Radare2 survival guide
  • IVRE: Internet-wide scanning
  • Getting up to speed with RFID/NFC and the Proxmark3 RDV4 greatest features
  • OSINT
  • Lockpicking

Le point d’orgue de l’événement : Capture the Flag

Les challenges CTF testent nos compétences pratiques en mettant à disposition des systèmes/implémentations/logiciels vulnérables qui doivent être exploités afin de récupérer un mot de passe caché ou flag. Les challenges peuvent concerner plusieurs thématiques parmi lesquelles le web, le reverse engineering, la cryptographie et, nouveauté cette année, la blockchain ! La liste des challenges de cette année est disponible ici.

Quelques exemples de challenges

Pour accéder aux autres write-ups publics, c’est là !

Au final, qu’avons-nous pensé du GreHack 2019 ?

La diversité des sujets des conférences et des très nombreux challenges à GreHack est très appréciable car elle permet d’effectuer, en peu de temps, une veille technologique en cybersécurité pointue et diversifiée.
Bien sûr, il faut aussi noter l’excellente ambiance, comme toujours (ainsi que les nombreuses discussions autour du magnifique goodie T-Shirt GreHack rose !).

Bref, une édition très enrichissante, toujours à mi-chemin entre l’apprentissage, le réseautage et l’amusement. Merci aux organisateurs !

Pour les collaborateurs Kaizen : si vous souhaitez participer l’année prochaine attention, car les places partent comme des petits pains ! N’hésitez pas à vous rapprocher du pôle cybersécurité pour en savoir plus.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.