ST'HACK 2015 : Retour sur l'évènement Sécurité Informatique à Bordeaux

ADACIS était présent à la Sthack 2015, organisée par Ingésup et Cdiscount notamment.

Les conférences de la Sthack 2015 avaient lieu au Musée d’Art Contemporain de Bordeaux (CAPC) vendredi 27/03.

Agnès Grangé a ouvert le bal en expliquant les démarches FrenchTech Bordeaux et la transformation numérique de La Poste.

S’en est suivie, une conférence qui avait pour thème « l’informatique quantique » présentée par Renaud Lifchitz, l’ancien chercheur BT derrière le hack du NFC.

Présentation très intéressante et on retiendra essentiellement la remise en cause de notre utilisation intensive de la cryptographie asymétrique : RSA 2048 bits ne devrait pas résister plus de 25 ans aux ordinateurs quantiques.

Sthack 2015 – Renaud "@nono2357" Lifchitz – Quantum computing in practice from StHack

Puis, une seconde présentation sur un write-up d’un challenge de la NoSuchCon par deux chercheurs en sécurité de chez Thalès. Ils ont travaillé durant 2 semaines pour exploiter une faille Overflow. Ensuite, ils ont développer un shellcode sur-mesure pour ensuite extraire une clé privée RSA, leur permettant d’accéder à une seconde clé, en AES, pour enfin accéder au FLAG.

Présentation vraiment très intéressante, élevée techniquement mais néanmoins accessible, notamment sur toute la partie hyperviseur et attaque du cache L3 partagé entre deux VMs.

Après la pause, nous enchaînons avec des analystes de chez Blueliv qui nous présentent les botnets, en faisant un focus sur l’écosystème, les malwares PoS les trojans Bancaires etc.

Présentation très pertinente, dans la bonne humeur et une bonne synthèse sur ce phénomène.

Jonathan Salwan de Quarkslab nous expose ensuite ses travaux sur la recherche de vulnérabilités. Le concept est de parvenir à optimiser l’activité de fuzzing qui avec les outils actuels ne permet pas d’offrir une couverture du code optimale, notamment car ces derniers sont essentiellement basés sur les effets de bords comme les erreurs de segmentation mémoire. Or, l’exploitation de certains bugs n’aboutit pas systématiquement sur un segfault et par conséquent ne fait même pas « crasher » le programme exploité.

Sthack 2015 – Jonathan "@JonathanSalwan" Salwan – Dynamic Behavior Analysis Using Binary Instrumentation from StHack

Jonathan travaille actuellement sur le projet Triton qui est l’aboutissement de ses recherches actuelles.

Encore une fois, une présentation très technique mais passionnante, et surtout accessible !

Deux consultants Lexsi, nous ont ensuite fait un retour d’expérience synthétique sur la sécurité des systèmes industriels. En résumé, les outils utilisés lors des démonstrations sont les mêmes que ceux de l’auditeur « classique » (metasploit etc.) et il y a un énorme travail à réaliser afin de sécuriser ces systèmes, pour lesquels de nombreuses mauvaises pratiques sont rencontrées systématiquement.

Sthack 2015 – Wilfrid "@WilfridBlanc" Blanc & Adrien Revol – Cybersécurité Industrielle 101 from StHack

Lexsi propose de mener des analyses de risque sur ces périmètres et d’appliquer des bonnes pratiques comme celles du guide ANSSI.

Enfin, Adis Adamarantis nous a présenté la théorie des courbes elliptiques en cryptographie et est revenu sur la « backdoor » de la NSA « DUAL_EC_DRBG ». Une présentation très intéressante avec pour aboutissement un PoC proposé par l’auteur.

Sthack 2015 – Aris "@aris_ada" Adamantiadis – DUAL_EC_DRBG : Une histoire de portes dérobées dans les standards from StHack

Le soir, le CTF nous a ensuite permis de nous exercer sur l’exploitation, le forensics, la stéganographie entre autres, bref des épreuves ludiques et parfois d’un niveau élevé.

Les conférences étaient d’un très bon niveau technique et présentées dans la bonne humeur. Encore un très bon cru pour cette Sthack 2015 ! Félicitations aux organisateurs !